本文介绍如何使用 Azure 备份(在 Azure 虚拟机(VM)或本地服务器上运行的 Azure 备份和还原 Active Directory 域控制器。 可以使用建议的过程来保护 Active Directory 环境,并在损坏、泄露或灾难期间恢复域控制器。 有关根据需要选择合适的还原方案的指导,请参阅 Active Directory 林恢复指南。
注意
本文不讨论从 Microsoft Entra ID 还原项。 有关还原 Microsoft Entra 用户的信息,请参阅此文。
最佳做法
在开始对 Active Directory 提供保护之前,请检查以下最佳做法:
请确保至少备份一个域控制器。 若要备份多个域控制器,请确保备份具有 FSMO(灵活单主机操作)角色的所有域控制器。
经常备份 Active Directory。 备份期限不得早于逻辑删除生存期(TSL),因为早于 TSL 的对象被 逻辑删除 ,不再被视为有效。
对于在 Windows Server 2003 SP2 及更高版本上生成的域,默认 TSL 为 180 天。
你可以使用以下 PowerShell 脚本来验证配置的 TSL:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
有一个明确的灾难恢复计划,其中包含有关如何还原域控制器的说明。 若要准备还原 Active Directory 林,请阅读 Active Directory 林恢复指南。
如果需要还原域控制器,并且域中有另一个正常运行的域控制器,则可创建新服务器,而不是从备份还原。 将“Active Directory 域服务”服务器角色添加到新服务器,使其成为现有域中的域控制器。 然后,Active Directory 数据将复制到新服务器。 若要从 Active Directory 删除以前的域控制器,请按照本文中的步骤执行元数据清理。
注意
Azure 备份不包括 Active Directory 的项级还原。 如果要还原已删除的对象并且你可访问域控制器,请使用 Active Directory 回收站。 如果此方法不可用,可以使用域控制器备份通过 ntdsutil.exe 工具还原已删除的对象,如 此处所述。
有关执行 SYSVOL 的权威还原的信息,请参阅本文。
备份域控制器
可以使用 Azure 备份备份域控制器。 此作允许保护 Active Directory 环境,并确保可以从任何潜在问题中恢复。
选择域控制器环境:
如果域控制器是 Azure VM,则可使用 Azure VM 备份来备份服务器。
阅读虚拟化域控制器的操作注意事项,确保 Azure VM 域控制器备份(以及将来的还原)成功。
还原 Active Directory
还原 Active Directory 数据时,可以选择以下模式之一:
- 权威还原:还原的数据将替换林中所有其他域控制器上的数据。 如果需要恢复已删除的对象并确保它们在整个环境中复制,请使用此模式。
- 非授权还原:还原的域控制器在恢复后从其他域控制器接收更新。 这是在现有域中重新生成域控制器时建议的方法。
对于大多数方案(包括重新生成域控制器)应执行 非授权还原。
在还原期间,服务器在目录服务还原模式(DSRM)中启动。 需要为目录服务还原模式提供管理员密码。
注意
如果忘记了 DSRM 密码, 请重置它。
选择用于还原的域控制器环境:
若要还原 Azure VM 域控制器,请参阅还原域控制器 VM。
如果要还原单个域控制器 VM 或单个域中的多个域控制器 VM,请像还原任何其他 VM 一样还原它们。 还可使用目录服务还原模式 (DSRM),因此所有 Active Directory 恢复方案都是可行的。
如果需要还原多域配置中的单个域控制器 VM,请还原磁盘并使用 PowerShell 创建 VM。
如果要还原域中剩余的最后一个域控制器,或还原一个林中的多个域,建议使用林恢复。
注意
Windows 2012 及更高版本中的虚拟化域控制器使用基于虚拟化的安全措施。 利用这些安全措施,Active Directory 可了解还原的 VM 是否为域控制器,并执行必要的步骤来还原 Active Directory 数据。