在需要身份验证和集中用户管理的企业环境中,Microsoft Active Directory 是一项标准组件。很难想像如果没有这一技术,系统管理员该如何有效完成工作。作为一项重要特性,Active Directory 需要用户花费大量时间妥善利用,以实现最大效用。
本系列旨在帮助您使用 Veeam 产品成功备份和恢复 Active Directory 域服务,满足您轻松完成 AD 保护的一切要求。在阅读本系列文章之前,您可能希望阅读我们先前发布的 AD 管理最佳实践系列。
本系列将探讨 Veeam 如何保护 Active Directory 数据 — 根据需要保护和恢复域控制器 (DC) 或单个 AD 对象。
今天,我将介绍 Veeam 为物理和虚拟化域控制器提供的备份选项,以及相关的备份注意事项。
备份域控制器的注意事项
由于 Active Directory 域服务设计了冗余,因此一般的备份规则和策略可进行相应调整。您的备份策略并不适用于此处的 SQL 或 Exchange 服务器。下面一些注意事项可能有助于您创建自己的 Active Directory 策略:
- 了解在您的环境中哪些域控制器充当 Flexible Single Master Operations (FSMO) 角色。提示:通过命令行确认这一点的简单命令:>netdom query fsmo
实施全域恢复时,您可能需要从具有最多 FSMO 角色的 DC 开始,通常是具有 PDC 模拟器角色的 DC。或者在还原之后使用 ntdsutil seize 命令手动转换角色。在计划备份时请注意这一点,并相应地设置域控制器的优先级。参考 Active Directory 基本知识白皮书,详细了解 FSMO 角色。
- 如果您的站点具有多个域控制器,而且您希望保护单个对象,您无需为项目级恢复备份所有 DC,一个 Active Directory 数据库 (ntds.dit) 就可满足需求
- 总有方法降低意外/蓄意删除/修改 AD 对象的风险。考虑授权管理操作的权限,设置升高组(elevated group)的访问限制,并维护“延迟”站点
- 我们通常建议一次备份一个域控制器,以免干扰 DFS 复制,即使现代备份应用程序Veeam Backup & Replication v9.5 知道如何处理这一情况
- 如果您使用 VMware 虚拟环境且无法通过网络连接域控制器,需要在 DMZ 中进行操作(如本示例所述)在本示例中,Veeam 将实施面向 VIX 的故障切换,应该能够处理您的 DC。
如何备份虚拟域控制器
Microsoft Active Directory 服务能够在林中组织和保存有关单个对象的信息,并将其保存至域控制器托管的关系型数据库 (ntds.dit)。过去,备份域控制器是一项繁琐的工作,需要备份服务器的系统状态。众所周知,Active Directory 服务不会消耗系统的大量资源,因此,域控制器似乎总是环境中首先实施虚拟化的服务器。如果您坚持“只使用物理 DC”的老一套做法,请参考本博文。
实施虚拟化之后,它们可由域/系统管理员轻松管理,而且易于通过 Veeam Backup & Replication 备份。如需了解详情,您应该安装和配置 Veeam Backup & Replication。系统要求(版本 9.0)如下:
虚拟平台:VMware vSphere 4.1 和更高版本;Microsoft Hyper-V 2008 R2 SP1 和更高版本
Veeam 服务器:Windows Server 2008 SP2 和更高版本;Windows 7 SP1 和更高版本,64 位操作系统
域控制器虚拟机 (VM):Windows Server 2003 SP1 和更高版本,Windows 2003 支持的最低林功能级别
权限:目标 Active Directory 的管理权限。企业管理员或域管理员的账户。
本文并不描述 Veeam Backup & Replication 的安装和配置流程,该流程已经介绍过多次。但如果您需要相关帮助,请参见以下由 Veeam 系统工程师录制的视频。
假设您的所有功能运行正常。现在,您需要为虚拟域控制器配置备份任务。配置流程相当简单(见下图 1):
1.启动备份任务创建向导
2.在任务中添加所需的域控制器
3.指定备份链的保留策略
4.务必启用应用感知图像处理 (AAIP),以确保虚拟机上运行的操作系统和应用程序的事务一致性,包括 Active Directory 数据库和 SYSVOL 目录
注:AAIP 是一项 Veeam 技术,支持软件以应用感知的方式备份虚拟机,包括检测来宾账户操作系统的应用程序,收集它们的元数据,使用相应的 Microsoft VSS 写入程序对它们进行停顿处理,准备在第一次启动还原的虚拟机时实施应用程序的特定 VSS 还原程序,并在备份任务成功完成时截断应用程序的交易日志。详情请参考 AAIP 文档。
不启用 AAIP 将不会触发域控制器来宾账户操作系统,从而无法进行备份和保护因此,您稍后可能会在服务器日志中看到内部警告 — 事件 2089,内容为“备份延迟间隔”天数内未进行备份。
图 1.编辑备份任务:Guest 处理
5.安排任务或手动运行任务
6.确保任务顺利完成,且未发生错误或警告
图 2.执行 DC 增量备份
7.在备份存储库中查找最新创建的备份文件 — 就这么简单!
此外,您可在 Veeam Cloud Connect (VCC) 服务提供商的帮助下或使用另一个备份存储库通过 Veeam 备份复制任务在云中存储备份,或通过备份至磁带任务将其存档至磁带。最重要的是,备份现在非常安全,并可在您需要时立即还原。
如何备份物理域控制器
坦率地讲,我希望您一直在更新贵公司的 AD 服务,而且您的域控制器实施虚拟化已有很长一段时间。如果不是这样,我希望您至少一直在更新域控制器,而且它们运行较新的 Windows Server 操作系统版本、Windows Server 2008 R2 或更高版本。(如需管理较旧的系统,请跳过下列内容,立即阅读第三篇文章)
那么,如果拥有一个或一组运行 Windows Server 2008 R2 或更高版本的物理域控制器,您希望保护您的 AD?Veeam Endpoint Backup 实用程序旨在确保其余物理终端和服务器上的数据安全无虞。Veeam Endpoint Backup 可捕捉物理机上的所需数据,并将其存储在备份文件中。如果发生灾难,您能够实施裸机还原或卷级还原,同时全面控制恢复程序。此外,Veeam Explorer for Microsoft Active Directory 可帮助轻松实施项目级恢复。
如需使用该工具备份您的物理域控制器,您应该:
- 从本页中下载 Veeam Endpoint Backup 免费版,并将其复制到您的 DC 中
- 启动安装向导,接受许可协议并安装该程序
注:阅读这些说明,在无人值守模式下进行安装。
- 选择合适的备份模式,配置备份任务。备份整台电脑是最简单、也是推荐的做法。使用文件级备份模式时,务必选择操作系统作为备份对象(见图 3)。这可确保该程序捕捉裸机还原需要的所有文件,Active Directory 数据库和 SYSVOL 目录也会保存。参考产品用户指南了解详情
图 3.在 Veeam Endpoint Backup 中选择需备份的对象
注:如果您的基础架构具有 Veeam Backup & Replication 实例,而且您希望使用配置的 Veeam 备份存储库接受终端备份,请通过 Veeam Backup & Replication 对其进行重新配置(右击所需的存储库,支持访问存储库,并在需要时启用备份加密,见图 4)。
图 4.设置备份存储库的终端备份权限
- 运行备份,避免任何错误
图 5.Veeam Endpoint Backup 免费版:备份任务统计
- 就是这个!备份已完成,从现在开始您的域控制器将受到保护。访问备份目标,查看备份或备份链
图 6.增量备份链
注。如果您将 Veeam Backup & Replication 存储库配置为 DC 备份目标,请在 备份> 磁盘 节点(位于终端备份节点)中查找新创建的备份。
图 7.Veeam Backup & Replication:备份磁盘
总结
域控制器备份就这么简单吗?既简单也不简单。成功备份是第一步,但不是全部。Veeam 有一句名言:“如果不能还原,备份一文不值”。
本系列的下列文章旨在用于不同的 Active Directory 恢复场景,包括还原特定域控制器,使用原生 Microsoft 实用程序和 Veeam Explorer for Active Directory.恢复单个删除及更改的对象。