Active Directory (AD) è un servizio di directory proprietario di Microsoft sviluppato per le reti di dominio Windows. È stato introdotto per la prima volta in Windows Server 2000 per la gestione centralizzata del dominio. Ora è incluso in tutti i successivi sistemi operativi Windows Server, consentendo agli amministratori di rete di creare e gestire domini, utenti, oggetti, privilegi e accesso all’interno di una rete.
AD è ottimo per gestire l’infrastruttura Microsoft on-premise tradizionale ma non gli ambienti cloud. L’infrastruttura cloud di Microsoft utilizza Azure Active Directory, che ha gli stessi scopi della sua controparte locale. Active Directory e Azure Active Directory sono distinte, ma possono lavorare insieme in una certa misura se l’organizzazione dispone di una distribuzione ibrida (on-premise e cloud).
Il layout AD segue una struttura a più livelli composta da domini, alberi e foreste. Un dominio è un gruppo di oggetti (ad esempio utenti o dispositivi) che condividono lo stesso database di annunci. Un albero è una raccolta di domini e una foresta è una raccolta di alberi. Il principale servizio di Active Directory è Active Directory Domain Services (AD DS), che fa parte del sistema operativo Windows Server. I server che eseguono AD DS sono chiamati Controller di dominio (DCS). Alcune organizzazioni hanno più DCS e ognuna ha una copia della directory per l’intero dominio. Per garantire che il DCS rimanga aggiornato, le modifiche apportate alla directory su un DC, come la modifica della password, vengono replicate anche nell’altro DCS.
Il database di Active Directory (directory) ha una struttura gerarchica ad albero e contiene informazioni sugli oggetti AD nel dominio. I tipi comuni di oggetti AD includono utenti, computer, applicazioni, stampanti e cartelle condivise. La Ntds.file dit viene utilizzato per memorizzare il database degli ANNUNCI. Il database è diviso in diverse sezioni che contengono diversi tipi di informazioni: una partizione dello schema (che determina la progettazione del database AD), partizione di configurazione (informazioni sulla struttura AD) e contesto dei nomi di dominio (utenti, gruppi, oggetti stampante). Active Directory è strettamente integrato con i file di sistema protetti da Windows, Registro di sistema di un controller di dominio, directory Sysvol, database di registrazione di classe COM + e informazioni sul servizio cluster. Quando si pianifica una strategia di backup, è importante considerare tale integrazione, soprattutto a causa dell’impatto immediato che ha sull’ANNUNCIO.
È necessario eseguire il backup di active directory?
Active Directory è uno dei componenti più importanti in qualsiasi rete Windows. Non avendo alcuna strategia di backup di sorta potrebbe mettere l’intera organizzazione a rischio. La sua migliore pratica è quella di avere più controller di dominio active directory con funzionalità di fail-over in modo che quando uno fallisce, si sarebbe ancora in grado di recuperare anche senza un backup. Tuttavia, avere più controller di dominio non è una giustificazione sufficiente per non eseguire un backup. Si dovrebbe comunque fare un backup di Active directory se si dispone di più controller di dominio o meno. Più controller di dominio possono fallire contemporaneamente, può verificarsi la cancellazione accidentale o deliberata di tutti gli account o unità organizzative critiche (OU), può verificarsi un danneggiamento dell’intero database, virus e ransomware o qualche altro disastro potrebbe spazzare via tutti i controller di dominio. In tale situazione, è necessario ripristinarlo da un backup. Questo è il motivo per cui è necessario eseguire il backup.
Probabilmente non è necessario eseguire il backup di ogni singolo controller di dominio, per ottenere un buon backup dell’ANNUNCIO. Dovresti solo eseguire il backup di uno dei controller di dominio. Se il controller di dominio si blocca, la rete e per estensione, le attività aziendali si fermano. Sebbene i servizi di Active directory siano progettati con elevata ridondanza (se sono stati distribuiti diversi DCS nella rete). È quindi importante sviluppare e implementare una chiara politica di backup di Active directory. Se si dispone di più DCS in esecuzione, è necessario eseguire il backup di almeno uno di essi. Il DC ideale per il backup dovrebbe essere quello che esegue il ruolo Flexible Single Master Operation (FSMO). Con una buona implementazione della strategia di backup e ripristino, l’organizzazione può facilmente recuperare dopo il crash dei controller di dominio.
Se il controller di dominio di Active Directory (AD DC) diventa non disponibile per qualsiasi motivo, gli utenti non possono accedere e i sistemi non possono funzionare correttamente, il che può causare interruzioni alle attività aziendali. Ecco perché il backup di Active Directory è importante. In questo articolo, vi mostreremo come eseguire il backup di un controller di dominio Active Directory in esecuzione su Windows Server 2019. Prima di iniziare daremo un’occhiata a un concetto noto come backup dello stato del sistema e come influisce sui dati di Active Directory.
Backup dello stato del sistema
Microsoft Windows Server offre la possibilità di eseguire un backup “completo” o un backup “Stato del sistema”. Un backup completo esegue una copia delle unità di sistema di una macchina fisica o virtuale, incluse applicazioni, sistemi operativi e persino lo stato del sistema. Questo backup può essere utilizzato per il ripristino bare metal-questo consente di reinstallare facilmente il sistema operativo e utilizzare il backup per il ripristino.
Backup dello stato del sistema d’altra parte crea un file di backup per i componenti critici relativi al sistema. Questo file di backup può essere utilizzato per recuperare componenti di sistema critici in caso di crash. Active Directory viene eseguito il backup come parte dello stato del sistema su un controller di dominio ogni volta che si esegue un backup utilizzando Windows Server Backup, Wbadmin.exe, o PowerShell. Ai fini di questa guida, useremo il backup dello stato del sistema perché ci consente di eseguire il backup solo dei componenti necessari per ripristinare Active Directory. Tuttavia, si noti che Microsoft non supporta il ripristino di un backup dello stato del sistema da un server a un altro server di un modello diverso o di una configurazione hardware. Il backup dello stato del sistema è più adatto per il ripristino di Active Directory solo sullo stesso server.
Come descritto più avanti in questa guida, Windows Server Backup deve essere installato tramite funzionalità in Server Manager prima di poterlo utilizzare per eseguire il backup o ripristinare il server. Il tipo di backup selezionato per i controller di dominio dipende dalla frequenza delle modifiche ad Active Directory e dai dati o dalle applicazioni che potrebbero essere installati sul controller di dominio. Il minimo necessario per eseguire il backup per proteggere i dati essenziali di Active Directory su un controller di dominio è lo stato del sistema. Lo stato del sistema include il seguente elenco più alcuni elementi aggiuntivi a seconda dei ruoli installati:
- Controller di dominio: file di database DC di Active Directory (NTDS.DIT), file di avvio & file protetti dal sistema, database di registrazione della classe COM+, registro, volume di sistema (SYSVOL)
- Membro del dominio: file di avvio, database di registrazione della classe COM+, registro
- Una macchina che esegue i servizi cluster: esegue inoltre il backup dei metadati del server cluster
- Una macchina che esegue backup di Active Directory-zone DNS integrate ma non eseguirà il backup di zone DNS basate su file. È necessario eseguire il backup delle zone DNS basate su file come parte di un backup a livello di volume, ad esempio un backup di volume critico o un backup completo del server. Tutti i tipi di backup di cui sopra possono essere eseguiti manualmente su richiesta, oppure possono essere pianificati utilizzando Windows Server Backup. È possibile utilizzare Windows Server backup o Wbadmin.exe per eseguire un backup dello stato del sistema di un controller di dominio per eseguire il backup di Active Directory. Microsoft consiglia di utilizzare un disco interno dedicato o un disco rimovibile esterno come un disco rigido USB per eseguire i backup.
Gli operatori di backup non dispongono dei privilegi necessari per pianificare i backup. È necessario disporre dei diritti amministrativi per poter pianificare un backup o un ripristino dello stato del sistema. Un backup dello stato del sistema è particolarmente importante per scopi di disaster recovery in quanto elimina la necessità di riconfigurare Windows al suo stato originale prima che si verificasse l’errore di sistema. È importante avere sempre un backup recente dello stato del sistema. Possono richiedere di eseguire backup regolari dello stato del sistema per aumentare il livello di protezione. Si consiglia di eseguire backup dello stato del sistema prima e dopo qualsiasi modifica importante al server.
Prima di procedere con il processo di backup, è necessario prendere nota dei seguenti passaggi iniziali:
- È importante disporre della quantità di spazio di archiviazione necessaria per ospitare il backup che si sta per eseguire.
- Se si sta andando ad essere il backup mentre le applicazioni che producono i dati sono ancora in esecuzione (che di solito è il caso), è necessario configurare il Volume Shadow Copy Service, noto anche come Volume Snapshot Service (VSS) sul disco per il backup di avere successo. Questo servizio consente di creare copie di backup o istantanee di file o volumi del computer, anche quando sono in uso.
- È necessario installare la funzionalità di backup di Windows Server se non l’hai ancora fatto. Windows Server 2019 proprio come le edizioni precedenti, viene fornito con la funzionalità di backup di Windows Server che aiuta a eseguire backup e ripristini di database Active Directory. Ora passeremo attraverso i passaggi precedenti in dettaglio.
Configurare il Volume Shadow Copy Service (VSS)
È importante assicurarsi che il backup del database AD sia eseguito in modo da preservare la coerenza del database. Un modo per preservare la coerenza consiste nel eseguire il backup del database degli ANNUNCI quando il server è in uno stato spento. Tuttavia, il backup del server Active Directory in uno stato spento potrebbe non essere una buona idea se il server funziona in modalità 24/7.
Per questo motivo, Microsoft consiglia l’uso di Volume Shadow Copy Service (VSS) per eseguire il backup di un server che esegue Active Directory. VSS è una tecnologia inclusa in Microsoft Windows che può creare copie di backup o istantanee di file o volumi di computer, anche quando sono in uso. Gli autori VSS creano un’istantanea che blocca lo stato del sistema fino al completamento del backup per impedire la modifica dei file attivi utilizzati da Active Directory durante un processo di backup. In questo modo, è possibile eseguire il backup di un server in esecuzione senza influire sulle sue prestazioni. Per questa guida, ci accingiamo a mostrarvi come modificare la configurazione limite dimensione copia ombra sul volume in cui ci accingiamo a memorizzare il database degli annunci.
1. Premere una combinazione di Win + X sulla tastiera per aprire Gestione dischi. Selezionare la partizione in cui è installato il server, quindi fare clic destro su di esso e fare clic su Proprietà.
2. Vai alla scheda Copie Shadow e quindi fai clic su Abilita come mostrato nell’immagine qui sotto.
3. Nella finestra successiva, fare clic su Sì per confermare che si desidera abilitare le copie shadow come mostrato di seguito.
4. Dopo la conferma, verrà visualizzato un punto di ripristino creato nella partizione selezionata. Fare clic su Impostazioni per continuare.
5. Nella schermata Impostazioni mostrata di seguito, in Dimensione massima, selezionare Nessun limite. Una volta completato fare clic sul pulsante OK, e che lo fa per questa sezione—configurare il Volume Shadow Copy Service (VSS).
Installare la funzionalità di backup di Windows Server
Windows Server Backup è un’utilità fornita da Microsoft con Windows Server 2008 e versioni successive. Ha sostituito l’utilità NTBackup che è stata integrata in Windows Server 2003. Il backup di Windows Server è una caratteristica che è installabile in Windows Server 2019 appena come in altre edizioni precedenti. Quindi, se non hai ancora utilizzato la funzione di backup, probabilmente dovrai installarlo prima. Il modo per installare questa funzione è attraverso il Server Manager.
1. Aprire la console Server Manager come mostrato nell’immagine qui sotto.
2. Vai al Server locale >> Gestisci scheda> > e fare clic su Aggiungi ruoli e funzionalità come si vede nell’immagine qui sotto. Si aprirà la procedura guidata Aggiungi ruoli e funzionalità.
3, Nella schermata Seleziona tipo di installazione, selezionare l’opzione di installazione basata su ruoli o funzionalità e fare clic su Avanti.
4. Nella schermata successiva chiamata Seleziona server di destinazione, verrà richiesto di selezionare il server su cui si desidera installare ruoli e funzionalità. Windows visualizzerà automaticamente il pool di server. In questo caso, selezioneremo il server locale, che è WD2K19-DC01-mylablocal.
5. Nella schermata Seleziona ruoli server, è necessario selezionare i ruoli da installare sul server. Dal momento che stiamo installando una funzione, è possibile ignorare questa sezione e continuare alla schermata successiva. Fare clic su Avanti per continuare.
6. Nella schermata Seleziona caratteristiche qui sotto, scorrere fino alla funzionalità di backup di Windows Server e selezionarla come mostrato nell’immagine qui sotto. Fare clic su Avanti per continuare.
7. Nella schermata Conferma selezioni installazione, assicurarsi che la funzionalità di backup di Windows Server sia presente sullo schermo e fare clic sul pulsante Installa per iniziare l’installazione.
La funzionalità di backup di Windows Server inizierà a installarsi sul server locale. Una volta completata l’installazione, fare clic sul pulsante Chiudi per chiudere la console.
Eseguire il backup del database di Active Directory
1. Ora vai al Server Manager e fai clic su Strumenti > > Backup di Windows Server, per aprirlo. È inoltre possibile aprire questa console eseguendo il comando wbadmin.msc sull’esecuzione di Windows (Ctrl + R). Una volta che si apre, sarete in grado di vedere lo stato di backup pianificato e ultimo (a meno che questa è la prima volta che si sta facendo questo.)
2. Una volta aperto il backup del server, fare clic su Backup una volta per avviare un backup manuale del database degli ANNUNCI. Anche se è anche possibile creare backup pianificati automatici facendo clic su Pianificazione backup, per questa guida ci accingiamo a creare un backup manuale.
3. In Opzioni di backup selezionare diverse opzioni e fare clic sul pulsante Avanti Questa opzione viene utilizzata dove non vi è alcun backup pianificato.
4. Nella schermata Seleziona configurazione backup sono disponibili due opzioni:
-
- Full Server esegue il backup di tutti i dati del server, le applicazioni e lo stato del sistema
- Personalizzato consente di scegliere ciò che si desidera eseguire il backup.
Dal momento che vogliamo solo eseguire il backup di Active directory, scegliamo la seconda opzione. Quindi selezionare Personalizzato e fare clic su Avanti.
5. Nella schermata Seleziona elementi per il backup, specificare gli elementi che si desidera includere nel backup. In questo backup, ci accingiamo a scegliere la voce di backup dello stato del sistema. Per fare ciò, fare clic sul pulsante Aggiungi elementi >> selezionare l’opzione Stato sistema >> e fare clic sul pulsante Ok per completare il processo.
6. Ora ci accingiamo ad abilitare il servizio di copia Shadow del volume per questo elemento di backup. In questo modo si impedisce la modifica dei dati degli ANNUNCI mentre il backup è in corso. Per abilitare VSS, fare clic su Impostazioni avanzate > > Impostazioni VSS > > Selezionare VSS Backup completo e fare clic su Ok. Il backup completo VSS è l’opzione consigliata se si tratta del primo backup e non si utilizza alcun strumento di backup di terze parti. Questa opzione consente di creare un backup di tutti i file. È anche il metodo preferito per i backup incrementali, in quanto non influisce sulla sequenza di backup.
7. Nella schermata successiva, è necessario specificare il tipo di destinazione di backup: unità locali o cartella condivisa remota. Ai fini di questa dimostrazione, stiamo utilizzando un disco rigido locale per memorizzare il backup. Quindi scegliere Unità locali e fare clic su Avanti.
8. Nella schermata Seleziona destinazione backup è possibile scegliere la partizione effettiva in cui si desidera memorizzare il backup. Una volta terminato, fare clic su Avanti per passare alla schermata successiva.
9. La schermata di conferma consente di verificare che tutti i parametri di backup siano configurati correttamente. Una volta che sei a posto, fai clic sul pulsante Backup. Il backup dovrebbe richiedere del tempo a seconda delle dimensioni del server del controller di dominio. Una volta completato il backup, è possibile chiudere la procedura guidata di backup.
Se si chiude la procedura guidata di backup senza attendere lo stato dell’ultimo messaggio, il backup continuerà a essere eseguito in background. È inoltre possibile confermare lo stato e i risultati di completamento del backup dalla console webadmin (o dalla funzionalità di backup di Windows Server). La console visualizzerà un messaggio con informazioni da questo backup (e altri).
Conclusione
Abbiamo spiegato in dettaglio come eseguire il backup di Active Directory utilizzando il backup di Windows Server. Abbiamo utilizzato l’approccio manuale “Backup Once”, ma ovviamente è anche possibile configurare una “Pianificazione di backup” per eseguire attività periodiche di backup degli ANNUNCI.
Come già accennato, la funzionalità di backup di Windows Server è uno strumento gratuito facile da usare che viene fornito in bundle nella maggior parte dei sistemi operativi Windows Server e può funzionare con VSS per eseguire backup completi o di stato del sistema. Tuttavia, ci sono anche un sacco di terze parti strumenti di backup di Active Directory là fuori che è possibile utilizzare. In effetti, quasi tutti i servizi di backup a livello aziendale dovrebbero essere in grado di eseguire il backup di Active Directory con poca o nessuna difficoltà. La differenza tra tutti questi strumenti risiede principalmente nel modo in cui alcuni di essi forniscono più funzionalità, specialmente quando si tratta di eseguire il backup e il ripristino di Active Directory.