Лучшие практики резервного копирования Active Directory

Активный каталог широко известен как служба для централизованного управления и аутентификации пользователей в среде на основе Windows. Администраторы могут управлять компьютерами, добавленными в домен, централизованно, что удобно и экономит время для крупных и распределенных инфраструктур. MS SQL и MS Exchange обычно требуют Активного каталога. Если контроллер домена Active Directory (AD DC) становится недоступным, то связанные пользователи не могут войти в систему, и системы не могут функционировать должным образом, что может вызвать проблемы в вашей среде. Вот почему важно резервное копирование вашего Активного каталога.

В этом блоге объясняются лучшие практики резервного копирования Активного каталога, включая эффективные методы и инструменты.

Принцип работы Активного каталога

Активный каталог – это система управления, состоящая из базы данных, где хранятся отдельные объекты и журналы транзакций. База данных разделена на несколько разделов, которые содержат различные типы информации – раздел схемы (определяющий дизайн базы данных AD, включая классы объектов и их атрибуты), раздел конфигурации (информация о структуре AD) и контексты имен доменов (пользователи, группы, объекты принтеров). База данных Активного каталога имеет иерархическую структуру, похожую на древовидную. Файл Ntds.dit используется для хранения базы данных AD.

Активный каталог использует протоколы LDAP и Kerberos для своей работы в сети. LDAP (протокол Lightweight Directory Access Protocol) – это открытый кроссплатформенный протокол, используемый для доступа к каталогам (таким как Active Directory), который также имеет доступ к аутентификации службы каталогов с использованием имени пользователя и пароля. Kerberos – это защищенный протокол аутентификации и единичного входа в систему, который использует криптографию на основе секретного ключа. Имена пользователей и пароли, проверяемые аутентификационным сервером Kerberos, хранятся в каталоге LDAP (в случае использования Active Directory).

Активный каталог тесно интегрирован с сервером DNS, защищенными системными файлами Windows, системным реестром контроллера домена, а также каталогом Sysvol, базой данных регистрации классов COM+ и информацией о службе кластеризации. Такая интеграция непосредственно влияет на стратегию резервного копирования Active Directory.

Какие данные необходимо резервировать?

Согласно предыдущему разделу, вам необходимо сделать копию не только Ntds.dit, но и всех компонентов, интегрированных с Active Directory. Список всех компонентов, которые являются неотъемлемой частью системы контроллера домена, приведен ниже:

• Службы домена Active Directory
• Системный реестр контроллера домена
• Каталог Sysvol
• База данных регистрации классов COM+
• Информация о зоне DNS, интегрированная с Active Directory
• Системные файлы и файлы загрузки
• Информация о службе кластеризации
• База данных службы сертификации (если ваш контроллер домена является сервером службы сертификации)
• Папки метаданных IIS (если службы Microsoft Internet Information Services установлены на вашем контроллере домена)

Общие рекомендации по резервному копированию AD

Давайте рассмотрим несколько общих рекомендаций по резервному копированию Active Directory.

По крайней мере, один контроллер домена должен быть скопирован

Очевидно, что если у вас только один контроллер домена в вашей инфраструктуре, вы должны создать резервную копию этого контроллера. Если у вас есть более одного контроллера домена, вы должны создать резервную копию по крайней мере одного из них. Вы должны создать резервную копию контроллера домена, на котором установлены роли FSMO (Flexible Single Master Operation). Если вы потеряли все контроллеры домена, вы можете восстановить первичный контроллер домена (содержащий роли FSMO) и развернуть новый вторичный контроллер домена, реплицируя изменения с первичного контроллера домена на вторичный контроллер домена.

Включите вашу резервную копию Active Directory в ваш план восстановления после катастрофы

Составьте свой план восстановления после катастрофы (DR) с несколькими сценариями для восстановления вашей инфраструктуры, готовясь к гипотетическим бедствиям. Лучшая практика – создать тщательный план DR до наступления бедствия. Обратите особое внимание на последовательность восстановления. Имейте в виду, что контроллер домена должен быть восстановлен до того, как вы сможете восстановить другие машины с сервисами, связанными с Active Directory, так как они могут стать бесполезными без AD DC. Создание работоспособного плана восстановления после катастрофы, который учитывает зависимости различных сервисов, работающих на разных машинах, гарантирует успешное восстановление. Вы можете создать резервную копию контроллера домена на локальном сайте, удаленном сайте или в облаке. Среди лучших практик резервного копирования Active Directory – иметь более одной копии контроллера домена согласно правилу резервного копирования 3-2-1.

Регулярно создавайте резервные копии Active Directory

Вы должны регулярно создавать резервные копии вашего Active Directory с интервалом, не превышающим 60 дней. Сервисы AD предполагают, что возраст резервной копии Active Directory не может превышать срок жизни объектов могилы AD, который по умолчанию составляет 60 дней. Это потому, что Active Directory использует объекты могилы, когда объекты должны быть удалены. Когда объект AD удаляется (большая часть его атрибутов удаляется), он помечается как объект могилы и физически не удаляется, пока не истечет период жизни могилы.

Если в вашей инфраструктуре есть несколько контроллеров домена и включена репликация Active Directory, объект могилы копируется на каждый контроллер домена до истечения срока жизни могилы. Если вы восстанавливаете один из контроллеров домена из резервной копии, возраст которой превышает срок жизни могилы, вы столкнетесь с несогласованной информацией между контроллерами домена Active Directory. Восстановленный контроллер домена будет содержать информацию об объектах, которых уже не существует в этом случае. Это может вызвать ошибки соответственно.

Если вы установили какие-либо драйверы или приложения на контроллер домена после создания резервной копии, они не будут функционировать после восстановления из этой резервной копии, так как состояние системы (включая реестр) будет восстановлено до предыдущего состояния. Это еще одна причина делать резервные копии Active Directory чаще, чем раз в 60 дней. Мы настоятельно рекомендуем делать резервные копии контроллера домена Active Directory каждую ночь.

Используйте программное обеспечение, которое обеспечивает согласованность данных

Как и любая другая база данных, база данных Active Directory должна быть резервно скопирована таким образом, чтобы обеспечить сохранение согласованности базы данных. Согласованность можно лучше сохранить, если вы делаете резервное копирование данных AD DC, когда сервер выключен или когда используется служба теневого копирования томов Microsoft Volume Shadow Copy Service (VSS) на работающей машине. Резервное копирование сервера Active Directory в выключенном состоянии может быть не очень хорошей идеей, если сервер работает в режиме 24/7.

Рекомендации по резервному копированию Active Directory рекомендуют использовать приложения для резервного копирования, совместимые с VSS, для резервного копирования сервера, работающего под управлением Active Directory. Писатели VSS создают снимок, который замораживает состояние системы до завершения резервного копирования, чтобы предотвратить изменение активных файлов, используемых Active Directory во время процесса резервного копирования.

Используйте решения для резервного копирования, обеспечивающие детализированное восстановление

Когда речь идет о восстановлении Active Directory, вы можете восстановить весь сервер с Active Directory и всеми его объектами. Полное восстановление может занять значительное количество времени, особенно если ваша база данных AD имеет значительный размер. Если некоторые объекты Active Directory были случайно удалены, возможно, вы захотите восстановить только эти объекты и ничего больше. Рекомендации по резервному копированию Active Directory рекомендуют использовать методы и приложения для резервного копирования, которые могут выполнять детализированное восстановление, т. е. просто восстанавливать отдельные объекты Active Directory из резервной копии. Это позволяет сократить время, затраченное на восстановление.

Нативные методы резервного копирования Active Directory

Microsoft разработала серию встроенных инструментов для резервного копирования серверов Windows, включая серверы, работающие в качестве контроллеров доменов Active Directory.

Резервное копирование сервера Windows

Резервное копирование Windows Server – это утилита, предоставляемая Microsoft с Windows Server 2008 и последующими версиями Windows Server, которая заменила утилиту NTBackup, встроенную в Windows Server 2003. Чтобы получить к ней доступ, вам просто нужно включить Резервное копирование Windows Server в меню Добавить роли и функции. Резервное копирование Windows Server имеет новый графический интерфейс пользователя (GUI) и позволяет создавать инкрементальные резервные копии с использованием VSS. Резервируемые данные сохраняются в файле VHD – том же формате файла, используемом для Microsoft Hyper-V. Вы можете подключить такие диски VHD к виртуальной машине или к физической машине и получить доступ к резервным копиям данных. Обратите внимание, что, в отличие от VHD, созданного MVMC (Конвертер виртуальных машин Microsoft), в этом случае образ VHD не загружаемый. Вы можете создать резервную копию всего тома или только состояния системы с помощью команды wbadmin start systemstatebackup. Например:

wbadmin start systemstatebackup –backuptarget:E:

Вы должны выбрать цель резервного копирования, которая отличается от тома, с которого вы создаете резервную копию данных, и которая не является удаленной общей папкой.

Когда приходит время восстановления, вы должны загрузить контроллер домена в режим восстановления служб каталогов (DSRM), нажав F8, чтобы открыть расширенные параметры загрузки (как при входе в безопасный режим). Затем вы должны использовать команду wbadmin get versions -backupTarget:path_to_backup machine:name_of_server для выбора соответствующего резервного копирования и начать восстановление необходимых данных. Вы также можете использовать NTDSutil, чтобы управлять отдельными объектами активного каталога в командной строке во время восстановления.

Преимущества использования резервного копирования Windows Server для резервного копирования активного каталога: доступность, возможность VSS и возможность резервного копирования всей системы или только компонентов активного каталога.

Недостатки включают необходимость владеть соответствующими навыками и базой знаний для настройки процесса резервного копирования и восстановления.

Менеджер защиты данных System Center

Microsoft рекомендует использовать Менеджер защиты данных System Center (SC DPM) для резервного копирования данных, включая активный каталог в инфраструктуре на базе Windows. SC DPM – это централизованное корпоративное средство резервного копирования и восстановления, которое является частью пакета System Center и может использоваться для защиты сервера Windows, включая службы, такие как активный каталог. В отличие от бесплатного встроенного резервного копирования Windows Server, SC DPM – это платное программное обеспечение, которое должно быть развернуто отдельно как сложное решение. Установка может показаться несколько сложной по сравнению с резервным копированием Windows Server. Действительно, агент резервного копирования должен быть установлен, чтобы обеспечить полную защиту вашей машины.

Основные функции менеджера защиты данных System Center, связанные с резервным копированием Active Directory, включают:

• Поддержка VSS
• Инкрементное резервное копирование
• Резервное копирование в облако Microsoft Azure
• Отсутствие восстановления конкретных объектов для Active Directory

Использование SC DPM наиболее целесообразно, когда вам нужно защищать большое количество Windows-машин, включая серверы MS Exchange и MS SQL.

Резервное копирование виртуального контроллера домена

Перечисленные нативные методы резервного копирования Active Directory могут использоваться для резервного копирования серверов Active Directory, развернутых как на физических серверах, так и на виртуальных машинах. Запуск контроллеров доменов на виртуальных машинах предлагает ряд преимуществ, специфических для виртуальных машин, таких как резервное копирование на уровне хоста, возможность восстановления в качестве виртуальных машин, работающих на различных физических серверах и т. д. Лучшие практики резервного копирования Active Directory рекомендуют использовать решения резервного копирования на уровне хоста при создании резервных копий контроллеров домена Active Directory, работающих на виртуальных машинах на уровне гипервизора.

Вывод

Active Directory классифицируется как одно из наиболее важных приложений для бизнеса, отключение которого может вызвать простой пользователей и служб. Сегодняшний блог посвящен лучшим практикам резервного копирования Active Directory, чтобы помочь вам защитить вашу инфраструктуру от сбоев AD. Выбор правильного решения для резервного копирования является важным моментом в данном случае.

NAKIVO Backup & Replication – это программное обеспечение для резервного копирования на уровне хоста для VMware и Hyper-V ВМ, работающих в качестве контроллера домена Active Directory. Это решение позволяет создавать резервные копии целых ВМ контроллера домена, даже если ВМ находится в рабочем состоянии, при этом учитывается осведомленность о приложении (используется VSS), а также предоставляется мгновенное восстановление объектов AD. Не требуются агенты. NAKIVO Backup & Replication поддерживает детальное восстановление Active Directory, благодаря чему можно восстанавливать отдельные объекты и контейнеры AD без необходимости проведения полного восстановления ВМ. Конечно, также поддерживается полное восстановление ВМ контроллера домена.