אסטרטגיות גיבוי של Active Directory וכלי (שיטות מומלצות)

מדריכים

ת strategies ו tools (Best Practices) ל-Active Directory עומד כאבן יסודית של התעשייה הטכנולוגית של הארגון, מעורב בפעולה כפולה של שירותים חשובים כמו האימות ו-DNS. התקופה הזו של השירותים האלה הווה חשובה מאוד לבריאות העסק ולחשובות על האימונים של Active Directory כמו חלק מאוד חשוב מתحת השירותים של IT. כדי להבטיח את פעולתו הללא הפרעות, חייבים הארגונים לספק את תקצירי גישה ושחרור לאסונים מקיפים ולבחור בכלים המתאימים.

המאמר הזה נכנס לפרטים על הרכבים החשובים של גישה ושחרור לאסונים של Active Directory. מתוכנן ועד בחירת כלים נכונים והפעלה של אבחנות, נחקר את החלקים העיקרים של שמירת נתונים של שירות זה החשוב.

גם לקראת הferences בין Active Directory Forest ל-Domain – What’s

Strategy לגישה ל-Active Directory

מה לגשת ב-Active Directory

הדבר הראשון הוא להבחין מה שיש לגשת. באופן כללי, אם יש לך שרת מכונה מסוים (שלא מומלץ), עליך לבצע גישה מלאה של השרת. כדי להיות בטוח שאתה יכול לבצע החלמה מתוכנת ריקה, אם זה נצטרך.

במקרה של מספר מכונות מכשירי ניהול, השקפה כד follows:

  • גיבוי של מצב המערכת (רכיבים קריטיים של המערכת, כמו רשומות, תיקיית SYSVOL ובסיס נתוני ספריית הפעילות) הוא מספיק.
  • גיבוי של שרת אחד בלבד בכל אתר פיזי הוא מספיק, מכיוון שהם מתאפשרים וכולם מכילים את אותה מידע.
  • בסביבה רב-תחומית, יש לגבות לפחות שרת אחד ממנהל התחום מכל תחום ביער שלך.

לדוגמה, בתרשים למטה יש תשתית של ספריית פעילות עם 2 אתרים פיזיים ו-2 דומיינים – דומיין השורש domain.local ודומיין משנה child.domain.local.

כאן אנו גובים שלושה שרתי ניהול – שניים מ-domain.local, מכיוון שהם ממוקמים בשני אתרים, ושרת אחד מ-child.domain.local.

כמה פעמים לעשות גיבוי

ההחלטה הזו תלויה במטרת נקודת השחזור שלך. אם תהיה קבלת סיכונים לאבד את השינויים שנכתבו בשרת מנהל התחום במשך יום אחד, גיבוי יומי יעבוד היטב. יש גם צורך לזהות את סוגי הגיבוי הנדרשים. כמה פעמים לעשות גיבוי מלא וגיבויים חלקיים? התקובלת ביותר היא לעשות גיבוי מלא פעם בשבוע וגיבויים חלקיים יומיים.

קרא גם נסה את כלי InfraSOS לדיווחי ספריית הפעילות

כלים לגיבוי של ספריית הפעילות לעימוד

בדרך כלל, מערכות שמועתקות בין שרתים מרובים, כמו Active Directory, אינן תומכות בנסיעה בזמן. זה אומר שכאשר מכונת הווירטואלית של בקר הדומיין נופלת, אין באפשרותך לשחזרה פשוט מצילום מסך ולהחזירה לפעילות. לכל בקר דומיין יש מספר מזהה רצף לעדכון (USN) שמתרבה בכל פעם שפעולת שינוי חדשה נכתבת למסד הנתונים. לדוגמה, אם יש לך מספר בקרי דומיין, אחד מהם נכשל ושחזרת אותו באמצעות צילום מסך פשוט. ה USN שלו אינו נכון (מיושן, שווה לערך USN מהרגע שצולם צילום המסך) והשכפול נשבר (דוגמה מפורטת נוספת ניתן למצוא כאן). בנוסף, לכל אובייקט בתוך מסד הנתונים של AD יש גרסה משלו, שגם יש לקחת בחשבון במהלך פעולות גיבוי/שחזור. לכן, רק הכלים המבצעים שחזור עקבי יש להשתמש בהם לצורך גיבוי Active Directory. מאושר לנו כי יש כלים זמינים, הם כל כך מובנים בתוך ווינדוס סרבר ומסופקים על ידי ספקים צד שלישי.

יש לקחת בחשבון את הנושאים הבאים:

  • אפשרויות נדרשות – לדוגמה, אם מדיניות החברה שלך מחייבת ביצוע גיבויים מלאים ותוספים, יש לבחור בכלי המבצע גיבויים תוספים של Active Directory.
  • אחסון לגיבוי – אם ברצונך לאחסן גיבויים באמצעות אחסוני סרטים, יש לרכוש פתרון של ספק צד שלישי, מאחר וכלי בנוי לצורך גיבוי Windows Server אינו תומך בכתיבה לסרטים.
  • עבור השmukahan מתמטמטית של שחזור אובייקטים מActive Directory, בחר כלי שמאפשר שחזור של אובייקטים אחרים בלא צורך בשחזור של ה entire בסיס הנתונים. כמות סיס템י מכמוניים של כתובות של גירסאות של שלישיים מאפשרים שחזור של אובייקטים במספר לחיצות מסוימות, למשל, זה ו זה
  • עוגות – תעבד תמיד בחשבון. אם חברתך אינה מכ disposal לכלים של שלישיים, כלי גיבוי Windows Server Backup שבונדל במערכת הפעולה יכול לכסות הצורך ה基סי.

גם לקרוא כיצד להוסיף מנהל מערכת למערכת מסוימת

תeston של תהליך שחזור Active Directory

הכושר של השמירה הזמנית הוא לבדוק תמיד את תהליך השחזור. הסיטואציה שבה המהנדס המערכת מחשב שכל הכל בסדר עם גיבוים שלהם מאוחסנים מכיוון שהכלי השמירה לא מספק שגיאות מסוימות מספיק נפוץ. אז, כשהאסון המקורי מתרחש, נופל שהגיבוי המוסך אינו מתאים, והשחזור לא ניתן. כדי להבטיח שלא תייצג סיארות כאלו, זה חשוב לבדוק תהליך השחזור לפחות בכל שנה. הטיפולים הטובים הם:

  • ליצור תוכנית מוסדת ומdocumented של תהליך השחזור.
  • לקבל מערכת בדיקה בה אתה מבצע בדיקות שיקום רגילות.
  • לשמר את הסיסמאות של הנציגים במצב שיקום של שרתי הישרדות (DSRM) של כל הבקרים המקומיים באופן בטוח וזמין.
  • לבצע בדיקות שיקום רגילות בעזרת סיפורים שונים.

במקרה בו אין לך סיסמא לנציג בDSRM, מוטב להפעיל את הכלי NTDSutil ולשחזר אותה כפי שהוא תוך הצגה כאן, ולוודא שהיא נאחסנת במקום בטוח כדי להיות זמינה במקרה של אסון.

גם קראו DCDiag: איך לבדוק את בריאות הבקרים המקומיים בעזרת פאוארצ'ל

סיפורי שיקום למערכת הישרדות המקומית

סיפור 1. כשיש רק בקר אחד

אם יש לך רק בקר אחד, במקרה של כשלון שלו, קחי בחשבון את הדברים הבאים:

  • נחייה עצמתית נדרשת.
  • אצלוף שירות צפוי – לא כמו סיפורים אחרים, שיקום השרת במידה מהירה במידה מהירה כדי למצוא את ההשפעה המיינית.
  • ניזוף נתונים צפוי – כל השינויים שעשיתם לאובייקטים במערכת הישרדות מאז החסן האחרון יאבדו.

אנא הבніו נקמים נ>?רבים (כדי לה?שאיר את ה?ata הם?וספת) ואל ת?הססf עם יותר מספי? נקמים מס?וים (של כל אחד מהם יותר ת?קפי ה?סהרה לפי כמות ה?שמות המסוימים שלהם). ה?כנס ה?מו?חד ה?הב? הוא לב?נות נקמה כל לילה ולפחות נקמה מלאה כל שבוע.

ס?נאר?יו 2. כשל שרת ה?קב?לת ה?מערכת בא?נפ?כת שרתים מ?רבים

במ?ק?ר של שלושה שרתי קב?לת ה?מערכת או יותר, אם אחד מהם כשל, אין צו?רך לב?צע שחזור מתוכנית מה?רשמה. זה יותר פ?עולח להסיר שרת הכשלו ומ?ט?דתו מה?רשמה ול?צ?א שרת חדש עם שם וכתובת IP זהה.

  1. בדיקה אם השרת הכשלו הכי?ב כלים מסוימים (FSMO). אם כן, העבר את ה?ולות לשרת נתונים נתונים נתונים אחר באמצ?ע NTDSutil כאשר מו?פעל או PowerShell, כפי ש?מו?ראה ב articl
  2. הסיר שרת הכשלו ונ?קיין מט?דתו המ?ט?דת (ת?עודת ה?רשמה המסוימת נ?מצאת ב כאן)
  3. הטענת שרת חדש עם אותו השם וכתובת IP מומלצת לא לשנות את השם וכתובת IP כי שרתי הDOMAIN Controller נפעלים בקבוצה כדיי שרתי DNS.
  4. הקמת השרת החדש כשרת DOMAIN Controller.

גם לקראת הסרת (הפסיקה) מנהל מערכת מActive Directory (דליק)

סcenario 3. החזרה של אובייקט נמחק באמצעות Active Directory

אם אובייקט נמחק בטעות מהקטלוג, החזרה אותו מהbackup.

  1. השתמש בbackup כדי ליצור שרת החזרה של DOMAIN Controller.
  2. התחברות לשרת החזרה של DOMAIN Controller באמצעות סיסמת מנהל DSRM.
  3. ביצוע החזרה מקורה של האובייקט באמצעות כלי NTDSutil. המצב המוחזר של האובייקט מסוגל להיות מצב המעודכן ביותר על פי Active Directory והוא מופעל על כל שרתי DOMAIN Controller נוספים.
  4. אשתמשו בכלי Ldifde כדי לשחזר את חברות הקבוצה של העצם.

תיאור מפורט יותר נמצא במאמר זה.

גם קראוחמש הסקripטים הפעילים הכי אקטיביים במערך של אקטיבי דירקטורים (משתמשים / קבוצות)

אסטרטגיות וכלים לגיבוי הדירקטורים הפעילים והמושלמים (מבט סיום)

המאמר הזה תיאר את הרכיבים העיקריים של גיבוי ושיחזור הדירקטורים הפעילים, ומדגיש את חשיבות האסטרטגיה הנובעת מהיעדים המסויימים.

המסקנות העיקריות מכילות את צורך בזיהוי מה לגבי הגיבוי, כמה פעמים לערוך הגיבוי ואיזה כליים להשתמש בהם לפי דרישות האיחוד הייחודיות והתקציב של הארגון שלך. נאמר גם על בדיקת אסטרטגיות ועל המצבים המושלמים במטרה לוודא תהליך שיחזור מסודר וסביר.

לקחנו סקירה על תרחישים החל מכשל בקרת הדומיין היחידה ועד לשחזור אובייקטים שנמחקו בקשר ל-Active Directory. במאמר הבא, אנחנו מחקרים תרחישים של שחזור אסון מורכבים יותר, ומספקים לארגונים מדריך מקיף להגנה על תשתית ה-Active Directory שלהם. נשארו עםנו למאמר הבא, בו נעמוד במקום עמוק יותר בהגנה על הרכיב הזה הקריטי של טכנולוגיית הארגון.

Source:
https://infrasos.com/active-directory-backup-strategies-and-tools/