¿Qué es Active Directory?
Active Directory de Microsoft (MS AD) es una de las herramientas de administración de permisos de red y autenticación de usuarios más utilizadas del mundo. Permite el inicio de sesión federado en toda una red corporativa y la administración de roles y permisos de usuario desde un solo punto en varios servicios.
Este servicio es extremadamente valioso para estructuras empresariales más grandes y desarrolladas, ya que los administradores de sistemas serían más eficientes administrando equipos que se agregaron al dominio de forma centralizada. Servicios como Microsoft Exchange y Microsoft SQL Server también necesitan Active Directory para funcionar correctamente. Cualquier instancia de Controlador de dominio de Active Directory que se desconecte es un problema importante, ya que todos los usuarios no podrán iniciar sesión y el sistema en general no podrá funcionar correctamente.
Incluso a medida que las empresas se trasladan a la nube y a las ofertas de SaaS, la integración con la infraestructura publicitaria existente a menudo se considera un requisito para el éxito del proyecto. Dicho esto, la complejidad de Active Directory, así como su capacidad para mantenerse en un tiempo de actividad casi perfecto, significa que una solución viable de copia de seguridad y recuperación ante desastres de Active Directory es una necesidad absoluta.
Vale la pena destacar: La recuperación ante desastres de AD (DR) es algo que no se debe hacer, ni confundir con, las copias de seguridad de servidores de directorio porque esos planes deben incluir formas de volver a antes de la lápida más antigua. Del mismo modo, las restauraciones de datos de servidor de directorio de granularidad de un solo elemento no deben confundirse con DR. Consulte el último párrafo de este blog para obtener más detalles.
¿Cómo funciona Active Directory?
El núcleo de Active Directory como sistema de administración es una base de datos que contiene registros de transacciones y objetos individuales. Esta base de datos se divide en varias partes, y cada parte contiene un tipo de información diferente, ya sea el contexto de nombres de dominio (grupos de usuarios o individuales) o la partición de configuración/esquema (información de estructura de anuncios e información de diseño de anuncios, respectivamente). La estructura de la base de datos de Active Directory es jerárquica y su forma se parece mucho a un árbol. El archivo principal que se utiliza para el almacenamiento de bases de datos de Active Directory es Ntds.dit.
Active Directory funciona a través de varios protocolos para garantizar la seguridad de la red con la que está operando. Esos protocolos son los siguientes:
- El protocolo LDAP (Protocolo ligero de acceso a directorios) se utiliza para el acceso a directorios (Active Directory y otros) y los servicios de autenticación de directorios a través de nombre de usuario y contraseña, también es abierto y multiplataforma;
- El protocolo Kerberos es un protocolo basado en criptografía que se utiliza para operaciones de inicio de sesión único y autenticación segura, comprueba los nombres de usuario y las contraseñas antes de almacenarlas en el directorio LDAP.
Active Directory también está profundamente integrado con archivos de sistema protegidos con Windows, Servidor DNS, Base de datos de registro de clase COM+, directorio Sysvol, información de servicio de clúster y varios otros. Esta cantidad de integraciones también influye directamente en la estrategia general de copia de seguridad de Active Directory.
Recomendaciones de copia de seguridad de Active Directory
A continuación, hablaremos de varias recomendaciones de uso general mientras realiza la copia de seguridad de su servidor de Active Directory.
Realice copias de seguridad de Active Directory regularmente
La frecuencia de copia de seguridad recomendada para Active Directory no es superior a 60 días. La razón de esto es una de las características específicas de la administración de bases de datos de Active Directory: objetos de lápida AD.
Cuando se elimina el objeto en el Directorio (es decir, se eliminan la mayoría de los atributos del objeto, o todos ellos), se marca como un objeto de lápida y no se elimina físicamente hasta que expire el período de vida útil de lápida, que es de 60 días exactamente. Si tiene varios controladores de dominio funcionando al mismo tiempo y la función de replicación de Active Directory está habilitada, todos esos archivos de lápida se copiarán en todos y cada uno de sus controladores y se mantendrán allí hasta su fecha de caducidad. También está el hecho de que si está restaurando una copia de seguridad de controlador de dominio que se creó más de 60 días antes de hoy, seguramente obtendrá muchas inconsistencias debido a que uno de los controladores de dominio tiene información sobre objetos que ni siquiera existen.
Una razón más para la marca de «60 días o menos» es que cualquier software o controlador instalado después de la última copia de seguridad no funcionaría en absoluto en el caso de la restauración de datos, ya que no habrá información en el registro sobre dichos controladores o software.
Hay muchos más problemas potenciales que pueden surgir debido a que los datos no se respaldan con la suficiente frecuencia. La recomendación más» segura » es hacer copias de seguridad de Active Directory diariamente.
Mantenga al menos una copia de seguridad de uno de los controladores de dominio
Este consejo es principalmente para empresas más grandes que tienen más de un controlador de dominio en su infraestructura. Debe realizar una copia de seguridad de al menos uno de sus controladores de dominio si tiene varios de ellos para garantizar la recuperación de datos al menos parcial en caso de algún tipo de falla de hardware o software. Además, si tiene roles FSMO (Operación Maestra Única Flexible) instalados en uno de sus controladores, primero debe priorizar la copia de seguridad. De esa manera, si pierde todos sus controladores, puede recuperar uno de ellos, el que tiene FSMO, que se considerará «primario», y después de eso, si implementa otro controlador, podrá, esencialmente, copiar todos los cambios del controlador de dominio «primario» al controlador «secundario».
Priorizar el software que proporciona consistencia de datos
Es un conocimiento bastante común que cualquier copia de seguridad debe hacerse de una manera para garantizar que se preserve su consistencia. Lo mismo ocurre con la copia de seguridad de Active Directory. La mejor opción es hacer una copia de seguridad de los datos mientras el servidor está apagado o cuando se usa VSS en un servidor en ejecución. Por el contrario, tratando de copia de seguridad de datos desde el servidor en el que está trabajando 24/7 no es la mejor idea. Por eso es muy recomendable utilizar servicios compatibles con VSS para cualquiera de sus necesidades de copia de seguridad de Active Directory. VSS crea una instantánea de los datos, que esencialmente congela el sistema y su información hasta que se complete el proceso de copia de seguridad. De esa manera, no perderá ni dañará los archivos que se estaban reescribiendo en el servidor en el momento en que se estaba creando la copia de seguridad.
Su plan de recuperación ante desastres debe incluir copia de seguridad de anuncios
Tener un plan de recuperación ante desastres es una necesidad en general, y cuantos más escenarios pueda predecir y prevenir o prepararse, mejor será en caso de desastre de algún tipo. En este caso, la copia de seguridad de anuncios es importante porque, en esencia, no puede usar ningún servicio relacionado con anuncios si los restaura antes de restaurar la copia de seguridad de anuncios. Puede hacer una copia de seguridad de su controlador de dominio en varias ubicaciones de almacenamiento diferentes:nube, sitio local o remoto. También es muy recomendable tener más de una copia de Active Directory.
Busque la opción de recuperación granular, si es posible
Mientras que el proceso de recuperación y reescritura de todos sus datos de Active Directory es una buena idea la mayor parte del tiempo, es posible que desee buscar servicios que también proporcionen la opción de recuperación granular. De esta manera, si desea recuperar solo uno o algunos archivos de su copia de seguridad, podrá hacerlo con bastante facilidad. Esto también reduce el tiempo total de restauración de datos, especialmente cuando su Active Directory es mayor que el promedio.
Herramientas y servicios de copia de seguridad nativos de Active Directory
Existen varias herramientas de copia de seguridad nativas para Active Directory creadas por Microsoft para realizar copias de seguridad de servidores Windows, incluidas las que ejecutan controladores de dominio de Active Directory.
Copia de seguridad de Windows Server
Copia de seguridad de Windows Server es un programa que reemplazó a NTBackup en Windows Server 2008 y versiones posteriores. WSB viene con una nueva interfaz y la capacidad de crear copias de seguridad incrementales con el uso de VSS (Microsoft Volume Shadow Copy Service). Los datos de los que se ha hecho una copia de seguridad se guardan en formato VHD. Después de realizar la copia de seguridad, podrá montar dichos discos VHD en una máquina, tanto virtual como física, para acceder a los datos de la copia de seguridad. La diferencia entre este VHD y el que se crea con MVMC (Microsoft Virtual Machine Converter) es que este VHD no se puede arrancar. El comando para hacer una copia de seguridad de todo el volumen o del estado del sistema es el siguiente: wbadmin start systemstatebackup .
Las principales ventajas de este método de copia de seguridad para la copia de seguridad de Active Directory son las siguientes: es asequible, puede funcionar con VSS y puede realizar copias de seguridad de todo el sistema o de nada más que archivos de Active Directory. La principal desventaja es que trabajar con WSB requiere mucho conocimiento y comprensión previos para alcanzar el máximo potencial del programa en lo que respecta al proceso de copia de seguridad y recuperación.
System Center Data Protection Manager
El otro servicio de copia de seguridad creado por Microsoft es System Center Data Protection Management (SC DPM). Crear las copias de seguridad de datos habituales y las copias de seguridad de Active Directory está dentro de las capacidades del programa. SC DPM es un servicio de copia de seguridad/recuperación de nivel empresarial que se puede usar para la protección de datos de Windows Server (que incluye copias de seguridad de Active Directory). La diferencia entre WSB y SC DPM es que el primero es gratuito, mientras que el segundo es un software de pago que se instala por separado y no se incluye en el paquete básico del sistema Microsoft. También es un poco más difícil de configurar en comparación con WSB. Pero sigue siendo muy recomendable usarlo para garantizar la protección completa de su dispositivo. La lista de funciones de SC DPM incluye compatibilidad con VSS, compatibilidad con copias de seguridad incrementales, compatibilidad con copias de seguridad en la nube de Microsoft Azure y la imposibilidad de recuperar archivos singulares de Active Directory respaldados. El uso más práctico de SC DPM es proteger varios servidores Microsoft Exchange / Microsoft SQL y otros dispositivos basados en Windows.
Métodos de copia de seguridad de Active Directory de terceros
Aunque tanto WSB como SC DPM son las soluciones nativas para realizar copias de seguridad de Active Directory, hay muchas otras soluciones posibles para esto. De hecho, casi todos los servicios de copia de seguridad de nivel empresarial deben ser capaces de realizar copias de seguridad de Active Directory con poco o ningún problema. La diferencia entre todos esos servicios en ese caso es la forma en que algunos de ellos proporcionan más capacidades al hacer copias de seguridad y restaurar Active Directory.
El punto principal de las copias de seguridad en general también funciona con Active Directory: la copia de seguridad de datos debe hacerse de una manera específica para garantizar que los datos sean lo suficientemente consistentes. La mayoría de los servicios de copia de seguridad de terceros utilizan VSS para crear una instantánea de los datos copiados para evitar que dichos datos se modifiquen de alguna manera en medio del proceso de copia de seguridad. También existe la posibilidad de que ocurra otro problema: si la copia de seguridad de Active Directory se escribe en un disco físico, la instantánea que se creó se utilizará para la operación de escritura, pero si se basa en la copia en vivo de la base de datos de Active Directory, es probable que surjan inconsistencias de una forma u otra.
Cada proveedor de copias de seguridad tiene su propia forma específica de lidiar con dicho problema, algunos más efectivos que otros.
Además, algunos de los servicios de copia de seguridad de terceros pueden proporcionar restauración de objetos muy específica para copias de seguridad de Active Directory. Uno de los ejemplos de esto es la capacidad de restaurar cuentas de usuario individuales en lugar de toda la base de datos. Pero no todos esos productos pueden hacer eso, la mayoría de ellos solo pueden proporcionar un servicio completo de copia de seguridad y restauración para copias de seguridad de Active Directory.
Copia de seguridad de Active Directory con Bacula Enterprise Edition
Active Directory se ejecuta en una arquitectura altamente redundante por diseño, y la pérdida de todo el directorio normalmente representa un fallo importante del sitio. En este caso, la recuperación suele consistir en reconstrucciones completas o recuperaciones simples de copias de seguridad, y a menudo es un paso de recuperación independiente para las bases de datos y los componentes de AD. El complemento VSS de Bacula Enterprise Edition puede proporcionar las herramientas de copia de seguridad y recuperación de nivel DR para estas situaciones, y el complemento de recuperación de metal desnudo permite la recuperación de un sistema en ejecución en el que se pueden recuperar los servicios publicitarios. Sin embargo, si bien las copias de seguridad de recuperación ante desastres son una gran cosa, no ayudan en el caso de cambios erróneos o corrupciones que causan problemas significativos a una parte de la estructura de directorios, pero no deberían requerir una restauración de todo el directorio. Por ejemplo, un administrador descuidado (o descontento) podría hacer cambios en los permisos de una unidad organizativa completa causando todo tipo de problemas para la organización.
En este escenario, las soluciones pueden limitarse a una reconstrucción manual de la estructura que consume mucho tiempo y es propensa a errores, o a una restauración desde una copia de seguridad. Aquí es donde el complemento Bacula Enterprise Directory Server puede ayudar. El complemento de copia de seguridad de Active Directory se comunica directamente con su entorno de Active Directory o LDAP mediante el protocolo de red LDAP para extraer correctamente la estructura de directorios y habilitar la copia de seguridad y la recuperación a nivel de objeto. Los objetos incluso se pueden restaurar en diferentes ubicaciones en el árbol de directorios.
Esto permite la recuperación de objetos individuales, así como de todo el directorio. A diferencia del método del complemento VSS, el complemento del servidor de directorios asume que se ha reinstalado una infraestructura de ANUNCIOS en funcionamiento, en la que se restaurará la información del ANUNCIO de copia de seguridad, mientras que el complemento VSS es más adecuado para escenarios de recuperación ante desastres. Para obtener más información sobre qué complemento se adapta a sus necesidades, póngase en contacto con Bacula Systems.
La recuperación de objetos de Active Directory con el complemento de servidor de directorios es fácil. Los objetos se parecen a los archivos en el momento de la restauración, y muchas de las mismas opciones funcionan. Esta imagen muestra una ventana de restauración de ejemplo en bconsole:
Como puede ver, podemos seleccionar un solo objeto para la recuperación y en este punto tendremos acceso a muchas opciones de tiempo de restauración.
Por ejemplo, los objetos se pueden restaurar en un servidor diferente del que se originaron. Se pueden restaurar encima de objetos existentes, y puede elegir si desea mantener los objetos existentes que son más nuevos que los objetos que se están restaurando, más antiguos, reemplazarlos siempre o nunca reemplazar objetos existentes. También puede hacer que el complemento del servidor de directorios compruebe si hay lápidas de objetos, especialmente útil cuando restaura objetos que se han eliminado incorrectamente por una razón u otra. También es posible, por supuesto, seleccionar toda la estructura de directorios para la recuperación en un servidor Active Directory o LDAP que funcione.
Conclusión
Active Directory se encuentra básicamente en el corazón de la empresa, de ahí la variedad de herramientas y servicios para evitar cualquier tipo de interrupción o pérdida de memoria que, como mínimo, pueda causar tiempo de inactividad tanto para los usuarios como para los servicios proporcionados por su empresa. También es importante investigar adecuadamente los métodos y servicios de copia de seguridad antes de aplicar uno de ellos a su negocio. Seleccionar la solución de copia de seguridad que funcione mejor para usted es la clave para evitar la mayoría, si no todos, de los problemas con Active Directory y sus datos.
La capacidad de recuperar Active Directory en un desastre es crucial para una buena estrategia de gestión de riesgos para cualquier organización que dependa en gran medida de él. Bacula Enterprise Edition proporciona herramientas para recuperarse de la pérdida total, pero también herramientas valiosas para hacer copias de seguridad de Active Directory y recuperar partes de su infraestructura cuando las cosas salen mal.