Active Directory (AD) to zastrzeżona usługa katalogowa firmy Microsoft opracowana dla sieci domen Windows. Został po raz pierwszy wprowadzony w systemie Windows Server 2000 do scentralizowanego zarządzania domenami. Jest teraz zawarty we wszystkich kolejnych systemach operacyjnych Windows Server, umożliwiając administratorom sieci tworzenie domen, użytkowników, obiektów, uprawnień i dostępu w sieci i zarządzanie nimi.
AD świetnie radzi sobie z zarządzaniem tradycyjną lokalną infrastrukturą Microsoft, ale nie środowiskami chmurowymi. Infrastruktura chmury Microsoft korzysta z usługi Azure Active Directory, która służy tym samym celom, co jej lokalny odpowiednik. Usługi Active Directory i Azure Active Directory są różne, ale mogą ze sobą do pewnego stopnia współpracować, jeśli organizacja ma wdrożenie hybrydowe (lokalne i chmurowe).
układ reklam ma warstwową strukturę złożoną z domen, drzew i lasów. Domena to grupa obiektów (takich jak użytkownicy lub urządzenia) współdzielących tę samą bazę danych AD. Drzewo to zbiór domen, a las to zbiór drzew. Główną usługą Active Directory są usługi domenowe Active Directory (AD DS), które są częścią systemu operacyjnego Windows Server. Serwery, na których działa AD DS, nazywane są kontrolerami domeny (DCS). Niektóre organizacje mają wiele DCs, a każdy z nich ma kopię katalogu dla całej domeny. Aby zapewnić aktualność DCs, zmiany wprowadzone do katalogu na jednym DC, takie jak zmiana hasła, są również replikowane do innych DCs.
baza danych Active Directory (katalog) ma hierarchiczną strukturę podobną do drzewa i zawiera informacje o obiektach AD w domenie. Typowe typy obiektów reklamowych to użytkownicy, komputery, aplikacje, drukarki i foldery udostępnione. NTDS.plik dit służy do przechowywania bazy danych AD. Baza danych jest podzielona na kilka sekcji, które zawierają różne typy informacji – partycję schematu (która określa projekt bazy danych AD), partycję konfiguracyjną (informacje o strukturze AD) i kontekst nazw domen (Użytkownicy, Grupy, obiekty drukarki). Active Directory jest ściśle zintegrowany z plikami systemowymi chronionymi przez System Windows, rejestrem systemowym kontrolera domeny, katalogiem Sysvol, bazą danych rejestracji klasy COM+ i informacjami o usługach klastra. Planując strategię backupu, ważne jest, aby wziąć pod uwagę taką integrację, zwłaszcza ze względu na natychmiastowy wpływ, jaki ma ona na reklamę.
czy musisz wykonać kopię zapasową active directory?
Active Directory jest jednym z najważniejszych komponentów w każdej sieci Windows. Brak strategii tworzenia kopii zapasowych może zagrozić całej organizacji. Jego najlepszą praktyką jest posiadanie wielu kontrolerów domeny active directory z funkcjami fail-over, dzięki czemu w przypadku awarii jeden z nich nadal będzie w stanie odzyskać nawet bez kopii zapasowej. Jednak posiadanie wielu kontrolerów domeny nie jest wystarczającym uzasadnieniem, aby nie wykonać kopii zapasowej. Nadal powinieneś wykonywać kopię zapasową active directory, niezależnie od tego, czy masz wiele kontrolerów domeny, czy nie. Wiele kontrolerów domen może zawieść jednocześnie, może dojść do przypadkowego lub celowego usunięcia wszystkich kont lub krytycznych jednostek organizacyjnych (OU), może dojść do uszkodzenia całej bazy danych, wirusów i oprogramowania ransomware lub innej katastrofy, która może wymazać wszystkie kontrolery domen. W takiej sytuacji konieczne byłoby przywrócenie go z kopii zapasowej. Dlatego musisz wykonać kopię zapasową.
prawdopodobnie nie musisz tworzyć kopii zapasowej każdego kontrolera domeny, aby uzyskać dobrą kopię zapasową reklamy. Naprawdę powinieneś tylko wykonać kopię zapasową jednego z kontrolerów domeny. Jeśli kontroler domeny ulegnie awarii, Sieć i przez to działalność biznesowa zostanie wstrzymana. Chociaż usługi Active directory są projektowane z dużą redundancją (jeśli w sieci zainstalowano kilka DCs). Dlatego ważne jest opracowanie i wdrożenie przejrzystej polityki tworzenia kopii zapasowych w usłudze Active directory. Jeśli masz uruchomionych kilka DCs, musisz wykonać kopię zapasową co najmniej jednego z nich. Idealnym DC do tworzenia kopii zapasowych powinien być ten, który uruchamia rolę Flexible Single Master Operation (FSMO). Dzięki dobrej implementacji strategii tworzenia kopii zapasowych i odzyskiwania Twoja organizacja może łatwo odzyskać kontrolę po awarii kontrolerów domeny.
jeśli kontroler domeny Active Directory (AD DC) staje się niedostępny z jakiegokolwiek powodu, użytkownicy nie mogą się zalogować, a systemy nie mogą działać poprawnie, co może powodować zakłócenia w działalności biznesowej. Dlatego tworzenie kopii zapasowej usługi Active Directory jest ważne. W tym artykule pokażemy, jak wykonać kopię zapasową kontrolera domeny Active Directory działającego w systemie Windows Server 2019. Zanim zaczniemy, przyjrzymy się koncepcji znanej jako kopia zapasowa stanu systemu i jej wpływowi na dane Active Directory.
kopia zapasowa stanu systemu
Microsoft Windows Server oferuje możliwość wykonania kopii zapasowej „pełnej” lub kopii zapasowej „stanu systemu”. Pełna kopia zapasowa tworzy kopię dysków systemowych maszyny fizycznej lub wirtualnej, w tym aplikacji, systemów operacyjnych, a nawet stanu systemu. Ta kopia zapasowa może być używana do odzyskiwania gołego metalu—pozwala to łatwo ponownie zainstalować system operacyjny i użyć kopii zapasowej do odzyskania.
kopia zapasowa stanu systemu z drugiej strony tworzy plik kopii zapasowej krytycznych komponentów związanych z systemem. Ten plik kopii zapasowej może być używany do odzyskiwania krytycznych komponentów systemu w przypadku awarii. Kopia zapasowa Active Directory jest tworzona jako część stanu systemu na kontrolerze domeny za każdym razem, gdy wykonujesz kopię zapasową za pomocą kopii zapasowej systemu Windows Server, Wbadmin.exe, czyli PowerShell. Do celów tego przewodnika będziemy używać kopii zapasowych stanu systemu, ponieważ pozwala nam to na tworzenie kopii zapasowych tylko składników potrzebnych do przywrócenia usługi Active Directory. Należy jednak pamiętać, że firma Microsoft nie obsługuje przywracania kopii zapasowej stanu systemu z jednego serwera na inny serwer innego modelu lub konfiguracji sprzętowej. Kopia zapasowa stanu systemu najlepiej nadaje się do odzyskiwania usługi Active Directory tylko na tym samym serwerze.
jak opisano w dalszej części tego przewodnika, Kopia zapasowa systemu Windows Server musi być zainstalowana za pomocą funkcji Menedżera serwera, zanim będzie można jej użyć do tworzenia kopii zapasowych lub odzyskiwania serwera. Typ kopii zapasowej wybranej dla kontrolerów domeny zależy od częstotliwości zmian w usłudze Active Directory oraz danych lub aplikacji, które mogą być zainstalowane na kontrolerze domeny. Minimum, które musisz wykonać, aby chronić podstawowe dane Active Directory na kontrolerze domeny, to stan systemu. Stan systemu zawiera następującą listę oraz kilka dodatkowych elementów w zależności od zainstalowanych ról:
- kontroler domeny: pliki bazy danych Active Directory DC (NTDS.
- członek domeny: pliki rozruchowe, baza danych rejestracji klasy COM+, rejestr
- członek domeny: pliki rozruchowe, baza danych rejestracji klasy COM+, rejestr
- a maszyna z usługami klastra: dodatkowo tworzy kopię zapasową metadanych serwera klastra
- a maszyna z usługami certyfikatów: dodatkowo tworzy kopię zapasową danych certyfikatu
ponadto kopie zapasowe stanu systemu Utwórz kopię zapasową stref DNS zintegrowanych z usługą Active Directory, ale nie będzie tworzyć kopii zapasowych stref DNS opartych na plikach. Strefy DNS oparte na plikach muszą być archiwizowane jako część kopii zapasowej na poziomie woluminu, takiej jak kopia zapasowa woluminu krytycznego lub pełna kopia zapasowa serwera. Wszystkie powyższe typy kopii zapasowych można uruchamiać ręcznie na żądanie lub można je zaplanować za pomocą kopii zapasowej systemu Windows Server. Możesz użyć kopii zapasowej Windows Server lub Wbadmin.exe, aby wykonać kopię zapasową stanu systemu kontrolera domeny, aby wykonać kopię zapasową Active Directory. Firma Microsoft zaleca używanie dedykowanego dysku wewnętrznego lub zewnętrznego dysku wymiennego, takiego jak dysk twardy USB, do wykonywania kopii zapasowych.
Operatorzy kopii zapasowych nie mają uprawnień wymaganych do planowania kopii zapasowych. Musisz mieć uprawnienia administracyjne, aby móc zaplanować tworzenie kopii zapasowych lub przywracanie stanu systemu. Kopia zapasowa stanu systemu jest szczególnie ważna w przypadku odzyskiwania po awarii, ponieważ eliminuje potrzebę rekonfigurowania systemu Windows z powrotem do pierwotnego stanu przed wystąpieniem awarii systemu. Ważne jest, aby zawsze mieć ostatnią kopię zapasową stanu systemu. Mogą wymagać wykonywania regularnych kopii zapasowych stanu systemu, aby zwiększyć poziom ochrony. Zalecamy wykonywanie kopii zapasowych stanu systemu przed i po wprowadzeniu istotnych zmian na serwerze.
przed rozpoczęciem procesu tworzenia kopii zapasowej należy wziąć pod uwagę następujące kroki początkowe:
- ważne jest, aby mieć odpowiednią ilość miejsca na dysku, aby pomieścić planowaną kopię zapasową.
- jeśli zamierzasz tworzyć kopie zapasowe, gdy aplikacje wytwarzające dane są nadal uruchomione (co zwykle ma miejsce), musisz skonfigurować usługę kopiowania woluminu w tle, znaną również jako usługa migawek woluminu (VSS) na dysku, aby kopia zapasowa przebiegała pomyślnie. Ta usługa pomaga tworzyć kopie zapasowe lub migawki plików komputerowych lub woluminów, nawet gdy są one w użyciu.
- musisz zainstalować funkcję kopii zapasowej systemu Windows Server, Jeśli jeszcze tego nie zrobiłeś. Windows Server 2019 podobnie jak poprzednie wersje, jest wyposażony w funkcję tworzenia kopii zapasowych systemu Windows Server, która pomaga wykonywać i przywracać kopie zapasowe bazy danych Active Directory. Teraz przejdziemy przez powyższe kroki szczegółowo.
Konfiguracja usługi kopiowania woluminów w cieniu (VSS)
ważne jest, aby kopia zapasowa bazy danych AD została wykonana w sposób zapewniający spójność bazy danych. Jednym ze sposobów zachowania spójności jest tworzenie kopii zapasowej bazy danych AD, gdy serwer jest w stanie wyłączenia. Jednak tworzenie kopii zapasowej serwera Active Directory w stanie wyłączenia zasilania może nie być dobrym pomysłem, jeśli serwer działa w trybie 24/7.
z tego powodu firma Microsoft zaleca użycie usługi kopiowania woluminów w cieniu (Volume Shadow Copy Service-VSS) do tworzenia kopii zapasowych serwera z usługą Active Directory. VSS to technologia zawarta w systemie Microsoft Windows, która może tworzyć kopie zapasowe lub migawki plików komputerowych lub woluminów, nawet gdy są one w użyciu. Autorzy VSS tworzą migawkę, która zawiesza stan systemu do momentu zakończenia tworzenia kopii zapasowej, aby zapobiec modyfikowaniu aktywnych plików używanych przez Active Directory podczas procesu tworzenia kopii zapasowej. W ten sposób możliwe jest wykonanie kopii zapasowej działającego serwera bez wpływu na jego wydajność. W tym przewodniku pokażemy, jak zmienić konfigurację limitu rozmiaru kopii cienia na woluminie, w którym będziemy przechowywać bazę danych reklam.
1. Naciśnij kombinację Win + X na klawiaturze, aby otworzyć Menedżera dysków. Wybierz partycję, na której zainstalowany jest serwer, a następnie kliknij ją prawym przyciskiem myszy i kliknij Właściwości.
2. Przejdź do zakładki kopie cieni, a następnie kliknij Włącz, jak pokazano na poniższym obrazku.
3. W następnym oknie Kliknij tak, aby potwierdzić, że chcesz włączyć kopie w tle, jak pokazano poniżej.
4. Po potwierdzeniu zobaczysz punkt przywracania utworzony na wybranej partycji. Kliknij Ustawienia, aby kontynuować.
5. Na ekranie Ustawienia pokazanym poniżej, w obszarze maksymalny rozmiar, wybierz Bez limitu. Po zakończeniu kliknij przycisk OK, a to zrobi to dla tej sekcji-skonfiguruj usługę kopiowania woluminów w cieniu (VSS).
zainstaluj funkcję kopii zapasowej systemu Windows Server
Kopia zapasowa systemu Windows Server to narzędzie dostarczane przez firmę Microsoft z systemem Windows Server 2008 i nowszymi wersjami. Zastąpił on Narzędzie NTBackup, które zostało wbudowane w Windows Server 2003. Kopia zapasowa systemu Windows Server to funkcja, którą można zainstalować w systemie Windows Server 2019, podobnie jak w innych poprzednich edycjach. Jeśli więc nie korzystałeś jeszcze z funkcji tworzenia kopii zapasowych, prawdopodobnie będziesz musiał ją najpierw zainstalować. Sposób instalacji tej funkcji jest za pośrednictwem Menedżera serwera.
1. Otwórz konsolę Menedżera serwera, jak pokazano na poniższym obrazku.
2. Przejdź do Local Server > > Manage tab > > i kliknij Dodaj role i funkcje, jak widać na poniższym obrazku. Spowoduje to otwarcie Kreatora dodawania ról i funkcji.
3, na ekranie Wybierz typ instalacji wybierz opcję instalacji opartej na rolach lub funkcjach i kliknij przycisk Dalej.
4. Na następnym ekranie o nazwie Wybierz serwer docelowy będziesz musiał wybrać serwer, na którym chcesz zainstalować role i funkcje. System Windows automatycznie wyświetli pulę serwerów. W tym przypadku wybieramy serwer lokalny, którym jest WD2K19-DC01-mylablocal.
5. Na ekranie Wybierz role serwera musisz wybrać role do zainstalowania na serwerze. Ponieważ instalujemy funkcję, możesz zignorować tę sekcję i przejść do następnego ekranu. Kliknij Dalej, aby kontynuować.
6. Na ekranie Wybierz funkcje poniżej przewiń w dół do funkcji tworzenia kopii zapasowych systemu Windows Server i wybierz ją tak, jak pokazano na poniższym obrazku. Kliknij Dalej, aby kontynuować.
7. Na ekranie potwierdź wybór instalacji upewnij się, że na ekranie znajduje się funkcja Kopia zapasowa systemu Windows Server i kliknij przycisk Instaluj, aby rozpocząć instalację.
funkcja tworzenia kopii zapasowych systemu Windows Server rozpocznie się instalować na serwerze lokalnym. Po zakończeniu instalacji kliknij przycisk Zamknij, aby zamknąć konsolę.
Utwórz kopię zapasową bazy danych Active Directory
1. Teraz przejdź do Menedżera serwera i kliknij Narzędzia > > Kopia zapasowa systemu Windows Server, aby ją otworzyć. Możesz również otworzyć tę konsolę, uruchamiając polecenie wbadmin.msc na Windows uruchomić (Ctrl + R). Po otwarciu będzie można zobaczyć stan zaplanowanej i ostatniej kopii zapasowej (chyba że robisz to po raz pierwszy.)
2. Po otwarciu kopii zapasowej serwera kliknij Kopia zapasowa raz, aby zainicjować ręczną kopię zapasową bazy danych AD. Chociaż możesz również tworzyć automatyczne zaplanowane kopie zapasowe, klikając harmonogram tworzenia kopii zapasowych, w tym przewodniku utworzymy ręczną kopię zapasową.
3. W obszarze Opcje tworzenia kopii zapasowych wybierz różne opcje i kliknij przycisk Dalej ta opcja jest używana, gdy nie ma zaplanowanej kopii zapasowej.
4. Na ekranie wybierz konfigurację kopii zapasowej dostępne są dwie opcje:
-
- pełny serwer kopie zapasowe wszystkich danych serwera, aplikacji i stanu systemu
- niestandardowe pozwala wybrać, co chcesz utworzyć kopię zapasową.
ponieważ chcemy tylko wykonać kopię zapasową active directory, wybieramy drugą opcję. Wybierz opcję Custom i kliknij Dalej.
5. Na ekranie wybierz elementy do tworzenia kopii zapasowej określ elementy, które chcesz uwzględnić w kopii zapasowej. W tej kopii zapasowej wybieramy pozycję Kopia zapasowa stanu systemu. Aby to zrobić, kliknij przycisk Dodaj elementy >> wybierz opcję stan systemu > > i kliknij przycisk Ok, aby zakończyć proces.
6. Teraz mamy zamiar włączyć usługę kopiowania woluminu w cieniu dla tego elementu kopii zapasowej. W ten sposób nie można modyfikować danych reklam podczas tworzenia kopii zapasowej. Aby włączyć VSS, kliknij Ustawienia zaawansowane > >Ustawienia VSS >> Wybierz VSS pełna kopia zapasowa i kliknij Ok. Pełna kopia zapasowa VSS jest zalecaną opcją, jeśli jest to twoja pierwsza kopia zapasowa, a nie używasz żadnego narzędzia do tworzenia kopii zapasowych innych firm. Ta opcja pozwala na utworzenie kopii zapasowej wszystkich plików. Jest to również preferowana metoda przyrostowych kopii zapasowych, ponieważ nie wpływa na kolejność tworzenia kopii zapasowych.
7. Na następnym ekranie należy określić typ docelowy kopii zapasowej-dyski lokalne lub zdalny folder udostępniony. Do celów tej demonstracji używamy lokalnego dysku twardego do przechowywania kopii zapasowej. Wybierz dyski lokalne i kliknij Dalej.
8. Na ekranie Wybierz miejsce docelowe kopii zapasowej możesz wybrać partycję, na której chcesz przechowywać kopię zapasową. Po zakończeniu kliknij przycisk Dalej, aby przejść do następnego ekranu.
9. Ekran potwierdzenia pozwala dwukrotnie sprawdzić, czy wszystkie parametry kopii zapasowej są poprawnie skonfigurowane. Gdy jesteś gotowy do pracy, kliknij przycisk kopii zapasowej. Tworzenie kopii zapasowej powinno zająć trochę czasu w zależności od wielkości serwera kontrolera domeny. Po pomyślnym zakończeniu tworzenia kopii zapasowej możesz zamknąć kreatora kopii zapasowej.
jeśli Kreator kopii zapasowej został zamknięty bez oczekiwania na status ostatniej wiadomości, kopia zapasowa będzie nadal działać w tle. Możesz również potwierdzić status i wyniki wykonania kopii zapasowej z konsoli webadmin (lub funkcji tworzenia kopii zapasowej systemu Windows Server). Konsola wyświetli komunikat z informacjami z tej kopii zapasowej (i innych).
podsumowanie
szczegółowo wyjaśniliśmy, jak wykonać kopię zapasową Active Directory przy użyciu kopii zapasowej systemu Windows Server. Zastosowaliśmy ręczne podejście „Backup Once”, ale oczywiście można również skonfigurować „harmonogram tworzenia kopii zapasowych”, aby uruchamiać okresowe zadania tworzenia kopii zapasowych AD.
jak już wspomniano, funkcja tworzenia kopii zapasowych systemu Windows Server jest łatwym w użyciu darmowym narzędziem, które jest dołączone do większości systemów operacyjnych Windows Server i może współpracować z VSS, aby wykonywać pełne lub systemowe kopie zapasowe. Istnieje jednak wiele narzędzi do tworzenia kopii zapasowych Active Directory innych firm, z których możesz korzystać. W rzeczywistości prawie każda usługa tworzenia kopii zapasowych na poziomie przedsiębiorstwa powinna być w stanie wykonać kopię zapasową usługi Active Directory z niewielką lub żadną trudnością. Różnica między tymi wszystkimi narzędziami polega głównie na tym, że niektóre z nich zapewniają więcej możliwości, zwłaszcza jeśli chodzi o tworzenie kopii zapasowych i przywracanie usługi Active Directory.