NAKIVO > Blog > Multiplatform

Najlepsze rozwiązania dotyczące wykonywania kopii zapasowej usługi Active Directory

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

Active Directory to powszechnie znana usługa służąca do scentralizowanej administracji i uwierzytelniania użytkowników w środowiskach opartych na systemie Windows. Administratorzy mogą centralnie zarządzać komputerami dodanymi do domeny, co jest wygodne i pozwala zaoszczędzić czas w przypadku dużych i rozproszonych infrastruktur. Usługi MS SQL i MS Exchange zazwyczaj wymagają Active Directory. Jeśli kontroler domeny Active Directory (AD DC) stanie się niedostępny, powiązani użytkownicy nie będą mogli się zalogować, a systemy nie będą działać prawidłowo, co może spowodować problemy w Twoim środowisku. Dlatego wykonać kopię zapasową usługi Active Directory jest tak ważne.

W tym wpisie na blogu wyjaśniono Wykonać kopię zapasową usługi Active Directory najlepsze rozwiązania, w tym skuteczne metody i narzędzia.

NAKIVO do tworzenia kopii zapasowej systemu Windows

NAKIVO do tworzenia kopii zapasowej systemu Windows

Szybkie wykonanie kopii zapasowej serwerów i stacji roboczych z systemem Windows na miejscu, poza siedzibą firmy oraz w chmurze. Odzyskiwanie całych maszyn i obiektów w ciągu kilku minut, co pozwala zapewnić krótki czas przywrócenia (RTO) i maksymalną dostępność.

ODKRYJ ROZWIĄZANIE

Zasada działania usługi Active Directory

Usługa Active Directory to system zarządzania składający się z bazy danych, w której przechowywane są poszczególne obiekty oraz dzienniki transakcji. Baza danych podzielona jest na kilka sekcji zawierających różne rodzaje informacji – partycję schematu (określającą strukturę bazy danych AD, w tym klasy obiektów i ich atrybuty), partycję konfiguracyjną (informacje o strukturze AD) oraz kontekst nazw domen (użytkownicy, grupy, obiekty drukarek). Baza danych Active Directory ma hierarchiczną strukturę drzewa. Do przechowywania bazy danych AD służy plik Ntds.dit .

Active Directory wykorzystuje protokoły LDAP i Kerberos do działania w sieci. LDAP (Lightweight Directory Access Protocol) to otwarty, wieloplatformowy protokół służący do uzyskiwania dostępu do katalogów (takich jak Active Directory), który umożliwia również uwierzytelnianie w usługach katalogowych przy użyciu nazwy użytkownika i hasła. Kerberos to bezpieczny protokół uwierzytelniania i pojedynczego logowania, wykorzystujący kryptografię klucza tajnego. Nazwy użytkowników i hasła sprawdzane przez serwer uwierzytelniający Kerberos są przechowywane w katalogu LDAP (w przypadku korzystania z Active Directory).

Active Directory jest ściśle zintegrowane z serwerem DNS, chronionymi plikami systemowymi Windows, rejestrem systemowym kontrolera domeny, a także katalogiem Sysvol, bazą danych rejestracji klas COM+ oraz informacjami o usługach klastrowych. Taka integracja ma bezpośredni wpływ na strategię tworzenia kopii zapasowych Active Directory.

Jakie dane należy zarchiwizować?

Zgodnie z poprzednią sekcją należy wykonać kopię nie tylko Ntds.dit , ale wszystkich komponentów zintegrowanych z Active Directory. Lista wszystkich komponentów, które stanowią integralną część systemu kontrolera domeny, przedstawia się następująco:

  • Usługi domenowe Active Directory
  • Rejestr systemu kontrolera domeny
  • Katalog Sysvol
  • Baza danych rejestracji klas COM+
  • Informacje o strefach DNS zintegrowane z Active Directory
  • Pliki systemowe i pliki rozruchowe
  • Informacje o usługach klastrowych
  • Baza danych usług certyfikatów (jeśli kontroler domeny jest serwerem usług certyfikatów)
  • Metakatalogi IIS (jeśli na kontrolerze domeny zainstalowano usługi Microsoft Internet Information Services)

Ogólne zalecenia dotyczące wykonania kopii zapasowej AD

Przyjrzyjmy się kilku ogólnym zaleceniom dotyczącym wykonania kopii zapasowej Active Directory.

Należy wykonać kopię zapasową co najmniej jednego kontrolera domeny w danej domenie

Oczywiste jest, że jeśli w infrastrukturze znajduje się tylko jeden kontroler domeny, należy wykonać kopię zapasową właśnie tego kontrolera. Jeśli kontrolerów domeny jest więcej niż jeden, należy wykonać kopię zapasową przynajmniej jednego z nich. Należy wykonać kopię zapasową kontrolera domeny, na którym zainstalowano role FSMO (Flexible Single Master Operation). Jeśli utraciłeś wszystkie kontrolery domeny, możesz odzyskać główny kontroler domeny (zawierający role FSMO) i przeprowadzić wdrażanie nowego pomocniczego kontrolera domeny, replikując zmiany z głównego kontrolera domeny na pomocniczy.

Uwzględnij kopię zapasową Active Directory w swoim planie odzyskiwania po awarii

Opracuj plan odzyskiwania awaryjnego (DR) z uwzględnieniem wielu scenariuszy przywracania infrastruktury, przygotowując się na hipotetyczne awarie. Najlepsze rozwiązania to stworzenie szczegółowego planu DR przed wystąpieniem awarii. Zwróć szczególną uwagę na sekwencję odzyskiwania. Pamiętaj, że kontroler domeny musi zostać przywrócony, zanim będzie można przywrócić inne komputery z usługami związanymi z usługą Active Directory, ponieważ bez kontrolera domeny AD mogą one stać się bezużyteczne. Stworzenie praktycznego plan odzyskiwania awaryjnego uwzględniającego zależności różnych usług działających na różnych komputerach gwarantuje pomyślne odzyskiwanie. Możesz wykonać kopię zapasową kontrolera domeny w lokalizacji lokalnej, zdalnej lub w chmurze. Jednym z najlepszych rozwiązań dotyczących tworzenia kopii zapasowej usługi Active Directory jest posiadanie więcej niż jednej kopii kontrolera domeny zgodnie z Zasada tworzenia kopii zapasowej 3-2-1.

Regularne wykonywanie kopii zapasowej usługi Active Directory

Należy regularnie wykonywać kopie zapasowe usługi Active Directory w odstępach nieprzekraczających 60 dni. Usługi AD zakładają, że wiek kopii zapasowej usługi Active Directory nie może przekraczać okresu życia obiektów tombstone usługi AD, który domyślnie wynosi 60 dni. Wynika to z faktu, że usługa Active Directory korzysta z obiektów typu tombstone, gdy obiekty muszą zostać usunięte. Gdy obiekt AD zostanie usunięty (większość atrybutów tego obiektu zostanie usunięta), zostaje on oznaczony jako obiekt typu tombstone i nie jest fizycznie usuwany, dopóki nie upłynie okres ważności tombstone.

Jeśli w infrastrukturze znajduje się wiele kontrolerów domeny, a replikacja usługi Active Directory jest włączona, obiekt typu tombstone jest kopiowany na każdy kontroler domeny, dopóki nie upłynie okres ważności tombstone. Jeśli przywrócisz jeden ze swoich kontrolerów domeny z kopii zapasowej, której wiek przekracza okres ważności tombstone’a, wystąpią niespójności w danych między kontrolerami domeny Active Directory. W takim przypadku przywrócony kontroler domeny będzie zawierał informacje o obiektach, które już nie istnieją. Może to powodować odpowiednie błędy.

Jeśli po utworzeniu kopii zapasowej zainstalowano jakiekolwiek sterowniki lub aplikacje na kontrolerze domeny, nie będą one działać po przywróceniu z tej kopii zapasowej, ponieważ stan systemu (w tym rejestru) zostanie przywrócony do poprzedniego stanu. To tylko kolejny powód, aby wykonać kopię zapasową usługi Active Directory częściej niż raz na 60 dni. Zdecydowanie zalecamy wykonywanie kopii zapasowej kontrolera domeny usługi Active Directory co noc.

Używaj oprogramowania, które zapewnia spójność danych

Podobnie jak w przypadku każdej innej bazy danych, należy wykonać kopię zapasową bazy danych Active Directory w sposób zapewniający zachowanie spójności bazy danych. Spójność można najlepiej zachować, wykonując kopię zapasową danych kontrolera domeny AD, gdy serwer jest wyłączony lub gdy na uruchomionej maszynie używana jest usługa Microsoft Usługa kopii w tle (VSS). Wykonywanie kopii zapasowej serwera Active Directory w stanie wyłączonym może nie być dobrym pomysłem, jeśli serwer działa w trybie 24/7.

Najlepsze rozwiązania dotyczące wykonywania kopii zapasowej Active Directory zalecają używanie aplikacji do wykonywania kopii zapasowej zgodnych z VSS do wykonywania kopii zapasowej serwera z uruchomionym Active Directory. Moduły zapisu VSS tworzą migawkę, która zamraża stan systemu do czasu zakończenia wykonywania kopii zapasowej, aby zapobiec modyfikacji aktywnych plików używanych przez Active Directory podczas procesu wykonywania kopii zapasowej.

Należy korzystać z rozwiązań do tworzenia kopii zapasowej, które zapewniają odzyskiwanie granulacyjne

Jeśli chodzi o odzyskiwanie usługi Active Directory, można przywrócić cały serwer wraz z usługą Active Directory i wszystkimi jej obiektami. Przeprowadzenie pełnego odzyskiwania może zająć dużo czasu, zwłaszcza jeśli baza danych usługi AD ma znaczne rozmiary. Jeśli niektóre obiekty usługi Active Directory zostaną przypadkowo usunięte, warto odzyskać tylko te obiekty, a nic więcej. Najlepsze rozwiązania dotyczące tworzenia kopii zapasowej usługi Active Directory zalecają stosowanie metod i aplikacji do tworzenia kopii zapasowych, które umożliwiają odzyskiwanie selektywne, tj. odzyskiwanie tylko określonych obiektów usługi Active Directory z kopii zapasowej. Pozwala to ograniczyć czas poświęcony na odzyskiwanie.

Natywne metody tworzenia kopii zapasowych usługi Active Directory

Firma Microsoft opracowała serię natywnych narzędzi do tworzenia kopii zapasowych serwerów Windows, w tym serwerów z kontrolerami domeny usługi Active Directory.

Windows Server Backup Windows Server Backup to narzędzie dostarczane przez firmę Microsoft wraz z systemem Windows Server 2008 i nowszymi wersjami Windows Server, które zastąpiło narzędzie NTBackup wbudowane w system Windows Server 2003. Aby uzyskać do niego dostęp, wystarczy włączyć funkcję Windows Server Backup w menu Dodaj role i funkcje . Windows Server Backup posiada nowy graficzny interfejs użytkownika (GUI) i umożliwia wykonywanie kopii zapasowych przy użyciu usługi VSS. Wykonana kopia zapasowa jest zapisywana w pliku VHD – tym samym formacie pliku, który jest używany w Microsoft Hyper-V. Takie dyski VHD można zamontować na maszynie wirtualnej lub fizycznej i uzyskać dostęp do zarchiwizowanych danych. Zauważ, że w przeciwieństwie do pliku VHD utworzonego przez MVMC ( ), obraz VHD nie jest w tym przypadku bootowalny. Możesz wykonać kopię zapasową całego woluminu lub tylko stanu systemu za pomocą polecenia . Na przykład: Należy wybrać miejsce docelowe kopii zapasowej, które różni się od woluminu, z którego tworzysz kopię zapasową danych, i które nie jest zdalnym folderem współdzielonym. W momencie odzyskiwania należy uruchomić kontroler domeny w trybie odzyskiwania usług katalogowych (DSRM) ( ) poprzez naciśnięcie klawisza F8 ( ) w celu otwarcia zaawansowanych opcji rozruchu (podobnie jak podczas przechodzenia do trybu awaryjnego). Następnie należy użyć polecenia , aby wybrać odpowiednią kopię zapasową i rozpocząć odzyskiwanie potrzebnych danych. Podczas odzyskiwania można również używać polecenia do zarządzania konkretnymi obiektami Active Directory w wierszu poleceń. Zaletami korzystania z kopii zapasowej Windows Server do tworzenia kopii zapasowej Active Directory są przystępna cena, obsługa VSS oraz możliwość wykonania kopii zapasowej całego systemu lub tylko komponentów Active Directory. Wady obejmują konieczność posiadania odpowiednich umiejętności i wiedzy w celu skonfigurowania procesu tworzenia kopii zapasowej i odzyskiwania. System Center Data Protection Manager Firma Microsoft zaleca korzystanie z System Center Data Protection Manager (SC DPM) do wykonania kopii zapasowej danych, w tym Active Directory, w infrastrukturze opartej na systemie Windows. SC DPM to centralizowane rozwiązanie do tworzenia kopii zapasowych i odzyskiwania danych klasy korporacyjnej, które jest częścią pakietu System Center i może być używane do ochrony systemu Windows Server, w tym usług takich jak Active Directory. W przeciwieństwie do bezpłatnego, wbudowanego narzędzia Windows Server Backup, SC DPM jest płatnym oprogramowaniem, które należy wdrożyć oddzielnie jako złożone rozwiązanie. Instalacja może wydawać się nieco trudniejsza w porównaniu z narzędziem Windows Server Backup.


Konwerter maszyn wirtualnych Microsoftwbadmin start systemstatebackup wbadmin start systemstatebackup --backuptarget:E:

wbadmin get versions -backupTarget:path_to_backup machine:name_of_server NTDSutil

Aby zapewnić pełną ochronę komputera, konieczne jest zainstalowanie agenta kopii zapasowej.

Główne funkcje programu System Center Data Protection Manager związane z tworzeniem kopii zapasowych usługi Active Directory to:

  • Obsługa VSS
  • Kopie zapasowe przyrostowe
  • Tworzenie kopii zapasowych w chmurze Microsoft Azure
  • Brak możliwości odzyskiwania poszczególnych obiektów usługi Active Directory

Korzystanie z programu SC DPM jest najbardziej praktyczne w przypadku konieczności ochrony dużej liczby komputerów z systemem Windows, w tym serwerów MS Exchange i MS SWL.

Tworzenie kopii zapasowej wirtualnego kontrolera domeny

Wymienione natywne metody tworzenia kopii zapasowej usługi Active Directory można wykorzystać do wykonywania kopii zapasowych serwerów Active Directory wdrażanych zarówno na serwerach fizycznych, jak i maszynach wirtualnych. Uruchamianie kontrolerów domeny na maszynach wirtualnych oferuje szereg korzyści specyficznych dla maszyn wirtualnych, takich jak tworzenie kopii zapasowych na poziomie hosta, możliwość odzyskania jako maszyny wirtualne działające na różnych serwerach fizycznych itp. Najlepsze rozwiązania dotyczące tworzenia kopii zapasowych Active Directory zalecają stosowanie rozwiązań do tworzenia kopii zapasowych na poziomie hosta podczas wykonywania kopii zapasowych kontrolerów domeny Active Directory działających na maszynach wirtualnych na poziomie hiperwizora.

Wnioski

Active Directory jest klasyfikowany jako jedna z aplikacji o największym znaczeniu dla działalności biznesowej, której zakłócenie może spowodować przestoje użytkowników i usług. W dzisiejszym wpisie na blogu wyjaśniono najlepsze rozwiązania dotyczące tworzenia kopii zapasowej Active Directory, które pomogą chronić infrastrukturę przed awarią AD. Wybór odpowiedniego rozwiązania do tworzenia kopii zapasowych jest w tym przypadku kluczową kwestią.

NAKIVO Backup & Replication to rozwiązanie na poziomie hosta oprogramowanie do tworzenia kopii zapasowych dla VMware i maszyn wirtualnych Hyper-V z kontrolerem domeny Active Directory. Rozwiązanie to pozwala na wykonanie kopii zapasowej całych maszyn wirtualnych kontrolerów domeny, nawet jeśli maszyna wirtualna jest w stanie uruchomionym, przy zachowaniu spójność z aplikacją (wykorzystywany jest VSS), a także zapewnia natychmiastowe odzyskiwanie obiektów AD. Nie są potrzebne żadne agenty. NAKIVO Backup & Replication obsługuje szczegółowe odzyskiwanie Active Directory, dzięki czemu można odzyskać konkretne obiekty i kontenery AD bez poświęcania czasu wymaganego do pełnego odzyskania maszyny wirtualnej. Oczywiście obsługiwane jest również pełne odzyskiwanie maszyny wirtualnej kontrolera domeny.

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Wdrażanie w 2 minuty i ochrona danych w środowiskach wirtualnych, chmurowych, fizycznych oraz SaaS. Opcje tworzenia kopii zapasowych, replikacji i natychmiastowego odzyskiwania danych.

Pobierz edycję bezpłatną

People also read

Picture
Różnice między migawkami maszyn wirtualnych a kopiami zapasowymi
Picture
Przegląd pakietu Microsoft Office 365
Picture
6 powodów, dla których warto wykonać kopię zapasową danych z Microsoft 365