Articles

tworzenie kopii zapasowych kontrolera domeny: najlepsze praktyki ochrony reklam (Część 1)

author
9 Min Read

Przeczytaj całą serię:

Ch.1-Tworzenie Kopii Zapasowej kontrolera domeny
Ch.2 – Jak odzyskać kontroler domeny
Ch.3-reanimacja obiektów nagrobnych Active Directory
Ch.4 – wykorzystanie kosza Active Directory

Microsoft Active Directory jest standardem w środowiskach korporacyjnych, w których wymagane jest uwierzytelnianie i centralne zarządzanie użytkownikami. Prawie niemożliwe jest wyobrażenie sobie, jak administratorzy systemów mogliby skutecznie wykonywać swoją pracę, gdyby ta technologia nie istniała. Active Directory to nie tylko ogromna moc, ale także wielka odpowiedzialność — i wymaga poświęcenia z nią dużo czasu, aby zmaksymalizować jej możliwości.

celem tej serii jest pomoc w skutecznym tworzeniu kopii zapasowych i odzyskiwaniu usług domenowych Active Directory za pomocą rozwiązania Veeam, zapewniając wszystkie klucze do bezbolesnej ochrony reklam. Zanim to przeczytasz, możesz zapoznać się z najlepszymi praktykami w zakresie zarządzania reklamami, które opublikowaliśmy jakiś czas temu.

w ramach tej serii omówimy, w jaki sposób Veeam może chronić dane usługi Active Directory — zachować kontrolery domen (DC) lub pojedyncze obiekty AD i odzyskać je, gdy zajdzie taka potrzeba.

dzisiaj omówię opcje tworzenia kopii zapasowych oferowane przez firmę Veeam zarówno dla fizycznych, jak i zwirtualizowanych kontrolerów domen oraz kwestie tworzenia kopii zapasowych, o których należy pamiętać.

kwestie związane z kontrolerem domeny kopii zapasowych

jako usługi domenowe usługi Active Directory zaprojektowane z pewną redundancją, dzięki czemu wspólne reguły i taktyki tworzenia kopii zapasowych można złagodzić i dostosować do tego poziomu. Nie byłoby w porządku stosować te same zasady tworzenia kopii zapasowych, które masz dla SQL lub Exchange server. Poniżej znajduje się kilka uwag, które moim zdaniem mogą być pomocne przy tworzeniu własnych zasad usługi Active Directory:

  • dowiedz się, jakie kontrolery domen pełnią w Twoim środowisku role Flexible Single Master Operations (FSMO). Podpowiedź: proste polecenie, aby sprawdzić to za pomocą wiersza poleceń: > zapytanie netdom fsmo

wykonując pełne odzyskiwanie domeny, możesz zacząć od DC z większością ról FSMO, zwykle jedną z rolą emulatora PDC. W przeciwnym razie będziesz musiał przenieść role ręcznie po przywróceniu za pomocą polecenia Ntdsutil seize. Pamiętaj o tym, planując tworzenie kopii zapasowych i odpowiednio ustalając priorytety kontrolerów domeny. Zapoznaj się z białą księgą Active Directory basics, aby dowiedzieć się więcej o rolach FSMO.

  • jeśli masz wiele kontrolerów domeny dla witryny i szukasz ochrony pojedynczych obiektów, nie ma potrzeby tworzenia kopii zapasowych wszystkich DCs, tak jak w przypadku odzyskiwania na poziomie elementów, jednej kopii bazy danych Active Directory (NTD.dit) byłoby wystarczające
  • są rzeczy, które zawsze mogą zmniejszyć ryzyko przypadkowego/celowego usunięcia/zmiany obiektów reklamowych. Rozważmy delegowanie operacji administracyjnych, konfigurowanie ograniczonego dostępu do podwyższonych grup i utrzymywanie witryny ” lag ”
  • zwykle zaleca się wykonywanie kopii zapasowych jednego kontrolera domeny na raz, aby nie zakłócać replikacji plików DFS — nawet jeśli nowoczesne aplikacje do tworzenia kopii zapasowych (np. Veeam Backup & Replication V7 z poprawką 3 i nowszymi) dowiedz się, jak sobie z tym poradzić
  • jeśli masz środowisko wirtualne VMware i nie ma możliwości połączenia się z kontrolerem domeny przez sieć, na przykład może to być DMZ. W takim przypadku rozwiązanie Veeam nie przejdzie na VIX i powinno być w stanie przetworzyć dane DC.

jak wykonać kopię zapasową kontrolera domeny wirtualnej

usługi Active Directory firmy Microsoft porządkują i przechowują informacje o poszczególnych obiektach w lesie i przechowują je w relacyjnej bazie danych (ntds.dit), hostowany przez kontrolera domeny. Backup kontrolera domeny był wcześniej męczącym procesem, polegającym na tworzeniu kopii zapasowych stanu systemu serwera. Powszechnie wiadomo, że usługi Active Directory nie zużywają zbyt wielu zasobów systemu, więc kontrolery domen wydają się być pierwszymi serwerami, które są zawsze zwirtualizowane w środowisku. Jeśli podzielasz stare przekonanie o „tylko fizyczny DCs”, zapoznaj się z tym postem.

po zwirtualizowaniu można nimi łatwo zarządzać przez administratora domeny/systemu, a ich kopie zapasowe można łatwo wykonać za pomocą rozwiązania Veeam Backup & Replication. Jeśli chodzi o szczegóły, należy zainstalować i skonfigurować replikację rozwiązania Veeam Backup &. Wymagania systemowe (od wersji 9.0) są następujące:

Platforma wirtualna: VMware vSphere 4.1 i nowsze; Microsoft Hyper-V 2008 R2 SP1 i nowsze

Veeam server: Windows Server 2008 SP2 i nowsze; Windows 7 SP1 i nowsze, 64-bitowy system operacyjny

kontroler domeny maszyna wirtualna (VM): Windows Server 2003 SP1 i nowsze, minimalny obsługiwany poziom funkcjonalności lasu systemu Windows 2003

uprawnienia: prawa administracyjne dla docelowej usługi Active Directory. Konto administratora przedsiębiorstwa lub administratora domeny.

Ten artykuł nie ma na celu omówienia procesu instalacji i konfiguracji replikacji Veeam Backup &, ponieważ został już kilka razy zdefiniowany. Jeśli jednak potrzebujesz pomocy, zapoznaj się z poniższym filmem nagranym przez inżyniera systemu Veeam.

zakładam, że wszystko działa dobrze. Teraz chcesz skonfigurować zadanie tworzenia kopii zapasowej dla kontrolera domeny wirtualnej. Proces konfiguracji jest dość prosty (patrz rysunek 1 poniżej):

1. Uruchom Kreatora tworzenia kopii zapasowych

2. Dodaj żądany kontroler domeny do zadania

3. Określ zasady przechowywania dla łańcucha kopii zapasowych

4. Aby zapewnić spójność transakcyjną systemu operacyjnego i aplikacji uruchomionych na maszynie wirtualnej, w tym bazy danych Active Directory i katalogu SYSVOL

Uwaga: AAIP to technologia Veeam, która umożliwia oprogramowaniu tworzenie kopii zapasowych maszyn wirtualnych w sposób zorientowany na aplikacje. Obejmuje to wykrywanie aplikacji systemu operacyjnego gościa i zbieranie ich metadanych, wyciszanie ich za pomocą odpowiednich pisarzy Microsoft VSS, przygotowywanie specyficznej dla aplikacji procedury przywracania VSS, która ma nastąpić po pierwszym uruchomieniu przywróconej maszyny wirtualnej, i obcinanie dzienników transakcji aplikacji, Jeśli zadanie tworzenia kopii zapasowej powiodło się. Szczegółowe informacje można znaleźć w dokumentacji AAIP.

brak włączenia AAIP nie wywoła systemu operacyjnego gościa kontrolera domeny, aby uświadomił sobie, że został on zarchiwizowany i chroniony. Tak więc, jakiś czas później, możesz zauważyć wewnętrzne ostrzeżenie w logach serwera-Zdarzenie 2089, stwierdzające, że nie było kopii zapasowej dla „interwału opóźnienia kopii zapasowej” dni.

Edytuj zadanie tworzenia kopii zapasowej: przetwarzanie Gości
Rysunek 1. Edytuj zadanie tworzenia kopii zapasowej: przetwarzanie Gości

5. Zaplanuj zadanie lub uruchom je ręcznie

6. Upewnij się, że zadanie zostało pomyślnie zakończone bez błędów lub ostrzeżeń

Wykonywanie przyrostowej kopii zapasowej kontrolera domeny
Rysunek 2. Wykonywanie przyrostowej kopii zapasowej DC

7. Znajdź nowo utworzony plik kopii zapasowej w repozytorium kopii zapasowych — to wszystko!

ponadto można przechowywać kopię zapasową w chmurze za pomocą dostawcy usług Veeam Cloud Connect (VCC) lub innego repozytorium kopii zapasowych przy użyciu zadań kopiowania kopii zapasowych Veeam lub archiwizować ją na taśmę za pomocą zadania Backup to Tape. Najważniejsze jest to, że kopia zapasowa jest teraz bezpieczna i może zostać przywrócona tak szybko, jak jej potrzebujesz.

jak wykonać kopię zapasową fizycznego kontrolera domeny

szczerze mówiąc, mam nadzieję, że aktualizujesz usługi reklamowe w swojej firmie i że kontrolery domeny są zwirtualizowane przez długi czas. Jeśli nie, mam nadzieję, że przynajmniej aktualizowałeś kontrolery domeny i że działają one w stosunkowo nowoczesnych wersjach systemu operacyjnego Windows Server, Windows Server 2008 R2 lub nowszych. (Jeśli zarządzasz starszymi systemami, pomiń poniżej i przejdź od razu do trzeciego artykułu)

masz więc fizyczny kontroler domeny-lub ich zestaw-działający w systemie Windows Server 2008 R2 lub nowszym i chcesz chronić swoją reklamę? Poznaj narzędzie Veeam Endpoint Backup, którego celem jest zapewnienie bezpieczeństwa danych pozostałych fizycznych punktów końcowych i serwerów. Rozwiązanie Veeam Endpoint Backup przechwytuje żądane dane z komputera fizycznego i zapisuje je w pliku kopii zapasowej. Następnie, w przypadku awarii, możesz wykonać przywracanie bare-metal lub poziomu głośności-mając pełną kontrolę nad procedurami odzyskiwania. Ponadto funkcja odzyskiwania elementów za pomocą narzędzia Veeam Explorer dla Microsoft Active Directory.

aby wykonać kopię zapasową fizycznego kontrolera domeny za pomocą tego narzędzia, powinieneś:

  • Pobierz narzędzie Veeam Endpoint Backup FREE z tej strony i skopiuj je do komputera DC
  • Uruchom kreatora instalacji, zaakceptuj umowę licencyjną i zainstaluj program

Uwaga: Zapoznaj się z instrukcjami instalacji w trybie nienadzorowanym.

  • Skonfiguruj zadanie tworzenia kopii zapasowej, wybierając odpowiedni tryb tworzenia kopii zapasowej. Tworzenie kopii zapasowych całego komputera jest najprostszym i zalecanym podejściem. Podczas korzystania z trybu tworzenia kopii zapasowej na poziomie plików należy wybrać system operacyjny jako obiekt do tworzenia kopii zapasowej (patrz rysunek 3). Zapewnia to, że program przechwytuje wszystkie pliki wymagane do przywracania bare-metal, baza danych Active Directory i katalog SYSVOL zostaną również zapisane. Szczegółowe informacje można znaleźć w instrukcji obsługi produktu
wybieranie obiektów do utworzenia kopii zapasowej w rozwiązaniu Veeam Endpoint Backup
Rysunek 3. Zaznaczanie obiektów do utworzenia kopii zapasowej w rozwiązaniu Veeam Endpoint Backup

Uwaga: jeśli w infrastrukturze znajduje się instancja replikacji rozwiązania Veeam Backup & i chcesz używać skonfigurowanego repozytorium kopii zapasowych Veeam do akceptowania kopii zapasowych punktów końcowych, przekonfiguruj je bezpośrednio z narzędzia Veeam Backup & Replication (kliknij prawym klawiszem Ctrl na żądanym repozytorium, Zezwól na dostęp do niego i w razie potrzeby Włącz szyfrowanie kopii zapasowych, patrz rysunek 4).

VBR: uprawnienia do tworzenia kopii zapasowych punktów końcowych
Rysunek 4. Ustawianie uprawnień Endpoint Backup dla repozytorium kopii zapasowych
  • Uruchom kopię zapasową i upewnij się, że jest wykonana bez błędów
Veeam Endpoint Backup FREE: statystyki zadań tworzenia kopii zapasowych
Rysunek 5. Veeam Endpoint Backup FREE: statystyki zadań tworzenia kopii zapasowych
  • Voila! Kopia zapasowa została wykonana, a kontroler domeny jest od teraz chroniony. Przejdź do miejsca docelowego kopii zapasowej i znajdź kopię zapasową lub łańcuch kopii zapasowych
Przyrostowy łańcuch kopii zapasowych
Rysunek 6. Przyrostowy łańcuch kopii zapasowych

Uwaga. Jeśli repozytorium replikacji Veeam Backup & zostało skonfigurowane jako repozytorium docelowe kopii zapasowych DC, nowo utworzona kopia zapasowa zostanie znaleziona w węźle dyskowym Backups > i umieszczona w węźle Endpoint Backups.

rozwiązanie Veeam Backup Replication: kopie zapasowe-dysk
Rysunek 7. Veeam Backup & replikacja: kopie zapasowe-dysk

podsumowanie

czy tworzenie kopii zapasowych kontrolera domeny jest takie proste? Tak i nie. Udane tworzenie kopii zapasowych jest świetne na początek, ale to nie wszystko, czego potrzebujesz. Jak mówiliśmy w firmie Veeam: „Backup nie jest wart ani grosza, jeśli nie można go przywrócić.”

poniższe artykuły z tej serii poświęcone są różnym scenariuszom odzyskiwania usługi Active Directory, w tym przywracaniu określonego kontrolera domeny, a także odzyskiwaniu poszczególnych usuniętych i zmienionych obiektów przy użyciu natywnych narzędzi Microsoft i narzędzia Veeam Explorer dla usługi Active Directory.

Zobacz także

  • Biała księga szczegółowe Odzyskiwanie obiektów Active Directory
  • fora społeczności Veeam: tworzenie kopii zapasowej kontrolera domeny w innym problemie z domeną reklamową

You might also like

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.