備份和還原 Active Directory 網域控制站

  • 發行項

備份 Active Directory,並確保在發生損毀、洩露或災害的情況下成功還原,是 Active Directory 維護的重要部分。

本文概述使用 Azure 備份來備份和還原 Active Directory 網域控制站的適當流程,無論他們是 Azure 虛擬機器還是內部部署伺服器。 也會討論您需要在備份時將整個網域控制站還原至其狀態的案例。 若要查看哪一個還原案例適合您,請參閱此文章

注意

本文不會討論如何從 Microsoft Entra ID 還原項目。 如需還原 Microsoft Entra 使用者的相關資訊,請參閱這篇文章

最佳作法

  • 請確定至少有一個網域控制站已備份。 如果您備份多個網域控制站,請確定所有擁有 FSMO (彈性單一主機操作) 角色的網域控制站都已備份。

  • 經常備份 Active Directory。 備份存留期應該永不超過標記存留期 (TSL),因為早於 TSL 的物件將會加以「標記」,且不再視為有效。

    • 針對 Windows Server 2003 SP2 和更新版本上建置的網域,預設 TSL 是 180 天。

    • 您可以使用下列 PowerShell 指令碼來驗證已設定的 TSL:

      (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime

  • 具有明確的災害復原計劃,其中包含如何還原網域控制站的指示。 若要準備還原 Active Directory 樹系,請閱讀 Active Directory 樹系復原指南

  • 如果您需要還原網域控制站,並在網域中仍有運作中的網域控制站,則可以建立新的伺服器,而不是從備份中還原。 將 Active Directory Domain Services 伺服器角色新增至新的伺服器,使其成為現有網域中的網域控制站。 然後 Active Directory 資料會複寫到新的伺服器。 若要從 Active Directory 移除先前的網域控制站,請遵循此文章中的步驟來執行中繼資料清除。

注意

Azure 備份不包含 Active Directory 的項目層級還原。 如果您想要還原已刪除的物件,而且可以存取網域控制站,請使用 Active Directory 資源回收筒。 如果無法使用該方法,您可以使用網域控制站備份搭配 ntdsutil.exe 工具,來還原已刪除的物件,如這裡所述。

如需執行 SYSVOL 授權還原的相關資訊,請參閱這篇文章

備份 Azure VM 網域控制站

如果網域控制站是 Azure VM,您可以使用 Azure VM 備份來備份伺服器。

請閱讀虛擬化網域控制站的操作考量,以確保成功備份 (和未來還原) 您的 Azure VM 網域控制站。

備份內部部署網域控制站

若要備份內部部署網域控制站,您需要備份伺服器的系統狀態資料。

  • 如果您使用 MARS,請依照這些指示進行。
  • 如果您使用 MABS (Azure 備份伺服器),請遵循這些指示

注意

不支援將內部部署網域控制站 (從系統狀態或從 VM) 還原至 Azure 雲端。 如果您喜歡從內部部署 Active Directory 環境容錯移轉至 Azure 的選項,請考慮使用 Azure Site Recovery

還原 Active Directory

您可以使用下列兩種模式之一來還原 Active Directory 資料:授權非授權。 在授權還原中,還原的 Active Directory 資料將會覆寫在樹系中其他網域控制站上找到的資料。

不過,在此案例中,我們正在重建現有網域中的網域控制站,因此應該執行非授權還原。

在還原期間,伺服器將會以目錄服務還原模式 (DSRM) 啟動。 您將必須為目錄服務還原模式提供管理員密碼。

注意

如果忘記 DSRM 密碼,您可以使用這些指示來重設該密碼。

還原 Azure VM 網域控制站

若要還原 Azure VM 網域控制站,請參閱還原網域控制站 VM

如果您要在單一網域中還原單一網域控制站 VM 或多個網域控制站 VM,請像任何其他 VM 一樣還原它們。 我們也提供了目錄服務還原模式 (DSRM),因此,您可以進行所有的 Active Directory 復原案例。

如果您需要在多重網域設定中還原單一網域控制站 VM,請使用 PowerShell 來還原磁碟並建立 VM。

如果您要還原網域中最後一個剩餘的網域控制站,或還原某個樹系中的多個網域,則建議使用樹系復原

注意

來自 Windows 2012 之後的虛擬化網域控制站會使用虛擬化型保護。 使用這些保護,Active directory 可了解已還原的 VM 是否為網域控制站,並執行還原 Active Directory 資料所需的步驟。

還原內部部署網域控制站

若要還原內部部署網域控制站,請遵循還原系統狀態至 Windows Server 中的指示,使用網域控制站上系統狀態復原的特殊考量的指引。

下一步