NAKIVO > Bloggen

Bewährte Best Practices für die Sicherung von Active Directory

Veröffentlicht am: März 25, 2019

Written by: NAKIVO Team

Active Directory ist ein weithin bekannter Dienst für das zentrale Management und die Benutzerauthentifizierung in Windows-basierten Umgebungen. Administratoren können Computer, die zur Domain hinzugefügt wurden, zentral verwalten, was bei großen und verteilten Infrastrukturen praktisch und zeitsparend ist. MS SQL und MS Exchange erfordern in der Regel Active Directory. Wenn der Active Directory Domain Controller (AD DC) nicht mehr verfügbar ist, können sich die entsprechenden Benutzer nicht mehr anmelden und die Systeme funktionieren nicht mehr ordnungsgemäß, was zu Problemen in Ihrer Umgebung führen kann. Aus diesem Grund ist es wichtig, Ihr Active Directory zu sichern.

Dieser Blogbeitrag erklärt Active Directory-Sicherung Best Practices, einschließlich effektiver Methoden und Tools.

NAKIVO for Windows Backup

NAKIVO for Windows Backup

Fast backup of Windows servers and workstations to onsite, offiste and cloud. Recovery of full machines and objects in minutes for low RTOs and maximum uptime.

DISCOVER SOLUTION

Funktionsweise von Active Directory

Active Directory ist ein Verwaltungssystem, das aus einer Datenbank besteht, in der die einzelnen Objekte und Transaktionsprotokolle gespeichert sind. Die Datenbank ist in mehrere Abschnitte unterteilt, die verschiedene Arten von Informationen enthalten – eine Schemapartition (die das Design der AD-Datenbank einschließlich Objektklassen und deren Attribute festlegt), eine Konfigurationspartition (Informationen über die AD-Struktur) und einen Domänennamenkontext (Benutzer, Gruppen, Druckerobjekte). Die Active Directory-Datenbank hat eine hierarchische Baumstruktur. Die Datei Ntds.dit dient zur Speicherung der AD-Datenbank.

Active Directory verwendet für seine Funktion im Netzwerk die Protokolle LDAP und Kerberos. LDAP (Lightweight Directory Access Protocol) ist ein offenes, plattformübergreifendes Protokoll für den Zugriff auf Verzeichnisse (wie Active Directory), das auch Zugriff auf die Authentifizierung von Verzeichnisdiensten unter Verwendung von Benutzername und Passwort bietet. Kerberos ist ein sicheres Authentifizierungs- und Single-Sign-On-Protokoll, das geheime Schlüsselkryptografie verwendet. Benutzernamen und Passwörter, die vom Kerberos-Authentifizierungsserver überprüft werden, werden im LDAP-Verzeichnis gespeichert (bei Verwendung von Active Directory).

Active Directory ist eng mit dem DNS-Server, den geschützten Windows-Dateien, der Systemregistrierung eines Domänencontrollers sowie dem Sysvol-Verzeichnis, der COM+-Klassenregistrierungsdatenbank und den Clusterserviceinformationen integriert. Diese Integration hat direkten Einfluss auf die Active Directory-Sicherungsstrategie.

Welche Daten müssen gesichert werden?

Gemäß dem vorherigen Abschnitt müssen Sie nicht nur eine Kopie von Ntds.diterstellen, sondern von allen Komponenten, die in Active Directory integriert sind. Die Liste aller Komponenten, die integraler Bestandteil des Domänencontrollersystems sind, lautet wie folgt:

  • Active Directory-Domänendienste
  • Domänencontroller-Systemregistrierung
  • Sysvol Verzeichnis
  • COM+-Klassenregistrierungsdatenbank
  • DNS-Zoneninformationen, integriert in Active Directory
  • Systemdateien und Boot-Dateien
  • Clusterdienstinformationen
  • Zertifikatsdienstdatenbank (wenn Ihr Domänencontroller ein Zertifikatsdienstserver ist)
  • IIS-Metadateien (wenn Microsoft Internet Information Services auf Ihrem Domänencontroller installiert sind)

Allgemeine Empfehlungen für AD-Backups

Sehen wir uns einige allgemeine Empfehlungen für Active Directory-Backups an.

Mindestens ein Domänencontroller in einer Domain muss gesichert werden.

Es liegt auf der Hand, dass Sie diesen DC sichern sollten, wenn Sie nur einen Domänencontroller in Ihrer Infrastruktur haben. Wenn Sie über mehr als einen Domänencontroller verfügen, sollten Sie mindestens einen davon sichern . Sie sollten den Domänencontroller sichern, auf dem FSMO-Rollen (Flexible Single Master Operation) installiert sind. Wenn Sie alle Domänencontroller verloren haben, können Sie einen primären Domänencontroller (mit FSMO-Rollen) wiederherstellen und einen neuen sekundären Domänencontroller bereitstellen, wobei die Änderungen vom primären DC auf den sekundären DC repliziert werden.

Beziehen Sie Ihre Active Directory-Sicherung in Ihren Notfallwiederherstellungsplan ein

Erstellen Sie Ihren Notfallwiederherstellungsplan (Disaster Recovery, DR) mit mehreren Szenarien für das Wiederherstellen Ihrer Infrastruktur, während Sie sich auf hypothetische Katastrophen vorbereiten. Es hat sich bewährt, einen gründlichen DR-Plan zu erstellen, bevor eine Katastrophe eintritt. Achten Sie besonders auf die Reihenfolge der Wiederherstellung. Beachten Sie, dass ein Domänencontroller wiederhergestellt werden muss, bevor Sie andere Computer mit Diensten im Zusammenhang mit Active Directory wiederherstellen können, da diese ohne den AD DC möglicherweise unbrauchbar werden. Die Erstellung eines praktikablen Disaster-Recovery-Plans , der die Abhängigkeiten verschiedener Dienste berücksichtigt, die auf verschiedenen Computern ausgeführt werden, garantiert Ihnen eine erfolgreiche Wiederherstellung. Sie können Ihren Domänencontroller an einem lokalen Standort, einem Remote-Standort oder in der Cloud sichern. Zu den Best Practices für die Sicherung von Active Directory gehört es, gemäß der 3-2-1-Sicherungsregelmehr als eine Kopie Ihres Domänencontrollers zu erstellen.

Sichern Sie Active Directory regelmäßig

Sie sollten Ihr Active Directory regelmäßig in Abständen von maximal 60 Tagen sichern. AD-Dienste gehen davon aus, dass das Alter des Active Directory-Backups nicht größer sein kann als die Lebensdauer von AD-Tombstone-Objekten, die standardmäßig 60 Tage beträgt. Der Grund dafür ist, dass das Active Directory die Tombstone-Objekte verwendet, wenn Objekte gelöscht werden müssen. Wenn ein AD-Objekt gelöscht wird (die meisten Attribute dieses Objekts werden gelöscht), wird es als Tombstone-Objekt markiert und erst nach Ablauf der Tombstone-Lebensdauer physisch gelöscht.

Wenn Ihre Infrastruktur mehrere Domänencontroller umfasst und die Active Directory-Replikation aktiviert ist, wird das Tombstone-Objekt auf jeden Domänencontroller kopiert, bis die Tombstone-Lebensdauer abgelaufen ist. Wenn Sie einen Ihrer Domänencontroller von einem Backup wiederherstellen, dessen Alter die Lebensdauer des Tombstone-Objekts überschreitet, kommt es zu Inkonsistenzen zwischen den Active Directory-Domänencontrollern. Der wiederhergestellte Domänencontroller würde in diesem Fall Informationen über Objekte enthalten, die nicht mehr existieren. Dies kann zu entsprechenden Fehlern führen.

Wenn Sie nach der Erstellung eines Backups Treiber oder Anwendungen auf Ihrem Domänencontroller installiert haben, sind diese nach der Wiederherstellung aus diesem Backup nicht mehr funktionsfähig, da der Systemstatus (einschließlich der Registrierung) auf einen früheren Zustand wiederhergestellt wird. Dies ist nur ein weiterer Grund, Active Directory häufiger als einmal alle 60 Tage zu sichern. Wir empfehlen dringend, den Active Directory-Domänencontroller jede Nacht zu sichern.

Verwenden Sie Software, die die Datenkonsistenz gewährleistet

Wie bei jeder anderen Datenbank muss auch die Active Directory-Datenbank so gesichert werden, dass die Konsistenz der Datenbank gewährleistet ist. Die Konsistenz kann am besten gewährleistet werden, wenn Sie die AD DC-Daten sichern, wenn der Server ausgeschaltet ist oder wenn Microsoft Volume Shadow Copy Service (VSS) auf einem laufenden Rechner verwendet wird. Das Sichern des Active Directory-Servers im ausgeschalteten Zustand ist möglicherweise keine gute Idee, wenn der Server im 24/7-Modus betrieben wird.

Die Best Practices für Active Directory-Backups empfehlen die Verwendung von VSS-kompatiblen Anwendungen zum Sichern eines Servers, auf dem Active Directory ausgeführt wird. VSS-Writer erstellen einen Schnappschuss, der den Systemstatus bis zum Abschluss des Backups einfriert, um zu verhindern, dass aktive Dateien, die von Active Directory verwendet werden, während des Backups geändert werden.

Verwenden Sie Sicherungslösungen, die eine granulare Wiederherstellung ermöglichen

Bei der Wiederherstellung eines Active Directory können Sie den gesamten Server mit Active Directory und allen seinen Objekten wiederherstellen. Die Durchführung einer vollständigen Wiederherstellung kann viel Zeit in Anspruch nehmen, insbesondere wenn Ihre AD-Datenbank sehr groß ist. Wenn einige Active Directory-Objekte versehentlich gelöscht werden, möchten Sie möglicherweise nur diese Objekte und nichts anderes wiederherstellen. Die Best Practices für Active Directory-Backups empfehlen die Verwendung von Backup-Methoden und -Anwendungen, die eine granulare Wiederherstellung ermöglichen, d. h. nur bestimmte Active Directory-Objekte von einem Backup wiederherstellen. Auf diese Weise können Sie den Zeitaufwand für die Wiederherstellung begrenzen.

Native Active Directory-Sicherungsmethoden

Microsoft hat eine Reihe nativer Tools für die Sicherung von Windows-Servern entwickelt, darunter auch Server, auf denen Active Directory-Domänencontroller ausgeführt werden.

Windows Server Backup

Windows Server Backup ist ein von Microsoft mit Windows Server 2008 und späteren Windows Server-Versionen bereitgestelltes Dienstprogramm, das das NTBackup Dienstprogramm ersetzt, das in Windows Server 2003 integriert war. Um darauf zuzugreifen, müssen Sie lediglich Windows Server Backup im Menü „Rollen und Funktionen hinzufügen” ( Add Roles and Functions ) aktivieren. Windows Server Backup verfügt über eine neue grafische Benutzeroberfläche (GUI) und ermöglicht Ihnen die Erstellung inkrementeller Backups von Dateien mithilfe von VSS. Die gesicherten Daten werden in einer VHD-Datei gespeichert – dem gleichen Dateiformat, das auch für Microsoft Hyper-V verwendet wird. Sie können solche VHD-Festplatten an eine Virtuelle Maschine oder an eine Physische Maschine anschließen und auf die gesicherten Daten zugreifen. Beachten Sie, dass das VHD-Image in diesem Fall nicht bootfähig ist, im Gegensatz zu den von MVMC (Microsoft Virtual Machine Converter) erstellten VHD-Dateien. Sie können das gesamte Volume oder nur den Systemstatus mit dem Befehl wbadmin start systemstatebackup sichern. Beispiel:

wbadmin start systemstatebackup --backuptarget:E:

Sie sollten ein Ziel für das Backup auswählen, das sich von dem Volume unterscheidet, von dem Sie die Daten sichern, und das kein freigegebener Remote-Ordner ist.

Wenn es Zeit zum Wiederherstellen ist, sollten Sie den Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus (DSRM) starten, indem Sie F8 drücken, um die erweiterten Startoptionen zu öffnen (wie Sie es auch beim Aufrufen des abgesicherten Modus tun würden). Anschließend sollten Sie den Befehl wbadmin get versions -backupTarget:path_to_backup machine:name_of_server verwenden, um das entsprechende Backup auszuwählen und mit der Wiederherstellung der benötigten Daten zu beginnen. Sie können auch NTDSutil verwenden, um bestimmte Active Directory-Objekte während der Wiederherstellung über die Befehlszeile zu verwalten.

Die Vorteile der Verwendung von Windows Server Backup für Active Directory-Backups sind die Erschwinglichkeit, die VSS-Fähigkeit und die Möglichkeit, entweder das gesamte System oder nur Active Directory-Komponenten zum Backup zu sichern.

Zu den Nachteilen gehört, dass Sie über die entsprechenden Fähigkeiten und Kenntnisse verfügen müssen, um einen Prozess zum Backup und zur Wiederherstellung zu konfigurieren.

System Center Data Protection Manager

Microsoft empfiehlt die Verwendung von System Center Data Protection Manager (SC DPM) zum Sichern von Daten einschließlich Active Directory in Windows-basierten Infrastrukturen. SC DPM ist eine zentralisierte Backup- und Wiederherstellungslösung der Enterprise-Klasse, die Teil der System Center Suite ist und zum Schutz von Windows Server einschließlich Diensten wie Active Directory verwendet werden kann. Im Gegensatz zum kostenlosen integrierten Windows Server Backup ist SC DPM eine kostenpflichtige Software, die separat als komplexe Lösung bereitgestellt werden muss. Die Installation kann im Vergleich zu Windows Server Backup etwas anspruchsvoll erscheinen. Tatsächlich muss ein Backup-Agent installiert werden, um sicherzustellen, dass Ihr Computer vollständig geschützt ist.

Die wichtigsten Funktionen des System Center Data Protection Managers in Bezug auf das Active Directory-Backup sind:

  • VSS-Unterstützung
  • Inkrementelles Backup
  • Backup in der Microsoft Azure-Cloud
  • Keine granulare Wiederherstellung von Objekten für Active Directory

Die Verwendung von SC DPM ist am praktischsten, wenn Sie eine große Anzahl von Windows-Computern schützen müssen, darunter MS Exchange- und MS SWL-Server.

Sichern des virtuellen Domänencontrollers

Die aufgeführten nativen Active Directory-Sicherungsmethoden können zum Sichern von Active Directory-Servern verwendet werden, die sowohl auf physischen Servern als auch auf virtuellen Maschinen bereitgestellt sind. Das Ausführen von Domänencontrollern auf virtuellen Maschinen bietet eine Reihe von Vorteilen speziell für VMs, wie z. B. Sicherungen auf Host-Ebene, die Möglichkeit des Wiederherstellens als VMs, die auf verschiedenen physischen Servern ausgeführt werden, usw. Die Best Practices für Active Directory-Backups empfehlen die Verwendung von Backup-Lösungen auf Host-Ebene, wenn Sie Backups Ihrer Active Directory-Domänencontroller erstellen, die auf Virtuellen Maschinen auf Hypervisor-Ebene ausgeführt werden.

Fazit

Active Directory gilt als eine der geschäftskritischsten Anwendungen, deren Ausfall zu Ausfallzeiten für Benutzer und Dienste führen kann. Der heutige Blogbeitrag erläuterte bewährte Verfahren für die Sicherung von Active Directory, mit denen Sie Ihre Infrastruktur vor AD-Ausfällen schützen können. Die Auswahl der richtigen Backup-Lösung ist in diesem Fall der wichtigste Punkt.

NAKIVO Backup & Replication ist eine Backup-Software auf Host-Ebene für VMware und Hyper-V-VMs, auf denen Active Directory Domain Controller ausgeführt wird. Mit dieser Lösung können Sie ganze Domänencontroller-VMs sichern, selbst wenn sich die VM im laufenden Zustand befindet, wobei die Application-Awareness (VSS wird verwendet) berücksichtigt wird und eine sofortige Wiederherstellung von AD-Objekten ermöglicht wird. Es sind keine Agenten erforderlich. NAKIVO Backup & Replication unterstützt die granulare Wiederherstellung von Active Directory, sodass Sie bestimmte AD-Objekte und -Container wiederherstellen können, ohne Zeit für eine vollständige VM-Wiederherstellung aufwenden zu müssen. Selbstverständlich wird auch die vollständige Wiederherstellung der Domänencontroller-VM unterstützt.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Empfohlene Artikel

Picture
Erstellen einer SSH-Verbindung mit Amazon EC2-Instanz Connect
Picture
Was ist Cloud-Backup und wie funktioniert es?
Picture
Vollständige Anleitung zum Verkleinern und Komprimieren virtueller Festplatten in Hyper-V