Fazendo backup de DC para um caso catastrófico

Estou configurando backups externos para os elementos mais críticos da empresa em que trabalho. Um desses elementos críticos é o CD.

Agora, a empresa é bastante pequena, portanto, possui apenas uma floresta e dois servidores DC em máquinas físicas separadas (uma virtualizada, no entanto). Dito isto, uma falha crítica na sala do servidor pode destruir essas duas máquinas.

Então, estou tentando criar um backup de DC para um cenário de caso crítico. Continuo lendo online que o backup do estado do sistema é suficiente, mas sinto que isso só é válido se você quiser restaurar o controlador de domínio no mesmo servidor em que o backup foi realizado. Tentei fazer um backup do estado do sistema e restaurá-lo em uma VM isolada (mesmo servidor, mesmas atualizações), e isso ... não correu tão bem; a restauração foi boa, mas não pude entrar em contato com o controlador de domínio local, mesmo se eu garantisse que a VM tivesse o mesmo IP de antes (ainda isolado, é claro). Nenhum dos consoles administrativos relacionados ao controlador de domínio também funcionou. Houve até um aviso durante a restauração de que a restauração de um estado do sistema de outra máquina não é sugerida.

Portanto, sinto que essa é a abordagem errada. Então ... qual é a abordagem correta, se eu quiser fazer backup de nosso DC fora do local, para cobrir uma falha crítica? Um backup completo da unidade C: + Estado do sistema ou eu poderia apenas fazer backup de toda a unidade para esse controlador de domínio virtualizado, mas estou tentando fazer o backup o menor possível.

EDIT: Estou tentando fazer o backup o menor possível, para não pular custos, mas nos tempos de upload.

PS. Estou usando o aplicativo de Backup do Azure, mas não acho que seja relevante. Atualmente, todos os nossos controladores de domínio estão executando o Windows Server 2016.

Uma restauração do estado do sistema pode funcionar, mas o único método suportado pela Microsoft é uma recuperação completa da imagem do sistema. Isso inclui o estado do sistema.

Uma recuperação completa da floresta é complexa, portanto, você precisa revisar o seguinte documento e criar seu próprio documento com as etapas necessárias:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide

Estou tentando fazer o backup o menor possível ...

Essa é uma abordagem comum e incorreta.

Você está protegendo um dos ativos de tecnologia da informação mais importantes da empresa. Trate-o como tal. Nada menos que um backup completo do controlador de domínio é aceitável. Você pode usar o Backup do Windows Server interno para fazer um backup completo e sem recuperação do controlador de domínio.

Os CDs são tipicamente pequenos. Provavelmente, você pode ajustar a totalidade de um backup completo do controlador de domínio em uma unidade USB de US $ 20,00. Não economize.

Entendo ... software e armazenamento de backup podem ser caros ... especialmente com o tempo. Não ouço muitos administradores de TI falando sobre maneiras de reduzir esses custos. Não negocie sua capacidade de recuperar qualquer coisa e / ou tudo simplesmente para reduzir custos. Você precisa determinar quanta proteção (na forma de backups) você precisa e como equilibrar essa necessidade com o que você tem disponível no seu orçamento de TI. Os backups são como seguros. Quanto seguro você deseja / precisa e quanto está disposto a pagar por ele?

Não quero ser a pessoa que precisa explicar ao CEO que não podemos recuperar uma parte crítica da infraestrutura de TI porque estávamos tentando economizar alguns dólares.

Minha abordagem aos backups é que é melhor tê-los e não precisar deles do que precisar deles e não tê-los.

De uma perspectiva operacional e técnica, prefiro restaurar um backup completo da BMR de um controlador de domínio, em seguida, tentar restaurar o estado do sistema do controlador de domínio em uma nova máquina.