V tomto článku sa budeme baviť o funkciách záložných radičov domény Active Directory, o tom, ako nastaviť automatické zálohovanie AD pomocou PowerShell a vstavaných nástrojov systému Windows Server..
obsah:
- Musím zálohovať službu Active Directory?
- Ako skontrolovať dátum poslednej zálohy radiča domény Active Directory?
- Zálohovanie radiča domény AD pomocou zálohovania systému Windows Server
- Zálohovanie Active Directory pomocou PowerShell
Musím zálohovať službu Active Directory?
Viac ako raz som sa dozvedel od správcov, ktorí sú oboznámení s myšlienkou, že ak máte niekoľko (5, 10 atď.) Geograficky rozptýlených radičov domény Active Directory, nemusíte zálohovať AD, pretože na niekoľkých DC už máte vysokú odolnosť voči doméne. V takejto schéme je pravdepodobnosť simultánneho zlyhania všetkých DC zvyčajne 0 a ak jeden radič domény spadne, je rýchlejšie nasadenie nového DC na webe a odstránenie starého pomocou ntdsutil.
V mojej praxi som sa však stretol s rôznymi scenármi, keď sa ukázalo, že boli poškodené všetky radiče domény: v jednom prípade boli všetky radiče domény (v rôznych mestách bolo viac ako 20) šifrovaných kvôli zachyteniu hesla domény pomocou šifrovača prostredníctvom nástroja mimikatz (aby sa zabránilo takémuto schémy nájdete v článkoch „Ochrana systému Windows pred mimikatz“ a „Ochrana privilegovaných skupín správcov“), v inom prípade doména dala replikáciu poškodeného súboru NTDS.DIT..
Záložné AD je vo všeobecnosti možné a potrebné. Minimálne by ste mali pravidelne zálohovať kľúčové radiče domény, vlastníkov rolí FSMO (flexibilné operácie jedného hlavného servera). Zoznam radičov domén s rolami FSMO môžete získať príkazom:
netdom dotaz fsmo
Ako skontrolovať dátum poslednej zálohy radiča domény Active Directory?
Pomocou nástroja repadmin môžete skontrolovať, kedy bola vytvorená záloha aktuálneho radiča domény Active Directory:
repadmin / showbackup
V tomto príklade je vidieť, že naposledy boli zálohované oddiely DC a AD boli 2017-02-18 18:01:32 (s najväčšou pravdepodobnosťou sa tak nestalo od nasadenia radiča domény).
Stav zálohy všetkých DC v doméne môžete získať príkazom:
repadmin / showbackup *
Zálohovanie radiča domény AD pomocou zálohovania systému Windows Server
Ak nemáte špeciálny zálohovací softvér, môžete na vytvorenie záloh použiť zabudovanú zálohu systému Windows Server (táto súčasť nahradila NTBackup). Úlohy automatického zálohovania môžete nastaviť v používateľskom rozhraní Windows Server Backup GUI, bude to však mať určité obmedzenia. Hlavnou nevýhodou je, že nová záloha servera vždy prepíše starú..
Keď zálohujete radič domény prostredníctvom služby WSB, vytvoríte zálohu Stavy systému (Stav systému). Stav systému obsahuje Active Directory Base (NTDS.DIT), GPO, obsah adresára SYSVOL, register, metaúdaje IIS, databázu AD CS a ďalšie systémové súbory a zdroje. Záloha sa vytvorí pomocou služby tieňového kopírovania VSS.
Môžete skontrolovať, či je súčasť Windows Server Backup nainštalovaná pomocou funkcie PowerShell cmdlet Get-WindowsFeature:
Získajte funkciu Windows Zálohovanie servera Windows
Ak komponent WSB chýba, môžete ho nainštalovať pomocou PowerShell:
Add-Windowsfeature Windows-Server-Backup -Includeslsubfeature
Alebo ho nainštalujte zo Správcu serverov -> Funkcie.
Zálohu tohto radiča domény AD uložím do sieťového priečinka na samostatnom vyhradenom serveri na zálohovanie. Cesta k adresáru by napríklad bola \\ srvbak1 \ backup \ dc01. Nakonfigurujte povolenia NTFS v tomto priečinku: tomuto adresáru udeľujte povolenia na čítanie a zápis iba pre Správcovia domén a Radiče domény.
Zálohovanie Active Directory pomocou PowerShell
Skúsme vytvoriť zálohu radiča domény pomocou PowerShell. Ak chcete uložiť niekoľko úrovní kópií AD, uložíme každú zálohu do samostatného adresára s dátumom, kedy bola kópia vytvorená ako názov priečinka.
Import-Module ServerManager
[string] $ date = get-date -f 'rrrr-MM-dd'
$ path = ”\\ srvbak1 \ backup \ dc1 \”
$ TargetUNC = $ cesta + $ dátum
$ TestTargetUNC = Testovacia cesta - Cesta $ CieľUNC
if (! ($ TestTargetUNC))
Nová položka - cesta $ TargetUNC - adresárItemType
$ WBadmin_cmd = "wbadmin.exe ŠTART ZÁLOHOVANIA - spätný cieľ: $ TargetUNC - systémState - obrat - -vssCopy - ticho"
Vyvolajte-vyjadrenie $ WBadmin_cmd
Spustite tento skript. Mala by sa zobraziť konzola wbadmin s informáciami o procese vytvárania záložnej (tieňovej) kópie disku:
Operácia zálohovania na \\ srvbak1 \ backup \ dc1 \ 2019-10-10 sa začína. Vytvára sa tieňová kópia zväzkov určených na zálohovanie ...Môj prvý pokus o vytvorenie zálohy DC zlyhal s chybou (radič domény je virtuálny stroj VMWare):
Podrobná chyba: Názov súboru, názov adresára alebo syntax menovky zväzku je nesprávna. Zálohovanie stavu systému zlyhalo [10/10/2019 8:31].
Otvoril som protokol chýb WSB - C: \ Windows \ Logs \ WindowsServerBackup \ Backup_Error-10-10-2019_08-30-24.log.
Súbor obsahuje jednu chybu:
Počas zálohovania chyba C: \ windows \\ systemroot \: Chyba [0x8007007b] Názov súboru, názov adresára alebo syntax menovky zväzku je nesprávna.
Pri pohľade do budúcnosti poviem, že problém bol v niektorom z ovládačov nástrojov VMWware Tools nesprávnou cestou.
Ak chcete túto chybu odstrániť, otvorte príkazový riadok s oprávneniami správcu a spustite:
DiskShadow / L writers.txt
zoznam autorov podrobne
Po vytvorení zoznamu napíšte quit a otvorte súbor „C: \ Windows \ System32 \ writers.txt“. Nájdite v ňom riadok obsahujúci „okná \\".
V mojom prípade nájdený reťazec vyzerá takto:
Zoznam súborov: Cesta = c: \ windows \\ systemroot \ system32 \ drivers, Filespec = vsock.sys
Ako vidíte, používa sa nesprávna cesta k ovládaču VSOCK.SYS.
Ak chcete cestu opraviť, otvorte editor databázy Registry a prejdite do časti HKLM \ SYSTEM \ CurrentControlSet \ Services \ vsock.
Zmeňte hodnotu ImagePath pomocou\ systemroot \ system32 \ DRIVERS \ vsock.sys
naSystem32 \ DRIVERS \ vsock.sys
Znova spustite záložný skript.
Ak bola záloha úspešná, v protokole sa zobrazia nasledujúce správy:
Operácia zálohovania bola úspešne dokončená. Zálohovanie zväzku (C :) bolo úspešne dokončené. Zálohovanie stavu systému bolo úspešne dokončené [10/10/2019 9:52].
Skontrolujte dátumy poslednej zálohy na serveri DC:
repadmin / showbackup
Teraz je tu uvedené, že naposledy bola vykonaná záloha radiča domény dnes.
Na záložnom serveri je veľkosť adresára so zálohou radiča domény asi 9 GB. V podstate máte na výstupe súbor vhdx, ktorý môžete použiť na obnovenie OS pomocou WSB, alebo môžete manuálne pripojiť súbor vhdx a skopírovať z neho potrebné súbory alebo priečinky..
Ak je na webe niekoľko DC, nie je potrebné ich zálohovať všetky. Pre úsporu miesta stačí pravidelne zálohovať AD databázu - súbor ntds.dit. Použite nasledujúce príkazy:$ WBadmin_cmd = "wbadmin spustiť zálohovanie -backuptarget: $ path -include: C: \ Windows \ NTDS \ ntds.dit -quiet"
Vyvolajte-vyjadrenie $ WBadmin_cmd
Veľkosť takejto zálohy bude iba 50 - 500 MB, v závislosti od veľkosti základne AD.
Pre automatické zálohovanie musíte v DC vytvoriť skript c: \ ps \ backup_ad.ps1. Tento skript je potrebné spustiť podľa plánu pomocou nástroja na zadávanie úloh. Úlohu plánovača môžete vytvoriť z GUI alebo z prostredia PowerShell. Hlavnou požiadavkou je, že úloha sa musí spúšťať v mene SYSTÉMU s povolenou voľbou Spustiť s najvyššími oprávneniami. Pre denné zálohovanie radiča domény AD vytvorte nasledujúcu úlohu:
$ Trigger = New-ScheduledTaskTrigger -At 01:00 - Denne
$ User = "NT AUTHORITY \ SYSTEM"
$ Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "c: \ ps \ backup_ad.ps1"
Register-ScheduledTask -TaskName "StartupScript_PS" -Trigger $ Trigger --User $ User -Action $ Action -RunLevel Highest -Force
Preto sme vytvorili zálohu stavu AD a v nasledujúcom článku budeme hovoriť o spôsoboch obnovenia AD z existujúcej zálohy radiča domény..