用于灾难恢复的 Active Directory 备份技巧 - Microsoft 平台管理 - 博客 - Quest Community

选择正确的 Active Directory 备份方法对于成功的灾难恢复计划至关重要。备份 Active Directory 的主要方法有以下三种：

• Active Directory 备份 - Active Directory 备份是 Active Directory 恢复各个级别的恢复的基石，从不正确删除或修改的特定对象或属性的精细恢复，到恢复单个域控制器（ DC）遭受损坏，以在真正的灾难恢复场景中恢复林中的所有 DC。
• 裸机恢复 (BMR) 备份 - 裸机恢复使您能够将 Active Directory 林恢复到不同的硬件实例，以防所有域控制器、域数据或服务由于勒索软件或其他灾难而发生物理损坏。
• Azure AD 备份—事故和恶意活动不仅仅发生在本地。因此，在混合 AD 环境中，完整的 IT 灾难恢复计划必须包括针对纯云对象和属性的备份策略，这些对象和属性无法得到本机 Microsoft 工具的充分保护，也无法被任何本地 AD 备份解决方案覆盖。

这篇文章详细探讨了这些备份选择，并帮助您确定哪种备份适合您的情况。它还解释了 Recovery Manager for Active Directory Disaster Recovery Edition 如何为您提供真正全面的 IT 灾难恢复规划所需的稳定性、选择和灵活性。

活动目录备份

AD 备份是 Active Directory 恢复的基础，无论您需要恢复单个对象、属性或 DC，还是需要对整个林进行全面灾难恢复。应该注意的是，AD 备份与操作系统状态备份不同，后者备份整个操作系统，而不仅仅是 Active Directory 的各个部分。

AD 备份涉及 Active Directory 域控制器的各种组件，包括 NTDS 目录、SYSVOL（包含组策略和登录脚本）以及与 Active Directory 相关的注册表方面。

可靠、自动化的 AD 备份

Quest Recovery Manager for Active Directory 产品组合简化并自动化了设置 AD 备份的过程。通过易于使用的向导，您可以指定要备份的域控制器或 AD LDS (ADAM) 主机，无论是一组特定 DC 还是特定 Active Directory 域或组织单位中的所有计算机。您还可以立即启动备份创建或配置备份计划。建议您至少每天备份一次域控制器。无论如何，每次对环境进行重要更改时，请务必备份所有域控制器。

由于 AD 备份比 BMR 备份小，因此它们产生的网络流量更少，并且可以更快地扫描恶意软件。此外，它们不包含二进制文件（Sysvol 文件除外），因此它们不太可能包含病毒。请注意，Recovery Manager for Active Directory 可以扫描 AD 备份中是否存在恶意软件和病毒。

灵活的恢复选项

如何使用 AD 备份？恢复管理器为您的灾难恢复计划提供了灵活性。你可以选择：

• 恢复到何处 - 您可以在任何计算机上恢复到干净的操作系统，无论是物理机、本地虚拟机还是云托管虚拟机。
• 首先恢复哪些 DC - 您可以一次性恢复每个域中的所有 DC，也可以执行分阶段恢复，即恢复每个域中的一个 DC 以获得重要部分您的业务迅速恢复正常，然后推广其他 DC（请参阅我关于此主题的下一篇文章）。
• 如何安装 - 您可以使用复制进行安装（这可能需要数小时甚至数天），或从媒体安装 (IFM)，以加快操作速度并减少网络流量。 Recovery Manager 甚至提供批量 IFM，从而消除了为每个安装操作键入命令的耗时且容易出错的过程。

裸机恢复 (BMR) 备份

在许多组织中，灾难恢复是团队的努力。虽然 AD 管理员发挥着关键作用，但他们必须依赖负责操作系统、服务器上的应用程序、网络（提供新的 DNS 地址、网络连接）的其他团队。然而，在某些组织中，AD 管理员拥有自行备份和恢复的完全权限。

如果您有权备份和恢复整个 AD 服务器，则 BMR 备份可能是某些类型的灾难恢复的绝佳选择。如果由于勒索软件或其他原因导致所有域控制器、域数据或服务发生物理损坏，您可以使用 BMR 备份与标准 AD 备份相结合将 Active Directory 林还原到不同的硬件实例。

自动 BMR 备份和恢复

Recovery Manager for Active Directory Disaster Recovery Edition 可自动执行 BMR 备份和恢复。备份过程使用 Microsoft Windows Server Backup，它包含在您的 Window Server 许可证中。默认情况下，Recovery Manager 仅包括 BMR 备份中的关键卷（例如 Active Directory 数据库卷、SYSVOL 卷和操作系统卷），但您可以选择还包括所有 DC 上或仅部分 DC 上的其他卷。

由于 BMR 备份包括操作系统，因此它们很大（通常为 20GB 或更大）并且无法压缩。最佳实践是每周仅创建一次 BMR 备份，以最大程度地减少存储需求。

使用 Recovery Manager，如果出现严重故障（例如 DC 硬件故障或恶意软件），您可以使用最新的 BMR 备份和最新的 AD 备份将整个 Active Directory 林快速恢复到未安装操作系统的裸机。

Azure AD 备份

当您的组织采用云时，当 Active Directory 同步到 Azure AD (AAD) 时，了解本地灾难恢复解决方案涵盖和不涵盖哪些内容至关重要。正如存在仅限本地的属性一样，也有许多仅限云的对象和属性。例如，每个 AAD 用户都有一个 Office 365 许可证类型，用于确定用户有权使用哪些 Office 365 功能。如果该用户对象被删除，您可以恢复本地 AD 用户对象并使用 Azure AD Connect 将其同步回 AAD - 但许可证类型属性将消失，导致用户无法在云中工作，直到您手动解决问题。

如果您依赖本机工具进行备份和恢复，请注意以下一些问题：

• 某些对象无法恢复，例如 AAD 组、组成员身份和硬删除的用户。
• 只能恢复最近删除的对象（过去 30 天内）。
• 某些属性无法恢复，例如 MFA 设置和条件访问策略。
• 如果没有 PowerShell 脚本，则无法完成批量恢复。
• 没有 AAD 更改日志或比较报告来帮助确定需要恢复的内容。

用于混合还原的全面 Azure AD 备份

Recovery Manager for Active Directory 与 On Demand Recovery 集成，提供完整的混合备份和恢复解决方案，让您高枕无忧：

• Active Directory 恢复管理器涵盖本地对象，包括使用 Azure AD Connect 同步到云的任何内容。
• 按需恢复涵盖其余内容，包括 Azure AD Connect 未同步的纯云对象和属性，包括 MFA 设置、条件访问策略、纯云组中的成员身份等。

您可以与全面的恢复功能无缝集成。从单个仪表板中，您可以查看混合对象和纯云对象，运行差异报告来准确确定发生了哪些更改或删除，恢复任何对象或属性等等。

使用为您提供选择、灵活性和稳定性的解决方案备份 Active Directory

正如我们所看到的，Recovery Manager for Active Directory Disaster Recovery Edition 使您可以选择要进行的备份类型（AD 备份和 BMR），以及为给定灾难场景选择最佳恢复类型所需的灵活性。此外，恢复管理器还提供许多其他优势，包括：

备份生命周期管理

Recovery Manager 可以定期为网络上的任何 Active Directory 域控制器创建 AD 备份和 BMR 备份，而无需中断 DC 的运行。您可以将 DC 组织为集合，并建立备份频率以及允许运行备份过程的时间。这样，您可以根据目录数据存储的更新频率为每个集合配置备份计划。

您还可以为每个集合配置保留策略，指定保留的备份数量。例如，根据您组织的要求，您可能会保留五个或八个最近的备份。最旧的备份将自动删除。

备份存储位置

您可以选择存储 AD 备份和 BMR 备份的位置，以提高性能和安全性。特别是，您不必将所有 AD 备份存储在单个存储库中；您可以使用多个存储库（可能基于站点拓扑）使您的部署更加适合 WAN。您可以对备份进行气隙并构建由两个代理保护的强化存储服务器，使其成为虚拟的诺克斯堡。

备份加密

除了限制对备份的访问之外，恢复管理器还可以对其进行加密。具体来说，您指定的密码用于生成用于加密备份的密码。该密码不能直接用于解锁备份容器 vhd(x) 文件。备份使用 AES-256 加密进行加密。具体来说，对于 AD 备份，恢复管理器使用 Microsoft 增强型 RSA 和 AES 加密提供程序，而对于 BMR 备份，它使用使用 BitLocker 驱动器加密加密的虚拟硬盘作为备份容器。

恶意软件检测

作为验证过程的一部分，Recovery Manager for Active Directory Disaster Recovery Edition 使用 Windows Defender Antivirus 扫描 BMR 备份是否存在恶意软件。

灵活选择

AD 恢复并不是一个一刀切的方案。您需要一个尊重您特定优先级的解决方案，包括哪些数据和应用程序最关键，以及给定灾难场景的独特条件，例如哪些数据中心或区域受到影响以及造成了多少损失。恢复管理器提供了这种灵活性。