Active Directory 是在基於 Windows 的環境中進行集中管理和使用者驗證的廣為人知的服務。管理員可以集中管理添加到域的計算機,這對於大型和分佈式基礎設施而言非常方便且節省時間。MS SQL 和 MS Exchange 通常需要 Active Directory。如果 Active Directory 域控制器(AD DC)變得不可用,則相關用戶無法登錄且系統無法正常運行,這可能會在您的環境中造成麻煩。這就是為什麼備份您的 Active Directory 很重要。
這篇博客文章解釋了Active Directory 備份的最佳實踐,包括有效的方法和工具。
Active Directory 工作原理
Active Directory 是一個管理系統,由一個包含個別對象和事務日誌的數據庫組成。數據庫分為幾個部分,包含不同類型的信息 – 模式分割(確定 AD 數據庫設計,包括對象類和它們的屬性)、配置分割(有關 AD 結構的信息)和域名上下文(用戶、組、打印機對象)。Active Directory 數據庫具有分層樹狀結構。使用Ntds.dit文件來存儲 AD 數據庫。
Active Directory 使用 LDAP 和 Kerberos 協議在網絡上進行其功能。LDAP(輕量級目錄訪問協議)是一種開放的跨平台協議,用於訪問目錄(如 Active Directory),並通過使用用戶名和密碼進行目錄服務身份驗證。Kerberos 是一種安全的身份驗證和單一登錄協議,使用秘密金鑰加密。Kerberos 身份驗證服務器檢查的用戶名和密碼存儲在 LDAP 目錄中(在使用 Active Directory 的情況下)。
Active Directory 緊密集成了 DNS 服務器、Windows 受保護的系統文件、域控制器的系統註冊表,以及 Sysvol 目錄、COM+ 類別註冊數據庫和集群服務信息。這種集成對 Active Directory 的備份策略有直接影響。
必須備份的數據
根據前一節的內容,您需要複製的不僅僅是 Ntds.dit,還有所有與 Active Directory 集成的組件。以下是域控制器系統的所有組件的列表:
- Active Directory 域服務
- 域控制器系統註冊表
- Sysvol 目錄
- COM+ 類別註冊數據庫
- 與 Active Directory 集成的 DNS 區域信息
- 系統文件和啟動文件
- 集群服務信息
- 證書服務數據庫(如果您的域控制器是證書服務器)
- IIS 元資料文件夾(如果在您的域控制器上安裝了 Microsoft Internet Information Services)
一般的 AD 備份建議
讓我們來看看一些 Active Directory 備份的一般建議。
一個域中至少必須備份一個域控制器
很明顯,如果您的基礎架構中只有一個域控制器,您應該備份這個 DC。如果您有多個域控制器,您應該至少備份其中一個。您應該備份安裝有 FSMO(靈活單一主操作)角色的域控制器。如果您已經丟失了所有的域控制器,您可以恢復主域控制器(包含 FSMO 角色),並部署一個新的次要域控制器,將主 DC 的更改複製到次要 DC。
將您的 Active Directory 備份納入您的災難恢復計劃中
制定一份災难恢復(DR)計劃,涵蓋多種情景,以應對假想的災難。在災難發生之前制定全面的DR計劃是最佳實踐。請密切關注恢復順序。請記住,域控制器必須在恢復其他與Active Directory相關服務的機器之前恢復,否則這些機器可能會因為缺乏AD DC而變得無用。制定一個考慮到在不同機器上運行的不同服務依賴關係的可行的災難恢復計劃,可以確保您成功地恢復。您可以將域控制器備份到本地站點、遠程站點或雲端。根據3-2-1備份規則,對Active Directory進行最佳實踐的備份方法之一是擁有多於一份域控制器的備份。
定期備份Active Directory
您應該定期備份Active Directory,間隔時間不應超過60天。AD服務預設假定Active Directory備份的年齡不能超過AD墓碑對象的生命週期,該生命週期預設為60天。這是因為當對象需要被刪除時,Active Directory會使用墓碑對象。當AD對象被刪除(該對象的大多數屬性被刪除)時,它被標記為墓碑對象,直到墓碑生命週期到期時才會被物理刪除。
如果您的基礎架構中有多個域控制器並且啟用了Active Directory複寫,則直到墓碑物件的壽命到期,墓碑物件將複製到每個域控制器。如果您從一個備份中還原了一個年齡超過墓碑壽命的域控制器,則在Active Directory域控制器之間會出現不一致的信息。在這種情況下,恢復的域控制器將擁有有關不再存在的對象的信息。這可能會相應地引起錯誤。
如果在備份後在域控制器上安裝了任何驅動程序或應用程序,則在從該備份中恢復後,它們將無法正常工作,因為系統狀態(包括註冊表)將恢復到以前的狀態。這只是更頻繁地備份Active Directory的另一個原因,而不是每60天一次。我們強烈建議您每晚備份Active Directory域控制器。
使用確保數據一致性的軟件
與任何其他數據庫一樣,Active Directory數據庫必須以確保數據庫一致性的方式進行備份。如果在關閉服務器或在運行中使用Microsoft的Volume Shadow Copy Service(VSS)時備份AD DC數據,則可以最好地保持一致性。如果服務器以24/7模式運行,則在關閉狀態下備份Active Directory服務器可能不是一個好主意。
使用VSS兼容的備份應用程式來備份運行Active Directory的伺服器是Active Directory備份的最佳做法。VSS寫入器創建快照,凍結系統狀態直到備份完成,以防止在備份過程中修改Active Directory使用的活動文件。
使用提供精細恢復的備份解決方案
當需要恢復Active Directory時,您可以恢復帶有Active Directory及其所有對象的整個伺服器。進行完整恢復可能需要大量時間,特別是如果您的AD數據庫相當大。如果某些Active Directory對象意外刪除,您可能只想恢復這些對象而不是其他任何東西。Active Directory備份的最佳做法建議您使用能夠執行精細恢復的備份方法和應用程式,即僅從備份中恢復特定的Active Directory對象。這可以幫助您限制恢復所需的時間。
本機Active Directory備份方法
微軟開發了一系列本機工具來備份包括運行Active Directory域控制器的Windows伺服器。
Windows Server備份
Windows Server Backup是微軟提供的實用工具,隨附於Windows Server 2008及後續版本,取代了內建於Windows Server 2003的NTBackup工具。要使用它,只需在新增角色和功能菜單中啟用Windows Server Backup。Windows Server Backup具有新的GUI(圖形用戶界面),並允許您使用VSS創建增量備份。備份的數據保存在VHD文件中 – 這與Microsoft Hyper-V使用的文件格式相同。您可以將此類VHD磁盤掛載到虛擬機器或物理機器上,並訪問備份的數據。請注意,與MVMC(Microsoft虛擬機器轉換器)創建的VHD不同,此案例中的VHD映像無法啟動。您可以使用wbadmin start systemstatebackup命令備份整個卷或僅系統狀態。例如:
wbadmin start systemstatebackup –backuptarget:E:
您應該選擇一個與您正在備份數據的卷不同的備份目標,並且不是一個遠程共享文件夾。
當需要恢復時,您應該將域控制器引導至目錄服務恢復模式(DSRM),方法是按F8以打開高級引導選項(就像進入安全模式時所做的那樣)。然後,您應該使用wbadmin get versions -backupTarget:path_to_backup machine:name_of_server 命令來選擇適當的備份,並開始還原所需的數據。您還可以在恢復期間使用NTDSutil在命令行中管理特定的Active Directory對象。
使用Windows Server備份進行Active Directory備份的優點包括價格實惠、支持VSS和能夠備份整個系統或僅備份Active Directory組件。
缺點包括需要具備適當的技能和知識基礎來配置備份和恢復過程。
System Center數據保護管理器
微軟建議您使用System Center數據保護管理器(SC DPM)來備份包括Windows基礎架構中的Active Directory在內的數據。SC DPM是一個集中式企業級備份和恢復解決方案,是System Center套件的一部分,可以用於保護包括Active Directory等服務在內的Windows Server。與免費的內置Windows Server備份相比,SC DPM是需要單獨部署的付費軟件,作為一個複雜的解決方案。與Windows Server備份相比,安裝可能會顯得有些具有挑戰性。確實,必須安裝備份代理程序以確保您的機器得到充分保護。
主要功能與系統中心資料保護管理員相關的活動目錄備份是:
- 支援 VSS
- 增量備份
- 備份至 Microsoft Azure 雲端
- 對於活動目錄沒有細粒度物件恢復
在需要保護大量包括 MS Exchange 和 MS SQL 伺服器的 Windows 機器時,使用 SC DPM 是最實際的。
備份虛擬網域控制器
所列出的本機活動目錄備份方法可用於備份部署在實體伺服器和虛擬機器上的活動目錄伺服器。在虛擬機器上運行網域控制器具有一組特定於 VM 的優勢,如主機層級備份、能夠作為在不同實體伺服器上運行的 VM 進行恢復等。活動目錄備份最佳實踐建議您在以虛擬機器運行的活動目錄域控制器進行備份時使用主機層級備份解決方案。
結論
活動目錄被歸類為最重要的業務應用程序之一,其中斷可能導致使用者和服務的停機。今天的部落格文章解釋了活動目錄備份的最佳實踐,以幫助您保護基礎架構免受 AD 失敗的影響。在這種情況下,選擇正確的備份解決方案是重要的要點。
NAKIVO Backup & Replication 是一款針對 VMware 和 Hyper-V VM 主機層級的備份軟件,可運行 Active Directory 域控制器。該解決方案允許您備份整個域控制器 VM,即使該 VM 正在運行中,同時也尊重應用程序感知(使用 VSS),並提供即時的 AD 對象恢復。無需代理。NAKIVO Backup & Replication 支持細粒度的 Active Directory 恢復,因此您可以恢復特定的 AD 對象和容器,而無需花費時間進行完整的 VM 恢復。當然,也支持域控制器 VM 的完整恢復。
Source:
https://www.nakivo.com/blog/active-directory-backup-best-practices/