Active Directory è un servizio ampiamente conosciuto per la gestione centralizzata e l’autenticazione degli utenti negli ambienti basati su Windows. Gli amministratori possono gestire i computer aggiunti al dominio in modo centralizzato, il che è comodo e risparmia tempo per infrastrutture grandi e distribuite. MS SQL e MS Exchange di solito richiedono Active Directory. Se il controller di dominio di Active Directory (AD DC) diventa non disponibile, gli utenti correlati non possono accedere e i sistemi non possono funzionare correttamente, il che può causare problemi nel tuo ambiente. Ecco perché è importante fare il backup del tuo Active Directory.
Questo post del blog spiega le migliori pratiche di backup di Active Directory, inclusi metodi e strumenti efficaci.
Principio di funzionamento di Active Directory
Active Directory è un sistema di gestione che consiste in un database dove sono memorizzati gli oggetti individuali e i log delle transazioni. Il database è diviso in diverse sezioni che contengono diversi tipi di informazioni – una partizione dello schema (che determina il design del database AD inclusi le classi degli oggetti e i loro attributi), partizione di configurazione (informazioni sulla struttura AD) e contesto dei nomi di dominio (utenti, gruppi, oggetti stampante). Il database di Active Directory ha una struttura gerarchica simile a un albero. Il file Ntds.dit è utilizzato per memorizzare il database AD.
Active Directory utilizza i protocolli LDAP e Kerberos per la sua funzione sulla rete. LDAP (Lightweight Directory Access Protocol) è un protocollo aperto multipiattaforma utilizzato per accedere a directory (come Active Directory) che consente anche l’autenticazione dei servizi di directory utilizzando il nome utente e la password. Kerberos è un protocollo di autenticazione sicuro e di single sign-on che utilizza la crittografia a chiave segreta. I nomi utente e le password verificate dal server di autenticazione Kerberos sono memorizzati nella directory LDAP (nel caso di utilizzo di Active Directory).
Active Directory è strettamente integrato con il server DNS, i file di sistema protetti di Windows, il Registro di sistema di un controller di dominio, nonché la directory Sysvol, il database di registrazione delle classi COM+ e le informazioni sul servizio di cluster. Tale integrazione ha un’influenza diretta sulla strategia di backup di Active Directory.
Quali dati devono essere salvati?
Secondo la sezione precedente, è necessario effettuare una copia non solo di Ntds.dit, ma di tutti i componenti integrati con Active Directory. L’elenco di tutti i componenti che sono parti integranti del sistema del controller di dominio è il seguente:
- Active Directory Domain Services
- Registro di sistema del sistema del controller di dominio
- Directory Sysvol
- Database di registrazione delle classi COM+
- Informazioni sulla zona DNS integrate con Active Directory
- File di sistema e file di avvio
- Informazioni sul servizio di cluster
- Database dei servizi di certificazione (se il controller di dominio è un server di servizi di certificazione)
- Cartelle meta di IIS (se Microsoft Internet Information Services sono installati sul tuo controller di dominio)
Raccomandazioni generali per il backup di AD
Diamo uno sguardo ad alcune raccomandazioni generali per il backup di Active Directory.
Almeno un controller di dominio in un dominio deve essere eseguito il backup
È ovvio che se hai solo un controller di dominio nella tua infrastruttura, dovresti eseguire il backup di questo DC. Se hai più di un controller di dominio, dovresti eseguire il backup di almeno uno di essi. Dovresti eseguire il backup del controller di dominio che ha i ruoli FSMO (Flexible Single Master Operation) installati. Se hai perso tutti i controller di dominio, puoi ripristinare un controller di dominio primario (che contiene i ruoli FSMO) e distribuire un nuovo controller di dominio secondario, replicando le modifiche dal DC primario al DC secondario.
Includi il backup del tuo Active Directory nel tuo piano di ripristino da disastro
Comporre il piano di ripristino da disastro (DR) con diversi scenari per recuperare la propria infrastruttura mentre si prepara per disastri ipotetici. La pratica migliore è creare un piano DR completo prima che il disastro si verifichi. Prestare particolare attenzione alla sequenza di ripristino. Tenere presente che un controller di dominio deve essere ripristinato prima di poter recuperare altre macchine con servizi correlati all’Active Directory poiché potrebbero diventare inutilizzabili senza l’AD DC. Creare un piano di ripristino da disastro funzionante che tenga conto delle dipendenze dei diversi servizi in esecuzione su macchine diverse garantisce un ripristino di successo. È possibile eseguire il backup del controller di dominio in un sito locale, remoto o cloud. Tra le migliori pratiche di backup di Active Directory c’è quella di avere più di una copia del proprio controller di dominio secondo la regola di backup 3-2-1.
Eseguire il backup di Active Directory regolarmente
Si dovrebbe eseguire il backup di Active Directory regolarmente con un intervallo che non superi i 60 giorni. I servizi AD presumono che l’età del backup di Active Directory non possa essere superiore alla durata di vita degli oggetti tombstone di AD, che per impostazione predefinita è di 60 giorni. Questo perché l’Active Directory utilizza gli oggetti tombstone quando gli oggetti devono essere eliminati. Quando un oggetto AD viene eliminato (la maggior parte degli attributi di detto oggetto viene eliminata), viene contrassegnato come oggetto tombstone e non viene eliminato fisicamente fino a quando non scade il periodo di durata dell’oggetto tombstone.
Se ci sono più controller di dominio nella tua infrastruttura e la replica di Active Directory è abilitata, l’oggetto tombstone viene copiato su ogni controller di dominio fino alla scadenza della durata di conservazione degli oggetti tombstone. Se ripristini uno dei tuoi controller di dominio da un backup con un’età superiore alla durata di conservazione degli oggetti tombstone, incontrerai informazioni inconsistenti tra i controller di dominio di Active Directory. Il controller di dominio ripristinato avrà informazioni sugli oggetti che non esistono più in questo caso. Ciò può causare errori di conseguenza.
Se hai installato driver o applicazioni sul tuo controller di dominio dopo aver eseguito un backup, non saranno funzionali dopo il ripristino da detto backup poiché lo stato del sistema (compreso il registro) verrà ripristinato a uno stato precedente. Questo è solo un altro motivo per eseguire il backup di Active Directory più frequentemente di una volta ogni 60 giorni. Ti consigliamo vivamente di eseguire il backup del controller di dominio di Active Directory ogni notte.
Utilizza un software che garantisca la coerenza dei dati
Come per qualsiasi altro database, il database di Active Directory deve essere eseguito il backup in modo che la coerenza del database sia preservata. La coerenza può essere preservata al meglio se si esegue il backup dei dati AD DC quando il server è spento o quando viene utilizzato il servizio Microsoft Volume Shadow Copy Service (VSS) su una macchina in esecuzione. Eseguire il backup del server di Active Directory in uno stato spento potrebbe non essere una buona idea se il server è in modalità 24/7.
Le migliori pratiche per il backup di Active Directory raccomandano di utilizzare applicazioni di backup compatibili con VSS per eseguire il backup di un server in esecuzione di Active Directory. Gli scrittori VSS creano uno snapshot che congela lo stato del sistema fino al completamento del backup per evitare la modifica dei file attivi utilizzati da Active Directory durante il processo di backup.
Utilizzare soluzioni di backup che forniscono il ripristino granulare
Quando si tratta di ripristinare un Active Directory, è possibile ripristinare l’intero server con Active Directory e tutti i suoi oggetti. Eseguire un ripristino completo può richiedere un tempo significativo, specialmente se il database AD è di dimensioni considerevoli. Se alcuni oggetti di Active Directory vengono eliminati accidentalmente, è possibile ripristinare solo quegli oggetti e nient’altro. Le migliori pratiche per il backup di Active Directory raccomandano di utilizzare metodi e applicazioni di backup in grado di eseguire il ripristino granulare, ovvero ripristinare solo particolari oggetti di Active Directory da un backup. Ciò consente di limitare il tempo trascorso nel ripristino.
Metodi di backup nativi di Active Directory
Microsoft ha sviluppato una serie di strumenti nativi per il backup dei server Windows, inclusi i server che eseguono controller di dominio di Active Directory.
Backup del Server Windows
Il Backup di Windows Server è un’utilità fornita da Microsoft con Windows Server 2008 e le versioni successive di Windows Server che ha sostituito l’utilità NTBackup integrata in Windows Server 2003. Per accedervi, è sufficiente abilitare il Backup di Windows Server nel menu Aggiungi Ruoli e Funzionalità. Il Backup di Windows Server presenta una nuova GUI (interfaccia utente grafica) e consente di creare backup incrementali utilizzando VSS. I dati di backup vengono salvati in un file VHD, lo stesso formato di file utilizzato per Microsoft Hyper-V. È possibile montare tali dischi VHD su una macchina virtuale o su una macchina fisica e accedere ai dati di backup. Notare come, a differenza del VHD creato da MVMC (Microsoft Virtual Machine Converter), l’immagine VHD non è avviabile in questo caso. È possibile eseguire il backup dell’intero volume o solo dello stato di sistema utilizzando il comando wbadmin start systemstatebackup. Ad esempio:
wbadmin start systemstatebackup –backuptarget:E:
È consigliabile selezionare un target di backup diverso dal volume da cui si stanno eseguendo il backup dei dati e che non sia una cartella condivisa remota.
Quando è il momento di recuperare, dovresti avviare il controller di dominio in Modalità Ripristino dei servizi di directory (DSRM) premendo F8 per aprire le opzioni di avvio avanzate (come faresti quando entri in Modalità provvisoria). Quindi dovresti utilizzare il comando wbadmin get versions -backupTarget:percorso_del_backup nome_macchina:nome_del_server per selezionare il backup appropriato e iniziare a ripristinare i dati necessari. Puoi anche utilizzare NTDSutil per gestire particolari oggetti dell’Active Directory dalla riga di comando durante il ripristino.
I vantaggi dell’utilizzo del backup di Windows Server per il backup dell’Active Directory sono l’accessibilità, la capacità VSS e la possibilità di eseguire il backup dell’intero sistema o solo dei componenti dell’Active Directory.
Gli svantaggi includono la necessità di possedere le competenze appropriate e la base di conoscenza per configurare un processo di backup e ripristino.
System Center Data Protection Manager
Microsoft consiglia di utilizzare il System Center Data Protection Manager (SC DPM) per eseguire il backup dei dati, inclusi quelli dell’Active Directory, nell’infrastruttura basata su Windows. SC DPM è una soluzione centralizzata di backup e ripristino di grado enterprise che fa parte della suite System Center e può essere utilizzata per proteggere il Windows Server che include servizi come l’Active Directory. A differenza del backup integrato gratuito di Windows Server, SC DPM è un software a pagamento che deve essere implementato separatamente come soluzione complessa. L’installazione potrebbe sembrare un po’ impegnativa se confrontata con il backup di Windows Server. Infatti, è necessario installare un agente di backup per garantire che la tua macchina sia completamente protetta.
Le principali caratteristiche del System Center Data Protection Manager relative al backup di Active Directory sono:
- Supporto VSS
- Backup incrementale
- Backup su cloud Microsoft Azure
- Nessun ripristino granulare degli oggetti per Active Directory
Utilizzare SC DPM è più pratico quando è necessario proteggere un elevato numero di macchine Windows, inclusi server MS Exchange e MS SQL.
Backup del controller di dominio virtuale
I metodi di backup nativi elencati per Active Directory possono essere utilizzati per il backup dei server Active Directory distribuiti sia su server fisici che su macchine virtuali. Eseguire controller di dominio su macchine virtuali offre un insieme di vantaggi specifici per le VM, come il backup a livello di host, la possibilità di essere ripristinati come VM in esecuzione su diversi server fisici, ecc. Le migliori pratiche per il backup di Active Directory consigliano di utilizzare soluzioni di backup a livello di host quando si effettuano backup dei controller di dominio Active Directory in esecuzione su macchine virtuali a livello di hypervisor.
Conclusione
L’Active Directory è classificato come una delle applicazioni più critiche per le attività commerciali, la cui interruzione può causare tempi di inattività per gli utenti e i servizi. Il post odierno sul blog ha spiegato le migliori pratiche per il backup di Active Directory per aiutarti a proteggere la tua infrastruttura contro i guasti di AD. La selezione della soluzione di backup giusta è il punto importante da tenere a mente in questo caso.
NAKIVO Backup & Replication è un software di backup a livello di host per VM VMware e Hyper-V che eseguono Active Directory Domain Controller. Questa soluzione consente di eseguire il backup di intere VM di controller di dominio, anche se la VM è in esecuzione, rispettando la consapevolezza delle applicazioni (VSS viene utilizzato) e fornendo al contempo il recupero immediato degli oggetti AD. Nessun agente è necessario. NAKIVO Backup & Replication supporta il recupero granulare di Active Directory, che consente di recuperare oggetti e contenitori AD specifici senza dover impiegare il tempo necessario per eseguire il recupero completo di una VM. Naturalmente, è supportato anche il recupero completo della VM del controller di dominio.
Source:
https://www.nakivo.com/blog/active-directory-backup-best-practices/