Wat is Active Directory?
Active Directory van Microsoft (MS AD) is een van de meest gebruikte hulpprogramma ‘ s voor gebruikersauthenticatie en netwerkmachtigingen. Het maakt het mogelijk om gefedereerd in te loggen over een volledig bedrijfsnetwerk en het beheer van gebruikersrollen en machtigingen vanaf een enkel punt over meerdere services.
deze dienst is zeer waardevol voor grotere en meer ontwikkelde bedrijfsstructuren, omdat systeembeheerders efficiënter zouden zijn om computers te beheren die centraal aan het domein werden toegevoegd. Services zoals Microsoft Exchange en Microsoft SQL Server hebben ook Active Directory nodig om goed te werken. Elk geval van Active Directory domeincontroller offline gaan is een belangrijk probleem, omdat alle gebruikers niet in staat zijn om in te loggen en het algehele systeem niet goed zou kunnen werken in het algemeen.
zelfs als bedrijven overstappen op het cloud-en SaaS-aanbod, wordt integratie met de bestaande AD-infrastructuur vaak beschouwd als een vereiste voor het succes van het project. Met dit gezegd, de complexiteit van Active Directory evenals de mogelijkheid om te worden gehandhaafd op bijna perfecte uptime betekent dat een levensvatbare Active Directory back-up en disaster recovery oplossing is een absolute noodzaak.
vermeldenswaard: AD Disaster Recovery (DR) is iets dat niet moet worden gedaan – of verward met – directory server back-ups, omdat die plannen moeten manieren om terug te gaan naar vóór de oudste grafsteen bevatten. Evenzo, single-item granulariteit directory server data herstelt moet niet worden verward met Dr. zie de laatste paragraaf van deze blog voor meer details.
Hoe Werkt Active Directory?
de kern van Active Directory als beheersysteem is een database die zowel transactielogboeken als afzonderlijke objecten bevat. Deze database is opgesplitst in meerdere delen-en elk deel bevat een ander type informatie, ofwel domeinnamen context (groepen van gebruikers of individuele degenen) of configuratie/schema partitie (advertentie structuur info en advertentie design info respectievelijk). De structuur van de Active Directory-database is hiërarchisch en de vorm lijkt veel op een boom. Het belangrijkste bestand dat wordt gebruikt voor Active Directory-databaseopslag is Ntds.dit.
Active Directory werkt via verschillende protocollen om de veiligheid van het netwerk te garanderen waarmee het werkt. Deze protocollen zijn de volgende::
- LDAP protocol (Lightweight Directory Access Protocol) wordt gebruikt voor directorytoegang (Active Directory en andere) en directory authenticatie services via zowel gebruikersnaam en wachtwoord, het is ook open en cross-platform;
- Kerberos protocol is een cryptografie-gebaseerd protocol dat wordt gebruikt voor single sign-on en veilige authenticatie operaties, het controleert gebruikersnamen en wachtwoorden voordat ze op te slaan in LDAP directory.
Active Directory is ook sterk geïntegreerd met met Windows beveiligde systeembestanden, DNS-Server, com + – Klasse-registratiedatabase, Syvol-directory, clusterserviceinformatie en verscheidene andere. Dit aantal integraties heeft ook directe invloed op de Algemene Active Directory back-upstrategie.
aanbevelingen voor Active Directory-back-up
hierna zullen we het hebben over een aantal algemene gebruiksaanbevelingen tijdens het maken van een back-up van uw Active Directory-server.
maak regelmatig een Back-up van uw Active Directory
de aanbevolen back-upfrequentie voor Active Directory bedraagt niet meer dan 60 dagen. De reden hiervoor is een van de specifieke kenmerken van Active Directory – databasebeheer-ad tombstone-objecten.
wanneer het object in de Directory wordt verwijderd (wat betekent dat de meeste attributen van het object, of alle, worden verwijderd) – het wordt gemarkeerd als een grafsteenobject en wordt niet fysiek verwijderd tot het verstrijken van de levensduur van de grafsteen, die precies 60 dagen is. Als er meerdere domeincontrollers tegelijkertijd werken en de Active Directory-replicatiefunctie is ingeschakeld, worden alle tombstone-bestanden op elk van uw controllers gekopieerd en worden ze daar bewaard tot de vervaldatum. Er is ook het feit dat als je het herstellen van een domeincontroller back – up die is gemaakt meer dan 60 dagen voor vandaag-je bent gebonden aan veel inconsistenties te wijten aan een van de domeincontrollers met informatie over objecten die niet eens meer bestaan.
een reden te meer voor de” 60 dagen of minder ” markering is dat elke software of driver geïnstalleerd na de laatste back-up zou helemaal niet werken in het geval van gegevensherstel omdat er geen informatie in het register over genoemde drivers of software.
er zijn veel meer potentiële problemen die kunnen ontstaan doordat de gegevens niet vaak genoeg worden geback-upt. De meest” veilige ” aanbeveling is om Active Directory back-up te doen op een dagelijkse basis.
ten minste één van de domeincontrollers back-up
dit advies is voornamelijk bedoeld voor grotere bedrijven die meer dan één domeincontroller in hun infrastructuur hebben. U moet een back-up maken van ten minste één van uw domeincontrollers als u meerdere van hen hebt om ten minste gedeeltelijk gegevensherstel te garanderen in het geval van een soort hardware-of softwarefout. Ook als u FSMO (Flexible Single Master Operation) functies hebt geïnstalleerd op een van uw controllers – moet u prioriteit geven aan het maken van een back-up. Op die manier, als je verliest al uw controllers, kunt u een van hen te herstellen – die met FSMO – die zal worden beschouwd als “primaire”, en daarna, als u een andere controller implementeren – zult u in staat zijn om, in wezen, kopiëren van alle wijzigingen van de “primaire” domeincontroller naar “secundaire” een.
prioriteit geven aan software die gegevensconsistentie
biedt het is algemeen bekend dat elke back-up op een manier moet worden gedaan om ervoor te zorgen dat de consistentie behouden blijft. Hetzelfde geldt voor Active Directory backup. De beste optie is om een back-up te maken van de gegevens terwijl de server is uitgeschakeld, of wanneer VSS wordt gebruikt op een draaiende server. Integendeel – proberen om een back-up van gegevens van de server die 24/7 werkt is niet het beste idee. Daarom is het sterk aanbevolen om VSS-compatibele services te gebruiken voor al uw Active Directory-back-upbehoeften. VSS maakt een momentopname van de gegevens, die in wezen bevriest het systeem en de’ info totdat het back-upproces is voltooid. Op die manier zul je niet verliezen of corrupte bestanden die werden herschrijven zichzelf op de server op het moment dat de back-up werd het maken van zichzelf.
uw disaster recovery plan moet AD backup
bevatten het hebben van een disaster recovery plan is een must in het algemeen, en hoe meer scenario ‘ s Je kunt voorspellen en voorkomen of voorbereiden – hoe beter je zult zijn in het geval van een ramp. In dit geval is back-up van advertenties belangrijk omdat u in wezen geen gebruik kunt maken van ADVERTENTIEGERELATEERDE diensten als u ze terugzet voordat u uw back-up van advertenties terugzet. U kunt een back-up maken van uw domeincontroller naar verschillende opslaglocaties: cloud, lokale of externe site. Het is ook sterk aanbevolen om meer dan één kopie van uw Active Directory te hebben.
zoek naar de optie voor granulair herstel, indien mogelijk
terwijl het proces van het herstellen en herschrijven van al uw Active Directory – gegevens meestal een goed idee is-u wilt misschien ook zoeken naar services die de optie voor granulair herstel bieden. Op die manier als u slechts één of een paar bestanden van uw back – up wilt herstellen-zult u in staat zijn om dit vrij gemakkelijk te doen. Dit vermindert ook de totale hersteltijd van gegevens, vooral wanneer uw Active Directory groter is dan de gemiddelde.
Native Active Directory Backup Tools and Services
er zijn verschillende native backup tools voor Active Directory gemaakt door Microsoft voor het maken van back-ups van Windows-Servers, waaronder die met Active Directory-domeincontrollers.
Windows Server Backup
Windows Server Backup is een programma dat NTBackup heeft vervangen in Windows Server 2008 en nieuwere versies. WSB wordt geleverd met een nieuwe interface en de mogelijkheid om incrementele back-ups te maken met het gebruik van VSS (Microsoft Volume Shadow Copy Service). De gegevens waarvan een back-up is gemaakt, worden opgeslagen in VHD-formaat. Nadat u een back-up hebt gemaakt, kunt u dergelijke VHD – schijven koppelen aan een machine – zowel virtueel als fysiek-om toegang te krijgen tot de gegevens waarvan u een back-up hebt gemaakt. Het verschil tussen deze VHD en degene die is gemaakt met MVMC (Microsoft Virtual Machine Converter) is dat deze VHD niet opstartbaar is. Het commando voor het back-uppen van het hele volume of de systeemstatus is het volgende: wbadmin start systemstatebackup .
de belangrijkste voordelen van deze back-upmethode voor Active Directory-back-up zijn de volgende:: het is betaalbaar, het kan werken met VSS, en u kunt een back-up van het hele systeem of een back-up niets anders dan Active Directory-bestanden. Het belangrijkste nadeel is dat het werken met WSB vereist veel voorkennis en begrip om het volledige potentieel van het programma te bereiken met betrekking tot zowel back-up en herstelproces.
System Center Data Protection Manager
de andere back-upservice die door Microsoft is gemaakt, is System Center Data Protection Management (SC DPM). Het maken van zowel de gebruikelijke data back-ups en de Active Directory back-ups is binnen de mogelijkheden van het programma. SC DPM is een back-up – /herstelservice op ondernemingsniveau die kan worden gebruikt voor Windows Server-gegevensbescherming (inclusief Active Directory-back-ups). Het verschil tussen WSB en SC DPM is dat de eerste is gratis, terwijl de laatste is een betaalde software die afzonderlijk is geà nstalleerd en niet opgenomen in de basis Microsoft systeempakket. Het is ook iets moeilijker op te zetten in vergelijking met WSB. Maar het is nog steeds sterk aanbevolen om het te gebruiken om uw apparaat Volledige bescherming te garanderen. De lijst met SC DPM-functies omvat VSS-ondersteuning, incrementele back-upondersteuning, ondersteuning voor Microsoft Azure cloud back-up en het onvermogen om afzonderlijke bestanden te herstellen van een back-up van Active Directory. Het meest praktische gebruik van SC DPM is het beschermen van een aantal Microsoft Exchange/Microsoft SQL-servers en andere Windows-gebaseerde apparaten.
derde partij Active Directory back-up methoden
Hoewel zowel WSB en SC DPM zijn de native oplossingen voor het back – uppen van Active Directory-er zijn een heleboel andere mogelijke oplossingen voor dit. In feite zou bijna elke back-upservice op ondernemingsniveau in staat moeten zijn Active Directory met weinig tot geen problemen te back-uppen. Het verschil tussen al die services in dat geval is de manier waarop sommige van hen bieden meer mogelijkheden, terwijl het omgaan met zowel een back-up en het herstellen van de Active Directory.
het belangrijkste punt van back-ups werkt in het algemeen ook met Active Directory – de back-up van gegevens moet op een specifieke manier worden gedaan om ervoor te zorgen dat de gegevens consistent genoeg zijn. De meeste back-updiensten van derden maken gebruik van VSS om een momentopname van de gekopieerde gegevens te maken om te voorkomen dat die gegevens op enigerlei wijze worden gewijzigd in het midden van het back-upproces. Er is ook de mogelijkheid van een ander probleem gebeurt: als de back-up van Active Directory wordt geschreven naar een fysieke schijf – de snapshot die is gemaakt zal worden gebruikt voor de schrijfbewerking, maar als het is gebaseerd op de live Active Directory – database kopie-inconsistenties zijn gebonden aan een of andere manier ontstaan.
elke back-upprovider heeft zijn eigen specifieke manier om met dit probleem om te gaan, sommige effectiever dan andere.
Plus, sommige back-upservices van derden kunnen zeer specifieke objectherstel bieden voor Active Directory-back-ups. Een van de voorbeelden daarvan is de mogelijkheid om individuele gebruikersaccounts te herstellen in plaats van de hele database. Maar niet al deze producten kunnen dat doen, de meeste van hen kunnen alleen volledige back-up-en-restore-service bieden voor Active Directory-back-ups.
Active Directory back-up met Bacula Enterprise Edition
Active Directory draait in een zeer redundante architectuur door ontwerp, en verlies van de hele directory is normaal gesproken een belangrijke site fout. Herstel in dit geval is vaak volledige rebuilds of bare metal recoveries van back-up, en vaak een aparte herstelstap voor databases en de AD-componenten. Bacula Enterprise Edition ‘ s VSS plugin kan de Dr-niveau back-up en herstel tools voor deze situaties, en de Bare Metal Recovery plugin maakt het herstel van een draaiend systeem waarop de advertentieservices kunnen worden hersteld. Hoewel back-ups van noodherstel een geweldig ding zijn om te hebben, helpen ze niet in het geval van verkeerde wijzigingen of corrupties die aanzienlijke problemen veroorzaken voor een deel van de mapstructuur, maar moeten ze niet een herstel van de hele map vereisen. Bijvoorbeeld, een onzorgvuldige (of ontevreden) beheerder kan wijzigingen aanbrengen in de permissies van een hele OU waardoor allerlei problemen voor de organisatie.
in dit scenario kunnen de oplossingen beperkt zijn tot een zeer tijdrovende en foutgevoelige handmatige heropbouw van de structuur, of een herstel vanaf een back-up. Dit is waar de Bacula Enterprise Directory Server plugin kan helpen. De plug-in Active Directory backup communiceert rechtstreeks met uw Active Directory of LDAP-omgeving met behulp van het LDAP-netwerkprotocol om uw mapstructuur correct te extraheren en back-up en herstel op objectniveau mogelijk te maken. Objecten kunnen zelfs worden hersteld naar verschillende locaties in de mapstructuur.
Hiermee kunt u zowel individuele objecten als de gehele map herstellen. In tegenstelling tot de VSS plugin methode, de Directory Server plugin gaat ervan uit dat een functionerende AD infrastructuur is opnieuw geïnstalleerd, waarop de back-up advertentie-informatie zal worden hersteld, terwijl de VSS plugin is meer geschikt voor noodherstel scenario ‘ s. Neem contact op met Bacula Systems voor meer informatie over welke plugin aan uw behoeften voldoet.
het herstellen van Active Directory-objecten met de Directory Server-Plug-in is eenvoudig. Objecten zien er net als bestanden op hersteltijd,en veel van dezelfde opties werken. Deze afbeelding toont een voorbeeld herstelvenster in bconsole:
zoals je kunt zien, zijn we in staat om een enkel object te selecteren voor herstel en op dit punt zal toegang hebben tot vele herstel-tijd opties.
bijvoorbeeld, objecten kunnen worden hersteld naar een andere server dan waar ze vandaan komen. Ze kunnen bovenop bestaande objecten worden hersteld, en u kunt kiezen of u bestaande objecten wilt behouden die nieuwer zijn dan de objecten die worden hersteld, ouder, ze altijd vervangen of nooit bestaande objecten vervangen. U kunt de directory server plugin ook laten controleren op object grafstenen, vooral handig bij het herstellen van objecten die om een of andere reden onjuist zijn verwijderd. Het is natuurlijk ook mogelijk om de volledige mapstructuur te selecteren voor herstel op een functionerende Active Directory of LDAP-server.
conclusie
de Active Directory is in principe de kern van het bedrijf, vandaar de reeks tools en diensten om elke vorm van verstoring of geheugenverlies te voorkomen die op zijn minst downtime kan veroorzaken voor zowel gebruikers als diensten die door uw bedrijf worden geleverd. Het is ook belangrijk om back-upmethoden en diensten goed te onderzoeken voordat u een van hen toepast op uw bedrijf. Het selecteren van de back-up oplossing die het beste werkt voor u is de sleutel tot het voorkomen van de meeste, zo niet alle, van de problemen met Active Directory en de gegevens ervan.
de mogelijkheid om Active Directory te herstellen bij een ramp is cruciaal voor een goede allround risicobeheerstrategie voor elke organisatie die er sterk op vertrouwt. Bacula Enterprise Edition biedt tools om zowel te herstellen van total loss, maar ook waardevolle tools om een back-up te maken van Active Directory en delen van uw infrastructuur te herstellen wanneer er iets misgaat.