活动目录备份策略和工具（最佳实践）

教程

活动目录备份策略和工具（最佳实践）。活动目录作为企业IT基础设施的基石，是一个强大的LDAP解决方案，支撑着诸如身份验证和 DNS等关键服务。这些服务的无缝运行对业务连续性至关重要，使活动目录的可靠性成为IT服务交付的关键方面。为确保其不间断的功能，组织必须建立全面的备份和灾难恢复策略，并选择适当的工具。

本文深入探讨了活动目录备份和恢复的关键组成部分。从理解需要备份的内容到选择合适的工具和实施测试策略，我们探讨了保护这一关键服务的基本方面。

还阅读活动目录林 vs 域 – 有何区别？

活动目录备份策略

活动目录中需要备份的内容

首先要确定应该备份的内容。在您只有一个域控制器的情况下（不建议），您应执行完整的服务器备份。以确保在需要时可以执行裸金属恢复。

如果有多个域控制器，请考虑以下事项：

系统状态备份（关键系统组件，如注册表、SYSVOL目录和活动目录数据库）就足够了。
每个物理站点只需备份一台服务器就足够了，因为它们在复制，并且都有相同的信息。
在多域环境中，请至少备份每个域中的一个域控制器。

例如，在下图中，有一个包含两个物理站点和两个域 – 根域 domain.local 和子域 child.domain.local 的活动目录基础设施。

这里我们备份三个域控制器 – 两个来自 domain.local，因为它位于两个站点，并且一个来自 child.domain.local。

备份频率应该是多久一次？

这个决定取决于您的恢复点目标。如果可以容忍丢失对域控制器所写更改的一天，那么每日备份就可以很好地工作。还需要确定所需的备份类型。多久做一次完整备份和增量备份？还需要差异备份吗？最流行的方法是每周进行完整备份和每天进行增量备份。

还可阅读尝试 InfraSOS 活动目录报告工具

考虑的活动目录备份工具

通常，多台服务器之间的系统复制，例如Active Directory，并不支持时间旅行。这意味着，当域控制器的虚拟机故障时，您不能简单地从快照中恢复它并放回生产环境。每个域控制器都有更新序列号（USN），每次将新的更改操作写入数据库时，它都会增加。例如，如果您有几个域控制器，其中一个失败了，您使用简单的快照恢复它。它的USN是不正确的（过时的，等于快照被拍摄时的USN值），复制已经中断（更详细的示例可以在这里找到）。此外，AD数据库中的每个对象都有自己的版本，在备份/还原操作中也应该考虑到这一点。因此，只有执行一致性还原的工具才应该用于备份Active Directory。幸运的是，有可用的工具，既内置于Windows Server中，也由第三方供应商提供。

请考虑以下内容：

所需选项-例如，如果您的企业政策要求进行完整和增量备份，请选择执行Active Directory增量备份的工具。
目标备份存储-如果您想使用磁带存储来存储备份，您需要购买第三方解决方案，因为Windows Server Backup内置的不支持写入磁带。
恢复频率 – 为了定期从活动目录中恢复已删除的对象，请选择允许恢复单个对象而无需恢复整个数据库的工具。许多企业级第三方备份系统可以在几次点击中恢复单个对象，例如，这个和那个
预算 – 应始终考虑到预算。如果您的公司没有第三方工具的资金，内置在操作系统中的Windows Server备份可以满足基本需求。

还阅读如何将域控制器添加到现有域

活动目录恢复流程测试

备份的黄金法则是始终测试恢复过程。系统工程师认为他们的备份一切正常，仅因为备份工具没有出错，这种情况非常常见。然而，当真正的灾难发生时，备份副本发现不一致，无法进行恢复。为了避免这种情况，至少每年都要测试恢复过程。良好的做法包括：

创建一个完整记录的恢复过程计划。拥有一个测试基础设施，以进行定期的恢复测试。
在拥有一个测试基础设施的情况下，您可以执行定期的恢复测试。
保持所有域控制器的目录服务恢复模式（DSRM）管理员密码安全并可用。
使用不同的场景进行定期的恢复测试。

如果您没有DSRM管理员密码，最好使用NTDSutil工具进行重置，如此处所述此处，并确保将其存储在安全的地方，以备灾难发生时使用。

还要阅读 DCDiag：如何使用Powershell检查域控制器健康状况

Active Directory恢复场景

场景1. 唯一域控制器故障

如果您只有一个域控制器，在其故障的情况下，请考虑以下事项：

需要裸金属恢复。
预计服务中断 – 与其他场景不同，尽快恢复服务器以最小化影响。
预计数据丢失 – 自上次备份以来对AD对象所做的所有更改都将丢失。

确保频繁进行备份（以减少数据丢失），并且不要有太多的增量备份（增量备份越多，恢复过程就越长）。常见的做法是每晚进行备份，至少每周进行完整备份。

在可能的情况下应避免这种情况，因为Active Directory是为高可用性而构建的，设计用于多服务器基础架构。

情景2. 多服务器基础架构中域控制器的故障

在有多个域控制器的情况下，如果其中一个失败，就无需从备份中进行恢复。更有效的方法是从目录中删除失败的服务器及其元数据，并部署一个具有相同名称和IP地址的新服务器。高级恢复过程如下：

检查失败的服务器是否拥有任何柔性单主操作（FSMO）角色。如果有，使用NTDSutil工具或PowerShell将角色转移到另一个控制器，如本文中所述
删除失败的服务器并清理其元数据（详细过程在这里描述）。
部署一个与失败域控制器同名和 IP 地址的新虚拟机。强烈建议不要更改名称和地址，因为域控制器通常用作 DNS 服务器，其他机器可能在网络接口卡配置中有失败域控制器的 IP 地址作为主 DNS 服务器。
提升新服务器成域控制器角色。

另外阅读从活动目录中删除（降级）域控制器（指南）

方案 3。Active Directory 中对象硬删除的恢复

如果某个对象，例如用户， accidentally 从目录中删除，请从备份中恢复它。如果使用第三方工具进行备份，请按照供应商的说明操作。如果使用 Windows Server Backup 进行 Active Directory 的备份，请使用以下高级还原过程：

使用备份创建恢复域控制器。
使用 DSRM 管理员密码登录恢复域控制器。
使用 NTDSutil 工具执行对象的授权还原。还原的对象状态被视为 AD 重新复制的最具aktuell状态，并复制到所有其他域控制器。
使用 Ldifde 工具来恢复对象的组成员资格。

更详细的描述请参阅 this article。

另请阅读 Top 5 Active Directory Powershell Scripts for Active Directory (Users / Groups)

Active Directory 备份策略和工具（最佳实践）结论

本文描述了 Active Directory 备份和恢复的基本要素，强调了明确定义策略的重要性。

关键要点包括需要确定备份什么、备份频率以及根据您组织的独特需求和预算选择使用哪些工具。测试策略和最佳实践也被强调，以确保可靠的恢复过程。

我们已经研究了各种情况，从单个域控制器的故障到在Active Directory中恢复被硬删除的对象。在下一篇文章中，我们将探讨更复杂的灾难恢复方案，为组织提供全面指南，以保护其Active Directory基础设施。敬请关注下一篇文章，我们将更深入地探讨如何保护企业IT的这一关键组件。

Source:
https://infrasos.com/active-directory-backup-strategies-and-tools/