Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób tworzenia kopii zapasowych i przywracania kontrolerów domeny usługi Active Directory przy użyciu usługi Azure Backup działającej na maszynach wirtualnych platformy Azure lub na serwerach lokalnych. Zalecane procedury umożliwiają ochronę środowiska usługi Active Directory i odzyskiwanie kontrolerów domeny podczas uszkodzenia, naruszenia zabezpieczeń lub awarii. Aby uzyskać wskazówki dotyczące wybierania odpowiedniego scenariusza przywracania dla Twoich potrzeb, odwiedź Przewodnik odzyskiwania lasu Active Directory.
Uwaga
W tym artykule nie omówiono przywracania elementów z identyfikatora Entra firmy Microsoft. Aby uzyskać informacje na temat przywracania użytkowników usługi Microsoft Entra, zobacz ten artykuł.
Najlepsze rozwiązania
Przed rozpoczęciem ochrony usługi Active Directory sprawdź następujące najlepsze rozwiązania:
Upewnij się, że utworzono kopię zapasową co najmniej jednego kontrolera domeny.
Często należy utworzyć kopię zapasową usługi Active Directory. Wiek kopii zapasowej nie może być starszy niż okres istnienia obiektu usuniętego (TSL), ponieważ obiekty starsze niż TSL są oznaczane jako usunięte i nie są już uznawane za prawidłowe.
Domyślny TSL dla domen opartych na systemie Windows Server 2003 z dodatkiem SP2 lub nowszym wynosi 180 dni.
Skonfigurowany protokół TSL można sprawdzić przy użyciu następującego skryptu programu PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Masz jasny plan odzyskiwania po awarii, który zawiera instrukcje dotyczące przywracania kontrolerów domeny. Aby przygotować się do przywrócenia lasu usługi Active Directory, przeczytaj Przewodnik odzyskiwania lasu usługi Active Directory.
Jeśli musisz przywrócić kontroler domeny i mieć pozostały działający kontroler domeny w domenie, możesz utworzyć nowy serwer zamiast przywracać z kopii zapasowej. Dodaj rolę serwera usług domena usługi Active Directory do nowego serwera, aby był kontrolerem domeny w istniejącej domenie. Następnie dane usługi Active Directory są replikowane na nowy serwer. Aby usunąć poprzedni kontroler domeny z usługi Active Directory, wykonaj kroki opisane w tym artykule , aby wykonać oczyszczanie metadanych.
Uwaga
Usługa Azure Backup nie obejmuje przywracania na poziomie elementu dla usługi Active Directory. Jeśli chcesz przywrócić usunięte obiekty i możesz uzyskać dostęp do kontrolera domeny, użyj Kosza usługi Active Directory. Jeśli ta metoda nie jest dostępna, możesz użyć kopii zapasowej kontrolera domeny, aby przywrócić usunięte obiekty za pomocą narzędzia ntdsutil.exe , jak wyjaśniono tutaj.
Aby uzyskać informacje o wykonywaniu autorytatywnego przywracania folderu SYSVOL, zobacz ten artykuł.
Tworzenie kopii zapasowych kontrolerów domeny
Możesz utworzyć kopię zapasową kontrolerów domeny przy użyciu usługi Azure Backup. Ta operacja umożliwia ochronę środowiska usługi Active Directory i zapewnienie możliwości odzyskania sprawności po ewentualnych problemach.
Wybierz środowisko kontrolera domeny:
Jeśli kontroler domeny jest maszyną wirtualną platformy Azure, możesz utworzyć kopię zapasową serwera przy użyciu usługi Azure VM Backup.
Przeczytaj o zagadnieniach operacyjnych dotyczących zwirtualizowanych kontrolerów domeny w celu zapewnienia pomyślnych kopii zapasowych (i przyszłych przywracania) kontrolerów domeny maszyny wirtualnej platformy Azure.
Przywracanie usługi Active Directory
Podczas przywracania danych usługi Active Directory można wybrać jeden z następujących trybów:
- Przywracanie autorytatywne: przywrócone dane zastępują dane na wszystkich innych kontrolerach domeny w lesie. Użyj tego trybu, jeśli chcesz odzyskać usunięte obiekty i upewnić się, że są one replikowane w całym środowisku.
- Przywracanie nieautorytatywne: przywrócony kontroler domeny odbiera aktualizacje z innych kontrolerów domeny po odzyskiwaniu. Jest to zalecane podejście podczas ponownego kompilowania kontrolera domeny w istniejącej domenie.
W przypadku większości scenariuszy, w tym odtwarzania kontrolera domeny, należy wykonać przywracanie nieautoryzowane.
Podczas przywracania serwer jest uruchamiany w trybie przywracania usług katalogowych (DSRM). Musisz podać hasło administratora dla trybu przywracania usług katalogowych.
Uwaga
Jeśli zapomnisz hasło modułu DSRM, zresetuj je.
Wybierz środowisko kontrolera domeny do przywrócenia:
Aby przywrócić kontroler domeny maszyny wirtualnej platformy Azure, zobacz Przywracanie maszyn wirtualnych kontrolera domeny.
Jeśli przywracasz jedną maszynę wirtualną kontrolera domeny lub wiele maszyn wirtualnych kontrolera domeny w jednej domenie, przywróć je tak jak każda inna maszyna wirtualna. Dostępny jest również tryb przywracania usług katalogowych (DSRM), więc wszystkie scenariusze odzyskiwania usługi Active Directory są realne.
Jeśli musisz przywrócić pojedynczą maszynę wirtualną kontrolera domeny w konfiguracji wielu domen, przywróć dyski i utwórz maszynę wirtualną przy użyciu programu PowerShell.
Jeśli przywracasz ostatni pozostały kontroler domeny w domenie lub przywracasz wiele domen w jednym lesie, zalecamy odzyskiwanie lasu.
Uwaga
Zwirtualizowane kontrolery domeny z systemu Windows 2012 korzystają z zabezpieczeń opartych na wirtualizacji. Dzięki tym zabezpieczeniom usługa Active Directory rozumie, czy przywrócona maszyna wirtualna jest kontrolerem domeny i wykonuje niezbędne kroki w celu przywrócenia danych usługi Active Directory.