备份域控制器AD 保护的最佳实践(第 1 部分)

在需要身份验证和集中用户管理的企业环境中,Microsoft Active Directory 是一项标准组件。很难想像如果没有这一技术,系统管理员该如何有效完成工作。作为一项重要特性,Active Directory 需要用户花费大量时间妥善利用,以实现最大效用。

本系列旨在帮助您使用 Veeam 产品成功备份和恢复 Active Directory 域服务,满足您轻松完成 AD 保护的一切要求。在阅读本系列文章之前,您可能希望阅读我们先前发布的 AD 管理最佳实践系列。

本系列将探讨 Veeam 如何保护 Active Directory 数据 — 根据需要保护和恢复域控制器 (DC) 或单个 AD 对象。

今天,我将介绍 Veeam 为物理和虚拟化域控制器提供的备份选项,以及相关的备份注意事项。

备份域控制器的注意事项

由于 Active Directory 域服务设计了冗余,因此一般的备份规则和策略可进行相应调整。您的备份策略并不适用于此处的 SQL 或 Exchange 服务器。下面一些注意事项可能有助于您创建自己的 Active Directory 策略:

  • 了解在您的环境中哪些域控制器充当 Flexible Single Master Operations (FSMO) 角色。提示:通过命令行确认这一点的简单命令:>netdom query fsmo

实施全域恢复时,您可能需要从具有最多 FSMO 角色的 DC 开始,通常是具有 PDC 模拟器角色的 DC。或者在还原之后使用 ntdsutil seize 命令手动转换角色。在计划备份时请注意这一点,并相应地设置域控制器的优先级。参考 Active Directory 基本知识白皮书,详细了解 FSMO 角色。

  • 如果您的站点具有多个域控制器,而且您希望保护单个对象,您无需为项目级恢复备份所有 DC,一个 Active Directory 数据库 (ntds.dit) 就可满足需求
  • 总有方法降低意外/蓄意删除/修改 AD 对象的风险。考虑授权管理操作的权限,设置升高组(elevated group)的访问限制,并维护“延迟”站点
  • 我们通常建议一次备份一个域控制器,以免干扰 DFS 复制,即使现代备份应用程序Veeam Backup & Replication v9.5 知道如何处理这一情况
  • 如果您使用 VMware 虚拟环境且无法通过网络连接域控制器,需要在 DMZ 中进行操作(如本示例所述)在本示例中,Veeam 将实施面向 VIX 的故障切换,应该能够处理您的 DC。

如何备份虚拟域控制器

Microsoft Active Directory 服务能够在林中组织和保存有关单个对象的信息,并将其保存至域控制器托管的关系型数据库 (ntds.dit)。过去,备份域控制器是一项繁琐的工作,需要备份服务器的系统状态。众所周知,Active Directory 服务不会消耗系统的大量资源,因此,域控制器似乎总是环境中首先实施虚拟化的服务器。如果您坚持“只使用物理 DC”的老一套做法,请参考本博文。

实施虚拟化之后,它们可由域/系统管理员轻松管理,而且易于通过 Veeam Backup & Replication 备份。如需了解详情,您应该安装和配置 Veeam Backup & Replication。系统要求(版本 9.0)如下:

虚拟平台:VMware vSphere 4.1 和更高版本;Microsoft Hyper-V 2008 R2 SP1 和更高版本

Veeam 服务器:Windows Server 2008 SP2 和更高版本;Windows 7 SP1 和更高版本,64 位操作系统

域控制器虚拟机 (VM):Windows Server 2003 SP1 和更高版本,Windows 2003 支持的最低林功能级别

权限:目标 Active Directory 的管理权限。企业管理员或域管理员的账户。

本文并不描述 Veeam Backup & Replication 的安装和配置流程,该流程已经介绍过多次。但如果您需要相关帮助,请参见以下由 Veeam 系统工程师录制的视频

假设您的所有功能运行正常。现在,您需要为虚拟域控制器配置备份任务。配置流程相当简单(见下图 1):

1.启动备份任务创建向导

2.在任务中添加所需的域控制器

3.指定备份链的保留策略

4.务必启用应用感知图像处理 (AAIP),以确保虚拟机上运行的操作系统和应用程序的事务一致性,包括 Active Directory 数据库和 SYSVOL 目录

注:AAIP 是一项 Veeam 技术,支持软件以应用感知的方式备份虚拟机,包括检测来宾账户操作系统的应用程序,收集它们的元数据,使用相应的 Microsoft VSS 写入程序对它们进行停顿处理,准备在第一次启动还原的虚拟机时实施应用程序的特定 VSS 还原程序,并在备份任务成功完成时截断应用程序的交易日志。详情请参考 AAIP 文档

不启用 AAIP 将不会触发域控制器来宾账户操作系统,从而无法进行备份和保护因此,您稍后可能会在服务器日志中看到内部警告 — 事件 2089,内容为“备份延迟间隔”天数内未进行备份。

图 1.编辑备份任务:Guest 处理 

5.安排任务或手动运行任务

6.确保任务顺利完成,且未发生错误或警告

图 2.执行 DC 增量备份

7.在备份存储库中查找最新创建的备份文件 — 就这么简单!

此外,您可在 Veeam Cloud Connect (VCC) 服务提供商的帮助下或使用另一个备份存储库通过 Veeam 备份复制任务在云中存储备份,或通过备份至磁带任务将其存档至磁带。最重要的是,备份现在非常安全,并可在您需要时立即还原。

如何备份物理域控制器

坦率地讲,我希望您一直在更新贵公司的 AD 服务,而且您的域控制器实施虚拟化已有很长一段时间。如果不是这样,我希望您至少一直在更新域控制器,而且它们运行较新的 Windows Server 操作系统版本、Windows Server 2008 R2 或更高版本。(如需管理较旧的系统,请跳过下列内容,立即阅读第三篇文章)

那么,如果拥有一个或一组运行 Windows Server 2008 R2 或更高版本的物理域控制器,您希望保护您的 AD?Veeam Endpoint Backup 实用程序旨在确保其余物理终端和服务器上的数据安全无虞。Veeam Endpoint Backup 可捕捉物理机上的所需数据,并将其存储在备份文件中。如果发生灾难,您能够实施裸机还原或卷级还原,同时全面控制恢复程序。此外,Veeam Explorer for Microsoft Active Directory 可帮助轻松实施项目级恢复。

如需使用该工具备份您的物理域控制器,您应该:

  • 本页中下载 Veeam Endpoint Backup 免费版,并将其复制到您的 DC 中
  • 启动安装向导,接受许可协议并安装该程序

注:阅读这些说明,在无人值守模式下进行安装。

  • 选择合适的备份模式,配置备份任务。备份整台电脑是最简单、也是推荐的做法。使用文件级备份模式时,务必选择操作系统作为备份对象(见图 3)。这可确保该程序捕捉裸机还原需要的所有文件,Active Directory 数据库和 SYSVOL 目录也会保存。参考产品用户指南了解详情

图 3.在 Veeam Endpoint Backup 中选择需备份的对象

注:如果您的基础架构具有 Veeam Backup & Replication 实例,而且您希望使用配置的 Veeam 备份存储库接受终端备份,请通过 Veeam Backup & Replication 对其进行重新配置(右击所需的存储库,支持访问存储库,并在需要时启用备份加密,见图 4)。

图 4.设置备份存储库的终端备份权限

  • 运行备份,避免任何错误

图 5.Veeam Endpoint Backup 免费版:备份任务统计

  • 就是这个!备份已完成,从现在开始您的域控制器将受到保护。访问备份目标,查看备份或备份链

图 6.增量备份链

注。如果您将 Veeam Backup & Replication 存储库配置为 DC 备份目标,请在 备份> 磁盘 节点(位于终端备份节点)中查找新创建的备份。

图 7.Veeam Backup & Replication:备份磁盘

总结

域控制器备份就这么简单吗?既简单也不简单。成功备份是第一步,但不是全部。Veeam 有一句名言:“如果不能还原,备份一文不值”。

本系列的下列文章旨在用于不同的 Active Directory 恢复场景,包括还原特定域控制器,使用原生 Microsoft 实用程序和 Veeam Explorer for Active Directory.恢复单个删除及更改的对象。

另请参阅

Article language
中文(简体)
Similar Blog Posts
Business | 2023年12月5日
Business | 2022年8月2日
Business | 2022年7月11日
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK