Læs hele serien:
Ch.1-sikkerhedskopiering af domænecontroller
Ch.2 – Sådan gendannes en domænecontroller
Ch.3-Reanimating Active Directory gravsten objekter
Ch.4-udnyttelse af Active Directory Papirkurv
Microsoft Active Directory er en standard i virksomhedsmiljøer, hvor godkendelse og central brugeradministration er påkrævet. Det er næsten umuligt at forestille sig, hvordan systemadministratorer ville være i stand til at udføre deres job effektivt, hvis denne teknologi ikke eksisterede. Active Directory er ikke kun en stor magt, men det er også et stort ansvar — og det kræver at bruge meget tid på det for at maksimere dets evner.
formålet med denne serie er beregnet til at hjælpe dig med den vellykkede sikkerhedskopiering og gendannelse af Active Directory-domænetjenester med Veeam, hvilket giver dig alle nøglerne til smertefri ANNONCEBESKYTTELSE. Før du læser dette, vil du måske se på de bedste fremgangsmåder til ANNONCEADMINISTRATIONSSERIER, vi sendte for et stykke tid siden.
den aktuelle serie vil diskutere, hvordan Veeam kan beskytte Active Directory data — Bevar Domain Controllers (DCs) eller individuelle ANNONCEOBJEKTER og gendanne en af dem, når det er nødvendigt.
i dag skal jeg tale om de sikkerhedskopieringsmuligheder, Veeam tilbyder til både fysiske og virtualiserede domænecontrollere, og backup overvejelser at huske på, mens du gør det.
backup Domain Controller overvejelser
som Active Directory Domain Services designet med en slags redundans, så de fælles backup regler og taktik kan afbødes og tilpasses til dette niveau. Det ville ikke være rigtigt at anvende den samme backuppolitik, som du har til os eller Udvekslingsserver her. Nedenfor er nogle overvejelser, som jeg tror kan være nyttige til at oprette dine egne Active Directory-politikker:
- få mere at vide om, hvilke domænecontrollere der har FSMO-roller (fleksibel single Master Operations) i dit miljø. Tip: en simpel kommando til at kontrollere dette via kommandolinjen: >netdom-forespørgsel fsmo
når du udfører en fuld domænegendannelse, vil du måske starte fra DC med de fleste FSMO-roller, normalt en med PDC-emulatorrolle. Ellers bliver du nødt til at overføre roller manuelt efter gendannelsen med ntdsutil-beslaglæggelseskommandoen. Vær opmærksom på det, når du planlægger backup og prioriterer domænecontrollere i overensstemmelse hermed. Se Active Directory basics hvidbog for at lære mere om FSMO roller.
- hvis du har flere domænecontrollere til siden, og du leder efter beskyttelse af individuelle objekter, er der ingen grund til at sikkerhedskopiere alle DCs, som for gendannelse på elementniveau, en kopi af Active Directory database (NTD ‘ er.dit) ville være tilstrækkeligt
- der er ting, der altid kan mindske risikoen for utilsigtet/forsætlig sletning/ændring af ANNONCEOBJEKTER. Overvej administration operations’ delegation, opsætning af begrænset adgang til forhøjede grupper og vedligeholdelse af et “lag” — sted
- det anbefales normalt at udføre backup af en domænecontroller pr. Veeam Backup & Replication v7 med Patch 3 og fremefter) ved, hvordan man håndterer dette
- hvis du har et virtuelt miljø, og det ikke er muligt at oprette forbindelse til din domænecontroller over netværket, som f.eks. I dette tilfælde vil Veeam mislykkes over til Viks og bør være i stand til at behandle din DC.
Sådan sikkerhedskopieres en virtuel domænecontroller
Microsofts Active Directory-tjenester organiserer og opbevarer oplysninger om individuelle objekter i skoven og gemmer dem i en relationsdatabase (NTD ‘ er.dit), hostet af en domænecontroller. Backup af en domænecontroller har tidligere været en trættende proces, der involverer sikkerhedskopiering af serverens systemtilstand. Det er et velkendt faktum, at Active Directory-tjenester ikke bruger mange ressourcer i systemet, så domænecontrollere ser ud til at være de første servere, der altid virtualiseres i miljøet. Hvis du tilfældigvis deler den gamle tro på “kun fysisk DCs”, henvises til dette indlæg.
når de er virtualiserede, er de ret nemme at administrere af et domæne/systemadministrator og kan nemt sikkerhedskopieres med Veeam Backup & replikation. Hvad angår detaljer, skal du have Veeam Backup & replikation installeret og konfigureret. Systemkravene (i version 9.0) er som følger:
virtuel platform: vSphere 4.1 og nyere; Microsoft Hyper-V 2008 R2 SP1 og nyere
Veeam server: vinduer Server 2008 SP2 og nyere; vinduer 7 SP1 og nyere, 64-bit OS
domænecontroller virtuel maskine (VM): vinduer Server 2003 SP1 og nyere, det mindste understøttede skovfunktionsniveau for vinduer 2003
tilladelser: administrative rettigheder for Target Active Directory. Konto for en virksomhedsadministrator eller domæneadministrator.
denne artikel har ikke til hensigt at dække en proces med Veeam Backup & replikation installation og konfiguration, som det allerede er blevet defineret et par gange. Men hvis du har brug for hjælp til det, henvises til følgende video optaget af en Veeam systemingeniør.
jeg har tænkt mig at antage, at du har alt kører fint. Nu vil du konfigurere en sikkerhedskopieringsopgave til din virtuelle domænecontroller. Konfigurationsprocessen er ret simpel (se figur 1 nedenfor):
1. Start en backup jobskabelse guiden
2. Tilføj en ønsket domænecontroller til opgaven
3. Angiv opbevaringspolitikken for backupkæden
4. Sørg for, at du aktiverer programbevidst billedbehandling (aaip) for at sikre transaktionskonsistens for OS og applikationer, der kører på VM, herunder Active Directory-databasen og SYSVOL-kataloget
Bemærk: Aaip er en Veeam-teknologi, der gør det muligt for programmer at sikkerhedskopiere VM ‘ er på en programbevidst måde. Dette indebærer at opdage applikationer af et gæst OS-system og indsamle deres metadata, stille dem ved hjælp af tilsvarende Microsoft VSS-forfattere, forberede applikationsspecifik VSS-gendannelsesprocedure, der skal finde sted ved første opstart af den gendannede VM, og afkorte applikationens transaktionslogfiler, hvis backupopgaven er vellykket. Der henvises til aaip dokumentation for detaljer.
ikke at aktivere AAIP vil ikke udløse Domain Controller guest os til at indse, at det blev sikkerhedskopieret og beskyttet. Så et stykke tid senere bemærker du muligvis en intern advarsel i serverlogfiler — event 2089, der angiver, at der ikke var nogen sikkerhedskopi til “backup latency interval” – dage.
5. Planlæg et job eller kør det manuelt
6. Sørg for, at opgaven er fuldført uden fejl eller advarsler
7. Find den nyoprettede backup-fil i backup repository — det er det!
derudover kan du gemme en sikkerhedskopi i skyen med Veeam Cloud Connect (VCC) tjenesteudbyder eller et andet backup-lager ved hjælp af Veeam Backup Copy jobs eller arkivere det til tape med Backup til Tape job. Det vigtigste er, at backup nu er sikker og kan gendannes, så snart du har brug for det.
Sådan sikkerhedskopieres en fysisk domænecontroller
helt ærligt håber jeg, at du har opdateret annoncetjenester i din virksomhed, og at dine domænecontrollere er blevet virtualiseret i lang tid. Hvis ikke, håber jeg, at du i det mindste har opdateret dine domænecontrollere, og at de kører relativt moderne vinduer Server OS-versioner, vinduer Server 2008 R2 eller nyere. (Hvis du administrerer ældre systemer, skal du springe over nedenstående og gå til den tredje artikel med det samme)
så har du en fysisk domænecontroller — eller et sæt af dem — der kører på vinduer Server 2008 R2 eller nyere, og du vil beskytte din annonce? Mød Veeam Endpoint Backup, værktøjet havde til formål at sikre, at data på dine resterende fysiske endepunkter og servere er sikre og sikre. Veeam Endpoint Backup fanger de ønskede data på den fysiske maskine og gemmer dem i en sikkerhedskopifil. Derefter, i tilfælde af en katastrofe, du er i stand til at udføre en gendannelse af bare metal eller volumen-niveau-mens du har fuld kontrol over gendannelsesprocedurer. Plus, element-niveau opsving med Veeam Stifinder til Microsoft Active Directory.
for at sikkerhedskopiere din fysiske domænecontroller med dette værktøj skal du:
- Hent Veeam Endpoint Backup gratis fra denne side og kopier den til din DC
- start installationsguiden, accepter licensaftalen og installer programmet
Bemærk: læs disse instruktioner for installation i uovervåget tilstand.
- Konfigurer et backup-job ved at vælge passende backup-tilstand. Sikkerhedskopiering af hele computeren er den enkleste og anbefalede tilgang. Når du bruger backup-tilstand på filniveau, skal du sørge for at vælge operativsystem som et objekt, der skal sikkerhedskopieres (se figur 3). Dette sikrer, at programmet indfanger alle filer, der kræves for bare-metal restore, Active Directory database og SYSVOL katalog vil også blive gemt. Se en produktbrugervejledning for detaljer
Bemærk: Hvis du har Veeam Backup & Replikeringsinstans i din infrastruktur, og du gerne vil bruge et konfigureret Veeam Backup-lager til at acceptere endpoint-sikkerhedskopier, skal du konfigurere det lige fra Veeam Backup & replikation (Ctrl-Højreklik på et ønsket lager, Tillad adgang til lageret og aktiver sikkerhedskopieringskryptering, hvis det er nødvendigt, Se figur 4).
- Kør sikkerhedskopien, og sørg for, at den er færdig uden fejl
- Voila! Sikkerhedskopien er færdig, og din domænecontroller er beskyttet fra nu af. Gå til backupdestinationen og find backupen eller backupkæden
Bemærk. Hvis du konfigurerede en Veeam Backup & Replication repository som et mål for DC backup, for at finde den nyoprettede backup i Backups > Disk node, placeret til endpoint Backups node.
konklusion
er domæne Controller backup så simpelt? Ja og nej. Succesfuld backup er fantastisk til at begynde med, men det er ikke alt hvad du behøver. Som vi siger på Veeam, ” Backup er ikke værd en krone, hvis du ikke kan gendanne fra det.”
følgende artikler i denne serie er dedikeret til forskellige Active Directory-gendannelsesscenarier, herunder gendannelse af en bestemt domænecontroller, samt gendannelse af individuelle slettede og ændrede objekter ved hjælp af native Microsoft utilities og Veeam Stifinder til Active Directory.
Se også
- hvidbog granulær Gendannelse af Active Directory-objekter
- Veeam Community Forums: sikkerhedskopiering af domænecontroller i et andet ANNONCEDOMÆNEUDGAVE