Was ist Active Directory?
Active Directory von Microsoft (MS AD) ist eines der weltweit am häufigsten verwendeten Tools zur Benutzerauthentifizierung und Verwaltung von Netzwerkberechtigungen. Es ermöglicht die Verbundanmeldung über ein gesamtes Unternehmensnetzwerk und die Verwaltung von Benutzerrollen und -berechtigungen von einem einzigen Punkt aus über mehrere Dienste hinweg.
Dieser Dienst ist für größere und weiter entwickelte Geschäftsstrukturen äußerst wertvoll, da Systemadministratoren Computer, die der Domäne hinzugefügt wurden, effizienter zentral verwalten können. Dienste wie Microsoft Exchange und Microsoft SQL Server benötigen auch Active Directory, um ordnungsgemäß zu funktionieren. Jede Instanz des Active Directory-Domänencontrollers, die offline geht, ist ein erhebliches Problem, da sich nicht alle Benutzer anmelden können und das Gesamtsystem im Allgemeinen nicht ordnungsgemäß funktionieren kann.
Selbst wenn Unternehmen auf Cloud- und SaaS-Angebote umsteigen, wird die Integration in die vorhandene Anzeigeninfrastruktur häufig als Voraussetzung für den Erfolg des Projekts angesehen. Angesichts der Komplexität von Active Directory und seiner nahezu perfekten Verfügbarkeit ist eine praktikable Active Directory-Sicherungs- und Notfallwiederherstellungslösung eine absolute Notwendigkeit.
Erwähnenswert: AD Disaster Recovery (DR) sollte nicht mit Verzeichnisserver-Backups durchgeführt oder verwechselt werden, da diese Pläne Möglichkeiten enthalten sollten, vor dem ältesten Grabstein zurückzukehren. Ähnlich, Single-Item-Granularität Directory Server-Datenwiederherstellungen dürfen nicht mit DR verwechselt werden.
Wie funktioniert Active Directory?
Der Kern von Active Directory als Verwaltungssystem ist eine Datenbank, die sowohl Transaktionsprotokolle als auch einzelne Objekte enthält. Diese Datenbank ist in mehrere Teile unterteilt – und jeder Teil enthält eine andere Art von Informationen, entweder Domänennamenkontext (Benutzergruppen oder einzelne) oder Konfigurations- / Schemapartition (Anzeigenstrukturinformationen bzw. Die Struktur der Active Directory-Datenbank ist hierarchisch und ihre Form ähnelt stark einem Baum. Die Hauptdatei, die für den Active Directory-Datenbankspeicher verwendet wird, ist Ntds.dit.
Active Directory arbeitet über mehrere Protokolle, um die Sicherheit des Netzwerks zu gewährleisten, mit dem es arbeitet. Diese Protokolle sind die folgenden:
- Das LDAP-Protokoll (Lightweight Directory Access Protocol) wird für den Verzeichniszugriff (Active Directory und andere) und Verzeichnisauthentifizierungsdienste über Benutzername und Kennwort verwendet. es ist auch offen und plattformübergreifend;
- Das Kerberos-Protokoll ist ein kryptografiebasiertes Protokoll, das für Single Sign-On- und sichere Authentifizierungsvorgänge verwendet wird.
Active Directory ist auch tief in Windows-geschützte Systemdateien, DNS-Server, COM + -Klassenregistrierungsdatenbank, Sysvol-Verzeichnis, Clusterdienstinformationen und mehrere andere integriert. Diese Anzahl von Integrationen beeinflusst auch direkt die gesamte Active Directory-Sicherungsstrategie.
Active Directory-Sicherungsempfehlungen
Als nächstes werden wir über einige allgemeine Verwendungsempfehlungen beim Sichern Ihres Active Directory-Servers sprechen.
Sichern Sie Ihr Active Directory regelmäßig
Die empfohlene Sicherungshäufigkeit für Active Directory beträgt nicht mehr als 60 Tage. Der Grund dafür ist eine der Besonderheiten der Active Directory-Datenbankverwaltung – AD Tombstone-Objekte.
Wenn das Objekt im Verzeichnis gelöscht wird (dh die meisten oder alle Attribute des Objekts werden gelöscht), wird es als Tombstone–Objekt markiert und erst nach Ablauf der Tombstone-Lebensdauer, die genau 60 Tage beträgt, physisch gelöscht. Wenn Sie mehrere Domänencontroller gleichzeitig betreiben und die Active Directory–Replikationsfunktion aktiviert ist, werden alle diese Tombstone-Dateien auf jeden einzelnen Ihrer Controller kopiert und dort bis zum Ablauf aufbewahrt. Es gibt auch die Tatsache, dass, wenn Sie eine Domänencontroller–Sicherung wiederherstellen, die mehr als 60 Tage vor dem heutigen Tag erstellt wurde, Sie wahrscheinlich viele Inkonsistenzen erhalten, da einer der Domänencontroller Informationen über Objekte enthält, die nicht einmal mehr existieren.
Ein weiterer Grund für die Markierung „60 Tage oder weniger“ ist, dass Software oder Treiber, die nach der letzten Sicherung installiert wurden, bei der Datenwiederherstellung überhaupt nicht funktionieren würden, da in der Registrierung keine Informationen zu den Treibern oder der Software vorhanden sind.
Es gibt weitaus mehr potenzielle Probleme, die auftreten können, wenn die Daten nicht häufig genug gesichert werden. Die „sicherste“ Empfehlung ist die tägliche Sicherung von Active Directory.
Sichern Sie mindestens einen der Domänencontroller
Dieser Rat gilt hauptsächlich für größere Unternehmen, die mehr als einen Domänencontroller in ihrer Infrastruktur haben. Sie sollten mindestens einen Ihrer Domänencontroller sichern, wenn Sie mehrere davon haben, um im Falle eines Hardware- oder Softwarefehlers eine zumindest teilweise Datenwiederherstellung sicherzustellen. Auch wenn Sie FSMO–Rollen (Flexible Single Master Operation) auf einem Ihrer Controller installiert haben, sollten Sie zuerst die Sicherung priorisieren. Auf diese Weise können Sie, wenn Sie alle Ihre Controller verlieren, einen davon wiederherstellen – den mit FSMO –, der als „primär“ betrachtet wird, und danach, wenn Sie einen anderen Controller bereitstellen, können Sie im Wesentlichen alle Änderungen vom „primären“ Domänencontroller auf den „sekundären“ kopieren.
Priorisieren Sie Software, die Datenkonsistenz bietet
Es ist allgemein bekannt, dass jede Sicherung so durchgeführt werden sollte, dass die Konsistenz der Daten erhalten bleibt. Gleiches gilt für die Active Directory-Sicherung. Die beste Option besteht darin, die Daten zu sichern, während der Server ausgeschaltet ist oder wenn VSS auf einem laufenden Server verwendet wird. Im Gegenteil – der Versuch, Daten von dem Server zu sichern, der 24/7 arbeitet, ist nicht die beste Idee. Aus diesem Grund wird dringend empfohlen, VSS-kompatible Dienste für alle Ihre Active Directory-Sicherungsanforderungen zu verwenden. VSS erstellt einen Snapshot der Daten, der das System und seine Informationen im Wesentlichen einfriert, bis der Sicherungsvorgang abgeschlossen ist. Auf diese Weise verlieren oder beschädigen Sie keine Dateien, die sich zum Zeitpunkt der Erstellung des Backups selbst auf dem Server neu geschrieben haben.
Ihr Notfallwiederherstellungsplan muss eine AD-Sicherung enthalten
Ein Notfallwiederherstellungsplan ist im Allgemeinen ein Muss, und je mehr Szenarien Sie vorhersagen und verhindern oder vorbereiten können, desto besser sind Sie im Katastrophenfall. Die Anzeigensicherung ist in diesem Fall wichtig, da Sie im Wesentlichen keine anzeigenbezogenen Dienste verwenden können, wenn Sie sie wiederherstellen, bevor Sie die Anzeigensicherung wiederherstellen. Sie können Ihren Domänencontroller an verschiedenen Speicherorten sichern: Cloud, lokal oder Remote. Es wird dringend empfohlen, mehr als eine Kopie Ihres Active Directory zu haben.
Suchen Sie nach granularer Wiederherstellungsoption, wenn möglich
Während das Wiederherstellen und Neuschreiben aller Active Directory–Daten die meiste Zeit eine gute Idee ist, sollten Sie nach Diensten suchen, die auch eine granulare Wiederherstellungsoption bieten. Auf diese Weise, wenn Sie nur eine oder wenige Dateien aus Ihrem Backup wiederherstellen möchten, können Sie dies ganz einfach tun. Dies reduziert auch die gesamte Datenwiederherstellungszeit, insbesondere wenn Ihr Active Directory größer als der Durchschnitt ist.
Native Active Directory-Sicherungstools und -dienste
Es gibt mehrere native Sicherungstools für Active Directory, die von Microsoft zum Sichern von Windows-Servern erstellt wurden, einschließlich derjenigen, auf denen Active Directory-Domänencontroller ausgeführt werden.
Windows Server Backup
Windows Server Backup ist ein Programm, das NTBackup in Windows Server 2008 und neueren Versionen ersetzt. WSB verfügt über eine neue Benutzeroberfläche und die Möglichkeit, inkrementelle Sicherungen mithilfe von VSS (Microsoft Volume Shadow Copy Service) zu erstellen. Die gesicherten Daten werden im VHD-Format gespeichert. Nach dem Sichern können Sie solche VHD–Festplatten auf einem virtuellen und physischen Computer bereitstellen, um auf die gesicherten Daten zuzugreifen. Der Unterschied zwischen dieser VHD und der mit MVMC (Microsoft Virtual Machine Converter) erstellten VHD besteht darin, dass diese VHD nicht bootfähig ist. Der Befehl zum Sichern des gesamten Volumes oder des Systemstatus lautet wie folgt: wbadmin start systemstatebackup .
Die Hauptvorteile dieser Sicherungsmethode für die Active Directory-Sicherung sind die folgenden: es ist erschwinglich, es kann mit VSS arbeiten, und Sie können entweder das gesamte System sichern oder nur Active Directory-Dateien sichern. Der Hauptnachteil besteht darin, dass die Arbeit mit WSB viel Vorwissen und Verständnis erfordert, um das volle Potenzial des Programms in Bezug auf den Sicherungs- und Wiederherstellungsprozess auszuschöpfen.
System Center Data Protection Manager
Der andere von Microsoft erstellte Sicherungsdienst ist System Center Data Protection Management (SC DPM). Das Erstellen sowohl der üblichen Datensicherungen als auch der Active Directory-Sicherungen liegt in den Fähigkeiten des Programms. SC DPM ist ein Sicherungs- / Wiederherstellungsdienst auf Unternehmensebene, der für die Windows Server-Datensicherung (einschließlich Active Directory-Sicherungen) verwendet werden kann. Der Unterschied zwischen WSB und SC DPM besteht darin, dass ersteres kostenlos ist, während letzteres eine kostenpflichtige Software ist, die separat installiert und nicht im Microsoft-Basissystempaket enthalten ist. Es ist auch etwas schwieriger einzurichten im Vergleich zu WSB. Es wird jedoch dringend empfohlen, es zu verwenden, um den vollständigen Schutz Ihres Geräts zu gewährleisten. Die Liste der SC DPM-Funktionen umfasst VSS-Unterstützung, inkrementelle Backup-Unterstützung, Microsoft Azure Cloud Backup-Unterstützung und die Unfähigkeit, einzelne Dateien aus gesichertem Active Directory wiederherzustellen. Die praktischste Verwendung von SC DPM besteht darin, eine Reihe von Microsoft Exchange / Microsoft SQL-Servern und anderen Windows-basierten Geräten zu schützen.
Active Directory-Sicherungsmethoden von Drittanbietern
Obwohl sowohl WSB als auch SC DPM die nativen Lösungen zum Sichern von Active Directory sind, gibt es viele andere mögliche Lösungen dafür. Tatsächlich sollte fast jeder Backup-Service auf Unternehmensebene in der Lage sein, Active Directory mit wenig bis gar keinen Problemen zu sichern. Der Unterschied zwischen all diesen Diensten besteht in diesem Fall darin, dass einige von ihnen mehr Funktionen bieten, während sie sich sowohl mit dem Sichern als auch mit dem Wiederherstellen des Active Directory befassen.
Der Hauptpunkt von Backups funktioniert im Allgemeinen auch mit Active Directory – die Datensicherung muss auf eine bestimmte Weise erfolgen, um sicherzustellen, dass die Daten konsistent genug sind. Die meisten Sicherungsdienste von Drittanbietern verwenden VSS, um einen Snapshot der kopierten Daten zu erstellen, um zu verhindern, dass diese Daten während des Sicherungsvorgangs in irgendeiner Weise geändert werden. Es besteht auch die Möglichkeit, dass ein anderes Problem auftritt: Wenn die Sicherung von Active Directory auf eine physische Festplatte geschrieben wird – der erstellte Snapshot wird für den Schreibvorgang verwendet, aber wenn er auf der Live–Kopie der Active Directory-Datenbank basiert -, treten auf die eine oder andere Weise Inkonsistenzen auf.
Jeder Backup-Anbieter hat seine eigene Art, mit diesem Problem umzugehen, einige effektiver als andere.
Außerdem können einige der Sicherungsdienste von Drittanbietern eine sehr spezifische Objektwiederherstellung für Active Directory-Sicherungen bereitstellen. Eines der Beispiele dafür ist die Möglichkeit, einzelne Benutzerkonten und nicht die gesamte Datenbank wiederherzustellen. Aber nicht alle diese Produkte können das, die meisten von ihnen können nur einen vollständigen Sicherungs- und Wiederherstellungsdienst für Active Directory-Sicherungen bereitstellen.
Active Directory Backup mit Bacula Enterprise Edition
Active Directory läuft in einer hochredundanten Architektur, und der Verlust des gesamten Verzeichnisses stellt normalerweise einen großen Standortfehler dar. Die Wiederherstellung besteht in diesem Fall häufig aus vollständigen Rebuilds oder Bare-Metal-Wiederherstellungen aus dem Backup und häufig aus einem separaten Wiederherstellungsschritt für Datenbanken und die AD-Komponenten. Das VSS-Plugin von Bacula Enterprise Edition kann die Backup- und Wiederherstellungstools auf DR-Ebene für diese Situationen bereitstellen, und das Bare-Metal-Recovery-Plugin ermöglicht die Wiederherstellung eines laufenden Systems, auf dem die AD-Dienste wiederhergestellt werden können. Obwohl Disaster Recovery-Backups eine großartige Sache sind, helfen sie nicht bei fehlerhaften Änderungen oder Beschädigungen, die zu erheblichen Problemen in einem Teil der Verzeichnisstruktur führen, sollten jedoch keine Wiederherstellung des gesamten Verzeichnisses erfordern. Beispielsweise kann ein unvorsichtiger (oder verärgerter) Administrator Änderungen an den Berechtigungen einer gesamten Organisationseinheit vornehmen, die alle möglichen Probleme für die Organisation verursachen.
In diesem Szenario beschränken sich die Lösungen möglicherweise auf eine sehr zeitaufwändige und fehleranfällige manuelle Wiederherstellung der Struktur oder eine Wiederherstellung aus dem Backup. Hier kann das Bacula Enterprise Directory Server Plugin helfen. Das Active Directory Backup Plugin kommuniziert direkt mit Ihrer Active Directory- oder LDAP-Umgebung über das LDAP-Netzwerkprotokoll, um Ihre Verzeichnisstruktur korrekt zu extrahieren und die Sicherung und Wiederherstellung auf Objektebene zu ermöglichen. Objekte können sogar an verschiedenen Stellen im Verzeichnisbaum wiederhergestellt werden.
Dies ermöglicht die Wiederherstellung einzelner Objekte sowie des gesamten Verzeichnisses. Im Gegensatz zur VSS-Plugin-Methode geht das Directory Server-Plugin davon aus, dass eine funktionierende AD-Infrastruktur neu installiert wurde, auf der die gesicherten AD-Informationen wiederhergestellt werden, während das VSS-Plugin eher für Disaster-Recovery-Szenarien geeignet ist. Für weitere Informationen darüber, welches Plugin Ihren Anforderungen entspricht, wenden Sie sich bitte an Bacula Systems.
Die Wiederherstellung von Active Directory-Objekten mit dem Directory Server Plugin ist einfach. Objekte sehen zum Zeitpunkt der Wiederherstellung genauso aus wie Dateien, und viele der gleichen Optionen funktionieren. Dieses Bild zeigt ein Beispiel für ein Wiederherstellungsfenster in bconsole:
Wie Sie sehen, können wir ein einzelnes Objekt für die Wiederherstellung auswählen und haben zu diesem Zeitpunkt Zugriff auf viele Wiederherstellungsoptionen.
Beispielsweise können Objekte auf einem anderen Server wiederhergestellt werden, als sie ursprünglich stammen. Sie können auswählen, ob vorhandene Objekte, die neuer als die wiederherzustellenden Objekte sind, ältere Objekte beibehalten, immer ersetzt oder vorhandene Objekte nie ersetzt werden sollen. Sie können das Verzeichnisserver-Plugin auch auf Objekt-Tombstones prüfen lassen, was besonders nützlich ist, wenn Sie Objekte wiederherstellen, die aus dem einen oder anderen Grund falsch gelöscht wurden. Natürlich ist es auch möglich, die gesamte Verzeichnisstruktur für die Wiederherstellung auf einem funktionierenden Active Directory- oder LDAP-Server auszuwählen.
Fazit
Das Active Directory ist im Grunde das Herzstück des Unternehmens, daher die Reihe von Tools und Diensten, um jede Art von Störung oder Speicherverlust zu verhindern, die zumindest zu Ausfallzeiten für Benutzer und Dienste führen kann, die von Ihrem Unternehmen bereitgestellt werden. Es ist auch wichtig, Backup-Methoden und -Dienste richtig zu recherchieren, bevor Sie eine davon auf Ihr Unternehmen anwenden. Die Auswahl der für Sie am besten geeigneten Sicherungslösung ist der Schlüssel, um die meisten, wenn nicht alle Probleme mit Active Directory und seinen Daten zu vermeiden.
Die Fähigkeit, Active Directory im Katastrophenfall wiederherzustellen, ist entscheidend für eine gute Allround-Risikomanagementstrategie für jedes Unternehmen, das stark auf IT angewiesen ist. Bacula Enterprise Edition bietet Tools zur Wiederherstellung nach Totalverlust, aber auch wertvolle Tools zur Sicherung von Active Directory und zur Wiederherstellung von Teilen Ihrer Infrastruktur, wenn etwas schief geht.