Best Practices לגיבוי של Active Directory

מדריכים

שירות ספרייה פעילה הוא שירות רחב הידע לניהול מרכזי ואימות משתמש בסביבות מבוססות Windows. מנהלים יכולים לנהל מחשבים שנוספים לדומיין מרכזית, מה שנוח ומוריד את הזמן לתשתיות גדולות ומפוזרות. MS SQL ו-MS Exchange דרך כלל מצריכים את שירות ספריית פעילה. אם בקר דומיין ספריית פעילה (AD DC) לא זמין, אז משתמשים קשורים לא יכולים להתחבר ומערכות לא יכולות לפעול כראוי, מה שיכול לגרום לבעיות בסביבה שלך. לכן גיבוי של שירות ספריית פעילה חשוב.

פוסט הבלוג הזה מסביר התרגיל הטוב ביותר של גיבוי שירות ספריית פעילה כולל שיטות יעילות וכלים.

עקרון פעולת ספריית פעילה

שירות ספריית פעילה הוא מערכת ניהול המורכבת ממסד נתונים שבו מאוחסנים אובייקטים יחידים ולוגי עסקאות. המסד נתונים מחולק למספר חלקים שבהם מופקדים סוגים שונים של מידע – מחיצת סכימה (שמקבעת את עיצוב מסד הנתונים AD כולל מחלקות אובייקטים ומאפייניהם), מחיצת תצורה (מידע על מבנה AD) והקשרים של שמות הדומיין (משתמשים, קבוצות, אובייקטי מדפסות). מסד הנתונים של שירות ספריית פעילה מכיל מבנה היררכי דומה לעץ. קובץ Ntds.dit משמש לאחסון המסד נתונים של AD.

Active Directory משתמש בפרוטוקולים LDAP ו-Kerberos לפעולתו על הרשת. LDAP (פרוטוקול גישה לספריות קל) הוא פרוטוקול פתוח וצפוף פלטפורמה המשמש לגישה לספריות (כמו Active Directory) וכן כולל גישה לאימות שירותי ספריות באמצעות שם משתמש וסיסמה. Kerberos הוא פרוטוקול אימות מאובטח וסינגל-סיין-און המשתמש בהצפנת מפתחות סודיות. שמות משתמש וסיסמות שמאומתות על ידי שרת אימות Kerberos מאוחסנים בספריית LDAP (במקרה של שימוש ב-Active Directory).

Active Directory משתמש באינטגרציה צמודה עם שרת DNS, קבצי המערכת המוגנים של Windows, רשומות מערכת של בקר דומיין, וכן גם עם ספריית Sysvol, מסד נתונים לרישום של מחלקות COM+, ומידע על שירות האשף. צמיחה מוסיפה השפעה ישירה על אסטרטגיית הגיבוי של Active Directory.

אילו נתונים צריך לגבות?

לפי הסעיף הקודם, עליך ליצור עותק לא רק של Ntds.dit, אלא גם לכל הרכיבים שמשולבים עם Active Directory. הרשימה של כל הרכיבים שהם חלקים כלולים של מערכת בקר הדומיין היא כדלקמן:

  • שירותי דומיין של Active Directory
  • רשומות מערכת של בקר דומיין
  • ספריית Sysvol
  • מסד נתונים לרישום של מחלקות COM+
  • מידע על אזור DNS משולב עם Active Directory
  • קבצי מערכת וקבצי אתחול
  • מידע על שירות האשף
  • מסד נתונים של שירותי תעודות (אם הבקר דומיין שלך הוא שרת שירותי תעודות)
  • תיקיות המטא של IIS (אם Microsoft Internet Information Services מותקנים בשרת הרשות שלך)

המלצות כלליות לגיבוי AD

בואו נסתכל על כמה המלצות כלליות לגיבוי של Active Directory.

יש לגבות לפחות שרת רשות אחד בתחום

זה ברור שאם יש לך רק שרת רשות אחד בתשתיות שלך, עליך לגבות את השרת הזה. אם יש לך יותר משרת רשות אחד, עליך לגבות לפחות אחד מהם. עליך לגבות את שרת הרשות שבו מותקנות תפקידי FSMO (Flexible Single Master Operation). אם איבדת את כל שרי הרשות, תוכל לשחזר שרת רשות ראשי (המכיל תפקידי FSMO), ולהפעיל שרת רשות משני חדש, המשכת שינויים מהשרת הראשי לשרת המשני.

כלול את גיבוי ה-Active Directory שלך בתוך תוכנית השחזור מקריות

תוכנית השחזור מקרי פגע ואסונות
תרחיש 1: כשרת הבקרת התחום (DC) נפלה
1. הפעלת שרת בקרת התחום הגיבוי המקומי:
– הפעלת שרת בקרת התחום מהגיבוי המקומי באתר ראשי.

2. בדיקת פעולת שרת בקרת התחום הגיבוי:
– בדיקת התקנת התקן.
– בדיקת התאמת גרסת התוכנה.
– בדיקת זמינות רשומות ארבע הפעולה (SRV).
– בדיקת כללי ניצול.

3. החזרת רשומות שירות (SRV) לשרת בקרת התחום:
– הפעלת סקריפט לשחזור רשומות שירות לשרת בקרת התחום הגיבוי.

תרחיש 2: נפילת שרתי שירות נוספים התלויים בשרת בקרת התחום
1. הפעלת שרתי השירות הנוספים:
– הפעלת שרתי השירותים הנוספים רק לאחר שחזור מלא והפעלה תקינה של שרת בקרת התחום.

2. בדיקת תקינות קשרי שירות:
– בדיקת התאמת קשרי שירות עבור כל שירות התלוי בבקרת התחום.
– בדיקת פעילות השירותים באמצעות בדיקת חיבור.

3. בדיקת סנכרון נתונים:
– בדיקת סנכרון נתונים בין השרת הגיבוי לשרת המקור.

טיפים נוספים:
– תכנון גיבוי רדונטי ושימוש בעקרונות גיבוי 3-2-1.
– ביצוע גיבוי תקופתי של ה-Active Directory לא פחות מפעם ב-60 ימים.
– השחזור והבדיקה של שרת בקרת התחום הגיבוי לפני שחזור כל שירות נוסף.

אם ישנם שולחנות שליטה רבים בתשתית שלך ושיבוץ פעיל של Active Directory מופעל, אובייקט קבר הועתק אל כל שולחן השליטה עד שתפוג תוקפם של פריטי קבר האובייקט. אם תשחזר אחד משולחני השליטה שלך מגיבוי שגילו גדול מפרק החיים של קבר האובייקט, תיתקל במידע בלתי עקבי בין שולחני השליטה של Active Directory. במקרה זה, שולחן השליטה ששוחזר יכיל מידע על אובייקטים שכבר לא קיימים. זה עשוי לגרום לשגיאות לפיכך.

אם התקנת כל דרייברים או יישומים על שולחן השליטה שלך לאחר ביצוע גיבוי, הם לא יהיו פעילים לאחר השחזור מהגיבוי הנ"ל מאחר ומצב המערכת (כולל הרשומה) יחזור למצב קודם. זהו עוד סיבה לגיבוי תדיר יותר של Active Directory מאשר פעם ל-60 ימים. אנו ממליצים בחום עליך לגבות את שולחן השליטה של Active Directory בכל לילה.

השתמש בתוכנה שמבטיחה עקביות בנתונים

כמו כל מסד נתונים אחר, מסד הנתונים של Active Directory חייב להיות מגובה בדרך שמבטיחה שהעקיבות של המסד תישמר. העקיבות נשמרת ביותר אם תגבה את נתוני AD DC כאשר השרת כבוי או כאשר משמש מערכת שירותי צל של Microsoft (VSS) על מכונה פועלת. גיבוי שולחן השליטה של Active Directory במצב כבוי עשוי לא להיות רעיון טוב אם השרת פועל במצב 24/7.

שיטות הגיבוי המומלצות של Active Directory ממליצות על שימוש ביישומי גיבוי התומכים ב-VSS כדי לגבות שרת שרצה את Active Directory. כותבי VSS יוצרים צילום רקע שמקפיא את מצב המערכת עד שהגיבוי הושלם כדי למנוע שינויים בקבצים פעילים המשמשים על ידי Active Directory במהלך תהליך הגיבוי.

שימוש בפתרונות גיבוי שמספקים שחזור גרנולרי

כאשר מדובר בשחזור של Active Directory, תוכל לשחזר את השרת כולו עם Active Directory וכל העצמים שלו. ביצוע שחזור מלא עשוי לצרוך זמן משמעותי, במיוחד אם מסד הנתונים של ה-AD גדול מאוד. אם כמה אובייקטים של Active Directory נמחקים במקרה, עשוי להיות לך רצון לשחזר רק אותם אובייקטים ושום דבר אחר. שיטות הגיבוי המומלצות של Active Directory ממליצות על שימוש בשיטות ויישומים שיכולים לבצע שחזור גרנולרי, כלומר לשחזר רק אובייקטים מסוימים של Active Directory מגיבוי. זה מאפשר לך להגביל את כמות הזמן הנדרשת לשחזור.

שיטות גיבוי נטיביות של Active Directory

מיקרוסופט פיתחה סדרת כלי נטיביים לגיבוי שרתי Windows כולל שרתים המפעילים בקרני דומיין שרצה את Active Directory.

גיבוי שרתי Windows

גיבוי שרת Windows הוא כלי המסופק על ידי מיקרוסופט עם Windows Server 2008 וגרסאות מאוחרות יותר של Windows Server שהחליפו את כלי ה־NTBackup שנבנה לתוך Windows Server 2003. כדי לגשת אליו, אתה צריך רק להפעיל את גיבוי שרת Windows בתפריט הוסף תפקידים ותכונות. גיבוי שרת Windows מציג ממשק משתמש גרפי חדש ומאפשר לך ליצור גיבויים תוספים באמצעות VSS. הנתונים שנגבו מורשים בקובץ VHD – פורמט הקובץ אותו משתמשים בו ב־Microsoft Hyper-V. בנוסף, אפשר להרכיב דיסקים VHD כאלה למכונה וירטואלית או למכונה פיזית ולגשת אל הנתונים שנגבו. שים לב שבניגוד ל־VHD שנוצר על ידי MVMC (ממיר מכונה וירטואלית של מיקרוסופט), הדיסק VHD במקרה זה אינו ניתן להפעלה. אפשר לגבות את כל הנפח או רק את מצב המערכת באמצעות פקודת wbadmin start systemstatebackup. לדוגמה:

wbadmin start systemstatebackup –backuptarget:E:

יש לבחור מטרת גיבוי שונה מהנפח ממנו מגבים את הנתונים, ואחת שאינה תיק גיבוי משותף.

כאשר הגיע הזמן לשחזור, עליך להפעיל את שרת הבקרת הדומיין במצב השחזור של שירותי הספרייה (Directory Services Restore Mode) על ידי לחיצה על F8 כדי לפתוח אפשרויות ההפעלה המתקדמות (כמו שתעשה כאשר נכנסים למצב מצב בטיחותי). לאחר מכן, עליך להשתמש בפקודת wbadmin get versions -backupTarget:path_to_backup machine:name_of_server כדי לבחור את הגיבוי המתאים ולהתחיל בשחזור הנתונים הנדרשים. ניתן גם להשתמש ב-NTDSutil כדי לנהל אובייקטים ספציפיים במסד הנתונים הפעיל של Active Directory בשורת הפקודה במהלך השחזור.

יתרונות השימוש בגיבוי של Windows Server לגיבוי של Active Directory כוללים זמינות כלכלית, יכולת VSS ואפשרות לגבות את המערכת כולה או רק רכיבי Active Directory בלבד.

החסרונות כוללים את הצורך להיות בעלי המיומנויות והידע המתאימים כדי להגדיר תהליך גיבוי ושחזור.

מנהל ההגנה על נתונים של מרכז המערכת

מיקרוסופט ממליצה להשתמש ב-מנהל ההגנה על נתונים של מרכז המערכת (SC DPM) לגיבוי נתונים כולל Active Directory בתשתיות המבוססות על Windows. SC DPM הוא פתרון מרכזי לגיבוי ושחזור אשר חלק ממערכת המרכז וניתן להשתמש בו כדי להגן על שרתי Windows הכוללים שירותים כמו Active Directory. להבדיל מהגיבוי המובנה בחינם של Windows Server, SC DPM הוא תוכנה בתשלום שחייבת להתקין בנפרד כפתרון מורכב. התקנה עשויה להיראות קצת מאתגרת יותר בהשוואה לגיבוי המובנה ב- Windows Server. באמת, עליך להתקין אג'נט גיבוי כדי לוודא שהמכונה שלך מוגנת באופן מלא.

התכונות העיקריות של מנהל הגנת הנתונים של מרכז המערכות הם קשורות לגיבוי של Active Directory:

  • תמיכה ב־VSS
  • גיבוי בהקפאה
  • גיבוי לענן Microsoft Azure
  • אין שחזור אובייקט מפורט עבור Active Directory

שימוש ב־SC DPM הוא הכי מעשי כאשר יש צורך להגן על מספר גבוה של מחשבים Windows כולל שרתי MS Exchange ו־MS SWL.

גיבוי של שלט התחום הווירטואלי

שיטות הגיבוי הטבעיות ל־Active Directory שמופיעות ברשימה יכולות לשמש לגיבוי של שרתי Active Directory שמוצגים על שרתים פיזיים ומכונות וירטואליות כאחד. הפעלת שלטי התחום במכונות וירטואליות מציעה סט של יתרונות במיוחד למכונות וירטואליות כמו גיבוי ברמת המארח, היכולת לשחזר כמו מכונות וירטואליות הרצות על שרתים פיזיים שונים וכו׳. שיטות הגיבוי הטובות ביותר ל־Active Directory ממליצות להשתמש בפתרונות גיבוי ברמת המארח כאשר מבצעים גיבויים של שלטי התחום של Active Directory הרצים על מכונות וירטואליות ברמת ההפסקה.

מסקנה

ה־Active Directory מסווגת כאחת מהיישומים העסקיים הכריעיים ביותר שהפרעה בהם יכולה לגרום לעצירת שירותים ומשתמשים. פוסט הבלוג של היום הסביר את שיטות הגיבוי הטובות ביותר ל־Active Directory כדי לעזור לך להגן על התשתית שלך מפני כשלי AD. בחירת הפתרון לגיבוי היא המסר החשוב של נושא זה.

NAKIVO Backup & Replication הוא תוכנת גיבוי ברמת המארח עבור VMware ו־Hyper-V VMs שרצים על שלטון של שרתי הכוח הפועל. הפתרון הזה מאפשר לך לגבות כל תחום של VMs של שרתי רשות, גם אם ה VM נמצא במצב ריצה תוך שמירה על תודעת היישום (VSS משמש) ומספק שחזור אובייקטים מידי AD. לא נדרשים סוכנים.
NAKIVO Backup & Replication תומך בשחזור גרנולרי של Active Directory, כתוצאה ממנו ניתן לשחזר אובייקטי AD ותכולות מסוימות בלי לבזבז את הזמן הדרוש לשחזור של VM מלא. כמובן, גם שחזור מלא של תחום השליטה של VM נתמך.

Source:
https://www.nakivo.com/blog/active-directory-backup-best-practices/