Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается резервное копирование и восстановление контроллеров домена Active Directory с помощью Azure Backup либо на виртуальных машинах Azure, либо на локальных серверах. Вы можете использовать рекомендуемые процедуры для защиты среды Active Directory и восстановления контроллеров домена во время повреждения, компрометации или аварии. Чтобы получить рекомендации по выбору подходящего сценария восстановления для ваших потребностей, см. руководство по восстановлению леса Active Directory.
Примечание.
В этой статье не рассматривается восстановление элементов из идентификатора Microsoft Entra. Сведения о восстановлении пользователей Microsoft Entra см . в этой статье.
Рекомендации
Перед началом защиты Active Directory ознакомьтесь со следующими рекомендациями.
Убедитесь, что создается резервная копия по крайней мере для одного контроллера домена.
Регулярно создавайте резервные копии Active Directory. Возраст резервного копирования не должен быть старше времени существования могилы (TSL), так как объекты старше TSL являются замеченными и больше не считаются допустимыми.
Значение TSL по умолчанию для доменов, созданных на базе Windows Server 2003 SP2 и более поздних версий, составляет 180 дней.
Чтобы проверить настроенный срок TSL, используйте следующий сценарий PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Составьте четкий план аварийного восстановления, включающий инструкции по восстановлению контроллеров домена. Чтобы подготовиться к восстановлению леса Active Directory, ознакомьтесь с руководством по восстановлению леса Active Directory.
Если необходимо восстановить контроллер домена и сохранить оставшийся работоспособный контроллер домена в домене, вместо восстановления из резервной копии можно создать новый сервер. Добавьте роль сервера доменных служб Active Directory для нового сервера, чтобы сделать его контроллером домена в существующем домене. Затем данные Active Directory реплицируются на новый сервер. Чтобы удалить предыдущий контроллер домена из Active Directory, выполните действия, описанные в этой статье, для очистки метаданных.
Примечание.
Azure Backup не включает восстановление уровня элементов для Active Directory. Если вы хотите восстановить удаленные объекты и можете получить доступ к контроллеру домена, используйте корзину Active Directory. Если этот метод недоступен, вы можете использовать резервную копию контроллера домена для восстановления удаленных объектов с помощью средстваntdsutil.exe , как описано здесь.
Сведения о выполнении заслуживающего доверия восстановления SYSVOL см. в этой статье.
Резервное копирование контроллеров домена
Вы можете создавать резервные копии контроллеров домена с помощью Azure Backup. Эта операция позволяет защитить среду Active Directory и убедиться, что вы можете восстановиться после любых потенциальных проблем.
Выберите среду контроллера домена:
Если контроллер домена является виртуальной машиной Azure, можно выполнить резервное копирование сервера с помощью резервного копирования виртуальных машин Azure.
Ознакомьтесь с замечаниями по эксплуатации виртуальных контроллеров домена, чтобы обеспечить успешное резервное копирование (и будущие операции восстановления) контроллеров домена виртуальных машин Azure.
Восстановление Active Directory
При восстановлении данных Active Directory можно выбрать один из следующих режимов:
- Авторитетное восстановление: восстановленные данные заменяют данные на всех остальных контроллерах домена в лесу. Используйте этот режим, если необходимо восстановить удаленные объекты и убедиться, что они реплицируются в вашей среде.
- Неавторное восстановление: восстановленный контроллер домена получает обновления от других контроллеров домена после восстановления. Это рекомендуемый подход при перестроении контроллера домена в существующем домене.
Для большинства сценариев, включая восстановление контроллера домена, необходимо выполнить неавторитативное восстановление.
Во время восстановления сервер запускается в режиме восстановления служб каталогов (DSRM). Необходимо указать пароль администратора для режима восстановления служб каталогов.
Примечание.
Если вы забыли пароль DSRM, сбросьте его.
Выберите среду контроллера домена для восстановления:
Сведения о восстановлении контроллера домена виртуальной машины Azure см. в разделе Восстановление виртуальных машин контроллера домена.
Если вы восстанавливаете одну виртуальную машину контроллера домена или несколько виртуальных машин контроллера домена в одном домене, восстановите их как любую другую виртуальную машину. Кроме того, доступен режим восстановления служб каталогов, следовательно, все сценарии восстановления Active Directory также являются приемлемыми.
Если необходимо восстановить виртуальную машину для одного контроллера домена в конфигурации с несколькими доменами, восстановите диски и создайте виртуальную машину с помощью PowerShell.
При восстановлении последнего оставшегося контроллера домена в домене или нескольких доменов в одном лесу рекомендуется восстановить лес.
Примечание.
Начиная с Windows 2012, виртуализированные контроллеры домена используют средства безопасности на основе виртуализации. С помощью этих средств безопасности служба Active Directory определяет, является ли восстановленная виртуальная машина контроллером домена, и выполняет необходимые действия для восстановления данных Active Directory.