Меню Рубрики

Установка backup контроллера домена

Настраиваем резервное копирование контроллеров домена Active Directory

В этой статье мы поговорим об особенностях резервного копирования контроллеров домена Active Directory, рассмотрим, как настроить автоматическое резервное копирование AD с помощью PowerShell и встроенных средств Windows Server.

Нужно ли бэкапить Active Directory?

Не раз слышал от знакомых администраторов мысль, что если у тебя несколько (5, 10 и т.д.) территориально разнесенных контроллеров домена Active Directory, то бэкапать AD вообще не нужно, т.к. при нескольких DC вы уже обеспечили высокую отказоустойчивость домена. Ведь в такой схеме вероятность одновременного выхода из строя всех DC стремится к 0, а если один контроллер домена упал, то быстрее развернуть новый DC на площадке, а старый удалить с помощью ntdsutil.

Однако в своей практике я встречался с различными сценариями, когда все контроллеры домена оказались повреждёнными: в одном случае все контроллеры домена (а их было более 20 штук в разных городах) оказались зашифрованными из-за перехвата пароля домена шифровальщиком через утилиту mimikatz (для предотвращения таких схем см. статьи “Защита Windows от mimikatz” и “Защита привилегированных групп администраторов”), в другом случае домен положила репликация поврежденного файла NTDS.DIT.

В общем, бэкапить AD можно и нужно. Как минимум вы должны регулярно создавать резервные копии ключевых контроллеров доменов, владельцев ролей FSMO (Flexible single-master operations). Вы можете получить список контролеров домена с ролями FSMO командой:

Как проверить дату последнего бэкапа контроллера домена Active Directory?

Вы можете проверить, когда создавалась резервная копия текущего контроллера домена Active Directory с помощью утилиты repadmin:

В данном примере видно, что последний раз бэкап DC и разделов AD выполнялся 2017-02-18 18:01:32 (скорее всего он не делался с момента развертывания контроллера домена).

Вы можете получить статус по резервному копированию всех DC в домене командой:

Бэкап контроллера домена AD с помощью Windows Server Backup

Если у вас нет специального ПО для резервного копирования, вы можете использовать для создания резервных копий встроенный Windows Server Backup (этот компонент пришел на замену NTBackup). Вы можете настроить автоматическое задание резервного копирования в графическом интерфейсе Windows Server Backup, но у него будут ряд ограничений. Основной недостаток – новая резервная копия сервера всегда будет перезаписывать старую.

При создании резервной копии контроллера домена через WSB, вы создаете резервную копию Состояния системы (System State). В System State попадает база Active Directory (NTDS.DIT), объекты групповых политик, содержимое каталога SYSVOL, реестр, метаданные IIS, база AD CS, и другие системные файлы и ресурсы. Резервная копия создается через службу теневого копирования VSS.

Вы можете проверить, установлен ли компонент Windows Server Backup с помощью PowerShell командлета Get-WindowsFeature:

Если компонент WSB отсутствует, его можно установить с помощью PowerShell:

Add-Windowsfeature Windows-Server-Backup –Includeallsubfeature

Или установите его из Server Manager -> Features.

Я буду сохранять бэкап данного контроллера домена AD в сетевую папку на отдельном выделенном сервере для резевного копирования. Например, путь к каталогу будет таким \\srvbak1\backup\dc01. Настроим NTFS разрешения на этой папке: предоставьте права чтения-записи в этот каталог только для Domain Admins и Domain Controllers.

Резервное копирование Active Directory с помощью PowerShell

Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.

Import-Module ServerManager
[string]$date = get-date -f ‘yyyy-MM-dd’
$path=”\\srvbak1\backup\dc1\”
$TargetUNC=$path+$date
$TestTargetUNC= Test-Path -Path $TargetUNC
if (!($TestTargetUNC))<
New-Item -Path $TargetUNC -ItemType directory
>
$WBadmin_cmd = «wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet»
Invoke-Expression $WBadmin_cmd

Запустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:

Я открыл журнал ошибок WSB — C:\Windows\Logs\WindowsServerBackup\Backup_Error-10-10-2019_08-30-24.log.

В файле содержится одна ошибка:

Забегая вперед, скажу, что проблема оказалась в некорректном пути в одном из драйверов VMWware Tools.

Чтобы исправить эту ошибку, откройте командную строку с правами администратора и выполните:

DiskShadow /L writers.txt
list writers detailed

После формирование списка наберите quit и откройте файл «C:\Windows\System32\writers.txt». Найдите в нем строку, содержащую “windows\\”.

В моем случае найденная строка выглядит так:

Как вы видите, используется неверный путь к драйверу VSOCK.SYS.

Чтобы исправить путь, откройте редактор реестра и перейдите в раздел HKLM\SYSTEM\CurrentControlSet\Services\vsock.

Измените значение ImagePath с
\systemroot\system32\DRIVERS\vsock.sys
на
System32\DRIVERS\vsock.sys

Запустите скрипт бэкапа еще раз.

Если бэкап выполнен успешно, в логе появятся сообщения:

Проверим даты последнего бэкапа на DC:

Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.

На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.

$WBadmin_cmd = «wbadmin start backup -backuptarget:$path -include:C:\Windows\NTDS\ntds.dit -quiet»
Invoke-Expression $WBadmin_cmd

Размер такого бэкапа будет составлять всего 50-500 Мб в зависимости от размера базы AD.

Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:\ps\backup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:

$Trigger= New-ScheduledTaskTrigger -At 01:00am -Daily
$User= «NT AUTHORITY\SYSTEM»
$Action= New-ScheduledTaskAction -Execute «PowerShell.exe» -Argument «c:\ps\backup_ad.ps1»
Register-ScheduledTask -TaskName «StartupScript_PS» -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Итак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.

Читайте также:  Установка ванн моечных в сметах

источник

Резервное копирование домен контроллера

Интересную задачу я себе подкинул. В связи с обновление домена до уровня 2008 R2, перед тем как следовать своей заметке (кстати уже не раз проделывал данную операцию), заметил, а почему я не сделал бекап контроллера домена и не проработал на стенде его восстановление в случае если что-то пошло не так . Не правильно. Все нужно резервировать и прорабатывать перед тем, как вносить какие-либо существенные изменения. Еще раз повторюсь, страховка должна иметь место быть, не стоит относится к этому легкомысленно.

И так домен контроллер поднят по заметке:

Все роли у текущего сервера на базе Windows Server 2003 R2:

C:\Documents and Settings\ekzorchik>netdom query fsmo

  • Schema owner srv-dc.polygon.local
  • Domain role owner srv-dc.polygon.local
  • PDC role srv-dc.polygon.local
  • RID pool manager srv-dc.polygon.local
  • Infrastructure owner srv-dc.polygon.local

The command completed successfully.

Для того, чтобы сделать резервную копию мне понадобится,

либо подключить к системе еще один диск , либо использовать сетевой ресурс.

В рамках этой заметки я проведу Вас по всем шагам, но тестировать поставленную задачу перед тем как проводить на боевой буду с использование тестового окружения под VirtualBox. Я возвращаюсь к данной операционной системе потому, как еще во многих организациях не все так интересно в плане современных технологий, они как бы остались в прошлом и вот от этого прошлого нужно уходить, а перед тем как уходить нужно все задокументировать на последующие разы работы в других организациях, где мой опыт может здорово пригодиться.

Итак диск подключен, далее следующие шаги чтобы осуществить резервное копирование:

Авторизуемся на домен контроллере (name: srv-dc) под учетной записью ekzorchik (полные права над инфраструктурой, группы: Domain Admins, Enterprise Admins, Schema Admins)

Start — All Programs — Accessories — System Tools — Backup либо Win+R → ntbackup.exe, далее в режиме Мастера (Backup or Restore Wizard) следуем за ним по шагам, Next, на вопрос ,что мы будем сейчас делать выбираем пункт:

  • What do you want to do? Back up files and settings
  • What do you want to back up? Let me choose what to back up

Далее из представленного нужно активировать галочкой → System State (в свою очередь это включает в себя: Active Directory, Boot Files, COM+ Class Registration Database,Registry,SYSVOL)

После нажимаем Next и указываем месторасположение и именование создаваемой резервной копии состояния системы:

  • Choose a place to save your backup: Browse — My Computer — находим логический диск (который я ранее подключил в систему: Disk E) и указываю именование для бекапа: StateSRVDC30092015 и нажимаю Save в конечном итоге должно получиться вот так:

После нажимаем Next и оказываемся на результирующем этапе где нужно нажать Finish и запуститься процедура резервного копирования, но прежде перехожу (не обязательно) в Advanced…

  • Select the type of backup: Normal
  • отмечаю: Backup migrated Remote Storage data
  • Select the options you want to use: Verify data after backup
  • и отмечаю: Replace the existing backups (заменить существующие бекапы)
  • When do you want to run the backup? Now

После нажимаем Finish и ожидаем завершения процесса

Полученный размер резервной копии в моем случае составил: 814Mb отлично, но вот так вот по шагам проходить и делать резервную копию как-то совсем не интересно нужно подготовить скрипт который будет делать все за меня:

C:\Documents and Settings\ekzorchik>cd /d c:\

C:\>taskkill /IM «ntbackup.exe» /F

C:\>ntbackup.exe backup systemstate /v:yes /m normal /j «srv-dc system state bac

kup» /l:f /f «e:\StateSRVDC.bkf»

в итоге скрипт для бекапирования и создания резервной копии текущей даты получается таким:

for /f «Tokens=1-4 Delims=/ » %%i in (‘date /t’) do set dt=%%i-%%j-%%k-%%l

for /f «Tokens=1» %%i in (‘time /t’) do set tm=-%%i

set dtt=%dt%%tm%

taskkill /IM «ntbackup.exe» /F

ntbackup.exe backup systemstate /v:yes /m normal /j «srv-dc system state backup» /l:f /f «e:\StateSRVDC_%dtt%.bkf»

После отработки скрипта полученный бекап именуется, как: StateSRVDC_Thu-10-01-2015-10-49.bkf — что мне и нужно.

Что есть командные ключи используемые при создании резервной копии:

/v: Задает проверку данных после архивации
/J: Имя задания, которое будет упоминаться в журнале архивации. Обычно, оно описывает диски и папки, подлежащие архивации, а также содержит дату и время архивации
/L: Задает тип файла журнала: f — полный, s — сокращенный, n — журнал не создается. Вы не можете управлять именем файла журнала, который всегда создается в папке, указанной в разделе Архивация
/m: Задает тип архива. Допустимые значения ключа: normal (по умолчанию), copy , differential , incremental , daily
systemstate: Указывает, что должно быть выполнено резервное копирование состояния системы. При указании этого ключа возможна только обычная или копирующая архивация
/HC:yes При возможности включает использование аппаратного сжатия данных
/F: местонахождение куда записывать формируемый бекап (в моем случае на логический диск E:)

Теперь данный скрипт нужно поместить в планировщик и указать интервал когда его толкать.

А так цель поставленную в начале я достиг, я разобрал шаги, как через GUI интерфейс утилиты ntbackup, как осуществить резервное копирование всего состояния так с иcпользованием командной строки. В следующей заметк е я затрону самую интересную часть, а именно имея сделанную резервную копию восстановить работоспособность домен контроллера, но хватит теории, пора прощаться, до встречи с уважением автор блога — ekzorchik.

3 комментария

Добрый день!
Подскажите, а можно ли таким образом бекапить 2008 сервер, аналогичной оснасткой Windows Server Backup? Проблема в том, что та версия останстки копирует целиком system state, не давая просмотреть, что в него входить или выбрать компоненты. Таким образом получается пакет на 6 Гб, большой и неповоротливый, а при этом неизвестно, входит ли в его состав то, что необходимо.

Читайте также:  Установка пластиковых контейнеров для мусора

Доброе утро!
К сожалению я не знаю ответ на Ваш вопрос, но вот спрашивается зачем бекапировать, можно же развернуть второй домен контроллер (secondary) и если что случится с первым просто захватить все роли, а потом снова с нуля восстановить первый и сделать его контроллером домена.
GPO — можно бекапировать и это работает.
Только обязательно отработайте процедуру захвата ролей и восстановления групповых политик лишним не будет.

Добрый день!
Спасибо за Ваш комментарий.
С чисто логической точки зрения, я ваше предложение понимаю и полностью принимаю, это действительно простой и логичный подход. Но с практической точки зрения — в нашей системе это сложнореализуемо, поскольку мы обслуживаем сеть асутп предприятия, где домен достался скорее в нагрузку, чем был суровой необходимостью, причем именно в одиночном исполнении. И особо никому не было до него дела — есть и есть, что-то делает, и ладно. Поэтому сложно обосновать покупку ПО и второй машины под него, а если обоснуем- то по времени это будет тоже небыстро. Следовательно, сейчас пляшем от того, что имеем)

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.

источник

Установка backup контроллера домена

Все публикации серии:

Microsoft Active Directory является стандартом в корпоративной инфраструктуре, где требуется аутентификация пользователей и централизованное управление. Почти невозможно представить себе, как системные администраторы справлялись бы со своей работой без этой технологии. Однако использование Active Directory не только приносит большую пользу, но и налагает большую ответственность, требуя значительного времени и понимания процессов ее работы.

Эта серия cтатей расскажет, как успешно выполнять бэкап и восстановление Active Directory с помощью решений Veeam, которые предлагают все возможности для простой и удобной защиты AD. Возможно, вам будет интересно ознакомиться с недавней серией материалов «Рекомендации по администрированию AD», прежде чем приступить к чтению этой статьи.

В новой серии статей я объясняю, как Veeam может защитить данные Active Directory: сделать копии контроллеров домена (DC) или отдельных объектов AD и при необходимости восстановить их.

Сегодня я расскажу о возможностях бэкапа как физических, так и виртуальных контроллеров домена, которые предоставляет Veeam, и о том, что необходимо помнить во время бэкапа.

Рекомендации по бэкапу контроллеров домена

Сервисы Active Directory разработаны с учетом избыточности, поэтому привычные правила и тактики бэкапа необходимо адаптировать соответствующим образом. В данном случае будет неправильно использовать ту же политику бэкапа, что уже работает для серверов SQL или Exchange. Ниже я приведу ряд рекомендаций, которые могут помочь при разработке вашей собственной политики для Active Directory:

  • Выясните, какие контроллеры домена в вашей среде выполняют роли FSMO (Flexible Single Master Operations). Совет: простая команда для проверки через командную строку: >netdom query fsmo

Выполняя полное восстановление домена, лучше начать с контроллера домена с наибольшим числом ролей FSMO, — обычно это сервер с ролью эмулятора основного контроллера домена (PDC). В противном случае после восстановления вам придется передавать соответствующие роли вручную при помощи команды ntdsutil seize. Помните об этом при планировании бэкапа и приоритизации контроллеров домена. Подробнее о ролях FSMO можно прочитать в экспертной статье по основам работы с Active Directory.

  • Если на площадке несколько контроллеров домена, а вы хотите защитить отдельные объекты, то у вас нет необходимости в бэкапе всех контроллеров. Для восстановления отдельных объектов будет достаточно одной копии базы данных Active Directory (ntds.dit)
  • Всегда есть возможность снизить риск случайного или намеренного удаления или изменения объектов AD. Можно порекомендовать делегирование административных полномочий, настройку ограничений доступа с повышенными правами и резервную площадку c задержкой репликации.
  • Обычно рекомендуется выполнять бэкап контроллеров доменов поочередно и так, чтобы оно не пересекалось с репликацией DFS. Хотя современные решения (например, Veeam Backup & Replication v7 с пакетом обновления 3 и выше) знают, как решать эту проблему.
  • Если вы используете виртуальную среду VMware, контроллер домена может быть недоступен по сети (например, он находится в зоне DMZ). В этой ситуации Veeam переключится на соединение через VMware VIX и сможет обработать этот контроллер.

Бэкап виртуального контроллера домена

Сервисы Microsoft Active Directory организуют и хранят информацию об отдельных документах леса доменов в реляционной базе (ntds.dit), которая находится на контроллере домена. Раньше бэкап контроллера домена было очень утомительным процессом, поскольку включало бэкап состояния системы (system state) сервера. Хорошо известно, что сервисы Active Directory потребляют малую часть ресурсов системы, поэтому контроллеры домена обычно становятся первыми кандидатами для виртуализации. Если вы по-прежнему придерживаетесь той точки зрения, что они должны быть только физическими, прочитайте эту статью.

Будучи виртуализованными, они легко управляются администратором домена или системным администратором и защищены бэкапом Veeam Backup & Replication. Перед тем, как я перейду к деталям, вам нужно установить и настроить Veeam Backup & Replication.

Системные требования (для версии 9.0):

Виртуальная платформа: Гипервизоры VMware vSphere 4.1 и выше; Microsoft Hyper-V 2008 R2 SP1 и выше

Сервер Veeam: Windows Server 2008 SP2 и выше; Windows 7 SP1 и выше, 64-разрядная ОС

Виртуальная машина (ВМ) контроллера домена: Windows Server 2003 SP1 и выше, минимальный поддерживаемый функциональный уровень леса — Windows 2003

Читайте также:  Установка автосигнализаций в пинске

Права доступа: Права администратора Active Directory. Учетная запись администратора предприятия или домена.

В этой статье я не буду касаться процесса установки и настройки Veeam Backup & Replication, поскольку эта тема уже неоднократно освещалась. Если вам нужна помощь в этом вопросе, посмотрите видео , подготовленное системным инженером Veeam.

Предположим, что все настроено и готово к работе. Теперь нужно создать задание бэкапа контроллера домена. Процесс настройки довольно прост (рис. 1):

  1. Запустите мастер создания задания бэкапа
  2. Выберите нужный контроллер домена
  3. Определите политику хранения для цепочки резервных копий
  4. Не забудьте включить функцию обработки данных с учетом состояния приложений (AAIP) для обеспечения согласованности на уровне транзакций для ОС и приложений, работающих на ВМ, в том числе базы данных Active Directory и каталога SYSVOL

Примечание: AAIP — технология Veeam, которая обеспечивает бэкапа ВМ с учетом состояния приложений. Она выполняет поиск приложений гостевой ОС, сбор их метаданных, «заморозку» с помощью соответствующих механизмов (Microsoft VSS Writers), подготовку процедуры восстановления с использованием VSS для приложений, которая будет выполнена при первом запуске восстановленной ВМ, и усечение журналов транзакций приложений в случае успешного завершения бэкапа. Подробную информацию можно найти в документации AAIP.

Если функция AAIP не будет включена, гостевая ОС контроллера домена не поймет, что был выполнен ее бэкап и обеспечена защита. Поэтому через некоторое время вы можете обнаружить внутреннее предупреждение в журналах сервера: событие 2089 — «бэкап не выполнялся в течение интервала задержки архивации» (“backup latency interval”).

Рис. 1. Редактирование задания бэкапа: обработка файлов гостевых ОС

  1. Запланируйте время выполнения задания или запустите его вручную
  2. Убедитесь, что задание успешно выполнено без ошибок и предупреждений

  1. Найдите вновь созданный файл резервной копии в репозитории — готово!

Резервную копию можно дополнительно сохранить в облако с помощью поставщика услуг Veeam Cloud Connect (VCC). Также ее можно перенести в другой репозиторий резервных копий, используя задания архивирования резервных копий или функционал архивирования на магнитную ленту. Самое главное, что теперь резервная копия хранится в надежном месте, и из нее в любой момент можно восстановить нужные данные.

Бэкап физического контроллера домена

Честно говоря, я надеюсь, что вы идете в ногу со временем, и в вашей компании контроллеры домена давно виртуализованы. Если это не так, то надеюсь, что вы их регулярно обновляете и они работают на относительно современных версиях ОС Windows Server —Windows Server 2008 (R2) и выше. (Если у вас в распоряжении более старые системы, переходите сразу к третьей статье в этой серии)

Итак, у вас есть один или несколько физических контроллеров домена, работающих под Windows Server 2008 R2 и выше, и вы хотите их защитить? В этом случае вам потребуется Veeam Endpoint Backup — решение, предназначенное специально для защиты данных физических компьютеров и серверов. Veeam Endpoint Backup копирует нужные данные с физической машины и сохраняет их в файл резервной копии. Тогда в случае аварии вы сможете восстановить данные «на голое железо» или выполнить восстановление на уровне логического диска. При этом у вас будет полный контроль процесса восстановления. Кроме того, вы сможете восстанавливать отдельные объекты с помощью Veeam Explorer для Microsoft Active Directory.

Чтобы выполнить бэкап физического контроллера домена с помощью этого инструмента, необходимо сделать следующее:

  • Загрузите Veeam Endpoint Backup FREE и скопируйте установщик на нужный сервер
  • Запустите мастер установки, примите лицензионное соглашение и установите программу

Примечание: чтобы выполнить установку в автоматическом режиме, используйте эту инструкцию.

  • Создайте задание бэкапа, выбрав нужный режим. Самый простой и рекомендуемый способ — резервное копирование всего компьютера целиком. Используя режим бэкапа на уровне файлов (file-level mode), выберите в качестве объекта копирования операционную систему (Operating system) (см. рис. 3). В этом случае программа скопирует все файлы, необходимые для восстановления «на голое железо». База данных Active Directory и каталог SYSVOL также будут сохранены. Подробная информация — в руководстве пользователя

Рис. 3. Выбор объектов копирования в Veeam Endpoint Backup

Примечание: Если в вашей среде уже установлен Veeam Backup & Replication, и вы хотите использовать существующий репозиторий Veeam для хранения резервных копий физических машин, вы можете перенастроить его прямо из Veeam Backup & Replication (удерживая Ctrl, щелкните правой кнопкой прямо на нужном репозитории, разрешите доступ к репозиторию и, при необходимости, включите шифрование, см. рис. 4).

Рис. 4. Настройка разрешений доступа к репозиторию резервных копий для Endpoint Backup

  • Запустите бэкап и убедитесь, что оно прошло без ошибок

Рис. 5. Veeam Endpoint Backup FREE: статистика заданий бэкапа

  • Вот и все! Бэкап выполнен, контроллер домена под защитой. Перейдите в репозиторий и найдите нужную резервную копию или цепочки резервных копий

Рис. 6. Цепочка инкрементных резервных копий

Примечание. Если вы настроили репозиторий Veeam Backup & Replication в качестве целевого хранилища для резервных копий, то вновь созданные резервные копии будут находиться в панели инфраструктуры Backups > Disk (резервные копии > диск), пункт Endpoint Backups.

Рис. 7. Veeam Backup & Replication: Backups-disk

Заключение

Неужели бэкап контроллера домена — это так просто? Да и нет. Успешный бэкап — это хорошее начало, но далеко не все. В Veeam говорят: «Резервная копия ничего не стоит, если из нее нельзя восстановить данные».

Следующие статьи в этой серии будут посвящены различным сценариям восстановления Active Directory, включая восстановление контроллера домена, а также восстановление отдельных удаленных и измененных объектов с помощью собственных инструментов Microsoft и Veeam Explorer для Active Directory.

источник

Добавить комментарий