az Active Directory (AD) a Microsoft saját címtárszolgáltatása, amelyet Windows tartományi hálózatokhoz fejlesztettek ki. Először a Windows Server 2000-ben vezették be a központosított tartománykezeléshez. Mostantól az összes későbbi Windows Server operációs rendszerben megtalálható, lehetővé téve a hálózati rendszergazdák számára, hogy tartományokat, felhasználókat, objektumokat, jogosultságokat és hozzáférést hozzanak létre és kezeljenek a hálózaton belül.
az AD kiválóan kezeli a hagyományos helyszíni Microsoft infrastruktúrát, de nem felhőkörnyezeteket. A Microsoft felhőinfrastruktúrája az Azure Active Directory-t használja, amely ugyanazokat a célokat szolgálja, mint a helyszíni megfelelője. Az Active Directory és az Azure Active Directory különállóak, de bizonyos mértékig együttműködhetnek, ha a szervezet hibrid (helyszíni és felhőalapú) telepítéssel rendelkezik.
a hirdetés elrendezése tartományokból, fákból és erdőkből álló többszintű struktúrát követ. A tartomány olyan objektumok (például felhasználók vagy eszközök) csoportja, amelyek ugyanazt a hirdetési adatbázist osztják meg. A fa tartományok gyűjteménye, az erdő pedig fák gyűjteménye. A fő Active Directory szolgáltatás az Active Directory tartományi szolgáltatások (AD DS), amely a Windows Server operációs rendszer része. Az AD DS-t futtató kiszolgálókat tartományvezérlőknek (DCS) nevezzük. Egyes szervezetek több DCs-vel rendelkeznek, és mindegyik rendelkezik a teljes tartomány könyvtárának másolatával. Annak érdekében, hogy a DCs naprakész maradjon, az egyik DC könyvtárában végrehajtott módosításokat, például a jelszó megváltoztatását, a többi DCs is megismétli.
az Active Directory-adatbázis (directory) hierarchikus fa-szerű szerkezettel rendelkezik, és információkat tartalmaz a tartományban lévő AD-objektumokról. Az AD-objektumok általános típusai a felhasználók, számítógépek, alkalmazások, nyomtatók és megosztott mappák. Az Ntds.a dit fájl a hirdetési adatbázis tárolására szolgál. Az adatbázis több szakaszra oszlik, amelyek különböző típusú információkat tartalmaznak—egy sémapartícióra (amely meghatározza a HIRDETÉSADATBÁZIS-kialakítást), konfigurációs partícióra (a HIRDETÉSSZERKEZETRE vonatkozó információk), valamint a tartománynevek kontextusára (felhasználók, csoportok, nyomtatóobjektumok). Az Active Directory szorosan integrálva van a Windows védett rendszerfájljaival, a tartományvezérlő rendszerleíró adatbázisával, a Sysvol könyvtárral, a COM+ Osztályregisztrációs adatbázissal és a fürtszolgáltatási információkkal. A biztonsági mentési stratégia tervezésekor fontos figyelembe venni az ilyen integrációt, különösen a hirdetésre gyakorolt közvetlen hatása miatt.
biztonsági másolatot kell készítenie az active directoryról?
az Active Directory bármely Windows hálózat egyik legfontosabb összetevője. Ha nincs biztonsági mentési stratégia, az az egész szervezetet veszélybe sodorhatja. A legjobb gyakorlat az, hogy több active directory tartományvezérlők fail-over funkciókat úgy, hogy ha az egyik nem sikerül, akkor is képes visszaállítani nélkül is egy biztonsági másolatot. Több tartományvezérlő megléte azonban nem elegendő indoklás ahhoz, hogy ne készítsen biztonsági másolatot. Továbbra is biztonsági másolatot kell készítenie az active directory-ról, függetlenül attól, hogy több tartományvezérlővel rendelkezik-e vagy sem. Egyszerre több tartományvezérlő is meghibásodhat, az összes fiók vagy kritikus szervezeti egység (ou) véletlen vagy szándékos törlése előfordulhat, teljes adatbázis-sérülés fordulhat elő, vírusok, ransomware vagy más katasztrófa törölheti az összes tartományvezérlőt. Ilyen helyzetben vissza kell állítania egy biztonsági másolatból. Ezért kell erősítés.
valószínűleg nem kell biztonsági másolatot készíteni minden egyes tartományvezérlőről, hogy jó biztonsági másolatot kapjon a hirdetésről. Valójában csak az egyik tartományvezérlőről kell biztonsági másolatot készítenie. Ha a tartományvezérlő összeomlik, a hálózat és a kiterjesztés miatt az üzleti tevékenységek leállnak. Bár az active directory szolgáltatásokat nagy redundanciával tervezték (ha több DCs-t telepített a hálózatába). Ezért fontos, hogy dolgozzon ki és hajtson végre egy világos active directory biztonsági házirendet. Ha több DCs fut, akkor legalább egyről biztonsági másolatot kell készítenie. Az ideális DC a biztonsági mentéshez a rugalmas Single Master Operation (FSMO ) szerepet kell futtatnia. A megfelelő biztonsági mentési és helyreállítási stratégia megvalósításával a szervezet könnyen helyreállhat a tartományvezérlők összeomlása után.
ha az Active Directory tartományvezérlő (AD DC) bármilyen okból elérhetetlenné válik, akkor a felhasználók nem tudnak bejelentkezni, és a rendszerek nem működnek megfelelően, ami zavart okozhat az üzleti tevékenységekben. Ezért fontos az Active Directory biztonsági mentése. Ebben a cikkben megmutatjuk, hogyan készíthet biztonsági másolatot a Windows Server 2019 rendszeren futó Active Directory tartományvezérlőről. Mielőtt elkezdenénk, megnézzük a System State backup néven ismert koncepciót, és hogyan befolyásolja az Active Directory adatait.
rendszerállapot-biztonsági mentés
a Microsoft Windows Server ‘teljes’ biztonsági mentést vagy ‘rendszerállapot’ biztonsági mentést kínál. A teljes biztonsági mentés másolatot készít egy fizikai vagy virtuális gép rendszermeghajtóiról, beleértve az alkalmazásokat, az operációs rendszereket, sőt a rendszer állapotát is. Ez a biztonsági mentés lehet használni csupasz fém hasznosítás—ez lehetővé teszi, hogy könnyen újratelepíteni az operációs rendszert, és használja a biztonsági mentést, hogy visszaszerezze.
rendszerállapot-biztonsági mentés másrészt létrehoz egy biztonsági mentési fájlt a kritikus rendszerrel kapcsolatos összetevőkhöz. Ez a biztonsági mentési fájl használható a kritikus rendszerösszetevők helyreállítására összeomlás esetén. Az Active Directory rendszerállapot részeként biztonsági másolatot készít egy tartományvezérlőn, amikor biztonsági másolatot készít a Windows Server Backup, Wbadmin használatával.exe vagy PowerShell. Ennek az útmutatónak a céljából a rendszerállapot biztonsági mentését fogjuk használni, mert ez lehetővé teszi számunkra, hogy csak az Active Directory visszaállításához szükséges összetevőket mentsük. Vegye figyelembe azonban, hogy a Microsoft nem támogatja a rendszerállapot biztonsági mentésének visszaállítását egyik kiszolgálóról egy másik kiszolgálóra, más modell vagy hardverkonfiguráció esetén. A rendszerállapot biztonsági mentése a legalkalmasabb az Active Directory helyreállítására csak ugyanazon a kiszolgálón.
az útmutató későbbi részében leírtak szerint a Windows Server biztonsági mentését a Kiszolgálókezelő szolgáltatásain keresztül kell telepíteni, mielőtt biztonsági másolatot készíthet vagy helyreállíthatja a kiszolgálót. A tartományvezérlőkhöz kiválasztott biztonsági mentés típusa az Active Directory módosításainak gyakoriságától, valamint a tartományvezérlőre esetleg telepített adatoktól vagy alkalmazásoktól függ. A tartományvezérlőn az alapvető Active Directory-adatok védelméhez szükséges biztonsági mentéshez a rendszer állapota szükséges. A rendszerállapot tartalmazza a következő listát, valamint néhány további elemet a telepített szerepköröktől függően:
- tartományvezérlő: Active Directory DC adatbázisfájlok (NTDS.Dit), boot files & system protected files, COM+ class registration database, registry, system volume (SYSVOL)
- Domain tag: Boot files, COM+ class registration database, registry
- a cluster services-t futtató gép: ezenkívül biztonsági másolatot készít a cluster server metaadatairól
- a certificate services-t futtató gépről: ezenkívül biztonsági másolatot készít a tanúsítványadatokról
ezen felül a rendszerállapot-mentések készítsen biztonsági másolatot az Active Directory-integrált DNS-zónákról, de nem készít biztonsági másolatot a fájlalapú DNS-zónákról. A fájlalapú DNS-zónákról biztonsági másolatot kell készíteni egy kötetszintű biztonsági mentés részeként, például egy kritikus kötet vagy a kiszolgáló teljes biztonsági mentése. Az összes fenti biztonsági mentési típus manuálisan futtatható igény szerint, vagy ütemezhető a Windows Server Backup használatával. Használhatja a Windows Server backup vagy a Wbadmin alkalmazást.exe egy tartományvezérlő rendszerállapot-biztonsági mentésének végrehajtása az Active Directory biztonsági mentéséhez. A Microsoft javasolja egy dedikált belső lemez vagy egy Külső cserélhető lemez, például egy USB merevlemez használatát a biztonsági mentések elvégzéséhez.
a biztonsági mentések operátorai nem rendelkeznek a biztonsági mentések ütemezéséhez szükséges jogosultságokkal. A rendszerállapot biztonsági mentésének vagy visszaállításának ütemezéséhez rendszergazdai jogokkal kell rendelkeznie. A rendszerállapot biztonsági mentése különösen fontos a katasztrófa utáni helyreállítási célokra, mivel kiküszöböli a Windows eredeti állapotának újrakonfigurálásának szükségességét a rendszerhiba bekövetkezése előtt. Fontos, hogy mindig van egy friss biztonsági másolatot a rendszer állapotát. Előfordulhat, hogy rendszeres rendszerállapot-biztonsági mentéseket kell végrehajtania a védelem szintjének növelése érdekében. Javasoljuk, hogy végezzen biztonsági mentést a rendszer állapotáról, mielőtt és miután bármilyen jelentős változás történt a kiszolgálón.
mielőtt folytatná a biztonsági mentési folyamatot, vegye figyelembe a következő kezdeti lépéseket:
- fontos, hogy rendelkezzen a szükséges mennyiségű tárhellyel a végrehajtani kívánt biztonsági mentés elhelyezéséhez.
- ha biztonsági másolatot készít, miközben az adatokat előállító alkalmazások még futnak (ami általában így van), akkor a biztonsági mentés sikeréhez be kell állítania a kötet Árnyékmásolási szolgáltatását, más néven kötet Pillanatkép szolgáltatást (VSS) a meghajtón. Ez a szolgáltatás segít biztonsági másolatok vagy pillanatképek készítésében számítógépes fájlokról vagy kötetekről, még akkor is, ha azokat használják.
- ha még nem tette meg, telepítenie kell a Windows Server biztonsági mentési funkcióját. A Windows Server 2019 a korábbi kiadásokhoz hasonlóan a Windows Server Backup funkcióval is rendelkezik, amely segít az Active Directory adatbázis-mentések végrehajtásában és visszaállításában. Most részletesen átmegyünk a fenti lépéseken.
a kötet Árnyékmásolási szolgáltatásának (VSS) konfigurálása
fontos, hogy az AD-adatbázis biztonsági mentése olyan módon történjen, amely megőrzi az adatbázis konzisztenciáját. A konzisztencia megőrzésének egyik módja a hirdetési adatbázis biztonsági mentése, amikor a kiszolgáló kikapcsolt állapotban van. Az Active Directory-kiszolgáló kikapcsolt állapotban történő biztonsági mentése azonban nem biztos, hogy jó ötlet, ha a kiszolgáló 24/7 módban működik.
emiatt a Microsoft a Volume Shadow Copy Service (VSS) használatát javasolja az Active Directory-t futtató kiszolgálók biztonsági mentéséhez. A VSS a Microsoft Windows olyan technológiája, amely biztonsági másolatokat vagy pillanatképeket készíthet számítógépes fájlokról vagy kötetekről, még akkor is, ha azokat használják. A VSS írók létrehoznak egy pillanatképet, amely a biztonsági mentés befejezéséig lefagyasztja a rendszer állapotát, hogy megakadályozza az Active Directory által a biztonsági mentési folyamat során használt aktív fájlok módosítását. Ily módon lehetséges egy futó szerver biztonsági mentése anélkül, hogy befolyásolná annak teljesítményét. Ebben az útmutatóban megmutatjuk, hogyan lehet megváltoztatni az árnyékmásolat méretkorlátjának konfigurációját azon a köteten, ahol a hirdetési adatbázist tárolni fogjuk.
1. Nyomja meg a Win+X kombinációját a billentyűzeten a Lemezkezelő megnyitásához. Válassza ki azt a partíciót, ahová a kiszolgáló telepítve van, majd kattintson rá a jobb gombbal, majd kattintson a Tulajdonságok elemre.
2. LÉPJEN az árnyékmásolatok fülre, majd kattintson az Engedélyezés gombra az alábbi képen látható módon.
3. A következő ablakban kattintson az Igen gombra annak megerősítéséhez, hogy engedélyezni szeretné az árnyékmásolatokat az alábbiak szerint.
4. A megerősítés után megjelenik a kiválasztott partícióban létrehozott visszaállítási pont. Kattintson Beállítások folytatni.
5. Az alább látható beállítások képernyőn a maximális méret alatt válassza a Nincs korlátozás lehetőséget. Miután elkészült, kattintson az OK gombra, és ez nem ez a szakasz-konfigurálja a kötet Árnyékmásolás szolgáltatás (VSS).
A Windows Server backup szolgáltatás telepítése
A Windows Server Backup a Microsoft által a Windows Server 2008 és újabb kiadásokkal biztosított segédprogram. Ez váltotta fel az NTBackup segédprogramot, amely a Windows Server 2003-ba épült. A Windows Server Backup egy olyan szolgáltatás, amely telepíthető a Windows Server 2019 rendszerben, csakúgy, mint a többi korábbi kiadásban. Tehát, ha még nem használta a biztonsági mentési funkciót, akkor valószínűleg először telepítenie kell. A szolgáltatás telepítésének módja a Kiszolgálókezelő.
1. Nyissa meg a Kiszolgálókezelő konzolt az alábbi képen látható módon.
2. Lépjen a helyi kiszolgáló > >kezelés fülre >> és kattintson az alábbi képen látható szerepkörök és funkciók hozzáadása elemre. Ez megnyitja a Szerepkörök és funkciók hozzáadása varázslót.
3, A telepítés típusának kiválasztása képernyőn válassza a szerep-vagy szolgáltatásalapú Telepítés lehetőséget, majd kattintson a Tovább gombra.
4. A következő képernyőn válassza ki a célkiszolgálót, ki kell választania azt a kiszolgálót, amelyre szerepköröket és funkciókat kíván telepíteni. A Windows automatikusan megjeleníti a kiszolgálókészletet. Ebben az esetben kiválasztjuk a helyi szervert, amely a WD2K19-DC01-mylablocal.
5. A Kiszolgálói szerepkörök kiválasztása képernyőn ki kell választania a kiszolgálóra telepíteni kívánt szerepköröket. Mivel telepítünk egy funkciót, figyelmen kívül hagyhatja ezt a részt, és folytathatja a következő képernyőt. Kattintson a Tovább gombra a folytatáshoz.
6. Az alábbi funkciók kiválasztása képernyőn görgessen le a Windows Server biztonsági mentési funkciójához, majd válassza ki az alábbi képen látható módon. Kattintson a Tovább gombra a folytatáshoz.
7. A telepítési beállítások megerősítése képernyőn ellenőrizze, hogy a Windows Server biztonsági mentési funkciója megjelenik-e a képernyőn, majd kattintson a Telepítés gombra a telepítés megkezdéséhez.
a Windows Server biztonsági mentési funkciójának telepítése megkezdődik a helyi kiszolgálón. A telepítés befejezése után kattintson a Bezárás gombra a konzol bezárásához.
készítsen biztonsági másolatot az Active Directory adatbázisról
1. Most menjen a Kiszolgálókezelőbe, majd kattintson a gombra Eszközök >> Windows Server Backup, annak megnyitásához. Ezt a konzolt a wbadmin parancs futtatásával is megnyithatja.msc A Windows Futtatás (Ctrl+R). Amint megnyílik, láthatja az ütemezett és az utolsó biztonsági mentés állapotát (kivéve, ha ez az első alkalom.)
2. Miután megnyílt a szerver biztonsági mentése, kattintson a biztonsági mentés egyszer a kézi hirdetési adatbázis biztonsági mentésének kezdeményezéséhez. Bár automatikus ütemezett biztonsági mentéseket is létrehozhat a gombra kattintva biztonsági mentés ütemezése, ehhez az útmutatóhoz kézi biztonsági másolatot készítünk.
3. A biztonsági mentési beállítások alatt válassza a különböző lehetőségeket, majd kattintson a Tovább gombra ez az opció akkor használható, ha nincs ütemezett biztonsági mentés.
4. A biztonsági mentés konfigurációjának kiválasztása képernyőn két lehetősége van:
-
- A teljes kiszolgáló biztonsági másolatot készít az összes kiszolgálóadatról, alkalmazásról és rendszerállapotról
- az Egyéni beállítások segítségével kiválaszthatja, hogy mit szeretne biztonsági másolatot készíteni.
mivel csak biztonsági másolatot akarunk készíteni az active directory-ról, a második lehetőséget választjuk. Tehát válassza az Egyéni lehetőséget, majd kattintson a Tovább gombra.
5. Az elemek kiválasztása biztonsági mentéshez képernyőn adja meg a biztonsági mentésbe felvenni kívánt elemeket. Ebben a biztonsági mentésben a rendszerállapot biztonsági mentési elemét választjuk. Ehhez kattintson az elemek hozzáadása gombra >>válassza a rendszerállapot opciót >> majd kattintson az Ok gombra a folyamat befejezéséhez.
6. Most engedélyezzük a Volume Shadow Copy szolgáltatást ehhez a biztonsági mentési elemhez. Ezzel megakadályozza a hirdetési adatok módosítását, amíg a biztonsági mentés folyamatban van. A VSS engedélyezéséhez kattintson a Speciális beállítások >>VSS Beállítások >> válassza a VSS teljes biztonsági mentés lehetőséget, majd kattintson az Ok gombra. A VSS teljes biztonsági mentése az ajánlott lehetőség, ha ez az első biztonsági mentés, és nem használ harmadik féltől származó biztonsági mentési eszközt. Ez az opció lehetővé teszi az összes fájl biztonsági másolatának létrehozását. Ez az inkrementális biztonsági mentések előnyben részesített módszere is, mivel nem befolyásolja a biztonsági mentés sorrendjét.
7. A következő képernyőn meg kell adnia a biztonsági mentés céltípusát — helyi meghajtók vagy távoli megosztott mappa. A bemutató céljából egy helyi merevlemezt használunk a biztonsági mentés tárolására. Tehát válassza a helyi meghajtókat, majd kattintson a Tovább gombra.
8. A biztonsági mentés céljának kiválasztása képernyőn kiválaszthatja azt a tényleges partíciót, ahová a biztonsági másolatot tárolni szeretné. Ha végzett, kattintson a Tovább gombra a következő képernyőre lépéshez.
9. A megerősítő képernyőn ellenőrizheti, hogy az összes biztonsági mentési paraméter megfelelően van-e konfigurálva. Ha jól megy, kattintson a biztonsági mentés gombra. A biztonsági mentésnek a tartományvezérlő szerver méretétől függően némi időt kell igénybe vennie. Miután a biztonsági mentés sikeresen befejeződött, bezárhatja a biztonsági mentés varázslót.
ha bezárta a biztonsági mentés varázslót anélkül, hogy megvárta volna az utolsó üzenet állapotát, a biztonsági mentés továbbra is a háttérben fut. A biztonsági mentés állapotát és befejezési eredményeit a webadmin console (vagy a Windows Server biztonsági mentési szolgáltatása) segítségével is megerősítheti. A konzol egy üzenetet jelenít meg a biztonsági mentésből (és másokból) származó információkkal.
következtetés
részletesen elmagyaráztuk, hogyan kell biztonsági másolatot készíteni az Active Directory-ról A Windows Server biztonsági mentésével. A kézi “biztonsági mentés egyszer” megközelítést használtuk, de természetesen konfigurálhat egy “biztonsági mentési ütemtervet” is az időszakos hirdetés-biztonsági mentési feladatok futtatásához.
mint már említettük, a Windows Server Backup funkció egy könnyen használható ingyenes eszköz, amely a legtöbb Windows Server operációs rendszerhez tartozik, és a VSS-sel együtt képes teljes vagy rendszerállapot-mentések végrehajtására. Vannak azonban sok harmadik féltől származó Active Directory biztonsági mentési eszközök is, amelyeket használhat. Valójában szinte minden vállalati szintű biztonsági mentési szolgáltatásnak képesnek kell lennie az Active Directory biztonsági mentésére, kevés nehézség nélkül. Az összes eszköz közötti különbség leginkább abban rejlik, hogy néhányuk több képességet biztosít, különösen az Active Directory biztonsági mentése és visszaállítása során.