Active Directory 灾难恢复指南：须知

每个组织都需要可靠的 Active Directory 灾难恢复策略。原因很简单：您的 Active Directory (AD) 崩溃的每一秒，您的业务都会陷入困境。

为什么？如果 Active Directory 失败到底会发生什么？ Active Directory 提供了员工在 IT 生态系统中执行几乎所有操作所需的核心服务，从登录工作站到访问数据和运行应用程序，再到为客户提供服务。因此，当灾难导致 Active Directory 瘫痪时（无论是网络攻击、自然灾害，甚至是匆忙的管理员犯下的严重错误），一切都会戛然而止，并保持这种状态，直到 Active Directory 重新启动并运行。

这很快就会变得昂贵！事实上，40% 的企业表示，一小时的停机造成的损失为 100 万至 500 万美元以上。在最坏的情况下，损失可能达到每分钟数百万美元。

最大限度地减少停机时间以及不可避免的业务损失的最佳方法是制定全面的 Active Directory 灾难恢复策略。但什么是 Active Directory 灾难恢复以及它是如何工作的？实际上如何从备份中恢复域控制器？而且，最重要的是，如何才能使恢复过程尽可能快速、无缝？让我们深入了解一下。

“许多有据可查的勒索软件攻击的恢复过程因没有完整的 Active Directory 恢复过程而受到阻碍。”
- Gartner, Inc.，“如何使用现代备份基础设施从勒索软件攻击中恢复”，Fintan Quinn，2021 年 6 月 4 日

Active Directory 灾难恢复过程需要什么？

Active Directory 灾难恢复就是让您的域控制器 (DC) 重新工作。 DC 是运行 Microsoft Active Directory 域服务角色的服务器，使它们能够提供身份验证和授权等基本服务。如果没有至少一个可运行的 DC，您的本地或混合 Microsoft 生态系统将无法运行。

DC 的恢复需要跨多个阶段的众多步骤的细致协调：准备过程、实际执行恢复、将 DC 与其复制伙伴同步并使其再次可用等等。如果灾难导致一个 Active Directory 域中的所有域控制器瘫痪，那就够复杂的了；如果整个 Active Directory 林都受到影响，则 Active Directory 灾难恢复过程会更加漫长且更加复杂。

Active Directory 恢复的各个阶段

灾难发生后让您的企业重新站稳脚跟的最快方法（也是 Microsoft 和行业专家推荐的 Active Directory 灾难恢复的最佳实践）是分阶段的方法。从较高层面来看，策略是让每个域中的一个关键 DC 快速恢复在线，然后将注意力转向恢复剩余的 DC。以下是对这两个阶段的更深入探讨：

第 1 阶段：在每个域中恢复一个 DC。通过在每个域中恢复一个 DC，您可以快速让您的组织恢复正常（如果未完全运行）。

第一步是从备份中恢复选定的 DC。您的选择取决于您拥有的工具。如果使用不太全面的解决方案，您可能仅限于图像级恢复，例如裸机恢复 (BMR)。企业级解决方案还可以提供干净的操作系统 (OS) 恢复，这是使用本机工具无法实现的。如果您有两种选择，则需要考虑两个主要因素。

• 恢复到裸机有多种要求。虽然目标计算机不需要预安装操作系统，但它确实需要相同的物理磁盘布局。另外，这些磁盘必须至少与原始 DC 一样大，以便可以像在原始计算机上一样放置相同的分区。您还必须担心注入启动关键驱动程序、手动（命令行）网络配置等。恢复到干净的操作系统不会涉及这些问题；您从一台已经拥有所有驱动程序并且可以使用 GUI 在网络上轻松配置的 Windows 服务器开始。
• BMR 恢复整个卷（磁盘分区），其中包括不属于 AD 的文件，例如引导扇区、程序文件目录以及 Windows 和 WinSXS 目录。如果您的域控制器用于非 AD 相关服务，例如托管非 AD 集成的 DNS 区域、运行证书颁发机构或运行文件和打印服务，您可能需要此数据。然而，这些额外的文件提供了许多恶意软件可以隐藏的地方。因此，干净的操作系统恢复通常是推荐的方法，特别是在攻击可能使用零日漏洞的情况下。

从备份恢复后，您需要让 DC 再次作为林进行通信和运行。 Microsoft 的 Active Directory 林恢复指南概述了 12 个配置过程，其中包含 40 多个步骤，必须在从备份恢复的每个 DC 上执行这些步骤。未能正确完成这些步骤可能会导致 AD 损坏或留下挥之不去的安全漏洞。

第 2 阶段：提升其余 DC。您在这里也有多种选择，包括直接 DCPromo，但 Microsoft 建议使用“从媒体安装”(IFM) 进行推广。由于 IFM 将通过网络发送的流量减少了一半，因此可以显着加快 DC 升级过程。

Active Directory 灾难恢复需要多长时间？

恢复速度取决于 Active Directory 环境的详细信息、使用的工具和流程、恢复计划的记录情况以及练习的程度。每个组织都是不同的，所以这个问题类似于问：“一根绳子有多长？ ”

当使用 Microsoft 工具手动执行时，AD 林恢复是一个困难、耗时且容易出错的过程。此外，如果该过程包括 Azure AD 恢复，您的组织可能会遇到同步和数据一致性问题。例如，用户可能缺少基于云的属性，例如 Office 365 许可证和应用程序角色分配，这些属性对于他们能够完成工作至关重要。由于大多数这些属性不会进入 Azure AD 回收站，因此使用这种方法几乎不可能及时恢复（也称为“重建”）它们。

加速 AD 恢复过程

专门构建的 Active Directory 灾难恢复解决方案通过自动执行流程中的许多手动任务来加速恢复。这种自动化使组织能够以更少的 IT 人员更快地完成恢复过程，同时确保步骤按照正确的顺序完成且没有错误。例如，使用原生工具，必须对每个DC逐一进行DC升级，每台服务器需要几分钟到几小时才能升级。第三方解决方案可以通过 IFM 流程实现 DCPromo 自动化，并并行提升多个 DC，从而显着缩短恢复的第 2 阶段。底线：自动化解决方案可帮助您的组织大幅减少 Active Directory 停机时间 — 加速恢复正常运营并最大限度地降低灾难成本。

更好的是，最好的 Active Directory 灾难恢复解决方案在一个工具集中涵盖 Active Directory 和 Azure Active Directory 恢复。这种统一的功能对于避免同步问题以及确保本地 AD 和 Azure AD 的可用性和完整性至关重要。通过单个恢复仪表板，IT 团队可以轻松区分混合对象和纯云对象、比较生产备份和实时备份，并快速执行恢复操作。

理想情况下，该工具不仅提供灾难恢复，还提供粒度恢复。这使得 IT 团队能够恢复特定对象（包括组策略对象）和属性（例如迁移任务意外修改的属性或元数据目录进程出错），而无需执行重新启动域控制器的耗时过程。

创建无懈可击的 Active Directory 灾难恢复计划的重要提示

即使您拥有最好的工具，您仍然需要可靠的策略来指导恢复。要获得有效且全面的 Active Directory 灾难恢复计划，请遵循以下最佳实践：

定期进行 AD 备份并将其存储在安全的地方。

还记得 2017 年臭名昭著的 NotPetya 攻击吗？几个小时内，这种恶意软件就使世界各地的公司陷入瘫痪，其中包括航运巨头马士基。尽管马士基拥有大部分数据的备份，但没有人能够找到单个 Active Directory 备份。在 IT 团队紧急行动的同时，该公司不得不改变船舶航线，无法在数十个港口卸货，也无法处理新订单。最终，马士基幸免于难：远程办公室的一台数据中心在袭击期间处于离线状态。该公司煞费苦心地将这台珍贵的机器运送到总部，以实现 AD 恢复过程。

显然，运气不是一种策略。定期进行 AD 备份，测试它们以确保它们有效，并将它们存储在隔离的网络、第三方云平台或其他安全的地方！ Microsoft 建议遵循 3-2-1 规则：在 2 种不同的存储类型上保留 3 个数据备份，并在异地保留至少 1 个备份。 Quest 建议至少对部分备份进行气隙备份（即无法通过计算机网络访问）。

备份类型

在设计 Active Directory 灾难恢复策略时，实际上有多种类型的备份需要了解。本机选项包括：

• 系统状态备份 - 这些备份几乎包括整个操作系统，而不仅仅是 Active Directory 部分。虽然它们包含 AD 所需的所有内容，但它们还包含更多内容，因此对于网络灾难来说，它们可能并不理想。
• 裸机恢复备份 - BMR 使您能够将 Active Directory DC 恢复到不同的硬件实例。在 DC 物理损坏和相关 Active Directory 灾难恢复方案的情况下，此选项特别有价值。

一些第三方灾难恢复解决方案提供额外的备份选项：

• Active Directory 备份 — 这些备份仅包括 AD 特定的组件：NTDS 目录、SYSVOL（包含组策略和登录脚本）以及与 AD 相关的注册表方面。通过排除系统状态或 BMR 备份中的许多其他组件，AD 备份可显着降低恢复过程后被恶意软件重新感染的风险。
• Azure AD 备份 - 在混合 AD 环境中，您还需要针对纯云对象和属性的备份策略。示例不仅包括前面提到的 Microsoft 365 许可证和应用程序角色分配，还包括 Office 365 和 Azure AD 组、纯云用户（例如 Azure B2B 和 B2C 帐户）以及 Azure AD MFA 设置和条件访问策略。这些对象和属性没有受到本机 Microsoft 工具的充分保护，也没有被任何本地 Active Directory 备份解决方案覆盖。因此，如果没有 Azure AD 备份，恢复通常会导致业务和安全问题。员工可能无法访问完成工作所需的资源，用户可能无法在未完成多因素身份验证的情况下访问敏感资源，并且合作伙伴和客户帐户可能会永远丢失。

虚拟机快照怎么样？

请注意，我没有包含虚拟机快照——虚拟机 (VM) 在给定时间点的映像。这是因为虚拟机快照不足以作为 Active Directory 备份。使用它们进行林恢复几乎总是会导致难以解决的数据一致性问题。示例包括延迟对象（存在于一个 DC 上但已从其他 DC 中完全删除的对象）和会破坏复制的更新序列号问题。另外，与 BMR 备份一样，快照可能包含恶意软件，这些恶意软件将与其他所有内容一起恢复到 DC 上。

最后，对虚拟机快照的控制通常由虚拟化操作团队负责，这使得 AD 团队在 AD 恢复期间的工作变得复杂。此外，虚拟化团队甚至可能不知道快照对于灾难恢复至关重要，因此无法适当地保护它们。例如，将它们存储在普通文件共享上会使它们非常容易受到攻击者或恶意软件的损坏。

拥有不依赖 AD 的紧急通信机制。

您需要确保即使 AD 发生故障，业务、IT 和恢复功能也可以相互通信。因此，不要依赖可能不可用的 IT 系统，例如电子邮件或 Microsoft Teams。在 Quest，我们使用安全、与平台无关的消息传递解决方案。我们还共享所有关键恢复团队成员的手机号码，并将我们的智能手机配置为允许彼此发送通知，即使手机设置为“请勿打扰”。 ”

执行此操作时，请确保将 Active Directory 灾难恢复计划本身存储在即使 Active Directory 关闭时也可以访问的位置。一种选择是采用老式方法并将其打印出来。另一种是将其存储在单独的云存储中，例如 Dropbox。无论您选择什么，请确保所有利益相关者都知道如何访问它并且可以快速完成。

确定升级路径以及该路径各个级别的关键决策者。

为您能想象到的所有意外情况做好计划。还要确定谁将在每个关键时刻做出决定，并知道如何随时随地与他们联系。请记住，当您的 IT 生态系统出现故障时，每一秒都很重要。在恢复工作期间，您根本不必担心谁有权决定开始恢复或谁负责什么。

与未制定该计划的 IT 专业人员一起测试恢复计划。

找出 Active Directory 灾难恢复计划中任何无效的假设、不完整的流程和缺失的信息并进行相应的修改至关重要。重复测试和修订周期，直到获得任何合格的 IT 团队成员都可以执行的坚如磐石的策略。否则，你的计划就会有错误或不完整，可能会延迟真正的恢复，甚至完全走向错误的方向。

因此，让没有编写计划的人来执行测试至关重要；它们提供了一个重要的新视角。也就是说，AD 对于外行来说有点过于复杂，无法在出现问题时进行故障排除。测试人员应该是 AD 架构师，至少对组织的 AD 部署有半深入的了解。

每年至少练习该计划两次。

加速 Active Directory 灾难恢复的最佳方法是练习计划中的过程，直到它们变得自动化。团队中的每个人都需要完全熟悉自己在不同恢复场景中的职责。

定期更新您的 Active Directory 灾难恢复计划。

IT 生态系统是动态的，因此请务必定期更新您的 Active Directory 灾难恢复计划。请务必考虑系统和流程的变化，以及团队组成或联系信息的变化。每次测试运行和每次实践都应导致计划更新和澄清。

另请务必检查新的或更新的合规性要求和业务要求。昨天被标记为对组织最重要的应用程序可能不是今天被认为最关键的应用程序，这可能会影响您对 AD 恢复操作进行优先级排序的方式。

如何获得可靠的 Active Directory 灾难恢复策略所需的预算

如果您是 IT 专业人员，您可能不需要再相信您需要能够在灾难后快速恢复 Active Directory。您非常清楚谁会因 IT 系统停机而受到指责，并且您不需要因手机突然响个不停而产生压力，也不需要担心是否需要更新简历。

但您可能需要帮助说服您的管理团队投资于有效的 Active Directory 灾难恢复所需的工具！这是我所知道的让他们加入的最佳策略。它的灵感来自汤姆·帕克斯顿 (Tom Paxton) 半开玩笑的民谣《我要把我的名字改成克莱斯勒》，其中包括这句关于人类的圣言：“在金钱开始说话之前，我们几乎没有站起来走路。 ”

计算 Active Directory 停机成本

所以，谈钱吧！显示 Active Directory 停机的每一分钟都会给您的组织带来多少损失。以下是要包括的关键组件：

• 生产力下降 - 如果没有 Active Directory 来验证用户身份并提供对数据和服务的访问，几乎没有人能够完成自己的工作。很容易计算出生产力损失的成本。例如，假设平均员工薪酬为 87,000 美元/年，有 1,000 名员工闲置。在这种情况下，仅生产力损失就会让组织每天损失超过三分之一百万美元。
• 收入损失 - 您的组织一天产生多少收入？将该值乘以 AD 停机天数。 （剧透：这可能也是一个巨大的数字。）
• 业务损失 - Active Directory 停机可能会影响您接受和处理订单以及满足客户需求的能力。因此，要弥补因沮丧的客户选择将业务转移给竞争对手而损失的未来收入来源。
• 合规处罚 - 如果您需要遵守合规法规，则需要加上罚款和额外审核的费用。
• 法律费用和补救费用 - 如果客户数据被泄露，您可能还需要承担法律费用和免费信用监控等补救措施的费用。
• 冷酷的比特币——如果停机是由于勒索软件攻击而导致，并且您选择支付赎金，则还需要添加该费用。 （请注意，这笔钱可能被浪费了，因为只有 8% 支付赎金的组织实际上取回了所有数据。）
• 对您组织的声誉造成持久损害 - 中断持续的时间越长，您的公司就越会出现在头条新闻中。因此，除了立即转身离开的客户之外，您还将失去所有将来会避开您的潜在客户的收入。事实上，您可能会花费数年的时间来重建您的品牌。尽管这种损害很难量化，但它可能是 AD 停机总成本中最大的组成部分。

通过对一次灾难造成的惊人成本进行量化估计，您可以构建可靠的业务案例来创建全面的 Active Directory 灾难恢复计划，并投资于加快恢复过程并确保业务连续性所需的工具。

概括

Active Directory 是 IT 生态系统的核心。攻击、自然灾害或错误造成的影响时间越长，您的业务停顿的时间就越长，成本也越高。因此，当今每个组织都需要全面的 Active Directory 灾难恢复计划和正确的工具。从 Gartner 获取：

“通过添加用于备份和恢复 Microsoft Active Directory 的专用工具来加速从攻击中恢复。 ”
- Gartner, Inc.，“如何保护备份系统免受勒索软件攻击”，Nik Simpson，2021 年 9 月 21 日。