co je Active Directory?
Active Directory od společnosti Microsoft (MS AD) je jedním z nejpoužívanějších nástrojů pro ověřování uživatelů a správu síťových oprávnění na světě. Umožňuje federované přihlášení v celé podnikové síti a správu uživatelských rolí a oprávnění z jednoho bodu ve více službách.
tato služba je mimořádně cenná pro větší a rozvinutější obchodní struktury, protože správci systému by byli efektivnější při správě počítačů, které byly centrálně přidány do domény. Služby jako Microsoft Exchange a Microsoft SQL Server také potřebují službu Active Directory, aby fungovaly správně. Jakákoli instance řadiče domény služby Active Directory offline je významným problémem, protože všichni uživatelé se nebudou moci přihlásit a celkový systém nebude obecně schopen správně fungovat.
i když společnosti přecházejí na nabídku cloud a SaaS, integrace se stávající reklamní infrastrukturou je často považována za požadavek na úspěch projektu. S tím řekl, složitost Active Directory, stejně jako jeho schopnost být udržována na téměř dokonalé provozuschopnosti znamená, že životaschopný Active Directory zálohování a zotavení po havárii řešení je absolutní nutností.
stojí za zmínku: AD Disaster Recovery (DR) je něco, co by nemělo být provedeno-nebo zaměňováno-se zálohami adresářového serveru, protože tyto plány by měly zahrnovat způsoby, jak se vrátit před nejstarší náhrobek. Podobně, obnovení dat adresářového serveru s jednou položkou granularity nesmí být zaměňováno s DR .. další podrobnosti naleznete v posledním odstavci tohoto blogu.
Jak Služba Active Directory Funguje?
jádrem systému Active Directory jako systému správy je databáze, která obsahuje protokoly transakcí i jednotlivé objekty. Tato databáze je rozdělena na více částí – a každá část obsahuje jiný typ informací, buď kontext doménových jmen (skupiny uživatelů nebo jednotlivé) nebo oddíl konfigurace / schématu (informace o struktuře reklamy a informace o návrhu reklamy). Struktura databáze Active Directory je hierarchická a její tvar vypadá hodně jako strom. Hlavní soubor, který se používá pro úložiště databáze služby Active Directory, je Ntds.Dita.
Active Directory pracuje prostřednictvím několika protokolů, aby zajistila bezpečnost sítě, se kterou pracuje. Tyto protokoly jsou následující:
- protokol LDAP (Lightweight Directory Access Protocol) se používá pro přístup k adresářům (Active Directory a další) a služby ověřování adresářů prostřednictvím uživatelského jména i hesla, je také otevřený a multiplatformní;
- protokol Kerberos je protokol založený na kryptografii, který se používá pro jednotné přihlášení a bezpečné autentizační operace, kontroluje uživatelská jména a hesla před jejich uložením do adresáře LDAP.
Active Directory je také hluboce integrován se systémovými soubory chráněnými systémem Windows, serverem DNS, databází registrace třídy COM+ , adresářem Sysvol, informacemi o clusterové službě a několika dalšími. Toto množství integrací také přímo ovlivňuje celkovou strategii zálohování služby Active Directory.
doporučení pro zálohování služby Active Directory
dále budeme hovořit o několika obecných doporučeních pro použití při zálohování serveru služby Active Directory.
Zálohujte službu Active Directory pravidelně
doporučená frekvence zálohování pro službu Active Directory není delší než 60 dní. Důvodem je jedno ze specifik správy databází služby Active Directory-objekty AD tombstone.
když je objekt v adresáři odstraněn (což znamená, že většina atributů objektu, nebo všechny z nich, jsou odstraněny) – je označen jako objekt náhrobku a není fyzicky odstraněn až do vypršení doby životnosti náhrobku, což je přesně 60 dní. Pokud máte několik řadičů domény pracujících současně a je povolena funkce replikace služby Active Directory-všechny tyto soubory náhrobku budou zkopírovány v každém z vašich řadičů a budou tam uchovávány až do doby vypršení platnosti. Existuje také skutečnost, že pokud obnovujete zálohu řadiče domény, která byla vytvořena více než 60 dní před dneškem-jste povinni získat spoustu nesrovnalostí kvůli tomu, že jeden z řadičů domény má informace o objektech,které už ani neexistují.
dalším důvodem pro značku „60 dní nebo méně“ je to, že jakýkoli software nebo ovladač nainstalovaný po poslední záloze by v případě obnovy dat vůbec nefungoval, protože v registru nebudou žádné informace o uvedených ovladačích nebo softwaru.
existuje mnohem více potenciálních problémů, které mohou nastat v důsledku toho, že data nejsou dostatečně často zálohována. Nejbezpečnějším doporučením je každodenní zálohování služby Active Directory.
udržujte alespoň jeden z řadičů domény zálohovaný
tato rada je většinou pro větší společnosti, které mají ve své infrastruktuře více než jeden řadič domény. Pokud máte několik z nich, měli byste zálohovat alespoň jeden z řadičů domény, abyste zajistili alespoň částečnou obnovu dat v případě selhání hardwaru nebo softwaru. Také pokud máte na jednom z vašich řadičů nainstalované role FSMO (Flexible Single Master Operation) – měli byste nejprve upřednostnit jeho zálohování. Tímto způsobem, pokud ztratíte všechny své řadiče, můžete obnovit jeden z nich – ten s FSMO – který bude považován za „primární“, a poté, pokud nasadíte jiný řadič-budete moci v podstatě zkopírovat všechny změny z „primárního“ řadiče domény na „sekundární“.
upřednostněte software, který poskytuje konzistenci dat
je všeobecně známo, že jakákoli záloha by měla být provedena tak, aby byla zajištěna její konzistence. Totéž platí pro zálohování služby Active Directory. Nejlepší možností je zálohovat data, když je server vypnutý, nebo když je VSS používán na běžícím serveru. Naopak-pokusit se zálohovat data ze serveru, který pracuje 24/7, není nejlepší nápad. Proto se důrazně doporučuje používat služby kompatibilní s VSS pro všechny vaše potřeby zálohování služby Active Directory. VSS vytvoří snímek dat, který v podstatě zmrazí systém a jeho informace, dokud není proces zálohování dokončen. Tímto způsobem neztratíte ani nepoškodíte soubory, které se na serveru přepisovaly v době, kdy se záloha sama vytvářela.
váš plán obnovy po havárii musí obsahovat zálohu reklamy
mít plán obnovy po havárii je obecně nutností a čím více scénářů můžete předvídat a předcházet nebo se na ně připravit – tím lépe budete v případě katastrofy nějakého druhu. Zálohování reklam je v tomto případě důležité, protože v podstatě nemůžete používat žádné služby související s reklamami, pokud je obnovíte před obnovením zálohy reklam. Řadič domény můžete zálohovat na několik různých úložišť: cloud, místní nebo vzdálený web. Důrazně doporučujeme mít také více než jednu kopii služby Active Directory.
hledejte možnost granulární obnovy, pokud je to možné
zatímco proces obnovy a přepisování všech dat služby Active Directory je po většinu času dobrý nápad-možná budete chtít hledat služby, které poskytují granulární možnost obnovy. Tímto způsobem, pokud chcete obnovit pouze jeden nebo několik souborů ze zálohy-budete to moci udělat docela snadno. To také snižuje celkovou dobu obnovení dat, zejména pokud je váš Active Directory větší než průměrný.
nativní nástroje a služby pro zálohování Active Directory
existuje několik nativních nástrojů pro zálohování služby Active Directory vytvořených společností Microsoft pro zálohování serverů Windows, včetně těch, které používají řadiče domény Active Directory.
zálohování systému Windows Server
zálohování systému Windows Server je program, který nahradil NTBackup v systému Windows Server 2008 a novějších verzích. WSB přichází s novým rozhraním a schopnost vytvářet přírůstkové zálohy s využitím Vss (Microsoft Volume Shadow Copy Service). Data, která byla zálohována, jsou uložena ve formátu VHD. Po zálohování budete moci připojit takové disky VHD k počítači-virtuálnímu i fyzickému-pro přístup k zálohovaným datům. Rozdíl mezi tímto VHD a tím, který je vytvořen pomocí Mvmc (Microsoft Virtual Machine Converter), je, že tento VHD není zaváděcí. Příkaz pro zálohování celého svazku nebo stavu systému je následující: wbadmin start systemstatebackup .
hlavní výhody této metody zálohování pro zálohování služby Active Directory jsou následující: je to cenově dostupné, může pracovat s VSS a můžete buď zálohovat celý systém, nebo zálohovat pouze soubory služby Active Directory. Hlavní nevýhodou je, že práce s WSB vyžaduje mnoho předchozích znalostí a porozumění k dosažení plného potenciálu programu, pokud jde o proces zálohování i obnovy.
System Center Data Protection Manager
další zálohovací službou vytvořenou společností Microsoft je System Center Data Protection Management (SC DPM). Vytváření jak obvyklých záloh dat, tak záloh služby Active Directory je v rámci možností programu. SC DPM je služba zálohování/obnovy na podnikové úrovni, kterou lze použít pro ochranu dat serveru Windows (která zahrnuje zálohy služby Active Directory). Rozdíl mezi WSB a SC DPM spočívá v tom, že první je zdarma, zatímco druhý je placený software, který je nainstalován samostatně a není součástí základního systémového balíčku společnosti Microsoft. Je to také poněkud těžší nastavit ve srovnání s WSB. Stále se však doporučuje používat jej k zajištění úplné ochrany vašeho zařízení. Seznam funkcí SC DPM zahrnuje podporu VSS, Inkrementální podporu zálohování, podporu Microsoft Azure cloud backup a neschopnost obnovit singulární soubory ze zálohovaného Active Directory. Nejpraktičtější využití SC DPM je chránit řadu serverů Microsoft Exchange / Microsoft SQL a dalších zařízení se systémem Windows.
metody zálohování služby Active Directory třetích stran
přestože WSB i SC DPM jsou nativní řešení pro zálohování služby Active Directory – existuje mnoho dalších možných řešení. Ve skutečnosti by téměř každá zálohovací služba na podnikové úrovni měla být schopna zálohovat službu Active Directory s malými nebo žádnými problémy. Rozdíl mezi všemi těmito službami v tomto případě je způsob, jakým některé z nich poskytují více možností při řešení zálohování a obnovení služby Active Directory.
hlavní bod záloh obecně pracuje také s Active Directory – zálohování dat musí být provedeno specifickým způsobem, aby bylo zajištěno, že data jsou dostatečně konzistentní. Většina zálohovacích služeb třetích stran používá VSS k vytvoření snímku zkopírovaných dat, aby se zabránilo tomu, že uvedená data budou jakýmkoli způsobem upravena uprostřed procesu zálohování. Existuje také možnost dalšího problému: pokud je záloha služby Active Directory zapsána na fyzický disk – vytvořený snímek bude použit pro operaci zápisu, ale pokud je založen na kopii databáze Live Active Directory – nekonzistence musí vzniknout tak či onak.
každý poskytovatel zálohování má svůj vlastní specifický způsob řešení uvedeného problému, některé účinnější než jiné.
navíc některé zálohovací služby třetích stran mohou poskytovat velmi specifické obnovení objektů pro zálohy služby Active Directory. Jedním z příkladů je schopnost obnovit jednotlivé uživatelské účty spíše než celou databázi. Ale ne všechny tyto produkty to dokážou, většina z nich může poskytnout pouze úplnou službu zálohování a obnovení pro zálohy služby Active Directory.
Active Directory Backup s Bacula Enterprise Edition
Active Directory běží ve vysoce redundantní architektuře podle návrhu a ztráta celého adresáře obvykle představuje hlavní chybu webu. Obnova v tomto případě je často kompletní přestavby nebo holé kovové obnovy ze zálohy a často samostatný krok obnovy databází a komponent reklamy. Bacula Enterprise Edition je VSS plugin může poskytnout nástroje pro zálohování a obnovu na úrovni DR pro tyto situace, a Bare Metal Recovery plugin umožňuje obnovu běžícího systému, na kterém mohou být reklamní služby obnoveny. Nicméně, zatímco zálohování zotavení po havárii je skvělá věc, nepomáhají v případě chybných změn nebo poškození, které způsobují značné problémy části adresářové struktury, ale neměly by vyžadovat obnovení celého adresáře. Například nedbalý (nebo nespokojený) administrátor by mohl provést změny oprávnění celé OU, což by organizaci způsobilo všechny problémy.
v tomto scénáři mohou být řešení omezena na velmi časově náročné a náchylné k chybám ruční přestavení struktury nebo obnovení ze zálohy. To je místo, kde Bacula Enterprise Directory Server plugin může pomoci. Plugin Active Directory backup komunikuje přímo s prostředím Active Directory nebo LDAP pomocí síťového protokolu LDAP, aby správně extrahoval strukturu adresářů a umožnil zálohování a obnovu na úrovni objektů. Objekty lze dokonce obnovit na různá místa ve stromu adresářů.
to umožňuje obnovu jednotlivých objektů i celého adresáře. Na rozdíl od metody pluginu VSS plugin Directory Server předpokládá, že byla přeinstalována funkční reklamní infrastruktura, na kterou budou obnoveny zálohované informace o reklamě, zatímco plugin VSS je vhodnější pro scénáře obnovy po havárii. Pro více informací o tom, který plugin bude vyhovovat vašim potřebám, kontaktujte Bacula Systems.
Obnova objektů služby Active Directory s pluginem adresářového serveru je snadná. Objekty vypadají stejně jako soubory v době obnovení a mnoho stejných možností funguje. Tento obrázek ukazuje příklad okna obnovení v bconsole:
jak vidíte, jsme schopni vybrat jeden objekt pro obnovu a v tomto okamžiku budeme mít přístup k mnoha možnostem obnovení.
například objekty lze obnovit na jiný server, než ze kterého pocházejí. Mohou být obnoveny nad existujícími objekty a můžete si vybrat, zda chcete zachovat existující objekty, které jsou novější než objekty, které jsou obnoveny, starší, vždy je nahradit nebo nikdy nenahrazovat existující objekty. Můžete také nechat zkontrolovat plugin adresářového serveru pro náhrobky objektů, zvláště užitečné při obnově objektů, které byly z nějakého důvodu nesprávně odstraněny. Je také samozřejmě možné vybrat celou adresářovou strukturu pro obnovu na fungující Active Directory nebo LDAP server.
závěr
Active Directory je v podstatě jádrem podnikání, tedy řada nástrojů a služeb, které zabraňují jakémukoli narušení nebo ztrátě paměti, která může přinejmenším způsobit prostoje pro uživatele i služby poskytované vaší firmou. Je také důležité správně zkoumat metody zálohování a služby před použitím jednoho z nich na vaše podnikání. Výběr řešení zálohování, které vám nejlépe vyhovuje, je klíčem k prevenci většiny, ne-li všech, problémů s Active Directory a jeho daty.
schopnost obnovit službu Active Directory při katastrofě je zásadní pro dobrou strategii řízení rizik pro každou organizaci, která se na ni silně spoléhá. Bacula Enterprise Edition poskytuje nástroje jak obnovit z celkové ztráty, ale také cenné nástroje pro zálohování služby Active Directory a obnovit části vaší infrastruktury, když se něco pokazí.