Een back-up maken van Active Directory-domeincontrollers en deze herstellen
Back-ups maken van Active Directory en ervoor zorgen dat herstelbewerkingen in geval van beschadiging, inbreuk of noodgeval een essentieel onderdeel zijn van Active Directory-onderhoud.
In dit artikel vindt u een overzicht van de juiste procedures voor het maken van back-ups en het herstellen van Active Directory-domeincontrollers met Azure Backup, ongeacht of het virtuele Azure-machines of on-premises servers zijn. Er wordt een scenario besproken waarin u een volledige domeincontroller op het moment van de back-up moet herstellen naar de status. Zie dit artikel als u wilt zien welk herstelscenario geschikt is voor u.
Notitie
In dit artikel wordt niet besproken hoe u items herstelt van Microsoft Entra-id. Zie dit artikel voor meer informatie over het herstellen van Microsoft Entra-gebruikers.
Aanbevolen procedures
Zorg ervoor dat er een back-up van ten minste één domeincontroller is gemaakt. Als u een back-up maakt van meer dan één domeincontroller, moet u ervoor zorgen dat alle domeincontrollers met de FSMO-rollen (Flexible Single Master Operation) een back-up maken.
Maak regelmatig een back-up van Active Directory. De back-upleeftijd mag nooit ouder zijn dan de tombstone-levensduur (TSL), omdat objecten ouder dan de TSL 'tombstoned' zijn en niet langer als geldig worden beschouwd.
De standaard-TSL, voor domeinen die zijn gebouwd op Windows Server 2003 SP2 en hoger, is 180 dagen.
U kunt de geconfigureerde TSL controleren met behulp van het volgende PowerShell-script:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Een duidelijk plan voor herstel na noodgevallen met instructies voor het herstellen van uw domeincontrollers. Lees de Active Directory-forestherstelhandleiding om u voor te bereiden op het herstellen van een Active Directory-forest.
Als u een domeincontroller wilt herstellen en een resterende functionerende domeincontroller in het domein wilt hebben, kunt u een nieuwe server maken in plaats van een back-up te herstellen. Voeg de Active Directory-domein Services-serverfunctie toe aan de nieuwe server om deze een domeincontroller in het bestaande domein te maken. Vervolgens worden de Active Directory-gegevens gerepliceerd naar de nieuwe server. Als u de vorige domeincontroller uit Active Directory wilt verwijderen, volgt u de stappen in dit artikel om het opschonen van metagegevens uit te voeren.
Notitie
Azure Backup bevat geen herstel op itemniveau voor Active Directory. Als u verwijderde objecten wilt herstellen en u toegang hebt tot een domeincontroller, gebruikt u de Prullenbak van Active Directory. Als deze methode niet beschikbaar is, kunt u de back-up van uw domeincontroller gebruiken om de verwijderde objecten te herstellen met het hulpprogramma ntdsutil.exe, zoals hier wordt uitgelegd.
Zie dit artikel voor informatie over het uitvoeren van een gezaghebbend herstel van SYSVOL.
Back-ups maken van Azure VM-domeincontrollers
Als de domeincontroller een Virtuele Azure-machine is, kunt u een back-up maken van de server met behulp van Azure VM Backup.
Lees meer over operationele overwegingen voor gevirtualiseerde domeincontrollers om ervoor te zorgen dat back-ups (en toekomstige herstelbewerkingen) van uw Azure VM-domeincontrollers worden uitgevoerd.
Back-ups maken van on-premises domeincontrollers
Als u een back-up wilt maken van een on-premises domeincontroller, moet u een back-up maken van de systeemstatusgegevens van de server.
- Als u MARS gebruikt, volgt u deze instructies.
- Als u MABS (Azure Backup Server) gebruikt, volgt u deze instructies.
Notitie
Het herstellen van on-premises domeincontrollers (van systeemstatus of van VM's) naar de Azure-cloud wordt niet ondersteund. Als u de optie voor failover van een on-premises Active Directory-omgeving naar Azure wilt, kunt u overwegen Om Azure Site Recovery te gebruiken.
Active Directory herstellen
Active Directory-gegevens kunnen worden hersteld in een van de twee modi: gezaghebbend of niet-gezaghebbend. In een bindende herstelbewerking overschrijven de herstelde Active Directory-gegevens de gegevens die zijn gevonden op de andere domeincontrollers in het forest.
In dit scenario wordt echter een domeincontroller in een bestaand domein opnieuw opgebouwd, dus moet er een niet-verificatieve herstelbewerking worden uitgevoerd.
Tijdens het herstellen wordt de server gestart in de Directory Services-herstelmodus (DSRM). U moet het wachtwoord van de Beheer istrator opgeven voor de herstelmodus van Directory Services.
Notitie
Als het DSRM-wachtwoord is vergeten, kunt u het opnieuw instellen met behulp van deze instructies.
Azure VM-domeincontrollers herstellen
Als u een Azure VM-domeincontroller wilt herstellen, raadpleegt u VM's van de domeincontroller herstellen.
Als u één domeincontroller-VM of meerdere domeincontroller-VM's in één domein herstelt, herstelt u deze zoals elke andere VIRTUELE machine. Directory Services Restore Mode (DSRM) is ook beschikbaar, dus alle Active Directory-herstelscenario's zijn haalbaar.
Als u één domeincontroller-VM in een configuratie met meerdere domeinen wilt herstellen, herstelt u de schijven en maakt u een virtuele machine met behulp van PowerShell.
Als u de laatst resterende domeincontroller in het domein herstelt of meerdere domeinen in één forest herstelt, raden we een forestherstel aan.
Notitie
Gevirtualiseerde domeincontrollers gebruiken vanaf Windows 2012 beveiliging op basis van virtualisatie. Met deze beveiliging begrijpt Active Directory of de herstelde VM een domeincontroller is en voert de benodigde stappen uit om de Active Directory-gegevens te herstellen.
On-premises domeincontrollers herstellen
Als u een on-premises domeincontroller wilt herstellen, volgt u de aanwijzingen voor het herstellen van de systeemstatus naar Windows Server, met behulp van de richtlijnen voor speciale overwegingen voor systeemstatusherstel op een domeincontroller.