备份域控制器AD 保护的最佳实践(第 1 部分)

在需要身份验证和集中用户管理的企业环境中,Microsoft Active Directory 是一项标准组件。很难想像如果没有这一技术,系统管理员该如何有效完成工作。作为一项重要特性,Active Directory 需要用户花费大量时间妥善利用,以实现最大效用。

本系列旨在帮助您使用 Veeam 产品成功备份和恢复 Active Directory 域服务,满足您轻松完成 AD 保护的一切要求。在阅读本系列文章之前,您可能希望阅读我们先前发布的 AD 管理最佳实践系列。

本系列将探讨 Veeam 如何保护 Active Directory 数据 — 根据需要保护和恢复域控制器 (DC) 或单个 AD 对象。

今天,我将介绍 Veeam 为物理和虚拟化域控制器提供的备份选项,以及相关的备份注意事项。

备份域控制器的注意事项

由于 Active Directory 域服务设计了冗余,因此一般的备份规则和策略可进行相应调整。您的备份策略并不适用于此处的 SQL 或 Exchange 服务器。下面一些注意事项可能有助于您创建自己的 Active Directory 策略:

  • 了解在您的环境中哪些域控制器充当 Flexible Single Master Operations (FSMO) 角色。提示:通过命令行确认这一点的简单命令:>netdom query fsmo

实施全域恢复时,您可能需要从具有最多 FSMO 角色的 DC 开始,通常是具有 PDC 模拟器角色的 DC。或者在还原之后使用 ntdsutil seize 命令手动转换角色。在计划备份时请注意这一点,并相应地设置域控制器的优先级。参考 Active Directory 基本知识白皮书,详细了解 FSMO 角色。

  • 如果您的站点具有多个域控制器,而且您希望保护单个对象,您无需为项目级恢复备份所有 DC,一个 Active Directory 数据库 (ntds.dit) 就可满足需求
  • 总有方法降低意外/蓄意删除/修改 AD 对象的风险。考虑授权管理操作的权限,设置升高组(elevated group)的访问限制,并维护“延迟”站点
  • 我们通常建议一次备份一个域控制器,以免干扰 DFS 复制,即使现代备份应用程序Veeam Backup & Replication v9.5 知道如何处理这一情况
  • 如果您使用 VMware 虚拟环境且无法通过网络连接域控制器,需要在 DMZ 中进行操作(如本示例所述)在本示例中,Veeam 将实施面向 VIX 的故障切换,应该能够处理您的 DC。

如何备份虚拟域控制器

Microsoft Active Directory 服务能够在林中组织和保存有关单个对象的信息,并将其保存至域控制器托管的关系型数据库 (ntds.dit)。过去,备份域控制器是一项繁琐的工作,需要备份服务器的系统状态。众所周知,Active Directory 服务不会消耗系统的大量资源,因此,域控制器似乎总是环境中首先实施虚拟化的服务器。如果您坚持“只使用物理 DC”的老一套做法,请参考本博文。

实施虚拟化之后,它们可由域/系统管理员轻松管理,而且易于通过 Veeam Backup & Replication 备份。如需了解详情,您应该安装和配置 Veeam Backup & Replication。系统要求(版本 9.0)如下:

虚拟平台:VMware vSphere 4.1 和更高版本;Microsoft Hyper-V 2008 R2 SP1 和更高版本

Veeam 服务器:Windows Server 2008 SP2 和更高版本;Windows 7 SP1 和更高版本,64 位操作系统

域控制器虚拟机 (VM):Windows Server 2003 SP1 和更高版本,Windows 2003 支持的最低林功能级别

权限:目标 Active Directory 的管理权限。企业管理员或域管理员的账户。

本文并不描述 Veeam Backup & Replication 的安装和配置流程,该流程已经介绍过多次。但如果您需要相关帮助,请参见以下由 Veeam 系统工程师录制的视频

假设您的所有功能运行正常。现在,您需要为虚拟域控制器配置备份任务。配置流程相当简单(见下图 1):

1.启动备份任务创建向导

2.在任务中添加所需的域控制器

3.指定备份链的保留策略

4.务必启用应用感知图像处理 (AAIP),以确保虚拟机上运行的操作系统和应用程序的事务一致性,包括 Active Directory 数据库和 SYSVOL 目录

注:AAIP 是一项 Veeam 技术,支持软件以应用感知的方式备份虚拟机,包括检测来宾账户操作系统的应用程序,收集它们的元数据,使用相应的 Microsoft VSS 写入程序对它们进行停顿处理,准备在第一次启动还原的虚拟机时实施应用程序的特定 VSS 还原程序,并在备份任务成功完成时截断应用程序的交易日志。详情请参考 AAIP 文档

不启用 AAIP 将不会触发域控制器来宾账户操作系统,从而无法进行备份和保护因此,您稍后可能会在服务器日志中看到内部警告 — 事件 2089,内容为“备份延迟间隔”天数内未进行备份。

图 1.编辑备份任务:Guest 处理 

5.安排任务或手动运行任务

6.确保任务顺利完成,且未发生错误或警告

图 2.执行 DC 增量备份

7.在备份存储库中查找最新创建的备份文件 — 就这么简单!

此外,您可在 Veeam Cloud Connect (VCC) 服务提供商的帮助下或使用另一个备份存储库通过 Veeam 备份复制任务在云中存储备份,或通过备份至磁带任务将其存档至磁带。最重要的是,备份现在非常安全,并可在您需要时立即还原。

如何备份物理域控制器

坦率地讲,我希望您一直在更新贵公司的 AD 服务,而且您的域控制器实施虚拟化已有很长一段时间。如果不是这样,我希望您至少一直在更新域控制器,而且它们运行较新的 Windows Server 操作系统版本、Windows Server 2008 R2 或更高版本。(如需管理较旧的系统,请跳过下列内容,立即阅读第三篇文章)

那么,如果拥有一个或一组运行 Windows Server 2008 R2 或更高版本的物理域控制器,您希望保护您的 AD?Veeam Endpoint Backup 实用程序旨在确保其余物理终端和服务器上的数据安全无虞。Veeam Endpoint Backup 可捕捉物理机上的所需数据,并将其存储在备份文件中。如果发生灾难,您能够实施裸机还原或卷级还原,同时全面控制恢复程序。此外,Veeam Explorer for Microsoft Active Directory 可帮助轻松实施项目级恢复。

如需使用该工具备份您的物理域控制器,您应该:

  • 本页中下载 Veeam Endpoint Backup 免费版,并将其复制到您的 DC 中
  • 启动安装向导,接受许可协议并安装该程序

注:阅读这些说明,在无人值守模式下进行安装。

  • 选择合适的备份模式,配置备份任务。备份整台电脑是最简单、也是推荐的做法。使用文件级备份模式时,务必选择操作系统作为备份对象(见图 3)。这可确保该程序捕捉裸机还原需要的所有文件,Active Directory 数据库和 SYSVOL 目录也会保存。参考产品用户指南了解详情

图 3.在 Veeam Endpoint Backup 中选择需备份的对象

注:如果您的基础架构具有 Veeam Backup & Replication 实例,而且您希望使用配置的 Veeam 备份存储库接受终端备份,请通过 Veeam Backup & Replication 对其进行重新配置(右击所需的存储库,支持访问存储库,并在需要时启用备份加密,见图 4)。

图 4.设置备份存储库的终端备份权限

  • 运行备份,避免任何错误

图 5.Veeam Endpoint Backup 免费版:备份任务统计

  • 就是这个!备份已完成,从现在开始您的域控制器将受到保护。访问备份目标,查看备份或备份链

图 6.增量备份链

注。如果您将 Veeam Backup & Replication 存储库配置为 DC 备份目标,请在 备份> 磁盘 节点(位于终端备份节点)中查找新创建的备份。

图 7.Veeam Backup & Replication:备份磁盘

总结

域控制器备份就这么简单吗?既简单也不简单。成功备份是第一步,但不是全部。Veeam 有一句名言:“如果不能还原,备份一文不值”。

本系列的下列文章旨在用于不同的 Active Directory 恢复场景,包括还原特定域控制器,使用原生 Microsoft 实用程序和 Veeam Explorer for Active Directory.恢复单个删除及更改的对象。

另请参阅

文章语言
中文(简体)
Similar Blog Posts
Business | 2023年12月5日
Business | 2022年7月11日
Business | 2022年7月5日
Stay up to date on the latest tips and news
订阅即表示您同意 Veeam 根据隐私政策管理您的个人信息
You're all set!
Watch your inbox for our weekly blog updates.
OK