Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du säkerhetskopierar och återställer Active Directory-domänkontrollanter med hjälp av Azure Backup, antingen körs på virtuella Azure-datorer eller lokala servrar. Du kan använda de rekommenderade procedurerna för att skydda din Active Directory-miljö och återställa domänkontrollanter vid skada, intrång eller haveri. Information om hur du väljer rätt återställningsscenario för dina behov finns i Active Directory Forest Recovery Guide.
Kommentar
I den här artikeln diskuteras inte återställning av objekt från Microsoft Entra-ID. Information om hur du återställer Microsoft Entra-användare finns i den här artikeln.
Bästa praxis
Kontrollera följande metodtips innan du börjar skydda Active Directory:
Kontrollera att minst en domänkontrollant säkerhetskopieras. Om du säkerhetskopierar fler än en domänkontrollant kontrollerar du att alla som har FSMO-rollerna (flexibel enkel huvudåtgärd) säkerhetskopieras.
Säkerhetskopiera Active Directory ofta. Säkerhetskopieringsåldern får inte vara äldre än tombstone-livslängden (TSL) eftersom objekt som är äldre än TSL:n är gravstenade och inte längre anses giltiga.
Standard-TSL för domäner som bygger på Windows Server 2003 SP2 och senare är 180 dagar.
Du kan verifiera den konfigurerade TSL:en med hjälp av följande PowerShell-skript:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Ha en tydlig plan för haveriberedskap som innehåller instruktioner för hur du återställer domänkontrollanterna. Om du vill förbereda för att återställa en Active Directory-skog läser du Återställningsguiden för Active Directory-skog.
Om du behöver återställa en domänkontrollant och har en återstående fungerande domänkontrollant i domänen kan du skapa en ny server i stället för att återställa från säkerhetskopian. Lägg till serverrollen Active Directory-domän Services till den nya servern så att den blir en domänkontrollant i den befintliga domänen. Sedan replikeras Active Directory-data till den nya servern. Om du vill ta bort den tidigare domänkontrollanten från Active Directory följer du stegen i den här artikeln för att utföra rensning av metadata.
Kommentar
Azure Backup inkluderar inte återställning på objektnivå för Active Directory. Om du vill återställa borttagna objekt och du har åtkomst till en domänkontrollant använder du Papperskorgen i Active Directory. Om den metoden inte är tillgänglig kan du använda säkerhetskopieringen av domänkontrollanten för att återställa de borttagna objekten med verktygetntdsutil.exe enligt beskrivningen här.
Information om hur du utför en auktoritativ återställning av SYSVOL finns i den här artikeln.
Säkerhetskopiera domänkontrollanter
Du kan säkerhetskopiera domänkontrollanter med hjälp av Azure Backup. Med den här åtgärden kan du skydda din Active Directory-miljö och se till att du kan återställa från eventuella problem.
Välj en domänkontrollantmiljö:
Om domänkontrollanten är en virtuell Azure-dator kan du säkerhetskopiera servern med Azure VM Backup.
Läs mer om driftöverväganden för virtualiserade domänkontrollanter för att säkerställa lyckade säkerhetskopieringar (och framtida återställningar) av dina domänkontrollanter för virtuella Azure-datorer.
Återställa Active Directory
När du återställer Active Directory-data kan du välja något av följande lägen:
- Auktoritativ återställning: Återställde data ersätter data på alla andra domänkontrollanter i skogen. Använd det här läget om du behöver återställa borttagna objekt och se till att de replikeras i din miljö.
- Nonauthoritativ återställning: Den återställde domänkontrollanten tar emot uppdateringar från andra domänkontrollanter efter återställningen. Detta är den rekommenderade metoden när du återskapar en domänkontrollant i en befintlig domän.
I de flesta scenarier, inklusive återskapande av en domänkontrollant, bör du utföra en icke-auktoritativ återställning.
Under återställningen startas servern i DSRM (Directory Services Restore Mode). Du måste ange administratörslösenordet för återställningsläget för Katalogtjänster.
Kommentar
Om du glömmer DSRM-lösenordet återställer du det.
Välj en domänkontrollantmiljö för återställning:
Information om hur du återställer en domänkontrollant för virtuella Azure-datorer finns i Återställa virtuella domänkontrollantdatorer.
Om du återställer en virtuell dator med en enda domänkontrollant eller flera virtuella domänkontrollantdatorer i en enda domän återställer du dem som alla andra virtuella datorer. Återställningsläge för Katalogtjänster (DSRM) är också tillgängligt, så alla Active Directory-återställningsscenarier är livskraftiga.
Om du behöver återställa en virtuell dator med en enda domänkontrollant i en konfiguration med flera domäner återställer du diskarna och skapar en virtuell dator med hjälp av PowerShell.
Om du återställer den sista återstående domänkontrollanten i domänen eller återställer flera domäner i en skog rekommenderar vi en skogsåterställning.
Kommentar
Virtualiserade domänkontrollanter från Windows 2012 och senare använder virtualiseringsbaserade skydd. Med dessa skydd förstår Active Directory om den virtuella datorn som återställs är en domänkontrollant och utför de steg som krävs för att återställa Active Directory-data.