Backup del controller di dominio: Best practice per la protezione degli annunci(Parte 1)

Leggi la serie completa:

Cap.1-Backup del controller di dominio
Ch.2-Come recuperare un controller di dominio
Ch.3-Rianimare gli oggetti di Active Directory tombstone
Cap.4-Sfruttando il cestino di Active Directory

Microsoft Active Directory è uno standard in ambienti aziendali in cui sono richieste l’autenticazione e la gestione centralizzata degli utenti. È quasi impossibile immaginare come gli amministratori di sistema sarebbero in grado di svolgere il proprio lavoro in modo efficace se questa tecnologia non esistesse. Non solo Active Directory è un grande potere, ma è anche una grande responsabilità — e richiede spendere un sacco di tempo con esso al fine di massimizzare le sue capacità.

Lo scopo di questa serie è quello di aiutarvi con il backup e il ripristino di successo dei servizi di dominio Active Directory con Veeam, dandovi tutte le chiavi per una protezione degli ANNUNCI indolore. Prima di leggere questo, potresti voler dare un’occhiata alle migliori pratiche per la serie di amministrazione degli annunci che abbiamo pubblicato qualche tempo fa.

La serie attuale discuterà di come Veeam può proteggere i dati di Active Directory, preservare i controller di dominio (DCS) o i singoli oggetti AD e recuperarli quando necessario.

Oggi vi parlerò delle opzioni di backup offerte da Veeam per controller di dominio fisici e virtualizzati e delle considerazioni di backup da tenere a mente mentre lo fate.

Considerazioni sul controller di dominio di backup

Come Servizi di dominio Active Directory progettati con una sorta di ridondanza, in modo che le regole e le tattiche di backup comuni possano essere mitigate e adattate a questo livello. Non sarebbe giusto applicare la stessa politica di backup che hai per SQL o Exchange server qui. Di seguito sono riportate alcune considerazioni che ritengo possano essere utili per creare le proprie politiche di Active Directory:

  • Scopri quali controller di dominio detengono ruoli flessibili di operazioni singole master (FSMO) nel tuo ambiente. Suggerimento: un semplice comando per controllare questo tramite riga di comando: > netdom query fsmo

Quando si esegue un ripristino completo del dominio, è possibile iniziare dal DC con la maggior parte dei ruoli FSMO, di solito uno con il ruolo emulatore PDC. Altrimenti, dovrai trasferire i ruoli manualmente dopo il comando restore with ntdsutil seize. Essere consapevoli di questo, quando si pianifica il backup e priorità Controller di dominio di conseguenza. Fare riferimento al white paper di Active Directory basics per ulteriori informazioni sui ruoli FSMO.

  • Se si dispone di più controller di dominio per il sito e si sta cercando la protezione di singoli oggetti, non è necessario eseguire il backup di tutti i DCS, come per il ripristino a livello di elemento, una copia di Active Directory database (ntds.dit) sarebbe sufficiente
  • Ci sono cose che possono sempre mitigare il rischio di cancellazione/modifica accidentale/intenzionale di oggetti AD. Considerare la delega delle operazioni di amministrazione, impostare l’accesso limitato a gruppi elevati e mantenere un sito “lag”
  • Di solito è consigliabile eseguire il backup di un controller di dominio per volta, per non interferire con la replica DFS, anche se le moderne applicazioni di backup(es. Veeam Backup & Replication v7 con Patch 3 e successive) sapere come gestire questo
  • Se si dispone di un ambiente virtuale VMware e non è possibile connettersi al Controller di dominio in rete, come ad esempio, può essere in DMZ. In questo caso Veeam fallirà nel VIX e dovrebbe essere in grado di elaborare il DC.

Come eseguire il backup di un controller di dominio virtuale

I servizi Active Directory di Microsoft organizzano e conservano le informazioni sui singoli oggetti all’interno della foresta e le memorizzano in un database relazionale (ntds).dit), ospitato da un controller di dominio. Il backup di un controller di dominio è stato in precedenza un processo noioso, che comporta il backup dello stato del sistema del server. È un fatto ben noto, che i servizi di Active Directory non consumano molte risorse del sistema, quindi i controller di dominio sembrano essere i primi server che sono sempre virtualizzati nell’ambiente. Se vi capita di condividere la vecchia credenza di “fisica DCs solo”, si prega di fare riferimento a questo post.

Una volta virtualizzati, sono abbastanza facili da gestire da un amministratore di dominio/sistema e possono essere facilmente sottoposti a backup con Veeam Backup & Replication. Per quanto riguarda i dettagli, è necessario che Veeam Backup & Replication sia installato e configurato. I requisiti di sistema (della versione 9.0) sono i seguenti:

piattaforma Virtuale: VMware vSphere 4.1 e successive, Microsoft Hyper-V 2008 R2 SP1 e versioni più recenti

Veeam server: Windows Server 2008 SP2 e versioni successive, Windows 7 SP1 e versioni più recenti, 64-bit OS

controller di Dominio della macchina virtuale (VM): Windows Server 2003 SP1 e versioni più recenti, il minimo supportato livello di funzionalità della foresta di Windows 2003

Autorizzazioni: Diritti amministrativi per il target di Active Directory. Account di un amministratore aziendale o di un amministratore di dominio.

Questo articolo non intende coprire un processo di installazione e configurazione della Replica di Veeam Backup &, come è già stato definito alcune volte. Se invece hai bisogno di aiuto, consulta il seguente video registrato da un system engineer Veeam.

Presumo che tu abbia tutto a posto. Ora si desidera configurare un’attività di backup per il controller di dominio virtuale. Il processo di configurazione è piuttosto semplice (vedi figura 1 sotto):

1. Avviare una procedura guidata di creazione del lavoro di backup

2. Aggiungere un controller di dominio desiderato all’attività

3. Specificare il criterio di conservazione per la catena di backup

4. Assicurarsi di abilitare Application-aware Image Processing (AAIP) per garantire la coerenza transazionale del sistema operativo e delle applicazioni in esecuzione sulla VM, incluso il database Active Directory e il catalogo SYSVOL

Nota: AAIP è una tecnologia Veeam che consente al software di eseguire il backup delle VM in modo application-aware. Ciò comporta il rilevamento delle applicazioni di un sistema operativo guest e la raccolta dei relativi metadati, il quescing utilizzando i corrispondenti writer Microsoft VSS, la preparazione della procedura di ripristino VSS specifica per l’applicazione da eseguire al primo avvio della VM ripristinata e il troncamento dei log delle transazioni dell’applicazione se l’attività di backup ha esito positivo. Si prega di fare riferimento alla documentazione AAIP per i dettagli.

Non abilitare AAIP non attiverà Domain Controller guest OS per rendersi conto che è stato eseguito il backup e protetto. Quindi, un po ‘ più tardi, potresti notare un avviso interno nei log del server — evento 2089, affermando che non c’era alcun backup per i giorni “intervallo di latenza di backup”.

Modifica processo di backup: elaborazione guest
Figura 1. Modifica processo di backup: elaborazione guest

5. Pianificare un lavoro o eseguirlo manualmente

6. Assicurarsi che il lavoro sia stato completato correttamente senza errori o avvisi

Eseguendo il backup incrementale di un controller di dominio
Figura 2. Esecuzione di backup incrementale di un DC

7. Trova il file di backup appena creato nel repository di backup-il gioco è fatto!

Inoltre, è possibile archiviare un backup nel cloud con Veeam Cloud Connect (VCC) Service provider o un altro repository di backup utilizzando Veeam Backup Copy job o archiviarlo su nastro con Backup to Tape job. La cosa più importante è che il backup è ora sicuro e può essere ripristinato non appena ne avete bisogno.

Come eseguire il backup di un controller di dominio fisico

Francamente, spero che tu stia aggiornando i servizi pubblicitari nella tua azienda e che i tuoi controller di dominio siano stati virtualizzati per molto tempo. In caso contrario, spero che tu abbia almeno aggiornato i controller di dominio e che stiano eseguendo versioni relativamente moderne del sistema operativo Windows Server, Windows Server 2008 R2 o successive. (Se la gestione dei sistemi più vecchi, saltare il seguito e andare al terzo articolo subito)

Quindi, si dispone di un controller di dominio fisico — o un insieme di loro-in esecuzione su Windows Server 2008 R2 o più recente, e si desidera proteggere il tuo annuncio? Incontra Veeam Endpoint Backup, l’utility volta a garantire che i dati sugli endpoint e sui server fisici rimanenti siano sicuri e protetti. Veeam Endpoint Backup rileva i dati desiderati della macchina fisica e li memorizza in un file di backup. Poi, in caso di un disastro, si è in grado di fare un bare-metal o livello di volume di ripristino-pur avendo il pieno controllo delle procedure di recupero. Inoltre, recupero a livello di elemento con Veeam Explorer per Microsoft Active Directory.

per eseguire il backup fisico Controller di Dominio con questo strumento si dovrebbe:

  • Scarica Veeam Endpoint Backup FREE da questa pagina e copiare il DC
  • Avviare la procedura guidata di installazione, accettare il contratto di licenza e installare il programma.

Nota: leggere attentamente queste istruzioni per l’installazione in Modalità Automatica.

  • Configurare un processo di backup selezionando la modalità di backup appropriata. Il backup dell’intero computer è l’approccio più semplice e consigliato. Quando si utilizza la modalità di backup a livello di file, assicurarsi di selezionare il sistema operativo come oggetto di backup (vedere Figura 3). Questo assicura che il programma cattura tutti i file necessari per il ripristino bare-metal, database di Active Directory e catalogo SYSVOL saranno salvati. Fare riferimento a una guida per l’utente del prodotto per i dettagli
Selezione degli oggetti da eseguire in Veeam Endpoint Backup
Figura 3. La selezione di oggetti di backup Veeam Endpoint Backup

Nota: Se si dispone di Veeam Backup & istanza di Replica nell’infrastruttura e che desideri utilizzare una configurato Veeam Backup Repository di accettare endpoint backup, si prega di riconfigurare direttamente da Veeam Backup & Replica (Ctrl-clic destro su un desiderato repository, consentire l’accesso al repository e abilitare i backup di crittografia, se necessario, vedere la Figura 4).

VBR: Autorizzazioni di backup degli endpoint
Figura 4. Impostazione dell’autorizzazione di backup degli endpoint per il repository di backup
  • Esegui il backup e assicurati che sia fatto senza errori
Veeam Endpoint Backup FREE: Backup job statistics
Figura 5. Veeam Endpoint Backup FREE: statistiche dei processi di backup
  • Voilà! Il backup è fatto, e il controller di dominio è protetto da ora in poi. Vai alla destinazione del backup e trova il backup o la catena di backup
Catena di backup incrementale
Figura 6. Catena di backup incrementale

Nota. Se hai configurato un repository di replica Veeam Backup & come destinazione per il backup DC, per trovare il backup appena creato nel nodo Disco Backup >, posizionato nel nodo Backup Endpoint.

Veeam Backup Replication: Backup-disk
Figura 7. Veeam Backup & Replica: Backup-disco

Conclusione

Il backup del controller di dominio è così semplice? Sì e no. Il backup di successo è ottimo per i principianti, ma non è tutto ciò di cui hai bisogno. Come diciamo a Veeam, ” Il backup non vale un centesimo se non puoi ripristinarlo.”

I seguenti articoli di questa serie sono dedicati a diversi scenari di ripristino di Active Directory, tra cui il ripristino di un particolare controller di dominio, nonché il recupero di singoli oggetti cancellati e modificati utilizzando le utility Microsoft native e Veeam Explorer per Active Directory.

Vedi anche

  • White paper Recupero granulare di oggetti Active Directory
  • Forum della comunità Veeam: backup del controller di dominio in un altro problema di dominio AD

You might also like

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.