备份 Active Directory（完整备份和增量备份）

通过此分步指南了解如何备份 Active Directory。

目录：

• Active Directory 备份最佳实践
• Active Directory 完整备份 VS 系统状态备份
• 如何安装 Windows Server 备份
• 如何备份 Active Directory（分步说明）
• 自动备份监控（电子邮件警报）

让我们开始吧。

为什么备份 Active Directory 很重要

在使用 Active Directory 的网络中，它是一项必须全天候 (24/7) 运行的关键服务。

如果这些服务器崩溃，那么您的业务运营可能会中断或完全停止。用户将无法访问可以维持业务运行的应用程序、数据和文件。在混合环境中，出现故障的 Active Directory 服务器甚至会中断云服务。

我曾经支持过那些域控制器出现故障的公司，它几乎影响了一切。员工无法访问他们的文件、应用程序，甚至互联网访问也中断了。最糟糕的是他们没有备份，因此他们必须重建域环境。花了几周时间才完全康复。如果他们有备份的话，很多额外的工作是可以避免的。

由于安全威胁持续存在，您很可能会受到病毒或勒索软件的攻击。对于勒索软件，最好的保护是确保您有备份。

我强烈建议您备份 Active Directory，并首先阅读我下面的最佳实践。

Active Directory 备份最佳实践

提示：第一部分非常重要，可以让您免于从备份还原 Active Directory。

1. 从备份恢复 Active Directory 应该是最后的恢复选择。
2. 您应该有多个域控制器。这将允许单个域控制器发生故障，并且仍然可以在没有备份的情况下提供完全恢复。
3. 为了扩展上述内容，请勿依赖多个控制器作为唯一的恢复来源。您绝对应该仍在对 Active Directory 进行备份。所有域控制器都可能发生故障，可能发生数据库损坏，病毒、勒索软件或其他一些灾难可能会消灭所有域控制器。在这种情况下，您需要从备份中恢复它。此外，备份 Active Directory 是免费的，因此没有理由不这样做。
4. 您应该启用 Active Directory 回收站，这将使您能够恢复已删除的对象而无需备份。
5. 记录您的 Active Directory 环境、备份策略和灾难恢复计划。
6. 至少每天备份一次 Active Directory，如果您的环境很大并且有很多更改，那么请考虑每天备份两次。
7. 确保您有 Active Directory 的异地备份。本指南将对此进行更多解释。
8. 每个域中备份两个域控制器，其中之一应担任操作主机角色。

Active Directory 完整备份 VS 系统状态备份

本节将帮助您了解完整服务器备份和系统状态备份之间的区别。

完整备份

• 备份所有服务器数据，包括应用程序和操作系统
• 包括系统状态
• 允许裸机恢复 - 这允许恢复到完全不同的硬件。尽管如此，建议接收恢复的硬件具有相同的硬件配置。
• 如果您的域控制器上安装了大量数据或第三方应用程序（不推荐），您的备份将会相当大。
• 完整备份选项最适合将整个服务器恢复到相同或不同的服务器。完整恢复将允许您轻松地重新安装操作系统并使用备份进行恢复。

系统状态备份

系统状态备份仅包括还原 Active Directory 所需的组件。系统状态包括以下内容：

• 来自域控制器的 Sysvol - sysvol 包括组策略对象，但我仍然建议您从 GPMC 备份组策略。
• Active Directory 数据库和相关文件
• DNS 区域和记录（仅适用于 Active Directory 集成 DNS）
• 系统注册表
• Com+ 班级注册数据库
• 系统启动文件
• 系统状态备份最适合仅在同一服务器上恢复 Active Directory。它不能用于恢复损坏的服务器操作系统。 Microsoft 不支持将系统状态备份从一台计算机恢复到不同品牌、型号或硬件配置的第二台计算机

安装 Windows 服务器备份

要创建 Active Directory 备份，需要安装 Windows 服务器备份实用程序。这个实用程序得到了一个糟糕的包装，主要是因为它使用不正确。它不是用于备份整个企业的解决方案，但非常适合备份 Active Directory 等特定用例。

我多年来一直使用它来备份 Active Directory，效果非常好。使用此实用程序时需要注意一些事项，我将在本指南中指出这些事项。

步骤一：打开服务器管理器

第 2 步：添加角色和功能

现在点击“添加角色和功能”

步骤 3：选择 Windows Server 备份

现在只需单击几次下一步即可进入选择功能页面。选择“Windows Server 备份”并单击“下一步”。

在下一个屏幕上单击安装。安装完成后点击关闭。

Windows 服务器备份实用程序的安装就完成了。

下一步是配置备份。

如何备份 Active Directory（全服务器备份）

我更喜欢使用完整备份选项而不是系统状态备份。如果操作系统或 Active Directory 损坏，此选项允许您轻松恢复。

它包括系统状态，因此您可以选择恢复整个服务器或仅恢复系统状态。

仅备份系统状态的步骤是相同的，您只需选择自定义而不是完整服务器。

以下是将为此备份配置的设置：

• 每日备份
• 1 个完整备份，然后 14 个增量备份 - Windows 服务器备份自动处理完整备份和增量备份，无需额外配置。
• 备份目标将是作为本地磁盘安装的卷。我使用 SAN 复制到另一个数据中心以进行灾难恢复。
• 我的域控制器是在 VMWare 环境中虚拟运行的。
• 域控制器是Windows Server 2016

步骤1：创建备份专用磁盘。

重要提示：进行完整备份时，磁盘不能大于您要恢复到的磁盘。因此，如果您要备份的服务器的磁盘大小为 50GB，则备份磁盘不能大于此。 Windows的备份效率很高，第一次备份全量后就会进行增量备份。我喜欢使备份磁盘比我要备份的磁盘稍小。

步骤 2：配置 Windows Server 备份

打开 Windows Server 备份实用程序

单击右侧的“备份计划”

单击“入门”页面上的“下一步”

选择“完整服务器”并单击下一步。

如果您只想备份系统状态，请选择“自定义”。

在上面的屏幕截图中，备份配置将告诉您备份大小有多大。除非您的域控制器上有第 3 方程序和文件，否则备份应该相当小。第一次备份后，它将进行增量备份，仅备份更改的内容。

单击“高级设置”按钮

单击“VSS 设置”，然后选择“VSS 完整备份”。单击“确定”

如果您不使用任何其他备份产品来备份 Active Directory，建议您这样做。

配置最适合您的备份计划。在我的环境中，我配置了每日晚上 7:00 备份。

如果您有一个包含大量 AD 更改的大型环境，您应该考虑每天两次备份。

在指定目标类型屏幕上，选择“备份到专用于备份的硬盘”。

不要选择“备份到共享网络文件夹” 该选项不支持增量备份，每次都会覆盖备份。

确认备份设置并单击完成。

备份配置已完成，但我们需要更改创建的计划任务中的一些设置。

任务计划程序设置

只需在搜索栏中输入“任务计划程序”，然后单击该应用程序。

浏览到任务计划程序库 -> Microsoft -> Windows -> 备份

您将看到 Windows 备份计划任务。

双击任务名称将其打开。

在“常规”屏幕上，确保任务以 SYSTEM 帐户运行，并将配置更改为正确的操作系统。我正在运行 2016 年，所以这就是我的选择。

在设置屏幕上将任务更改为在运行时间超过 2 小时时停止运行。另外，选中该框以允许任务按需运行。

单击“确定”。这样就完成了计划任务的更改。

如果您愿意，可以右键单击该任务并运行它。备份过程可能会占用一点CPU，因此您可能需要等待。

第一次备份将是完整备份。接下来的 14 次备份将是增量备份，然后将进行另一次完整备份。

您可以在备份实用程序中检查备份的状态、已使用的磁盘空间等。

备份配置已完成，Active Directory 现在将每天备份（或您为其配置的任何计划）。

在下一节中，我将向您展示如何轻松监控备份。

自动执行 AD 备份监控（电子邮件警报）

在本节中，我将向您展示如何在备份完成时获取电子邮件通知。这是我从 Microsoft 找到并在生产中使用的经过测试的解决方案。

要自动监控备份，您将配置计划任务以在记录事件 ID 4 时触发操作。

第 1 步：设置 PowerShell 脚本

当记录事件 ID 4 时，计划任务将触发 PowerShell 脚本。该脚本将发送一封电子邮件。

复制下面的脚本并将其粘贴到文本文件中。将其另存为 AD-Backup-Success.ps1

您需要更改发件人地址、收件人地址以及 SMTP 地址。

$From = "[email protected]"
$To = "[email protected]"
$Subject = "DC1 AD Backup SUCCESSFUL"
$Body = "DC1 daily backup successful. No further action is required"
$SMTPServer = "SMTP address"
$SMTPPort = "25"
Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -SmtpServer $SMTPServer -port $SMTPPort

第2步：设置计划任务

打开计划任务应用程序，在任务计划程序库中创建一个新任务。

在通用屏幕上设置以下内容

• 名称：AD备份成功通知
• 使用以下帐户：SYSTEM
• 设置为“无论用户是否登录都运行”
• 以最高权限运行
• 配置：选择您的操作系统

在“触发器”屏幕上单击“新建”并设置以下内容：

• 开始任务：在一个事件中
• 日志：Microsoft-Windows-备份/操作
• 来源：备份
• 事件ID：4

在“操作”屏幕上单击“新建”并配置以下内容：

• 行动：启动一个程序
• 程序/脚本：C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
• 添加参数：步骤 1 中的脚本的路径。示例 c:\it\AD-Backup-sucess.ps1

单击“确定”，任务设置完成。

现在，当备份完成时，您将收到一封电子邮件通知。

概括

Active Directory 是 Windows 环境中最关键的组件之一。似乎一切都依赖于 Active Directory 或 DNS，如果崩溃，则一切都无法正常工作或根本无法工作。我曾与遇到过完全域控制器崩溃（所有）的客户合作，并且实际上一切都崩溃了。幸运的是，他们有备份并且能够恢复域控制器。

随着勒索软件的蔓延和持续的威胁，您永远不知道会发生什么，因此不要依赖多个域控制器作为 AD 备份的唯一方法。您绝对应该拥有多个域控制器，但除此之外，还要确保您正在运行备份。你为什么不呢？我刚刚向您展示了一种免费备份它们的方法。

接下来，查看我的有关如何从备份恢复 Active Directory 的指南。

资源

• 自动执行系统状态备份 - Microsoft 文档
• Windows Server 备份功能概述