mi az Active Directory?
a Microsoft Active Directory (MS AD) az egyik legszélesebb körben használt felhasználói hitelesítési és hálózati Engedélykezelő eszköz a világon. Lehetővé teszi az összevont bejelentkezést a teljes vállalati hálózaton, valamint a felhasználói szerepkörök és engedélyek kezelését egyetlen pontról több szolgáltatáson keresztül.
ez a szolgáltatás rendkívül értékes a nagyobb és fejlettebb üzleti struktúrák számára, mivel a rendszergazdák hatékonyabban kezelnék a tartományhoz hozzáadott számítógépeket központilag. Az olyan szolgáltatásoknak, mint a Microsoft Exchange és a Microsoft SQL Server, szintén szükségük van az Active Directoryra a megfelelő működéshez. Az Active Directory tartományvezérlő bármely offline állapotban lévő példánya jelentős problémát jelent, mivel az összes felhasználó nem tud bejelentkezni, és a teljes rendszer általában nem fog megfelelően működni.
még akkor is, amikor a vállalatok áttérnek a felhő-és SaaS-ajánlatokra, a meglévő hirdetési infrastruktúrával való integrációt gyakran a projekt sikerének követelményének tekintik. Ezzel az Active Directory összetettsége, valamint a szinte tökéletes üzemidő fenntartása azt jelenti, hogy egy életképes Active Directory biztonsági mentési és katasztrófa-helyreállítási megoldás feltétlenül szükséges.
érdemes megjegyezni: Az AD Disaster Recovery (DR) olyan dolog, amit nem szabad megtenni – vagy összekeverni a könyvtárkiszolgáló biztonsági mentéseivel, mert ezeknek a terveknek tartalmazniuk kell a legrégebbi sírkő előtti visszatérés módjait. Hasonlóképpen, az egyelemes részletesség könyvtárkiszolgáló adatainak visszaállítását nem szabad összetéveszteni DR. további részletekért lásd a blog utolsó bekezdését.
Hogyan Működik Az Active Directory?
az Active Directory mint felügyeleti rendszer magja egy olyan adatbázis, amely mind tranzakciós naplókat, mind egyedi objektumokat tartalmaz. Ez az adatbázis több részre van felosztva – és mindegyik rész Különböző típusú információkat tartalmaz, vagy a tartománynevek kontextusát (felhasználói csoportok vagy egyének), vagy a konfigurációs/sémapartíciót (HIRDETÉSSTRUKTÚRA-információ és HIRDETÉSTERVEZÉSI információ). Az Active Directory adatbázis felépítése hierarchikus, alakja pedig nagyon hasonlít egy fára. Az Active Directory adatbázis-tároláshoz használt fő fájl az Ntds.dit.
az Active Directory több protokollon keresztül működik, hogy biztosítsa a hálózat biztonságát. Ezek a protokollok a következők:
- az LDAP protokollt (Lightweight Directory Access Protocol) a címtárhoz való hozzáféréshez (Active Directory és mások) és a címtár-hitelesítési szolgáltatásokhoz használják felhasználónév és jelszó használatával, nyílt és platformközi is;
- a Kerberos protocol egy kriptográfiai alapú protokoll, amelyet egyszeri bejelentkezéshez és biztonságos hitelesítési műveletekhez használnak, ellenőrzi a felhasználóneveket és jelszavakat, mielőtt azokat az LDAP könyvtárban tárolja.
az Active Directory mélyen integrálva van a Windows által védett rendszerfájlokkal, a DNS-kiszolgálóval, a COM+ Osztályregisztrációs adatbázissal, a Sysvol könyvtárral, a fürtszolgáltatási információkkal és még sok mással. Ez az integrációk mennyisége közvetlenül befolyásolja az Active Directory biztonsági mentési stratégiáját is.
Active Directory biztonsági mentési javaslatai
ezután az Active Directory-kiszolgáló biztonsági mentése során számos általános használati javaslatról fogunk beszélni.
rendszeresen készítsen biztonsági másolatot az Active Directory-ról
az Active Directory ajánlott biztonsági mentési gyakorisága legfeljebb 60 nap. Ennek oka az Active Directory adatbázis – kezelés-az AD tombstone objektumok-egyik sajátossága.
amikor a könyvtárban lévő objektum törlődik (vagyis az objektum legtöbb attribútuma vagy mindegyik törlődik) – sírkő objektumként van megjelölve, és fizikailag nem törlődik a sírkő élettartamának lejártáig, ami pontosan 60 nap. Ha egyszerre több tartományvezérlő is működik, és az Active Directory replikációs funkciója engedélyezve van – az összes tombstone fájl átmásolásra kerül minden egyes vezérlőn, és a lejárati időig ott marad. Van még az a tény, hogy ha visszaállítja a tartományvezérlő biztonsági mentését, amelyet több mint 60 nappal a mai nap előtt hoztak létre – akkor sok következetlenséget kell kapnia, mivel az egyik tartományvezérlő olyan objektumokkal rendelkezik, amelyek már nem is léteznek.
a “60 nap vagy annál kevesebb” jelölés további oka az, hogy az utolsó biztonsági mentés után telepített szoftverek vagy illesztőprogramok egyáltalán nem működnek az adatok helyreállítása esetén, mivel a rendszerleíró adatbázisban nem lesz információ az említett illesztőprogramokról vagy szoftverekről.
sokkal több lehetséges probléma merülhet fel, ha az adatokat nem készítik elég gyakran. A leginkább “biztonságos” ajánlás az Active Directory biztonsági mentése napi rendszerességgel.
legalább az egyik tartományvezérlőről készítsen biztonsági másolatot
ez a Tanács leginkább azoknak a nagyobb vállalatoknak szól, amelyek infrastruktúrájában egynél több tartományvezérlő található. Készítsen biztonsági másolatot legalább az egyik tartományvezérlőről, ha több van belőlük, hogy valamilyen hardver-vagy szoftverhiba esetén legalább részleges adat-helyreállítást biztosítson. Akkor is, ha az FSMO (Flexible Single Master Operation) szerepkörök telepítve vannak az egyik vezérlőn – először prioritásként kell kezelnie a biztonsági mentést. Így, ha elveszíti az összes vezérlőt, helyreállíthatja az egyiket – az FSMO – val rendelkezőt–, amely “elsődlegesnek” minősül, majd ezt követően, ha egy másik vezérlőt telepít-lényegében átmásolhatja az összes módosítást az “elsődleges” tartományvezérlőről a “másodlagosra”.
Az adatok konzisztenciáját biztosító szoftver prioritása
köztudott, hogy minden biztonsági mentést úgy kell elvégezni, hogy biztosítsa annak konzisztenciáját. Ugyanez vonatkozik az Active Directory biztonsági mentésére is. A legjobb megoldás az adatok biztonsági mentése, amikor a kiszolgáló ki van kapcsolva, vagy amikor a VSS-t futó szerveren használják. Éppen ellenkezőleg-a 24/7-es szerverről származó adatok biztonsági mentése nem a legjobb ötlet. Ezért erősen ajánlott a VSS-kompatibilis Szolgáltatások használata az Active Directory bármely biztonsági mentési igényéhez. A VSS létrehoz egy pillanatképet az adatokról, amely lényegében lefagyasztja a rendszert és annak információit, amíg a biztonsági mentési folyamat befejeződik. Így nem fogja elveszíteni vagy megrongálni azokat a fájlokat, amelyek átírták magukat a szerveren abban az időben, amikor a biztonsági mentés létrehozta magát.
a katasztrófa utáni helyreállítási tervnek tartalmaznia kell a HIRDETÉSMENTÉST
a katasztrófa utáni helyreállítási terv megléte általában kötelező, és minél több forgatókönyvet tud megjósolni, megelőzni vagy felkészülni – annál jobb lesz valamilyen katasztrófa esetén. A HIRDETÉSMENTÉS ebben az esetben azért fontos, mert lényegében nem használhat semmilyen hirdetéssel kapcsolatos szolgáltatást, ha visszaállítja őket a HIRDETÉSMENTÉS visszaállítása előtt. A tartományvezérlőt több különböző tárolási helyre mentheti: felhő, helyi vagy távoli webhely. Erősen ajánlott az Active Directory egynél több példányának birtoklása is.
keresse meg a szemcsés helyreállítási opciót, ha lehetséges
míg az Active Directory összes adatának helyreállítása és átírása jó ötlet az idő nagy részében – érdemes olyan szolgáltatásokat keresni, amelyek szemcsés helyreállítási lehetőséget is biztosítanak. Így, ha azt szeretnénk, hogy visszaszerezze csak egy vagy néhány fájlt a biztonsági mentés – akkor képes lesz arra, hogy ezt elég könnyen. Ez csökkenti a teljes adat-visszaállítási időt is, különösen akkor, ha az Active Directory nagyobb, mint az átlag.
natív Active Directory biztonsági mentési eszközök és szolgáltatások
a Microsoft számos natív biztonsági mentési eszközt hozott létre az Active Directory számára a Windows-kiszolgálók biztonsági mentéséhez, beleértve azokat is, amelyek Active Directory-tartományvezérlőket futtatnak.
Windows Server Backup
A Windows Server Backup egy olyan program, amely felváltotta az NTBackup programot a Windows Server 2008 és újabb verziókban. WSB jön egy új felület és a képesség, hogy hozzon létre inkrementális mentést a használata VSS (Microsoft Volume Shadow Copy Service). A mentett adatok VHD formátumban kerülnek mentésre. A biztonsági mentés után ilyen VHD lemezeket csatlakoztathat egy géphez – mind virtuális, mind fizikai–, hogy hozzáférjen a biztonsági másolat adataihoz. A különbség a VHD és az MVMC (Microsoft Virtual Machine Converter) használatával létrehozott között az, hogy ez a VHD nem indítható. A teljes kötet vagy a rendszerállapot biztonsági mentésének parancsa a következő: wbadmin start systemstatebackup .
az Active Directory biztonsági mentésének ezen biztonsági mentési módszerének fő előnyei a következők: megfizethető, képes működni a VSS-sel, és biztonsági másolatot készíthet a teljes rendszerről, vagy csak az Active Directory fájlokról. A fő hátrány az, hogy a WSB-vel való együttműködés sok előzetes tudást és megértést igényel a program teljes potenciáljának eléréséhez mind a biztonsági mentés, mind a helyreállítási folyamat tekintetében.
System Center Data Protection Manager
a Microsoft által létrehozott másik biztonsági mentési szolgáltatás a System Center Data Protection Management (SC DPM). Mind a szokásos adatmentések, mind az Active Directory biztonsági mentések létrehozása a program képességein belül van. Az SC DPM egy vállalati szintű biztonsági mentési / helyreállítási szolgáltatás, amely a Windows Server adatvédelméhez használható (amely magában foglalja az Active Directory biztonsági mentéseit is). A WSB és az SC DPM közötti különbség az, hogy az előbbi ingyenes, míg az utóbbi egy fizetett szoftver, amelyet külön telepítenek, és nem tartalmazza az alapvető Microsoft rendszercsomagot. Ez is valamivel nehezebb beállítani, mint a WSB. De még mindig erősen ajánlott használni, hogy biztosítsa a készülék teljes védelmét. Az SC DPM szolgáltatások listája tartalmazza a VSS támogatást, a növekményes biztonsági mentést, a Microsoft Azure felhőalapú biztonsági mentést, valamint az egyes fájlok helyreállításának képtelenségét a biztonsági mentésből Active Directory. Az SC DPM legpraktikusabb használata számos Microsoft Exchange/Microsoft SQL szerver és más Windows-alapú eszköz védelme.
harmadik féltől származó Active Directory biztonsági mentési módszerek
annak ellenére, hogy mind a WSB, mind az SC DPM natív megoldások az Active Directory biztonsági mentéséhez-erre sok más lehetséges megoldás is létezik. Valójában szinte minden vállalati szintű biztonsági mentési szolgáltatásnak képesnek kell lennie az Active Directory biztonsági mentésére, kevés vagy semmilyen probléma nélkül. A különbség az összes ilyen szolgáltatás között ebben az esetben az, hogy néhányuk több lehetőséget kínál, miközben mind az Active Directory biztonsági mentésével, mind visszaállításával foglalkozik.
a biztonsági mentések fő pontja általában az Active Directory – val is működik-az adatmentést meghatározott módon kell elvégezni annak biztosítása érdekében, hogy az adatok elég konzisztensek legyenek. A harmadik féltől származó biztonsági mentési szolgáltatások többsége a VSS segítségével pillanatképet készít a másolt adatokról, hogy megakadályozza az adatok bármilyen módosítását a biztonsági mentési folyamat közepén. Lehetőség van egy másik probléma előfordulására is: ha az Active Directory biztonsági mentése fizikai lemezre van írva – a létrehozott pillanatképet az írási művelethez használják, de ha az élő Active Directory adatbázis másolatán alapul – az inkonzisztenciák így vagy úgy felmerülnek.
minden biztonsági mentési szolgáltatónak megvan a maga sajátos módja az említett probléma kezelésére, egyesek hatékonyabbak, mint mások.
ezenkívül néhány külső biztonsági mentési szolgáltatás nagyon specifikus objektum-helyreállítást biztosít az Active Directory biztonsági másolataihoz. Ennek egyik példája az egyes felhasználói fiókok visszaállítása, nem pedig a teljes adatbázis. De nem mindegyik termék képes erre, többségük csak teljes biztonsági mentési és visszaállítási szolgáltatást tud nyújtani az Active Directory biztonsági másolataihoz.
Active Directory Backup with Bacula Enterprise Edition
az Active Directory rendkívül redundáns architektúrában fut, és a teljes könyvtár elvesztése általában jelentős webhelyhibát jelent. A helyreállítás ebben az esetben gyakran teljes újjáépítés vagy csupasz fém visszanyerés a biztonsági mentésből, és gyakran egy külön helyreállítási lépés az adatbázisok és az AD-összetevők számára. A Bacula Enterprise Edition VSS pluginja biztosítja a DR szintű biztonsági mentési és helyreállítási eszközöket ezekre a helyzetekre, és a Bare Metal Recovery plugin lehetővé teszi egy futó rendszer helyreállítását, amelyre a hirdetési szolgáltatások helyreállíthatók. Bár a katasztrófa utáni helyreállítási biztonsági mentések nagyszerűek, nem segítenek téves változások vagy korrupciók esetén, amelyek jelentős problémákat okoznak a könyvtárszerkezet egy részében, de nem igényelhetik a teljes könyvtár visszaállítását. Például egy gondatlan (vagy elégedetlen) rendszergazda módosíthatja egy egész szervezeti egység engedélyeit, mindenféle problémát okozva a szervezet számára.
ebben az esetben a megoldások korlátozódhatnak a szerkezet nagyon időigényes és hibára hajlamos kézi újjáépítésére vagy a biztonsági mentésből történő visszaállításra. Ez az, ahol a Bacula Enterprise Directory Server plugin segíthet. Az Active Directory backup plugin közvetlenül kommunikál az Active Directory vagy az LDAP környezettel az LDAP hálózati protokoll segítségével, hogy helyesen bontsa ki a címtárszerkezetet, és engedélyezze a biztonsági mentést és a helyreállítást az objektum szintjén. Az objektumok akár a könyvtárfa különböző helyeire is visszaállíthatók.
ez lehetővé teszi az egyes objektumok, valamint a teljes könyvtár helyreállítását. A VSS plugin módszertől eltérően a Directory Server plugin feltételezi, hogy egy működő hirdetési infrastruktúra újratelepítésre került, amelyre a mentett hirdetési információk visszaállnak, míg a VSS plugin jobban megfelel a katasztrófa utáni helyreállítási forgatókönyveknek. További információ arról, hogy melyik plugin felel meg az Ön igényeinek, kérjük, forduljon Bacula Systems.
az Active Directory objektumok helyreállítása a Directory Server plugin segítségével egyszerű. Az objektumok ugyanúgy néznek ki, mint a fájlok a visszaállítási időben, és sok ugyanaz a lehetőség működik. Ez a kép egy példát mutat visszaállítási ablak a bconsole-ban:
mint látható, képesek vagyunk egyetlen objektumot kiválasztani a helyreállításhoz, és ezen a ponton számos visszaállítási idő opcióhoz férhetünk hozzá.
például az objektumok visszaállíthatók egy másik kiszolgálóra, mint ahonnan származnak. Visszaállíthatók a meglévő objektumok tetején, és kiválaszthatja, hogy a meglévő objektumokat megtartja-e, amelyek újabbak, mint a visszaállítandó objektumok, régebbi, mindig cserélje ki őket, vagy soha ne cserélje le a meglévő objektumokat. A címtárkiszolgáló beépülő modullal ellenőrizheti az objektum sírköveit is, különösen akkor hasznos, ha olyan objektumokat állít vissza, amelyeket egy vagy másik okból helytelenül töröltek. Az is lehetséges, természetesen, hogy válassza ki a teljes könyvtár szerkezetét hasznosítás rá egy működő Active Directory vagy LDAP szerver.
következtetés
az Active Directory alapvetően az üzlet középpontjában áll, ezért olyan eszközök és szolgáltatások sora, amelyek megakadályozzák az esetleges zavarokat vagy memóriavesztést, ami legalább leállást okozhat mind a felhasználók, mind a vállalkozás által nyújtott szolgáltatások számára. Fontos továbbá a biztonsági mentési módszerek és szolgáltatások megfelelő kutatása, mielőtt az egyiket alkalmazná a vállalkozására. Az Ön számára legmegfelelőbb biztonsági mentési megoldás kiválasztása kulcsfontosságú az Active Directoryval és annak adataival kapcsolatos legtöbb, ha nem az összes probléma megelőzéséhez.
az a képesség, hogy visszaszerezze Active Directory egy katasztrófa elengedhetetlen, hogy egy jó körül kockázatkezelési stratégia minden szervezet, amely támaszkodik erősen. Bacula Enterprise Edition eszközöket biztosít mind talpra teljes veszteség, hanem értékes eszközöket, hogy hát Active Directory és visszaállítani részeit az infrastruktúra, ha a dolgok rosszra fordulnak.