citiți seria completă:
Ch.1-copierea de rezervă a controlerului de domeniu
Ch.2-Cum de a recupera un controler de domeniu
Ch.3-reanimarea obiectelor Active Directory tombstone
Ch.4-valorificarea Active Directory Recycle Bin
Microsoft Active Directory este un standard în mediile corporative în care sunt necesare autentificarea și gestionarea centrală a utilizatorilor. Este aproape imposibil să ne imaginăm cum administratorii de sistem ar putea să-și facă treaba eficient dacă această tehnologie nu ar exista. Nu numai că Active Directory este o mare putere, dar este și o mare responsabilitate — și necesită petrecerea mult timp cu acesta pentru a-și maximiza capacitățile.
scopul acestei serii este destinat să vă ajute cu succes de backup și recuperare a serviciilor de domeniu Active Directory cu Veeam, oferindu-vă toate cheile de la protecție AD nedureroase. Înainte de a citi acest lucru, vă recomandăm să aruncați o privire la cele mai bune practici pentru seriile de administrare a anunțurilor pe care le-am postat acum ceva timp.
seria actuală va discuta despre modul în care Veeam poate proteja Active Directory Data — preserve Domain Controllers (DCs) sau obiecte AD individuale și poate recupera oricare dintre ele atunci când este necesar.
astăzi, voi vorbi despre opțiunile de rezervă pe care Veeam le oferă atât pentru controlerele de domeniu fizice, cât și pentru cele virtualizate, precum și despre considerațiile de rezervă pe care trebuie să le țineți cont în timp ce faceți acest lucru.
Backup considerații controler de domeniu
ca servicii de domeniu Active Directory proiectat cu un fel de redundanță, astfel încât regulile comune de backup și tactici pot fi atenuate și adaptate la acest nivel. Nu ar fi corect să aplicați aceeași politică de rezervă pe care o aveți pentru SQL sau Exchange server aici. Mai jos sunt câteva considerații cred că ar putea fi de ajutor pentru crearea propriilor politici Active Directory:
- aflați ce controlere de domeniu dețin roluri flexibile Single Master Operations (FSMO) în mediul dvs. Sugestie: o comandă simplă pentru a verifica acest lucru prin linia de comandă: >netdom query fsmo
când efectuați o recuperare completă a domeniului, poate doriți să începeți de la DC cu cele mai multe roluri FSMO, de obicei unul cu rol de emulator PDC. În caz contrar, va trebui să transferați rolurile manual după comanda restore with ntdsutil seize. Fiți conștienți de acest lucru, atunci când planificați backup și prioritizați controlerele de domeniu în consecință. Consultați cartea albă Active Directory basics pentru a afla mai multe despre rolurile FSMO.
- dacă aveți mai multe controlere de domeniu pentru site și căutați protecție individuală a obiectelor, nu este nevoie să faceți backup pentru toate DCs, ca și pentru recuperarea la nivel de element, o copie a bazei de date Active Directory (ntds.dit) ar fi suficient
- există lucruri care pot atenua întotdeauna riscul ștergerii/modificării accidentale/intenționate a obiectelor AD. Luați în considerare delegarea operațiunilor de administrare, configurarea accesului restricționat la grupuri crescute și menținerea unui site „lag”
- este de obicei recomandat să efectuați o copie de rezervă a unui controler de domeniu pe timp, pentru a nu interfera cu replicarea DFS — chiar dacă aplicațiile moderne de backup (ex. Veeam Backup & Replication v7 cu Patch 3 și mai departe) știți cum să faceți față acestui
- dacă aveți un mediu virtual VMware și nu este posibil să vă conectați la controlerul de domeniu prin rețea, ca de exemplu, poate fi în DMZ. În acest caz, Veeam va eșua la VIX și ar trebui să poată procesa DC-ul.
cum să faceți o copie de rezervă a unui controler de domeniu virtual
serviciile Active Directory Microsoft organizează și păstrează informații despre obiecte individuale din pădure și le stochează într-o bază de date relațională (ntds.dit), găzduit de un controler de domeniu. Backup-ul unui controler de domeniu a fost anterior un proces obositor, care implică copierea de rezervă a stării sistemului serverului. Este un fapt binecunoscut, că serviciile Active Directory nu consumă o mulțime de resurse ale sistemului, astfel încât controlerele de domeniu par a fi primele servere care sunt întotdeauna virtualizate în mediu. Dacă se întâmplă să împărtășiți vechea credință a „DCs fizice numai”, Vă rugăm să consultați acest post.
odată virtualizate, acestea sunt destul de ușor de gestionat de un administrator de domeniu/sistem și pot fi ușor salvate cu replicarea Veeam Backup &. În ceea ce privește detaliile, ar trebui să aveți Veeam Backup & replicare instalat și configurat. Cerințele de sistem (Versiunea 9.0) sunt după cum urmează:
platformă virtuală: VMware vSphere 4.1 și mai noi; Microsoft Hyper-V 2008 R2 SP1 și mai noi
Veeam server: Windows Server 2008 SP2 și mai noi; Windows 7 SP1 și mai noi, sistem de operare pe 64 de biți
controler de domeniu mașină virtuală (VM): Windows Server 2003 SP1 2003
permisiuni: drepturi administrative pentru Active Directory țintă. Contul unui administrator de întreprindere sau al unui administrator de domeniu.
acest articol nu intenționează să acopere un proces de instalare și configurare a replicării Veeam Backup &, deoarece a fost deja definit de câteva ori. Dar, dacă aveți nevoie de ajutor în acest sens, vă rugăm să consultați următorul videoclip înregistrat de un inginer de sistem Veeam.
voi presupune că totul merge bine. Acum doriți să configurați o sarcină de rezervă pentru controlerul de domeniu virtual. Procesul de configurare este destul de simplu (a se vedea figura 1 de mai jos):
1. Lansați un expert de creare de locuri de muncă de rezervă
2. Adăugați un controler de domeniu dorit la sarcina
3. Specificați Politica de retenție pentru lanțul de rezervă
4. Asigurați-vă că activați application-aware image processing (aaip) pentru a asigura coerența tranzacțională a sistemului de operare și a aplicațiilor care rulează pe VM, inclusiv baza de date Active Directory și catalogul Sysvol
notă: Aaip este o tehnologie Veeam care permite software-ului să facă backup pentru VM-uri într-un mod conștient de aplicație. Aceasta implică detectarea aplicațiilor unui sistem de operare invitat și colectarea metadatelor acestora, liniștirea acestora folosind scriitorii Microsoft VSS corespunzători, pregătirea procedurii de restaurare VSS specifice aplicației care să aibă loc la prima pornire a VM-ului restaurat și trunchierea jurnalelor de tranzacții ale aplicației dacă sarcina de rezervă are succes. Vă rugăm să consultați documentația AAIP pentru detalii.
nepermiterea AAIP nu va declanșa sistemul de operare invitat al controlerului de domeniu pentru a realiza că a fost salvat și protejat. Deci, un timp mai târziu, s — ar putea observa un avertisment intern în jurnalele de server-eveniment 2089, care să ateste că nu a existat nici o copie de rezervă pentru „interval de latență de rezervă” zile.
5. Programați o lucrare sau executați-o manual
6. Asigurați-vă că lucrarea a fost finalizată cu succes fără erori sau avertismente
7. Găsiți fișierul de rezervă nou creat în depozitul de rezervă — asta este!
în plus, puteți stoca o copie de rezervă în cloud cu furnizorul de servicii Veeam Cloud Connect (VCC) sau un alt depozit de rezervă utilizând Veeam Backup Copy jobs sau arhivați-l pe bandă cu Backup la bandă job. Cel mai important lucru este că backup-ul este acum sigur și poate fi restaurat imediat ce aveți nevoie.
cum să faceți o copie de rezervă a unui controler de domeniu fizic
sincer vorbind, sper că ați actualizat serviciile publicitare în compania dvs. și că controlerele de domeniu au fost virtualizate de mult timp. Dacă nu, sper că ați actualizat cel puțin controlerele de domeniu și că rulează versiuni relativ moderne ale sistemului de operare Windows Server, Windows Server 2008 R2 sau mai noi. (Dacă gestionați sisteme mai vechi, săriți peste cele de mai jos și accesați imediat al treilea articol)
deci, aveți un controler de domeniu fizic — sau un set al acestora — care rulează la Windows Server 2008 R2 sau mai nou și doriți să vă protejați anunțul? Faceți cunoștință cu Veeam Endpoint Backup, utilitarul menit să se asigure că datele de pe punctele finale și serverele fizice rămase sunt sigure și securizate. Veeam Endpoint Backup captează datele dorite ale mașinii fizice și le stochează într-un fișier de rezervă. Apoi, în caz de dezastru, puteți face o restaurare a metalului gol sau a volumului-în timp ce aveți controlul deplin al procedurilor de recuperare. În plus, recuperarea la nivel de element cu Veeam Explorer pentru Microsoft Active Directory.
pentru a face o copie de rezervă a controlerului de domeniu fizic cu acest instrument, ar trebui:
- descărcați Veeam Endpoint Backup gratuit de pe această pagină și copiați-l în DC
- lansați expertul de instalare, acceptați Acordul de licență și instalați programul
notă: citiți aceste instrucțiuni pentru instalarea în modul nesupravegheat.
- configurați o lucrare de rezervă selectând modul de rezervă corespunzător. Copierea de rezervă a întregului computer este cea mai simplă și recomandată abordare. Când utilizați modul de backup la nivel de fișier, asigurați-vă că selectați Sistem de Operare ca obiect de rezervă (a se vedea Figura 3). Acest lucru asigură că Programul surprinde toate fișierele necesare pentru bare-metal restore, Active Directory database și catalog SYSVOL vor fi, de asemenea, salvate. Consultați un ghid de utilizare a produsului pentru detalii
Notă: Dacă aveți Veeam Backup & instanță de replicare în infrastructura dvs. și doriți să utilizați un depozit de Backup Veeam configurat pentru a accepta backup-uri endpoint, vă rugăm să reconfigurați-l chiar de la Veeam Backup & replicare (Ctrl-faceți clic dreapta pe un depozit dorit, permiteți accesul la depozit și activați criptarea backup-urilor, dacă este necesar, consultați figura 4).
- rulați copia de rezervă și asigurați – vă că este făcută fără erori
- Voila! Backup-ul se face, iar controlerul de domeniu este protejat de acum încolo. Accesați destinația de rezervă și găsiți copia de rezervă sau lanțul de rezervă
notă. Dacă ați configurat un depozit de replicare Veeam Backup & ca țintă pentru DC backup, pentru a găsi copia de rezervă nou creată în nodul de disc Backup >, plasat la nodul de backup Endpoint.
concluzie
backup-ul controlerului de domeniu este atât de simplu? Da și nu. Backup de succes este mare pentru început, dar asta nu e tot ce ai nevoie. Așa cum spunem la Veeam, „Backup-ul nu merită un ban dacă nu îl puteți restabili.”
următoarele articole din această serie sunt dedicate diferitelor scenarii de recuperare Active Directory, inclusiv restaurarea unui anumit controler de domeniu, precum și recuperarea obiectelor individuale șterse și modificate folosind utilitare native Microsoft și Veeam Explorer pentru Active Directory.
a se vedea, de asemenea,
- hârtie albă de recuperare granulară a obiectelor Active Directory
- Veeam Community Forums: Backup controler de domeniu într-un alt domeniu AD problemă