Recomandări pentru protejarea directorului activ

Microsoft Active Directory este standardul în infrastructura corporatistă în care sunt necesare autentificarea utilizatorilor și gestionarea centralizată. Este aproape imposibil să ne imaginăm modul în care administratorii de sistem s-ar ocupa de munca lor fără această tehnologie. Cu toate acestea, utilizarea Active Directory aduce nu numai avantaje mari, ci și o mare responsabilitate, necesitând un timp considerabil și înțelegerea proceselor sale.

Această serie de articole vă va spune cum să efectuați cu succes backup și să restaurați soluțiile Active Directory cu soluții Veeam, care oferă toate caracteristicile pentru o protecție simplă și convenabilă a AD. Poate că veți fi interesați să vedeți seria recentă de materiale "Recomandările administrației AD". înainte de a citi acest articol.

În noua serie de articole, vă explic cum poate Veeam să protejeze datele Active Directory: să facă copii ale controlorilor de domeniu (DC) sau obiecte AD individuale și, dacă este necesar, să le restaureze.

Astăzi voi vorbi despre capabilitățile de backup ale controlorilor de domeniu fizic și virtual pe care le oferă Veeam și ce trebuie să fie amintit în timpul copierii de rezervă.

Recomandări pentru copierea de rezervă a controlorilor de domeniu

Serviciile Active Directory sunt concepute ținând cont de redundanță, astfel încât regulile și tacticile obișnuite de rezervă trebuie adaptate în consecință. În acest caz, este incorect să utilizați aceeași politică de rezervă care funcționează deja pentru serverele SQL sau Exchange. Mai jos vă voi da o serie de recomandări care vă pot ajuta în dezvoltarea propriei politici pentru Active Directory:

• Aflați ce controlere de domeniu din mediul dvs. efectuează rolurile FSMO (Operațiuni cu un singur comandă flexibilă). Sfat: o comandă simplă pentru a verifica prin linia de comandă:> interogare netdom fsmo

• Dacă există mai multe controlere de domeniu pe site și doriți să protejați obiecte individuale, atunci nu este nevoie să creați copii de rezervă pentru toate controalele. Pentru a restaura obiecte individuale, o copie a bazei de date Active Directory (ntds.dit)
• Există întotdeauna posibilitatea de a reduce riscul de îndepărtare accidentală sau deliberată a obiectelor AD. Puteți recomanda delegarea autorității administrative, setarea restricțiilor de acces cu drepturi ridicate și un site de rezervă cu întârziere de replicare.
• De obicei, este recomandat să creați o copie de rezervă a controlerelor de domeniu și să nu interfereze cu replicarea DFS. Deși soluțiile moderne (de exemplu, Veeam Backup Replicarea v7 cu Service Pack 3 și mai sus) știu cum să rezolve această problemă.
• Dacă utilizați un mediu virtual VMware, este posibil ca controlerul de domeniu să nu fie disponibil în rețea (de exemplu, este în zona DMZ). În această situație, Veeam va comuta la o conexiune prin VMware VIX și va putea procesa acest controler.

Backup virtual controller de domeniu

Serviciile Microsoft Active Directory organizează și stochează informații despre documentele forestiere de domenii individuale în baza de date relațională (ntds.dit) care se află pe controlerul de domeniu. Anterior, copierea de rezervă a unui controler de domeniu a fost un proces foarte tedious, deoarece a inclus o copie de rezervă a stării sistemului serverului. Este bine cunoscut faptul că serviciile Active Directory consumă o mică parte a resurselor de sistem, astfel încât controlorii de domeniu sunt de obicei primii candidați pentru virtualizare. Dacă încă mai respectați opinia că acestea ar trebui să fie fizice, citiți acest articol.

Fiind virtualizate, acestea sunt ușor de gestionat de un administrator de domeniu sau de administrator de sistem și protejate de Veeam Backup Replicarea. Înainte de a trece la detalii, trebuie să instalați și să configurați Veeam Backup Replicarea.

Cerințe de sistem (pentru versiunea 9.0):

Să presupunem că totul este pregătit și pregătit pentru a merge. Acum trebuie să creați o sarcină de backup a controlerului de domeniu. Procesul de instalare este destul de simplu (Figura 1):

1. Rulați expertul de creare a unui job de rezervă
2. Selectați controlerul de domeniu necesar
3. Definiți politica de păstrare a lantului de rezervă
4. Nu uitați să includă funcția de procesare a datelor aplicațiilor stateful (AAIP) pentru a asigura coerența la nivelul tranzacțiilor pentru sistemul de operare și aplicațiile care rulează pe mașina virtuală, inclusiv Active Directory și baza de date director SYSVOL

Notă: AAIP este o tehnologie Veeam care oferă o copie de rezervă a VM pe baza stării aplicației. Ea caută aplicațiile de oaspeți OS pentru a colecta metadatele lor, „înghețarea“ prin mecanisme adecvate (Microsoft VSS Scriitori), pregătirea procedurii de recuperare folosind VSS pentru aplicații care vor fi executate la prima pornire a restaurat VM, iar trunchia jurnalele de tranzacții de aplicare în caz de succes finalizarea backup-ului. Pentru mai multe informații, consultați documentația AAIP.

Dacă funcția AAIP nu este activată, sistemul de operare gazdă al controlorului de domeniu nu va înțelege că sa efectuat copierea de rezervă și că este asigurată protecția. Prin urmare, după un timp puteți detecta un avertisment intern în jurnalele de server: evenimentul 2089 - "backup-ul nu a fost efectuat în intervalul de latență de rezervă".

Fig. 1. Editarea unei lucrări de salvare de rezervă: procesarea fișierelor OS oaspete

1. Programați timpul de execuție a execuției sau executați manual
2. Verificați dacă lucrarea a fost finalizată cu succes fără erori și avertismente

Fig. 2. Backup incremental

1. Găsiți fișierul de rezervă nou creat în depozit - este gata!

În plus, puteți salva o copie de rezervă în cloud cu furnizorul de servicii Veeam Cloud Connect (VCC). De asemenea, poate fi transferat într-un alt depozit de rezervă, folosind sarcini de arhivare de backup sau funcționalitate de arhivare pe bandă. Cel mai important lucru este că acum copia de rezervă este stocată într-un loc sigur și puteți să le restabiliți în orice moment.

Copierea de rezervă a controlerului de domeniu fizic

Pentru a efectua o copie de siguranță a unui controler de domeniu fizic utilizând acest instrument, trebuie să faceți următoarele:

• Descărcați Veeam Endpoint Backup GRATUIT și copiați programul de instalare pe serverul corect
• Rulați expertul de instalare, acceptați acordul de licență și instalați programul

Notă: Pentru a efectua instalarea în modul automat, utilizați această instrucțiune.

Fig. 3. Selectarea obiectelor de copiere în Veeam Endpoint Backup

Notă: Dacă mediul dvs. are deja instalat Veeam Backup Replicarea și doriți să utilizați depozitul Veeam existent pentru a stoca copiile fizice ale mașinilor, îl puteți reconfigura direct din Veeam Backup Replicarea (țineți apăsat Ctrl, faceți clic dreapta pe depozitul dorit, activați accesul la depozit și, dacă este necesar, activați criptarea, a se vedea Figura 4).

Fig. 4. Configurați permisiunile de acces pentru depozitul de rezervă pentru Endpoint Backup

• Porniți backupul și asigurați-vă că acesta trece fără erori

Fig. 5. Veeam Endpoint Backup GRATUIT: statistici ale sarcinilor de backup

• Asta e tot! Salvarea a fost finalizată, controlerul de domeniu este protejat. Mergeți în magazie și găsiți lanțul de backup sau de backup de care aveți nevoie

Fig. 6. Lanțul backup-urilor incrementale

Notă. Dacă ați configurat magazia Veeam Backup Replicarea ca stocare țintă pentru backup-uri, fișierul copie de rezervă nou creat va fi în Backupurile panoul de infrastructură> Disk (copie de siguranță> Disc), punctul Endpoint backups.

Fig. 7. Veeam Backup Replicare: Backup-disc

concluzie

Este într-adevăr atât de simplu de salvgardat un controler de domeniu? Da și nu. Rezoluția de succes este un început bun, dar nu tot. Veeam spune: "O copie de rezervă nu costă nimic dacă nu puteți restaura datele din ea".

Următoarele articole din această serie se va concentra pe o varietate de scenarii de recuperare Active Directory, inclusiv recuperarea unui controler de domeniu, precum și de recuperare a obiectelor individuale șterse și modificate cu ajutorul Microsoft și Veeam Explorer instrumente proprii pentru Active Directory.

De asemenea, vă interesează:

Recomandări pentru protejarea directorului Active Directory: Partea 1. Controller de domeniu de rezervă. 5.0 din 5 bazat pe 2 opinii

Andrew Zhelezko (Andrew Zhelezko) - directorul comunității Veeam. În timpul carierei sale la Veeam, el a dobândit o înțelegere profundă a funcționării produselor de virtualizare și o bogată expertiză tehnică în rezolvarea problemelor clienților. Această experiență îi ajută pe Andrei să vorbească cu comunitatea IT "într-o singură limbă" și să înțeleagă interesele administratorilor de medii virtuale. Andrew. mai mult

Articole similare

• Cum să transferați rolurile fsmo către un alt controler de domeniu Active Directory, configurați serverele Windows și

• Autorizarea automată în utilizatorii kerio winroute din directorul activ, blogul retifff

Trimiteți-le prietenilor: