Active Directory (AD) es un servicio de directorio propietario de Microsoft desarrollado para redes de dominio de Windows. Se introdujo por primera vez en Windows Server 2000 para la administración centralizada de dominios. Ahora se incluye en todos los sistemas operativos Windows Server posteriores, lo que permite a los administradores de red crear y administrar dominios, usuarios, objetos, privilegios y acceso dentro de una red.
AD es excelente para administrar la infraestructura de Microsoft local tradicional, pero no los entornos en la nube. La infraestructura de nube de Microsoft utiliza Azure Active Directory, que sirve para los mismos fines que su homólogo local. Active Directory y Azure Active Directory son distintos, pero pueden funcionar juntos en cierta medida si su organización tiene una implementación híbrida (local y en la nube).
El diseño del anuncio sigue una estructura por niveles compuesta de dominios, árboles y bosques. Un dominio es un grupo de objetos (como usuarios o dispositivos) que comparten la misma base de datos de anuncios. Un árbol es una colección de dominios, y un bosque es una colección de árboles. El servicio principal de Active Directory son los servicios de dominio de Active Directory (AD DS), que forman parte del sistema operativo Windows Server. Los servidores que ejecutan AD DS se denominan Controladores de dominio (DCs). Algunas organizaciones tienen varios DCs, y cada uno tiene una copia del directorio para todo el dominio. Para garantizar que el DCs se mantenga actualizado, los cambios realizados en el directorio de un DC, como el cambio de contraseña, también se replican en el otro DCs.
La base de datos de Active Directory (directorio) tiene una estructura jerárquica tipo árbol y contiene información sobre los objetos AD del dominio. Los tipos comunes de objetos de AD incluyen usuarios, equipos, aplicaciones, impresoras y carpetas compartidas. Los DTN.el archivo dit se utiliza para almacenar la base de datos de anuncios. La base de datos se divide en varias secciones que contienen diferentes tipos de información: una partición de esquema (que determina el diseño de la base de datos de AD), una partición de configuración (información sobre la estructura de AD) y un contexto de nombres de dominio (usuarios, grupos, objetos de impresora). Active Directory está estrechamente integrado con archivos de sistema protegidos de Windows, Registro de sistema de un controlador de dominio, directorio Sysvol, Base de datos de Registro de clase COM+ e información de servicio de clúster. Al planificar una estrategia de copia de seguridad, es importante considerar dicha integración, especialmente debido al impacto inmediato que tiene en el anuncio.
¿Necesita hacer una copia de seguridad de Active directory?
Active Directory es uno de los componentes más importantes de cualquier red Windows. No tener ninguna estrategia de respaldo podría poner en riesgo a toda la organización. Su mejor práctica es tener varios controladores de dominio de Active directory con funcionalidades de conmutación por error para que, cuando uno falle, aún pueda recuperarse incluso sin una copia de seguridad. Sin embargo, tener varios controladores de dominio no es suficiente justificación para no hacer una copia de seguridad. Aún debe hacer una copia de seguridad de Active directory, ya sea que tenga varios controladores de dominio o no. Varios controladores de dominio pueden fallar a la vez, puede ocurrir la eliminación accidental o deliberada de todas las cuentas o unidades organizativas críticas (UO), puede ocurrir corrupción de bases de datos completas, virus y ransomware o cualquier otro desastre podría eliminar todos los controladores de dominio. En tal situación, tendría que restaurarlo desde una copia de seguridad. Por eso necesitas refuerzos.
Probablemente no necesites hacer una copia de seguridad de cada controlador de dominio para obtener una buena copia de seguridad del ANUNCIO. Solo debería tener que hacer una copia de seguridad de uno de los controladores de dominio. Si su controlador de dominio se bloquea, su red y, por extensión, las actividades comerciales se detienen. Aunque los servicios de Active directory están diseñados con alta redundancia (si implementó varios DCs en su red). Por lo tanto, es importante desarrollar e implementar una política de copia de seguridad de Active directory clara. Si tiene varios DCs en ejecución, debe hacer una copia de seguridad de al menos uno de ellos. El DC ideal para la copia de seguridad debe ser el que ejecuta el rol de Operación Maestra Única Flexible (FSMO). Con una buena implementación de la estrategia de copia de seguridad y recuperación, su organización puede recuperarse fácilmente después de que se bloqueen los controladores de dominio.
Si el Controlador de dominio de Active Directory (AD DC) deja de estar disponible por cualquier motivo, los usuarios no podrán iniciar sesión y los sistemas no funcionarán correctamente, lo que puede provocar interrupciones en las actividades empresariales. Por eso es importante hacer copias de seguridad de Active Directory. En este artículo, le mostraremos cómo hacer una copia de seguridad de un controlador de dominio de Active Directory que se ejecuta en Windows Server 2019. Antes de comenzar, echaremos un vistazo a un concepto conocido como Copia de seguridad del estado del sistema y cómo afecta a los datos de Active Directory.
Copia de seguridad del estado del sistema
Microsoft Windows Server ofrece la posibilidad de realizar una copia de seguridad «Completa» o una copia de seguridad «del estado del sistema». Una copia de seguridad completa hace una copia de las unidades del sistema de una máquina física o virtual, incluidas las aplicaciones, los sistemas operativos e incluso el Estado del sistema. Esta copia de seguridad se puede usar para la recuperación de metal desnudo, esto le permite reinstalar fácilmente el sistema operativo y usar la copia de seguridad para recuperarse.
La copia de seguridad del estado del sistema, por otro lado, crea un archivo de copia de seguridad para componentes críticos relacionados con el sistema. Este archivo de copia de seguridad se puede usar para recuperar componentes críticos del sistema en caso de un bloqueo. Se realiza una copia de seguridad de Active Directory como parte del Estado del sistema en un controlador de dominio cada vez que se realiza una copia de seguridad mediante la copia de seguridad de Windows Server, Wbadmin.exe o PowerShell. Para el propósito de esta guía, usaremos copia de seguridad del estado del sistema porque nos permite realizar copias de seguridad solo de los componentes necesarios para restaurar Active Directory. Sin embargo, tenga en cuenta que Microsoft no admite la restauración de una copia de seguridad del estado del sistema de un servidor a otro servidor de un modelo o configuración de hardware diferente. La copia de seguridad de estado del sistema es la más adecuada para recuperar Active Directory solo en el mismo servidor.
Como se describe más adelante en esta guía, la copia de seguridad de Windows Server debe instalarse a través de características del Administrador del servidor antes de poder usarla para realizar copias de seguridad o recuperar el servidor. El tipo de copia de seguridad que seleccione para sus controladores de dominio dependerá de la frecuencia de los cambios en Active Directory y de los datos o aplicaciones que se puedan instalar en el controlador de dominio. Lo mínimo que necesita hacer una copia de seguridad para proteger los datos esenciales de Active Directory en un controlador de dominio es el Estado del sistema. El Estado del sistema incluye la siguiente lista, además de algunos elementos adicionales en función de los roles instalados:
- Controlador de dominio: Archivos de base de datos DC de Active Directory (NTDS.DIT), archivos de arranque & archivos protegidos del sistema, base de datos de registro de clase COM+, registro, volumen del sistema (SYSVOL)
- Miembro del dominio: Archivos de arranque, base de datos de registro de clase COM+, registro
- Una máquina que ejecuta servicios de clúster: Además, realiza copias de seguridad de metadatos del servidor de clúster
- Una máquina que ejecuta servicios de certificados: Además, realiza copias de seguridad de datos de certificados
realice copias de seguridad de las zonas DNS integradas en Active Directory, pero no realizará copias de seguridad de las zonas DNS basadas en archivos. Las zonas DNS basadas en archivos deben respaldarse como parte de una copia de seguridad a nivel de volumen, como una copia de seguridad de volumen crítica o una copia de seguridad de servidor completa. Todos los tipos de copias de seguridad anteriores se pueden ejecutar manualmente bajo demanda o se pueden programar mediante copias de seguridad de Windows Server. Puede usar copias de seguridad de Windows Server o Wbadmin.exe para realizar una copia de seguridad del estado del sistema de un controlador de dominio para hacer una copia de seguridad de Active Directory. Microsoft recomienda usar un disco interno dedicado o un disco extraíble externo, como un disco duro USB, para realizar las copias de seguridad.
Los operadores de copia de seguridad no tienen los privilegios necesarios para programar copias de seguridad. Debe tener derechos administrativos para poder programar una copia de seguridad o restauración del estado del sistema. Una copia de seguridad del estado del sistema es particularmente importante para fines de recuperación ante desastres, ya que elimina la necesidad de volver a configurar Windows a su estado original antes de que se produjera el fallo del sistema. Es importante que siempre tenga una copia de seguridad reciente del estado de su sistema. Es posible que requieran que realice copias de seguridad regulares del estado del sistema para aumentar su nivel de protección. Le recomendamos que realice copias de seguridad del estado del sistema antes y después de realizar cualquier cambio importante en su servidor.
Antes de continuar con el proceso de copia de seguridad, debe tomar nota de los siguientes pasos iniciales:
- Es importante que tenga la cantidad de espacio de almacenamiento necesaria para acomodar la copia de seguridad que está a punto de realizar.
- Si va a realizar una copia de seguridad mientras las aplicaciones que producen los datos todavía se están ejecutando (lo que suele ser el caso), debe configurar el Servicio de Instantáneas de volumen, también conocido como Servicio de Instantáneas de volumen (VSS) en la unidad para que la copia de seguridad se realice correctamente. Este servicio ayuda a crear copias de seguridad o instantáneas de archivos o volúmenes de computadora, incluso cuando están en uso.
- Debe instalar la función de copia de seguridad de Windows Server si aún no lo ha hecho. Windows Server 2019 al igual que las ediciones anteriores, viene con la función de copia de seguridad de Windows Server que ayuda a realizar copias de seguridad y restauraciones de bases de datos de Active Directory. Ahora vamos a ir a través de los pasos anteriores en detalle.
Configurar el Servicio de Instantáneas de volumen (VSS)
Es importante asegurarse de que la copia de seguridad de la base de datos de ANUNCIOS se realice de forma que se mantenga la coherencia de la base de datos. Una forma de preservar la coherencia es hacer una copia de seguridad de la base de datos de anuncios cuando el servidor está apagado. Sin embargo, la copia de seguridad del servidor de Active Directory en estado apagado puede no ser una buena idea si el servidor funciona en modo 24/7.
Por este motivo, Microsoft recomienda el uso de Volume Shadow Copy Service (VSS) para hacer una copia de seguridad de un servidor que ejecuta Active Directory. VSS es una tecnología incluida en Microsoft Windows que puede crear copias de seguridad o instantáneas de archivos o volúmenes de computadora, incluso cuando están en uso. Los escritores VSS crean una instantánea que congela el estado del sistema hasta que se complete la copia de seguridad para evitar la modificación de los archivos activos utilizados por Active Directory durante un proceso de copia de seguridad. De esta manera, es posible hacer una copia de seguridad de un servidor en ejecución sin afectar su rendimiento. Para esta guía, le mostraremos cómo cambiar la configuración del límite de tamaño de la sombra en el volumen donde vamos a almacenar la base de datos de anuncios.
1. Pulse una combinación de Win + X en el teclado para abrir el Administrador de discos. Seleccione la partición donde está instalado el servidor, luego haga clic con el botón derecho en ella y haga clic en Propiedades.
2. Vaya a la pestaña Copias de sombra y luego haga clic en Habilitar como se muestra en la imagen de abajo.Pestaña de instantáneas
3. En la siguiente ventana, haga clic en Sí para confirmar que desea habilitar las instantáneas como se muestra a continuación.
4. Después de la confirmación, verá un punto de restauración creado en la partición seleccionada. Haga clic en Configuración para continuar.
5. En la pantalla de Configuración que se muestra a continuación, en Tamaño máximo, seleccione Sin límite. Una vez completado, haga clic en el botón ACEPTAR, y eso es todo para esta sección: configure el Servicio de Instantáneas de volumen (VSS).
Instalar la función de copia de seguridad de Windows Server
Copia de seguridad de Windows Server es una utilidad proporcionada por Microsoft con Windows Server 2008 y ediciones posteriores. Reemplazó a la utilidad NTBackup que estaba integrada en Windows Server 2003. La copia de seguridad de Windows Server es una característica que se puede instalar en Windows Server 2019 al igual que en otras ediciones anteriores. Por lo tanto, si aún no ha utilizado la función de copia de seguridad, es probable que tenga que instalarla primero. La forma de instalar esta función es a través del Administrador del servidor.
1. Abra la consola del Administrador del servidor como se muestra en la imagen de abajo.
2. Vaya a Servidor local > > pestaña Administrar > > y haga clic en Agregar roles y características como se ve en la imagen de abajo. Esto abrirá el Asistente para Agregar Roles y características.
3, En la pantalla Seleccionar tipo de instalación, seleccione la opción de instalación basada en funciones o funciones y haga clic en Siguiente.
4. En la siguiente pantalla llamada Seleccionar servidor de destino, se le pedirá que seleccione el servidor en el que desea instalar roles y características. Windows mostrará automáticamente el grupo de servidores. En este caso, vamos a seleccionar el servidor local, que es WD2K19-DC01-mylablocal.
5. En la pantalla Seleccionar roles de servidor, debe seleccionar los roles que desea instalar en el servidor. Dado que estamos instalando una función, puede ignorar esta sección y continuar con la siguiente pantalla. Haga clic en Siguiente para continuar.
6. En la pantalla Seleccionar características a continuación, desplácese hacia abajo hasta la función de copia de seguridad de Windows Server y selecciónela como se ve en la imagen a continuación. Haga clic en Siguiente para continuar.
7. En la pantalla Confirmar selecciones de instalación, asegúrese de que la función de copia de seguridad de Windows Server esté en la pantalla y haga clic en el botón Instalar para iniciar la instalación.
La función de copia de seguridad de Windows Server comenzará a instalarse en el servidor local. Una vez finalizada la instalación, haga clic en el botón Cerrar para cerrar la consola.
Haga una copia de seguridad de la base de datos de Active Directory
1. Ahora vaya al Administrador del servidor y haga clic en Herramientas> > Copia de seguridad de Windows Server, para abrirlo. También puede abrir esta consola ejecutando el comando wbadmin.msc en la ejecución de Windows (Ctrl + R). Una vez que se abra, podrá ver el estado de la última copia de seguridad programada (a menos que sea la primera vez que lo haga).)
2. Una vez que se abra la copia de seguridad del servidor, haga clic en Copia de seguridad una vez para iniciar una copia de seguridad manual de la base de datos de anuncios. Aunque también puede crear copias de seguridad programadas automáticas haciendo clic en Programación de copias de seguridad, para esta guía vamos a crear una copia de seguridad manual.
3. En Opciones de copia de seguridad, seleccione diferentes opciones y haga clic en el botón Siguiente, Esta opción se usa cuando no hay una copia de seguridad programada.
4. En la pantalla Seleccionar Configuración de copia de seguridad, tiene dos opciones:
-
- El servidor completo realiza copias de seguridad de todos los datos del servidor, las aplicaciones y el estado del sistema
- Personalizado le permite elegir lo que desea hacer una copia de seguridad.
Como solo queremos hacer una copia de seguridad del directorio activo, elegimos la segunda opción. Así que selecciona Personalizado y haz clic en Siguiente.
5. En la pantalla Seleccionar elementos para copia de seguridad, especifique los elementos que desea incluir en la copia de seguridad. En esta copia de seguridad, vamos a elegir el elemento de Copia de seguridad del estado del sistema. Para ello, haga clic en el botón Agregar elementos > > seleccione la opción Estado del sistema > > y haga clic en el botón Aceptar para completar el proceso.
6. Ahora vamos a habilitar el Servicio de Instantáneas de volumen para este elemento de copia de seguridad. Esto evita que se modifiquen los datos de anuncios mientras se realiza la copia de seguridad. Para habilitar VSS, haga clic en Configuración avanzada > > Configuración de VSS > > Seleccione Copia de seguridad completa de VSS y haga clic en Aceptar. La copia de seguridad completa de VSS es la opción recomendada si es su primera copia de seguridad y no está utilizando ninguna herramienta de copia de seguridad de terceros. Esta opción le permite crear una copia de seguridad de todos los archivos. También es el método preferido para copias de seguridad incrementales, ya que no afecta a la secuencia de copias de seguridad.
7. En la siguiente pantalla, deberá especificar el tipo de destino de copia de seguridad: unidades locales o carpeta compartida remota. Para el propósito de esta demostración, estamos utilizando un disco duro local para almacenar la copia de seguridad. Así que elija unidades locales y haga clic en Siguiente.
8. En la pantalla Seleccionar Destino de copia de seguridad, puede elegir la partición real donde desea almacenar la copia de seguridad. Una vez que haya terminado, haga clic en Siguiente para pasar a la siguiente pantalla.
9. La pantalla de confirmación le permite comprobar que todos los parámetros de copia de seguridad están configurados correctamente. Una vez que esté listo, haga clic en el botón de copia de seguridad. La copia de seguridad debe llevar algún tiempo, dependiendo del tamaño del servidor del controlador de dominio. Una vez que la copia de seguridad se haya completado correctamente, puede cerrar el Asistente de copia de seguridad.
Si cerró el Asistente de copia de seguridad sin esperar el último estado del mensaje, la copia de seguridad continuará ejecutándose en segundo plano. También puede confirmar el estado y los resultados de finalización de la copia de seguridad desde la consola de webadmin (o la función de copia de seguridad de Windows Server). La consola mostrará un mensaje con información de esta copia de seguridad (y de otras).
Conclusión
Hemos explicado en detalle cómo hacer una copia de seguridad de Active Directory mediante la copia de seguridad de Windows Server. Utilizamos el enfoque manual de «Copia de seguridad una vez», pero, por supuesto, también puede configurar un» Programa de copia de seguridad » para ejecutar tareas periódicas de copia de seguridad de AD.
Como ya se mencionó, la función de copia de seguridad de Windows Server es una herramienta gratuita fácil de usar que se incluye en la mayoría de los sistemas operativos Windows Server y puede funcionar con VSS para realizar copias de seguridad completas o de estado del sistema. Sin embargo, también hay muchas herramientas de copia de seguridad de Active Directory de terceros que puede usar. De hecho, casi todos los servicios de copia de seguridad de nivel empresarial deben ser capaces de realizar copias de seguridad de Active Directory con poca o ninguna dificultad. La diferencia entre todas esas herramientas radica principalmente en la forma en que algunas de ellas proporcionan más capacidades, especialmente cuando se trata de hacer copias de seguridad y restaurar Active Directory.