استراتيجيات وأدوات نسخ احتياطي للمجلد النشط (أفضل الممارسات)

الدروس التعليمية

استراتيجيات وأدوات النسخ الاحتياطي للدليل النشط (أفضل الممارسات). يُعد الدليل النشط حجر الزاوية في بنية تكنولوجيا المعلومات للمؤسسات، حيث يعمل كحل LDAP قوي يدعم خدمات حيوية مثل المصادقة ونظام أسماء النطاقات (DNS). إن التشغيل السلس لهذه الخدمات أمر حيوي لاستمرارية الأعمال، مما يجعل موثوقية الدليل النشط جانبًا حاسمًا في تقديم خدمات تكنولوجيا المعلومات. لضمان وظائفه دون انقطاع، يجب على المؤسسات إنشاء استراتيجيات شاملة للنسخ الاحتياطي واستعادة الكوارث واختيار الأدوات المناسبة.

يتناول هذا المقال المكونات الحيوية لنسخ الدليل النشط واستعادته احتياطيًا. من فهم ما يحتاج إلى النسخ الاحتياطي إلى اختيار الأدوات الصحيحة وتنفيذ استراتيجيات الاختبار، نستكشف الجوانب الأساسية لحماية هذه الخدمة الحاسمة.

اقرأ أيضًا غابة الدليل النشط مقابل النطاق – ما الفرق؟

استراتيجية النسخ الاحتياطي للدليل النشط

ما يجب نسخه احتياطيًا في الدليل النشط

أول شيء هو تحديد ما يجب نسخه احتياطيًا. في سيناريو عندما يكون لديك وحدة تحكم نطاق واحدة (وهو أمر غير موصى به)، يجب أن تؤدي نسخًا احتياطيًا كاملًا للخادم. للتأكد من أنك يمكن أن تؤدي استعادة كاملة للنظام الأساسي، إذا لزم الأمر.

في حالة وجود وحدات تحكم نطاق متعددة، ضع في اعتبارك ما يلي:

  • نسخ حالة النظام (المكونات الحرجة للنظام، مثل السجل، ودليل SYSVOL وقاعدة بيانات Active Directory) تكفي.
  • نسخ أحد الخوادم فقط في كل موقع فيزيائي يكفي، لأنها تقوم بالتكرار، وجميعها تحتوي على نفس المعلومات.
  • في بيئة متعددة النطاقات، قم بنسخ على الأقل مراقب مجال واحد من كل نطاق في غابتك.

على سبيل المثال، في الرسم التوضيحي أدناه، هناك بنية مجال Active Directory مع مواقع فيزيائية 2 ونطاقات 2 – النطاق الجذري domain.local والنطاق الفرعي child.domain.local.

هنا نقوم بنسخ ثلاث مراقبين للمجال – اثنين من domain.local، لأنها موجودة في مواقعين، وواحد من child.domain.local.

كيفية التحكم في التكرار

هذا القرار يعتمد على هدف نقطة الاسترداد الخاص بك. إذا كان من المقبول فقدان يوم واحد من التغييرات المكتوبة على مراقب المجال، فإن النسخ الاحتياطي اليومي يعمل بشكل جيد تمامًا. كما أنه من الضروري تحديد أنواع النسخ الاحتياطي المطلوبة. كم من الوقت يجب أن ننتظر لإجراء نسخ احتياطية كاملة ونسخ احتياطية تدريجية؟ هل هناك حاجة للنسخ الاحتياطي التفاضلي؟ النهج الأكثر شيوعًا هو إجراء نسخ احتياطية كاملة أسبوعيًا ونسخ احتياطية تدريجية يوميًا.

قراءة أيضًا جرب أداة تقرير Active Directory لـ InfraSOS

أدوات النسخ الاحتياطي لخدمة Active Directory للنظر فيها

عادةً ما لا تدعم الأنظمة المستنسخة بين عدة خوادم، مثل Active Directory ، السفر عبر الزمن. يعني ذلك عندما يفشل جهاز الكمبيوتر الظاهري لخادم النطاق، لا يمكنك ببساطة استعادته من اللحظة المحددة وإعادته إلى التشغيل. يحتوي كل خادم نطاق على رقم تسلسل التحديث (USN) الذي يزداد في كل مرة يتم فيها كتابة عملية تغيير جديدة في قاعدة البيانات. على سبيل المثال، إذا كان لديك عدة خوادم نطاق، واحدة منها فشلت وقمت بإستعادتها باستخدام لقطة سريعة. رقم USN الخاص بها غير صحيح (قديم ، يساوي قيمة USN من اللحظة التي تم فيها التقاط اللقطة) والتكرار معطل (يمكن العثور على مثال أكثر تفصيلاً هنا ). بالإضافة إلى ذلك، يحتوي كل كائن داخل قاعدة بيانات AD على إصداره الخاص، والذي يجب أيضًا أخذه في الاعتبار أثناء عمليات النسخ الاحتياطي / الاستعادة. لذا، يجب استخدام الأدوات التي تؤدي عملية الاستعادة المتسقة فقط لعملية النسخ الاحتياطي لـ Active Directory. لحسن الحظ، هناك أدوات متاحة، سواء المدمجة في ويندوز سيرفر والتي يوفرها بائعو الجهات الخارجية .

انظر إلى ما يلي:

  • الخيارات المطلوبة – على سبيل المثال، إذا كانت سياسات الشركة الخاصة بك تتطلب إجراء نسخ احتياطية كاملة وتزايدية، فحدد الأداة التي تنفذ نسخ احتياطية تزايدية لـ Active Directory.
  • تخزين النسخ الاحتياطي المستهدف – إذا كنت ترغب في تخزين النسخ الاحتياطية باستخدام تخزين الأشرطة، فستحتاج إلى شراء حل خارجي، لأن برنامج النسخ الاحتياطي المدمج في ويندوز سيرفر لا يدعم الكتابة على الأشرطة.
  • تردد الاستعادة – لاستعادة منتظمة للكائنات المحذوفة من الدليل النشط، اختر أداة تتيح استعادة الكائنات الفردية دون الحاجة إلى استعادة قاعدة البيانات بأكملها. تسمح العديد من أنظمة النسخ الاحتياطي الخارجية المستوى الشركاتية باستعادة الكائنات الفردية ببضع نقرات، على سبيل المثال، this one و this one
  • الميزانية – يجب دائمًا أخذها في الاعتبار. إذا لم تكن لدى شركتك الأموال لأدوات الطرف الثالث، فإن نسخ احتياطي لخادم Windows المدمج في نظام التشغيل يمكن أن يغطي الاحتياجات الأساسية.

اقرأ أيضًا كيفية إضافة مراقب النطاق إلى مجال موجود

اختبار عملية استعادة الدليل النشط

القاعدة الذهبية للنسخ الاحتياطي هي اختبار عملية الاستعادة دائمًا. من المشترك جدًا أن يعتقد مهندس النظام أن كل شيء على ما يرام مع نسخ الاحتياطي لديه فقط لأن أداة النسخ الاحتياطي لا تظهر أخطاء. ثم، عندما يحدث الكارثة الفعلية، يتبين أن النسخة الاحتياطية غير متسقة، والاستعادة غير ممكنة. لتجنب مثل هذه السيناريوهات، من الضروري اختبار عملية الاستعادة على الأقل سنويًا. الممارسات الجيدة هي:

  • إنشاء خطة موثقة بشكل جيد لعملية الاستعادة.
  • لامتلاك بنية تحتية للاختبار حيث تقوم بإجراء اختبارات الاستعادة الدورية
  • للحفاظ على كلمات مرور مسؤول وضع استعادة خدمات الدليل (DSRM) لجميع وحدات التحكم بالمجال آمنة ومتاحة
  • لأداء اختبارات الاستعادة الدورية باستخدام سيناريوهات مختلفة

في حال لم تكن تمتلك كلمة مرور مسؤول DSRM، من الأفضل إعادة تعيينها باستخدام أداة NTDSutil، كما هو موضح هنا، وتأكد من تخزينها في مكان آمن لتكون متاحة في حالة وقوع كارثة

اقرأ أيضًا DCDiag: كيفية التحقق من صحة وحدة التحكم بالمجال باستخدام Powershell

سيناريوهات استعادة الدليل النشط

السيناريو 1. فشل وحدة التحكم بالمجال الوحيدة

إذا كان لديك وحدة تحكم بالمجال واحدة فقط، في حالة فشلها، ضع في اعتبارك ما يلي:

  • مطلوب استعادة من الصفر
  • من المتوقع حدوث انقطاع في الخدمة – على عكس السيناريوهات الأخرى، استعد الخادم بأسرع ما يمكن لتقليل الأثر
  • من المتوقع حدوث فقدان للبيانات – ستفقد جميع التغييرات التي أجريتها على كائنات AD منذ آخر نسخة احتياطية.

لذا تأكد من أن عمليات النسخ الاحتياطي تتم بشكل متكرر (لتقليل فقدان البيانات)، وألا يكون هناك الكثير من النسخ الاحتياطية التدريجية (كلما زادت النسخ الاحتياطية التدريجية، زادت مدة عملية الاستعادة). النهج الشائع هو القيام بعملية النسخ الاحتياطي كل ليلة مع عملية نسخ احتياطي كاملة أسبوعية على الأقل.

يجب تجنب هذا السيناريو قدر الإمكان نظرًا لأن Active Directory تم بناؤها لضمان التوفر العالي وتصميمها للبنية التحتية متعددة الخوادم.

السيناريو 2. فشل مركز النطاق في بنية تحتية متعددة الخوادم

في حالة وجود عدة مراكز نطاق حيث يفشل أحدهما، لا حاجة لإجراء عملية استعادة من النسخ الاحتياطي. من الأفضل إزالة الخادم الفاشل وبياناته الوصفية من الكتالوج ونشر خادم جديد بنفس الاسم وعنوان IP. يتم عملية الاستعادة على المستوى العالي على النحو التالي:

  1. تحقق مما إذا كان الخادم الفاشل يمتلك أي وظائف Flexible Single Master Operations (FSMO). إذا كان كذلك، قم بنقل الوظائف إلى مركز تحكم آخر باستخدام أداة NTDSutil أو PowerShell، كما هو موضح في هذه المقالة
  2. قم بإزالة الخادم الفاشل وتنظيف بياناته الوصفية (يتم شرح العملية التفصيلية هنا
  3. نشر آلة افتراضية جديدة بنفس الاسم وعنوان IP. يُوصَى بعدم تغيير الاسم والعنوان لأن وحدات التحكم في النطاق غالبًا ما تعمل كخوادم DNS، وقد يكون لدى الآلات الأخرى عنوان IP لوحدة التحكم في النطاق التي فشلت كخادم DNS أساسي في تكوين بطاقة واجهة الشبكة الخاصة بها.
  4. قم بترقية الخادم الجديد إلى دور وحدة التحكم في النطاق.

اقرأ أيضًا إزالة (تخفيض) وحدة تحكم النطاق من دليل النشاط (دليل)

السيناريو 3. استعادة الكائن المحذوف بشكل صعب من الدليل النشط

في حالة تم حذف بعض الكائنات، مثل المستخدم، عن طريق الخطأ من الدليل، استعد الكائن من النسخ الاحتياطي. إذا كنت تستخدم أداة من جهة خارجية لعمل نسخ احتياطي، اتبع تعليمات البائع. إذا كنت تستخدم نسخ احتياطي لنظام Windows Server لنسخ الدليل النشط، استخدم عملية استعادة على مستوى عالٍ تالية:

  1. استخدم النسخة الاحتياطية لإنشاء وحدة تحكم النطاق المستعادة.
  2. قم بتسجيل الدخول إلى وحدة تحكم النطاق المستعادة باستخدام كلمة مرور المسؤول DSRM.
  3. قم بإجراء استعادة مؤلفة للكائن باستخدام أداة NTDSutil. يُعتبر الحالة المستعادة للكائن هي الحالة الأكثر واقعية من قبل تكرار AD ، ويتم نسخها إلى جميع وحدات التحكم في النطاق الأخرى.
  4. 使用 Ldifde 工具来恢复对象的组成员身份。

更详细的描述请参阅 这篇文章

也阅读 针对活动目录(用户/组)的 Active Directory 的前 5 个 PowerShell 脚本

活动目录备份策略和工具(最佳实践)结论

本文描述了活动目录备份和恢复的基本要素,强调了明确定义策略的重要性。

关键要点包括确定备份内容、备份频率以及根据组织的独特需求和预算选择哪些工具的需求。还强调了测试策略和最佳实践以确保可靠的恢复过程。

لقد فحصنا سيناريوهات تتراوح من فشل وحدة تحكم نطاق واحدة إلى استعادة الكائنات المحذوفة نهائيًا في الدليل النشط. في المقالة التالية، سنستكشف سيناريوهات استعادة كوارث أكثر تعقيدًا، مما يوفر للمؤسسات دليلًا شاملًا لحماية بنيتهم التحتية للدليل النشط. ترقبوا الجزء التالي، حيث نغوص أعمق في حماية هذا المكون الحيوي لتكنولوجيا المعلومات المؤسسية.

Source:
https://infrasos.com/active-directory-backup-strategies-and-tools/