ce este Active Directory?
Active Directory de la Microsoft (MS AD) este unul dintre cele mai utilizate instrumente de autentificare a utilizatorilor și de gestionare a permisiunilor de rețea din lume. Permite autentificarea federalizată într-o întreagă rețea corporativă și gestionarea rolurilor și permisiunilor utilizatorilor dintr-un singur punct în mai multe servicii.
acest serviciu este extrem de valoros pentru structurile de afaceri mai mari și mai dezvoltate, deoarece administratorii de sistem ar gestiona mai eficient computerele care au fost adăugate la domeniu la nivel central. Servicii precum Microsoft Exchange și Microsoft SQL Server au nevoie, de asemenea, de Active Directory pentru a funcționa corect. Orice instanță a controlerului de domeniu Active Directory offline este o problemă semnificativă, deoarece toți utilizatorii nu se vor putea conecta și sistemul general nu va putea funcționa corect în general.
chiar dacă companiile se mută în ofertele cloud și SaaS, integrarea cu infrastructura publicitară existentă este adesea considerată o cerință pentru succesul proiectului. Cu aceasta a spus, complexitatea Active Directory, precum și capacitatea sa de a fi menținute la uptime aproape perfect înseamnă că o soluție viabilă Active Directory backup și disaster recovery este o necesitate absolută.
demn de remarcat: AD Disaster Recovery (DR) este ceva care nu ar trebui făcut – sau confundat cu – backup-urile serverului de directoare, deoarece aceste planuri ar trebui să includă modalități de a reveni înainte de cea mai veche piatră funerară. În mod similar, restaurările de date cu un singur element de granularitate directory server nu trebuie confundate cu DR.consultați ultimul paragraf al acestui blog pentru mai multe detalii.
Cum Funcționează Active Directory?
nucleul Active Directory ca sistem de management este o bază de date care conține atât jurnalele de tranzacții, cât și obiectele individuale. Această bază de date este împărțită în mai multe părți – și fiecare parte conține un tip diferit de informații, fie context de nume de domenii (grupuri de utilizatori sau individuale), fie partiție de configurare/schemă (informații despre structura anunțului și, respectiv, informații despre designul anunțului). Structura bazei de date Active Directory este ierarhică și forma sa arată foarte mult ca un copac. Fișierul principal utilizat pentru stocarea bazei de date Active Directory este Ntds.dit.
Active Directory funcționează prin mai multe protocoale pentru a asigura securitatea rețelei cu care operează. Aceste protocoale sunt următoarele:
- protocolul LDAP (Lightweight Directory Access Protocol) este utilizat pentru accesul directory (Active Directory și altele) și serviciile de autentificare directory atât prin numele de utilizator, cât și prin parolă, este, de asemenea, deschis și cross-platform;
- protocolul Kerberos este un protocol bazat pe criptografie care este utilizat pentru operațiuni de conectare unică și autentificare sigură, verifică numele de utilizator și parolele înainte de a le stoca în directorul LDAP.
Active Directory este, de asemenea, profund integrat cu fișierele de sistem protejate Windows, serverul DNS, baza de date de înregistrare a clasei COM+, directorul Sysvol, informații despre serviciile cluster și multe altele. Această cantitate de integrări influențează, de asemenea, direct strategia generală de backup Active Directory.
recomandări de backup Active Directory
în continuare vom vorbi despre mai multe recomandări generale de utilizare în timp ce faceți backup pentru serverul Active Directory.
faceți backup regulat pentru Active Directory
frecvența de rezervă recomandată pentru Active Directory nu depășește 60 de zile. Motivul pentru aceasta este unul dintre specificul gestionării bazelor de date Active Directory – obiecte AD tombstone.
când obiectul din director este șters (adică majoritatea atributelor obiectului sau toate sunt șterse) – este marcat ca obiect de piatră funerară și nu este șters fizic până la expirarea duratei de viață a pietrei funerare, care este exact 60 de zile. Dacă aveți mai multe controlere de domeniu care funcționează în același timp și funcția de replicare Active Directory este activată – toate acele fișiere tombstone vor fi copiate la fiecare dintre controlerele dvs. și sunt păstrate acolo până la expirarea timpului. Există, de asemenea, faptul că, dacă restaurați o copie de rezervă a controlerului de domeniu care a fost creată cu mai mult de 60 de zile înainte de ziua de azi – sunteți obligat să obțineți o mulțime de inconsecvențe din cauza unuia dintre controlorii de domeniu care au informații despre obiecte care nici măcar nu mai există.
încă un motiv pentru marca „60 de zile sau mai puțin” este că orice software sau driver instalat după ultima copie de rezervă nu ar funcționa deloc în cazul restaurării datelor, deoarece nu vor exista informații în registru despre driverele sau software-ul menționat.
există mult mai multe probleme potențiale care pot apărea din cauza datelor care nu sunt susținute suficient de frecvent. Cea mai” sigură ” recomandare este să faceți backup Active Directory zilnic.
păstrați cel puțin unul dintre controlerele de domeniu susținute
acest sfat este în mare parte pentru companiile mai mari care au mai mult de un controler de domeniu în infrastructura lor. Ar trebui să faceți o copie de rezervă a cel puțin unuia dintre controlorii dvs. de domeniu dacă aveți mai multe dintre ele pentru a asigura cel puțin recuperarea parțială a datelor în cazul unui fel de eșec hardware sau software. De asemenea, dacă aveți roluri FSMO (flexibil single Master Operation) instalate pe unul dintre controlerele dvs. – ar trebui să acordați prioritate mai întâi copiilor de rezervă. În acest fel, dacă pierdeți toate controlerele, puteți recupera unul dintre ele – cel cu FSMO – care va fi considerat „primar”, iar după aceea, dacă implementați un alt controler – veți putea, în esență, să copiați toate modificările de la controlerul de domeniu „primar” la cel „secundar”.
prioritizează software-ul care oferă consistența datelor
este destul de cunoscut faptul că orice copie de rezervă ar trebui făcută într-un mod care să asigure că consistența sa este păstrată. Același lucru este valabil și pentru backup-ul Active Directory. Cea mai bună opțiune este să faceți backup pentru date în timp ce serverul este oprit sau când VSS este utilizat pe un server care rulează. Dimpotrivă-încercarea de a face copii de rezervă ale datelor de pe serverul care funcționează 24/7 nu este cea mai bună idee. De aceea este foarte recomandat să utilizați servicii compatibile VSS pentru oricare dintre nevoile dvs. de backup Active Directory. VSS creează un instantaneu al datelor, care îngheață în esență sistemul și informațiile sale până la finalizarea procesului de backup. În acest fel, nu veți pierde sau corupe fișierele care se rescriau pe server în momentul în care copia de rezervă se crea singură.
planul de recuperare în caz de dezastru trebuie să includă ad backup
având un plan de recuperare în caz de dezastru este o necesitate, în general, și mai multe scenarii puteți prezice și preveni sau pregăti pentru – mai bine veți fi în caz de dezastru de un fel. În acest caz, este importantă copierea de rezervă a anunțurilor, deoarece, în esență, nu puteți utiliza niciun serviciu legat de anunțuri dacă le restaurați înainte de a restabili copia de rezervă a anunțurilor. Aveți posibilitatea să faceți backup pentru controlerul de domeniu în mai multe locații de stocare diferite:cloud, site local sau la distanță. Având mai mult de o copie a Active Directory este foarte recomandat, de asemenea.
căutați opțiunea de recuperare granulară, dacă este posibil
în timp ce procesul de recuperare și rescriere a tuturor datelor Active Directory este o idee bună de cele mai multe ori – poate doriți să căutați și servicii care oferă opțiunea de recuperare granulară. În acest fel, dacă doriți să recuperați doar unul sau câteva fișiere din copia de rezervă – veți putea face acest lucru destul de ușor. Acest lucru reduce, de asemenea, timpul total de restaurare a datelor, mai ales atunci când Active Directory este mai mare decât media.
instrumente și servicii de backup Active Directory Native
există mai multe instrumente de backup native pentru Active Directory create de Microsoft pentru copierea de rezervă a serverelor Windows, inclusiv cele care rulează controlere de domeniu Active Directory.
Windows Server Backup
Windows Server Backup este un program care a înlocuit NTBackup în Windows Server 2008 și versiunile mai noi. WSB vine cu o nouă interfață și capacitatea de a crea copii de rezervă incrementale cu utilizarea VSS (Microsoft Volume Shadow Copy Service). Datele care au fost salvate sunt salvate în format VHD. După copierea de rezervă, veți putea monta astfel de discuri VHD pe o mașină-atât virtuală, cât și fizică – pentru a accesa datele pe care le-ați făcut backup. Diferența dintre acest VHD și cel care este creat folosind MVMC (Microsoft Virtual Machine Converter) este că acest VHD nu este bootabil. Comanda pentru copierea de rezervă a întregului volum sau a stării sistemului este următoarea: wbadmin start systemstatebackup .
principalele avantaje ale acestei metode de backup pentru backup Active Directory sunt următoarele: este accesibil, poate funcționa cu VSS și puteți face o copie de rezervă a întregului sistem sau nu faceți altceva decât fișiere Active Directory. Principalul dezavantaj este că lucrul cu WSB necesită o mulțime de cunoștințe și înțelegere prealabilă pentru a atinge întregul potențial al programului atât în ceea ce privește procesul de backup, cât și de recuperare.
System Center Data Protection Manager
celălalt serviciu de backup creat de Microsoft este System Center Data Protection Management (SC DPM). Crearea atât a copiilor de rezervă obișnuite de date, cât și a copiilor de rezervă Active Directory se încadrează în capacitățile programului. SC DPM este un serviciu de backup/recuperare la nivel de întreprindere care poate fi utilizat pentru Protecția Datelor Windows Server (care include backup-uri Active Directory). Diferența dintre WSB și SC DPM este că primul este gratuit, în timp ce acesta din urmă este un software plătit care este instalat separat și nu este inclus în pachetul de bază Microsoft system. De asemenea, este ceva mai greu de configurat în comparație cu WSB. Dar este încă foarte recomandat să-l utilizați pentru a asigura protecția completă a dispozitivului. Lista caracteristicilor SC DPM include suport VSS, suport de backup incremental, suport de backup Microsoft Azure cloud și incapacitatea de a recupera fișierele singulare din Active Directory. Cea mai practică utilizare a SC DPM este de a proteja un număr de servere Microsoft Exchange/Microsoft SQL și alte dispozitive bazate pe Windows.
metode de backup Active Directory terță parte
chiar dacă atât WSB, cât și SC DPM sunt soluțiile native pentru copierea de rezervă a Active Directory-există o mulțime de alte soluții posibile pentru acest lucru. De fapt, aproape fiecare serviciu de backup la nivel de întreprindere ar trebui să fie capabil să facă backup Active Directory fără probleme. Diferența dintre toate aceste servicii în acest caz este modul în care unele dintre ele oferă mai multe capabilități în timp ce se ocupă atât de copierea de rezervă, cât și de restaurarea Active Directory.
punctul principal al backup – urilor în general funcționează și cu Active Directory-backup-ul de date trebuie făcut într-un mod specific pentru a se asigura că datele sunt suficient de consistente. Majoritatea serviciilor de backup terță parte utilizează VSS pentru a crea un instantaneu al datelor copiate pentru a împiedica modificarea datelor menționate în vreun fel în mijlocul procesului de backup. Există, de asemenea, posibilitatea ca o altă problemă să se întâmple: dacă copia de rezervă a Active Directory este scrisă pe un disc fizic – instantaneul care a fost creat va fi utilizat pentru operația de scriere, dar dacă se bazează pe copia bazei de date Live Active Directory – inconsecvențele sunt obligate să apară într-un fel sau altul.
fiecare furnizor de backup are propriul mod specific de a face față problemei menționate, unele mai eficiente decât altele.
în plus, unele dintre serviciile de backup terță parte poate oferi restaurare obiect foarte specific pentru backup Active Directory. Unul dintre exemplele de care este capacitatea de a restabili conturi de utilizator individuale, mai degrabă decât întreaga bază de date. Dar nu toate aceste produse pot face acest lucru, cele mai multe dintre ele pot oferi doar un serviciu complet de backup și restaurare pentru copiile de rezervă Active Directory.
Backup Active Directory cu Bacula Enterprise Edition
Active Directory rulează într-o arhitectură extrem de redundantă prin design, iar pierderea întregului director reprezintă în mod normal o eroare majoră a site-ului. Recuperarea în acest caz este adesea reconstrucții complete sau recuperări metalice goale din backup și adesea un pas de recuperare separat pentru bazele de date și componentele AD. VSS plugin Bacula Enterprise Edition poate oferi instrumente de backup și recuperare de nivel DR pentru aceste situații, și plugin-ul Bare Metal Recovery permite recuperarea unui sistem care rulează pe care serviciile de anunțuri pot fi recuperate. Cu toate acestea, în timp ce backup-urile de recuperare în caz de dezastru sunt un lucru minunat, acestea nu ajută în cazul unor modificări greșite sau corupții care cauzează probleme semnificative unei porțiuni din structura directorului, dar nu ar trebui să necesite o restaurare a întregului director. De exemplu, un administrator neglijent (sau nemulțumit) ar putea face modificări la permisiunile unui întreg OU, provocând tot felul de probleme organizației.
în acest scenariu, soluțiile pot fi limitate la o reconstrucție manuală foarte consumatoare de timp și predispusă la erori a structurii sau la o restaurare din backup. Aici vă poate ajuta pluginul Bacula Enterprise directory Server. Pluginul Active Directory backup comunică direct cu mediul dvs. Active Directory sau LDAP utilizând protocolul de rețea LDAP pentru a extrage corect structura directorului și pentru a permite backup și recuperare la nivel de obiect. Obiectele pot fi chiar restaurate în diferite locații din arborele de directoare.
aceasta permite recuperarea obiectelor individuale, precum și întregul director. Spre deosebire de metoda pluginului VSS, pluginul Directory Server presupune că a fost reinstalată o infrastructură publicitară funcțională, pe care vor fi restaurate informațiile publicitare de rezervă, în timp ce pluginul VSS este mai potrivit pentru scenariile de recuperare în caz de dezastru. Pentru mai multe informații despre pluginul care se va potrivi nevoilor dvs., vă rugăm să contactați Bacula Systems.
recuperarea obiectelor Active Directory cu pluginul Directory Server este ușoară. Obiectele arată la fel ca fișierele la timpul de restaurare și multe dintre aceleași opțiuni funcționează. Această imagine prezintă un exemplu de fereastră de restaurare în bconsole:
după cum puteți vedea, putem selecta un singur obiect pentru recuperare și în acest moment vom avea acces la multe opțiuni de restaurare.
de exemplu, obiectele pot fi restaurate pe un server diferit de cel de la care provin. Acestea pot fi restaurate deasupra obiectelor existente și puteți alege dacă să păstrați obiectele existente care sunt mai noi decât obiectele care sunt restaurate, mai vechi, să le înlocuiți întotdeauna sau să nu înlocuiți niciodată obiectele existente. De asemenea, puteți verifica pluginul directory server pentru pietre funerare obiect, util mai ales atunci când restaurați obiecte care au fost șterse incorect dintr-un motiv sau altul. De asemenea, este posibil, desigur, să selectați întreaga structură de directoare pentru recuperare pe un server Active Directory sau LDAP funcțional.
concluzie
Active Directory este practic în centrul afacerii, prin urmare, gama de instrumente și servicii pentru a preveni orice fel de perturbare sau o pierdere de memorie care poate provoca cel puțin timpii morți atât pentru utilizatori, cât și pentru serviciile furnizate de afacerea dvs. De asemenea, este important să cercetați în mod corespunzător metodele și serviciile de rezervă înainte de a aplica una dintre ele afacerii dvs. Selectarea soluției de rezervă care funcționează cel mai bine pentru dvs. este cheia pentru a preveni majoritatea, dacă nu toate, problemele cu Active Directory și datele sale.
capacitatea de a recupera Active Directory într-un dezastru este crucială pentru o bună strategie de gestionare a riscurilor pentru orice organizație care se bazează foarte mult pe ea. Bacula Enterprise Edition oferă instrumente atât pentru a recupera de la pierderea totală, dar, de asemenea, instrumente valoroase pentru backup Active Directory și de a recupera porțiuni ale infrastructurii atunci când lucrurile merg prost.