Lea la serie completa:
Ch.1-Copia de seguridad del Controlador de dominio
Ch.2-Cómo recuperar un Controlador de dominio
Ch.3-Reanimar objetos de lápida sepulcral de Active Directory
Ch.4-Aprovechar la papelera de reciclaje de Active Directory
Microsoft Active Directory es un estándar en entornos corporativos donde se requiere autenticación y administración central de usuarios. Es casi imposible imaginar cómo los administradores de sistemas podrían hacer su trabajo de manera efectiva si esta tecnología no existiera. Active Directory no solo es una gran potencia, sino que también es una gran responsabilidad, y requiere pasar mucho tiempo con él para maximizar sus capacidades.
El propósito de esta serie es ayudarlo con el backup y recuperación exitosos de los Servicios de Dominio de Active Directory con Veeam, brindándole todas las claves para una protección de anuncios indolora. Antes de leer esto, es posible que quieras echar un vistazo a la serie de prácticas recomendadas para la administración de anuncios que publicamos hace un tiempo.
La serie actual analizará cómo Veeam puede proteger Controladores de dominio (DCs) de conservación de datos de Active Directory u objetos AD individuales y recuperar cualquiera de ellos cuando sea necesario.
Hoy, voy a hablar sobre las opciones de backup que Veeam ofrece para Controladores de dominio físicos y virtualizados, y las consideraciones de backup a tener en cuenta mientras lo hace.
Consideraciones del Controlador de dominio de copia de seguridad
Como Servicios de dominio de Active Directory diseñados con una especie de redundancia, por lo que las reglas y tácticas de copia de seguridad comunes se pueden mitigar y adaptar a este nivel. No sería correcto aplicar la misma política de copia de seguridad que tiene para SQL o Exchange server aquí. A continuación se presentan algunas consideraciones que creo que podrían ser útiles para crear sus propias directivas de Active Directory:
- Descubra qué funciones de Operaciones Maestras Únicas Flexibles (FSMO) tienen los controladores de dominio en su entorno. Sugerencia: un comando simple para verificar esto a través de la línea de comandos: > netdom query fsmo
Al realizar una recuperación de dominio completa, es posible que desee comenzar desde el DC con la mayoría de los roles FSMO, generalmente uno con el rol de emulador de PDC. De lo contrario, tendrá que transferir roles manualmente después del comando restaurar con ntdsutil seize. Tenga en cuenta esto al planificar copias de seguridad y priorizar los controladores de dominio en consecuencia. Consulte el libro blanco de conceptos básicos de Active Directory para obtener más información sobre los roles FSMO.
- Si tiene varios Controladores de dominio para el sitio y está buscando protección de objetos individuales, no es necesario hacer una copia de seguridad de todos los DCs, como para la recuperación a nivel de elemento, una copia de la base de datos de Active Directory (ntd).dit) sería suficiente
- Hay cosas que siempre pueden mitigar el riesgo de eliminación/cambio accidental/intencional de objetos de ANUNCIO. Considere la delegación de operaciones de administración, la configuración del acceso restringido a grupos elevados y el mantenimiento de un sitio «lag»
- Por lo general, se recomienda realizar copias de seguridad de un Controlador de dominio por vez, para no interferir con la replicación DFS, incluso si las aplicaciones de copia de seguridad modernas (ej. Veeam Backup & Replication v7 con Parche 3 y posteriores) sepa cómo lidiar con esto
- Si tiene un entorno virtual VMware y no es posible conectarse a su Controlador de dominio a través de la red, como por ejemplo, puede estar en DMZ. En este caso, Veeam fallará al VIX y debería ser capaz de procesar su DC.
Cómo hacer una copia de seguridad de un controlador de dominio virtual
Los servicios de Active Directory de Microsoft organizan y mantienen información sobre objetos individuales dentro del bosque y la almacenan en una base de datos relacional (ntd).dit), alojado por un controlador de dominio. La copia de seguridad de un Controlador de dominio ha sido previamente un proceso tedioso, que implica realizar copias de seguridad del estado del sistema del servidor. Es un hecho bien conocido que los servicios de Active Directory no consumen muchos recursos del sistema, por lo que los controladores de dominio parecen ser los primeros servidores que siempre están virtualizados en el entorno. Si comparte la antigua creencia de» solo DCs físico», consulte este artículo.
Una vez virtualizados, son bastante fáciles de gestionar por un administrador de dominio/sistema y se pueden realizar copias de seguridad fácilmente con la replicación Veeam Backup &. En cuanto a los detalles, debe tener instalada y configurada la replicación Veeam Backup &. Los requisitos del sistema (de la versión 9.0) son los siguientes:
Plataforma virtual: VMware vSphere 4.1 y versiones posteriores; Microsoft Hyper-V 2008 R2 SP1 y versiones posteriores
Veeam server: Windows Server 2008 SP2 y versiones posteriores; Windows 7 SP1 y versiones posteriores, sistema operativo de 64 bits
Máquina virtual (VM) de controlador de dominio: Windows Server 2003 SP1 y versiones posteriores, el nivel 2003
Permisos: Derechos administrativos para el Directorio activo de destino. Cuenta de un administrador de empresa o de dominio.
Este artículo no pretende cubrir un proceso de instalación y configuración de replicación de Veeam Backup &, ya que ya se ha definido varias veces. Pero, si necesita ayuda con eso, consulte el siguiente video grabado por un ingeniero de sistemas de Veeam.
Voy a asumir que tienes todo funcionando bien. Ahora desea configurar una tarea de copia de seguridad para su Controlador de dominio virtual. El proceso de configuración es bastante simple (ver figura 1 a continuación):
1. Inicie un asistente de creación de trabajos de copia de seguridad
2. Agregue un Controlador de dominio deseado a la tarea
3. Especifique la directiva de retención para la cadena de copia de seguridad
4. Asegúrese de habilitar el procesamiento de imágenes con reconocimiento de aplicaciones (AAIP) para garantizar la coherencia transaccional del sistema operativo y las aplicaciones que se ejecutan en la máquina virtual, incluida la base de datos de Active Directory y el catálogo SYSVOL
Nota: AAIP es una tecnología de Veeam que permite que el software realice copias de seguridad de máquinas virtuales de una manera con reconocimiento de aplicaciones. Esto implica detectar aplicaciones de un sistema operativo invitado y recopilar sus metadatos, desactivarlas con los correspondientes escritores de Microsoft VSS, preparar el procedimiento de restauración de VSS específico de la aplicación para que se lleve a cabo en el primer arranque de la máquina virtual restaurada y truncar los registros de transacciones de la aplicación si la tarea de copia de seguridad se realiza correctamente. Consulte la documentación del AAIP para obtener más detalles.
No habilitar AAIP no activará el SO invitado del Controlador de dominio para darse cuenta de que se realizó una copia de seguridad y se protegió. Por lo tanto, un tiempo después, es posible que note una advertencia interna en los registros del servidor — evento 2089, que indica que no hubo copia de seguridad para los días de «intervalo de latencia de copia de seguridad».
5. Programe un trabajo o ejecútelo manualmente
6. Asegúrese de que el trabajo se completó correctamente sin errores ni advertencias
7. Encuentre el archivo de copia de seguridad recién creado en el repositorio de copia de seguridad, ¡eso es todo!
Además, puede almacenar un backup en la nube con el proveedor de servicios Veeam Cloud Connect (VCC) u otro repositorio de backup mediante trabajos de copia de backup de Veeam o archivarlo en cinta con trabajos de copia de backup en cinta. Lo más importante es que la copia de seguridad ahora es segura y se puede restaurar tan pronto como la necesite.
Cómo hacer una copia de seguridad de un Controlador de dominio físico
Francamente, espero que haya estado actualizando los servicios de anuncios en su empresa y que sus Controladores de dominio se hayan virtualizado durante mucho tiempo. Si no, espero que al menos haya estado actualizando sus Controladores de dominio y que estén ejecutando versiones relativamente modernas del sistema operativo Windows Server, Windows Server 2008 R2 o posteriores. (Si administra sistemas antiguos, omita lo siguiente y vaya al tercer artículo de inmediato)
Por lo tanto, tiene un Controlador de dominio físico, o un conjunto de ellos, que se ejecuta en Windows Server 2008 R2 o posterior, y desea proteger su ANUNCIO? Conozca Veeam Endpoint Backup, la utilidad destinada a garantizar que los datos de los endpoints y servidores físicos restantes estén seguros y protegidos. Veeam Endpoint Backup captura los datos deseados de la máquina física y los almacena en un archivo de backup. Luego, en caso de desastre, puede realizar una restauración a nivel de volumen o de metal desnudo, mientras tiene el control total de los procedimientos de recuperación. Además, recuperación a nivel de elemento con Veeam Explorer para Microsoft Active Directory.
Para hacer una copia de seguridad de su Controlador de dominio físico con esta herramienta, debe:
- Descargue Veeam Endpoint Backup GRATIS desde esta página y cópielo a su DC
- Inicie el asistente de instalación, acepte el acuerdo de licencia e instale el programa
Nota: lea estas instrucciones para instalar en Modo desatendido.
- Configure un trabajo de copia de seguridad seleccionando el modo de copia de seguridad adecuado. La copia de seguridad de todo el equipo es el enfoque más simple y recomendado. Cuando utilice el modo de copia de seguridad a nivel de archivo, asegúrese de seleccionar el sistema operativo como objeto para la copia de seguridad (consulte la Figura 3). Esto garantiza que el programa capture todos los archivos necesarios para la restauración desde cero, la base de datos de Active Directory y el catálogo SYSVOL también se guardarán. Consulte la guía del usuario del producto para obtener más detalles
Nota: Si tiene una instancia de replicación de Veeam Backup & en su infraestructura y desea utilizar un Repositorio de Backup de Veeam configurado para aceptar backups de endpoint, vuelva a configurarlo directamente desde la replicación de Veeam Backup & (Ctrl-clic con el botón derecho en un repositorio deseado, permita el acceso al repositorio y habilite el cifrado de backups si es necesario, consulte la Figura 4).
- Ejecute la copia de seguridad y asegúrese de que se realice sin errores
- ¡Voila! La copia de seguridad está terminada y su Controlador de dominio está protegido a partir de ahora. Vaya al destino de la copia de seguridad y busque la copia de seguridad o la cadena de copias de seguridad
Nota. Si ha configurado un repositorio de replicación Veeam Backup & como destino para backup DC, para encontrar el backup recién creado en el nodo de disco Backups >, ubicado en el nodo de Backups de Endpoint.
Conclusión
¿El backup de Controladores de dominio es tan simple? Sí y no. Una copia de seguridad exitosa es excelente para empezar, pero eso no es todo lo que necesita. Como decimos en Veeam, » El backup no vale ni un centavo si no se puede restaurar desde él.»
Los siguientes artículos de esta serie están dedicados a diferentes escenarios de recuperación de Active Directory, incluida la restauración de un Controlador de dominio en particular, así como la recuperación de objetos individuales eliminados y modificados utilizando utilidades nativas de Microsoft y Veeam Explorer para Active Directory.
Consulte también
- Documento técnico Recuperación granular de objetos de Active Directory
- Foros de la comunidad de Veeam: Copia de seguridad del Controlador de dominio en otro problema de dominio de AD