Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u een back-up maakt van Active Directory-domeincontrollers en deze herstelt met behulp van Azure Backup, die worden uitgevoerd op virtuele Azure-machines (VM's) of on-premises servers. U kunt de aanbevolen procedures gebruiken om uw Active Directory-omgeving te beschermen en domeincontrollers te herstellen tijdens beschadiging, inbreuk of noodgeval. Zie de Active Directory-forestherstelhandleiding voor hulp bij het kiezen van het juiste herstelscenario voor uw behoeften.
Notitie
In dit artikel wordt niet besproken hoe u items herstelt van Microsoft Entra-id. Zie dit artikel voor meer informatie over het herstellen van Microsoft Entra-gebruikers.
Aanbevolen procedures
Voordat u de beveiliging van Active Directory start, controleert u de volgende aanbevolen procedures:
Zorg ervoor dat er een back-up van ten minste één domeincontroller is gemaakt.
Maak regelmatig een back-up van Active Directory. De back-upleeftijd mag niet ouder zijn dan de tombstone-levensduur (TSL), omdat objecten ouder dan de TSL tombstoned zijn en niet langer als geldig worden beschouwd.
De standaard-TSL, voor domeinen die zijn gebouwd op Windows Server 2003 SP2 en hoger, is 180 dagen.
U kunt de geconfigureerde TSL controleren met behulp van het volgende PowerShell-script:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Een duidelijk plan voor herstel na noodgevallen met instructies voor het herstellen van uw domeincontrollers. Lees de Active Directory-forestherstelhandleiding om u voor te bereiden op het herstellen van een Active Directory-forest.
Als u een domeincontroller wilt herstellen en een resterende functionerende domeincontroller in het domein wilt hebben, kunt u een nieuwe server maken in plaats van een back-up te herstellen. Voeg de Active Directory-domein Services-serverfunctie toe aan de nieuwe server om deze een domeincontroller in het bestaande domein te maken. Vervolgens worden de Active Directory-gegevens gerepliceerd naar de nieuwe server. Als u de vorige domeincontroller uit Active Directory wilt verwijderen, volgt u de stappen in dit artikel om het opschonen van metagegevens uit te voeren.
Notitie
Azure Backup bevat geen herstel op itemniveau voor Active Directory. Als u verwijderde objecten wilt herstellen en u toegang hebt tot een domeincontroller, gebruikt u de Prullenbak van Active Directory. Als deze methode niet beschikbaar is, kunt u de back-up van uw domeincontroller gebruiken om de verwijderde objecten te herstellen met het hulpprogrammantdsutil.exe , zoals hier wordt uitgelegd.
Zie dit artikel voor informatie over het uitvoeren van een gezaghebbend herstel van SYSVOL.
Een back-up maken van domeincontrollers
U kunt een back-up maken van domeincontrollers met behulp van Azure Backup. Met deze bewerking kunt u uw Active Directory-omgeving beveiligen en ervoor zorgen dat u kunt herstellen na mogelijke problemen.
Kies een domeincontrolleromgeving:
Als de domeincontroller een Virtuele Azure-machine is, kunt u een back-up maken van de server met behulp van Azure VM Backup.
Lees meer over operationele overwegingen voor gevirtualiseerde domeincontrollers om ervoor te zorgen dat back-ups (en toekomstige herstelbewerkingen) van uw Azure VM-domeincontrollers worden uitgevoerd.
Active Directory herstellen
Wanneer u Active Directory-gegevens herstelt, kunt u een van de volgende modi kiezen:
- Gezaghebbend herstellen: de herstelde gegevens vervangen de gegevens op alle andere domeincontrollers in het forest. Gebruik deze modus als u verwijderde objecten wilt herstellen en ervoor wilt zorgen dat ze in uw omgeving worden gerepliceerd.
- Niet-verificatieve herstel: de herstelde domeincontroller ontvangt updates van andere domeincontrollers na herstel. Dit is de aanbevolen methode bij het herbouwen van een domeincontroller in een bestaand domein.
Voor de meeste scenario's, waaronder het opnieuw opbouwen van een domeincontroller, moet u een niet-verificatieve herstelbewerking uitvoeren.
Tijdens het herstellen wordt de server gestart in de Directory Services-herstelmodus (DSRM). U moet het beheerderswachtwoord opgeven voor de herstelmodus van Directory Services.
Notitie
Als u het DSRM-wachtwoord vergeet, stelt u het opnieuw in.
Kies een domeincontrolleromgeving voor herstel:
Als u een Azure VM-domeincontroller wilt herstellen, raadpleegt u VM's van de domeincontroller herstellen.
Als u één domeincontroller-VM of meerdere domeincontroller-VM's in één domein herstelt, herstelt u deze zoals elke andere VIRTUELE machine. Directory Services Restore Mode (DSRM) is ook beschikbaar, dus alle Active Directory-herstelscenario's zijn haalbaar.
Als u één domeincontroller-VM in een configuratie met meerdere domeinen wilt herstellen, herstelt u de schijven en maakt u een virtuele machine met behulp van PowerShell.
Als u de laatst resterende domeincontroller in het domein herstelt of meerdere domeinen in één forest herstelt, raden we een forestherstel aan.
Notitie
Gevirtualiseerde domeincontrollers gebruiken vanaf Windows 2012 beveiliging op basis van virtualisatie. Met deze beveiliging begrijpt Active Directory of de herstelde VM een domeincontroller is en voert de benodigde stappen uit om de Active Directory-gegevens te herstellen.