Backup Active Directory (vollständige und inkrementelle Sicherung)

In diesem Handbuch erfahren Sie, wie Sie Active Directory sichern.

Was Sie lernen werden:

  • Best Practices für die Active Directory-Sicherung
  • Active Directory-Vollsicherung im Vergleich zur Systemstatussicherung
  • So installieren Sie die Windows Server-Sicherung
  • So sichern Sie Active Directory (Schritt-für-Schritt-Anleitung)
  • Automatisieren Sie die)

Best Practices für die Active Directory-Sicherung

Dieser erste Abschnitt ist sehr wichtig.

  1. Die Wiederherstellung von Active Directory aus einer Sicherung sollte Ihre letzte Option für die Wiederherstellung sein.
  2. Sie sollten mehrere Domänencontroller haben. Dies ermöglicht einen Ausfall eines einzelnen Domänencontrollers und bietet dennoch eine vollständige Wiederherstellung ohne Sicherung.
  3. Um das oben Genannte zu erweitern, verlassen Sie sich NICHT auf mehrere Controller als einzige Wiederherstellungsquelle. Sie sollten unbedingt noch eine Sicherung von Active Directory durchführen. Alle Domänencontroller können ausfallen, Datenbankbeschädigungen können auftreten, Viren, Ransomware oder andere Katastrophen können alle Domänencontroller auslöschen. In diesem Fall müssen Sie es aus einem Backup wiederherstellen. Auch das Sichern von Active Directory ist KOSTENLOS, daher gibt es keinen Grund, dies nicht zu tun.
  4. Sie sollten den Active Directory-Papierkorb aktivieren, damit Sie gelöschte Objekte ohne Sicherung wiederherstellen können.
  5. Dokumentieren Sie Ihre Active Directory-Umgebung, Sicherungsrichtlinien und Notfallwiederherstellungspläne.
  6. Sichern Sie Active Directory mindestens täglich, wenn Sie eine große Umgebung mit vielen Änderungen haben, sollten Sie zweimal täglich Sicherungen in Betracht ziehen.
  7. Stellen Sie sicher, dass Sie eine externe Sicherung von Active Directory haben. Dies wird in diesem Handbuch näher erläutert.
  8. Sichern Sie zwei Domänencontroller in jeder Domäne, von denen einer die Rolle des Betriebsmasters haben sollte.

Active Directory-Vollsicherung vs. Systemstatussicherung

Dieser Abschnitt hilft Ihnen, den Unterschied zwischen einer vollständigen Serversicherung und einer Systemstatussicherung zu verstehen.

Vollständige Sicherung

  • Sichert alle Serverdaten, einschließlich Anwendungen und des Betriebssystems
  • Enthält den Systemstatus
  • Ermöglicht die Bare–Metal-Wiederherstellung – Dies ermöglicht die Wiederherstellung auf einer völlig anderen Hardware. Es wird jedoch empfohlen, dass die Hardware, die die Wiederherstellung empfängt, dieselbe Hardwarekonfiguration aufweist.
  • Wenn Sie viele Daten oder 3rd-Party-Anwendungen auf Ihrem Domänencontroller installiert haben (nicht empfohlen), werden Ihre Backups erheblich größer sein.
  • Die vollständige Sicherungsoption wird am besten verwendet, um den gesamten Server auf demselben oder einem anderen Server wiederherzustellen. Eine vollständige Wiederherstellung ermöglicht es Ihnen, das Betriebssystem einfach neu zu installieren und das Backup zur Wiederherstellung zu verwenden.

Systemstatussicherungen

Die Systemstatussicherung enthält nur die Komponenten, die zum Wiederherstellen von Active Directory erforderlich sind. Der Systemstatus umfasst Folgendes:

  • Sysvol vom Domänencontroller – Das Sysvol enthält Gruppenrichtlinienobjekte, aber ich empfehle Ihnen weiterhin, Gruppenrichtlinien von der Gruppenrichtlinienverwaltung zu sichern.
  • Active Directory-Datenbank und zugehörige Dateien
  • DNS-Zonen und -Einträge (nur für Active Directory Integrated DNS)
  • Systemregistrierung
  • Com + -Klassenregistrierungsdatenbank
  • Systemstartdateien
  • Die Systemstatussicherung wird am besten für die Wiederherstellung von Active Directory nur auf demselben Server verwendet. Es kann nicht verwendet werden, um ein beschädigtes Serverbetriebssystem wiederherzustellen. Microsoft unterstützt nicht das Wiederherstellen einer Systemstatussicherung von einem Computer auf einen zweiten Computer einer anderen Marke, eines anderen Modells oder einer anderen Hardwarekonfiguration

Windows Server-Sicherung installieren

Das Windows Server-Sicherungsprogramm wird fehlerhaft umbrochen, hauptsächlich weil es falsch verwendet wird. Es ist keine Lösung für die Sicherung Ihres gesamten Unternehmens, sondern eignet sich hervorragend für bestimmte Anwendungsfälle wie die Sicherung von Active Directory.

Ich benutze es seit Jahren, um Active Directory zu sichern, und es funktioniert großartig. Bei der Verwendung dieses Dienstprogramms sind einige Dinge zu beachten, auf die ich in diesem Handbuch hinweisen werde.

So installieren Sie die Windows Server-Sicherung

Schritt 2: Rollen und Features hinzufügen

Klicken Sie nun auf „Rollen und Features hinzufügen“

Schritt 3: Wählen Sie Windows Server Backup

Klicken Sie nun einfach einige Male auf Weiter, um zur Seite Funktionen auswählen zu gelangen. Wählen Sie „Windows Server Backup“ und klicken Sie auf Weiter.

Klicken Sie im nächsten Bildschirm auf Installieren. Wenn die Installation abgeschlossen ist, klicken Sie auf Schließen.

Damit ist die Installation des Windows Server-Sicherungsprogramms abgeschlossen.

Der nächste Schritt besteht darin, das Backup zu konfigurieren.

So sichern Sie Active Directory (vollständige Serversicherung)

Ich bevorzuge die vollständige Sicherungsoption anstelle der Systemstatussicherung. Mit dieser Option können Sie problemlos wiederherstellen, wenn das Betriebssystem oder Active Directory beschädigt wird.

Es enthält den Systemstatus, sodass Sie den gesamten Server oder nur den Systemstatus wiederherstellen können.

Die Schritte zum Sichern nur des Systemstatus sind die gleichen.

Hier sind die Einstellungen, die für diese Sicherung konfiguriert werden:

  • Tägliches Backup
  • 1 vollständiges Backup dann 14 inkrementelle Backups – Windows Server Backup übernimmt automatisch die vollständigen und inkrementellen Backups Es ist keine zusätzliche Konfiguration erforderlich.
  • Das Sicherungsziel ist ein Volume, das als lokale Festplatte bereitgestellt wird. Ich verwende ein SAN mit Replikation in ein anderes Rechenzentrum für die Notfallwiederherstellung.
  • Meine Domänencontroller werden virtuell in einer VMware-Umgebung ausgeführt.
  • Der Domänencontroller ist Windows Server 2016

Schritt 1: Richten Sie ein dediziertes Volume für Backups ein

Wichtig: Bei einer vollständigen Sicherung darf die Festplatte nicht größer sein als die, auf der Sie wiederherstellen. Wenn der Server, den Sie sichern, eine Festplattengröße von 50 GB hat, darf die Sicherungsfestplatte nicht größer sein. Die Windows-Backups sind sehr effizient, das erste Backup ist voll, dann werden inkrementelle Backups durchgeführt. Ich mag es, die Sicherungsdiskette etwas kleiner zu machen als die Festplatte, die ich sichern werde.

Schritt 2: Konfigurieren der Windows Server-Sicherung

Öffnen Sie das Windows Server-Sicherungsprogramm

Klicken Sie auf „Backup-Zeitplan“ auf der rechten Seite

Klicken Sie auf Weiter auf der Seite Erste Schritte

Wählen Sie „Vollständiger Server“ und klicken Sie auf Weiter.

Wenn Sie nur den Systemstatus sichern möchten, wählen Sie „Benutzerdefiniert“.

Im obigen Screenshot zeigt Ihnen die Backup-Konfiguration, wie groß die Backup-Größe sein wird. Es sei denn, Sie haben 3rd-Party-Programme und Dateien auf Ihrem Domänencontroller die Sicherung sollte ziemlich klein sein. Nach dem ersten Backup wird ein inkrementelles Backup durchgeführt und nur die Änderungen gesichert.

Klicken Sie auf die Schaltfläche „Erweiterte Einstellungen“

Klicken Sie auf „VSS-Einstellungen“ und wählen Sie dann „VSS Full Backup“. Klicken Sie auf OK

Dies wird empfohlen, wenn Sie kein anderes Sicherungsprodukt zum Sichern von Active Directory verwenden.

Konfigurieren Sie den Backup-Zeitplan, der für Sie am besten geeignet ist. In meiner Umgebung habe ich ein tägliches Backup um 7:00 Uhr konfiguriert.

Wenn Sie eine große Umgebung mit vielen AD-Änderungen haben, sollten Sie zweimal täglich Backups in Betracht ziehen.

Wählen Sie auf dem Bildschirm Zieltyp angeben die Option „Auf einem Volume sichern“. Wählen Sie dann das Volume aus, das Sie in Schritt 1 konfiguriert haben.

Wählen Sie NICHT „In einem freigegebenen Netzwerkordner sichern“ Diese Option unterstützt keine inkrementellen Sicherungen.

Bestätigen Sie die Sicherungseinstellungen und klicken Sie auf Fertig stellen.

Die Sicherungskonfiguration ist abgeschlossen, aber wir müssen einige Einstellungen in der geplanten Aufgabe ändern, die erstellt wurde.

Taskplaner-Einstellungen

Geben Sie einfach „Taskplaner“ in die Suchleiste ein und klicken Sie auf die App.

Navigieren Sie zu Taskplaner Library -> Microsoft -> Windows -> Backup

Sie sehen die geplante Windows-Sicherungsaufgabe.

Doppelklicken Sie auf den Namen der Aufgabe, um sie zu öffnen.

Stellen Sie auf dem Bildschirm Allgemein sicher, dass die Aufgabe als Systemkonto ausgeführt wird, und ändern Sie die Konfiguration für auf das richtige Betriebssystem. Ich laufe 2016, also habe ich das ausgewählt.

Ändern Sie auf dem Einstellungsbildschirm die Aufgabe so, dass sie nicht mehr ausgeführt wird, wenn sie länger als 2 Stunden ausgeführt wird. Aktivieren Sie außerdem das Kontrollkästchen, damit die Aufgabe bei Bedarf ausgeführt werden kann.

Klicken Sie auf OK. Damit sind die Änderungen für die geplante Aufgabe abgeschlossen.

Wenn Sie möchten, können Sie mit der rechten Maustaste auf die Aufgabe klicken und sie ausführen. Der Backup-Prozess kann ein wenig CPU-Auslastung verursachen, so dass Sie warten müssen.

Das erste Backup wird ein vollständiges Backup sein. Die nächsten 14 Backups werden inkrementell sein, dann wird eine weitere vollständige Sicherung durchgeführt.

Im Backup-Dienstprogramm können Sie den Status von Backups, den verwendeten Speicherplatz und vieles mehr überprüfen.

Die Backup-Konfiguration abgeschlossen ist, wird Active Directory jetzt Backup auf einer täglichen Basis (oder was auch immer planen Sie es für konfiguriert).

Im nächsten Abschnitt zeige ich Ihnen, wie Sie die Backups einfach überwachen können.

Automatisieren der AD-Backup-Überwachung (E-Mail-Benachrichtigungen)

In diesem Abschnitt zeige ich Ihnen, wie Sie E-Mail-Benachrichtigungen erhalten, wenn die Sicherung abgeschlossen ist. Dies ist eine getestete Lösung, die ich von Microsoft gefunden habe und die ich in der Produktion verwende.

Um die Überwachung der Backups zu automatisieren, konfigurieren Sie eine geplante Aufgabe, um eine Aktion auszulösen, wenn die Ereignis-ID 4 protokolliert wurde.

Schritt 1: PowerShell-Skript einrichten

Die geplante Aufgabe löst ein PowerShell-Skript aus, wenn die Ereignis-ID 4 protokolliert wird. Das Skript sendet eine E-Mail-Nachricht.

Kopieren Sie das folgende Skript und fügen Sie es in eine Textdatei ein. Speichern Sie es als AD-Backup-sucess.ps1

Sie müssen die From-Adresse, die To-Adresse und die SMTP-Adresse ändern.

$From = "[email protected]"$To = "[email protected]"$Subject = "DC1 AD Backup SUCCESSFUL"$Body = "DC1 daily backup successful. No further action is required"$SMTPServer = "SMTP address"$SMTPPort = "25"Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -SmtpServer $SMTPServer -port $SMTPPort

Schritt 2: Geplante Aufgabe einrichten

Öffnen Sie die App geplante Aufgabe, erstellen Sie in der Taskplaner-Bibliothek eine neue Aufgabe.

Legen Sie auf dem Bildschirm Allgemein Folgendes fest

  • Name: AD Backup Success Notification
  • Verwenden Sie das folgende Konto: SYSTEM
  • Set to „Run whether user is logged on or not“
  • Mit höchsten Rechten ausführen
  • Konfigurieren für: Wählen Sie Ihr Betriebssystem

Klicken Sie auf dem Bildschirm Auslöser auf Neu und legen Sie Folgendes fest:

  • Beginnen Sie die Aufgabe: Bei einem Ereignis
  • Protokoll: Microsoft-Windows-Backup /Operational
  • Quelle: Backup
  • Ereignis-ID: 4

Klicken Sie auf dem Bildschirm Aktionen auf Neu und konfigurieren Sie Folgendes:

  • Aktion: Programm starten
  • Programm/Skript: C:\WINDOWS\system32\WindowsPowerShell\v1.0\Powershell.exe
  • Argumente hinzufügen: Pfad zum Skript aus Schritt 1. Beispiel c:\it\AD-Backup-sucess.ps1

Klicken Sie auf OK und das Task-Setup ist abgeschlossen.

Wenn die Sicherung abgeschlossen ist, erhalten Sie eine E-Mail-Benachrichtigung.

Zusammenfassung

Active Directory ist eine der wichtigsten Komponenten in einer Windows-Umgebung. Es scheint, als ob alles von Active Directory oder DNS abhängig ist und wenn es abstürzt, funktioniert nichts richtig oder überhaupt. Ich habe mit Kunden zusammengearbeitet, die einen vollständigen Absturz des Domänencontrollers hatten (alle) und buchstäblich alles war ausgefallen. Glücklicherweise hatten sie Backups und konnten die Domänencontroller wiederherstellen.

Bei all der Ransomware und den ständigen Bedrohungen wissen Sie nie, was passieren kann, also verlassen Sie sich nicht auf mehrere Domänencontroller als einzige Methode für AD-Backups. Sie sollten auf jeden Fall mehrere Domänencontroller haben, aber zusätzlich sicherstellen, dass Sie auch Backups ausführen. Warum sollten Sie nicht? Ich habe dir gerade einen Weg gezeigt, sie KOSTENLOS zu sichern.

Bleiben Sie dran für meine nächste Anleitung zum Wiederherstellen von Active Directory aus einer Sicherung.

Quellen

Quellen, die ich für dieses Handbuch und zusätzliche Informationen zu AD-Backups verwendet habe.

Active Directory: Automatisieren Sie die Sicherung des Systemstatus

Active Directory: Automatisieren Sie die Benachrichtigung über Backup-Erfolg und -Fehler

AD Forest Recovery – Sichern eines vollständigen Servers

Verwenden der Windows Server-Sicherungsfunktion

Übersicht über die Windows Server-Sicherungsfunktionen

Empfohlenes Werkzeug: SolarWinds Server & Anwendungsmonitor

Dieses Dienstprogramm wurde entwickelt, um Active Directory und andere kritische Dienste wie DNS & DHCP zu überwachen. Es erkennt schnell Probleme mit dem Domänencontroller, verhindert Replikationsfehler, verfolgt fehlgeschlagene Anmeldeversuche und vieles mehr.

Was mir an SAM am besten gefällt, sind die einfach zu bedienenden Dashboard- und Alarmierungsfunktionen. Es hat auch die Fähigkeit, virtuelle Maschinen und Speicher zu überwachen.

Laden Sie hier Ihre kostenlose Testversion herunter