Backup e ripristino dei controller di dominio di Active Directory

Il backup di Active Directory e la corretta esecuzione delle operazioni di ripristino in caso di danneggiamento, violazione o emergenza costituiscono una parte essenziale della manutenzione di Active Directory.

Questo articolo illustra le procedure appropriate per il backup e il ripristino dei controller di dominio di Active Directory con Backup di Azure, sia che si tratti di macchine virtuali di Azure che di server locali. Delinea uno scenario in cui è necessario ripristinare lo stato di un intero controller di dominio al momento del processo di backup. Per scoprire quale scenario di ripristino è più consono alle proprie esigenze, vedere questo articolo.

Nota

Questo articolo non tratta il ripristino di elementi da Microsoft Entra ID. Per informazioni sul ripristino degli utenti di Microsoft Entra, vedere questo articolo.

Procedure consigliate

Prima di iniziare la protezione di Active Directory, verificare le procedure consigliate seguenti:

  • Assicurarsi che venga eseguito il backup di almeno un controller di dominio. Se si esegue il backup di più controller di dominio, assicurarsi che venga eseguito il backup di tutti i controller che detengono ruoli FSMO (Flexible Single Master Operation).

  • Eseguire spesso il backup di Active Directory. L'età del backup non deve mai essere superiore alla durata di rimozione definitiva (TSL), poiché gli oggetti con età superiore vengono "rimossi" e considerati non più validi.

    • Per i domini basati su Windows Server 2003 SP2 e versioni successive, la durata di rimozione definitiva è 180 giorni.

    • È possibile verificare la durata di rimozione definitiva configurata usando lo script di PowerShell seguente:

      (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
      
  • Disporre di un piano di ripristino di emergenza ben definito, che includa anche istruzioni su come ripristinare i controller di dominio. Per preparare il ripristino di una foresta Active Directory, vedere la Guida al ripristino della foresta Active Directory.

  • Se è necessario ripristinare un controller di dominio facendo in modo che nel dominio rimanga un controller di dominio funzionante, è possibile creare un nuovo server anziché ripristinare il controller dalla copia di backup. Aggiungere il ruolo del server Active Directory Domain Services al nuovo server per farlo diventare un controller di dominio nel dominio esistente. I dati di Active Directory verranno quindi replicati nel nuovo server. Per rimuovere il controller di dominio precedente da Active Directory, seguire la procedura illustrata in questo articolo per eseguire la pulizia dei metadati.

Nota

Backup di Azure non include il ripristino a livello di elemento per Active Directory. Se si desidera ripristinare gli oggetti eliminati ed è possibile accedere a un controller di dominio, usare il Cestino per Active Directory . Se questo metodo non è disponibile, è possibile usare la copia di backup del controller di dominio per ripristinare gli oggetti eliminati mediante lo strumento ntdsutil.exe, come illustrato qui.

Per informazioni sulle modalità per eseguire un ripristino autorevole di SYSVOL, vedere questo articolo.

Eseguire il backup dei controller di dominio delle macchine virtuali di Azure

Se il controller di dominio è una macchina virtuale di Azure, è possibile eseguire il backup del server usando Backup di macchine virtuali di Azure.

Leggere l'articolo Considerazioni operative per i controller di dominio virtualizzati per garantire la corretta esecuzione delle operazioni di backup (e dei ripristini futuri) dei controller di dominio macchine virtuali di Azure.

Eseguire il backup dei controller di dominio locali

Per eseguire il backup di un controller di dominio locale, è necessario eseguire il backup dei dati sullo stato del sistema del server.

Nota

Il ripristino di controller di dominio locali (dallo stato del sistema o da macchine virtuali) nel cloud di Azure non è supportato. Se si vuole avere la possibilità di eseguire il failover da un ambiente Active Directory locale ad Azure, è consigliabile usare Azure Site Recovery.

Ripristinare Active Directory

I dati di Active Directory possono essere ripristinati in uno di questi due modi: autorevole o non autorevole. In un ripristino autorevole, i dati di Active Directory ripristinati sostituiranno i dati presenti negli altri controller di dominio della foresta.

In questo scenario, tuttavia, si ricompilerà un controller di dominio in un dominio esistente e si dovrà quindi eseguire un ripristino non autorevole.

Durante il ripristino, il server verrà avviato in modalità di ripristino dei servizi directory (DSRM), a cui sarà possibile accedere specificando la password amministratore.

Nota

Se non si ricorda più la password, è possibile reimpostarla seguendo queste istruzioni.

Ripristinare i controller di dominio della macchina virtuale di Azure

Per ripristinare un controller di dominio macchina virtuale di Azure, vedere Ripristinare le VM del controller di dominio.

Se si sta ripristinando una singola macchina virtuale controller di dominio o più macchine virtuali controller di dominio in un singolo dominio, ripristinarle come qualsiasi altra macchina virtuale. È anche disponibile Modalità ripristino servizi directory (Directory Services Restore Mode, DSRM), in modo che tutti gli scenari di ripristino di Active Directory siano attuabili.

Se invece è necessario ripristinare una singola macchina virtuale controller di dominio in una configurazione a più domini, ripristinare i dischi e creare una macchina virtuale usando PowerShell.

Se infine si sta ripristinando l'ultimo controller di dominio rimanente nel dominio o si stanno ripristinando più domini in una foresta, è consigliabile un ripristino della foresta.

Nota

Da Windows 2012 in avanti, i controller di dominio virtualizzati usano misure di sicurezza basate sulla virtualizzazione. Tramite queste misure di sicurezza, Active Directory riconosce se la macchina virtuale ripristinata è un controller di dominio ed esegue i passaggi necessari per ripristinare i dati di Active Directory.

Ripristinare i controller di dominio locali

Per ripristinare un controller di dominio locale, seguire le istruzioni per ripristinare lo stato del sistema in Windows Server e, nello specifico, le indicazioni contenute nelle considerazioni speciali per il ripristino dello stato del sistema in un controller di dominio.

Passaggi successivi