Mejores prácticas de copia de seguridad de Active Directory

Active Directory es un servicio ampliamente conocido para la gestión centralizada y la autenticación de usuarios en entornos basados en Windows. Los administradores pueden gestionar los equipos añadidos al dominio de manera centralizada, lo que es conveniente y ahorra tiempo para infraestructuras grandes y distribuidas. MS SQL y MS Exchange suelen requerir Active Directory. Si el Controlador de Dominio de Active Directory (AD DC) no está disponible, entonces los usuarios relacionados no pueden iniciar sesión y los sistemas no pueden funcionar adecuadamente, lo que puede causar problemas en tu entorno. Por eso es importante hacer copias de seguridad de tu Active Directory.

Esta publicación de blog explica las mejores prácticas de copias de seguridad de Active Directory, incluyendo métodos y herramientas efectivas.

Principio de Funcionamiento de Active Directory

Active Directory es un sistema de gestión que consiste en una base de datos donde se almacenan los objetos individuales y los registros de transacciones. La base de datos está dividida en varias secciones que contienen diferentes tipos de información: una partición de esquema (que determina el diseño de la base de datos de AD, incluidas las clases de objetos y sus atributos), una partición de configuración (información sobre la estructura de AD) y un contexto de nombres de dominio (usuarios, grupos, objetos de impresoras). La base de datos de Active Directory tiene una estructura jerárquica similar a un árbol. El archivo Ntds.dit se utiliza para almacenar la base de datos de AD.

Active Directory utiliza los protocolos LDAP y Kerberos para su funcionamiento en la red. LDAP (Protocolo Ligero de Acceso a Directorios) es un protocolo de código abierto multiplataforma utilizado para acceder a directorios (como Active Directory), que también tiene acceso a la autenticación de servicios de directorio mediante el uso de nombre de usuario y contraseña. Kerberos es un protocolo de autenticación seguro y de inicio de sesión único que utiliza criptografía de clave secreta. Los nombres de usuario y contraseñas verificados por el servidor de autenticación Kerberos se almacenan en el directorio LDAP (en caso de usar Active Directory).

Active Directory está estrechamente integrado con el servidor DNS, los archivos del sistema protegidos de Windows, el Registro del Sistema de un controlador de dominio, así como el directorio Sysvol, la Base de Datos de Registro de Clase COM+ y la información del servicio de clúster. Dicha integración tiene una influencia directa en la estrategia de copia de seguridad de Active Directory.

¿Qué datos deben ser respaldados?

Según la sección anterior, debes hacer una copia de seguridad no solo de Ntds.dit, sino de todos los componentes integrados con Active Directory. La lista de todos los componentes que son partes integrales del sistema del Controlador de Dominio es la siguiente:

• Servicios de Dominio de Active Directory
• Registro del Sistema del Controlador de Dominio
• Directorio Sysvol
• Base de datos de registro de clases COM+
• Información de zona DNS integrada con Active Directory
• Archivos del sistema y archivos de arranque
• Información del servicio de clúster
• Base de datos de servicios de certificados (si tu Controlador de Dominio es un servidor de servicios de certificados).
• Carpetas meta de IIS (si Microsoft Internet Information Services están instalados en su Controlador de Dominio)

Recomendaciones Generales para la Copia de Seguridad de AD

Echemos un vistazo a algunas recomendaciones generales para la copia de seguridad de Active Directory.

Al menos un controlador de dominio en un dominio debe ser respaldado

Es obvio que si tiene solo un controlador de dominio en su infraestructura, debería respaldar este CD. Si tiene más de un controlador de dominio, debería respaldar al menos uno de ellos. Debería respaldar el controlador de dominio que tenga instalados los roles FSMO (Operación Maestra Única Flexible). Si ha perdido todos los controladores de dominio, puede recuperar un controlador de dominio primario (que contenga roles FSMO) e implementar un nuevo controlador de dominio secundario, replicando cambios desde el CD primario al CD secundario.

Incluya su copia de seguridad de Active Directory dentro de su plan de recuperación ante desastres

Redacta tu plan de recuperación ante desastres (DR) con varios escenarios para recuperar tu infraestructura mientras te preparas para desastres hipotéticos. La mejor práctica es crear un plan de DR completo antes de que ocurra un desastre. Presta mucha atención a la secuencia de recuperación. Ten en cuenta que un controlador de dominio debe ser recuperado antes de que puedas recuperar otras máquinas con servicios relacionados con el Directorio Activo, ya que pueden volverse inútiles sin el AD DC. Crear un plan de recuperación ante desastres que tenga en cuenta las dependencias de diferentes servicios que se ejecutan en máquinas diferentes garantiza una recuperación exitosa. Puedes hacer una copia de seguridad de tu controlador de dominio en un sitio local, sitio remoto o en la nube. Entre las mejores prácticas de copia de seguridad de Active Directory está tener más de una copia de tu controlador de dominio según la regla de copia de seguridad 3-2-1.

Haz copias de seguridad de Active Directory de forma regular

Deberías hacer copias de seguridad de tu Directorio Activo regularmente con un intervalo que no exceda los 60 días. Los servicios de AD presumen que la antigüedad de la copia de seguridad del Directorio Activo no puede ser mayor que la vida útil de los objetos de lápida de AD, que por defecto es de 60 días. Esto se debe a que el Directorio Activo utiliza los objetos de lápida cuando los objetos necesitan ser eliminados. Cuando se elimina un objeto de AD (se eliminan la mayoría de los atributos de dicho objeto), se marca como el objeto de lápida y no se elimina físicamente hasta que expire el período de vida útil de la lápida.

Si hay varios controladores de dominio en su infraestructura y la replicación de Active Directory está habilitada, el objeto lápida se copia a cada controlador de dominio hasta que expire el período de vida útil de la lápida. Si restaura uno de sus controladores de dominio desde una copia de seguridad cuya antigüedad sea mayor que la vida útil de la lápida, encontrará información inconsistente entre los controladores de dominio de Active Directory. El controlador de dominio recuperado tendría información sobre objetos que ya no existen en este caso. Esto puede causar errores en consecuencia.

Si instaló algún controlador o aplicaciones en su controlador de dominio después de hacer una copia de seguridad, no funcionarán después de recuperarse de dicha copia de seguridad, ya que el estado del sistema (incluido el registro) se recuperará a un estado anterior. Esta es solo una razón más para hacer copias de seguridad de Active Directory con más frecuencia que una vez cada 60 días. Le recomendamos encarecidamente que haga una copia de seguridad del Controlador de Dominio de Active Directory todas las noches.

Utilice software que asegure la consistencia de los datos

Al igual que con cualquier otra base de datos, la base de datos de Active Directory debe respaldarse de manera que se preserve la consistencia de la base de datos. La consistencia se puede preservar mejor si realiza una copia de seguridad de los datos del AD DC cuando el servidor está apagado o cuando se utiliza el Servicio de Copia de Sombra de Volumen de Microsoft (VSS) en un equipo en funcionamiento. Hacer una copia de seguridad del servidor de Active Directory en estado apagado puede no ser una buena idea si el servidor está operando en modo 24/7.

Las mejores prácticas de copia de seguridad de Active Directory recomiendan que utilice aplicaciones de copia de seguridad compatibles con VSS para hacer copias de seguridad de un servidor que ejecute Active Directory. Los escritores de VSS crean un punto de instantánea que congela el estado del sistema hasta que se complete la copia de seguridad para evitar la modificación de archivos activos utilizados por Active Directory durante el proceso de copia de seguridad.

Utilice soluciones de copia de seguridad que proporcionen recuperación granular

Cuando se trata de recuperar un Active Directory, puede recuperar todo el servidor con Active Directory y todos sus objetos. Ejecutar una recuperación completa puede consumir una cantidad significativa de tiempo, especialmente si su base de datos de AD es considerable. Si algunos objetos de Active Directory se eliminan accidentalmente, es posible que solo desee recuperar esos objetos y nada más. Las mejores prácticas de copia de seguridad de Active Directory recomiendan que utilice métodos y aplicaciones de copia de seguridad que puedan realizar una recuperación granular, es decir, solo recuperar objetos específicos de Active Directory de una copia de seguridad. Esto le permite limitar la cantidad de tiempo dedicado a la recuperación.

Métodos de copia de seguridad nativos de Active Directory

Microsoft ha desarrollado una serie de herramientas nativas para hacer copias de seguridad de servidores Windows, incluidos servidores que ejecutan controladores de dominio de Active Directory.

Copia de seguridad de Windows Server

Windows Server Backup es una utilidad proporcionada por Microsoft con Windows Server 2008 y versiones posteriores de Windows Server que reemplazó la utilidad NTBackup que estaba integrada en Windows Server 2003. Para acceder a ella, solo necesitas habilitar Windows Server Backup en el menú Agregar roles y características. Windows Server Backup cuenta con una nueva GUI (interfaz gráfica de usuario) y te permite crear copias de seguridad incrementales utilizando VSS. Los datos respaldados se guardan en un archivo VHD, el mismo formato de archivo utilizado para Microsoft Hyper-V. Puedes montar dichos discos VHD en una máquina virtual o en una máquina física y acceder a los datos respaldados. Observa cómo, a diferencia del VHD creado por MVMC (Microsoft Virtual Machine Converter), la imagen VHD no es arrancable en este caso. Puedes respaldar el volumen completo o solo el estado del sistema utilizando el comando wbadmin start systemstatebackup. Por ejemplo:

wbadmin start systemstatebackup –backuptarget:E:

Debes seleccionar un destino de respaldo que difiera del volumen desde el cual estás respaldando los datos, y uno que no sea una carpeta compartida remota.

Cuando llegue el momento de recuperarse, debe arrancar el controlador de dominio en Modo de restauración de servicios de directorio (DSRM) presionando F8 para abrir las opciones de arranque avanzadas (como lo haría al ingresar al Modo Seguro). Luego, debe utilizar el comando wbadmin get versions -backupTarget:ruta_del_respaldo nombre_de_equipo:nombre_del_servidor para seleccionar la copia de seguridad apropiada y comenzar a restaurar los datos necesarios. También puede utilizar NTDSutil para administrar objetos particulares de Active Directory en la línea de comandos durante la recuperación.

Las ventajas de utilizar la copia de seguridad de Windows Server para el respaldo de Active Directory son la asequibilidad, la capacidad de VSS y la capacidad de respaldar todo el sistema o solo los componentes de Active Directory.

Las desventajas incluyen la necesidad de poseer las habilidades y conocimientos adecuados para configurar un proceso de respaldo y recuperación.

Administrador de protección de datos de System Center

Microsoft recomienda que utilice el Administrador de protección de datos de System Center (SC DPM) para hacer copias de seguridad de datos, incluido Active Directory, en infraestructuras basadas en Windows. SC DPM es una solución de respaldo y recuperación empresarial centralizada que forma parte del conjunto System Center y se puede utilizar para proteger el servidor Windows que incluye servicios como Active Directory. A diferencia de la copia de seguridad integrada gratuita de Windows Server, SC DPM es un software de pago que debe implementarse por separado como una solución compleja. La instalación puede parecer algo desafiante en comparación con la copia de seguridad de Windows Server. De hecho, se debe instalar un agente de respaldo para garantizar que su máquina esté completamente protegida.

Las principales características del System Center Data Protection Manager relacionadas con la copia de seguridad de Active Directory son:

• Soporte VSS
• Copia de seguridad incremental
• Copia de seguridad en la nube de Microsoft Azure
• No hay recuperación granular de objetos para Active Directory

El uso de SC DPM es más práctico cuando necesitas proteger un alto número de máquinas Windows, incluyendo servidores MS Exchange y MS SQL.

Respaldar el Controlador de Dominio Virtual

Los métodos de respaldo nativos de Active Directory enumerados se pueden utilizar para respaldar servidores de Active Directory implementados tanto en servidores físicos como en máquinas virtuales. Ejecutar controladores de dominio en máquinas virtuales ofrece un conjunto de ventajas específicas para las VM, como el respaldo a nivel de host, la capacidad de recuperarse como VM que se ejecutan en diferentes servidores físicos, etc. Las mejores prácticas de respaldo de Active Directory recomiendan utilizar soluciones de respaldo a nivel de host al hacer copias de seguridad de tus controladores de dominio de Active Directory que se ejecutan en máquinas virtuales a nivel de hipervisor.

Conclusión

Active Directory se clasifica como una de las aplicaciones más críticas para el negocio cuya interrupción puede causar tiempo de inactividad de usuarios y servicios. La publicación de blog de hoy explicó las mejores prácticas de respaldo de Active Directory para ayudarte a proteger tu infraestructura contra fallos de AD. Seleccionar la solución de respaldo adecuada es el punto importante a destacar en este caso.

NAKIVO Backup & Replication es un software de copia de seguridad a nivel de host para VMware y máquinas virtuales Hyper-V que ejecutan un Controlador de Dominio de Active Directory. Esta solución le permite hacer copias de seguridad de VMs de controladores de dominio completas, incluso si la VM está en estado de ejecución, respetando la conciencia de la aplicación (se utiliza VSS) y proporcionando recuperación instantánea de objetos de AD. No se necesitan agentes. NAKIVO Backup & Replication admite la recuperación granular de Active Directory, lo que le permite recuperar objetos y contenedores de AD particulares sin necesidad de realizar una recuperación completa de VM. Por supuesto, también se admite la recuperación completa de la VM del controlador de dominio.