Sichern und Wiederherstellen von Active Directory-Domänencontrollern
Das Sichern von Active Directory und die Sicherstellung erfolgreicher Wiederherstellungen bei Beschädigung, Gefährdung oder einem Notfall ist ein wichtiger Bestandteil der Active Directory-Wartung.
In diesem Artikel werden die richtigen Verfahren zum Sichern und Wiederherstellen von Active Directory-Domänencontrollern mit Azure Backup beschrieben – unabhängig davon, ob es sich dabei um virtuelle Azure-Computer oder lokale Server handelt. Es wird ein Szenario erläutert, in dem Sie einen ganzen Domänencontroller auf seinen Zustand zum Zeitpunkt der Sicherung wiederherstellen müssen. Wenn Sie erfahren möchten, welches Wiederherstellungsszenario für Sie geeignet ist, lesen Sie diesen Artikel.
Hinweis
In diesem Artikel wird nicht das Wiederherstellen von Elementen aus Microsoft Entra ID erläutert. Informationen zum Wiederherstellen von Microsoft Entra-Benutzern finden Sie in diesem Artikel.
Bewährte Methoden
Sorgen Sie dafür, dass mindestens ein Domänencontroller gesichert wird. Wenn Sie mehrere Domänencontroller sichern, sorgen Sie dafür, dass alle mit den FSMO-Rollen (Flexible Single Master Operation) gesichert werden.
Sichern Sie Active Directory häufig. Das Alter der Sicherung sollte nie älter als die Tombstone-Lebensdauer (TSL) sein, weil Objekte, die älter als die TSL sind, als „veraltet“ markiert und nicht mehr als gültig betrachtet werden.
Die Standard-TSL für Domänen, die auf Windows Server 2003 SP2 und höher basieren, beträgt 180 Tage.
Sie können die konfigurierte TSL mithilfe des folgenden PowerShell-Skripts überprüfen:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Sorgen Sie für einen klaren Plan zur Notfallwiederherstellung mit Anleitungen dazu, wie Ihre Domänencontroller wiederhergestellt werden. Informationen zum Vorbereiten der Wiederherstellung einer Active Directory-Gesamtstruktur finden Sie im Active Directory Forest Recovery Guide (Handbuch zur Wiederherstellung der Active Directory-Gesamtstruktur).
Wenn Sie einen Domänencontroller wiederherstellen müssen und die Domäne noch einen funktionsfähigen Domänencontroller enthält, können Sie einen neuen Server erstellen, statt ihn aus einer Sicherung wiederherzustellen. Fügen Sie dem neuen Server die Serverrolle Active Directory Domain Services hinzu, um ihn zu einem Domänencontroller in der vorhandenen Domäne zu machen. Anschließend werden die Active Directory-Daten auf den neuen Server repliziert. Wenn Sie den vorherigen Domänencontroller aus Active Directory entfernen möchten, führen Sie die in diesem Artikel beschriebenen Schritte zur Durchführung einer Metadatenbereinigung aus.
Hinweis
Azure Backup enthält keine Wiederherstellung auf Elementebene für Active Directory. Wenn Sie gelöschte Objekte wiederherstellen möchten und auf einen Domänencontroller zugreifen können, verwenden Sie den Active Directory-Papierkorb. Wenn diese Methode nicht verfügbar ist, können Sie Ihre Domänencontrollersicherung verwenden, um die gelöschten Objekte mit dem Tool Ntdsutil.exe wiederherzustellen, wie hier erläutert wird.
Informationen zum Durchführen einer autoritativen Wiederherstellung von SYSVOL finden Sie in diesem Artikel.
Sichern von Azure-VM-Domänencontrollern
Wenn der Domänencontroller eine Azure-VM ist, können Sie den Server mithilfe der Azure-VM-Sicherung sichern.
Informieren Sie sich über operative Überlegungen für virtualisierte Domänencontroller, um für erfolgreiche Sicherungen (und zukünftige Wiederherstellungen) Ihrer Azure-VM-Domänencontroller zu sorgen.
Sichern von lokalen Domänencontrollern
Zum Sichern eines lokalen Domänencontrollers müssen Sie die Systemstatusdaten des Servers sichern.
- Wenn Sie MARS verwenden, folgen Sie diesen Anleitungen.
- Wenn Sie MABS (Azure Backup Server) verwenden, folgen Sie diesen Anleitungen.
Hinweis
Die Wiederherstellung von lokalen Domänencontrollern (entweder aus dem Systemstatus oder aus VMs) in der Azure-Cloud wird nicht unterstützt. Wenn Sie die Option eines Failovers aus einer lokalen Active Directory-Umgebung zu Azure verwenden möchten, erwägen Sie die Verwendung von Azure Site Recovery.
Wiederherstellen von Active Directory
Active Directory-Daten können in einem von zwei Modi wiederhergestellt werden: autoritativ oder nicht autoritativ. Bei einer autoritativen Wiederherstellung überschreiben die wiederhergestellten Active Directory-Daten die Daten auf den anderen Domänencontrollern in der Gesamtstruktur.
Weil aber bei diesem Szenario ein Domänencontroller in einer vorhandenen Domäne neu erstellt wird, sollte eine nicht autoritative Wiederherstellung durchgeführt werden.
Während der Wiederherstellung wird der Server im Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) gestartet. Sie müssen das Administratorkennwort für diesen Modus angeben.
Hinweis
Wenn Sie das DSRM-Kennwort vergessen haben, können Sie es anhand dieser Anleitungen zurücksetzen.
Wiederherstellen von Azure-VM-Domänencontrollern
Informationen zum Wiederherstellen eines Azure-VM-Domänencontrollers finden Sie unter Wiederherstellen von virtuellen Computern mit Domänencontroller.
Wenn Sie eine einzelne Domänencontroller-VM oder mehrere Domänencontroller-VMs in einer einzelnen Domäne wiederherstellen, stellen Sie sie wie jede beliebige andere VM wieder her. Der Verzeichnisdienste-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) ist ebenfalls verfügbar, sodass alle Active Directory-Wiederherstellungsszenarien realisierbar sind.
Wenn Sie eine einzelne Domänencontroller-VM in einer Konfiguration mit mehreren Domänen wiederherstellen müssen, stellen Sie die Datenträger wieder her, und erstellen Sie dann eine VM mithilfe von PowerShell.
Wenn Sie den letzten verbliebenen Domänencontroller in der Domäne oder mehrere Domänen in einer einzigen Gesamtstruktur wiederherstellen, empfehlen wir eine Wiederherstellung der Gesamtstruktur.
Hinweis
Virtualisierte Domänencontroller ab Windows 2012 verwenden virtualisierungsbasierte Sicherheitsmechanismen. Bei diesen Sicherheitsmechanismen erkennt Active Directory, ob die wiederhergestellte VM ein Domänencontroller ist, und führt die erforderlichen Schritte zum Wiederherstellen der Active Directory-Daten aus.
Wiederherstellen von lokalen Domänencontrollern
Wenn Sie einen lokalen Domänencontroller wiederherstellen möchten, folgen Sie den Anleitungen zum Wiederherstellen des Systemstatus auf einem Windows-Server anhand des Leitfadens Besondere Überlegungen bei der Wiederherstellung des Systemstatus auf einem Domänencontroller.