Beste praktijken voor het maken van een back-up van Active Directory

Active Directory is een breed bekende service voor gecentraliseerd beheer en gebruikersauthenticatie in op Windows gebaseerde omgevingen. Beheerders kunnen computers die aan het domein zijn toegevoegd centraal beheren, wat handig is en tijdbesparend voor grote en gedistribueerde infrastructuren. MS SQL en MS Exchange vereisen meestal Active Directory. Als de Active Directory Domain Controller (AD DC) niet beschikbaar is, kunnen gerelateerde gebruikers niet inloggen en kunnen systemen niet goed functioneren, wat problemen kan veroorzaken in uw omgeving. Daarom is het belangrijk om uw Active Directory te back-uppen.

Deze blogpost legt de beste praktijken voor het maken van een back-up van Active Directory uit, inclusief effectieve methoden en tools.

Werkingsprincipe van Active Directory

Active Directory is een beheersysteem dat bestaat uit een database waarin de individuele objecten en transactielogs worden opgeslagen. De database is verdeeld in verschillende secties die verschillende soorten informatie bevatten – een schema-partitie (die het ontwerp van de AD-database bepaalt, inclusief objectklassen en hun attributen), een configuratiepartitie (informatie over de AD-structuur) en een domeinnamencontext (gebruikers, groepen, printerobjecten). De Active Directory-database heeft een hiërarchische boomachtige structuur. Het bestand Ntds.dit wordt gebruikt om de AD-database op te slaan.

Active Directory maakt gebruik van de LDAP- en Kerberos-protocollen voor zijn functie over het netwerk. LDAP (Lightweight Directory Access Protocol) is een open cross-platformprotocol dat wordt gebruikt voor toegang tot directories (zoals Active Directory), die ook toegang heeft tot directoryservices-authenticatie door gebruikersnaam en wachtwoord te gebruiken. Kerberos is een veilig authenticatie- en single sign-on-protocol dat gebruikmaakt van cryptografie met geheime sleutels. Gebruikersnamen en wachtwoorden die worden gecontroleerd door de Kerberos-authenticatieserver, worden opgeslagen in het LDAP-directory (in geval van gebruik van Active Directory).

Active Directory is nauw geïntegreerd met de DNS-server, Windows-beschermde systeembestanden, het systeemregister van een domeincontroller, evenals de Sysvol-directory, COM+ Class Registration Database en cluster-service-informatie. Een dergelijke integratie heeft directe invloed op de Active Directory-back-upstrategie.

Welke gegevens moeten worden back-upt?

Volgens de vorige sectie moet je een kopie maken van niet alleen Ntds.dit, maar ook alle componenten die zijn geïntegreerd met Active Directory. De lijst van alle componenten die integrale onderdelen zijn van het domeincontrollersysteem is als volgt:

• Active Directory-domeindiensten
• Domeincontrollersysteemregister
• Sysvol directory
• COM+ class-registratiedatabase
• DNS-zone-informatie geïntegreerd met Active Directory
• Systeembestanden en opstartbestanden
• Cluster-service-informatie
• Certificaatdienstendatabase (indien uw domeincontroller een certificaatdienstserver is)
• IIS-metafolders (indien Microsoft Internet Information Services zijn geïnstalleerd op uw domeincontroller)

Algemene aanbevelingen voor het maken van een AD-back-up

Laten we eens kijken naar enkele algemene aanbevelingen voor het maken van een back-up van Active Directory.

Er moet op zijn minst één domeincontroller in een domein worden geback-upt

Het is vanzelfsprekend dat als u slechts één domeincontroller in uw infrastructuur heeft, u deze DC moet back-uppen. Als u meer dan één domeincontroller heeft, moet u er minstens één back-uppen. U moet de domeincontroller back-uppen waarop FSMO (Flexible Single Master Operation) rollen zijn geïnstalleerd. Als u alle domeincontrollers bent kwijtgeraakt, kunt u een primaire domeincontroller (met FSMO-rollen) herstellen en een nieuwe secundaire domeincontroller implementeren, waarbij wijzigingen van de primaire DC naar de secundaire DC worden gerepliceerd.

Neem uw Active Directory back-up op in uw noodherstelplan

Stel uw rampenherstel (DR) plan op met meerdere scenario’s voor het herstellen van uw infrastructuur terwijl u zich voorbereidt op hypothetische rampen. De beste praktijk is om een grondig DR-plan te maken voordat er zich een ramp voordoet. Let goed op de herstelvolgorde. Houd er rekening mee dat een domeincontroller moet worden hersteld voordat u andere machines met services gerelateerd aan de Active Directory kunt herstellen, aangezien ze zonder de AD DC nutteloos kunnen worden. Het maken van een werkbaar rampenherstelplan dat rekening houdt met de afhankelijkheden van verschillende services die op verschillende machines draaien, garandeert u een succesvol herstel. U kunt uw domeincontroller back-uppen naar een lokale site, externe site of cloud. Onder de beste praktijken van Active Directory-back-up valt het hebben van meer dan één kopie van uw domeincontroller volgens de 3-2-1 back-upregel.

Maak regelmatig een back-up van Active Directory

U moet uw Active Directory regelmatig back-uppen met een interval dat niet langer is dan 60 dagen. AD-services veronderstellen dat de leeftijd van de Active Directory-back-up niet meer kan zijn dan de levensduur van AD-tombstone-objecten, die standaard 60 dagen is. Dit komt doordat de Active Directory de tombstone-objecten gebruikt wanneer objecten moeten worden verwijderd. Wanneer een AD-object wordt verwijderd (het merendeel van de attributen van dat object wordt verwijderd), wordt het gemarkeerd als het tombstone-object en wordt het fysiek niet verwijderd totdat de levensduur van het tombstone-periode verstrijkt.

Als er meerdere domeincontrollers in uw infrastructuur zijn en de Active Directory-replicatie is ingeschakeld, wordt het grafzerkobject gekopieerd naar elke domeincontroller totdat de levensduur van het grafzerk verloopt. Als u een van uw domeincontrollers herstelt van een back-up die ouder is dan de levensduur van het grafzerk, zult u inconsistente informatie tegenkomen tussen de Active Directory-domeincontrollers. De herstelde domeincontroller zou in dit geval informatie hebben over objecten die niet meer bestaan. Dit kan dienovereenkomstig fouten veroorzaken.

Als u na het maken van een back-up stuurprogramma’s of toepassingen op uw domeincontroller heeft geïnstalleerd, zullen deze niet functioneel zijn na het herstellen van de genoemde back-up, omdat de systeemstatus (inclusief register) wordt hersteld naar een eerdere toestand. Dit is slechts nog een reden om de Active Directory vaker te back-uppen dan eens per 60 dagen. We raden ten zeerste aan om de Active Directory-domeincontroller elke nacht te back-uppen.

Gebruik software die zorgt voor gegevensconsistentie

Net als bij elke andere database moet de Active Directory-database worden geback-upt op een manier die zorgt voor behoud van databaseconsistentie. De consistentie kan het best worden behouden als u de AD DC-gegevens back-upt wanneer de server is uitgeschakeld of wanneer de Microsoft Volume Shadow Copy Service (VSS) wordt gebruikt op een draaiende machine. Het back-uppen van de Active Directory-server in een uitgeschakelde toestand is misschien geen goed idee als de server in 24/7-modus werkt.

Actieve Directory back-up best practices adviseren om VSS-compatibele back-up applicaties te gebruiken om een server met Active Directory te back-uppen. VSS writers creëren een momentopname die de systeemstatus bevriest totdat de back-up voltooid is om te voorkomen dat actieve bestanden die door Active Directory worden gebruikt, tijdens het back-upproces worden gewijzigd.

Gebruik back-up oplossingen die granulaire herstel bieden

Als het gaat om het herstellen van een Active Directory, kunt u de hele server met Active Directory en al zijn objecten herstellen. Een volledig herstel kan een aanzienlijke hoeveelheid tijd in beslag nemen, vooral als uw AD-database aanzienlijk groot is. Als sommige Active Directory-objecten per ongeluk worden verwijderd, wilt u mogelijk alleen die objecten herstellen en niets anders. De best practices voor Active Directory-back-up adviseren het gebruik van back-upmethoden en -applicaties die granulair herstel kunnen uitvoeren, d.w.z. alleen bepaalde Active Directory-objecten herstellen vanuit een back-up. Dit stelt u in staat de hersteltijd te beperken.

Natuurlijke Active Directory back-up methoden

Microsoft heeft een reeks native tools ontwikkeld voor het maken van back-ups van Windows Servers, inclusief servers die Active Directory-domeincontrollers uitvoeren.

Windows Server Backup

Windows Server Backup is een hulpprogramma dat door Microsoft wordt geleverd bij Windows Server 2008 en latere versies van Windows Server, ter vervanging van het hulpprogramma NTBackup dat was ingebouwd in Windows Server 2003. Om er toegang toe te krijgen, hoeft u alleen maar Windows Server Backup in het menu Rollen en functies toevoegen in te schakelen. Windows Server Backup heeft een nieuwe grafische gebruikersinterface (GUI) en stelt u in staat incrementele back-ups te maken door gebruik te maken van VSS. De geback-upte gegevens worden opgeslagen in een VHD-bestand – hetzelfde bestandsformaat dat wordt gebruikt voor Microsoft Hyper-V. U kunt dergelijke VHD-schijven koppelen aan een virtuele machine of aan een fysieke machine en toegang krijgen tot de geback-upte gegevens. Let op hoe, in tegenstelling tot de VHD die is gemaakt door MVMC (Microsoft Virtual Machine Converter), het VHD-image in dit geval niet opstartbaar is. U kunt het volledige volume of alleen de systeemstatus back-uppen door gebruik te maken van het commando wbadmin start systemstatebackup. Bijvoorbeeld:

wbadmin start systemstatebackup -backuptarget:E:

U moet een back-uptarget selecteren dat verschilt van het volume waarvan u de gegevens back-upt, en een die geen externe gedeelde map is.

Wanneer het tijd is om te herstellen, moet u de domeincontroller opstarten in Directory Services Restore Mode (DSRM) door op F8 te drukken om geavanceerde opstartopties te openen (net zoals u zou doen bij het invoeren van de Veilige Modus). Vervolgens moet u het wbadmin get versions -backupTarget:path_to_backup machine:name_of_server commando gebruiken om de juiste back-up te selecteren en het benodigde gegevens te herstellen. U kunt ook NTDSutil gebruiken om specifieke Active Directory-objecten te beheren in de opdrachtregel tijdens het herstel.

De voordelen van het gebruik van Windows Server-back-up voor het maken van een back-up van Active Directory zijn betaalbaarheid, VSS-mogelijkheid en de mogelijkheid om het hele systeem of alleen Active Directory-onderdelen te back-uppen.

Nadelen zijn onder meer de noodzaak om over de juiste vaardigheden en kennisbasis te beschikken om een back-up- en herstelproces te configureren.

System Center Data Protection Manager

Microsoft raadt aan om de System Center Data Protection Manager (SC DPM) te gebruiken voor het maken van back-ups van gegevens, waaronder Active Directory, in Windows-gebaseerde infrastructuur. SC DPM is een centrale back-up- en hersteloplossing van enterprise-kwaliteit die deel uitmaakt van de System Center Suite en kan worden gebruikt om de Windows Server te beschermen, inclusief services zoals Active Directory. In tegenstelling tot de gratis ingebouwde Windows Server-back-up is SC DPM betaalde software die afzonderlijk als een complexe oplossing moet worden geïmplementeerd. De installatie kan enigszins uitdagend lijken in vergelijking met Windows Server Backup. In feite moet er een back-upagent worden geïnstalleerd om ervoor te zorgen dat uw machine volledig is beschermd.

De belangrijkste functies van System Center Data Protection Manager met betrekking tot Active Directory-back-up zijn:

• ondersteuning van VSS
• incrementele back-up
• back-up naar Microsoft Azure-cloud
• geen herstel van granulaire objecten voor Active Directory

Het gebruik van SC DPM is het meest praktisch wanneer u een groot aantal Windows-machines moet beschermen, inclusief MS Exchange- en MS SQL-servers.

Het back-uppen van de virtuele domeincontroller

De vermelde native Active Directory-back-upmethoden kunnen worden gebruikt voor het back-uppen van Active Directory-servers die zijn geïmplementeerd op zowel fysieke servers als virtuele machines. Het uitvoeren van domeincontrollers op virtuele machines biedt een reeks voordelen, specifiek voor VM’s, zoals back-up op hostniveau, de mogelijkheid om te worden hersteld als VM’s die op verschillende fysieke servers draaien, enzovoort. Beste praktijken voor Active Directory-back-up raden aan om hostniveau-back-upoplossingen te gebruiken bij het maken van back-ups van uw Active Directory-domeincontrollers die op virtuele machines draaien op hypervisorniveau.

Conclusie

Active Directory wordt geclassificeerd als een van de meest bedrijfskritieke toepassingen waarvan onderbrekingen downtime voor gebruikers en services kunnen veroorzaken. Het blogbericht van vandaag legde de beste praktijken voor Active Directory-back-up uit om u te helpen uw infrastructuur te beschermen tegen AD-storingen. Het selecteren van de juiste back-upoplossing is het belangrijkste leerpunt in dit geval.

NAKIVO Backup & Replication is een host-level back-upsoftware voor VMware en Hyper-V VM’s die draaien als Active Directory Domain Controller. Deze oplossing stelt u in staat om volledige domeincontroller-VM’s te back-uppen, zelfs als de VM in een actieve staat is, met respect voor de toepassingsbewustheid (VSS wordt gebruikt) en het bieden van directe herstel van AD-objecten. Er zijn geen agenten nodig. NAKIVO Backup & Replication ondersteunt gedetailleerd herstel van Active Directory, waardoor u specifieke AD-objecten en containers kunt herstellen zonder de tijd te hoeven besteden die nodig is voor een volledig VM-herstel. Natuurlijk wordt ook volledig herstel van de domeincontroller-VM ondersteund.