Technical | 2. 3. 2017 Doba čtení: 6 min Jazyk článku
Jazyk článku

Zálohování řadiče domény: Osvědčené postupy ochrany Active Directory (1. část)

Andrew Zhelezko Andrew Zhelezko

Přečtěte si celou sérii:

Kap. 1 – Zálohování řadiče domény
Kap. 2 — Jak obnovit řadič domény
Kap. 3 — Obnovení smazaných objektů (tombstone) Active Directory
Kap. 4 — Využití koše Active Directory

 

Microsoft Active Directory představuje standard v podnikovém prostředí, kde je vyžadováno ověřování a centrální správa uživatelů. Je téměř nepředstavitelné, jak by správci systému dokázali pracovat, kdyby tato technologie neexistovala. Active Directory s sebou nese nejen ohromnou výkonnost, ale také ohromnou odpovědnost – a je zapotřebí vynaložit spoustu času, aby byly možnosti tohoto nástroje využity naplno.

Tato série si klade za cíl pomoci vám úspěšně provádět zálohování a obnovení služby Active Directory Domain Services pomocí nástrojů Veeam tím, že vám poskytne klíčové informace k bezproblémové ochraně AD. Než budete číst dále, můžete se podívat také na sérii Osvědčené postupy správy služby Active Directory, kterou jsme uveřejnili před časem.

Aktuální série bude pojednávat o tom, jak ochránit data Active Directory – uchovat řadiče domén (DC) nebo jednotlivé objekty AD a v případě nutnosti kterékoli z nich obnovit.

Dnes budu probírat to, jaké možnosti zálohování Veeam nabízí pro fyzické i virtualizované řadiče domén a které aspekty zálohování byste při tom měli mít na paměti.

Aspekty zálohování řadiče domény

Jelikož je služba Active Directory Domain Services navržena s určitou redundancí, obvyklá pravidla a taktiky zálohování lze zmírnit a přizpůsobit této úrovni. Nebylo by správné v tomto případě uplatňovat stejné zásady zálohování, které platí pro servery SQL nebo Exchange. Níže jsou uvedeny některé aspekty, které by vám mohly pomoci při vytváření vlastních zásad Active Directory:

  • Zjistěte, které řadiče domény zaujímají ve vašem prostředí role řízení hlavních operačních serverů (FSMO). Tip: jednoduchý příkaz pro ověření přes příkazový řádek: >netdom query fsmo

Při provádění úplného obnovení domény je vhodné začít od řadiče domény s nejvíce rolemi řízení hlavních operačních serverů (FSMO), obvykle od řadiče s rolí emulátoru primárního řadiče domény (PDC). Jinak bude nutné po obnovení přenést role ručně příkazem ntdsutil seize. Mějte to na paměti při plánování zálohování a odpovídajícím způsobem řadiče domény upřednostňujte. Další informace o rolích FSMO získáte v dokumentu white paper Základní informace o Active Directory.

  • Pokud pro pracoviště využíváte více řadičů domén a potřebujete zajistit ochranu jednotlivých objektů, není třeba zálohovat všechny řadiče domén; k obnově na úrovni položky postačí jedna kopie databáze Active Directory (ntds.dit).
  • Existují opatření, která vždy dokážou zmírnit riziko nechtěného/úmyslného smazání/změny objektů AD. Zvažte delegování provozu správy, nastavení omezeného přístupu ke skupinám se zvýšenými oprávněními a udržování pracoviště „s prodlevou“
  • Obyčejně se doporučuje neprovádět zálohu více řadičů domén současně, aby se nenarušovala replikace DFS – i když se moderní zálohovací aplikace (např. Veeam Backup & Replication v7 Patch 3 a novější) umějí s takovou situací vyrovnat
  • Dejme tomu, že máte virtuální prostředí VMware a není možné se připojit k vašemu řadiči domény přes síť, třeba proto, že je v DMZ. V tom případě nástroj Veeam přejde na VIX a měl by být schopen váš řadič domény zpracovat.

Jak zálohovat virtuální řadič domény

Služby Active Directory Services organizují a udržují informace o jednotlivých objektech v rámci doménové struktury a ukládají je do relační databáze (ntds.dit) hostované na řadiči domény. Zálohování řadiče domény byl dříve obtížný proces, zahrnující zálohování stavu systému serveru. Je známá věc, že služby Active Directory Services nevyužívají příliš mnoho systémových prostředků, řadiče domény se tak jeví jako první servery, které jsou v tomto prostředí vždy virtualizované. Pokud náhodou sdílíte dávné přesvědčení o „výhradně fyzických řadičích domény“, přečtěte si prosím tento příspěvek.

Jakmile jsou virtualizované, může je snadno spravovat správce domény/systému a lze je snadno zálohovat v nástroji Veeam Backup & Replication. Ohledně detailů, měli byste mít nainstalovaný a nakonfigurovaný nástroj Veeam Backup & Replication. Požadavky na systém (verze 9.0) jsou následující:

Virtual platform (virtuální platforma): VMware vSphere 4.1 a novější; Microsoft Hyper-V 2008 R2 SP1 a novější

Server Veeam: Windows Server 2008 SP2 a novější; Windows 7 SP1 a novější, 64bitový operační systém

Virtuální počítač (VM) řadiče domény: Windows Server 2003 SP1 a novější, minimální úroveň funkčnosti doménové struktury Windows 2003

Oprávnění: Oprávnění správce pro cílovou databázi Active Directory. Účet podnikového správce nebo správce domény.

Záměrem tohoto článku není probírat proces instalace a konfigurace nástroje Veeam Backup & Replication, jelikož už byl několikrát popsán. Pokud s tím však potřebujete pomoci, pusťte si následující video, které vytvořil systémový inženýr společnosti Veeam.

Budu předpokládat, že vše funguje správně. Nyní byste rádi nakonfigurovali úlohu zálohování pro řadič domény. Proces konfigurace je poměrně jednoduchý (viz obrázek 1 níže):

  1. Spusťte průvodce vytvořením úlohy zálohování
  2. Přidejte úloze požadovaný řadič domény
  3. Určete zásady uchovávání informací pro řetězec záloh
  4. Ujistěte se, že je povoleno zpracování bitové kopie s ohledem na aplikace (AAIP), aby byla zajištěna transakční konzistence operačního systému a aplikací spuštěných ve virtuálním počítači, včetně databáze Active Directory a katalogu SYSVOL.

Poznámka: AAIP je technologie Veeam umožňující softwaru zálohovat virtuální počítače s ohledem na aplikaci. To zahrnuje zjištění aplikací operačního systému hosta a shromáždění příslušných metadat, jejich znehybnění za použití příslušných zapisovačů VSS společnosti Microsoft, přípravu procedury obnovy VSS, která má proběhnout ihned po prvním spuštění obnoveného virtuálního počítače, a zkrácení protokolu transakcí aplikace, pokud úloha zálohování proběhne úspěšně. Bližší informace naleznete v dokumentaci AAIP.

Nebude-li povoleno AIIP, operační systém hosta řadiče domény nepochopí, že byl zálohován a chráněn. Po chvíli tak můžete v protokolech serveru zaznamenat interní výstrahu – událost 2089 oznamující, že nebyla provedena záloha po dobu „interval zpoždění zálohování“ dní.

1 - Edit Backup Job Guest processing

Obr. 1: Upravit zálohovací úlohu: Zpracování na straně hosta 

  1. Naplánujte úlohu, nebo ji spusťte ručně
  2. Ujistěte se, že byla úloha úspěšně dokončena bez jakýchkoli chyb nebo výstrah

2 - Performing incremental backup of a DC

Obr. 2: Provádění přírůstkového zálohování řadiče domény

  1. Najděte nově vytvořený soubor zálohy v úložišti záloh – a hotovo!

Dále můžete uložit zálohu v cloudu prostřednictvím poskytovatele služeb Veeam Cloud Connect (VCC), nebo v jiném úložišti záloh za použití úloh kopírování záloh Veeam, nebo archivovat na pásku pomocí úlohy zálohování na pásku. Nejdůležitější je, že je nyní záloha zabezpečená a může být obnovena, jakmile ji budete potřebovat.

Jak zálohovat fyzický řadič domény

Upřímně řečeno, doufám že ve firmě aktualizujete služby Active Directory a že máte řadiče domény virtualizované už dlouho. Pokud ne, doufám, že alespoň aktualizujete řadiče domény a že obsahují operační systém Windows Server v poměrně moderních verzích, alespoň Windows Server 2008 R2 nebo novější. (Pokud spravujete starší systémy, následující část přeskočte a přejděte rovnou ke třetímu článku)

Takže máte fyzický řadič domény, respektive sadu řadičů, se systémem Windows Server 2008 R2 nebo novějším a chcete chránit vaši databázi Active Directory? Seznamte se s Veeam Endpoint Backup (Zálohování koncových bodů Veeam), nástrojem, který má zajistit, aby data na zbývajících fyzických koncových bodech a serverech byla zajištěná a v bezpečí. Veeam Endpoint Backup zachycuje požadovaná data z fyzického počítače a ukládá je do souboru zálohy. V případě havárie pak dokážete provést obnovení na prázdný hardware nebo na úrovni svazků – a mít přitom úplnou kontrolu nad postupy obnovení. A k tomu obnovení na úrovni položky v nástroji Veeam Explorer pro Microsoft Active Directory.

K vytvoření zálohy fyzického řadiče domény pomocí tohoto nástroje byste měli:

  • Stáhnout produkt Veeam Endpoint Backup FREE z této stránkya zkopírovat jej do řadiče domény
  • Spustit průvodce instalací, přijmout licenční smlouvu a program nainstalovat

Poznámka: přečtěte si tyto pokyny pro instalaci v bezobslužném režim.

Konfigurujte úlohu zálohování výběrem vhodného režimu zálohování. Nejjednodušší a doporučený postup je zálohovat celý počítač. Při použití režimu zálohy na úrovni souborů jako objekt zálohy určitě vyberte Operační systém (viz Obrázek 3). Zajistíte tím, že program zachytí všechny soubory potřebné k obnovení na prázdný hardware; uloží se i databáze Active Directory a katalog SYSVOL. Podrobné informace získáte v uživatelské příručce k produktu.

3 - Selecting objects to backup in Veeam Endpoint Backup

Obr. 3: Výběr objektů k zálohování v nástroji Veeam Endpoint Backup (Zálohování koncových bodů Veeam)

Poznámka: Pokud máte ve vaší infrastruktuře instanci Veeam Backup & Replication a chtěli byste, aby konfigurované úložiště záloh Veeam přijímalo zálohy koncových bodů, překonfigurujte je přímo v nástroji Veeam Backup & Replication (stiskněte klávesu Ctrl a klikněte pravým tlačítkem myši na požadované úložiště, povolte přístup k tomuto úložišti a v případě potřeby povolte šifrování záloh, viz Obrázek 4).

4 - Selecting objects to backup in Veeam Endpoint Backup

Obr. 4: Nastavení oprávnění pro zálohování koncových bodů pro úložiště záloh

  • Spusťte zálohování a ujistěte se, že proběhlo bez chyb

5 - Veeam Endpoint Backup FREE Backup job statistics

Obr. 5: Veeam Endpoint Backup FREE: Statistika úlohy zálohování

  • Podívejme! Zálohování je dokončeno a váš řadič domény je odteď chráněný. Přejděte do umístění zálohy a najděte zálohu nebo řetězec záloh

6 - Incremental backup chain

Obr. 6: Řetězec přírůstkových záloh

Poznámka. Pokud jste nakonfigurovali úložiště Veeam Backup & Replication jako cíl pro zálohu řadiče domény, najdete nově vytvořenou zálohu v uzlu Zálohy > Disk, zařazenou do uzlu Zálohy koncových bodů.

7 - VBR Backups-disk

Obr. 7: Veeam Backup & Replication: Disk záloh

Závěr

Je zálohování řadiče domény takhle jednoduché? Ano i ne. Úspěšná záloha je pro začátek skvělá, ale není to vše, co potřebujete. Jak říkáme ve společnosti Veeam: „Záloha nestojí za nic, když z ní nedokážete provést obnovu.“

Následující články v této sérii se zaměřují na různé scénáře obnovení Active Directory, včetně obnovení konkrétního řadiče domény, a také na obnovení jednotlivých smazaných a změněných objektů za použití nativních nástrojů společnosti Microsoft a nástroje Veeam Explorer pro Active Directory.

Viz také

Andrew Zhelezko
Andrew Zhelezko
Andrew, currently working as a Global Technologist on the Veeam Product Strategy team, is a certified IT professional with over a decade of industry experience. Initially doing technical support for various solutions, including Veeam Backup & Replication, he has got practical expertise, which helps him to speak the same language as Veeam community members.

You can always find him presenting at different offline/online events, where he loves to solve the challenges associated with data protection. His motto is to help others realize the beauty and power of virtualization, cloud and SaaS technologies. 
More about author
Předchozí příspěvek Další příspěvek
Obsah článku
Nechte si každý týden posílat novinky z blogu
Přihlášením k odběru souhlasíte, že vaše osobní údaje budou spravovány v souladu se zásadami ochrany osobních údajů společnosti Veeam.
Děkujeme, že jste si na nás udělali místo ve své e-mailové schránce!
S tímto týdenním přehledem už se nemusíte bát, že nebudete vědět, co se děje na našem blogu.
OK
Free trial
Try now