أفضل ممارسات نسخ احتياطي للمدير النشط

Active Directory هو خدمة معروفة على نطاق واسع لإدارة المركزية والمصادقة للمستخدم في بيئات تعتمد على نظام التشغيل Windows. يمكن للمسؤولين إدارة الحواسيب المضافة إلى النطاق مركزيًا، مما يكون مريحًا ويوفر الوقت للبنية التحتية الكبيرة والموزعة. يتطلب غالبًاً MS SQL و MS Exchange Active Directory. إذا أصبح مراقب مجال Active Directory (AD DC) غير متوفر، فإن المستخدمين ذوي الصلة لا يمكنهم تسجيل الدخول والأنظمة لا تعمل بشكل صحيح، مما يمكن أن يسبب مشاكل في بيئتك. لهذا السبب تعتبر عملية نسخ احتياطي لـ Active Directory مهمة.

يشرح هذا المنشور في البلوج عملية نسخ احتياطي لـ Active Directory أفضل الممارسات بما في ذلك الطرق والأدوات الفعالة.

مبدأ عمل Active Directory

Active Directory هو نظام إدارة يتألف من قاعدة بيانات يتم تخزين الكائنات الفردية وسجلات المعاملات فيها. يتم تقس

يستخدم Active Directory بروتوكولات LDAP و Kerberos لوظيفته عبر الشبكة. LDAP (بروتوكول الوصول إلى الدليل الخفيف) هو بروتوكول مفتوح المصدر ومتعدد الأنظمة يُستخدم للوصول إلى الدلائل (مثل Active Directory) والذي يتيح أيضًا الوصول إلى خدمات المصادقة بواسطة اسم المستخدم وكلمة المرور. كيربروس هو بروتوكول مصادقة آمن وبروتوكول تسجيل دخول واحد يستخدم تشفير المفتاح السري. يتم تخزين أسماء المستخدمين وكلمات المرور التي تتم التحقق منها بواسطة خادم المصادقة كيربروس في دليل LDAP (في حال استخدام Active Directory).

ما هي البيانات التي يجب أن تتم نسخها؟

وفقًا للقسم السابق، يجب عليك عمل نسخة ليس فقط من Ntds.dit، ولكن من جميع المكونات المتكاملة مع Active Directory. قائمة جميع المكونات التي هي جزء لا يتجزأ من نظام وحدة التحكم في النطاق هي كما يلي:

• خدمات Active Directory للنطاق
• سجل نظام وحدة التحكم في النطاق
• مجلد Sysvol
• قاعدة بيانات تسجيل فئة COM+
• معلومات منطقة DNS المتكاملة مع Active Directory
• ملفات النظام وملفات التمهيد
• معلومات خدمة التجميع
• قاعدة بيانات خدمات الشهادات (إذا كانت وحدة تحكم النطاق خادمًا لخدمة الشهادات)

المجلدات الفوقية لـ IIS (إذا كانت خدمات معلومات الإنترنت لمايكروسوفت مثبتة على مركز تحكم النطاق الخاص بك)

لنلقِ نظرة على بعض التوصيات العامة لنسخ احتياطي لخدمة الدليل النشط.

يجب نسخ مركز تحكم النطاق واحد على الأقل في النطاق

من الواضح أنه إذا كان لديك مركز تحكم بنطاق واحد فقط في بنيتك التحتية، يجب عليك نسخ هذا المركز. إذا كان لديك أكثر من مركز تحكم بنطاق واحد، يجب عليك نسخ واحد على الأقل منها. يجب عليك نسخ مركز تحكم النطاق الذي تم تثبيت أدوار FSMO (العملية المرنة للماستر الفردي) عليه. إذا فقدت جميع مراكز التحكم بالنطاقات، يمكنك استعادة مركز تحكم بنطاق أساسي (الذي يحتوي على أدوار FSMO)، ونشر مركز تحكم بنطاق ثانوي جديد، وتكرار التغييرات من مركز النطاق الأساسي إلى مركز النطاق الثانوي.

يجب تضمين نسخة الدليل النشط في خطة الاسترداد من الكوارث الخاصة بك

قم بإعداد خطة الاستعادة من الكوارث (DR) الخاصة بك مع عدة سيناريوهات لاستعادة البنية التحتية الخاصة بك أثناء التحضير للكوارث الافتراضية. الممارسة الأفضل هي إنشاء خطة DR شاملة قبل حدوث الكارثة. انتبه تمامًا إلى تسلسل الاسترداد. ضع في اعتبارك أنه يجب استعادة متحكم النطاق قبل أن تتمكن من استعادة الآلات الأخرى مع الخدمات المتعلقة بدليل النشاط حيث قد تصبح غير مفيدة بدون AD DC. إن إنشاء خطة استعادة من الكوارث قابلة للتنفيذ تأخذ في الاعتبار التبعيات لخدمات مختلفة تعمل على آلات مختلفة يضمن لك استعادة ناجحة. يمكنك نسخ متحكم النطاق الخاص بك إلى موقع محلي أو موقع بعيد أو سحابة. بين الممارسات الأفضل لنسخ احتياطي لدليل النشاط هو وجود أكثر من نسخة واحدة من متحكم النطاق وفقًا للقاعدة الاحتياطي 3-2-1.

قم بنسخ احتياطي لدليل النشاط بانتظام

يجب عليك نسخ احتياطي لدليل النشاط بانتظام بفاصل زمني لا يتجاوز 60 يومًا. يفترض خدمات AD أن عمر نسخة احتياطية من دليل النشاط لا يمكن أن يزيد عن عمر الكائنات القبرية AD ، والذي بشكل افتراضي هو 60 يومًا. يرتجع ذلك إلى أن دليل النشاط يستخدم الكائنات القبرية عندما تحتاج الكائنات إلى الحذف. عند حذف كائن AD (تم حذف معظم سمات الكائن المعني) ، يتم وضع علامة عليه ككائن قبري ولا يتم حذفه فيزيائيًا حتى ينتهي فترة عمر القبر.

إذا كان هناك عدة مراقبين في بنيتك التحتية وتم تمكين تكرار Active Directory ، فإن كائن الضريح يتم نسخه إلى كل مراقب نطاق حتى ينتهي عمر ضريح القبر. إذا قمت باستعادة أحد مراقبي النطاقات الخاصة بك من نسخة احتياطية تزيد عمرها عن عمر الضريح ، فسوف تواجه معلومات غير متسقة بين مراقبي نطاق Active Directory. سيكون لدى مراقب النطاق الذي تم استعادته معلومات حول الكائنات التي لم تعد موجودة في هذه الحالة. يمكن أن يؤدي هذا إلى وجود أخطاء وفقًا لذلك.

إذا قمت بتثبيت أي تعريفات أو تطبيقات على مراقب النطاق الخاص بك بعد إجراء نسخة احتياطية ، فلن تكون قابلة للعمل بعد الاسترداد من هذه النسخة الاحتياطية نظرًا لأن حالة النظام (بما في ذلك التسجيل) ستتم استعادتها إلى حالة سابقة. هذا ليس سوى سبب آخر لعمل نسخ احتياطية ل Active Directory بشكل أكثر تواترًا من مرة واحدة كل 60 يومًا. نوصي بشدة بأن تقوم بعمل نسخ احتياطية لمراقب نطاق Active Directory كل ليلة.

استخدم برامج تضمن توافق البيانات

كما هو الحال مع أي قاعدة بيانات أخرى ، يجب أن تكون نسخة احتياطية لقاعدة بيانات Active Directory بطريقة تضمن الحفاظ على توافق القاعدة. يمكن الحفاظ على التوافق بشكل أفضل إذا قمت بعمل نسخ احتياطية لبيانات AD DC عندما يكون الخادم متوقفًا عن التشغيل أو عند استخدام Microsoft خدمة نسخ الظل الحجمي (VSS) على جهاز يعمل. قد لا تكون فكرة عمل نسخ احتياطية لخادم Active Directory وهو متوقف عن التشغيل فكرة جيدة إذا كان الخادم يعمل بنظام 24/7.

توصيات الممارسات الأفضل لنسخ احتياطي الدليل النشط توصي بأن تستخدم تطبيقات النسخ الاحتياطي المتوافقة مع VSS لعمل نسخ احتياطية لخادم يعمل بنظام Active Directory. الكتاب الافتراضي لـ VSS ينشئ نسخة احتياطية تجميدية تعلق حالة النظام حتى اكتمال النسخ الاحتياطي لمنع تعديل الملفات النشطة المستخدمة من قبل Active Directory أثناء عملية النسخ الاحتياطي.

استخدم حلول النسخ الاحتياطي التي توفر الاستعادة التفصيلية

عندما يتعلق الأمر باستعادة Active Directory ، يمكنك استعادة الخادم بأكمله مع Active Directory وجميع كائناته. قد يتطلب تشغيل استعادة كاملة مبلغًا كبيرًا من الوقت ، خاصة إذا كانت قاعدة بيانات AD ذات حجم كبير. إذا تم حذف بعض كائنات Active Directory عن طريق الخطأ ، قد ترغب في استعادة تلك الكائنات فقط ولا شيء آخر. توصيات الممارسات الأفضل لنسخ احتياطي الدليل النشط توصي بأن تستخدم أساليب وتطبيقات النسخ الاحتياطي التي يمكنها القيام بالاستعادة التفصيلية ، أي استعادة كائنات معينة في Active Directory فقط من نسخة احتياطية. يتيح لك ذلك تقليل كمية الوقت المستغرق في الاستعادة.

أساليب نسخ احتياطي الدليل النشط الأصلية

قامت Microsoft بتطوير سلسلة من الأدوات الأصلية لنسخ أنظمة Windows بما في ذلك الخوادم التي تعمل كمراقبين لنطاق Active Directory.

نسخ احتياطي لخادم Windows

يعتبر نسخ الاحتياطي لخادم Windows أداة مقدمة من مايكروسوفت مع Windows Server 2008 وإصدارات Windows Server اللاحقة التي استبدلت أداة NTBackup التي كانت مضمنة في Windows Server 2003. للوصول إليها، كل ما عليك فعله هو تمكين نسخ الاحتياطي لخادم Windows في قائمة إضافة الأدوار والميزات. يتميز نسخ الاحتياطي لخادم Windows بواجهة رسومية مستخدم جديدة ويتيح لك إنشاء نسخ احتياطية تدريجية باستخدام VSS. يتم حفظ البيانات التي تم نسخها في ملف VHD – نفس تنسيق الملف المستخدم لـ Microsoft Hyper-V. يمكنك تثبيت مثل هذه الأقراص VHD على جهاز افتراضي أو على جهاز فيزيائي والوصول إلى البيانات التي تم نسخها. لاحظ كيف أن مثل هذا الملف VHD، على عكس ما يتم إنشاؤه بواسطة MVMC (محول الآلة الظاهرية Microsoft), لا يمكن تشغيله في هذه الحالة. يمكنك نسخ المجلد بالكامل أو حالة النظام فقط باستخدام الأمر wbadmin start systemstatebackup. على سبيل المثال:

wbadmin start systemstatebackup –backuptarget:E:

يجب عليك تحديد هدف للنسخ الاحتياطي يختلف عن المجلد الذي تقوم بنسخ البيانات منه، وأحد ليس مجلد مشترك عن بعد.

عندما يحين وقت الاستعادة، يجب عليك تشغيل مركز التحكم في النطاق في وضع استعادة الخدمات الدليلية (DSRM) عن طريق الضغط على F8 لفتح خيارات الاقلاع المتقدمة (مثلما تفعل عند دخول وضع الآمان). ثم يجب عليك استخدام الأمر wbadmin get versions -backupTarget:path_to_backup machine:name_of_server لتحديد النسخة الاحتياطية المناسبة، وبدء استعادة البيانات المطلوبة. يمكنك أيضًا استخدام NTDSutil لإدارة كائنات الدليل النشطة المحددة في سطر الأوامر أثناء الاستعادة.

مزايا استخدام نسخ احتياطي لخادم Windows لنسخ احتياطي للدليل النشط هي التكلفة المعقولة، وقدرة VSS، والقدرة على نسخ النظام بأكمله أو مكونات الدليل النشط فقط.

العيوب تشمل الحاجة إلى امتلاك المهارات وقاعدة المعرفة المناسبة لتكوين عملية النسخ الاحتياطي والاستعادة.

مدير حماية البيانات لمركز النظام

توصي Microsoft باستخدام مدير حماية البيانات لمركز النظام (SC DPM) لنسخ احتياطي للبيانات بما في ذلك الدليل النشط في البنية التحتية القائمة على Windows. SC DPM هو حلاً للنسخ الاحتياطي واستعادة البيانات المؤسسية المركزي الذي يعد جزءًا من مجموعة مركز النظام ويمكن استخدامه لحماية خادم Windows الذي يتضمن خدمات مثل الدليل النشط. على عكس النسخ الاحتياطي المجاني المضمن في Windows Server، فإن SC DPM هو برنامج مدفوع يجب نشره بشكل منفصل كحلاً معقدًا. قد يبدو التثبيت تحديًا إلى حد ما عند مقارنته بنسخة النسخ الاحتياطي المضمنة في Windows Server. في الواقع، يجب تثبيت وكيل نسخ احتياطي لضمان حماية جهازك بشكل كامل.

الميزات الرئيسية لمدير حماية بيانات مركز النظام المتعلقة بنسخ النشاط النشط هي:

• دعم VSS
• نسخ احتياطي تدريجي
• نسخ احتياطي إلى سحابة Microsoft Azure
• لا يوجد استرداد للكائنات التفصيلية لنشاط Active Directory

استخدام SC DPM هو الأكثر عملية عندما تحتاج إلى حماية عدد كبير من الآلات التي تعمل بنظام Windows بما في ذلك خوادم MS Exchange و MS SWL.

نسخ احتياطي للمركز الافتراضي للمجال

يمكن استخدام طرق نسخ النشاط النشط الأصلية المذكورة لنسخ خوادم نشاط Active Directory المنشأة على كل من الخوادم الفعلية والآلات الظاهرية. تقدم تشغيل مراقبي المجال على الآلات الظاهرية مجموعة من المزايا بشكل خاص للآلات الظاهرية مثل نسخ النسخة الاحتياطية على مستوى المضيف، والقدرة على استعادتها كآلات ظاهرية تعمل على خوادم فعلية مختلفة، إلخ. توصي ممارسات نسخ النشاط النشط بضرورة استخدام حلول النسخ الاحتياطي على مستوى المضيف عند إجراء نسخ احتياطي لمراقبي مجال Active Directory الخاص بك العاملة على الآلات الظاهرية على مستوى مفرض الفايبر في العملية.
الاستنتاج

تصنف Active Directory كأحد أهم التطبيقات الحيوية للأعمال التجارية التي يمكن أن تتسبب في توقف عمل المستخدمين والخدمات. شرحت مقالة اليوم ممارسات نسخ النشاط النشط للمساعدة في حماية بنية البنية التحتية الخاصة بك ضد فشل AD. اختيار الحل الصحيح للنسخ الاحتياطي هو النقطة المهمة في هذه الحالة.

برنامج نسخ احتياطي على مستوى المضيف لآلات VMware و Hyper-V الافتراضية التي تعمل كـ Active Directory Domain Controller. يسمح لك هذا الحل بعمل نسخة احتياطية من أجهزة التحكم بالمجال الافتراضية بالكامل، حتى إذا كانت الآلة الافتراضية في حالة تشغيل مع احترام “وعي التطبيق” (يتم استخدام VSS)، بالإضافة إلى توفير استرداد فوري لكائنات AD. لا يلزم وجود وكلاء. يدعم NAKIVO Backup & Replication الاسترداد الدقيق لـ Active Directory، والذي يمكنك من خلاله استرداد كائنات AD وحاويات AD معينة دون إنفاق الوقت اللازم للقيام باسترداد آلة افتراضية كاملة. بالطبع، يتم أيضًا دعم الاسترداد الكامل لجهاز التحكم بالمجال الظاهري.