Pencadangan dan pemulihan pengontrol domain Direktori Aktif
Mencadangkan Direktori Aktif, dan memastikan keberhasilan pemulihan dalam kasus kerusakan, ancaman, atau bencana adalah bagian penting dari pemeliharaan Direktori Aktif.
Artikel ini menyediakan kerangka prosedur yang tepat untuk mencadangkan dan memulihkan pengontrol domain Direktori Aktif dengan Azure Backup, baik itu komputer virtual Azure maupun server lokal. Artikel ini membahas skenario di mana Anda perlu memulihkan seluruh pengontrol domain ke keadaannya pada saat pencadangan. Untuk melihat skenario pemulihan mana yang sesuai untuk Anda, lihat artikel ini.
Catatan
Artikel ini tidak membahas pemulihan item dari ID Microsoft Entra. Untuk informasi tentang memulihkan pengguna Microsoft Entra, lihat artikel ini.
Praktik terbaik
Sebelum Anda memulai perlindungan Direktori Aktif, periksa praktik terbaik berikut:
Pastikan setidaknya satu pengontrol domain sudah dicadangkan. Jika Anda mencadangkan lebih dari satu pengontrol domain, pastikan semua pengontrol yang memegang Peran FSMO (Flexible Single Master Operation/Operasi Master Tunggal Fleksibel) dicadangkan.
Cadangkan Direktori Aktif secara berkala. Usia cadangan tidak boleh lebih tua dari TSL(tombstone lifetime/masa pakai tombstone) karena objek yang lebih tua dari TSL akan "ditandai sebagai tombstone" dan tidak lagi dianggap valid.
TSL default, untuk domain yang dibangun pada Windows Server 2003 SP2 dan yang lebih baru, adalah 180 hari.
Anda bisa memverifikasi TSL yang dikonfigurasi dengan menggunakan skrip PowerShell berikut ini:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Memiliki rencana pemulihan bencana yang jelas yang mencakup instruksi tentang cara memulihkan pengontrol domain Anda. Untuk mempersiapkan pemulihan hutan Direktori Aktif, baca Panduan Pemulihan Hutan Direktori Aktif.
Jika Anda perlu memulihkan pengontrol domain, dan memiliki pengontrol domain yang berfungsi tersisa pada domain, Anda dapat membuat server baru alih-alih memulihkan server dari cadangan. Tambahkan peran server Active Directory Domain Services ke server baru untuk menjadikannya pengontrol domain di domain yang sudah ada. Kemudian data Direktori Aktif akan mereplikasi ke server baru. Untuk menghapus pengontrol domain sebelumnya dari Direktori Aktif, ikuti langkah-langkah dalam artikel ini untuk melakukan pembersihan metadata.
Catatan
Azure Backup tidak mencakup pemulihan tingkat item untuk Direktori Aktif. Jika Anda ingin memulihkan objek yang dihapus, dan Anda dapat mengakses pengontrol domain, gunakan Keranjang Sampah Direktori Aktif. Jika metode tersebut tidak tersedia, Anda dapat menggunakan cadangan pengontrol domain untuk memulihkan objek yang dihapus dengan alat ntdsutil.exe seperti yang dijelaskan di sini.
Untuk informasi tentang melakukan pemulihan otoritatif SYSVOL, lihat artikel ini.
Mencadangkan pengontrol domain Azure VM
Jika pengontrol domain merupakan Azure VM, Anda dapat mencadangkan server menggunakan Azure Backup VM.
Baca tentang pertimbangan operasional untuk pengontrol domain virtual untuk memastikan pencadangan yang berhasil (dan pemulihan mendatang) dari pengontrol domain Azure VM Anda.
Mencadangkan pengendali domain lokal
Untuk mencadangkan pengontrol domain lokal, Anda perlu mencadangkan data Status Sistem server.
- Jika Anda menggunakan MARS, ikuti instruksi berikut.
- Jika Anda menggunakan MABS (Azure Backup Server), ikuti instruksi berikut.
Catatan
Memulihkan pengontrol domain lokal (baik dari status sistem atau dari komputer virtual) ke cloud Azure tidak didukung. Jika Anda menginginkan opsi failover dari lingkungan Direktori Aktif lokal ke Azure, pertimbangkan untuk menggunakan Azure Site Recovery.
Pulihkan Direktori Aktif
Data Direktori Aktif dapat dipulihkan dalam salah satu dari dua mode: otoritatif atau tidak otoritatif. Dalam pemulihan otoritatif, data Direktori Aktif yang dipulihkan akan menimpa data yang ditemukan pada pengontrol domain lain di hutan.
Namun, dalam skenario ini kami membangun kembali pengontrol domain di dalam domain yang suda ada, sehingga pemulihan non-otoritatif harus dilakukan.
Selama pemulihan, server akan dimulai dalam DSRM (Directory Services Restore Mode/Mode Pemulihan Layanan Direktori). Anda harus memberikan kata sandi Administrator untuk Mode Pemulihan Layanan Direktori.
Catatan
Jika Anda lupa kata sandi DSRM, Anda dapat mengatur ulang sandi tersebut menggunakan instruksi ini.
Memulihkan pengontrol domain Azure VM
Untuk memulihkan pengontrol domain Azure VM, lihat Memulihkan komputer virtual pengontrol domain.
Jika Anda memulihkan komputer virtual pengontrol domain tunggal atau beberapa komputer virtual pengontrol domain dalam satu domain, pulihkan seperti komputer virtual lainnya. DSRM juga tersedia, sehingga semua skenario pemulihan Direktori Aktif dapat dijalankan dengan layak.
Jika Anda perlu memulihkan komputer virtual pengontrol domain tunggal dalam konfigurasi beberapa domain, pulihkan disk dan buat komputer virtual dengan menggunakan PowerShell.
Jika Anda memulihkan pengontrol domain terakhir yang tersisa di domain, atau memulihkan beberapa domain di satu hutan, kami merekomendasikan pemulihan hutan.
Catatan
Pengontrol domain virtual, dari Windows 2012 dan seterusnya menggunakan perlindungan berbasis virtualisasi. Dengan perlindungan ini, Direktori Aktif akan memahami jika komputer virtual yang dipulihkan adalah pengontrol domain, dan akan melakukan langkah-langkah yang diperlukan untuk memulihkan data Direktori Aktif.
Memulihkan pengontrol domain lokal
Untuk memulihkan pengontrol domain lokal, ikuti petunjuk untuk memulihkan status sistem ke Windows Server, menggunakan panduan untuk pertimbangan khusus untuk pemulihan status sistem pada pengontrol domain.