Articles

tartományvezérlő biztonsági mentése: Hirdetésvédelem bevált gyakorlatai (1. rész)

author
12 Min Read

olvassa el a teljes sorozatot:

Ch.1-tartományvezérlő biztonsági mentése
Ch.2 – Hogyan lehet helyreállítani a tartományvezérlőt
Ch.3-Az Active Directory sírkő objektumok újraélesztése
Ch.4-Az Active Directory Lomtár használata

a Microsoft Active Directory szabvány olyan vállalati környezetben, ahol hitelesítésre és központi felhasználókezelésre van szükség. Szinte lehetetlen elképzelni, hogy a rendszergazdák hogyan tudnák hatékonyan elvégezni munkájukat, ha ez a technológia nem létezne. Az Active Directory nemcsak nagy hatalom, hanem nagy felelősség is — és sok időt kell vele tölteni annak érdekében, hogy maximalizálja képességeit.

ennek a sorozatnak az a célja, hogy segítse Önt az Active Directory tartományi szolgáltatások sikeres mentésében és helyreállításában a Veeam segítségével, biztosítva a fájdalommentes HIRDETÉSVÉDELEM összes kulcsát. Mielőtt elolvasná ezt, érdemes megnéznie a HIRDETÉSADMINISZTRÁCIÓS sorozatok bevált gyakorlatait, amelyeket egy ideje közzétettünk.

az aktuális sorozat azt fogja megvitatni, hogy a Veeam hogyan tudja megvédeni az Active Directory adatmegőrzési Tartományvezérlőit (DCS) vagy az egyes AD — objektumokat, és szükség esetén helyreállíthatja őket.

ma a Veeam által a fizikai és virtualizált tartományvezérlők számára kínált biztonsági mentési lehetőségekről, valamint a biztonsági mentési szempontokról fogok beszélni, amelyeket szem előtt kell tartani.

Backup tartományvezérlő megfontolások

mivel az Active Directory tartományi szolgáltatásokat egyfajta redundanciával tervezték, így a közös biztonsági mentési szabályok és taktikák enyhíthetők és ehhez a szinthez igazíthatók. Nem lenne helyes itt ugyanazt a biztonsági mentési házirendet alkalmazni, mint az SQL vagy az Exchange server esetében. Az alábbiakban bemutatunk néhány szempontot, amelyek szerintem hasznosak lehetnek a saját Active Directory-házirendek létrehozásához:

  • Ismerje meg, hogy a tartományvezérlők milyen rugalmas Single Master Operations (FSMO) szerepkörökkel rendelkeznek a környezetben. Tipp: egy egyszerű parancs, hogy ellenőrizze ezt a parancssoron keresztül: >netdom lekérdezés fsmo

teljes tartomány-helyreállítás végrehajtásakor érdemes lehet A legtöbb FSMO szerepkörrel rendelkező DC-ből indulni, általában egy PDC emulátor szerepkörrel. Ellenkező esetben a szerepeket manuálisan kell átvinnie a visszaállítás után az ntdsutil seize paranccsal. Legyen tudatában ennek, amikor biztonsági mentést tervez, és ennek megfelelően rangsorolja a tartományvezérlőket. Az FSMO szerepkörökről további információt az Active Directory alapjai című fehér könyvben talál.

  • ha több tartományvezérlővel rendelkezik a Webhelyhez, és egyedi objektumok védelmét keresi, nincs szükség az összes DCs biztonsági mentésére, mint az elemszintű helyreállításhoz, az Active Directory adatbázis (ntds) egy példányához.dit) elegendő lenne
  • vannak olyan dolgok, amelyek mindig csökkenthetik a hirdetési objektumok véletlen/szándékos törlésének/megváltoztatásának kockázatát. Fontolja meg az adminisztrációs műveletek delegálását, állítsa be a korlátozott hozzáférést a megemelt csoportokhoz és tartsa fenn a “lag” webhelyet
  • általában ajánlott egy tartományvezérlő biztonsági mentését elvégezni, hogy ne zavarja a DFS replikációt — még akkor is, ha a modern biztonsági mentési alkalmazások (pl. Veeam Backup & replikáció v7 Patch 3 és tovább) tudja, hogyan kell kezelni ezt a
  • ha VMware virtuális környezetben van, és nem lehet csatlakozni a tartományvezérlőhöz a hálózaton keresztül, például DMZ-ben lehet. Ebben az esetben a Veeam sikertelen lesz a VIX-hez, és képesnek kell lennie a DC feldolgozására.

virtuális tartományvezérlő biztonsági mentése

a Microsoft Active Directory szolgáltatásai az erdőn belüli egyes objektumok adatait rendszerezik és tárolják, majd relációs adatbázisban (NTDS) tárolják.dit), amelyet egy tartományvezérlő üzemeltet. A tartományvezérlő biztonsági mentése korábban fárasztó folyamat volt, amely magában foglalja a kiszolgáló rendszerállapotának biztonsági mentését. Közismert tény, hogy az Active Directory-szolgáltatások nem fogyasztanak sok erőforrást a rendszerből, így a tartományvezérlők tűnnek az első szervereknek, amelyek mindig virtualizálódnak a környezetben. Ha véletlenül megosztja a “csak fizikai DC-k” régi hitét, kérjük, olvassa el ezt a bejegyzést.

miután virtualizálták őket, könnyen kezelhetők egy domain/rendszergazda által, és könnyen menthetők a Veeam Backup & replikációval. Ami a részleteket illeti, a Veeam Backup & replikáció telepítése és konfigurálása szükséges. A rendszerkövetelmények (9. verzió.0) a következők:

virtuális platform: VMware vSphere 4.1 és újabb; Microsoft Hyper-V 2008 R2 SP1 és újabb

Veeam server: Windows Server 2008 SP2 és újabb; Windows 7 SP1 és újabb, 64 bites operációs rendszer

tartományvezérlő virtuális gép (VM): Windows Server 2003 SP1 és újabb, A Windows minimális támogatott erdő működési szintje 2003

engedélyek: a cél Active Directory felügyeleti jogai. Vállalati rendszergazda vagy tartományi rendszergazda fiókja.

ez a cikk nem szándékozik kitérni a Veeam Backup & replikáció telepítésének és konfigurálásának folyamatára, mivel ezt már néhányszor meghatározták. De, ha segítségre van szüksége, kérjük, olvassa el az alábbi videót, amelyet egy Veeam rendszermérnök rögzített.

feltételezem, hogy minden rendben van. Most egy biztonsági mentési feladatot szeretne konfigurálni a virtuális tartományvezérlőhöz. A konfiguráció folyamata meglehetősen egyszerű (lásd az alábbi 1. ábrát):

1. Indítson el egy biztonsági mentési munkát létrehozó varázslót

2. Adjon hozzá egy kívánt tartományvezérlőt a feladathoz

3. Adja meg a biztonsági mentési lánc megőrzési házirendjét

4. Győződjön meg róla, hogy engedélyezi az alkalmazás-tudatos képfeldolgozást (aaip), hogy biztosítsa a virtuális gépen futó operációs rendszerek és alkalmazások tranzakciós konzisztenciáját, beleértve az Active Directory adatbázist és a SYSVOL katalógust

Megjegyzés: Az AAIP egy Veeam technológia, amely lehetővé teszi a szoftverek számára a virtuális gépek alkalmazás-tudatos mentését. Ez magában foglalja a vendég operációs rendszer alkalmazásainak észlelését és a metaadatok gyűjtését, a megfelelő Microsoft VSS írók használatával történő elcsendesítését, az alkalmazásspecifikus VSS visszaállítási eljárás előkészítését a visszaállított virtuális gép első indításakor, valamint az alkalmazás tranzakciós naplóinak csonkolását, ha a biztonsági mentési feladat sikeres. A részletekért olvassa el az AAIP dokumentációját.

az AAIP engedélyezése nem indítja el a tartományvezérlő vendég operációs rendszerét, hogy felismerje, hogy biztonsági másolatot készített és védett. Tehát egy idő múlva belső figyelmeztetést észlelhet a 2089 — es szervernaplókban, amelyben kijelenti, hogy nincs biztonsági mentés a “biztonsági mentési késleltetési intervallum” napokra.

biztonsági mentési feladat szerkesztése: Vendégfeldolgozás
1.ábra. Biztonsági mentési feladat szerkesztése: Vendégfeldolgozás

5. Feladat ütemezése vagy manuális futtatása

6. Ellenőrizze, hogy a feladat sikeresen befejeződött-e hibák vagy figyelmeztetések nélkül

tartományvezérlő növekményes biztonsági mentése
2.ábra. A DC növekményes biztonsági mentésének végrehajtása

7. Keresse meg az újonnan létrehozott biztonsági mentési fájlt a biztonsági mentési adattárban-ennyi!

ezenkívül tárolhat biztonsági másolatot a felhőben a Veeam Cloud Connect (VCC) szolgáltatóval vagy egy másik biztonsági adattárral a Veeam Backup Copy job használatával, vagy archiválhatja azt a biztonsági mentés szalagra job segítségével. A legfontosabb dolog az, hogy a biztonsági mentés most már biztonságos, és visszaállítható, amint szüksége van rá.

hogyan készítsünk biztonsági másolatot egy fizikai tartományvezérlőről

őszintén szólva remélem, hogy frissítette a hirdetési szolgáltatásokat a vállalatánál, és hogy a tartományvezérlőket már régóta virtualizálták. Ha nem, remélem, hogy legalább frissítette a tartományvezérlőket, és hogy viszonylag modern Windows Server operációs rendszert futtatnak, Windows Server 2008 R2 vagy újabb. (Ha régebbi rendszereket kezel, hagyja ki az alábbiakat, és azonnal lépjen a harmadik cikkre)

tehát van egy fizikai tartományvezérlője — vagy ezek egy csoportja—, amely Windows Server 2008 R2 vagy újabb rendszeren fut, és meg akarja védeni hirdetését? Meet Veeam Endpoint Backup, a segédprogram célja, hogy biztosítsa, hogy az adatok a fennmaradó fizikai végpontok és szerverek biztonságos. A Veeam Endpoint Backup rögzíti a fizikai gép kívánt adatait, és egy biztonsági mentési fájlban tárolja azokat. Ezután katasztrófa esetén csupasz fém vagy hangerő-szintű helyreállítást végezhet-miközben teljes mértékben ellenőrzi a helyreállítási eljárásokat. Plusz, elemszintű helyreállítás a Veeam Explorerrel a Microsoft Active Directory számára.

annak érdekében, hogy biztonsági másolatot készíteni a fizikai tartományvezérlő ezzel az eszközzel meg kell:

  • töltse le a Veeam Endpoint Backup FREE alkalmazást erről az oldalról, és másolja át a DC készülékre
  • indítsa el a telepítővarázslót, fogadja el a licencszerződést, majd telepítse a programot

Megjegyzés: olvassa el az alábbi utasításokat a felügyelet nélküli módban történő telepítéshez.

  • biztonsági mentési feladat konfigurálása a megfelelő biztonsági mentési mód kiválasztásával. A teljes számítógép biztonsági mentése a legegyszerűbb és ajánlott megközelítés. Ha fájlszintű biztonsági mentési módot használ, feltétlenül válassza az operációs rendszert a biztonsági mentés objektumaként (lásd a 3.ábrát). Ez biztosítja, hogy a program rögzíti az összes szükséges fájlokat csupasz fém helyreállítása, Active Directory adatbázis és SYSVOL katalógus is menti. A részleteket lásd a termék felhasználói útmutatójában
Objektumok kiválasztása a Veeam Endpoint Backup alkalmazásban
3. ábra. Objektumok kiválasztása a Veeam Endpoint Backup

biztonsági mentéshez Megjegyzés: Ha a Veeam Backup & replikációs példánya van az infrastruktúrában, és egy konfigurált Veeam Backup Repository-t szeretne használni a végponti biztonsági mentések elfogadásához, állítsa be újra közvetlenül a Veeam Backup & replikációból (kattintson a jobb gombbal a kívánt adattárra, engedélyezze a hozzáférést a tárolóhoz, és szükség esetén engedélyezze a biztonsági mentések titkosítását, lásd a 4.ábrát).

VBR: végpont biztonsági mentési engedélyek
4.ábra. A végpont biztonsági mentési engedélyének beállítása a biztonsági mentési adattárhoz
  • futtassa a biztonsági mentést, és győződjön meg róla, hogy hiba nélkül történik
Veeam Endpoint Backup FREE: biztonsági mentési feladatok statisztikája
5.ábra. Veeam Endpoint Backup FREE: biztonsági mentési feladatok statisztikája
  • voilá! A biztonsági mentés megtörtént, és a tartományvezérlő mostantól védett. Menjen a biztonsági mentés célállomására, és keresse meg a biztonsági másolatot vagy a biztonsági mentési láncot
növekményes tartalék lánc
6. ábra. Növekményes biztonsági lánc

Megjegyzés. Ha egy Veeam Backup & replikációs adattárat állított be a DC backup céljaként, akkor az újonnan létrehozott biztonsági mentést a Backups > Lemezcsomópontban kell megtalálni, a végpont Backups csomópontba helyezve.

Veeam Backup replikáció: biztonsági mentések-lemez
7.ábra. Veeam Backup & replikáció: Backups-disk

következtetés

a tartományvezérlő biztonsági mentése ilyen egyszerű? Igen és nem. A sikeres biztonsági mentés nagyszerű a kezdők számára, de ez még nem minden, amire szüksége van. Mint mondjuk a Veeam – nél, “a biztonsági mentés nem ér egy fillért sem, ha nem tudja visszaállítani.”

a sorozat következő cikkei különböző Active Directory helyreállítási forgatókönyvekkel foglalkoznak, beleértve egy adott tartományvezérlő visszaállítását, valamint az egyes törölt és módosított objektumok helyreállítását a natív Microsoft segédprogramok és a Veeam Explorer segítségével az Active Directory számára.

Lásd még:

  • Fehér Könyv az Active Directory objektumok részletes helyreállítása
  • Veeam közösségi fórumok: tartományvezérlő biztonsági mentése egy másik AD tartományban

You might also like

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.