Hva Er Active Directory?
Active Directory Fra Microsoft (MS AD) er en av de mest brukte brukerautentisering og nettverk tillatelser administrasjonsverktøy i verden. Det gir mulighet for samlet pålogging på tvers av et helt bedriftsnettverk og styring av brukerroller og tillatelser fra ett enkelt punkt på tvers av flere tjenester.
denne tjenesten er ekstremt verdifull for større og mer utviklede forretningsstrukturer, siden systemadministratorer ville være mer effektive å administrere datamaskiner som ble lagt til domenet sentralt. Tjenester Som Microsoft Exchange og Microsoft SQL Server trenger Også Active Directory for å fungere skikkelig. Enhver forekomst Av Active Directory-Domenekontroller som går offline, er et betydelig problem siden alle brukere ikke vil kunne logge på, og det generelle systemet vil ikke kunne fungere som det skal generelt.
selv om selskaper flytter til cloud-og SaaS-tilbudene, anses integrasjon med eksisterende ANNONSEINFRASTRUKTUR ofte som et krav for å lykkes med prosjektet. Med Dette sagt, kompleksiteten I Active Directory, så vel som dens evne til å opprettholdes på nesten perfekt oppetid betyr at en levedyktig Active Directory backup og disaster recovery løsning er en absolutt nødvendighet.
Verdt å merke seg: AD Disaster Recovery (DR) er noe som ikke bør gjøres – eller forveksles med-katalog server backup fordi disse planene bør inkludere måter å komme tilbake til før den eldste gravstein. På samme måte må single-item granularity directory server data gjenoppretter ikke forveksles MED DR. Se siste avsnitt i denne bloggen for mer informasjon.
Hvordan Fungerer Active Directory?
Kjernen I Active Directory som et administrasjonssystem er en database som inneholder både transaksjonslogger og enkeltobjekter. Denne databasen er delt inn i flere deler – og hver del inneholder en annen type informasjon, enten domenenavnkontekst (grupper av brukere eller individuelle) eller konfigurasjon/skjemapartisjon (HENHOLDSVIS annonsestrukturinformasjon og annonseutformingsinformasjon). Strukturen I Active Directory-databasen er hierarkisk og formen ser mye ut som et tre. Hovedfilen som brukes Til Active Directory-databaselagring, Er Ntds.dit.
Active Directory fungerer gjennom flere protokoller for å sikre sikkerheten til nettverket den opererer med. Disse protokollene er følgende:
- LDAP-protokoll (Lightweight Directory Access Protocol) brukes til katalogtilgang (Active Directory og andre) og kataloggodkjenningstjenester via både brukernavn og passord, den er også åpen og på tvers av plattformer;
- Kerberos-protokollen er en kryptografibasert protokoll som brukes til enkel pålogging og sikker autentisering, den sjekker brukernavn og passord før de lagres i LDAP-katalogen.
Active Directory er også dypt integrert Med Windows-beskyttede systemfiler, DNS-Server, COM + – Klasseregistreringsdatabase, Sysvol-katalog, klyngetjenesteinformasjon og flere andre. Denne mengden integrasjoner påvirker også Den generelle Active Directory-sikkerhetskopieringsstrategien direkte.
Active Directory Backup Recommendations
neste skal vi snakke om flere generelle bruksanbefalinger mens du sikkerhetskopierer Active Directory-serveren.
Sikkerhetskopier Active Directory regelmessig
den anbefalte sikkerhetskopieringsfrekvensen For Active Directory er ikke mer enn 60 dager. Årsaken til dette er en av detaljene I Active Directory database management-AD tombstone objekter.
når objektet i Katalogen er slettet – som betyr at de fleste av objektets attributter, eller alle av dem, er slettet) – det er merket som en gravstein objekt og blir ikke fysisk slettet før utløpet av gravstein levetid span, som er 60 dager nøyaktig. Hvis du har flere domenekontrollere som opererer samtidig, og Active Directory-replikeringsfunksjonen er aktivert-vil alle disse tombstone-filene kopieres på hver og en av kontrollerne dine og holdes der til utløpstiden. Det er også det faktum at hvis du gjenoppretter en domenekontrollerskopiering som er opprettet mer enn 60 dager før i dag, er du nødt til å få mange uoverensstemmelser på grunn av at en av domenekontrollere har informasjon om objekter som ikke engang eksisterer lenger.
En annen grunn til» 60 dager eller mindre » – merket er at programvare eller driver installert etter den siste sikkerhetskopien ikke ville fungere i det hele tatt ved gjenoppretting av data, siden det ikke er noen informasjon i registret om nevnte drivere eller programvare.
det er langt flere potensielle problemer som kan oppstå på grunn av at dataene ikke sikkerhetskopieres ofte nok. Den mest «trygge» anbefalingen er Å Gjøre Active Directory backup på daglig basis.
Behold minst en av domenekontrollene sikkerhetskopiert
dette rådet er for det meste for større selskaper som har mer enn en domenekontroller i infrastrukturen. Du bør sikkerhetskopiere minst en av domenekontrollere hvis du har flere av dem for å sikre minst delvis datagjenoppretting i tilfelle en slags maskinvare-eller programvarefeil. Også hvis DU har FSMO (Fleksibel Single Master Operation) roller installert på en av kontrollerne dine – bør du prioritere å sikkerhetskopiere den først. På den måten, hvis du mister alle kontrollerne dine, kan du gjenopprette en av dem – DEN med FSMO-som vil bli vurdert som «primær», og etter det, hvis du distribuerer en annen kontroller – vil du i hovedsak kunne kopiere alle endringene fra den» primære «domenekontrolleren til» sekundær » en.
Prioritere programvare som gir data konsistens
det er ganske en felles kunnskap at noen backup bør gjøres på en måte å sikre at dens’ konsistens er bevart. Det samme gjelder For Active Directory backup. Det beste alternativet er å sikkerhetskopiere dataene mens serveren er slått av, eller NÅR VSS brukes på en kjørende server. Tvert imot-prøver å sikkerhetskopiere data fra serveren som fungerer 24/7 er ikke den beste ideen. Det er derfor det er sterkt anbefalt å bruke VSS-kompatible tjenester for Noen Av Dine Active Directory backup behov. VSS skaper et øyeblikksbilde av dataene, som i hovedsak fryser systemet og dets info til sikkerhetskopieringen er fullført. På den måten vil du ikke miste eller ødelegge filer som skrev om seg selv på serveren da sikkerhetskopien skapte seg selv.
din disaster recovery plan må inkludere AD backup
Å Ha en disaster recovery plan er et must generelt, og jo flere scenarier du kan forutsi og forhindre eller forberede deg på – jo bedre vil du være i tilfelle katastrofe av noe slag. AD backup i dette tilfellet er viktig fordi i hovedsak kan du ikke bruke NOEN ANNONSE-relaterte tjenester hvis du gjenoppretter dem før du gjenoppretter ANNONSEN backup. Du kan sikkerhetskopiere domenekontrolleren til flere forskjellige lagringssteder: sky, lokal eller ekstern side. Å ha mer enn en kopi Av Active Directory er sterkt anbefalt, også.
Se etter granulær gjenopprettingsalternativ, om mulig
mens prosessen med å gjenopprette Og omskrive Alle Active Directory-dataene dine er en god ide mesteparten av tiden – det kan være lurt å se etter tjenester som også gir granulær gjenopprettingsalternativ. På den måten hvis du vil gjenopprette bare en eller noen få filer fra sikkerhetskopien – vil du kunne gjøre det ganske enkelt. Dette reduserer også den totale datagjenopprettingstiden, spesielt Når Active Directory er større enn gjennomsnittet.
Opprinnelige Active Directory-Sikkerhetskopieringsverktøy Og-Tjenester
det finnes flere opprinnelige sikkerhetskopieringsverktøy for Active Directory som Er opprettet Av Microsoft for sikkerhetskopiering Av Windows-Servere, inkludert de som kjører Active Directory-domenekontrollere.
Windows Server Backup
Windows Server Backup er et program som erstattet NTBackup I Windows Server 2008 og nyere versjoner. WSB kommer med et nytt grensesnitt og muligheten til å lage inkrementelle sikkerhetskopier med bruk AV Vss (Microsoft Volume Shadow Copy Service). Dataene som er sikkerhetskopiert, lagres I VHD-format. Etter sikkerhetskopiering vil du kunne montere slike VHD-disker til en maskin – både virtuell og fysisk – for å få tilgang til dataene du har sikkerhetskopiert. Forskjellen mellom DENNE VHD og den som er opprettet ved HJELP Av Mvmc (Microsoft Virtual Machine Converter) er at DENNE VHD ikke er oppstartbar. Kommandoen for å sikkerhetskopiere hele volumet eller systemtilstanden er følgende: wbadmin start systemstatebackup .
de viktigste fordelene med denne backup-metoden For Active Directory backup er følgende: det er rimelig, det kan fungere MED VSS, og du kan enten sikkerhetskopiere hele systemet eller sikkerhetskopiere Bare Active Directory-filer. Den største ulempen er at det å jobbe MED WSB krever mye forkunnskap og forståelse for å nå programmets fulle potensial i forhold til både backup og gjenoppretting.
System Center Data Protection Manager
Den andre sikkerhetskopitjenesten som er opprettet Av Microsoft, Er System Center Data Protection Management (SC DPM). Opprette både de vanlige data backup og Active Directory backup er innenfor programmets evner. SC DPM ER en backup – / gjenopprettingstjeneste på bedriftsnivå som kan brukes Til Databeskyttelse For Windows Server(som inkluderer Active Directory-sikkerhetskopier). Forskjellen MELLOM WSB OG SC DPM er at den tidligere er gratis, mens sistnevnte er en betalt programvare som er installert separat og ikke inkludert I Den grunnleggende Microsoft-systempakken. Det er også noe vanskeligere å sette opp i FORHOLD TIL WSB. Men det er fortsatt sterkt anbefalt å bruke det for å sikre at enheten er fullstendig beskyttelse. Listen OVER SC DPM-funksjoner inkluderer VSS-støtte, trinnvis sikkerhetskopieringsstøtte, Microsoft Azure cloud backup-støtte og manglende evne til å gjenopprette singulære filer fra sikkerhetskopiert Active Directory. DEN mest praktiske bruken AV SC DPM er å beskytte En rekke Microsoft Exchange / Microsoft SQL-servere og Andre Windows-baserte enheter.
Tredjeparts Active Directory-Sikkerhetskopieringsmetoder
Selv om BÅDE WSB og SC DPM er de opprinnelige løsningene for sikkerhetskopiering Av Active Directory-er det mange andre mulige løsninger for dette. Faktisk bør nesten alle backup-tjenester på bedriftsnivå være i stand til å sikkerhetskopiere Active Directory med liten eller ingen problemer. Forskjellen mellom alle disse tjenestene i så fall er måten noen av dem gir flere muligheter mens du arbeider med både sikkerhetskopiering og gjenoppretting Av Active Directory.
hovedpunktet for sikkerhetskopier generelt fungerer Også Med Active Directory-sikkerhetskopien må gjøres på en bestemt måte for å sikre at dataene er konsistente nok. De fleste tredjeparts backup-tjenester bruker VSS til å lage et øyeblikksbilde av de kopierte dataene for å forhindre at dataene på noen måte endres midt i sikkerhetskopieringen. Det er også mulighet for at Et annet problem skjer: hvis sikkerhetskopien Av Active Directory er skrevet til en fysisk plate-stillbildet som ble opprettet, vil bli brukt til skriveoperasjonen, men hvis den er basert på live Active Directory-databasekopien – inkonsekvenser er bundet til å oppstå på en eller annen måte.
Hver backup leverandør har sin egen spesifikke måte å håndtere nevnte problem, noen mer effektive enn andre.
i tillegg kan noen av tredjeparts backup-tjenester gi svært spesifikk objektgjenoppretting For Active Directory-sikkerhetskopier. Et av eksemplene på det er muligheten til å gjenopprette individuelle brukerkontoer i stedet for hele databasen. Men ikke alle disse produktene kan gjøre det, de fleste kan bare gi full backup-og-gjenopprettingstjeneste For Active Directory-sikkerhetskopier.
Active Directory Backup Med Bacula Enterprise Edition
Active Directory kjører i en svært redundant arkitektur ved design, og tap av hele katalogen representerer normalt en stor nettstedfeil. Gjenoppretting i dette tilfellet er ofte fullstendig gjenoppbygging eller gjenoppretting av bare metall fra sikkerhetskopiering, og ofte et eget gjenopprettingstrinn for databaser og ANNONSEKOMPONENTENE. Bacula Enterprise Edition VSS plugin kan gi DR nivå backup og gjenoppretting verktøy for disse situasjonene, og Bare Metal Recovery plugin tillater gjenoppretting av et kjørende system på SOM ANNONSETJENESTENE kan gjenopprettes. Men mens sikkerhetskopier av katastrofegjenoppretting er en god ting å ha, hjelper de ikke i tilfelle feilaktige endringer eller korrupsjon som forårsaker betydelige problemer for en del av katalogstrukturen, men bør ikke kreve en gjenoppretting av hele katalogen. En uforsiktig (eller misfornøyd) administrator kan for eksempel gjøre endringer i tillatelsene til en HEL OU som forårsaker alle slags problemer for organisasjonen.
i dette scenariet kan løsningene være begrenset til en svært tidkrevende og utsatt for feil manuell gjenoppbygging av strukturen, eller en gjenoppretting fra sikkerhetskopi. Dette er hvor Bacula Enterprise Directory Server plugin kan hjelpe. Active Directory backup plugin kommuniserer direkte med Active Directory-eller LDAP-miljøet ved hjelp AV LDAP-nettverksprotokollen for å trekke ut katalogstrukturen på riktig måte og aktivere sikkerhetskopiering og gjenoppretting på objektnivå. Objekter kan også gjenopprettes til forskjellige steder i katalogtreet.
dette tillater gjenoppretting av individuelle objekter samt hele katalogen. I motsetning TIL vss plugin-metoden, Antar Directory Server plugin en fungerende ANNONSEINFRASTRUKTUR er installert på nytt, der den sikkerhetskopierte ANNONSEINFORMASJONEN vil bli gjenopprettet, mens VSS plugin er mer egnet til katastrofegjenopprettingsscenarier. For mer informasjon om hvilken plugin som passer dine behov, vennligst kontakt Bacula Systems.
Gjenoppretting Av Active Directory-objekter med Directory Server plugin er enkelt. Objekter ser akkurat ut som filer på gjenopprettingstid, og mange av de samme alternativene fungerer. Dette bildet viser et eksempel gjenopprettingsvindu i bconsole:
Som du kan se, er vi i stand til å velge et enkelt objekt for utvinning og på dette punktet vil ha tilgang til mange gjenopprettingstidsalternativer.
objekter kan for eksempel gjenopprettes til en annen server enn de stammer fra. De kan gjenopprettes på toppen av eksisterende objekter, og du kan velge om du vil beholde eksisterende objekter som er nyere enn objektene som gjenopprett, eldre, alltid erstatte dem eller aldri erstatte eksisterende objekter. Du kan også ha katalogen server plugin sjekk for objekt gravsteiner, spesielt nyttig når du gjenoppretter objekter som har blitt slettet feil av en eller annen grunn. Det er også mulig selvfølgelig å velge hele katalogstrukturen for utvinning på en fungerende Active Directory eller LDAP-server.
Konklusjon
Active Directory er i utgangspunktet i hjertet av virksomheten, derfor er det mange verktøy og tjenester for å forhindre enhver form for forstyrrelse eller et minnetap som i det minste kan føre til nedetid for både brukere og tjenester som tilbys av bedriften din. Det er også viktig å riktig forskning backup metoder og tjenester før du bruker en av dem til din bedrift. Velge backup løsning som fungerer best for deg er nøkkelen til å hindre de fleste, om ikke alle, av problemene Med Active Directory og dens ‘ data.
muligheten til å gjenopprette Active Directory i en katastrofe er avgjørende for en god risikostyringsstrategi for enhver organisasjon som er avhengig av det tungt. Bacula Enterprise Edition gir verktøy for å både gjenopprette fra totalt tap, men også verdifulle verktøy for å sikkerhetskopiere Active Directory og gjenopprette deler av infrastrukturen når ting går galt.