本文說明如何使用 Azure 備份備份和還原 Active Directory 網域控制站,無論是在 Azure 虛擬機器 (VM) 或內部部署伺服器上執行。 您可以使用建議的程式來保護 Active Directory 環境,並在損毀、入侵或災難期間復原網域控制站。 如需選擇符合您需求的正確還原案例的指引,請參閱 Active Directory 樹系復原指南。
注意
本文不會討論從 Microsoft Entra ID 還原專案。 如需還原 Microsoft Entra 使用者的相關資訊,請參閱這篇文章。
最佳作法
開始保護 Active Directory 之前,請先檢查下列最佳做法:
請確定至少有一個網域控制站已備份。
經常備份 Active Directory。 備份存留期不得早於改存存留期 (TSL),因為早於 TSL 的物件會 被改寫 ,且不再被視為有效。
針對 Windows Server 2003 SP2 和更新版本上建置的網域,預設 TSL 是 180 天。
您可以使用下列 PowerShell 指令碼來驗證已設定的 TSL:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
具有明確的災害復原計劃,其中包含如何還原網域控制站的指示。 若要準備還原 Active Directory 樹系,請閱讀 Active Directory 樹系復原指南。
如果您需要還原網域控制站,並在網域中仍有運作中的網域控制站,則可以建立新的伺服器,而不是從備份中還原。 將 Active Directory Domain Services 伺服器角色新增至新的伺服器,使其成為現有網域中的網域控制站。 然後,Active Directory 資料會複寫到新伺服器。 若要從 Active Directory 移除先前的網域控制站,請遵循此文章中的步驟來執行中繼資料清除。
注意
Azure 備份不包含 Active Directory 的專案層級還原。 如果您想要還原已刪除的物件,而且可以存取網域控制站,請使用 Active Directory 資源回收筒。 如果該方法無法使用,您可以使用網域控制站備份,透過 ntdsutil.exe 工具還原已刪除的物件,如此 處所述。
如需執行 SYSVOL 授權還原的相關資訊,請參閱這篇文章。
備份網域控制站
您可以使用 Azure 備份備份備份網域控制站。 此操作可讓您保護 Active Directory 環境,並確保您可以從任何潛在問題中復原。
選擇網域控制站環境:
如果網域控制站是 Azure VM,您可以使用 Azure VM 備份來備份伺服器。
請閱讀虛擬化網域控制站的操作考量,以確保成功備份 (和未來還原) 您的 Azure VM 網域控制站。
還原 Active Directory
還原 Active Directory 資料時,您可以選擇下列其中一種模式:
- 授權還原:還原的資料會取代樹系中所有其他網域控制站上的資料。 如果您需要復原已刪除的物件,並確保它們在整個環境中複寫,請使用此模式。
- 非授權還原:還原的網域控制站會在復原之後從其他網域控制站接收更新。 這是在現有網域中重建網域控制站時的建議方法。
針對大部分的案例,包括重建網域控制站,您應該執行 非授權還原。
在還原期間,伺服器會以目錄服務還原模式 (DSRM) 啟動。 您需要提供目錄服務還原模式的管理員密碼。
注意
如果您忘記了 DSRM 密碼,請 重設密碼。
選擇要還原的網域控制站環境:
若要還原 Azure VM 網域控制站,請參閱還原網域控制站 VM。
如果您要在單一網域中還原單一網域控制站 VM 或多個網域控制站 VM,請像任何其他 VM 一樣還原它們。 我們也提供了目錄服務還原模式 (DSRM),因此,您可以進行所有的 Active Directory 復原案例。
如果您需要在多重網域設定中還原單一網域控制站 VM,請使用 PowerShell 來還原磁碟並建立 VM。
如果您要還原網域中最後一個剩餘的網域控制站,或還原某個樹系中的多個網域,則建議使用樹系復原。
注意
來自 Windows 2012 之後的虛擬化網域控制站會使用虛擬化型保護。 使用這些保護,Active directory 可了解已還原的 VM 是否為網域控制站,並執行還原 Active Directory 資料所需的步驟。