Lesen Sie die vollständige Serie:
Ch.1 – Sichern des Domänencontrollers
Ch.2 – Wiederherstellen eines Domänencontrollers
Ch.3 – Reanimieren von Active Directory-Tombstone-Objekten
Ch.4 – Nutzung des Active Directory-Papierkorbs
Microsoft Active Directory ist ein Standard in Unternehmensumgebungen, in denen Authentifizierung und zentrale Benutzerverwaltung erforderlich sind. Es ist fast unmöglich, sich vorzustellen, wie Systemadministratoren ihre Arbeit effektiv erledigen könnten, wenn diese Technologie nicht existieren würde. Active Directory ist nicht nur eine große Macht, sondern auch eine große Verantwortung — und es erfordert viel Zeit damit, um seine Fähigkeiten zu maximieren.
Der Zweck dieser Serie ist es, Sie bei der erfolgreichen Sicherung und Wiederherstellung von Active Directory-Domänendiensten mit Veeam zu unterstützen und Ihnen alle Schlüssel für einen schmerzlosen AD-Schutz zu geben. Bevor Sie dies lesen, sollten Sie sich die Best Practices für die Anzeigenverwaltung ansehen, die wir vor einiger Zeit veröffentlicht haben.
In der aktuellen Serie wird erläutert, wie Veeam Active Directory—Daten schützen kann – Domänencontroller (DCs) oder einzelne AD-Objekte erhalten und bei Bedarf wiederherstellen.
Heute werde ich über die Backup-Optionen sprechen, die Veeam sowohl für physische als auch für virtualisierte Domänencontroller bietet, und Backup-Überlegungen, die Sie dabei berücksichtigen sollten.
Überlegungen zum Backup-Domänencontroller
Da Active Directory-Domänendienste mit einer Art Redundanz ausgelegt sind, können die gängigen Sicherungsregeln und -taktiken gemildert und an diese Ebene angepasst werden. Es wäre nicht richtig, hier dieselbe Sicherungsrichtlinie anzuwenden, die Sie für SQL oder Exchange Server haben. Im Folgenden finden Sie einige Überlegungen, die meiner Meinung nach hilfreich sein können, um Ihre eigenen Active Directory-Richtlinien zu erstellen:
- Erfahren Sie, welche Domänencontroller flexible Single Master Operations (FSMO)-Rollen in Ihrer Umgebung haben. Tipp: Ein einfacher Befehl, um dies über die Befehlszeile zu überprüfen: >netdom query fsmo
Wenn Sie eine vollständige Domänenwiederherstellung durchführen, möchten Sie möglicherweise vom DC mit den meisten FSMO-Rollen ausgehen, normalerweise einer mit PDC-Emulatorrolle. Andernfalls müssen Sie die Rollen nach der Wiederherstellung mit dem Befehl ntdsutil restore manuell übertragen. Beachten Sie dies bei der Planung von Backups und priorisieren Sie Domänencontroller entsprechend. Weitere Informationen zu FSMO-Rollen finden Sie im Whitepaper Active Directory-Grundlagen.
- Wenn Sie mehrere Domänencontroller für die Site haben und nach dem Schutz einzelner Objekte suchen, müssen Sie nicht alle DCs sichern, da für die Wiederherstellung auf Elementebene eine Kopie der Active Directory-Datenbank (ntds.dit) wäre ausreichend
- Es gibt Dinge, die das Risiko eines versehentlichen / vorsätzlichen Löschens / Änderns von Anzeigenobjekten immer mindern können. Betrachten Sie die Delegierung von Verwaltungsvorgängen, das Einrichten des eingeschränkten Zugriffs auf erhöhte Gruppen und das Verwalten einer „Lag“ -Site
- Es wird normalerweise empfohlen, ein Backup eines Domänencontrollers pro Zeit durchzuführen, um die DFS-Replikation nicht zu beeinträchtigen – selbst wenn die modernen Sicherungsanwendungen (z. Veeam Backup & (v7 mit Patch 3 und höher) wissen, wie man damit umgeht
- Wenn Sie über eine virtuelle VMware-Umgebung verfügen und keine Verbindung zu Ihrem Domänencontroller über das Netzwerk herstellen können, z. B. in DMZ. In diesem Fall führt Veeam ein Failover zum VIX durch und sollte in der Lage sein, Ihren DC zu verarbeiten.
Sichern eines virtuellen Domänencontrollers
Die Active Directory-Dienste von Microsoft organisieren und speichern Informationen zu einzelnen Objekten in der Gesamtstruktur und speichern sie in einer relationalen Datenbank (ntds.dit), die von einem Domänencontroller gehostet werden. Die Sicherung eines Domänencontrollers war bisher ein mühsamer Prozess, bei dem der Systemstatus des Servers gesichert wurde. Es ist eine bekannte Tatsache, dass Active Directory-Dienste nicht viele Ressourcen des Systems verbrauchen, sodass Domänencontroller die ersten Server zu sein scheinen, die in der Umgebung immer virtualisiert werden. Wenn Sie den alten Glauben an „nur physische DCs“ teilen, lesen Sie bitte diesen Beitrag.
Einmal virtualisiert, lassen sie sich recht einfach von einem Domänen- /Systemadministrator verwalten und mit der Veeam Backup & -Replikation problemlos sichern. Für Details sollten Sie Veeam Backup & Replication installiert und konfiguriert haben. Die Systemanforderungen (der Version 9.0) sind wie folgt:
Virtuelle plattform: VMware vSphere 4,1 und neuere; Microsoft Hyper-V 2008 R2 SP1 und neuere
Veeam server: Windows Server 2008 SP2 und neuere; Windows 7 SP1 und neuere, 64-bit OS
Domain controller virtuelle maschine (VM): Windows Server 2003 SP1 und neuere, die mindest unterstützt wald funktionale ebene von Windows 2003
Berechtigungen: Administratorrechte für das Active Directory-Ziel. Konto eines Unternehmensadministrators oder Domänenadministrators.
Dieser Artikel behandelt nicht den Prozess der Installation und Konfiguration der Veeam Backup & -replikation, da er bereits einige Male definiert wurde. Wenn Sie jedoch Hilfe benötigen, lesen Sie bitte das folgende Video, das von einem Veeam-Systemingenieur aufgenommen wurde.
Ich gehe davon aus, dass alles gut läuft. Jetzt möchten Sie eine Sicherungsaufgabe für Ihren virtuellen Domänencontroller konfigurieren. Der Prozess der Konfiguration ist ziemlich einfach (siehe Abbildung 1 unten):
1. Starten Sie einen Assistenten zur Erstellung von Sicherungsaufträgen
2. Fügen Sie der Aufgabe
einen gewünschten Domänencontroller hinzu 3. Geben Sie die Aufbewahrungsrichtlinie für die Sicherungskette
an 4. Stellen Sie sicher, dass Sie Application-Aware Image Processing (AAIP) aktivieren, um die Transaktionskonsistenz des Betriebssystems und der auf der VM ausgeführten Anwendungen sicherzustellen, einschließlich der Active Directory-Datenbank und des SYSVOL-Katalogs
Hinweis: AAIP ist eine Veeam-Technologie, mit der Software VMs anwendungsbezogen sichern kann. Dies beinhaltet das Erkennen von Anwendungen eines Gastbetriebssystemsystems und das Sammeln ihrer Metadaten, das Beruhigen mit entsprechenden Microsoft VSS-Writern, das Vorbereiten eines anwendungsspezifischen VSS-Wiederherstellungsvorgangs, der beim ersten Hochfahren der wiederhergestellten VM ausgeführt wird, und das Abschneiden der Transaktionsprotokolle der Anwendung, wenn die Sicherungsaufgabe erfolgreich ist. Einzelheiten finden Sie in der AAIP-Dokumentation.
Wenn AAIP nicht aktiviert wird, erkennt das Domänencontroller-Gastbetriebssystem nicht, dass es gesichert und geschützt wurde. Eine Weile später bemerken Sie möglicherweise eine interne Warnung in den Serverprotokollen — Ereignis 2089, die besagt, dass für Tage mit „Backup latency interval“ kein Backup vorhanden war.
5. Planen Sie einen Job oder führen Sie ihn manuell aus
6. Stellen Sie sicher, dass der Auftrag ohne Fehler oder Warnungen erfolgreich abgeschlossen wurde
7. Suchen Sie die neu erstellte Sicherungsdatei im Backup-Repository — fertig!
Darüber hinaus können Sie ein Backup mit Veeam Cloud Connect (VCC) Service Provider oder einem anderen Backup-Repository mit Veeam Backup Copy Jobs in der Cloud speichern oder mit Backup to Tape Job auf Band archivieren. Das Wichtigste ist, dass das Backup jetzt sicher ist und wiederhergestellt werden kann, sobald Sie es benötigen.
Sichern eines physischen Domänencontrollers
Ehrlich gesagt hoffe ich, dass Sie die AD-Dienste in Ihrem Unternehmen aktualisiert haben und Ihre Domänencontroller seit langem virtualisiert sind. Wenn nicht, hoffe ich, dass Sie zumindest Ihre Domänencontroller aktualisiert haben und dass auf ihnen relativ moderne Windows Server-Betriebssystemversionen, Windows Server 2008 R2 oder neuer, ausgeführt werden. (Wenn Sie ältere Systeme verwalten, überspringen Sie die folgenden Schritte und gehen Sie sofort zum dritten Artikel)
Sie haben also einen physischen Domänencontroller — oder eine Reihe davon -, der unter Windows Server 2008 R2 oder neuer ausgeführt wird, und Sie möchten Ihre Anzeige schützen? Lernen Sie Veeam Endpoint Backup kennen, das Dienstprogramm, das sicherstellen soll, dass die Daten auf Ihren verbleibenden physischen Endpunkten und Servern sicher sind. Veeam Endpoint Backup erfasst die gewünschten Daten der physischen Maschine und speichert sie in einer Sicherungsdatei. Im Katastrophenfall können Sie dann eine Bare-Metal- oder Volume—Level-Wiederherstellung durchführen – während Sie die volle Kontrolle über die Wiederherstellungsverfahren haben. Außerdem Wiederherstellung auf Elementebene mit Veeam Explorer für Microsoft Active Directory.
Um Ihren physischen Domänencontroller mit diesem Tool zu sichern, sollten Sie:
- Laden Sie Veeam Endpoint Backup KOSTENLOS von dieser Seite herunter und kopieren Sie es auf Ihren Computer
- Starten Sie den Installationsassistenten, akzeptieren Sie die Lizenzvereinbarung und installieren Sie das Programm
Hinweis: Lesen Sie diese Anweisungen zur Installation im unbeaufsichtigten Modus.
- Konfigurieren Sie einen Sicherungsauftrag, indem Sie den entsprechenden Sicherungsmodus auswählen. Das Sichern des gesamten Computers ist der einfachste und empfohlene Ansatz. Wenn Sie den Sicherungsmodus auf Dateiebene verwenden, müssen Sie Betriebssystem als zu sicherndes Objekt auswählen (siehe Abbildung 3). Dies stellt sicher, dass das Programm erfasst alle Dateien, die für Bare-Metal-Wiederherstellung, Active Directory-Datenbank und SYSVOL Katalog wird auch gespeichert werden. Einzelheiten finden Sie in einem Produktbenutzerhandbuch
Hinweis: Wenn Sie eine Veeam Backup & -Replikationsinstanz in Ihrer Infrastruktur haben und ein konfiguriertes Veeam Backup-Repository verwenden möchten, um Endpunktsicherungen zu akzeptieren, konfigurieren Sie es bitte direkt in Veeam Backup & Replication neu (klicken Sie bei gedrückter Strg-Taste mit der rechten Maustaste auf ein gewünschtes Repository, erlauben Sie den Zugriff auf das Repository und aktivieren Sie bei Bedarf die Verschlüsselung der Sicherungen, siehe Abbildung 4).
- Führen Sie das Backup aus und stellen Sie sicher, dass es fehlerfrei ausgeführt wird
- Voila! Die Sicherung ist abgeschlossen und Ihr Domänencontroller ist von nun an geschützt. Gehen Sie zum Backup-Ziel und suchen Sie das Backup oder die Backup-Kette
Hinweis. Wenn Sie ein Veeam Backup &-Replikationsrepository als Ziel für die DC-Sicherung konfiguriert haben, suchen Sie das neu erstellte Backup im Knoten Backups > Disk unter Endpoint Backups.
Fazit
Ist die Sicherung von Domänencontrollern so einfach? Ja und nein. Erfolgreiches Backup ist ideal für den Anfang, aber das ist nicht alles, was Sie brauchen. Wie wir bei Veeam sagen: „Backup ist keinen Cent wert, wenn Sie es nicht wiederherstellen können.“
Die folgenden Artikel dieser Serie widmen sich verschiedenen Active Directory-Wiederherstellungsszenarien, einschließlich der Wiederherstellung eines bestimmten Domänencontrollers sowie der Wiederherstellung einzelner gelöschter und geänderter Objekte mit nativen Microsoft-Dienstprogrammen und Veeam Explorer für Active Directory.
Siehe auch
- White Paper Granulare Wiederherstellung von Active Directory-Objekten
- Veeam-Community-Foren: Problem beim Sichern von Domänencontrollern in einer anderen AD-Domäne