Säkerhetskopiera och återställa Active Directory-domänkontrollanter
Att säkerhetskopiera Active Directory och säkerställa lyckade återställningar i händelse av skada, komprometterande eller haveri är en viktig del av Active Directory-underhåll.
Den här artikeln beskriver rätt procedurer för att säkerhetskopiera och återställa Active Directory-domänkontrollanter med Azure Backup, oavsett om de är virtuella Azure-datorer eller lokala servrar. Den diskuterar ett scenario där du behöver återställa en hel domänkontrollant till dess tillstånd vid tidpunkten för säkerhetskopieringen. Information om vilket återställningsscenario som passar dig finns i den här artikeln.
Kommentar
I den här artikeln beskrivs inte återställning av objekt från Microsoft Entra-ID. Information om hur du återställer Microsoft Entra-användare finns i den här artikeln.
Metodtips
Kontrollera att minst en domänkontrollant säkerhetskopieras. Om du säkerhetskopierar fler än en domänkontrollant kontrollerar du att alla som har FSMO-rollerna (flexibel enkel huvudåtgärd) säkerhetskopieras.
Säkerhetskopiera Active Directory ofta. Säkerhetskopieringsåldern bör aldrig vara äldre än tombstone-livslängden (TSL) eftersom objekt som är äldre än TSL:n är "tombstoned" och inte längre anses giltiga.
Standard-TSL för domäner som bygger på Windows Server 2003 SP2 och senare är 180 dagar.
Du kan verifiera den konfigurerade TSL:en med hjälp av följande PowerShell-skript:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Ha en tydlig plan för haveriberedskap som innehåller instruktioner för hur du återställer domänkontrollanterna. Om du vill förbereda för att återställa en Active Directory-skog läser du Återställningsguiden för Active Directory-skog.
Om du behöver återställa en domänkontrollant och har en återstående fungerande domänkontrollant i domänen kan du skapa en ny server i stället för att återställa från säkerhetskopian. Lägg till serverrollen Active Directory-domän Services till den nya servern så att den blir en domänkontrollant i den befintliga domänen. Sedan replikeras Active Directory-data till den nya servern. Om du vill ta bort den tidigare domänkontrollanten från Active Directory följer du stegen i den här artikeln för att utföra rensning av metadata.
Kommentar
Azure Backup inkluderar inte återställning på objektnivå för Active Directory. Om du vill återställa borttagna objekt och du har åtkomst till en domänkontrollant använder du Papperskorgen i Active Directory. Om den metoden inte är tillgänglig kan du använda säkerhetskopieringen av domänkontrollanten för att återställa borttagna objekt med verktyget ntdsutil.exe enligt beskrivningen här.
Information om hur du utför en auktoritativ återställning av SYSVOL finns i den här artikeln.
Säkerhetskopiera domänkontrollanter för virtuella Azure-datorer
Om domänkontrollanten är en virtuell Azure-dator kan du säkerhetskopiera servern med Azure VM Backup.
Läs mer om driftöverväganden för virtualiserade domänkontrollanter för att säkerställa lyckade säkerhetskopieringar (och framtida återställningar) av dina domänkontrollanter för virtuella Azure-datorer.
Säkerhetskopiera lokala domänkontrollanter
För att säkerhetskopiera en lokal domänkontrollant måste du säkerhetskopiera serverns systemtillståndsdata.
- Om du använder MARS följer du de här anvisningarna.
- Om du använder MABS (Azure Backup Server) följer du de här anvisningarna.
Kommentar
Det går inte att återställa lokala domänkontrollanter (antingen från systemtillstånd eller från virtuella datorer) till Azure-molnet. Om du vill använda alternativet redundans från en lokal Active Directory miljö till Azure kan du överväga att använda Azure Site Recovery.
Återställa Active Directory
Active Directory-data kan återställas i något av två lägen: auktoritativa eller icke-autentativa. I en auktoritativ återställning åsidosätter de återställde Active Directory-data data som finns på de andra domänkontrollanterna i skogen.
I det här scenariot återskapar vi dock en domänkontrollant i en befintlig domän, så en icke-autentativ återställning bör utföras.
Under återställningen startas servern i Återställningsläge för Katalogtjänster (DSRM). Du måste ange administratörslösenordet för återställningsläget för Katalogtjänster.
Kommentar
Om DSRM-lösenordet glöms bort kan du återställa det med hjälp av dessa instruktioner.
Återställa domänkontrollanter för virtuella Azure-datorer
Information om hur du återställer en domänkontrollant för virtuella Azure-datorer finns i Återställa virtuella domänkontrollantdatorer.
Om du återställer en virtuell dator med en enda domänkontrollant eller flera virtuella domänkontrollantdatorer i en enda domän återställer du dem som alla andra virtuella datorer. Återställningsläge för Katalogtjänster (DSRM) är också tillgängligt, så alla Active Directory-återställningsscenarier är livskraftiga.
Om du behöver återställa en virtuell dator med en enda domänkontrollant i en konfiguration med flera domäner återställer du diskarna och skapar en virtuell dator med hjälp av PowerShell.
Om du återställer den sista återstående domänkontrollanten i domänen eller återställer flera domäner i en skog rekommenderar vi en skogsåterställning.
Kommentar
Virtualiserade domänkontrollanter från Windows 2012 och senare använder virtualiseringsbaserade skydd. Med dessa skydd förstår Active Directory om den virtuella datorn som återställs är en domänkontrollant och utför de steg som krävs för att återställa Active Directory-data.
Återställa lokala domänkontrollanter
Om du vill återställa en lokal domänkontrollant följer du anvisningarna för att återställa systemtillståndet till Windows Server med hjälp av vägledningen för särskilda överväganden för återställning av systemtillstånd på en domänkontrollant.