备份和恢复网域

本主题介绍了如何在 Managed Service for Microsoft Active Directory 中执行以下任务:

  • 备份现有网域,以保存网域的当前状态。
  • 列出可供您的网域使用的备份。
  • 使用备份将网域恢复到之前的状态。
  • 获取有关特定备份的元数据信息。
  • 更新备份的标签。
  • 删除您不再需要的备份。

概览

代管式 Microsoft AD 支持备份和恢复您的网域。有三种类型的备份可用:

  • 按需备份:您可以随时在代管式 Microsoft AD 中按需备份网域。您最多可以创建 5 个按需备份。如果网域已包含 5 个按需备份,则必须先删除一个现有备份,然后才能创建新备份。
  • 定期备份:系统会每 12 小时自动创建一次定期备份。
  • 架构扩展备份:当您发起架构扩展时,代管式 Microsoft AD 会自动创建备份。一个网域在任何时间点最多只能有 10 个架构扩展程序备份。如果某个网域已有 10 个架构扩展备份,那么当您发起架构扩展时,托管式 Microsoft AD 会先按时间顺序删除现有架构扩展备份,然后再创建新的备份。

您可以使用上述任意一种备份类型执行权威恢复,将网域恢复到先前的时间点。

备份操作会从主区域网域控制器中进行备份。恢复后,系统会自动将其复制到所有地区。

请注意,在恢复期间,您将无法使用网域。

准备工作

  1. 确保您已创建代管式 Microsoft AD 网域

  2. 确保您拥有以下任一 IAM 用户角色:

    • Google Cloud Managed Identities Backup Admin (roles/managedidentities.backupAdmin)
    • Google Cloud Managed Identities Domain Admin (roles/managedidentities.domainAdmin)

    如需了解详情,请参阅 Cloud 托管的身份角色

    如需详细了解如何向用户分配 IAM 角色,请参阅授予访问权限

收集信息

您需要以下信息才能处理备份:

  • 域名:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com

  • 备份名称:备份名称必须遵循以下规则:

    • 必须以字母开头。
    • 必须包含 1 到 63 个字符。
    • 必须以数字或字母结尾。
    • 在网域中必须是唯一的。

使用按需备份

您可以按需创建域名的备份,并更新其标签。您可以从创建代管式 Microsoft AD 网域的项目中运行以下 gcloud CLI 命令。

创建按需备份

如需创建网域的按需备份,请运行以下 gcloud CLI 命令:

gcloud active-directory domains backups create BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

替换以下内容:

  • BACKUP_NAME:按需域名备份的名称。例如 my-domain-backup
  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

您会收到以下响应,它表示已开始创建备份:

Create request issued for: [BACKUP_NAME]
Waiting for operation [OPERATION_ID] to complete...

创建备份最多可能需要 90 分钟。或者,您可以添加 --async 标志,以便在后台执行该命令。请注意,您可以重复此过程,为网域创建最多 5 个独立的按需备份。

更新按需备份的标签

如需更新按需备份的标签,请运行以下 gcloud CLI 命令:

gcloud active-directory domains backups update BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID \
  --update-labels=KEY=VALUE

替换以下内容:

  • BACKUP_NAME:您的按需域名备份的名称。例如 my-domain-backup
  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project
  • KEYVALUE:您要添加到域名备份中的键值对。例如 backupcount=1

管理备份

如需管理所有类型的备份,您可以从创建代管式 Microsoft AD 网域的项目中运行以下 gcloud CLI 命令。

列出备份

您可以列出为特定网域创建的备份。运行以下 gcloud CLI 命令:

gcloud active-directory domains backups list \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

替换以下内容:

  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

获取备份信息

您可以检索特定于网域备份的所有信息。运行以下 gcloud CLI 命令:

gcloud active-directory domains backups describe BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

替换以下内容:

  • BACKUP_NAME:域名备份的名称。例如 my-domain-backup
  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

删除备份

如需删除备份,请运行以下 gcloud CLI 命令:

gcloud active-directory domains backups delete BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

替换以下内容:

  • BACKUP_NAME:域名备份的名称。例如 my-domain-backup
  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

从备份恢复网域

您可以使用域名的任何备份将其恢复到之前的状态。

在恢复域名之前,请务必参阅以下注意事项

如需恢复网域,请从创建代管式 Microsoft AD 网域的项目中运行以下 gcloud CLI 命令。

gcloud active-directory domains restore DOMAIN_NAME \
  --backup=BACKUP_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

替换以下内容:

  • DOMAIN_NAME:托管式 Microsoft AD 网域的名称。例如 my-domain.example.com
  • BACKUP_NAME:域名备份的名称。例如 my-domain-backup
  • DOMAIN_RESOURCE_PROJECT_ID:网域资源项目的项目 ID。例如 my-project

您会收到以下响应,它表示已开始恢复过程:

Request issued for: [DOMAIN_NAME]
Waiting for operation [OPERATION_ID] to complete...

恢复网域最多可能需要 90 分钟。或者,您可以添加 --async 标志,以便在后台执行该命令。