NAKIVO > Blog > Multiplatform

Các phương pháp hay nhất về sao lưu Active Directory

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Active Directory là một dịch vụ được biết đến rộng rãi dành cho việc quản lý tập trung và xác thực người dùng trong các môi trường dựa trên Windows. Các quản trị viên có thể quản lý tập trung các máy tính được thêm vào miền, điều này rất thuận tiện và giúp tiết kiệm thời gian cho các hạ tầng quy mô lớn và phân tán. MS SQL và MS Exchange thường yêu cầu Active Directory. Nếu Máy chủ miền Active Directory (AD DC) không khả dụng, người dùng liên quan sẽ không thể đăng nhập và các hệ thống sẽ không thể hoạt động bình thường, điều này có thể gây ra sự cố trong môi trường của bạn. Đó là lý do tại sao việc sao lưu Active Directory là rất quan trọng.

Bài viết trên blog này giải thích Sao lưu Active Directory các phương pháp hay nhất, bao gồm các phương pháp và công cụ hiệu quả.

NAKIVO cho sao lưu Windows

NAKIVO cho sao lưu Windows

Sao lưu nhanh các máy chủ và máy trạm Windows vào các vị trí tại chỗ, ngoài văn phòng và trên đám mây. Phục hồi toàn bộ hệ thống và các đối tượng chỉ trong vài phút, giúp giảm thiểu thời gian ngừng hoạt động (RTO) và tối đa hóa thời gian hoạt động.

KHÁM PHÁ GIẢI PHÁP

Nguyên lý hoạt động của Active Directory

Active Directory là một hệ thống quản lý bao gồm một cơ sở dữ liệu nơi lưu trữ các đối tượng riêng lẻ và nhật ký giao dịch. Cơ sở dữ liệu này được chia thành một số phần chứa các loại thông tin khác nhau – phân vùng lược đồ (xác định thiết kế cơ sở dữ liệu AD bao gồm các lớp đối tượng và thuộc tính của chúng), phân vùng cấu hình (thông tin về cấu trúc AD) và bối cảnh tên miền (người dùng, nhóm, đối tượng máy in). Cơ sở dữ liệu Active Directory có cấu trúc dạng cây phân cấp. Tệp Ntds.dit được sử dụng để lưu trữ cơ sở dữ liệu AD.

Active Directory sử dụng các giao thức LDAP và Kerberos để hoạt động trên mạng. LDAP (Lightweight Directory Access Protocol) là một giao thức mở, đa nền tảng được sử dụng để truy cập các thư mục (như Active Directory), đồng thời hỗ trợ xác thực dịch vụ thư mục thông qua tên người dùng và mật khẩu. Kerberos là một giao thức xác thực an toàn và đăng nhập một lần (single sign-on) sử dụng mã hóa khóa bí mật. Tên người dùng và mật khẩu được kiểm tra bởi máy chủ xác thực Kerberos được lưu trữ trong thư mục LDAP (trong trường hợp sử dụng Active Directory).

Active Directory được tích hợp chặt chẽ với máy chủ DNS, các tệp hệ thống được bảo vệ của Windows, Sổ đăng ký hệ thống của máy chủ miền, cũng như thư mục Sysvol, Cơ sở dữ liệu đăng ký lớp COM+ và thông tin dịch vụ cụm. Sự tích hợp này có ảnh hưởng trực tiếp đến chiến lược sao lưu Active Directory.

Dữ liệu nào cần được sao lưu?

Theo phần trước, bạn cần sao chép không chỉ Ntds.dit , mà cả các thành phần tích hợp với Active Directory. Danh sách các thành phần là phần không thể thiếu của hệ thống Máy chủ miền như sau:

  • Dịch vụ miền Active Directory
  • Sổ đăng ký hệ thống Máy chủ miền
  • Sysvol thư mục
  • Cơ sở dữ liệu đăng ký lớp COM+
  • Thông tin vùng DNS tích hợp với Active Directory
  • Tệp hệ thống và tệp khởi động
  • Thông tin dịch vụ cụm
  • Cơ sở dữ liệu dịch vụ chứng chỉ (nếu Máy chủ miền của bạn là máy chủ dịch vụ chứng chỉ)
  • Thư mục meta IIS (nếu Microsoft Internet Information Services được cài đặt trên Máy chủ miền của bạn)

Các khuyến nghị chung về sao lưu AD

Hãy cùng xem qua một số khuyến nghị chung về sao lưu Active Directory.

Ít nhất một máy chủ miền trong một miền phải được sao lưu

Rõ ràng là nếu bạn chỉ có một máy chủ miền trong cơ sở hạ tầng của mình, bạn nên sao lưu máy chủ miền này. Nếu bạn có nhiều hơn một máy chủ miền, bạn nên sao lưu ít nhất một trong số chúng. Bạn nên sao lưu máy chủ miền có cài đặt các vai trò FSMO (Flexible Single Master Operation). Nếu bạn đã mất tất cả các máy chủ miền, bạn có thể khôi phục một máy chủ miền chính (chứa các vai trò FSMO) và triển khai một máy chủ miền phụ mới, đồng thời sao chép các thay đổi từ máy chủ miền chính sang máy chủ miền phụ.

Bao gồm bản sao lưu Active Directory trong kế hoạch khôi phục thảm họa của bạn

Lập kế hoạch khôi phục thảm họa (DR) với nhiều kịch bản để khôi phục cơ sở hạ tầng khi bạn chuẩn bị cho các thảm họa giả định. Thực hành tốt nhất là tạo một kế hoạch DR chi tiết trước khi thảm họa xảy ra. Hãy chú ý kỹ đến trình tự khôi phục. Hãy nhớ rằng máy chủ miền phải được khôi phục trước khi bạn có thể khôi phục các máy khác có dịch vụ liên quan đến Active Directory, vì chúng có thể trở nên vô dụng nếu không có máy chủ miền Active Directory. Tạo một kế hoạch khôi phục thảm họa (DR) khả thi kế hoạch khắc phục thảm họa đảm bảo tính phụ thuộc của các dịch vụ khác nhau chạy trên các máy khác nhau sẽ đảm bảo cho bạn một quá trình khôi phục thành công. Bạn có thể sao lưu máy chủ miền của mình vào một vị trí cục bộ, vị trí từ xa hoặc đám mây. Trong số các thực hành tốt nhất về sao lưu Active Directory là có nhiều hơn một bản sao của máy chủ miền theo Quy tắc sao lưu 3-2-1.

Sao lưu Active Directory định kỳ

Bạn nên sao lưu Active Directory định kỳ với khoảng thời gian không vượt quá 60 ngày. Các dịch vụ AD giả định rằng tuổi thọ của bản sao lưu Active Directory không được vượt quá tuổi thọ của các đối tượng tombstone AD, mặc định là 60 ngày. Điều này là do Active Directory sử dụng các đối tượng tombstone khi cần xóa các đối tượng. Khi một đối tượng AD bị xóa (phần lớn các thuộc tính của đối tượng đó bị xóa), nó sẽ được đánh dấu là đối tượng tombstone và không bị xóa thực tế cho đến khi thời hạn tồn tại của tombstone hết hiệu lực.

Nếu có nhiều bộ điều khiển miền trong cơ sở hạ tầng của bạn và tính năng nhân rộng Active Directory được bật, đối tượng tombstone sẽ được sao chép sang từng bộ điều khiển miền cho đến khi thời hạn tồn tại của tombstone hết hiệu lực. Nếu bạn khôi phục một trong các máy chủ miền từ bản sao lưu có tuổi đời lớn hơn thời hạn tồn tại của tombstone, bạn sẽ gặp phải tình trạng thông tin không nhất quán giữa các máy chủ miền Active Directory. Trong trường hợp này, máy chủ miền được khôi phục sẽ chứa thông tin về các đối tượng không còn tồn tại. Điều này có thể dẫn đến các lỗi tương ứng.

Nếu bạn cài đặt bất kỳ trình điều khiển hoặc ứng dụng nào trên máy chủ miền sau khi tạo bản sao lưu, chúng sẽ không hoạt động sau khi khôi phục từ bản sao lưu đó vì trạng thái hệ thống (bao gồm cả registry) sẽ được khôi phục về trạng thái trước đó. Đây chỉ là một lý do nữa để sao lưu Active Directory thường xuyên hơn một lần mỗi 60 ngày. Chúng tôi khuyến nghị mạnh mẽ rằng bạn nên sao lưu máy chủ miền Active Directory hàng đêm.

Sử dụng phần mềm đảm bảo tính nhất quán của dữ liệu

Giống như bất kỳ cơ sở dữ liệu nào khác, cơ sở dữ liệu Active Directory phải được sao lưu theo cách đảm bảo tính nhất quán của cơ sở dữ liệu được duy trì. Tính nhất quán có thể được duy trì tốt nhất nếu bạn sao lưu dữ liệu máy chủ Active Directory khi máy chủ đã tắt nguồn hoặc khi sử dụng Microsoft Dịch vụ Bản sao bóng thể tích (VSS) trên máy chủ đang chạy. Sao lưu máy chủ Active Directory trong trạng thái tắt nguồn có thể không phải là ý kiến hay nếu máy chủ hoạt động ở chế độ 24/7.

Các nguyên tắc tốt nhất về sao lưu Active Directory khuyến nghị sử dụng các ứng dụng sao lưu tương thích với VSS để sao lưu máy chủ chạy Active Directory. Các trình ghi VSS tạo bản sao lưu tạm thời (snapshot) để đóng băng trạng thái hệ thống cho đến khi quá trình sao lưu hoàn tất, nhằm ngăn chặn việc sửa đổi các tệp đang hoạt động được Active Directory sử dụng trong quá trình sao lưu.

Sử dụng các giải pháp sao lưu hỗ trợ khôi phục chi tiết

Khi khôi phục Active Directory, bạn có thể khôi phục toàn bộ máy chủ cùng với Active Directory và tất cả các đối tượng của nó. Việc thực hiện khôi phục toàn bộ có thể tốn nhiều thời gian, đặc biệt nếu cơ sở dữ liệu AD của bạn có kích thước lớn. Nếu một số đối tượng Active Directory bị xóa nhầm, bạn có thể muốn khôi phục chỉ những đối tượng đó mà không khôi phục phần còn lại. Các phương pháp hay nhất về sao lưu Active Directory khuyến nghị bạn nên sử dụng các phương pháp và ứng dụng sao lưu có thể thực hiện khôi phục chi tiết, tức là chỉ khôi phục các đối tượng Active Directory cụ thể từ bản sao lưu. Điều này cho phép bạn hạn chế thời gian dành cho việc khôi phục.

Các phương pháp sao lưu Active Directory gốc

Microsoft đã phát triển một loạt các công cụ gốc để sao lưu các máy chủ Windows, bao gồm các máy chủ chạy bộ điều khiển miền Active Directory.

Windows Server Backup Windows Server Backup là một tiện ích do Microsoft cung cấp kèm theo Windows Server 2008 và các phiên bản Windows Server mới hơn, thay thế cho tiện ích NTBackup được tích hợp sẵn trong Windows Server 2003. Để truy cập tiện ích này, bạn chỉ cần kích hoạt Windows Server Backup trong menu Thêm vai trò và tính năng . Windows Server Backup sở hữu giao diện người dùng đồ họa (GUI) mới và cho phép bạn tạo các bản sao lưu gia tăng bằng cách sử dụng VSS. Dữ liệu sao lưu được lưu vào tệp VHD – định dạng tệp tương tự được sử dụng cho Microsoft Hyper-V. Bạn có thể gắn các đĩa VHD này vào máy ảo hoặc máy vật lý và truy cập dữ liệu sao lưu. Lưu ý rằng, khác với tệp VHD được tạo bởi MVMC ( ), hình ảnh VHD trong trường hợp này không thể khởi động được. Bạn có thể sao lưu toàn bộ phân vùng hoặc chỉ trạng thái hệ thống bằng cách sử dụng lệnh . Ví dụ: Bạn nên chọn mục tiêu sao lưu khác với phân vùng mà bạn đang sao lưu dữ liệu, và không phải là thư mục chia sẻ từ xa. Khi cần khôi phục, bạn nên khởi động máy chủ miền vào Chế độ Khôi phục Dịch vụ Thư mục (Directory Services Restore Mode – DSRM) bằng cách nhấn phím F8 để mở các tùy chọn khởi động nâng cao (giống như khi bạn vào Chế độ An toàn). Sau đó, bạn nên sử dụng lệnh để chọn bản sao lưu phù hợp và bắt đầu khôi phục dữ liệu cần thiết. Bạn cũng có thể sử dụng để quản lý các đối tượng Active Directory cụ thể trên dòng lệnh trong quá trình khôi phục. Ưu điểm của việc sử dụng Windows Server Backup để sao lưu Active Directory bao gồm chi phí hợp lý, khả năng tương thích với VSS và khả năng sao lưu toàn bộ hệ thống hoặc chỉ các thành phần Active Directory. Nhược điểm bao gồm yêu cầu phải có kỹ năng và kiến thức phù hợp để cấu hình quy trình sao lưu và khôi phục. System Center Data Protection Manager Microsoft khuyến nghị sử dụng System Center Data Protection Manager (SC DPM) để sao lưu dữ liệu bao gồm Active Directory trong hạ tầng dựa trên Windows. SC DPM là giải pháp sao lưu và khôi phục tập trung cấp doanh nghiệp, là một phần của Bộ System Center và có thể được sử dụng để bảo vệ Windows Server, bao gồm các dịch vụ như Active Directory. Không giống như Windows Server Backup tích hợp miễn phí, SC DPM là phần mềm trả phí phải được triển khai riêng biệt như một giải pháp phức tạp. Quá trình cài đặt có thể hơi khó khăn so với Windows Server Backup.
Trình chuyển đổi máy ảo Microsoft wbadmin start systemstatebackup wbadmin start systemstatebackup --backuptarget:E:

wbadmin get versions -backupTarget:path_to_backup machine:name_of_server NTDSutil

Thực tế, cần phải cài đặt một trình sao lưu để đảm bảo máy tính của bạn được bảo vệ toàn diện.

Các tính năng chính của System Center Data Protection Manager liên quan đến sao lưu Active Directory bao gồm:

  • Hỗ trợ VSS
  • Sao lưu gia tăng
  • Sao lưu lên đám mây Microsoft Azure
  • Không hỗ trợ khôi phục đối tượng chi tiết cho Active Directory

Việc sử dụng SC DPM là hiệu quả nhất khi bạn cần bảo vệ một số lượng lớn máy tính Windows, bao gồm cả các máy chủ MS Exchange và MS SWL.

Sao lưu Bộ điều khiển miền ảo

Các phương pháp sao lưu Active Directory gốc được liệt kê có thể được sử dụng để sao lưu các máy chủ Active Directory được triển khai trên cả máy chủ vật lý và máy ảo. Việc chạy các máy chủ miền trên máy ảo mang lại một số lợi ích đặc biệt cho máy ảo, chẳng hạn như sao lưu cấp độ máy chủ, khả năng khôi phục dưới dạng máy ảo chạy trên các máy chủ vật lý khác nhau, v.v. Các nguyên tắc tốt nhất về sao lưu Active Directory khuyến nghị bạn sử dụng các giải pháp sao lưu cấp độ máy chủ khi sao lưu các máy chủ miền Active Directory chạy trên máy ảo ở cấp độ hypervisor.

Kết luận

Active Directory được phân loại là một trong những ứng dụng quan trọng nhất đối với doanh nghiệp, sự gián đoạn của nó có thể gây ra thời gian ngừng hoạt động cho người dùng và dịch vụ. Bài viết blog hôm nay đã giải thích các thực hành tốt nhất về sao lưu Active Directory để giúp bạn bảo vệ hạ tầng khỏi sự cố AD. Việc lựa chọn giải pháp sao lưu phù hợp là điểm quan trọng cần lưu ý trong trường hợp này.

NAKIVO Backup & Replication là giải pháp sao lưu cấp máy chủ phần mềm sao lưu cho VMware và các máy ảo Hyper-V chạy máy chủ miền Active Directory. Giải pháp này cho phép bạn sao lưu toàn bộ máy chủ miền ảo, ngay cả khi máy ảo đang chạy, đồng thời tuân thủ nhận thức về ứng dụng (sử dụng VSS) cũng như cung cấp khả năng khôi phục tức thì các đối tượng Active Directory. Không cần cài đặt bất kỳ phần mềm đại lý nào. NAKIVO Backup & Replication hỗ trợ khôi phục Active Directory theo từng phần, nhờ đó bạn có thể khôi phục các đối tượng và vùng chứa AD cụ thể mà không mất thời gian thực hiện khôi phục toàn bộ máy ảo. Tất nhiên, việc khôi phục toàn bộ máy ảo bộ điều khiển miền cũng được hỗ trợ.

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

1 năm bảo vệ dữ liệu miễn phí: NAKIVO Backup & Replication

Triển khai trong vòng 2 phút và bảo vệ dữ liệu trên môi trường ảo, đám mây, vật lý và SaaS. Các tùy chọn sao lưu, nhân bản và khôi phục tức thì.

Tải xuống phiên bản miễn phí

People also read

Picture
Các tùy chọn cấp phép cho VMware vCenter Server
Picture
Các nguyên tắc bảo mật tốt nhất cho Microsoft OneDrive
Picture
Các phương pháp hay nhất về khắc phục sự cố của VMware