Резервное копирование active directory acronis
Службы Active Directory используют базу данных, находящуюся в файловой системе контроллера домена. Если у домена два контроллера домена или больше, информация, которая хранится в базе данных, постоянно реплицируется между этими контроллерами.
Тома для резервного копирования
Чтобы создать резервную копию Active Directory, создайте резервные копии следующих томов контроллера домена:
- системный том и загрузочный том;
- тома, где находятся база данных и журналы транзакций Active Directory;
- том с папкой SYSVOL. По умолчанию эта папка находится в %SystemRoot%\SYSVOL . Чтобы определить текущее расположение этой папки, посмотрите значение Sysvol в следующем разделе реестра:
На что обратить внимание для резервного копирования
Для настройки и выполнения резервного копирования Active Directory убедитесь в следующем:
- Вы создаете резервную копию не реже чем раз в месяц. Если у домена только один контроллер домена, рекомендуется создавать резервные копии по крайней мере ежедневно.
- Самая последняя резервная копия не старше половины времени существования отметки полного удаления. В зависимости от операционной системы, где был создан домен, время существования отметки полного удаления по умолчанию равно 60 дням или 180 дням. Неважно, была последняя резервная копия полной или инкрементной. Успешное восстановление возможно из любой.
- Вы создаете дополнительную резервную копию в любом из следующих случаев.
- База данных или журналы транзакций Active Directory были перемещены.
- Операционная система на контроллере домена была обновлена, или был установлен пакет обновления.
- Было установлено исправление, изменяющее базу данных Active Directory.
- Время существования отметки полного удаления было изменено администратором.
Создать эту дополнительную резервную копию необходимо потому, что успешное восстановление Active Directory из предыдущих резервных копий может оказаться невозможным.
13.01.2022
itpro
Active Directory, PowerShell, Резервное копирование
комментария 23
В этой статье мы поговорим об особенностях резервного копирования контроллеров домена Active Directory, рассмотрим, как настроить автоматическое резервное копирование AD с помощью PowerShell и встроенных средств Windows Server.
Бэкап контроллера домена AD с помощью Windows Server Backup
Если у вас нет специального ПО для резервного копирования, вы можете использовать для создания резервных копий встроенный Windows Server Backup (этот компонент пришел на замену NTBackup). Вы можете настроить автоматическое задание резервного копирования в графическом интерфейсе Windows Server Backup, но у него будут ряд ограничений. Основной недостаток – новая резервная копия сервера всегда будет перезаписывать старую.
При создании резервной копии контроллера домена через WSB, вы создаете резервную копию Состояния системы (System State). В System State попадает база Active Directory (NTDS.DIT), объекты групповых политик, содержимое каталога SYSVOL, реестр, метаданные IIS, база AD CS, и другие системные файлы и ресурсы. Резервная копия создается через службу теневого копирования VSS.
Если компонент WSB отсутствует, его можно установить с помощью PowerShell:
Add-Windowsfeature Windows-Server-Backup –Includeallsubfeature
Или установите его из Server Manager -> Features.
Я буду сохранять бэкап данного контроллера домена AD в сетевую папку на отдельном выделенном сервере для резевного копирования. Например, путь к каталогу будет таким \\srvbak1\backup\dc01. Настроим NTFS разрешения на этой папке: предоставьте права чтения-записи в этот каталог только для Domain Admins и Domain Controllers.
Как проверить дату последнего бэкапа контроллера домена Active Directory?
Вы можете проверить, когда создавалась резервная копия текущего контроллера домена Active Directory с помощью утилиты repadmin:
В данном примере видно, что последний раз бэкап DC и разделов AD выполнялся 2017-02-18 18:01:32 (скорее всего он не делался с момента развертывания контроллера домена).
Вы можете получить статус по резервному копированию всех DC в домене командой:
Если ваши контроллеры домена запущены на виртуальных машинах, и вы создаете бэкап через снапшоты (см. пример с резервным копированием Hyper-V), то при бэкапе эти даты не обновляются по понятной причине. В большинстве современных средств резервного копирования есть опция, позволяющая указать что это DC и при бэкапе нужно обновлять данные в каталоге LDAP.
Резервное копирование Active Directory с помощью PowerShell
Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.
Import-Module ServerManager
[string]$date = get-date -f 'yyyy-MM-dd'
$path=”\\srvbak1\backup\dc1\”
$TargetUNC=$path+$date
$TestTargetUNC= Test-Path -Path $TargetUNC
if (!($TestTargetUNC))New-Item -Path $TargetUNC -ItemType directory
>
$WBadmin_cmd = "wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet"
Invoke-Expression $WBadmin_cmdЗапустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:
У меня первая попытка создать бэкап DC завершилась с ошибкой (контролер домена — это виртуальная машина VMWare):
В файле содержится одна ошибка:
Забегая вперед, скажу, что проблема оказалась в некорректном пути в одном из драйверов VMWware Tools.
DiskShadow /L writers.txt
list writers detailedПосле формирование списка наберите quit и откройте файл «C:\Windows\System32\writers.txt». Найдите в нем строку, содержащую “windows\\”.
В моем случае найденная строка выглядит так:
Как вы видите, используется неверный путь к драйверу VSOCK.SYS.
Измените значение ImagePath с
\systemroot\system32\DRIVERS\vsock.sys
на
System32\DRIVERS\vsock.sysЗапустите скрипт бэкапа еще раз.
Проверим даты последнего бэкапа на DC:
Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.
На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.
Если на площадке имеется несколько DC, то не обязательно бэкапить их все. Для экономии места достаточно периодически бэкапить базу данных AD — файл ntds.dit. Для этого используйте следующие команды:
$WBadmin_cmd = "wbadmin start backup -backuptarget:$path -include:C:\Windows\NTDS\ntds.dit -quiet"
Invoke-Expression $WBadmin_cmdРазмер такого бэкапа будет составлять всего 50-500 Мб в зависимости от размера базы AD.
Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:\ps\backup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:
$Trigger= New-ScheduledTaskTrigger -At 01:00am -Daily
$User= "NT AUTHORITY\SYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "c:\ps\backup_ad.ps1"
Register-ScheduledTask -TaskName "StartupScript_PS" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –ForceИтак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.
Для агента для Active Directory необходима одна из следующих лицензий:
Acronis Backup Advanced для Active Directory
Acronis Backup для Windows Server Essentials
Acronis Backup Advanced для VMware / Hyper-V / RHEV / Citrix XenServer / Oracle VM
Универсальная лицензия Acronis Backup Advanced
Эти лицензии дают возможность установить агент для Windows на одну и ту же машину. Если
агент для Windows установлен, установить агент для Active Directory можно с помощью
лицензии на дополнительный компонент Acronis Backup Advanced для Active Directory.
Для использования продукта в пробном режиме лицензия не требуется.
Устанавливайте агент таким же образом, как агент для Windows. Когда вам будет предложено
ввести учетные данные для Acronis Managed Machine Service, укажите существующую учетную
запись пользователя домена, входящую во встроенную группу Администраторы контроллера
домена. Иначе не удастся выполнить однопроходное резервное копирование данных Microsoft
Пошаговые инструкции см. в разделе Интерактивная установка Acronis Backup Advanced
документации по установке.
13.4 Резервное копирование Microsoft Active Directory
Для защиты Active Directory создайте план резервного копирования или воспользуйтесь
функцией Создать резервную копию сейчас, использование которой описано в разделе
«Резервное копирование» (стр. 58).
Следуйте рекомендациям в разделе «Резервное копирование Active Directory» (стр. 329).
Убедитесь в том, что для параметра резервного копирования Служба теневого копирования
томов (стр. 144) задано значение Использовать службу теневого копирования томов и что
выбранный поставщик моментальных снимков — не Программный — поставщик Acronis VSS.
Лучший выбор — Программный - системный поставщик.
13.5 Восстановление Microsoft Active Directory
Восстановление контроллера домена
Если контроллер домена не может загрузиться, см. один из следующих разделов в
зависимости от количества и доступности контроллеров домена в вашей среде.
«Восстановление контроллера домена (другие контроллеры домена работают)» (стр. 334).
«Восстановление контроллера домена (другие контроллеры домена не работают)» (стр. 335).
Восстановление данных Active Directory
Если файлы базы данных Active Directory или папка SYSVOL повреждены, но контроллер
домена может запускаться в обычном режиме, можно восстановить только данные Active
Проверку согласованности можно выполнять до или после создания резервной копии.
До создания резервной копии. Такая проверка позволит избежать внесения в резервную
копию поврежденных файлов баз данных Exchange.
Отключите базы данных.
и просмотрите результаты проверки.
Если базы данных являются согласованными, снова подключите их и выполните
резервное копирование. В противном случае исправьте поврежденные базы данных.
Дополнительные сведения о подключении и отключении базы данных см. в разделе
«Усечение журнала транзакций для Exchange Server» (стр. 228).
После создания резервной копии. Преимущество этого метода заключается в том, что не
требуется отключать базы данных, которые постоянно используются. Однако проверка
согласованности в резервной копии выполняется намного дольше, чем такая же операция
над базами данных, расположенными на диске.
Подключите (стр. 181) тома (содержащие требуемые файлы баз данных) из резервнойкопии диска в режиме доступа только для чтения и запустите
В случае несоответствия контрольной суммы или повреждения заголовка файла исправьте
поврежденные базы данных и повторите операцию резервного копирования.
Совет. Acronis предлагает специальный продукт для резервного копирования Microsoft Exchange —
Acronis Backup Advanced для Exchange. При использовании этого продукта агент для Exchange
автоматически проверяет согласованность баз данных, резервная копия которых создается, и
пропускает базы данных с несовпадающей контрольной суммой или поврежденным заголовком
файла. В отличие от агента утилита
проверяет страницы всех баз данных Exchange,
имеющихся на сервере.
11.1.3.2 Резервное копирование Active Directory
Службы Active Directory используют базу данных, находящуюся в файловой системе
контроллера домена. Если у домена два контроллера домена или больше, информация,
которая хранится в базе данных, постоянно реплицируется между этими контроллерами.
защиты роли доменных служб Active Directory в Microsoft Active Directory.
Функция резервного копирования с однократным проходом становится доступна после
установки агента Acronis Backup для Active Directory.
Без этого агента данные Active Directory можно защитить с помощью резервного копирования
на уровне дисков. Подробное описание этого способа см. в разделе Защита приложений
резервным копированием на уровне дисков (стр. 318).
13.1 Агент для Active Directory
Агент для Active Directory создает резервную копию дисков с поддержкой приложений, также
называемую однопроходной резервной копией. Во время резервного копирования диска агент
для Active Directory добавляет метаданные Microsoft Active Directory к полученному в
результате файлу резервной копии.
Агент позволяет извлекать файлы Active Directory из однопроходной резервной копии без
восстановления всего диска или тома. После этого можно заменить поврежденные файлы на
Контроллер домена также можно восстановить как одно целое.
13.2 Поддерживаемые операционные системы
Агент для Active Directory можно установить в следующих операционных системах:
Windows Server 2003/2003 R2 — выпуски Standard и Enterprise (x86, x64)
Windows Small Business Server 2003/2003 R2
Windows Server 2008 — выпуски Standard, Enterprise и Datacenter (x86, x64)
Windows Small Business Server 2008
Windows Server 2008 R2 — выпуски Standard, Enterprise, Datacenter и Foundation
Windows Small Business Server 2011 — все выпуски
Windows Server 2012/2012 R2 — все выпуски13.3 Установка агента для Active Directory
Агент для Active Directory можно установить только на контроллере домена. Удаленная
установка агента не предусмотрена.
Он включен в программу установки Acronis Backup Advanced.
Этот агент устанавливается с агентом для Windows (стр. 15) или на машину с уже
Нужно ли бэкапить Active Directory?
Не раз слышал от знакомых администраторов мысль, что если у тебя несколько (5, 10 и т.д.) территориально разнесенных контроллеров домена Active Directory, то бэкапать AD вообще не нужно, т.к. при нескольких DC вы уже обеспечили высокую отказоустойчивость домена. Ведь в такой схеме вероятность одновременного выхода из строя всех DC стремится к 0, а если один контроллер домена упал, то быстрее развернуть новый DC на площадке, а старый контроллер домена удалить согласно инструкции (или с помощью ntdsutil).
Однако в своей практике я встречался с различными сценариями, когда все контроллеры домена оказались повреждёнными: в одном случае все контроллеры домена (а их было более 20 штук в разных городах) оказались зашифрованными из-за перехвата пароля домена шифровальщиком через утилиту mimikatz (для предотвращения таких схем см. статьи “Защита Windows от mimikatz” и “Защита привилегированных групп администраторов”), в другом случае домен положила репликация поврежденного файла NTDS.DIT.
В общем, бэкапить AD можно и нужно. Как минимум вы должны регулярно создавать резервные копии ключевых контроллеров доменов, владельцев ролей FSMO (Flexible single-master operations). Вы можете получить список контролеров домена с ролями FSMO командой:
netdom query fsmo
Читайте также: