Mencadangkan dan memulihkan pengontrol domain Active Directory menggunakan Azure Backup

Artikel ini menjelaskan cara mencadangkan dan memulihkan pengontrol domain Active Directory menggunakan Azure Backup, baik yang berjalan di komputer virtual (VM) Azure atau server lokal. Anda dapat menggunakan prosedur yang direkomendasikan untuk melindungi lingkungan Direktori Aktif Anda dan memulihkan pengontrol domain selama kerusakan, penyusupan, atau bencana. Untuk panduan tentang memilih skenario pemulihan yang tepat untuk kebutuhan Anda, lihat Panduan Pemulihan Hutan Direktori Aktif.

Catatan

Artikel ini tidak membahas pemulihan item dari ID Microsoft Entra. Untuk informasi tentang memulihkan pengguna Microsoft Entra, lihat artikel ini.

Praktik terbaik

Sebelum Anda memulai perlindungan Direktori Aktif, periksa praktik terbaik berikut:

• Pastikan setidaknya satu pengontrol domain sudah dicadangkan.

• Cadangkan Direktori Aktif secara berkala. Usia cadangan tidak boleh lebih lama dari masa pakai batu nisan (TSL) karena objek yang lebih lama dari TSL dikubur dan tidak lagi dianggap valid.

  • TSL default, untuk domain yang dibangun pada Windows Server 2003 SP2 dan yang lebih baru, adalah 180 hari.

  • Anda bisa memverifikasi TSL yang dikonfigurasi dengan menggunakan skrip PowerShell berikut ini:

    (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
    

• Memiliki rencana pemulihan bencana yang jelas yang mencakup instruksi tentang cara memulihkan pengontrol domain Anda. Untuk mempersiapkan pemulihan hutan Direktori Aktif, baca Panduan Pemulihan Hutan Direktori Aktif.

• Jika Anda perlu memulihkan pengontrol domain, dan memiliki pengontrol domain yang berfungsi tersisa pada domain, Anda dapat membuat server baru alih-alih memulihkan server dari cadangan. Tambahkan peran server Active Directory Domain Services ke server baru untuk menjadikannya pengontrol domain di domain yang sudah ada. Kemudian data Direktori Aktif mereplikasi ke server baru. Untuk menghapus pengontrol domain sebelumnya dari Direktori Aktif, ikuti langkah-langkah dalam artikel ini untuk melakukan pembersihan metadata.

Catatan

Azure Backup tidak menyertakan pemulihan tingkat item untuk Direktori Aktif. Jika Anda ingin memulihkan objek yang dihapus, dan Anda dapat mengakses pengontrol domain, gunakan Keranjang Sampah Direktori Aktif. Jika metode tersebut tidak tersedia, Anda dapat menggunakan cadangan pengendali domain untuk memulihkan objek yang dihapus dengan alat ntdsutil.exe seperti yang dijelaskan di sini.

Untuk informasi tentang melakukan pemulihan otoritatif SYSVOL, lihat artikel ini.

Mencadangkan pengendali domain

Anda dapat mencadangkan pengendali domain menggunakan Azure Backup. Operasi ini memungkinkan Anda untuk melindungi lingkungan Direktori Aktif Anda dan memastikan bahwa Anda dapat pulih dari potensi masalah apa pun.

Pilih lingkungan pengendali domain:

VM Azure

Jika pengontrol domain merupakan Azure VM, Anda dapat mencadangkan server menggunakan Azure Backup VM.

Baca tentang pertimbangan operasional untuk pengontrol domain virtual untuk memastikan pencadangan yang berhasil (dan pemulihan mendatang) dari pengontrol domain Azure VM Anda.

Lokal

Untuk mencadangkan pengontrol domain lokal, Anda perlu mencadangkan data Status Sistem server.

• Jika Anda menggunakan MARS, ikuti instruksi berikut.
• Jika Anda menggunakan Microsoft Azure Backup Server (MABS), ikuti instruksi berikut.

Catatan

Pemulihan pengontrol domain lokal (baik dari status sistem atau dari VM) ke cloud Azure tidak didukung. Jika Anda menginginkan opsi failover dari lingkungan Direktori Aktif lokal ke Azure, pertimbangkan untuk menggunakan Azure Site Recovery.

Pulihkan Direktori Aktif

Saat memulihkan data Direktori Aktif, Anda dapat memilih salah satu mode berikut:

• Pemulihan otoritatif: Data yang dipulihkan menggantikan data pada semua pengontrol domain lain di forest. Gunakan mode ini jika Anda perlu memulihkan objek yang dihapus dan memastikan objek tersebut direplikasi di seluruh lingkungan Anda.
• Pemulihan nonautoritatif: Pengontrol domain yang dipulihkan menerima pembaruan dari pengendali domain lain setelah pemulihan. Ini adalah pendekatan yang direkomendasikan saat membangun kembali pengendali domain di domain yang ada.

Untuk sebagian besar skenario, termasuk membangun kembali pengendali domain, Anda harus melakukan pemulihan nonautoritatif.

Selama pemulihan, server dimulai dalam Mode Pemulihan Layanan Direktori (DSRM). Anda perlu memberikan kata sandi Administrator untuk Mode Pemulihan Layanan Direktori.

Catatan

Jika Anda lupa kata sandi DSRM, atur ulang kata sandi tersebut.

Pilih lingkungan pengendali domain untuk pemulihan:

VM Azure

Untuk memulihkan pengontrol domain Azure VM, lihat Memulihkan komputer virtual pengontrol domain.

Jika Anda memulihkan komputer virtual pengontrol domain tunggal atau beberapa komputer virtual pengontrol domain dalam satu domain, pulihkan seperti komputer virtual lainnya. DSRM juga tersedia, sehingga semua skenario pemulihan Direktori Aktif dapat dijalankan dengan layak.

Jika Anda perlu memulihkan komputer virtual pengontrol domain tunggal dalam konfigurasi beberapa domain, pulihkan disk dan buat komputer virtual dengan menggunakan PowerShell.

Jika Anda memulihkan pengontrol domain terakhir yang tersisa di domain, atau memulihkan beberapa domain di satu hutan, kami merekomendasikan pemulihan hutan.

Catatan

Pengontrol domain virtual, dari Windows 2012 dan seterusnya menggunakan perlindungan berbasis virtualisasi. Dengan perlindungan ini, Direktori Aktif akan memahami jika komputer virtual yang dipulihkan adalah pengontrol domain, dan akan melakukan langkah-langkah yang diperlukan untuk memulihkan data Direktori Aktif.

Lokal

Untuk memulihkan pengontrol domain lokal, ikuti petunjuk untuk memulihkan status sistem ke Windows Server, menggunakan panduan untuk pertimbangan khusus untuk pemulihan status sistem pada pengontrol domain.

Langkah berikutnya

• Matriks dukungan untuk Azure Backup