Javaslatok az aktív könyvtár védelmére

A Microsoft Active Directory a vállalati infrastruktúra szabványa, ahol a felhasználók hitelesítése és központosított kezelése szükséges. Szinte lehetetlen elképzelni, hogy a rendszergazdák hogyan tudnának megbirkózni a munkájukkal e technológia nélkül. Az Active Directory használata azonban nemcsak nagy előnyökkel jár, hanem nagy felelősséget is vállal, jelentős időt igényel és folyamatainak megértését.

Ez a cikksor azt fogja megtudni, hogyan lehet sikeresen végrehajtani az Active Directory Veeam megoldásokkal történő mentését és visszaállítását, amelyek az AD egyszerű és kényelmes védelméhez nyújtanak minden lehetőséget. Talán érdekelni fogják a legutóbbi "AD adminisztrációs ajánlások" sorozatát. mielőtt elolvasta ezt a cikket.

Az új cikksorban elmagyarázom, hogyan védheti a Veeam az Active Directory adatait: a tartományvezérlők (DC-k) vagy az egyes AD objektumok másolatát, és szükség esetén visszaállíthatja azokat.

Ma beszélni fogok a fizikai és a virtuális tartományvezérlők biztonsági mentési képességeiről, amelyeket a Veeam biztosít, és mit kell emlékezni a biztonsági mentés során.

Ajánlatok a tartományvezérlők biztonsági mentéséhez

Az Active Directory szolgáltatásokat úgy tervezték, hogy figyelembe véve a redundanciát, ezért a szokásos biztonsági szabályok és taktikák ennek megfelelően ki kell igazítani. Ebben az esetben helytelen lehet ugyanazt a biztonsági házirendet használni, amely már működik az SQL vagy Exchange kiszolgálókon. Az alábbiakban egy sor ajánlást fogok adni, amelyek segíthetnek az Active Directory saját politikájának fejlesztésében:

• Megtudhatja, hogy a környezetében mely tartományvezérlők végeznek FSMO (rugalmas egyszeres mester műveletek) szerepeket. Tipp: Egy egyszerű parancs a parancssorból történő ellenőrzéshez:> netdom query fsmo

• Ha a webhely több tartományvezérlő, és a védeni kívánt egyedi tárgyakat, akkor nincs szükség a biztonsági másolatot az összes vezérlő. Az egyes objektumok visszaállításához az Active Directory-adatbázis egy példányát (ntds.dit)
• Mindig van lehetősége csökkenteni az AD objektumok véletlen vagy szándékos eltávolításának vagy módosításának kockázatát. Ajánljuk a közigazgatási hatóság átruházását, a hozzáférési korlátozásokat felemelt jogokkal és a replikációs késéssel rendelkező tartalékoldalt.
• Általában ajánlott a tartományvezérlőkről való biztonsági mentés, és ezáltal nem zavarja az elosztott fájlrendszer replikációját. Bár a modern megoldások (például Veeam Backup Replikáció v7 és Service Pack 3 szervizcsomaggal) fel tudják oldani ezt a problémát.
• Ha VMware virtuális környezetet használ, előfordulhat, hogy a tartományvezérlő nem érhető el a hálózaton keresztül (például a DMZ zónában van). Ebben a helyzetben a Veeam kapcsolatot létesít VMware VIX-en keresztül, és képes lesz feldolgozni ezt a vezérlőt.

A virtuális tartományvezérlő biztonsági mentése

Services Microsoft Active Directory szervezni és tárolni az egyes dokumentumok domén erdő egy relációs adatbázis (Ntds.dit) található, amely egy tartományvezérlő. Korábban a tartományvezérlő biztonsági mentése rendkívül unalmas eljárás volt, mivel tartalmazott egy biztonsági másolatot a kiszolgáló rendszerállapotáról. Ismeretes, hogy az Active Directory szolgáltatásai a rendszererőforrások egy kis részét fogyasztják, ezért a tartományvezérlők általában a virtualizáció első jelöltjei. Ha továbbra is ragaszkodnak ahhoz a nézethez, hogy csak fizikaiak lehetnek, olvassa el ezt a cikket.

Mivel virtualizáltak, könnyen kezelhetők a tartományi rendszergazdák vagy a rendszergazdák, és a Veeam Backup védi őket Replikáció. Mielőtt továbblépnék a részletekbe, telepítenie kell és konfigurálnia kell a Veeam Backup-ot Replikáció.

Rendszerkövetelmények (a 9.0 verzióhoz):

Tegyük fel, hogy minden készen áll és készen áll. Most létrehoznia kell a tartományvezérlő biztonsági feladatait. A beállítási folyamat meglehetősen egyszerű (1. ábra):

1. Futtassa a Backup Job Creation varázslót
2. Válassza ki a kívánt tartományvezérlőt
3. Határozza meg a biztonsági lánc fenntartási szabályait
4. Győződjön meg róla, hogy engedélyezi az alkalmazás-orientált feldolgozás (AAIP) funkciót az operációs rendszer és a VM-n futó alkalmazások tranzakciós szintű konzisztenciájának biztosítására, beleértve az Active Directory adatbázisát és a SYSVOL könyvtárat

Megjegyzés: Az AAIP egy Veeam technológia, amely az alkalmazásállapot alapján biztosítja a VM-ek biztonsági mentését. Ő megkeresi a vendég OS alkalmazásokat gyűjteni a metaadatok „befagyasztása” megfelelő mechanizmusok segítségével (Microsoft VSS írók), a készítmény a behajtási eljárás VSS segítségével az alkalmazások kerülnek végrehajtásra, ha először a felújított VM, és vágjon az alkalmazás tranzakciónaplókat siker a mentés befejezése. További információ az AAIP dokumentációjában található.

Ha az AAIP funkció nincs engedélyezve, akkor a tartományvezérlő vendég operációs rendszere nem fogja tudni, hogy a biztonsági mentés végrehajtásra került és védelmet biztosít. Ezért egy idő után egy belső figyelmeztetést észlelhet a kiszolgáló naplóiból: 2089-es esemény - "a mentési műveletet nem hajtották végre a mentési késleltetési intervallum alatt".

Ábra. 1. Mentési feladat szerkesztése: Vendég OS fájlok feldolgozása

1. Időzítse le a feladat végrehajtási idejét, vagy futtassa kézzel
2. Ellenőrizze, hogy a feladat sikeresen befejeződött-e hibák és figyelmeztetések nélkül

Ábra. 2. Növekményes mentés

1. Keresse meg az újonnan létrehozott biztonsági másolatot a készletben - készen áll!

A Veeam Cloud Connect (VCC) szolgáltatóval ezenkívül mentheti a biztonsági másolatot a felhőbe. Más biztonsági adattárakba is átvihet, biztonsági mentési archiválási feladatokkal vagy archiválási funkcióval a szalagra. A legfontosabb dolog az, hogy a biztonsági másolat biztonságos helyen van, és bármikor visszaállíthatja a szükséges adatokat.

A fizikai tartományvezérlő biztonsági mentése

A fizikai tartományvezérlő biztonsági másolatának az eszközzel történő biztonsági mentése érdekében a következőket kell tennie:

• Töltse le a Veeam Endpoint Backup ingyen, és másolja a telepítőt a megfelelő kiszolgálóra
• Futtassa a telepítő varázslót, fogadja el a licencszerződést, és telepítse a programot

Megjegyzés: A telepítés automatikus módban történő elvégzéséhez használja ezt az utasítást.

Ábra. 3. Másolási objektumok kiválasztása a Veeam Endpoint Backup programban

Megjegyzés: Ha a környezetében már van Veeam Backup telepítve Replikáció, és a meglévő Veeam tároló használatával szeretné tárolni a fizikai gép biztonsági másolatát, akkor közvetlenül a Veeam Backup Replikáció (tartsa lenyomva a Ctrl jobb gombbal közvetlenül a kívánt tároló, amely hozzáférést biztosít a tárolóból, és ha szükséges, kapcsolja be a titkosítást, lásd. Ábra. 4).

Ábra. 4. Konfigurálja az Endpoint Backup biztonsági mentési adattára vonatkozó hozzáférési jogosultságait

• Indítsa el a biztonsági másolatot és győződjön meg róla, hogy hiba nélkül halad

Ábra. 5. Veeam Endpoint Backup FREE: statisztikai mentési feladatok

• Ez minden! A biztonsági mentés befejeződött, a tartományvezérlő védett. Menjen a tárolóba, és keresse meg a szükséges mentési vagy biztonsági láncot

Ábra. 6. A növekményes mentések lánca

Megjegyzés. Ha beállította a Veeam Backup adattárat A replikáció mint biztonsági mentések céltárhelye, az újonnan létrehozott biztonsági másolatok a Biztonsági mentések> Lemez (mentések> Lemez) infrastruktúra ablaktábláján, az Endpoint biztonsági mentések elemen találhatók.

Ábra. 7. Veeam Backup Replikáció: Biztonsági mentések

következtetés

Valóban egyszerűen menteni a tartományvezérlőt? Igen és nem. A sikeres mentés jó kezdet, de nem minden. Veeam szerint: "A biztonsági mentés nem kerül semmibe, ha nem tudja visszaállítani az adatokat."

A sorozat következő cikkei különböző Active Directory-helyreállítási forgatókönyvekkel foglalkoznak, beleértve a tartományvezérlő helyreállítását és az egyes törölt és módosított objektumok visszaállítását a Microsoft saját eszközeivel és a Veeam Explorer for Active Directory segítségével.

Ön is érdekelt:

Ajánlások az Active Directory védelmére: 1. rész. Biztonsági mentés tartományvezérlő. 5.0 out of 5 alapján 2 vélemény alapján

Andrew Zhelezko (Andrew Zhelezko) - Veeam közösségi menedzser. A Veeam pályafutása során mélyen megértette a virtualizációs termékek működését és a gazdag műszaki szakértelmet az ügyfelek problémáinak megoldásában. Ez a tapasztalat segíti Andreit az IT-közösséggel "egy nyelven" beszélni, és megérteni a virtuális környezetek adminisztrátorainak érdekeit. Andrew. több

Kapcsolódó cikkek

• Hogyan lehet átadni az fsmo szerepeket egy másik Active Directory tartományvezérlőnek, konfigurálni a Windows szervereket és

• Automatikus engedélyezés a kerio winroute felhasználókban az aktív könyvtárban, a retifff blogjában