Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan lehet biztonsági másolatot készíteni és visszaállítani az Active Directory-tartományvezérlőkről az Azure Backup használatával, akár Azure-beli virtuális gépeken (virtuális gépeken) vagy helyszíni kiszolgálókon. Az ajánlott eljárásokkal megvédheti az Active Directory-környezetet, és helyreállíthatja a tartományvezérlőket sérülés, sérülés vagy katasztrófa esetén. Az igényeinek megfelelő visszaállítási forgatókönyv kiválasztásával kapcsolatos útmutatásért tekintse meg az Active Directory erdőhelyreállítási útmutatóját.
Feljegyzés
Ez a cikk nem ismerteti a Microsoft Entra-azonosító elemeinek visszaállítását. A Microsoft Entra-felhasználók visszaállításáról ebben a cikkben olvashat bővebben.
Ajánlott eljárások
Az Active Directory védelme előtt ellenőrizze az alábbi ajánlott eljárásokat:
Győződjön meg arról, hogy legalább egy tartományvezérlőről biztonsági másolatot készít.
Gyakran biztonsági másolatot készít az Active Directoryról. A biztonsági mentés kora nem lehet régebbi a tombstone élettartamánál (TSL), mert a TSL-nél régebbi objektumok tombstoned státuszba kerülnek, és már nem tekinthetők érvényesnek.
A Windows Server 2003 SP2 és újabb rendszerekre épülő tartományok alapértelmezett TSL-értéke 180 nap.
A konfigurált TSL-t a következő PowerShell-szkripttel ellenőrizheti:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Rendelkezik egy egyértelmű vészhelyreállítási tervvel, amely útmutatást tartalmaz a tartományvezérlők visszaállításához. Az Active Directory-erdő visszaállításának előkészítéséhez olvassa el az Active Directory Erdő helyreállítási útmutatót.
Ha vissza kell állítania egy tartományvezérlőt, és továbbra is működő tartományvezérlője van a tartományban, a biztonsági másolatból való visszaállítás helyett létrehozhat egy új kiszolgálót. Adja hozzá a Active Directory tartományi szolgáltatások kiszolgálói szerepkört az új kiszolgálóhoz, hogy tartományvezérlő legyen a meglévő tartományban. Ezután az Active Directory-adatok replikálódnak az új kiszolgálóra. Ha el szeretné távolítani az előző tartományvezérlőt az Active Directoryból, kövesse az ebben a cikkben ismertetett lépéseket a metaadatok törléséhez.
Feljegyzés
Az Azure Backup nem tartalmazza az Active Directory elemszintű visszaállítását. Ha vissza szeretné állítani a törölt objektumokat, és hozzáférhet egy tartományvezérlőhöz, használja az Active Directory Lomtárat. Ha ez a módszer nem érhető el, a tartományvezérlő biztonsági mentésével visszaállíthatja a törölt objektumokat az itt ismertetettntdsutil.exe eszközzel.
A SYSVOL mérvadó visszaállításáról ebben a cikkben olvashat bővebben.
Tartományvezérlők biztonsági mentése
Az Azure Backup használatával biztonsági másolatot készíthet a tartományvezérlőkről. Ez a művelet lehetővé teszi az Active Directory-környezet védelmét és a lehetséges problémák elhárítását.
Válasszon tartományvezérlői környezetet:
Ha a tartományvezérlő Azure-beli virtuális gép, az Azure VM Backup használatával biztonsági másolatot készíthet a kiszolgálóról.
Olvassa el a virtualizált tartományvezérlők működési szempontjait az Azure-beli virtuálisgép-tartományvezérlők sikeres biztonsági mentésének (és későbbi visszaállításának) biztosítása érdekében.
Az Active Directory visszaállítása
Az Active Directory-adatok visszaállításakor az alábbi módok közül választhat:
- Tekintélyelvű visszaállítás: A visszaállított adatok az erdő minden más tartományvezérlőjén lecserélik az adatokat. Ezt a módot használja, ha törölt objektumokat kell helyreállítania, és biztosítania kell, hogy azok replikálva legyenek a környezetében.
- Nem hiteles visszaállítás: A visszaállított tartományvezérlő a helyreállítás után más tartományvezérlőktől is megkapja a frissítéseket. Ez az ajánlott módszer egy meglévő tartományban lévő tartományvezérlő újraépítésekor.
A legtöbb forgatókönyv esetében, beleértve a tartományvezérlő újraépítését, nem hiteles visszaállítást kell végrehajtania.
A visszaállítás során a kiszolgáló címtárszolgáltatás-visszaállítási módban (DSRM) indul el. A Címtárszolgáltatások visszaállítási módjához meg kell adnia a rendszergazdai jelszót.
Feljegyzés
Ha elfelejti a DSRM-jelszót, állítsa alaphelyzetbe.
Válasszon egy tartományvezérlő környezetet a visszaállításhoz:
Azure-beli virtuálisgép-tartományvezérlő visszaállításához lásd: Tartományvezérlő virtuális gépek visszaállítása.
Ha egyetlen tartományvezérlő virtuális gépet vagy több tartományvezérlő virtuális gépet állít vissza egyetlen tartományban, állítsa vissza őket, mint bármely más virtuális gépet. A Címtárszolgáltatások visszaállítási módja (DSRM) is elérhető, így minden Active Directory-helyreállítási forgatókönyv működőképes.
Ha egyetlen tartományvezérlő virtuális gépet kell visszaállítania több tartománykonfigurációban, állítsa vissza a lemezeket, és hozzon létre egy virtuális gépet a PowerShell használatával.
Ha az utolsó fennmaradó tartományvezérlőt állítja vissza a tartományban, vagy több tartományt állít vissza egy erdőben, javasoljuk az erdő helyreállítását.
Feljegyzés
A Virtualizált tartományvezérlők a Windows 2012-től kezdve virtualizációalapú védelmet használnak. Ezekkel a biztosítékokkal az Active Directory tisztában van azzal, hogy a visszaállított virtuális gép tartományvezérlő-e, és végrehajtja az Active Directory-adatok visszaállításához szükséges lépéseket.