Active Directory Backup Guide

Active Directory (AD) ist ein proprietärer Verzeichnisdienst von Microsoft, der für Windows-Domänennetzwerke entwickelt wurde. Es wurde erstmals in Windows Server 2000 für die zentrale Domänenverwaltung eingeführt. Es ist jetzt in allen nachfolgenden Windows Server-Betriebssystemen enthalten und ermöglicht Netzwerkadministratoren das Erstellen und Verwalten von Domänen, Benutzern, Objekten, Berechtigungen und Zugriffen innerhalb eines Netzwerks.

AD eignet sich hervorragend für die Verwaltung herkömmlicher lokaler Microsoft-Infrastrukturen, jedoch nicht für Cloud-Umgebungen. Microsoft Cloud Infrastructure verwendet Azure Active Directory, das denselben Zwecken dient wie das lokale Gegenstück. Active Directory und Azure Active Directory unterscheiden sich voneinander, können jedoch bis zu einem gewissen Grad zusammenarbeiten, wenn Ihre Organisation über eine Hybridbereitstellung (lokal und in der Cloud) verfügt.

Das Anzeigenlayout folgt einer abgestuften Struktur, die aus Domänen, Bäumen und Wäldern besteht. Eine Domäne ist eine Gruppe von Objekten (z. B. Benutzer oder Geräte), die dieselbe AD-Datenbank gemeinsam nutzen. Ein Baum ist eine Sammlung von Domänen, und ein Wald ist eine Sammlung von Bäumen. Der wichtigste Active Directory-Dienst ist Active Directory Domain Services (AD DS), der Teil des Windows Server-Betriebssystems ist. Die Server, auf denen AD DS ausgeführt wird, werden als Domänencontroller (DCs) bezeichnet. Einige Organisationen haben mehrere DCs, und jeder hat eine Kopie des Verzeichnisses für die gesamte Domäne. Um sicherzustellen, dass die DCs auf dem neuesten Stand bleiben, werden Änderungen am Verzeichnis auf einem DC, z. B. die Änderung des Kennworts, auch auf die anderen DCs repliziert.

Die Active Directory-Datenbank (directory) hat eine hierarchische baumartige Struktur und enthält Informationen zu den AD-Objekten in der Domäne. Zu den gängigen Typen von AD-Objekten gehören Benutzer, Computer, Anwendungen, Drucker und freigegebene Ordner. Die Ntds.dit-Datei wird verwendet, um die AD-Datenbank zu speichern. Die Datenbank ist in mehrere Abschnitte unterteilt, die verschiedene Arten von Informationen enthalten — eine Schemapartition (die das Design der AD-Datenbank bestimmt), eine Konfigurationspartition (Informationen zur AD-Struktur) und einen Domänennamenkontext (Benutzer, Gruppen, Druckerobjekte). Active Directory ist eng mit Windows-geschützten Systemdateien, der Systemregistrierung eines Domänencontrollers, dem Sysvol-Verzeichnis, der COM + -Klassenregistrierungsdatenbank und Clusterdienstinformationen integriert. Bei der Planung einer Backup-Strategie ist es wichtig, eine solche Integration zu berücksichtigen, insbesondere aufgrund der unmittelbaren Auswirkungen auf die AD.

Müssen Sie das Active Directory sichern?

Active Directory ist eine der wichtigsten Komponenten in jedem Windows-Netzwerk. Wenn Sie keine Backup-Strategie haben, könnte dies die gesamte Organisation gefährden. Die beste Vorgehensweise besteht darin, mehrere Active Directory-Domänencontroller mit Failover-Funktionen zu haben, sodass Sie auch ohne Sicherung eine Wiederherstellung durchführen können, wenn einer ausfällt. Mehrere Domänencontroller reichen jedoch nicht aus, um keine Sicherung durchzuführen. Sie sollten immer noch eine Sicherung des Active Directory durchführen, unabhängig davon, ob Sie mehrere Domänencontroller haben oder nicht. Mehrere Domänencontroller können gleichzeitig ausfallen, versehentliches oder vorsätzliches Löschen aller Konten oder kritischen Organisationseinheiten (OU) kann auftreten, gesamte Datenbankbeschädigung kann auftreten, Viren und Ransomware oder eine andere Katastrophe könnten alle Domänencontroller auslöschen. In einer solchen Situation müssten Sie es aus einem Backup wiederherstellen. Deshalb müssen Sie ein Backup erstellen.

Sie müssen wahrscheinlich nicht jeden einzelnen Domänencontroller sichern, um eine gute Sicherung des AD zu erhalten. Sie sollten wirklich nur einen der Domänencontroller sichern müssen. Wenn Ihr Domänencontroller abstürzt, Ihr Netzwerk und damit die Geschäftsaktivitäten zum Erliegen kommen. Obwohl Active Directory-Dienste mit hoher Redundanz ausgelegt sind (wenn Sie mehrere DCs in Ihrem Netzwerk bereitgestellt haben). Es ist daher wichtig, eine klare Active Directory-Sicherungsrichtlinie zu entwickeln und zu implementieren. Wenn mehrere DCs ausgeführt werden, müssen Sie mindestens einen sichern. Der ideale DC für die Sicherung sollte derjenige sein, der die flexible Single Master Operation (FSMO) -Rolle ausführt. Mit einer guten Implementierung einer Sicherungs- und Wiederherstellungsstrategie kann Ihre Organisation nach einem Absturz Ihrer Domänencontroller problemlos wiederhergestellt werden.

Wenn der Active Directory-Domänencontroller (AD DC) aus irgendeinem Grund nicht verfügbar ist, können sich Benutzer nicht anmelden und Systeme können nicht ordnungsgemäß funktionieren, was zu Störungen der Geschäftsaktivitäten führen kann. Deshalb ist das Sichern Ihres Active Directory wichtig. In diesem Artikel zeigen wir Ihnen, wie Sie einen Active Directory-Domänencontroller sichern, der unter Windows Server 2019 ausgeführt wird. Bevor wir beginnen, werden wir uns ein Konzept ansehen, das als Systemstatussicherung bekannt ist und wie es sich auf Active Directory-Daten auswirkt.

Systemzustandssicherung

Microsoft Windows Server bietet die Möglichkeit, eine ‚vollständige‘ Sicherung oder eine ‚Systemzustandssicherung‘ durchzuführen. Eine vollständige Sicherung erstellt eine Kopie der Systemlaufwerke einer physischen oder virtuellen Maschine, einschließlich Anwendungen, Betriebssystemen und sogar des Systemstatus. Diese Sicherung kann für die Bare-Metal-Wiederherstellung verwendet werden – auf diese Weise können Sie das Betriebssystem einfach neu installieren und die Sicherung zur Wiederherstellung verwenden.

System State Backup erstellt andererseits eine Sicherungsdatei für kritische systembezogene Komponenten. Diese Backup-Datei kann verwendet werden, um kritische Systemkomponenten im Falle eines Absturzes wiederherzustellen. Active Directory wird als Teil des Systemstatus auf einem Domänencontroller gesichert, wenn Sie eine Sicherung mit Windows Server Backup, Wbadmin, durchführen.exe oder PowerShell. Für die Zwecke dieses Handbuchs verwenden wir die Systemstatussicherung, da wir damit nur die Komponenten sichern können, die zum Wiederherstellen von Active Directory erforderlich sind. Beachten Sie jedoch, dass Microsoft das Wiederherstellen einer Systemstatussicherung von einem Server auf einen anderen Server eines anderen Modells oder einer anderen Hardwarekonfiguration nicht unterstützt. Die Sicherung des Systemstatus eignet sich am besten für die Wiederherstellung von Active Directory nur auf demselben Server.

Wie später in diesem Handbuch beschrieben, muss Windows Server Backup über Features im Server-Manager installiert werden, bevor Sie es zum Sichern oder Wiederherstellen Ihres Servers verwenden können. Die Art der Sicherung, die Sie für Ihre Domänencontroller auswählen, hängt von der Häufigkeit der Änderungen an Active Directory und den Daten oder Anwendungen ab, die möglicherweise auf dem Domänencontroller installiert sind. Das absolute Minimum, das Sie sichern müssen, um wichtige Active Directory-Daten auf einem Domänencontroller zu schützen, ist der Systemstatus. Der Systemstatus enthält die folgende Liste sowie einige zusätzliche Elemente, abhängig von den installierten Rollen:

  • Domänencontroller: Active Directory DC-Datenbankdateien (NTDS.DIT), Boot-Dateien & System protected files, COM+ class registration database, registry, system volume (SYSVOL)
  • Domänenmitglied: Boot-Dateien, COM+ class registration database, registry
  • Ein Computer, auf dem Cluster-Dienste ausgeführt werden: Sichert zusätzlich Cluster-Server-Metadaten
  • Ein Computer, auf dem Zertifikatdienste ausgeführt werden: Sichert Zusätzlich Zertifikatsdaten

Darüber hinaus Active Directory-integrierte DNS-Zonen, aber keine dateibasierten DNS-Zonen. Dateibasierte DNS-Zonen müssen als Teil einer Sicherung auf Volume-Ebene gesichert werden, z. B. einer kritischen Volume-Sicherung oder einer vollständigen Serversicherung. Alle oben genannten Sicherungstypen können bei Bedarf manuell ausgeführt oder mithilfe der Windows Server-Sicherung geplant werden. Sie können entweder Windows Server Backup oder Wbadmin verwenden.exe zum Durchführen einer Systemstatussicherung eines Domänencontrollers zum Sichern von Active Directory. Microsoft empfiehlt die Verwendung einer dedizierten internen Festplatte oder eines externen Wechseldatenträgers, z. B. einer USB-Festplatte, um die Sicherungen durchzuführen.

Sicherungsoperatoren verfügen nicht über die erforderlichen Berechtigungen zum Planen von Sicherungen. Sie müssen über Administratorrechte verfügen, um eine Sicherung oder Wiederherstellung des Systemstatus planen zu können. Eine Systemstatussicherung ist besonders wichtig für die Notfallwiederherstellung, da Windows nicht mehr in den ursprünglichen Zustand zurückkonfiguriert werden muss, bevor der Systemfehler aufgetreten ist. Es ist wichtig, dass Sie immer eine aktuelle Sicherung Ihres Systemstatus haben. Möglicherweise müssen Sie regelmäßige Systemstatussicherungen durchführen, um Ihr Schutzniveau zu erhöhen. Es wird empfohlen, Systemstatussicherungen vor und nach größeren Änderungen an Ihrem Server durchzuführen.

Bevor Sie mit dem Sicherungsvorgang fortfahren, müssen Sie die folgenden ersten Schritte beachten:

  1. Es ist wichtig, dass Sie über den erforderlichen Speicherplatz verfügen, um die Sicherung durchzuführen, die Sie durchführen möchten.
  2. Wenn Sie eine Sicherung durchführen, während die Anwendungen, die die Daten erzeugen, noch ausgeführt werden (was normalerweise der Fall ist), müssen Sie den Volume Shadow Copy-Dienst, auch Volume Snapshot Service (VSS) genannt, auf dem Laufwerk konfigurieren, damit die Sicherung erfolgreich ist. Dieser Dienst hilft beim Erstellen von Sicherungskopien oder Snapshots von Computerdateien oder -volumes, auch wenn diese verwendet werden.
  3. Sie müssen die Windows Server-Sicherungsfunktion installieren, wenn Sie dies noch nicht getan haben. Windows Server 2019 kommt genau wie frühere Editionen mit der Windows Server-Sicherungsfunktion, mit der Active Directory-Datenbanksicherungen und -wiederherstellungen durchgeführt werden können. Jetzt werden wir die obigen Schritte im Detail durchgehen.

Konfigurieren des Volume Shadow Copy Service (VSS)

Es ist wichtig sicherzustellen, dass die AD-Datenbank so gesichert wird, dass die Datenbankkonsistenz erhalten bleibt. Eine Möglichkeit, die Konsistenz zu erhalten, besteht darin, die AD-Datenbank zu sichern, wenn sich der Server im ausgeschalteten Zustand befindet. Das Sichern des Active Directory-Servers im ausgeschalteten Zustand ist jedoch möglicherweise keine gute Idee, wenn der Server im 24/7-Modus betrieben wird.

Aus diesem Grund empfiehlt Microsoft die Verwendung des Volume Shadow Copy Service (VSS) zum Sichern eines Servers, auf dem Active Directory ausgeführt wird. VSS ist eine in Microsoft Windows enthaltene Technologie, mit der Sicherungskopien oder Snapshots von Computerdateien oder -volumes erstellt werden können, selbst wenn sie verwendet werden. VSS-Writer erstellen einen Snapshot, der den Systemstatus einfriert, bis die Sicherung abgeschlossen ist, um zu verhindern, dass aktive Dateien, die von Active Directory während eines Sicherungsprozesses verwendet werden, geändert werden. Auf diese Weise ist es möglich, einen laufenden Server zu sichern, ohne dessen Leistung zu beeinträchtigen. In diesem Handbuch zeigen wir Ihnen, wie Sie die Konfiguration der Größenbeschränkung für Schattenkopien auf dem Volume ändern, auf dem die AD-Datenbank gespeichert werden soll.

1. Drücken Sie eine Kombination aus Win + X auf Ihrer Tastatur, um den Festplatten-Manager zu öffnen. Wählen Sie die Partition aus, auf der der Server installiert ist, klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Eigenschaften.klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Eigenschaften

2. Gehen Sie zur Registerkarte Schattenkopien und klicken Sie dann auf Aktivieren, wie im Bild unten gezeigt.

Registerkarte Schattenkopien

3. Klicken Sie im nächsten Fenster auf Ja, um zu bestätigen, dass Sie Schattenkopien wie unten gezeigt aktivieren möchten.

Bestätigen Sie, dass Sie Schattenkopien aktivieren möchten

4. Nach der Bestätigung sehen Sie einen Wiederherstellungspunkt, der in der ausgewählten Partition erstellt wurde. Klicken Sie auf Einstellungen, um fortzufahren.

In der ausgewählten Partition erstellter Wiederherstellungspunkt

5. Wählen Sie im unten gezeigten Einstellungsbildschirm unter Maximale Größe die Option Keine Begrenzung aus. Sobald Sie fertig sind, klicken Sie auf die Schaltfläche OK, und das tut es für diesen Abschnitt—konfigurieren Sie den Volume Shadow Copy Service (VSS).

Wählen Sie unter Maximale Größe die Option Keine Begrenzung

Installieren Sie die Windows Server-Sicherungsfunktion

Windows Server Backup ist ein Dienstprogramm, das von Microsoft mit Windows Server 2008 und späteren Editionen bereitgestellt wird. Es ersetzte das Dienstprogramm NTBackup, das in Windows Server 2003 integriert war. Windows Server Backup ist eine Funktion, die in Windows Server 2019 wie in anderen früheren Editionen installiert werden kann. Wenn Sie die Sicherungsfunktion also noch nicht verwendet haben, müssen Sie sie wahrscheinlich zuerst installieren. Die Installation dieser Funktion erfolgt über den Server-Manager.

1. Öffnen Sie die Server-Manager-Konsole wie in der Abbildung unten gezeigt.

Server-Manager-Konsole

2. Gehen Sie zur Registerkarte Lokaler Server >> Verwalten >> und klicken Sie auf Rollen und Funktionen hinzufügen (siehe Abbildung unten). Dadurch wird der Assistent zum Hinzufügen von Rollen und Features geöffnet.

Gehe zum lokalen Server

3, Wählen Sie im Bildschirm Installationstyp auswählen die Option Rollen- oder Feature-basierte Installation aus und klicken Sie auf Weiter.Installationsart auswählen

4. Im nächsten Bildschirm Zielserver auswählen müssen Sie den Server auswählen, auf dem Sie Rollen und Features installieren möchten. Windows zeigt automatisch den Serverpool an. In diesem Fall wählen wir den lokalen Server WD2K19-DC01-mylablocal.

Zielserver auswählen

5. Im Bildschirm Serverrollen auswählen müssen Sie die Rollen auswählen, die auf dem Server installiert werden sollen. Da wir eine Funktion installieren, können Sie diesen Abschnitt ignorieren und mit dem nächsten Bildschirm fortfahren. Klicken Sie auf Weiter, um fortzufahren.

Serverrollen auswählen

6. Scrollen Sie im Bildschirm Funktionen auswählen unten nach unten zur Windows Server-Sicherungsfunktion, und wählen Sie sie wie in der Abbildung unten dargestellt aus. Klicken Sie auf Weiter, um fortzufahren.

Funktionen auswählen

7. Stellen Sie im Bildschirm Installationsauswahl bestätigen sicher, dass die Windows Server-Sicherungsfunktion auf dem Bildschirm angezeigt wird, und klicken Sie auf die Schaltfläche Installieren, um die Installation zu starten.

Installationsauswahl bestätigen

Die Windows Server-Sicherungsfunktion wird auf Ihrem lokalen Server installiert. Klicken Sie nach Abschluss der Installation auf die Schaltfläche Schließen, um die Konsole zu schließen.

Klicken Sie auf die Schaltfläche Schließen, um die Konsole zu schließen

Sichern Sie die Active Directory-Datenbank

1. Gehen Sie nun zum Server-Manager und klicken Sie auf Tools >> Windows Server Backup, um es zu öffnen. Sie können diese Konsole auch öffnen, indem Sie den Befehl wbadmin ausführen.msc auf dem Windows-Lauf (Strg + R). Sobald es geöffnet wird, können Sie den geplanten und den letzten Sicherungsstatus anzeigen (es sei denn, dies ist das erste Mal, dass Sie dies tun.)

 gehen Sie zum Server-Manager

2. Sobald die Serversicherung geöffnet ist, klicken Sie auf Einmal sichern, um eine manuelle AD-Datenbanksicherung zu starten. Obwohl Sie auch automatische geplante Sicherungen erstellen können, indem Sie auf Sicherungsplan klicken, erstellen wir in diesem Handbuch eine manuelle Sicherung.

Klicken Sie einmal auf Backup, um eine manuelle AD-Datenbanksicherung zu starten

3. Wählen Sie unter Sicherungsoptionen Verschiedene Optionen aus und klicken Sie auf die Schaltfläche Weiter.

Verschiedene Optionen auswählen

4. Im Bildschirm Backup-Konfiguration auswählen haben Sie zwei Möglichkeiten:

    • Full Server sichert alle Serverdaten, Anwendungen und Systemstatus
    • Benutzerdefinierte können Sie wählen, was Sie sichern möchten.

Da wir nur das Active Directory sichern möchten, wählen wir die zweite Option. Wählen Sie also Benutzerdefiniert und klicken Sie auf Weiter.

Backup-Konfiguration auswählen - benutzerdefiniert

5. Geben Sie im Bildschirm Elemente für Sicherung auswählen die Elemente an, die Sie in die Sicherung aufnehmen möchten. In dieser Sicherung wählen wir das Sicherungselement Systemstatus aus. Klicken Sie dazu auf die Schaltfläche Elemente hinzufügen >> Wählen Sie die Option Systemstatus >> und klicken Sie auf die Schaltfläche OK, um den Vorgang abzuschließen.

Elemente für die Sicherung auswählen

 Elemente für die Sicherung auswählen - Systemstatus

6. Jetzt aktivieren wir den Volume Shadow Copy-Dienst für dieses Sicherungselement. Dadurch wird verhindert, dass AD-Daten während der Sicherung geändert werden. Um VSS zu aktivieren, klicken Sie auf Erweiterte Einstellungen >> VSS-Einstellungen >> Wählen Sie VSS Full Backup und klicken Sie auf OK. Die VSS-Vollsicherung ist die empfohlene Option, wenn es sich um Ihre erste Sicherung handelt und Sie kein Backup-Tool eines Drittanbieters verwenden. Mit dieser Option können Sie eine Sicherungskopie aller Dateien erstellen. Es ist auch die bevorzugte Methode für inkrementelle Sicherungen, da es die Reihenfolge der Sicherung nicht beeinflusst.VSS aktivierenVSS-Vollsicherung aktivieren

7. Im nächsten Bildschirm müssen Sie den Typ des Sicherungsziels angeben — Lokale Laufwerke oder freigegebener Remoteordner. Für die Zwecke dieser Demonstration verwenden wir eine lokale Festplatte, um die Sicherung zu speichern. Wählen Sie Lokale Laufwerke und klicken Sie auf Weiter.

Geben Sie den Sicherungszieltyp an

8. Im Bildschirm Sicherungsziel auswählen können Sie die tatsächliche Partition auswählen, auf der Sie das Backup speichern möchten. Wenn Sie fertig sind, klicken Sie auf Weiter, um zum nächsten Bildschirm zu gelangen.

Backup-Ziel auswählen

9. Auf dem Bestätigungsbildschirm können Sie überprüfen, ob alle Sicherungsparameter korrekt konfiguriert sind. Sobald Sie bereit sind, klicken Sie auf die Schaltfläche Backup. Die Sicherung sollte je nach Größe des Domänencontrollerservers einige Zeit in Anspruch nehmen. Sobald die Sicherung erfolgreich abgeschlossen ist, können Sie den Sicherungsassistenten schließen.

Der Bestätigungsbildschirm

Wenn Sie den Sicherungsassistenten geschlossen haben, ohne auf den letzten Nachrichtenstatus zu warten, wird die Sicherung im Hintergrund fortgesetzt. Sie können den Status und die Abschlussergebnisse der Sicherung auch über die Webadmin-Konsole (oder die Windows Server-Sicherungsfunktion) bestätigen. Die Konsole zeigt eine Meldung mit Informationen aus dieser Sicherung (und anderen) an.

Fazit

Wir haben ausführlich erklärt, wie Sie das Active Directory mithilfe der Windows Server-Sicherung sichern. Wir haben den manuellen Ansatz „Einmal sichern“ verwendet, aber natürlich können Sie auch einen „Sicherungszeitplan“ konfigurieren, um regelmäßige AD-Sicherungsaufgaben auszuführen.

Wie bereits erwähnt, ist die Windows Server-Sicherungsfunktion ein einfach zu verwendendes kostenloses Tool, das in den meisten Windows Server-Betriebssystemen gebündelt ist und mit VSS arbeiten kann, um vollständige Sicherungen oder Sicherungen des Systemstatus durchzuführen. Es gibt jedoch auch viele Active Directory-Sicherungstools von Drittanbietern, die Sie verwenden können. Tatsächlich sollte fast jeder Backup-Service auf Unternehmensebene in der Lage sein, Active Directory mit wenig bis gar keinen Schwierigkeiten zu sichern. Der Unterschied zwischen all diesen Tools liegt hauptsächlich in der Art und Weise, wie einige von ihnen mehr Funktionen bieten, insbesondere wenn es um das Sichern und Wiederherstellen des Active Directory geht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.