Technical | 17.08.2016 6 мин. чтения Язык статьи
Язык статьи

Рекомендации по защите Active Directory: Часть 1. Бэкап контроллера домена

Андрей Железко Андрей Железко

Все публикации серии:

Часть 1 — Бэкап контроллера домена
Часть 2 — Восстановление контроллера домена
Часть 3 — Восстановление удаленных (tombstone) объектов Active Directory
Часть 4 — Использование корзины Active Directory

 

Microsoft Active Directory является стандартом в корпоративной инфраструктуре, где требуется аутентификация пользователей и централизованное управление. Почти невозможно представить себе, как системные администраторы справлялись бы со своей работой без этой технологии. Однако использование Active Directory не только приносит большую пользу, но и налагает большую ответственность, требуя значительного времени и понимания процессов ее работы.

Эта серия cтатей расскажет, как успешно выполнять бэкап и восстановление Active Directory с помощью решений Veeam, которые предлагают все возможности для простой и удобной защиты AD. Возможно, вам будет интересно ознакомиться с недавней серией материалов «Рекомендации по администрированию AD», прежде чем приступить к чтению этой статьи.

В новой серии статей я объясняю, как Veeam может защитить данные Active Directory: сделать копии контроллеров домена (DC) или отдельных объектов AD и при необходимости восстановить их.

Сегодня я расскажу о возможностях бэкапа как физических, так и виртуальных контроллеров домена, которые предоставляет Veeam, и о том, что необходимо помнить во время бэкапа.

Рекомендации по бэкапу контроллеров домена

Сервисы Active Directory разработаны с учетом избыточности, поэтому привычные правила и тактики бэкапа необходимо адаптировать соответствующим образом. В данном случае будет неправильно использовать ту же политику бэкапа, что уже работает для серверов SQL или Exchange. Ниже я приведу ряд рекомендаций, которые могут помочь при разработке вашей собственной политики для Active Directory:

  • Выясните, какие контроллеры домена в вашей среде выполняют роли FSMO (Flexible Single Master Operations). Совет: простая команда для проверки через командную строку: >netdom query fsmo

Выполняя полное восстановление домена, лучше начать с контроллера домена с наибольшим числом ролей FSMO, — обычно это сервер с ролью эмулятора основного контроллера домена (PDC). В противном случае после восстановления вам придется передавать соответствующие роли вручную при помощи команды ntdsutil seize. Помните об этом при планировании бэкапа и приоритизации контроллеров домена. Подробнее о ролях FSMO можно прочитать в экспертной статье по основам работы с Active Directory.

  • Если на площадке несколько контроллеров домена, а вы хотите защитить отдельные объекты, то у вас нет необходимости в бэкапе всех контроллеров. Для восстановления отдельных объектов будет достаточно одной копии базы данных Active Directory (ntds.dit)
  • Всегда есть возможность снизить риск случайного или намеренного удаления или изменения объектов AD. Можно порекомендовать делегирование административных полномочий, настройку ограничений доступа с повышенными правами и резервную площадку c задержкой репликации.
  • Обычно рекомендуется выполнять бэкап контроллеров доменов поочередно и так, чтобы оно не пересекалось с репликацией DFS. Хотя современные решения (например, Veeam Backup & Replication v7 с пакетом обновления 3 и выше) знают, как решать эту проблему.
  • Если вы используете виртуальную среду VMware, контроллер домена может быть недоступен по сети (например, он находится в зоне DMZ). В этой ситуации Veeam переключится на соединение через VMware VIX и сможет обработать этот контроллер.

Бэкап виртуального контроллера домена

Сервисы Microsoft Active Directory организуют и хранят информацию об отдельных документах леса доменов в реляционной базе (ntds.dit), которая находится на контроллере домена. Раньше бэкап контроллера домена было очень утомительным процессом, поскольку включало бэкап состояния системы (system state) сервера. Хорошо известно, что сервисы Active Directory потребляют малую часть ресурсов системы, поэтому контроллеры домена обычно становятся первыми кандидатами для виртуализации. Если вы по-прежнему придерживаетесь той точки зрения, что они должны быть только физическими, прочитайте эту статью.

Будучи виртуализованными, они легко управляются администратором домена или системным администратором и защищены бэкапом Veeam Backup & Replication. Перед тем, как я перейду к деталям, вам нужно установить и настроить Veeam Backup & Replication.

Системные требования (для версии 9.0):

Виртуальная платформа: Гипервизоры VMware vSphere 4.1 и выше; Microsoft Hyper-V 2008 R2 SP1 и выше

Сервер Veeam: Windows Server 2008 SP2 и выше; Windows 7 SP1 и выше, 64-разрядная ОС

Виртуальная машина (ВМ) контроллера домена: Windows Server 2003 SP1 и выше, минимальный поддерживаемый функциональный уровень леса — Windows 2003

Права доступа: Права администратора Active Directory. Учетная запись администратора предприятия или домена.

В этой статье я не буду касаться процесса установки и настройки Veeam Backup & Replication, поскольку эта тема уже неоднократно освещалась. Если вам нужна помощь в этом вопросе, посмотрите видео, подготовленное системным инженером Veeam.

Предположим, что все настроено и готово к работе. Теперь нужно создать задание бэкапа контроллера домена. Процесс настройки довольно прост (рис. 1):

  1. Запустите мастер создания задания бэкапа
  2. Выберите нужный контроллер домена
  3. Определите политику хранения для цепочки резервных копий
  4. Не забудьте включить функцию обработки данных с учетом состояния приложений (AAIP) для обеспечения согласованности на уровне транзакций для ОС и приложений, работающих на ВМ, в том числе базы данных Active Directory и каталога SYSVOL

Примечание: AAIP — технология Veeam, которая обеспечивает бэкапа ВМ с учетом состояния приложений. Она выполняет поиск приложений гостевой ОС, сбор их метаданных, «заморозку» с помощью соответствующих механизмов (Microsoft VSS Writers), подготовку процедуры восстановления с использованием VSS для приложений, которая будет выполнена при первом запуске восстановленной ВМ, и усечение журналов транзакций приложений в случае успешного завершения бэкапа. Подробную информацию можно найти в документации AAIP.

Если функция AAIP не будет включена, гостевая ОС контроллера домена не поймет, что был выполнен ее бэкап и обеспечена защита. Поэтому через некоторое время вы можете обнаружить внутреннее предупреждение в журналах сервера: событие 2089 — «бэкап не выполнялся в течение интервала задержки архивации» (“backup latency interval”).

Edit Backup Job Guest processing

Рис. 1. Редактирование задания бэкапа: обработка файлов гостевых ОС 

  1. Запланируйте время выполнения задания или запустите его вручную
  2. Убедитесь, что задание успешно выполнено без ошибок и предупреждений

2 - Performing incremental backup of a DC

Рис. 2. Инкрементный бэкап

  1. Найдите вновь созданный файл резервной копии в репозитории — готово!

Резервную копию можно дополнительно сохранить в облако с помощью поставщика услуг Veeam Cloud Connect (VCC). Также ее можно перенести в другой репозиторий резервных копий, используя задания архивирования резервных копий или функционал архивирования на магнитную ленту. Самое главное, что теперь резервная копия хранится в надежном месте, и из нее в любой момент можно восстановить нужные данные.

Бэкап физического контроллера домена

Честно говоря, я надеюсь, что вы идете в ногу со временем, и в вашей компании контроллеры домена давно виртуализованы. Если это не так, то надеюсь, что вы их регулярно обновляете и они работают на относительно современных версиях ОС Windows Server —Windows Server 2008 (R2) и выше. (Если у вас в распоряжении более старые системы, переходите сразу к третьей статье в этой серии)

Итак, у вас есть один или несколько физических контроллеров домена, работающих под Windows Server 2008 R2 и выше, и вы хотите их защитить? В этом случае вам потребуется Veeam Endpoint Backup — решение, предназначенное специально для защиты данных физических компьютеров и серверов. Veeam Endpoint Backup копирует нужные данные с физической машины и сохраняет их в файл резервной копии. Тогда в случае аварии вы сможете восстановить данные «на голое железо» или выполнить восстановление на уровне логического диска. При этом у вас будет полный контроль процесса восстановления. Кроме того, вы сможете восстанавливать отдельные объекты с помощью Veeam Explorer для Microsoft Active Directory.

Чтобы выполнить бэкап физического контроллера домена с помощью этого инструмента, необходимо сделать следующее:

  • Загрузите Veeam Endpoint Backup FREE и скопируйте установщик на нужный сервер
  • Запустите мастер установки, примите лицензионное соглашение и установите программу

Примечание: чтобы выполнить установку в автоматическом режиме, используйте эту инструкцию.

  • Создайте задание бэкапа, выбрав нужный режим. Самый простой и рекомендуемый способ — резервное копирование всего компьютера целиком. Используя режим бэкапа на уровне файлов (file-level mode), выберите в качестве объекта копирования операционную систему (Operating system) (см. рис. 3). В этом случае программа скопирует все файлы, необходимые для восстановления «на голое железо». База данных Active Directory и каталог SYSVOL также будут сохранены. Подробная информация — в руководстве пользователя

3 - Selecting objects to backup in Veeam Endpoint Backup

Рис. 3. Выбор объектов копирования в Veeam Endpoint Backup

Примечание: Если в вашей среде уже установлен Veeam Backup & Replication, и вы хотите использовать существующий репозиторий Veeam для хранения резервных копий физических машин, вы можете перенастроить его прямо из Veeam Backup & Replication (удерживая Ctrl, щелкните правой кнопкой прямо на нужном репозитории, разрешите доступ к репозиторию и, при необходимости, включите шифрование, см. рис. 4).

4 - Selecting objects to backup in Veeam Endpoint Backup

Рис. 4. Настройка разрешений доступа к репозиторию резервных копий для Endpoint Backup

  • Запустите бэкап и убедитесь, что оно прошло без ошибок

5 - Veeam Endpoint Backup FREE Backup job statistics

Рис. 5. Veeam Endpoint Backup FREE: статистика заданий бэкапа

  • Вот и все! Бэкап выполнен, контроллер домена под защитой. Перейдите в репозиторий и найдите нужную резервную копию или цепочки резервных копий

6 - Incremental backup chain

Рис. 6. Цепочка инкрементных резервных копий

Примечание. Если вы настроили репозиторий Veeam Backup & Replication в качестве целевого хранилища для резервных копий, то вновь созданные резервные копии будут находиться в панели инфраструктуры Backups > Disk (резервные копии > диск), пункт Endpoint Backups.

7 - VBRv9 Backups-disk

Рис. 7. Veeam Backup & Replication: Backups-disk

Заключение

Неужели бэкап контроллера домена — это так просто? Да и нет. Успешный бэкап — это хорошее начало, но далеко не все. В Veeam говорят: «Резервная копия ничего не стоит, если из нее нельзя восстановить данные».

Следующие статьи в этой серии будут посвящены различным сценариям восстановления Active Directory, включая восстановление контроллера домена, а также восстановление отдельных удаленных и измененных объектов с помощью собственных инструментов Microsoft и Veeam Explorer для Active Directory.

Также вас может заинтересовать:

Андрей Железко
Андрей Железко
Andrew, currently working as a Global Technologist on the Veeam Product Strategy team, is a certified IT professional with over a decade of industry experience. Initially doing technical support for various solutions, including Veeam Backup & Replication, he has got practical expertise, which helps him to speak the same language as Veeam community members.

You can always find him presenting at different offline/online events, where he loves to solve the challenges associated with data protection. His motto is to help others realize the beauty and power of virtualization, cloud and SaaS technologies. 
More about author
Предыдущая статья Следующая статья
Содержание статьи
Язык статьи
Русский
Подпишитесь на еженедельную рассылку обновлений блога
Подписываясь, вы даете согласие на обработку персональных данных в соответствии с политикой конфиденциальности Veeam
Спасибо, что подписались на обновления нашего блога!
Теперь вы не пропустите важные публикации благодаря нашему еженедельному дайджесту.
OK
Free trial
Try now