Active Directory 備份最佳實踐
Active Directory 是一項廣為人知的服務,用於在 Windows 環境中進行集中式管理與使用者驗證。系統管理員可以集中管理加入網域的電腦,對於大型且分散的基礎架構而言,這既方便又能節省時間。MS SQL 和 MS Exchange 通常都需要 Active Directory。如果 Active Directory 網域控制器 (AD DC) 無法使用,相關使用者將無法登入,系統也無法正常運作,這可能會為您的環境帶來問題。 正因如此,備份 Active Directory 至關重要。
這篇部落格文章將說明 Active Directory 備份 最佳實踐,包括有效的方法與工具。
Active Directory 的運作原理
Active Directory 是一個管理系統,由一個用於儲存個別物件和交易日誌的資料庫組成。該資料庫分為幾個區段,各自包含不同類型的資訊——架構區段(決定 AD 資料庫的設計,包括物件類別及其屬性)、配置區段(關於 AD 結構的資訊)以及網域名稱環境(使用者、群組、印表機物件)。Active Directory 資料庫具有階層式的樹狀結構。該 Ntds.dit 該檔案用於儲存 AD 資料庫。
Active Directory 透過 LDAP 和 Kerberos 協定在網路上運作。LDAP(輕量目錄存取協定)是一種開放的跨平台協定,用於存取目錄(例如 Active Directory),同時也能透過使用者名稱和密碼進行目錄服務驗證。Kerberos 是一種採用密鑰加密技術的安全驗證與單一登入協定。 經由 Kerberos 驗證伺服器驗證的使用者名稱與密碼,會儲存於 LDAP 目錄中(若使用 Active Directory 時)。
Active Directory 與 DNS 伺服器、Windows 受保護的系統檔案、網域控制器的系統登錄檔,以及 Sysvol 目錄、COM+ 類別登錄資料庫和叢集服務資訊緊密整合。此類整合會直接影響 Active Directory 的備份策略。
哪些資料必須備份?
根據上一節的內容,您不僅需要製作一份副本 Ntds.dit,但所有元件均已與 Active Directory 整合。以下是網域控制器系統中不可或缺的所有元件清單:
- Active Directory 網域服務
- 網域控制器系統登錄檔
- Sysvol 目錄
- COM+ 類別登錄資料庫
- 與 Active Directory 整合的 DNS 區域資訊
- 系統檔案與開機檔案
- 叢集服務資訊
- 憑證服務資料庫(若您的網域控制器是憑證服務伺服器)
- IIS 元資料資料夾(若您的網域控制器已安裝 Microsoft Internet Information Services)
AD 備份的一般建議
讓我們來看看關於 Active Directory 備份的一些一般性建議。
網域中至少必須備份一個網域控制器
顯而易見,若您的基礎架構中僅有一台網域控制器,您應備份這台 DC。若您擁有多台網域控制器,您應備份 至少 其中之一。您應備份已安裝 FSMO(彈性單一主控運作)角色的網域控制器。若所有網域控制器皆已遺失,您可以還原一個主要網域控制器(包含 FSMO 角色),並部署一個新的次要網域控制器,將主要 DC 的變更複製到次要 DC。
將 Active Directory 備份納入您的災難還原計畫中
在為假設性災難做準備時,請制定包含多種情境的災難還原(DR)計畫,以恢復您的基礎架構。最佳實踐是在災難發生前就建立一份詳盡的災難還原計畫。請特別注意還原順序。請記住,必須先還原網域控制器,才能還原其他執行與 Active Directory 相關服務的電腦,因為若沒有 AD DC,這些電腦可能會無法運作。建立一套可行的 災難還原計畫 這種考量到不同機器上運行之各項服務間相互依賴關係的備份方式,能確保您成功進行還原。您可以將網域控制器備份至本地站點、遠端站點或雲。Active Directory 備份的最佳實踐之一,是根據 3-2-1 備份法則.
定期備份 Active Directory
您應定期備份 Active Directory,且備份間隔不得超過 60 天。AD 服務假設 Active Directory 備份的存留時間不得超過 AD 墳墓石物件的存活期,預設為 60 天。這是因為當需要刪除物件時,Active Directory 會使用墳墓石物件。 當 AD 物件被刪除(該物件的大部分屬性已被刪除)時,它會被標記為墳墓石物件,並在墳墓石存活期結束前不會被實際刪除。
若您的基礎架構中有多台網域控制器且已啟用 Active Directory 複寫,墳墓石物件會被複製到每台網域控制器,直到墳墓石的存活期結束為止。 若您從備份還原其中一台網域控制器,而該備份的年代早於墳墓石的存活期,您將會遇到 Active Directory 網域控制器之間資訊不一致的情況。在此情況下,已還原的網域控制器將包含關於已不存在的物件的資訊。這可能會導致相應的錯誤。
若您在建立備份後於網域控制器上安裝了任何驅動程式或應用程式,從該備份還原後,這些程式將失去功能性,因為系統狀態(包括登錄檔)將還原至先前狀態。這正是為何應比每 60 天一次更頻繁地備份 Active Directory 的又一原因。我們強烈建議您每晚備份 Active Directory 網域控制器。
使用能確保資料一致性的軟體
與其他任何資料庫一樣,備份 Active Directory 資料庫時,必須確保資料庫的一致性得以維持。若在伺服器關機時,或當 Microsoft 卷影複本服務 (VSS) 適用於正在運行的系統。若 Active Directory 伺服器處於 24/7 運作模式,在伺服器關機狀態下進行備份可能並非明智之舉。
的 Active Directory 備份最佳實踐建議您使用相容於 VSS 的備份應用程式來備份正在執行 Active Directory 的伺服器。VSS 寫入器會建立快照,將系統狀態凍結直至備份完成,以防止在備份過程中修改 Active Directory 所使用的活躍檔案。
使用能提供細粒度還原功能的備份解決方案
在還原 Active Directory 時,您可以還原包含 Active Directory 及其所有物件的整個伺服器。執行完整還原可能會耗費大量時間,尤其是當您的 AD 資料庫體積龐大時。如果某些 Active Directory 物件不慎被刪除,您可能只想還原這些物件,而不還原其他內容。 Active Directory 備份的最佳實踐建議您使用能夠執行細粒度還原的備份方法與應用程式,也就是僅從備份中還原特定的 Active Directory 物件。這能讓您將還原所需的時間控制在最低限度。
Active Directory 的原生備份方法
微軟已開發出一系列原生工具,用於備份 Windows 伺服器,包括執行 Active Directory 網域控制器的伺服器。
Windows Server 備份
Windows Server 備份 這是微軟隨 Windows Server 2008 及後續版本的 Windows Server 一起提供的工具,用以取代 NTBackup 此工具已內建於 Windows Server 2003 中。若要使用它,您只需在 新增角色與特點 選單。Windows Server Backup 具備全新的 GUI(圖形使用者介面),並允許您透過 VSS 建立增量備份。備份資料會儲存至 VHD 檔案中——此檔案格式與 Microsoft Hyper-V 所使用的格式相同。您可以將此類 VHD 磁碟掛載至虛擬機器或實體機器,並存取備份資料。請注意,這與 MVMC 所建立的 VHD 不同(Microsoft 虛擬機器轉換器),在此情況下,該 VHD 映像檔無法開機。您可以透過使用備份工具備份整個磁碟區或系統狀態。 wbadmin start systemstatebackup 指令。例如:
wbadmin start systemstatebackup --backuptarget:E:
您應選擇一個與備份來源磁碟區不同的備份目標,且該目標不應是遠端共用資料夾。
當需要還原時,您應將網域控制器開機至 目錄服務還原模式 (DSRM) 按 F8 以開啟進階開機選項(就像進入安全模式時那樣)。接著您應該使用 wbadmin get versions -backupTarget:path_to_backup machine:name_of_server 指令來選擇適當的備份,並開始還原所需資料。您也可以使用 NTDSutil 在還原過程中,透過命令列管理特定的 Active Directory 物件。
使用 Windows Server 備份進行 Active Directory 備份的優勢在於成本低廉、具備 VSS 功能,以及能夠備份整個系統或僅備份 Active Directory 組件。
缺點則包括必須具備相應的技能和知識基礎,才能設定備份與還原流程。
System Center 資料保護管理員
微軟建議您使用 System Center 資料保護管理員 (SC DPM) 用於備份 Windows 基礎架構中的資料,包括 Active Directory。SC DPM 是一套集中式 Enterprise 級備份與還原解決方案,屬於 System Center 套件的一部分,可用於保護包含 Active Directory 等服務的 Windows Server。與免費的內建 Windows Server Backup 不同,SC DPM 屬於付費軟體,必須作為一套複雜的解決方案單獨部署。 相較於 Windows Server Backup,其安裝過程可能稍顯棘手。事實上,必須安裝備份代理程式才能確保您的系統獲得全面保護。
System Center Data Protection Manager 與 Active Directory 備份相關的主要特點包括:
- VSS 支援
- 增量備份
- 備份至 Microsoft Azure 雲端
- 不支援 Active Directory 的細粒度物件還原
當您需要保護大量 Windows 電腦(包括 MS Exchange 和 MS SWL 伺服器)時,使用 SC DPM 是最實用的解決方案。
備份虛擬網域控制器
上述列出的原生 Active Directory 備份方法,可用於備份部署在實體伺服器及虛擬機器上的 Active Directory 伺服器。在虛擬機器上執行網域控制器,能帶來一系列專屬虛擬機器的優勢,例如主機層級備份,以及可恢復為在不同實體伺服器上執行的虛擬機器等。Active Directory 備份的最佳實踐建議您,在備份於虛擬機器上執行的 Active Directory 網域控制器時,應採用主機層級的備份解決方案,並在虛擬化平台層級進行操作。
結論
Active Directory 被歸類為最關鍵的企業應用程式之一,一旦發生中斷,將導致使用者與服務停擺。今天的部落格文章闡述了 Active Directory 備份的最佳實踐,以協助您保護基礎架構免受 AD 故障的影響。在此情況下,選擇合適的備份解決方案是關鍵要點。
NAKIVO Backup & Replication 是主機層級的 VMware 備份軟體 以及執行 Active Directory 網域控制器的 Hyper-V 虛擬機器。此解決方案可讓您備份整個網域控制器虛擬機器,即使該虛擬機器處於執行狀態,同時仍能符合 應用程式感知 (採用 VSS)並能快速還原 AD 物件。無需安裝代理程式。 NAKIVO Backup & Replication 支援細粒度的 Active Directory 還原功能,因此您無需耗費進行完整虛擬機器還原所需的時間,即可還原特定的 AD 物件與容器。當然,系統亦支援對網域控制台虛擬機器的完整還原。
