Active Directory etki alanı denetleyicilerini yedekleme ve geri yükleme
Active Directory'yi yedeklemek ve bozulma, güvenlik aşılması veya olağanüstü durumlara karşı başarılı geri yüklemelerin sağlanması Active Directory bakımının kritik bir parçasıdır.
Bu makalede, Ister Azure sanal makineleri ister şirket içi sunucular olsun, Azure Backup ile Active Directory etki alanı denetleyicilerini yedeklemeye ve geri yüklemeye yönelik uygun yordamlar özetlenmiştir. Bir etki alanı denetleyicisinin tamamını yedekleme sırasındaki durumuna geri yüklemeniz gereken bir senaryo ele alınmaktadır. Hangi geri yükleme senaryolarının sizin için uygun olduğunu görmek için bu makaleye bakın.
Not
Bu makalede, Microsoft Entra Id'den öğelerin geri yüklenmesi ele alınmaz. Microsoft Entra kullanıcılarını geri yükleme hakkında bilgi için bu makaleye bakın.
En iyi yöntemler
Active Directory'nin korunmasına başlamadan önce aşağıdaki en iyi yöntemleri denetleyin:
En az bir etki alanı denetleyicisinin yedeklendiğinden emin olun. Birden fazla etki alanı denetleyicisini yedeklerseniz, FSMO (Esnek Tek Ana İşlem) rollerini tutanların tümünün yedeklenmiş olduğundan emin olun.
Active Directory'i sık sık yedekleyin. TSL'den daha eski nesneler "kaldırıldı olarak İşaretlenir" ve artık geçerli kabul edilmeyeceği için yedekleme yaşı hiçbir zaman kaldırıldı işareti ömründen (TSL) daha eski olmamalıdır.
Windows Server 2003 SP2 ve üzeri üzerinde oluşturulan etki alanları için varsayılan TSL 180 gündür.
Aşağıdaki PowerShell betiğini kullanarak yapılandırılan TSL'yi doğrulayabilirsiniz:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Etki alanı denetleyicilerinizi geri yükleme yönergelerini içeren net bir olağanüstü durum kurtarma planına sahip olun. Active Directory ormanını geri yüklemeye hazırlanmak için Active Directory Orman Kurtarma Kılavuzu'nu okuyun.
Bir etki alanı denetleyicisini geri yüklemeniz gerekiyorsa ve etki alanında kalan bir işlevli etki alanı denetleyicisi varsa, yedeklemeden geri yüklemek yerine yeni bir sunucu oluşturabilirsiniz. Active Directory Etki Alanı Services sunucu rolünü yeni sunucuya ekleyerek mevcut etki alanında bir etki alanı denetleyicisi haline getirin. Ardından Active Directory verileri yeni sunucuya çoğaltılır. Önceki etki alanı denetleyicisini Active Directory'den kaldırmak için bu makaledeki adımları izleyerek meta veri temizleme işlemini gerçekleştirin.
Not
Azure Backup, Active Directory için öğe düzeyinde geri yükleme içermez. Silinen nesneleri geri yüklemek istiyorsanız ve bir etki alanı denetleyicisine erişebilirseniz, Active Directory Geri Dönüşüm Kutusu'nu kullanın. Bu yöntem kullanılamıyorsa, burada açıklandığı gibi silinmiş nesneleri ntdsutil.exe aracıyla geri yüklemek için etki alanı denetleyicisi yedeklemenizi kullanabilirsiniz.
SYSVOL'ün yetkili geri yüklemesini gerçekleştirme hakkında bilgi için bu makaleye bakın.
Azure VM etki alanı denetleyicilerini yedekleme
Etki alanı denetleyicisi bir Azure VM ise, Azure VM Backup'ı kullanarak sunucuyu yedekleyebilirsiniz.
Azure VM etki alanı denetleyicilerinizin başarılı yedeklemelerini (ve gelecekteki geri yüklemeleri) sağlamak için sanallaştırılmış etki alanı denetleyicileriyle ilgili operasyonel konular hakkında bilgi edinin.
Şirket içi etki alanı denetleyicilerini yedekleme
Şirket içi etki alanı denetleyicisini yedeklemek için sunucunun Sistem Durumu verilerini yedeklemeniz gerekir.
- MARS kullanıyorsanız bu yönergeleri izleyin.
- MABS (Azure Backup Sunucusu) kullanıyorsanız bu yönergeleri izleyin.
Not
Şirket içi etki alanı denetleyicilerinin (sistem durumundan veya VM'lerden) Azure buluta geri yüklenmesi desteklenmez. şirket içi Active Directory bir ortamdan Azure'a yük devretme seçeneğini kullanmak istiyorsanız Azure Site Recovery'yi kullanmayı göz önünde bulundurun.
Active Directory'yi geri yükleme
Active Directory verileri iki moddan birinde geri yüklenebilir: yetkili veya yetkisiz. Yetkili geri yüklemede, geri yüklenen Active Directory verileri ormandaki diğer etki alanı denetleyicilerinde bulunan verileri geçersiz kılar.
Ancak bu senaryoda, mevcut bir etki alanındaki bir etki alanı denetleyicisini yeniden derlediğimiz için yetkisiz geri yükleme gerçekleştirilmelidir.
Geri yükleme sırasında sunucu Dizin Hizmetleri Geri Yükleme Modu'nda (DSRM) başlatılır. Dizin Hizmetleri Geri Yükleme Modu için Yönetici parolasını sağlamanız gerekir.
Not
DSRM parolası unutulursa, bu yönergeleri kullanarak parolayı sıfırlayabilirsiniz.
Azure VM etki alanı denetleyicilerini geri yükleme
Azure VM etki alanı denetleyicisini geri yüklemek için bkz . Etki alanı denetleyicisi VM'lerini geri yükleme.
Tek bir etki alanı denetleyicisi VM'sini veya tek bir etki alanındaki birden çok etki alanı denetleyicisi VM'sini geri yüklüyorsanız, bunları diğer VM'ler gibi geri yükleyin. Dizin Hizmetleri Geri Yükleme Modu (DSRM) de kullanılabilir, bu nedenle tüm Active Directory kurtarma senaryoları uygulanabilir.
Birden çok etki alanı yapılandırmasında tek bir etki alanı denetleyicisi VM'sini geri yüklemeniz gerekiyorsa, diskleri geri yükleyin ve PowerShell kullanarak bir VM oluşturun.
Etki alanında kalan son etki alanı denetleyicisini geri yüklüyorsanız veya bir ormandaki birden çok etki alanını geri yüklüyorsanız, bir orman kurtarması öneririz.
Not
Windows 2012'den itibaren sanallaştırılmış etki alanı denetleyicileri, sanallaştırma tabanlı korumaları kullanır. Bu korumalarla, Active Directory geri yüklenen VM'nin bir etki alanı denetleyicisi olup olmadığını anlar ve Active Directory verilerini geri yüklemek için gerekli adımları gerçekleştirir.
Şirket içi etki alanı denetleyicilerini geri yükleme
Şirket içi etki alanı denetleyicisini geri yüklemek için, etki alanı denetleyicisinde sistem durumu kurtarma konusunda dikkat edilmesi gereken özel noktalara yönelik yönergeleri kullanarak sistem durumunu Windows Server'a geri yükleme yönergelerini izleyin.