Hvad er Active Directory?
Active Directory fra Microsoft (MS AD) er et af de mest anvendte værktøjer til administration af brugergodkendelse og netværkstilladelser i verden. Det giver mulighed for fødereret login på tværs af et helt virksomhedsnetværk og styring af brugerroller og tilladelser fra et enkelt punkt på tværs af flere tjenester.
denne service er yderst værdifuld for større og mere udviklede forretningsstrukturer, da systemadministratorer ville være mere effektive til at styre computere, der blev føjet til domænet centralt. Tjenester som Microsoft og Active Directory har også brug for Active Directory for at fungere korrekt. Enhver forekomst af Active Directory-domænecontroller, der går offline, er et betydeligt problem, da alle brugere ikke kan logge ind, og det samlede system ikke kan fungere korrekt generelt.
selv når virksomheder flytter til cloud-og SaaS-tilbud, betragtes integration med den eksisterende ANNONCEINFRASTRUKTUR ofte som et krav for projektets succes. Med dette sagt, kompleksiteten af Active Directory samt dens evne til at blive opretholdt på næsten perfekt oppetid betyder, at en levedygtig Active Directory backup og disaster recovery løsning er en absolut nødvendighed.
værd at bemærke: AD Disaster Recovery (DR) er noget, der ikke bør gøres – eller forveksles med – directory server backups, fordi disse planer bør omfatte måder at komme tilbage til før den ældste gravsten. Tilsvarende, enkelt element granularitet directory Server data gendanner må ikke forveksles med DR .. se det sidste afsnit i denne blog for flere detaljer.
Hvordan Active Directory Fungerer?
kernen i Active Directory som et styringssystem er en database, der indeholder både transaktionslogfiler og individuelle objekter. Denne database er opdelt i flere dele – og hver del indeholder en anden type information, enten domænenavnskontekst (grupper af brugere eller individuelle) eller konfiguration/skemapartition (henholdsvis ANNONCESTRUKTURINFO og ANNONCEDESIGNINFO). Strukturen i Active Directory-databasen er hierarkisk, og dens form ligner meget et træ. Den vigtigste fil, der bruges til Active Directory-databaselagring, er NTD ‘ er.dit.
Active Directory arbejder gennem flere protokoller for at sikre sikkerheden for det netværk, det opererer med. Disse protokoller er følgende:
- LDAP-protokollen (letvægts Directory Access Protocol) bruges til directory access (Active Directory og andre) og directory authentication services gennem både brugernavn og adgangskode, det er også åben og cross-platform;
- Kerberos protocol er en kryptografi-baseret protokol, der bruges til single sign-On og sikker godkendelse operationer, det kontrollerer brugernavne og adgangskoder, før du gemmer dem i LDAP directory.
Active Directory er også dybt integreret med vinduer-beskyttede systemfiler, DNS-Server, com+ klasse registrering Database, Sysvol mappe, klynge service information og flere andre. Denne mængde integrationer påvirker også direkte den overordnede Active Directory backup-strategi.
Active Directory Backup-anbefalinger
næste vil vi tale om flere generelle brugsanbefalinger, mens du sikkerhedskopierer din Active Directory-server.
Sikkerhedskopier din Active Directory regelmæssigt
den anbefalede backupfrekvens for Active Directory er ikke mere end 60 dage. Årsagen til dette er en af specifikationerne for Active Directory database management – ad tombstone objects.
når objektet i mappen slettes (hvilket betyder, at de fleste af objektets attributter, eller alle af dem, slettes) – det er markeret som et gravstenobjekt og bliver ikke fysisk slettet før udløbet af gravstenens levetid, hvilket er 60 dage nøjagtigt. Hvis du har flere domænecontrollere, der opererer på samme tid, og Active Directory replication – funktionen er aktiveret-vil alle disse gravstenfiler blive kopieret på hver eneste af dine controllere og opbevares der indtil udløbstiden. Der er også det faktum, at hvis du gendanner en domænecontroller – sikkerhedskopi, der er oprettet mere end 60 dage før i dag-er du bundet til at få masser af uoverensstemmelser på grund af, at en af domænecontrollerne har information om objekter, der ikke engang findes længere.
en yderligere grund til mærket “60 dage eller mindre” er, at ethvert program eller driver, der er installeret efter den sidste sikkerhedskopi, slet ikke fungerer i tilfælde af gendannelse af data, da der ikke er nogen oplysninger i registreringsdatabasen om de nævnte drivere eller programmer.
der er langt flere potentielle problemer, der kan opstå på grund af, at dataene ikke sikkerhedskopieres ofte nok. Den mest” sikre ” anbefaling er at gøre Active Directory backup på daglig basis.
hold mindst en af domænecontrollerne sikkerhedskopieret
dette råd er for det meste til større virksomheder, der har mere end en domænecontroller i deres infrastruktur. Du skal sikkerhedskopiere mindst en af dine domænecontrollere, hvis du har flere af dem for at sikre mindst delvis datagendannelse i tilfælde af en slags udstyrs-eller programfejl. Også hvis du har FSMO (fleksibel single Master Operation) roller installeret på en af dine controllere – bør du prioritere at sikkerhedskopiere det først. På den måde, hvis du mister alle dine controllere, kan du gendanne en af dem – den med FSMO – der vil blive betragtet som “primær”, og derefter, hvis du implementerer en anden controller – vil du i det væsentlige kunne kopiere alle ændringerne fra den “primære” domænecontroller til “sekundær”.
Prioriter programmer, der giver datakonsistens
det er en ganske almindelig viden, at enhver sikkerhedskopi skal udføres på en måde, der sikrer, at dens konsistens bevares. Det samme gælder for Active Directory backup. Den bedste mulighed er at sikkerhedskopiere dataene, mens serveren er slukket, eller når VSS bruges på en kørende server. Tværtimod-at forsøge at sikkerhedskopiere data fra serveren, der fungerer 24/7, er ikke den bedste ide. Derfor anbefales det stærkt at bruge VSS-kompatible tjenester til ethvert af dine Active Directory-backupbehov. VSS opretter et øjebliksbillede af dataene, som i det væsentlige fryser systemet og dets’ info, indtil sikkerhedskopieringsprocessen er afsluttet. På den måde vil du ikke miste eller korrupte filer, der omskriver sig selv på serveren på det tidspunkt, hvor sikkerhedskopien skabte sig selv.
din disaster recovery plan skal indeholde AD backup
at have en disaster recovery plan er generelt et must, og jo flere scenarier du kan forudsige og forhindre eller forberede dig på – jo bedre vil du være i tilfælde af katastrofe af en slags. I dette tilfælde er ANNONCEBACKUP vigtig, fordi du i det væsentlige ikke kan bruge nogen ANNONCERELATEREDE tjenester, hvis du gendanner dem, før du gendanner din ANNONCEBACKUP. Du kan sikkerhedskopiere din domænecontroller til flere forskellige lagringsplaceringer:cloud, local eller remote site. At have mere end en kopi af din Active Directory anbefales også stærkt.
se efter granulær Gendannelsesindstilling, hvis det er muligt
mens processen med at gendanne og omskrive alle dine Active Directory – data er en god ide det meste af tiden-kan du kigge efter tjenester, der også leverer granulær Gendannelsesindstilling. På den måde, hvis du kun vil gendanne en eller et par filer fra din sikkerhedskopi – kan du gøre det ganske let. Dette reducerer også den samlede datagendannelsestid, især når din Active Directory er større end den gennemsnitlige.
Native Active Directory Backup Tools and Services
der er flere native backup-værktøjer til Active Directory oprettet af Microsoft til sikkerhedskopiering af servere, herunder dem, der kører Active Directory-domænecontrollere.
vinduer Server Backup
vinduer Server Backup er et program, der erstattede NTBackup i vinduer Server 2008 og nyere versioner. Vi kommer med en ny grænseflade og evnen til at oprette trinvise sikkerhedskopier med brugen af VSS (Microsoft Volume skygge kopi Service). De data, der er sikkerhedskopieret, gemmes i VHD-format. Når du har sikkerhedskopieret det, vil du være i stand til at montere sådanne VHD – diske på en maskine – både virtuel og fysisk-for at få adgang til de data, du har sikkerhedskopieret. Forskellen mellem denne VHD og den, der er oprettet ved hjælp af Mvmc (Microsoft Virtual Machine Converter) er, at denne VHD ikke kan startes. Kommandoen til sikkerhedskopiering af hele lydstyrken eller systemtilstanden er følgende: Start systemstatebackup .
de vigtigste fordele ved denne backup metode til Active Directory backup er følgende: det er overkommeligt, det kan fungere med VSS, og du kan enten sikkerhedskopiere hele systemet eller sikkerhedskopiere intet andet end Active Directory-filer. Den største ulempe er, at det kræver en masse forudgående viden og forståelse for at nå programmets fulde potentiale med hensyn til både backup og gendannelsesproces.
System Center Data Protection Manager
den anden backup service oprettet af Microsoft er System Center Data Protection Management (SC DPM). Oprettelse af både de sædvanlige sikkerhedskopier af data og Active Directory-sikkerhedskopier er inden for programmets muligheder. SC DPM er en enterprise-niveau backup / recovery service, der kan bruges til server databeskyttelse (som omfatter Active Directory backups). Forskellen mellem SC og SC DPM er, at førstnævnte er gratis, mens sidstnævnte er et betalt program, der er installeret separat og ikke inkluderet i den grundlæggende Microsoft-systempakke. Det er også noget sværere at sætte op i forhold til VB. Men det anbefales stadig stærkt at bruge det til at sikre din enheds komplette beskyttelse. Listen over SC DPM funktioner omfatter VSS support, trinvis backup support, Microsoft cloud backup support og manglende evne til at gendanne ental filer fra sikkerhedskopieret Active Directory. Den mest praktiske anvendelse af SC DPM er at beskytte en række Microsoft-servere og andre enheder.
tredjeparts Active Directory Backup metoder
selvom både VB og SC DPM er de oprindelige løsninger til sikkerhedskopiering af Active Directory – der er mange andre mulige løsninger til dette. Faktisk bør næsten alle enterprise-niveau backup service være i stand til at sikkerhedskopiere Active Directory med lidt at ingen problemer. Forskellen mellem alle disse tjenester i så fald er den måde, nogle af dem giver flere muligheder, mens de beskæftiger sig med både sikkerhedskopiering og gendannelse af Active Directory.
hovedpunktet for sikkerhedskopier fungerer generelt også med Active Directory – sikkerhedskopien af data skal udføres på en bestemt måde for at sikre, at dataene er konsistente nok. De fleste af tredjeparts backup-tjenester bruger VSS til at oprette et øjebliksbillede af de kopierede data for at forhindre, at dataene på nogen måde ændres midt i sikkerhedskopieringsprocessen. Der er også mulighed for, at der opstår et andet problem: hvis sikkerhedskopien af Active Directory er skrevet til en fysisk disk – det øjebliksbillede, der blev oprettet, vil blive brugt til skriveoperationen, men hvis det er baseret på Live Active Directory – databasekopien-vil der sandsynligvis opstå uoverensstemmelser på en eller anden måde.
hver sikkerhedskopieringsudbyder har deres egen specifikke måde at håndtere det nævnte problem på, nogle mere effektive end andre.
plus, nogle af tredjeparts backup-tjenester kan give meget specifik objekt restaurering for Active Directory sikkerhedskopier. Et af eksemplerne på det er evnen til at gendanne individuelle brugerkonti snarere end hele databasen. Men ikke alle disse produkter kan gøre det, de fleste af dem kan kun levere fuld backup-and-restore-service til Active Directory-sikkerhedskopier.
Active Directory Backup Med Bacula Enterprise Edition
Active Directory kører i en meget redundant arkitektur efter design, og tab af hele mappen repræsenterer normalt en større site fejl. Gendannelse i dette tilfælde er ofte komplette genopbygninger eller bare metalgendannelser fra backup, og ofte et separat gendannelsestrin for databaser og ANNONCEKOMPONENTERNE. Bacula Enterprise Edition s VSS plugin kan give Dr niveau backup og recovery værktøjer til disse situationer, og Bare Metal Recovery plugin tillader inddrivelse af et kørende system, hvorpå ANNONCETJENESTERNE kan inddrives. Selvom sikkerhedskopier af katastrofegendannelse er en god ting at have, hjælper de ikke i tilfælde af fejlagtige ændringer eller korruption, der forårsager betydelige problemer for en del af katalogstrukturen, men bør ikke kræve en gendannelse af hele biblioteket. For eksempel kan en skødesløs (eller utilfreds) administrator foretage ændringer i tilladelserne til en hel OU, der forårsager alle slags problemer for organisationen.
i dette scenario kan løsningerne være begrænset til en meget tidskrævende og fejlbehæftet manuel genopbygning af strukturen eller en gendannelse fra backup. Det er her Bacula Enterprise Directory Server plugin kan hjælpe. Active Directory backup-plugin kommunikerer direkte med dit Active Directory eller LDAP-miljø ved hjælp af LDAP-netværksprotokollen til korrekt udpakning af din katalogstruktur og aktivering af sikkerhedskopiering og gendannelse på objektniveau. Objekter kan endda gendannes til forskellige steder i mappetræet.
dette muliggør gendannelse af individuelle objekter såvel som hele biblioteket. I modsætning til VSS-plugin-metoden antager Directory Server-plugin, at en fungerende ANNONCEINFRASTRUKTUR er blevet geninstalleret, hvorpå de sikkerhedskopierede annonceoplysninger gendannes, mens VSS-pluginet er mere velegnet til katastrofegendannelsesscenarier. For mere information om hvilket plugin der passer til dine behov, bedes du kontakte Bacula Systems.
Gendannelse af Active Directory-objekter med Directory Server-plugin er let. Objekter ligner filer på gendannelsestidspunktet, og mange af de samme muligheder fungerer. Dette billede viser et eksempel Gendan vindue i bconsole:
som du kan se, er vi i stand til at vælge et enkelt objekt til gendannelse og har på dette tidspunkt adgang til mange indstillinger for gendannelsestid.
for eksempel kan objekter gendannes til en anden server, end de stammer fra. De kan gendannes oven på eksisterende objekter, og du kan vælge, om du vil beholde eksisterende objekter, der er nyere end de objekter, der gendannes, ældre, altid erstatte dem eller aldrig erstatte eksisterende objekter. Du kan også få directory server-plugin-kontrollen til objektgravsten, især nyttig, når du gendanner objekter, der er blevet slettet forkert af en eller anden grund. Det er naturligvis også muligt at vælge hele mappestrukturen til gendannelse på en fungerende Active Directory eller LDAP-server.
konklusion
Active Directory er dybest set kernen i virksomheden, og dermed den række værktøjer og tjenester, der forhindrer enhver form for forstyrrelse eller et hukommelsestab, der i det mindste kan forårsage nedetid for både brugere og tjenester leveret af din virksomhed. Det er også vigtigt at undersøge backupmetoder og-tjenester korrekt, før du anvender en af dem på din virksomhed. Valg af backup løsning, der fungerer bedst for dig er nøglen til at forhindre de fleste, hvis ikke alle, af problemerne med Active Directory og dens’ data.
evnen til at inddrive Active Directory i en katastrofe er afgørende for en god alle omkring risikostyring strategi for enhver organisation, der er afhængig af det stærkt. Bacula Enterprise Edition giver værktøjer til både gendanne fra samlede tab, men også værdifulde værktøjer til backup Active Directory og gendanne dele af din infrastruktur, når tingene går galt.