Läs hela serien:
Ch.1-Säkerhetskopiera domänkontrollant
Ch.2-Hur man återställer en domänkontrollant
Ch.3-Reanimating Active Directory gravsten objekt
Ch.4-utnyttja Active Directory papperskorgen
Microsoft Active Directory är en standard i företagsmiljöer där autentisering och central användarhantering krävs. Det är nästan omöjligt att föreställa sig hur systemadministratörer skulle kunna göra sina jobb effektivt om denna teknik inte existerade. Inte bara är Active Directory en stor makt, men det är också ett stort ansvar — och det kräver att spendera en hel del tid med det för att maximera sin kapacitet.
syftet med denna serie är att hjälpa dig med framgångsrik säkerhetskopiering och återställning av Active Directory Domain Services med Veeam, vilket ger dig alla nycklar till smärtfritt ANNONSSKYDD. Innan du läser detta kanske du vill ta en titt på de bästa metoderna för ANNONSADMINISTRATIONSSERIER som vi publicerade för ett tag sedan.
den faktiska serien kommer att diskutera hur Veeam kan skydda Active Directory data — preserve Domain Controllers (DCs) eller enskilda ANNONSOBJEKT och återställa någon av dem vid behov.
idag ska jag prata om säkerhetskopieringsalternativen Veeam erbjuder för både fysiska och virtualiserade domänkontrollanter, och backup överväganden att tänka på medan du gör det.
Backup Domain Controller överväganden
som Active Directory Domain Services utformade med ett slags redundans, så de gemensamma backup regler och taktik kan mildras och anpassas till denna nivå. Det skulle inte vara rätt att tillämpa samma säkerhetskopieringspolicy som du har för SQL eller Exchange server här. Nedan följer några överväganden som jag tror kan vara till hjälp för att skapa dina egna Active Directory-policyer:
- lär dig vilka domänkontrollanter som har flexibla FSMO-roller (single Master Operations) i din miljö. Tips: ett enkelt kommando för att kontrollera detta via kommandoraden: >netdom query fsmo
när du utför en fullständig domänåterställning kanske du vill börja från DC med de flesta FSMO-roller, vanligtvis en med PDC-emulatorroll. Annars måste du överföra roller manuellt efter återställningen med ntdsutil seize-kommandot. Var medveten om det när du planerar säkerhetskopiering och prioritera domänkontrollanter i enlighet därmed. Se Active Directory basics white paper för att lära dig mer om FSMO-roller.
- om du har flera domänkontrollanter för webbplatsen och du letar efter enskilda objektskydd behöver du inte säkerhetskopiera alla DCs, som för återställning av artikelnivå, en kopia av Active Directory-databasen (ntds.dit) skulle vara tillräckligt
- det finns saker som alltid kan mildra risken för oavsiktlig/avsiktlig radering/ändring av ANNONSOBJEKT. Överväga administration operations delegation, ställa in begränsad tillgång till förhöjda grupper och upprätthålla en ”lag” plats
- det är oftast rekommenderas att utföra säkerhetskopiering av en domänkontrollant per gång, inte störa DFS replikering — även om de moderna backup-program (ex. Veeam Backup & Replication v7 med Patch 3 och framåt) vet hur man hanterar detta
- om du har en virtuell VMware-miljö och det inte går att ansluta till din domänkontrollant via nätverket, som till exempel kan det vara i DMZ. I det här fallet kommer Veeam att misslyckas över till VIX och borde kunna bearbeta din DC.
hur man säkerhetskopierar en virtuell domänkontrollant
Microsofts Active Directory-tjänster organiserar och lagrar information om enskilda objekt i skogen och lagrar den i en relationsdatabas (ntds.dit), värd av en domänkontrollant. Säkerhetskopiering av en domänkontrollant har tidigare varit en tröttsam process, med säkerhetskopiering av serverns systemtillstånd. Det är ett välkänt faktum att Active Directory-tjänster inte förbrukar mycket resurser i systemet, så domänkontrollanter verkar vara de första servrarna som alltid virtualiseras i miljön. Om du råkar dela den gamla tron på ”endast fysisk DCs”, se det här inlägget.
när de är virtualiserade är de ganska enkla att hantera av en domän/systemadministratör och kan enkelt säkerhetskopieras med Veeam Backup & Replication. När det gäller detaljer bör du ha Veeam Backup & Replication installerat och konfigurerat. Systemkrav (version 9.0) är som följer:
virtuell plattform: VMware vSphere 4.1 och nyare; Microsoft Hyper-V 2008 R2 SP1 och nyare
Veeam server: Windows Server 2008 SP2 och nyare; Windows 7 SP1 och nyare, 64-bitars OS
Domain controller virtual machine (VM): Windows Server 2003 SP1 och nyare, den minsta stödda skogsfunktionsnivån för Windows 2003
behörigheter: administrativa rättigheter för Target Active Directory. Konto för en företagsadministratör eller domänadministratör.
den här artikeln avser inte att täcka en process av Veeam Backup & Replikationsinstallation och konfiguration, eftersom det redan har definierats några gånger. Men om du behöver hjälp med det, se följande video inspelad av en Veeam-systemingenjör.
jag antar att du har allt som går bra. Nu vill du konfigurera en säkerhetskopieringsuppgift för din virtuella domänkontrollant. Konfigurationsprocessen är ganska enkel (se figur 1 nedan):
1. Starta en guide för skapande av säkerhetskopieringsjobb
2. Lägg till en önskad domänkontrollant till uppgiften
3. Ange lagringspolicyn för säkerhetskopieringskedjan
4. Se till att du aktiverar application-aware image processing (aaip) för att säkerställa transaktionskonsistens mellan operativsystem och program som körs på VM, inklusive Active Directory-databasen och SYSVOL-katalogen
Obs: AAIP är en Veeam-teknik som gör det möjligt för programvara att säkerhetskopiera virtuella datorer på ett applikationsmedvetet sätt. Detta innebär att upptäcka tillämpningar av en gäst OS-system och samla in deras metadata, lugna dem med hjälp av motsvarande Microsoft VSS författare, förbereda applikationsspecifika VSS återställa proceduren att äga rum vid första uppstart av den återställda VM, och trunkera programmets transaktionsloggar om säkerhetskopieringen är framgångsrik. Se aaip-dokumentationen för mer information.
inte aktivera AAIP kommer inte att utlösa domänkontrollant gäst OS att inse det säkerhetskopierades och skyddas. Så ett tag senare kanske du märker en intern varning i serverloggar-händelse 2089, som anger att det inte fanns någon säkerhetskopiering för ”backup latensintervall” dagar.
5. Schemalägg ett jobb eller kör det manuellt
6. Se till att jobbet har slutförts utan fel eller varningar
7. Hitta den nyskapade säkerhetskopian i säkerhetskopieringsförvaret-det är det!
Dessutom kan du lagra en säkerhetskopia i molnet med Veeam Cloud Connect (VCC) tjänsteleverantör eller ett annat backup-arkiv med Veeam Backup Copy jobs eller arkivera det till band med Backup to Tape job. Det viktigaste är att säkerhetskopian nu är säker och kan återställas så snart du behöver den.
hur man säkerhetskopierar en fysisk domänkontrollant
uppriktigt sagt hoppas jag att du har uppdaterat annonstjänster i ditt företag och att dina domänkontrollanter har virtualiserats under lång tid. Om inte, hoppas jag att du åtminstone har uppdaterat dina domänkontrollanter och att de kör relativt moderna Windows Server OS-versioner, Windows Server 2008 R2 eller senare. (Om du hanterar äldre system, hoppa över nedan och gå direkt till den tredje artikeln)
så har du en fysisk domänkontrollant — eller en uppsättning av dem — som körs på Windows Server 2008 R2 eller nyare, och du vill skydda din annons? Möt Veeam Endpoint Backup, verktyget syftar till att säkerställa att data på dina återstående fysiska slutpunkter och servrar är trygg och säker. Veeam Endpoint Backup fångar önskade data för den fysiska maskinen och lagrar den i en säkerhetskopia. Då, i händelse av en katastrof, kan du göra en återställning av metall eller volymnivå-samtidigt som du har full kontroll över återställningsförfaranden. Plus, återställning på objektnivå med Veeam Explorer för Microsoft Active Directory.
för att säkerhetskopiera din fysiska domänkontrollant med detta verktyg bör du:
- ladda ner Veeam Endpoint Backup FREE från den här sidan och kopiera den till din DC
- starta installationsguiden, acceptera licensavtalet och installera programmet
Obs: läs dessa instruktioner för installation i obevakat läge.
- konfigurera ett säkerhetskopieringsjobb genom att välja lämpligt säkerhetskopieringsläge. Säkerhetskopiera hela datorn är det enklaste och rekommenderade tillvägagångssättet. När du använder säkerhetskopieringsläge på filnivå, var noga med att välja Operativsystem som ett objekt för säkerhetskopiering (se Figur 3). Detta säkerställer att programmet fångar alla filer som krävs för bare-metal restore, Active Directory databas och SYSVOL katalog sparas också. Se en produkt användarhandbok för mer information
Obs: Om du har Veeam Backup & Replication instance i din infrastruktur och du vill använda ett konfigurerat Veeam Backup Repository för att acceptera Endpoint-säkerhetskopior, konfigurera om det direkt från Veeam Backup & Replication (Ctrl-högerklicka på ett önskat arkiv, Tillåt åtkomst till arkivet och aktivera säkerhetskopieringskryptering om det behövs, se Figur 4).
- kör säkerhetskopian och se till att den är klar utan fel
- Voila! Säkerhetskopieringen är klar och din domänkontrollant är skyddad från och med nu. Gå till säkerhetskopieringsdestinationen och hitta säkerhetskopian eller säkerhetskopieringskedjan
Obs. Om du konfigurerat en Veeam Backup & Replication repository som ett mål för DC backup, för att hitta den nyskapade säkerhetskopian i säkerhetskopiorna > Disknod, placerad till Endpoint Backups nod.
slutsats
är domänkontrollant backup så enkelt? Ja och nej. Framgångsrik säkerhetskopiering är bra för att börja med, men det är inte allt du behöver. Som vi säger på Veeam, ” Backup är inte värt ett öre om du inte kan återställa från det.”
följande artiklar i den här serien ägnas åt olika Active Directory-återställningsscenarier, inklusive återställning av en viss domänkontrollant, samt återställning av enskilda raderade och ändrade objekt med inbyggda Microsoft-verktyg och Veeam Explorer för Active Directory.
Se även
- vitbok granulär återställning av Active Directory-objekt
- Veeam Community Forums: säkerhetskopiera domänkontrollant i ett annat AD-domänproblem