Articles

Backing up Domain Controller: Best practices for AD protection (Part 1)

author
11 Min Read

Read the full series:

Ch.1-Backing up Domain Controller
Ch.2 – Como recuperar um controlador de domínio
Ch.3-Reanimating Active Directory tombstone objects
Ch.4-Leveraging Active Directory Recycle Bin

Microsoft Active Directory é um padrão em ambientes corporativos onde a autenticação e a gestão central do utilizador são necessárias. É quase impossível imaginar como administradores de Sistema seriam capazes de fazer seus trabalhos eficazmente se esta tecnologia não existisse. Não só o Active Directory é um grande poder, como também é uma grande responsabilidade — e requer passar muito tempo com ele, a fim de maximizar as suas capacidades.

o propósito desta série é o de ajudá-lo com o sucesso de backup e recuperação de Serviços de domínio de diretório ativo com a Veeam, dando-lhe todas as chaves para a proteção AD indolor. Antes de ler isso, você pode querer dar uma olhada nas melhores práticas para a série AD administration que postamos há um tempo atrás.

a série real vai discutir como a Veeam pode proteger os controladores de dados de Diretório Ativo — preservar os controles de domínio (DCs) ou objetos de AD individuais e recuperar qualquer um deles quando necessário.

Hoje, eu vou falar sobre as opções de backup que a Veeam oferece para controladores de domínio físicos e virtualizados, e considerações de backup para ter em mente enquanto você faz isso.

considerações do controlador de domínio de Backup

como Serviços de domínio de Diretório Ativo projetados com uma espécie de redundância, de modo que as regras e táticas comuns de backup podem ser mitigadas e adaptadas a este nível. Não seria correto aplicar a mesma política de backup que você tem para SQL ou Exchange server aqui. Abaixo estão algumas considerações que eu acredito que podem ser úteis para a criação de suas próprias políticas de diretórios ativos:

  • saiba que Controladores de domínio possuem papéis flexíveis de operações mestre único (FSMO) em seu ambiente. Sugestão: um comando simples para verificar isto através da linha de comandos: >netdom query fsmo

When performing a full domain recovery, you might want to start from the DC with most FSMO roles, usually one with PDC Emulator role. Caso contrário, você terá que transferir os papéis manualmente após a restauração com o comando ntdsutil seize. Esteja ciente disso, ao planejar backup e priorizar os controladores de domínio em conformidade. Consulte o Active Directory basics white paper para saber mais sobre os papéis da FSMO.

  • se você tem vários controladores de domínio para o site e você está procurando a proteção de objetos individuais, não há necessidade de backup de todos os DCs, como para a recuperação de nível de item, uma cópia do banco de dados Diretório Ativo (ntds.dit) seria suficiente
  • existem coisas que podem sempre mitigar o risco de deleção/mudança acidental/intencional de objetos AD. Considere a delegação de operações de administração, configurando o acesso restrito a grupos elevados e mantendo um site de ” lag ”
  • é geralmente recomendado para realizar backup de um controlador de domínio por tempo, para não interferir com a Replicação DFS-mesmo que as aplicações de backup modernas(ex. O Veeam Backup & Replicação v7 com o Patch 3 e seguintes) sabe como lidar com isso
  • Se você tiver um ambiente virtual VMware e não é possível se conectar ao Controlador de Domínio na rede, como, por exemplo, pode ser na DMZ. Neste caso a Veeam vai falhar para a VIX e deve ser capaz de processar a sua DC.

como fazer backup de um controlador de domínio virtual

os Serviços de diretório ativo da Microsoft organizam e mantêm informações sobre objetos individuais dentro da floresta e armazenam-no em uma base de dados relacional (ntds.dit), hospedado por um controlador de domínio. Backup de um controlador de domínio tem sido anteriormente um processo cansativo, envolvendo backup do Estado do sistema do servidor. É um fato bem conhecido, que os Serviços de diretórios ativos não consomem muitos recursos do sistema, então os controladores de domínio estão aparecendo como os primeiros servidores que são sempre virtualizados no ambiente. Se você por acaso compartilhar a crença antiga de “apenas DCs físicos”, por favor consulte este post.

uma vez virtualizados, eles são muito fáceis de ser gerenciados por um administrador de domínio/sistema e pode ser facilmente suportado com backup Veeam & replicação. Quanto aos detalhes, você deve ter a cópia de segurança Veeam & instalada e configurada. Os requisitos do sistema (versão 9.0) são as seguintes:

plataforma Virtual: VMware vSphere 4.1 e mais recentes; Microsoft Hyper-V 2008 R2 SP1 e versões mais recentes

Veeam servidor: Windows Server 2008 SP2 e versões mais recentes, Windows 7 SP1 e o mais recente, de SO de 64 bits

controlador de Domínio virtual machine (VM): Windows Server 2003 SP1 e versões mais recentes, o mínimo suportado nível funcional de floresta do Windows 2003

Permissões: Direitos administrativos para o destino do Active Directory. Conta de um administrador de empresa ou de um administrador de domínio.

este artigo não pretende cobrir um processo de Backup Veeam & instalação e configuração de replicação, como já foi definido algumas vezes. Mas, se você precisar de ajuda com isso, por favor consulte o seguinte vídeo gravado por um engenheiro de sistemas da Veeam.Vou assumir que está tudo a correr bem. Agora você gostaria de configurar uma tarefa de backup para o seu controlador de domínio virtual. O processo de configuração é bastante simples (ver Figura 1 abaixo).):

1. Lançar um assistente de criação de emprego alternativo

2. Adicione um controlador de domínio desejado à tarefa

3. Especifique a Política de retenção para a cadeia de backup

4. Certifique-se de que permite o processamento de imagens AAIP (application-aware image processing) para garantir a consistência transacional do SO e das aplicações em execução no VM, incluindo a base de dados Active Directory e o catálogo SYSVOL

Nota: AAIP é uma tecnologia Veeam que permite ao software fazer backup do VMs de uma forma consciente da aplicação. Isso envolve a detecção de aplicações de um sistema de SO convidado e a coleta de seus metadados, quiescendo-os usando os roteiristas de VSS da Microsoft correspondentes, preparando o procedimento de restauração VSS de aplicação específica para ocorrer após o primeiro arranque do VM restaurado, e truncando os logs de transação da aplicação se a tarefa de backup for bem sucedida. Por favor, consulte a documentação da AAIP para mais detalhes.

não permitir que a AAIP não active o sistema operacional guest do controlador de domínio para perceber que foi suportado e protegido. Então, um tempo depois, você pode notar um aviso interno nos logs do servidor-evento 2089, afirmando que não havia backup para “intervalo de latência de backup” dias.

editar trabalho de apoio: processamento de visitas
Figura 1. Editar a tarefa de cópia de segurança: processamento de convidados

5. Programar uma tarefa ou executá-la manualmente

6. Assegurar que a tarefa foi concluída com sucesso sem erros ou avisos

executando uma cópia de segurança incremental de um controlador de domínio
Figura 2. A efectuar uma cópia de segurança incremental de um DC

7. Encontre o arquivo de backup recentemente criado no repositório de backup-é isso!Além disso, você pode armazenar uma cópia de segurança na nuvem com o fornecedor de serviços Veeam Cloud Connect (VCC) ou outro repositório de backup usando as tarefas de cópia de segurança Veeam ou arquivá-lo com cópia de segurança para a tarefa de fita. A coisa mais importante é que o backup é agora seguro e pode ser restaurado assim que você precisar dele.

como fazer backup de um controlador de domínio físico

francamente falando, espero que você tenha atualizado os Serviços de anúncios em sua empresa e que seus controladores de domínio tenham sido virtualizados por um longo tempo. Se não, eu espero que você pelo menos tenha atualizado seus controladores de domínio, e que eles estejam executando versões relativamente modernas do sistema operacional Windows Server 2008 R2 ou mais recentes. (Se gerenciar sistemas antigos, pular o abaixo e ir para o terceiro artigo imediatamente)

assim, você tem um controlador de domínio físico — ou um conjunto deles — executando no Windows Server 2008 R2 ou mais recente, e você quer proteger o seu anúncio? Cumprir Veeam Endpoint Backup, o utilitário teve como objetivo garantir que os dados sobre seus endpoints físicos restantes e servidores são seguros e seguros. Veeam Endpoint Backup pega os dados desejados da máquina física e armazena-o em um arquivo de backup. Em seguida, em caso de um desastre, você é capaz de fazer uma reposição de nível de metal ou volume-ao mesmo tempo ter total controle de procedimentos de recuperação. Além disso, recuperação de nível de item com o Veeam Explorer para o Microsoft Active Directory.

para fazer backup de seu físico Controlador de Domínio com esta ferramenta você deve:

  • Baixar o Veeam ponto de Extremidade de Cópia de segurança GRÁTIS a partir desta página e copiar para o seu DC
  • Lançar o assistente de instalação, aceite o contrato de licença e instalar o programa

Nota: leia atentamente estas instruções para instalar em Modo automático.

  • Configure uma tarefa de cópia de segurança seleccionando o modo de cópia de segurança apropriado. Fazer backup de todo o computador é a abordagem mais simples e recomendada. Ao usar o modo de backup de nível de arquivo, certifique-se de selecionar o sistema operacional como um objeto a backup (ver Figura 3). Isto garante que o programa captura todos os arquivos necessários para restaurar o bare-metal, banco de dados de diretório ativo e Catálogo SYSVOL também será salvo. Consulte um guia do utilizador do produto para mais informações
seleccionar os objectos a fazer backup no ponto final de apoio da Veeam
Figura 3. Seleccionar os objectos a fazer cópias de segurança na cópia de segurança da Veeam

Nota: Se tiver uma cópia de segurança da Veeam & na sua infra-estrutura e quiser usar um repositório de cópias de segurança da Veeam configurado para aceitar as cópias de segurança do endpoint, por favor configure-a a partir da cópia de segurança da Veeam & replicação (Ctrl-botão direito num repositório desejado, permitir o acesso ao repositório e activar a encriptação de cópias de segurança, se necessário, ver Figura 4).

VBR: Endpoint Permissões de salvaguarda
Figura 4. A definir a autorização de salvaguarda para o repositório de salvaguarda
  • execute o backup, e certifique – se de que é feito sem erros
Vee Endpoint Endpoint Backup FREE: Backup job statistics
Figure 5. Cópia de segurança da Veeam gratuita: estatísticas de trabalho de apoio
  • voilà! O backup é feito, e seu controlador de domínio é protegido a partir de agora. Vá para o destino de backup e encontrar o backup ou a cadeia de backup
cadeia de reforço Incremental
Figura 6. Cadeia de apoio Incremental

Nota. Se você configurou uma cópia de segurança Veeam & repositório de replicação como um alvo para cópia de segurança DC, para encontrar a cópia de segurança recentemente criada nos Backups > nó de disco, colocado no ponto final de Backups.

reprodução de cópia de segurança Veeam: cópias de segurança-disco
Figura 7. Cópia de segurança da Veeam & replicação: cópias de segurança-disco

conclusão

é a cópia de segurança do controlador de domínio assim tão simples? Sim e não. Apoio bem sucedido é ótimo para começar, mas isso não é tudo que você precisa. Como dizemos na Veeam, “Backup não vale um centavo se você não pode restaurar a partir dele.”

os seguintes artigos desta série são dedicados a diferentes cenários de recuperação de diretórios ativos, incluindo a restauração de um controlador de domínio particular, bem como a recuperação de objetos individuais excluídos e alterados usando utilitários nativos Microsoft e Veeam Explorer para Diretório Ativo.

Ver também

  • White paper Granular Recovery of Active Directory Objects
  • Veeam Community Forums: Backing up Domain Controller in another AD domain issue

You might also like

Deixe uma resposta

O seu endereço de email não será publicado.