Active Directory Backup Guide

Active Directory (AD) är en Microsoft-egen katalogtjänst utvecklad för Windows-domännätverk. Det introducerades först i Windows Server 2000 för centraliserad domänhantering. Det ingår nu i alla efterföljande Windows Server-operativsystem, vilket gör det möjligt för nätverksadministratörer att skapa och hantera domäner, användare, objekt, privilegier och åtkomst i ett nätverk.

AD är bra på att hantera traditionell lokal Microsoft-infrastruktur men inte molnmiljöer. Microsoft cloud infrastructure använder Azure Active Directory, som tjänar samma syften som sin lokala motsvarighet. Active Directory och Azure Active Directory är distinkta men kan fungera i viss mån om din organisation har en hybriddistribution (lokalt och moln).

annonslayouten följer en differentierad struktur som består av domäner, träd och skogar. En domän är en grupp objekt (t.ex. användare eller enheter) som delar samma annonsdatabas. Ett träd är en samling domäner, och en skog är en samling träd. Den huvudsakliga Active Directory-tjänsten är Active Directory Domain Services (AD DS), som ingår i operativsystemet Windows Server. Servrarna som kör AD DS kallas domänkontrollanter (DCS). Vissa organisationer har flera DCs, och var och en har en kopia av katalogen för hela domänen. För att säkerställa att DCs hålla dig uppdaterad, ändringar som gjorts i katalogen på en DC såsom ändring av lösenord också replikeras till den andra DCs.

Active Directory-databasen (directory) har en hierarkisk trädliknande struktur och innehåller information om ANNONSOBJEKTEN i domänen. Vanliga typer av ANNONSOBJEKT inkluderar användare, datorer, program, skrivare och delade mappar. Ntds.dit-filen används för att lagra ANNONSDATABASEN. Databasen är uppdelad i flera sektioner som innehåller olika typer av information—en schemapartition (som bestämmer ANNONSDATABASENS design), konfigurationspartition (information om ANNONSSTRUKTUR) och domännamns sammanhang (användare, grupper, skrivarobjekt). Active Directory är tätt integrerad med Windows-skyddade systemfiler, systemregistret för en domänkontrollant, Sysvol-katalog, COM+ – Klassregistreringsdatabas och klustertjänstinformation. När du planerar för en säkerhetskopieringsstrategi är det viktigt att överväga sådan integration, särskilt på grund av den omedelbara inverkan den har på annonsen.

behöver du säkerhetskopiera active directory?

Active Directory är en av de viktigaste komponenterna i alla Windows-nätverk. Att ha någon backup strategi som helst skulle kunna sätta hela organisationen i riskzonen. Dess bästa praxis är att ha flera active directory-domänkontrollanter med fail-over-funktioner så att när man misslyckas skulle du fortfarande kunna återställa även utan säkerhetskopiering. Att ha flera domänkontrollanter är dock inte tillräckligt med motivering för att inte göra en säkerhetskopia. Du bör fortfarande göra en säkerhetskopia av active directory oavsett om du har flera domänkontrollanter eller inte. Flera domänkontrollanter kan misslyckas på en gång, oavsiktlig eller avsiktlig radering av alla konton eller kritiska organisationsenheter (ou) kan inträffa, hela databasen korruption kan uppstå, virus och ransomware eller någon annan katastrof kan utplåna alla domänkontrollanter. I en sådan situation skulle du behöva återställa den från en säkerhetskopia. Det är därför du behöver säkerhetskopiera.

du behöver förmodligen inte säkerhetskopiera varje enskild domänkontrollant för att få en bra säkerhetskopia av annonsen. Du borde bara behöva säkerhetskopiera en av domänkontrollanterna. Om din domänkontrollant kraschar, ditt nätverk och i förlängningen kommer affärsverksamheten att stanna. Även om active directory-tjänster är utformade med hög redundans (om du distribuerade flera DCs i ditt nätverk). Det är därför viktigt att utveckla och implementera en tydlig active directory-säkerhetskopieringspolicy. Om du har flera DCs igång måste du säkerhetskopiera minst en av dem. Den ideala DC till backup bör vara den som kör den flexibla Single Master Operation (FSMO ) Roll. Med en bra implementering av säkerhetskopierings-och återställningsstrategi kan din organisation enkelt återhämta sig efter att dina domänkontrollanter kraschar.

om Active Directory Domain Controller (AD DC) blir otillgänglig av någon anledning, kan användare inte logga in och system kan inte fungera korrekt, vilket kan orsaka störningar i affärsverksamheten. Det är därför det är viktigt att säkerhetskopiera din Active Directory. I den här artikeln visar vi hur du säkerhetskopierar en Active Directory-domänkontrollant som körs på Windows Server 2019. Innan vi börjar tar vi en titt på ett koncept som kallas system State backup och hur det påverkar Active Directory-data.

system state backup

Microsoft Windows Server erbjuder möjligheten att utföra en ’Full’ backup eller en ’System State’ backup. En fullständig säkerhetskopia gör en kopia av systemenheterna i en fysisk eller en virtuell maskin, inklusive applikationer, operativsystem och till och med systemtillståndet. Denna säkerhetskopia kan användas för återställning av ren metall—det här låter dig enkelt installera om operativsystemet och använda säkerhetskopian för att återställa.

system State backup å andra sidan skapar en säkerhetskopia för kritiska systemrelaterade komponenter. Denna säkerhetskopia kan användas för att återställa kritiska systemkomponenter i händelse av en krasch. Active Directory säkerhetskopieras som en del av systemtillståndet på en domänkontrollant när du utför en säkerhetskopia med Windows Server Backup, Wbadmin.exe eller PowerShell. I den här guiden kommer vi att använda system State backup eftersom det tillåter oss att säkerhetskopiera endast de komponenter som behövs för att återställa Active Directory. Observera dock att Microsoft inte stöder återställning av en systemstatusbackup från en server till en annan server av en annan modell eller hårdvarukonfiguration. System state backup är bäst lämpad för att återställa Active Directory endast på samma server.

som beskrivs senare i den här guiden måste Windows Server Backup installeras via funktioner i Serverhanteraren innan du kan använda den för att säkerhetskopiera eller återställa servern. Vilken typ av säkerhetskopiering du väljer för domänkontrollanterna beror på hur ofta Active Directory ändras och vilka data eller program som kan installeras på domänkontrollanten. Det minsta du behöver säkerhetskopiera för att skydda viktiga Active Directory-data på en domänkontrollant är systemtillståndet. Systemtillståndet innehåller följande lista plus några ytterligare objekt beroende på vilka roller som är installerade:

  • domänkontrollant: Active Directory DC-databasfiler (NTDS.8825> systemskyddade filer, COM+ klass registreringsdatabas, register, systemvolym (SYSVOL)
  • Domänmedlem: startfiler, COM+ klass registreringsdatabas, register
  • en maskin som kör klustertjänster: dessutom säkerhetskopierar cluster server metadata
  • en maskin som kör certifikattjänster: dessutom säkerhetskopierar certifikatdata

Dessutom kommer systemstatliga säkerhetskopior tillbaka up Active Directory-integrerade DNS-zoner men säkerhetskopierar inte filbaserade DNS-zoner. Filbaserade DNS-zoner måste säkerhetskopieras som en del av en säkerhetskopia på volymnivå, till exempel en kritisk volymbackup eller fullständig serverbackup. Alla ovanstående säkerhetskopieringstyper kan köras manuellt på begäran, eller de kan schemaläggas med Windows Server Backup. Du kan använda antingen Windows Server backup eller Wbadmin.exe för att utföra en systemstatlig säkerhetskopiering av en domänkontrollant för att säkerhetskopiera Active Directory. Microsoft rekommenderar att du använder antingen en dedikerad intern disk eller en extern flyttbar disk som en USB-hårddisk för att utföra säkerhetskopiorna.

Säkerhetskopieringsoperatörer har inte de behörigheter som krävs för att schemalägga säkerhetskopior. Du måste ha administrativa rättigheter för att kunna schemalägga en säkerhetskopiering eller återställning av systemtillstånd. En säkerhetskopiering av systemtillstånd är särskilt viktigt för katastrofåterställningsändamål eftersom det eliminerar behovet av att omkonfigurera Windows tillbaka till sitt ursprungliga tillstånd innan systemfel inträffade. Det är viktigt att du alltid har en ny säkerhetskopia av ditt systemtillstånd. De kan kräva att du utför regelbundna säkerhetskopior av systemtillstånd för att öka din skyddsnivå. Vi rekommenderar att du utför säkerhetskopior av systemtillstånd före och efter att någon större ändring har gjorts på din server.

innan du fortsätter med säkerhetskopieringen måste du notera följande inledande steg:

  1. Det är viktigt att du har den nödvändiga mängden lagringsutrymme för att rymma säkerhetskopian du ska utföra.
  2. om du ska säkerhetskopiera medan applikationerna som producerar data fortfarande körs (vilket vanligtvis är fallet) måste du konfigurera Volume Shadow Copy Service, även känd som Volume Snapshot Service (VSS) på enheten för att säkerhetskopieringen ska lyckas. Den här tjänsten hjälper till att skapa säkerhetskopior eller ögonblicksbilder av datafiler eller volymer, även när de används.
  3. du måste installera Windows Server Backup-funktionen om du inte har gjort det ännu. Windows Server 2019 precis som tidigare utgåvor, levereras med Windows Server Backup-funktionen som hjälper till att utföra Active Directory-databasbackup och återställning. Nu kommer vi att gå igenom ovanstående steg i detalj.

konfigurera VSS (Volume Shadow Copy Service)

det är viktigt att se till att AD-databasen säkerhetskopieras på ett sätt som bevarar databasens konsistens. Ett sätt att bevara konsekvens är att säkerhetskopiera ANNONSDATABASEN när servern är i ett avstängt tillstånd. Att säkerhetskopiera Active Directory-servern i ett avstängt tillstånd kan dock inte vara bra om servern arbetar i 24/7-läge.

av denna anledning rekommenderar Microsoft användningen av Volume Shadow Copy Service (VSS) för att säkerhetskopiera en server som kör Active Directory. VSS är en teknik som ingår i Microsoft Windows som kan skapa säkerhetskopior eller ögonblicksbilder av datafiler eller volymer, även när de används. VSS-skribenter skapar en ögonblicksbild som fryser systemtillståndet tills säkerhetskopieringen är klar för att förhindra att aktiva filer som används av Active Directory ändras under en säkerhetskopieringsprocess. På detta sätt är det möjligt att säkerhetskopiera en löpande server utan att påverka dess prestanda. För den här guiden kommer vi att visa dig hur du ändrar konfigurationen för Skuggkopians storlek på volymen där vi ska lagra ANNONSDATABASEN.

1. Tryck på en kombination av Win + X på tangentbordet för att öppna Diskhanteraren. Välj den partition där servern är installerad, högerklicka sedan på den och klicka på Egenskaper.högerklicka på den och klicka på Egenskaper

2. Gå till fliken skuggkopior och klicka sedan på Aktivera som visas på bilden nedan.

fliken skuggkopior

3. I nästa fönster klickar du på Ja för att bekräfta att du vill aktivera skuggkopior som visas nedan.

bekräfta att du vill aktivera skuggkopior

4. Efter bekräftelse ser du en återställningspunkt skapad i den valda partitionen. Klicka på Inställningar för att fortsätta.

återställningspunkt skapad i den valda partitionen

5. På skärmen inställningar som visas nedan, under maximal storlek, välj Ingen gräns. När du är klar klickar du på OK-knappen, och det gör det för det här avsnittet—Konfigurera Volume Shadow Copy Service (VSS).

under maximal storlek väljer du ingen gräns

installera Windows Server backup-funktionen

Windows Server Backup är ett verktyg som tillhandahålls av Microsoft med Windows Server 2008 och senare utgåvor. Det ersatte NTBackup-verktyget som byggdes in i Windows Server 2003. Windows Server Backup är en funktion som kan installeras i Windows Server 2019 precis som i andra tidigare utgåvor. Så om du inte har använt säkerhetskopieringsfunktionen ännu måste du troligen installera den först. Sättet att installera den här funktionen är via Serverhanteraren.

1. Öppna Server Manager-konsolen som visas på bilden nedan.

 serverhanteringskonsol

2. Gå till lokal Server >> hantera fliken >> och klicka på Lägg till roller och funktioner som visas i bilden nedan. Detta öppnar guiden Lägg till roller och funktioner.

 gå till lokal Server

3, på skärmen Välj Installationstyp väljer du alternativet rollbaserad eller funktionsbaserad installation och klickar på Nästa. Välj Installationstyp

4. På nästa skärm som heter Select destination server måste du välja servern där du vill installera roller och funktioner. Windows visar automatiskt serverpoolen. I det här fallet kommer vi att välja den lokala servern, som är WD2K19-DC01-mylablocal.

 Välj målserver

5. På skärmen Välj serverroller måste du välja vilka roller som ska installeras på servern. Eftersom vi installerar en funktion kan du ignorera det här avsnittet och fortsätta till nästa skärm. Klicka på Nästa för att fortsätta.

 Välj serverroller

6. På skärmen Välj funktioner nedan bläddrar du ner till Windows Server Backup-funktionen och väljer den enligt bilden nedan. Klicka på Nästa för att fortsätta.

 Välj funktioner

7. På skärmen bekräfta installationsval kontrollerar du att Windows Server Backup-funktionen finns på skärmen och klickar på knappen Installera för att starta installationen.

bekräfta installationsval

Windows Server Backup-funktionen börjar installeras på din lokala server. När installationen är klar klickar du på knappen Stäng för att stänga konsolen.

klicka på knappen Stäng för att stänga konsolen

säkerhetskopiera Active Directory-databasen

1. Gå nu till Serverhanteraren och klicka på Verktyg >> Windows Server Backup, för att öppna den. Du kan också öppna den här konsolen genom att köra kommandot wbadmin.msc på Windows-körningen (Ctrl+R). När den öppnas kan du se den schemalagda och sista säkerhetskopieringsstatusen (såvida det inte är första gången du gör det här.)

gå till Serverhanteraren

2. När Server backup öppnas, klicka på Backup En gång för att initiera en manuell annons databas backup. Även om du också kan skapa automatiska schemalagda säkerhetskopior genom att klicka Backup schedule, för den här guiden kommer vi att skapa en manuell säkerhetskopiering.

 klicka på Backup En gång för att initiera en manuell AD databas backup

3. Under säkerhetskopieringsalternativ Välj olika alternativ och klicka på knappen Nästa det här alternativet används där det inte finns någon schemalagd säkerhetskopiering.

 Välj olika alternativ

4. På skärmen Välj Backup-konfiguration har du två alternativ:

    • Full Server säkerhetskopierar alla serverdata, program och systemtillstånd
    • Anpassad kan du välja vad du vill säkerhetskopiera.

eftersom vi bara vill säkerhetskopiera active directory väljer vi det andra alternativet. Så Välj anpassad och klicka på Nästa.

 Välj Backup-konfiguration-Anpassad

5. På skärmen Välj objekt för säkerhetskopiering anger du de objekt som du vill inkludera i säkerhetskopian. I den här säkerhetskopian kommer vi att välja System State Backup-objektet. För att göra detta, klicka på knappen Lägg till objekt >> välj Systemstatusalternativ >> och klicka på Ok-knappen för att slutföra processen.

 Välj objekt för säkerhetskopiering

Välj objekt för säkerhetskopiering-systemtillstånd

6. Nu ska vi aktivera Volume Shadow Copy-tjänsten för detta säkerhetskopieringsobjekt. Detta förhindrar att annonsdata ändras medan säkerhetskopieringen pågår. För att aktivera VSS, klicka på Avancerade inställningar >>VSS-Inställningar >> Välj VSS Full Backup och klicka på Ok. VSS Full Backup är det rekommenderade alternativet om det är din första backup, och du inte använder någon tredje part backup verktyg. Med det här alternativet kan du skapa en säkerhetskopia av alla filer. Det är också den föredragna metoden för inkrementella säkerhetskopieringar, eftersom det inte påverkar sekvensen för säkerhetskopiering. aktivera VSS aktivera VSS fullständig säkerhetskopiering

7. I nästa skärm, skulle du behöva ange backup destination typ-lokala enheter eller fjärr delad mapp. För denna demonstration använder vi en lokal hårddisk för att lagra säkerhetskopian. Så välj lokala enheter och klicka på Nästa.

 ange reservdestinationstypen

8. På skärmen Välj Backup Destination kan du välja den faktiska partitionen där du vill lagra säkerhetskopian. När du är klar klickar du på Nästa för att gå vidare till nästa skärm.

 Välj Reservdestination

9. På bekräftelseskärmen kan du dubbelkontrollera att alla säkerhetskopieringsparametrar är korrekt konfigurerade. När du är bra att gå, klicka på Backup-knappen. Säkerhetskopieringen bör ta lite tid beroende på storleken på domänkontrollantsservern. När säkerhetskopieringen är klar kan du stänga Säkerhetskopieringsguiden.

bekräftelseskärmen

om du stängde Säkerhetskopieringsguiden utan att vänta på status för det senaste meddelandet fortsätter säkerhetskopieringen att köras i bakgrunden. Du kan också bekräfta status och slutförande av säkerhetskopian från webadmin-konsolen (eller Windows Server Backup-funktionen). Konsolen visar ett meddelande med information från denna säkerhetskopia (och andra).

slutsats

vi har förklarat i detalj hur du säkerhetskopierar Active Directory med Windows Server backup. Vi använde den manuella” Backup Once ”- metoden, men naturligtvis kan du också konfigurera ett” Backup Schedule ” för att köra periodiska säkerhetskopieringsuppgifter.

som redan nämnts är Windows Server Backup-funktionen ett lättanvänt gratis verktyg som är buntat i de flesta Windows Server OS, och det kan fungera med VSS för att utföra fullständiga eller systemstatliga säkerhetskopior. Men, det finns också massor av tredje part Active Directory backup verktyg där ute som du kan använda. Faktum är att nästan alla säkerhetskopieringstjänster på företagsnivå bör kunna säkerhetskopiera Active Directory med liten eller ingen svårighet. Skillnaden mellan alla dessa verktyg ligger främst i hur vissa av dem ger fler funktioner, särskilt när det gäller att säkerhetskopiera och återställa Active Directory.

Lämna ett svar

Din e-postadress kommer inte publiceras.