Come eseguire il backup di un controller di dominio: best practice per la protezione di AD (Parte 1)

Andrew Zhelezko

8 years ago

Esplora la serie:

_{Parte 1 — Il backup del controller di dominio}

_{Parte 2 — Come ripristinare un controller di dominio}

Microsoft Active Directory è uno standard degli ambienti aziendali in cui sono richieste l’autenticazione e la gestione centralizzata degli utenti. È praticamente impossibile immaginare come gli amministratori di sistema potrebbero svolgere efficacemente il proprio lavoro senza questa tecnologia. Active Directory è uno strumento potente, ma anche un’enorme responsabilità, poiché richiede molto tempo per sfruttarne al massimo le funzionalità.

L’obiettivo di questa serie è quello di aiutarti a eseguire backup e ripristini di successo di Active Directory Domain Services con Veeam, offrendoti tutti gli strumenti necessari per proteggere AD senza alcuna difficoltà. Prima di procedere con la lettura, ti consigliamo di dare uno sguardo alla serie Best practice per la gestione di AD che abbiamo pubblicato qualche tempo fa.

Questa nuova serie prenderà in esame il modo in cui Veeam può proteggere i dati di Active Directory, preservando i controller di dominio (DC) o singoli oggetti di AD e ripristinandoli quando necessario.

Oggi parlerò delle opzioni di backup offerte da Veeam per i controller di dominio fisici e virtuali, così come degli aspetti da tenere in considerazione a livello di backup.

Considerazioni sul backup del controller di dominio

Poiché Active Directory Domain Services è progettato con una specie di ridondanza, le comuni regole e strategie di backup possono essere mitigate e adattate a questo livello. Qui non sarebbe corretto applicare la stessa policy di backup di SQL o Exchange Server. Di seguito sono riportate alcune considerazioni che ritengo possano essere utili nella creazione delle proprie policy per Active Directory:

Scopri quali controller di dominio possiedono ruoli Flexible Single Master Operations (FSMO) nel tuo ambiente. Suggerimento: un semplice comando per verificarlo tramite la riga di comando: >netdom query fsmo
Durante l’esecuzione di un ripristino completo del dominio, si consiglia di partire dal DC con il maggior numero di ruoli FSMO, solitamente uno con un ruolo di emulatore PDC. Sarà necessario altrimenti trasferire manualmente i ruoli dopo il ripristino con il comando ntdsutil seize. Questo è un aspetto da tenere presente durante la pianificazione del backup e la definizione delle priorità dei controller di dominio. Leggi il white paper sui concetti di base di Active Directory per saperne di più sui ruoli FSMO.

Se ci sono più controller di dominio per il sito e si desidera proteggere singoli oggetti, non è necessario eseguire il backup di tutti i DC, poiché per il ripristino a livello di singolo oggetto basta una copia del database Active Directory (ntds.dit).
Ci sono cose che possono sempre mitigare il rischio di cancellazione/modifica accidentale/intenzionale degli oggetti AD. Pensiamo alla delega delle attività di amministrazione, all’impostazione degli accessi ristretti a gruppi elevati e alla manutenzione di un sito “lag”
Solitamente si raccomanda di eseguire il backup di un solo dominio di controllo per volta, per non interferire con la replica DFS, anche se le applicazioni di backup moderne (ad es. Veeam Backup & Replication v7 con Patch 3 e successive) sanno come gestire questo scenario
Magari possiedi un ambiente virtuale VMware e non è possibile collegare il tuo controller di dominio tramite la rete, per esempio in DMZ. In questo caso, Veeam eseguirà il failover su VIX e dovrebbe essere in grado di elaborare il tuo DC.

Come eseguire il backup di un controller di dominio virtuale

I servizi Microsoft Active Directory organizzano e conservano le informazioni sui singoli oggetti della foresta e li salvano su un database relazionale (ntds.dit), in hosting presso un controller di dominio. Il backup di un controller di dominio è sempre stato un processo lungo, che richiedeva il backup dello stato del sistema del server. Poiché è risaputo che i servizi di Active Directory non consumano molte risorse di sistema, i controller di dominio sembrano sempre essere i primi server a venire virtualizzati nell’ambiente. Se tu condividi la vecchia filosofia del “solo DC fisici”, leggi questo post.

Dopo la virtualizzazione, sono abbastanza facili da gestire da parte di un amministratore di dominio/sistema e il loro backup è semplice con Veeam Backup & Replication. Per ciò che riguarda i dettagli, dovresti avere installato e configurato Veeam Backup & Replication. I requisiti di sistema (per la versione 9.0) sono i seguenti:

Piattaforma virtuale: VMware vSphere 4.1 e versioni successive; Microsoft Hyper-V 2008 R2 SP1 e versioni successive

Server Veeam: Windows Server 2008 SP2 e versioni successive; Windows 7 SP1 e versioni successive, sistema operativo a 64 bit

Macchina virtuale (VM) del controller di dominio: Windows Server 2003 SP1 e versioni successive, il livello funzionale minimo supportato per la foresta di Windows 2003

Permessi: diritti di amministratore per l’Active Directory di destinazione. Account di un amministratore enterprise o di dominio

Questo articolo non tratta la procedura di installazione e configurazione di Veeam Backup & Replication, poiché se ne è già parlato più volte. Tuttavia, per maggiori informazioni su queste procedure, guarda il seguente video, registrato da un system engineer di Veeam.

Partirò dal presupposto che tutto sia perfettamente funzionante. Ora desideri configurare un’attività di backup per il tuo controller di dominio virtuale. La procedura di configurazione è alquanto semplice (vedi Figura 1 sottostante):

Lancia una procedura guidata per la creazione di un job di backup
Aggiungi il controller di dominio desiderato all’attività
Specifica la policy di retention per la catena di backup
Assicurati di abilitare l’elaborazione dell’immagine application-aware (AAIP) per garantire la coerenza transazionale del sistema operativo e delle applicazioni in esecuzione sulla VM, inclusi il database Active Directory e il catalogo SYSVOL

Attenzione:

AAIP è una tecnologia Veeam che consente al software di eseguire il backup delle VM in modalità application-aware. Ciò implica l’individuazione delle applicazioni di un sistema operativo guest e la raccolta dei loro metadati, sospendendo il loro utilizzo dei corrispondenti writer Microsoft VSS, preparando una procedura di ripristino VSS specifica per l’applicazione da eseguire al primo avvio della VM ripristinata e il troncamento dei log delle transazioni dell’applicazione se il backup va a buon fine. Per maggiori dettagli, consulta la documentazione AAIP.

La mancata abilitazione di AAIP non consente al sistema operativo guest del controller di dominio di capire che è stato eseguito il backup e che ora è protetto. Più tardi potresti quindi notare un avviso interno nei log del server, ovvero l’evento 2089, che informa che non c’è stato alcun backup per un numero di giorni corrispondente all’intervallo di latenza dei backup.

*Figura 1. Modifica del job di backup: elaborazione guest*

Programma un job oppure eseguilo manualmente
Assicurati che il job sia stato completato correttamente, senza errori né avvertimenti

*Figura 2. Backup incrementale di un DC*

Trova il nuovo file di backup creato nel repository di backup: tutto qui!

Puoi inoltre conservare un backup nel cloud con il provider di servizi Veeam Cloud Connect (VCC) oppure con un altro repository di backup utilizzando i Backup Copy Job (copia del backup) Veeam oppure archiviandolo su nastro con un job di backup su nastro. La cosa più importante è che ora il backup è al sicuro e può essere ripristinato non appena necessario.

Come eseguire il backup di un controller di dominio fisico

Francamente, spero che tu abbia aggiornato i servizi di AD della tua azienda e che i tuoi controller di dominio siano virtuali da molto tempo. In caso contrario, spero almeno che tu abbia aggiornato i tuoi controller di dominio e che essi siano in esecuzione su versioni del sistema operativo Windows Server relativamente moderne, come Windows Server 2008 R2 o versioni successive. (In caso di gestione di sistemi più vecchi, salta la parte successiva e passa direttamente al terzo articolo)

Quindi possiedi un controller di dominio fisico, oppure un gruppo di essi, in esecuzione su Windows Server 2008 R2 o versioni successive e desideri proteggere il tuo AD? Ecco Veeam Endpoint Backup, l’utility progettata per garantire che i dati presenti sui tuoi rimanenti server ed endpoint fisici siano protetti e al sicuro. Veeam Endpoint Backup acquisisce i dati desiderati dalla macchina fisica e li conserva in un file di backup. In caso di disastro, sarai quindi in grado di eseguire un ripristino bare-metal oppure a livello di volume, mantenendo il controllo totale delle procedure di ripristino. Oltre a ciò, il ripristino a livello di singolo oggetto è possibile con Veeam Explorer for Microsoft Active Directory.

Per eseguire il backup del controller di dominio fisico con questo strumento devi:

Scaricare Veeam Endpoint Backup FREE da questa pagina e copiarlo nel tuo DC
Lanciare il wizard di installazione, accettare l’accordo di licenza e installare il programma
Nota: leggi queste istruzioni per installare in modalità Unattended.

Configurare un job di backup selezionando la corretta modalità di backup. Il backup dell’intero computer è l’approccio più semplice e quello consigliato. Se si utilizza la modalità di backup a livello di singolo file, assicurati di selezionare Operating system quale oggetto per il backup (vedi Figura 3). Ciò garantisce che il programma acquisisca tutti i file necessari per il ripristino bare-metal, mentre saranno salvati anche il database Active Directory e il catalogo SYSVOL. Per maggiori dettagli, consulta la guida utente del prodotto

*Figura 3. Selezionare gli oggetti per il backup in Veeam Endpoint Backup*

Attenzione:

Se disponi di un’istanza di Veeam Backup & Replication nella tua infrastruttura e desideri utilizzare un repository di backup Veeam configurato per accettare i backup degli endpoint, riconfiguralo direttamente da Veeam Backup & Replication (Ctrl-clic con il tasto destro sul repository desiderato, consenti l’accesso al repository e abilita la crittografia dei backup se necessario, vedi Figura 4).

*Figura 4. Impostare le autorizzazioni per il backup degli endpoint per il repository di backup*

Eseguire il backup, assicurandosi che avvenga senza errori

*Figura 5. Veeam Endpoint Backup FREE: statistiche del job di backup*

Tutto qui! Il backup è completato e il tuo controller di dominio è protetto da questo momento in poi. Vai alla destinazione del backup e trova il backup o la catena di backup

*Figura 6. Catena di backup incrementale*

NOTA:

se hai configurato un repository Veeam Backup & Replication quale destinazione per il backup del DC, per trovare il nuovo backup creato nel nodo Backups > Disk node, situato nel nodo Endpoint Backups.

*Figura 7. Veeam Backup & Replication: Backups-disk*

Conclusioni

Il backup del controller di dominio è davvero così semplice? Sì e no. Il successo del backup è un buon inizio, ma non basta. Come diciamo noi di Veeam: “Il backup non vale niente se non è utilizzabile per il ripristino”.

I successivi articoli di questa serie sono dedicati a diversi scenari di ripristino di Active Directory, incluso il ripristino di un particolare controller di dominio, così come il ripristino di singoli oggetti cancellati e modificati utilizzando le utility Microsoft native e Veeam Explorer for Active Directory.

Vedi anche