Procedure consigliate per il backup di Active Directory
Active Directory è un servizio molto conosciuto per la gestione centralizzata e l’autenticazione degli utenti in ambienti basati su Windows. Gli amministratori possono gestire centralmente i computer aggiunti al dominio, il che è comodo e fa risparmiare tempo per infrastrutture grandi e distribuite. MS SQL e MS Exchange di solito richiedono Active Directory. Se il controller di dominio Active Directory (AD DC) non è disponibile, gli utenti correlati non possono accedere e i sistemi non possono funzionare correttamente, il che può causare problemi nel vostro ambiente. Ecco perché è importante eseguire il backup di Active Directory.
Questo post del blog spiega il backup di Active Directory le procedure consigliate, compresi metodi e strumenti efficaci.
Principio di funzionamento di Active Directory
Active Directory è un sistema di gestione costituito da un database in cui sono memorizzati i singoli oggetti e i log delle transazioni. Il database è suddiviso in diverse sezioni che contengono diversi tipi di informazioni: una partizione dello schema (che determina la struttura del database AD, comprese le classi di oggetti e i relativi attributi), una partizione di configurazione (informazioni sulla struttura AD) e un contesto di nomi di dominio (utenti, gruppi, oggetti stampante). Il database Active Directory ha una struttura gerarchica ad albero. Il file Ntds.dit viene utilizzato per archiviare il database AD.
Active Directory utilizza i protocolli LDAP e Kerberos per il suo funzionamento in rete. LDAP (Lightweight Directory Access Protocol) è un protocollo multipiattaforma aperto utilizzato per accedere alle directory (come Active Directory) che ha anche accesso all’autenticazione dei servizi di directory utilizzando nome utente e password. Kerberos è un protocollo di autenticazione sicura e single sign-on che utilizza la crittografia a chiave segreta. I nomi utente e le password verificati dal server di autenticazione Kerberos sono memorizzati nella directory LDAP (in caso di utilizzo di Active Directory).
Active Directory è strettamente integrato con il server DNS, i file di sistema protetti di Windows, il registro di sistema di un controller di dominio, nonché la directory Sysvol, il database di registrazione delle classi COM+ e le informazioni sul servizio cluster. Tale integrazione ha un’influenza diretta sulla strategia di backup di Active Directory.
Quali dati devono essere sottoposti a backup?
In base alla sezione precedente, è necessario creare una copia di backup non solo di Ntds.dit, ma di tutti i componenti integrati con Active Directory. L’elenco di tutti i componenti che sono parte integrante del sistema Domain Controller è il seguente:
- Active Directory Domain Services
- Domain Controller System Registry
- Sysvol directory
- Database di registrazione delle classi COM+
- Informazioni sulla zona DNS integrate con Active Directory
- File di sistema e file di avvio
- Informazioni sul servizio cluster
- Database dei servizi certificati (se il controller di dominio è un server di servizi certificati)
- Cartelle meta IIS (se Microsoft Internet Information Services è installato sul controller di dominio)
Raccomandazioni generali per il backup di AD
Diamo un’occhiata ad alcune raccomandazioni generali per il backup di Active Directory.
È necessario eseguire il backup di almeno un controller di dominio in un dominio
È ovvio che se nella vostra infrastruttura è presente un solo controller di dominio, dovrete eseguire il backup di questo DC. Se si dispone di più controller di dominio, è necessario eseguire il backup di almeno uno di essi. È necessario eseguire il backup del controller di dominio su cui sono installati i ruoli FSMO (Flexible Single Master Operation). Se si sono persi tutti i controller di dominio, è possibile ripristinare un controller di dominio primario (contenente i ruoli FSMO) e effettuare l’implementazione di un nuovo controller di dominio secondario, replicando le modifiche dal DC primario al DC secondario.
Includere il backup di Active Directory nel piano di ripristino di emergenza
Comporre il piano di ripristino di emergenza (DR) con più scenari per il ripristino dell’infrastruttura mentre ci si prepara a ipotetici disastri. Le procedure consigliate sono quelle di creare un piano DR completo prima che si verifichi un disastro. Prestare particolare attenzione alla sequenza di ripristino. Tenete presente che è necessario ripristinare un controller di dominio prima di poter ripristinare altre macchine con servizi correlati ad Active Directory, poiché potrebbero diventare inutilizzabili senza l’AD DC. La creazione di un piano di ripristino di emergenza funzionante che tenga conto delle dipendenze dei diversi servizi in esecuzione su macchine diverse garantisce un ripristino corretto. È possibile eseguire il backup del controller di dominio su un sito locale, un sito remoto o sul cloud. Tra le procedure consigliate per il backup di Active Directory vi è quella di disporre di più di una copia del controller di dominio secondo la regola di backup 3-2-1.
Eseguire regolarmente il backup di Active Directory
È necessario eseguire regolarmente il backup di Active Directory con un intervallo non superiore a 60 giorni. I servizi AD presumono che l’età del backup di Active Directory non possa essere superiore alla durata degli oggetti tombstone AD, che per impostazione predefinita è di 60 giorni. Questo perché Active Directory utilizza gli oggetti tombstone quando è necessario eliminare degli oggetti. Quando un oggetto AD viene eliminato (la maggior parte degli attributi di detto oggetto viene eliminata), viene contrassegnato come oggetto tombstone e non viene eliminato fisicamente fino alla scadenza del periodo di durata del tombstone.
Se nell’infrastruttura sono presenti più controller di dominio e la replica di Active Directory è abilitata, l’oggetto tombstone viene copiato su ciascun controller di dominio fino alla scadenza della durata del tombstone. Se si ripristina uno dei controller di dominio da un backup la cui età è superiore alla durata di vita dell’oggetto tombstone, si verificherà un’incongruenza tra le informazioni dei controller di dominio Active Directory. In questo caso, il controller di dominio ripristinato conterrà informazioni su oggetti che non esistono più. Ciò può causare errori.
Se dopo aver eseguito un backup sono stati installati driver o applicazioni sul controller di dominio, questi non avranno funzionalità dopo il ripristino dal backup, poiché lo stato del sistema (incluso il registro) verrà ripristinato a uno stato precedente. Questo è solo un motivo in più per eseguire il backup di Active Directory più di una volta ogni 60 giorni. Si consiglia vivamente di eseguire il backup del controller di dominio Active Directory ogni notte.
Utilizzare un software che garantisca la coerenza dei dati
Come per qualsiasi altro database, il database Active Directory deve essere sottoposto a backup in modo da garantire la coerenza del database. La coerenza può essere preservata al meglio se si esegue il backup dei dati AD DC quando il server è spento o quando Microsoft Volume Shadow Copy Service (VSS) viene utilizzato su una macchina in esecuzione. Eseguire il backup del server Active Directory in uno stato spento potrebbe non essere una buona idea se il server funziona in modalità 24/7.
Le procedure consigliate per il backup di Active Directory raccomandano di utilizzare applicazioni di backup compatibili con VSS per eseguire il backup di un server che esegue Active Directory. Gli scrittori VSS creano un snapshot che congela lo stato del sistema fino al completamento del backup per impedire la modifica dei file attivi utilizzati da Active Directory durante il processo di backup.
Utilizzare soluzioni di backup che forniscono un ripristino granulare
Quando si tratta di ripristinare Active Directory, è possibile ripristinare l’intero server con Active Directory e tutti i suoi oggetti. L’esecuzione di un ripristino completo può richiedere molto tempo, soprattutto se il database AD è di dimensioni considerevoli. Se alcuni oggetti Active Directory vengono eliminati accidentalmente, è possibile ripristinare solo quegli oggetti e nient’altro. Le procedure consigliate per il backup di Active Directory raccomandano di utilizzare metodi e applicazioni di backup in grado di eseguire un ripristino granulare, ovvero di ripristinare solo particolari oggetti Active Directory da un backup. Ciò consente di limitare il tempo dedicato al ripristino.
Metodi di backup nativi di Active Directory
Microsoft ha sviluppato una serie di strumenti nativi per il backup dei server Windows, inclusi i server che eseguono controller di dominio Active Directory.
Windows Server Backup
Windows Server Backup è un’utilità fornita da Microsoft con Windows Server 2008 e versioni successive di Windows Server che ha sostituito l’utilità NTBackup integrata in Windows Server 2003. Per accedervi, è sufficiente abilitare Windows Server Backup nel menu Aggiungi ruoli e funzioni . Windows Server Backup presenta una nuova interfaccia grafica utente (GUI) e consente di creare backup incrementali utilizzando VSS. I dati di backup vengono salvati in un file VHD, lo stesso formato di file utilizzato per Microsoft Hyper-V. È possibile montare tali dischi VHD su una VM o su una macchina fisica e accedere ai dati di backup. Si noti come, a differenza del VHD creato da MVMC (Microsoft Virtual Machine Converter), l’immagine VHD non sia avviabile in questo caso. È possibile eseguire il backup dell’intero volume o solo dello stato del sistema utilizzando il comando wbadmin start systemstatebackup . Ad esempio:
wbadmin start systemstatebackup --backuptarget:E:
È necessario selezionare una destinazione di backup diversa dal volume da cui si sta eseguendo il backup dei dati e che non sia una cartella condivisa remota.
Quando è il momento di ripristinare, è necessario avviare il controller di dominio in Directory Services Restore Mode (DSRM) premendo F8 per aprire le opzioni di avvio avanzate (come si farebbe quando si accede alla modalità provvisoria). Quindi utilizzare il comando wbadmin get versions -backupTarget:path_to_backup machine:name_of_server per selezionare il backup appropriato e avviare il ripristino dei dati necessari. È anche possibile utilizzare NTDSutil per gestire particolari oggetti Active Directory nella riga di comando durante il ripristino.
I vantaggi dell’utilizzo del backup di Windows Server per il backup di Active Directory sono l’economicità, la compatibilità con VSS e la possibilità di eseguire il backup dell’intero sistema o solo dei componenti Active Directory.
Gli svantaggi includono la necessità di possedere le competenze e le conoscenze adeguate per configurare un processo di backup e ripristino.
System Center Data Protection Manager
Microsoft consiglia di utilizzare System Center Data Protection Manager (SC DPM) per il backup dei dati, compreso Active Directory, in infrastrutture basate su Windows. SC DPM è una soluzione centralizzata di backup e ripristino di livello aziendale che fa parte della suite System Center e può essere utilizzata per proteggere Windows Server, che include servizi come Active Directory. A differenza del backup integrato gratuito di Windows Server, SC DPM è un software a pagamento che deve essere implementato separatamente come soluzione complessa. L’installazione può sembrare piuttosto complessa rispetto a Windows Server Backup. Infatti, è necessario installare un agente di backup per garantire la protezione completa del computer.
Le funzioni principali di System Center Data Protection Manager relative al backup di Active Directory sono:
- Supporto VSS
- Backup incrementale
- Backup su cloud Microsoft Azure
- Nessun ripristino granulare degli oggetti per Active Directory
L’utilizzo di SC DPM è particolarmente pratico quando è necessario proteggere un numero elevato di macchine Windows, inclusi i server MS Exchange e MS SWL.
Backup del controller di dominio virtuale
I metodi di backup nativi di Active Directory elencati possono essere utilizzati per eseguire il backup dei server Active Directory implementati sia su server fisici che su macchine virtuali. L’esecuzione di controller di dominio su macchine virtuali offre una serie di vantaggi specifici per le VM, come il backup a livello di host, la possibilità di essere ripristinati come VM in esecuzione su server fisici diversi, ecc. Le procedure consigliate per il backup di Active Directory raccomandano di utilizzare soluzioni di backup a livello di host quando si eseguono backup dei controller di dominio Active Directory in esecuzione su VM a livello di hypervisor.
Conclusione
Active Directory è classificato come una delle applicazioni più critiche per l’azienda, la cui interruzione può causare tempi di inattività per gli utenti e i servizi. Il post del blog di oggi ha illustrato le best practice per il backup di Active Directory, al fine di aiutarti a proteggere la tua infrastruttura dai guasti di AD. In questo caso, la scelta della soluzione di backup giusta è il punto fondamentale da tenere presente.
NAKIVO Backup & Replication è un software di backup a livello di host per VMware e macchine virtuali Hyper-V che eseguono Active Directory Domain Controller. Questa soluzione consente di eseguire il backup di intere VM con controller di dominio, anche se la VM è in esecuzione, rispettando la coerenza con le applicazioni (viene utilizzato VSS) e fornendo il ripristino istantaneo degli oggetti AD. Non sono necessari agenti. NAKIVO Backup & Replication supporta il ripristino granulare di Active Directory, grazie al quale è possibile ripristinare particolari oggetti e contenitori AD senza perdere tempo per eseguire un ripristino completo della VM. Naturalmente, è supportato anche il ripristino completo della VM del controller di dominio.
