Active Directory biztonsági mentése (teljes és növekményes biztonsági mentés)

ebben az útmutatóban megtudhatja, hogyan kell biztonsági másolatot készíteni az Active Directory-ról.

mit fog tanulni:

• Active Directory Backup legjobb gyakorlatok
• Active Directory teljes Backup VS rendszerállapot Backup
• A Windows Server Backup telepítése
• az Active Directory biztonsági mentése (lépésről lépésre)
• a biztonsági mentés figyelésének automatizálása (e-mailes riasztások)

Active Directory Backup legjobb gyakorlatok

ez az első szakasz nagyon fontos, azt javaslom, olvassa el mindet.

1. az Active Directory biztonsági mentésből történő visszaállítása az utolsó helyreállítási lehetőség.
2. több tartományvezérlővel kell rendelkeznie. Ez lehetővé teszi, hogy egyetlen tartományvezérlő meghibásodjon, és biztonsági mentés nélkül is teljes helyreállítást biztosítson.
3. a fentiek kibővítéséhez ne támaszkodjon több vezérlőre, mint egyetlen helyreállítási forrásra. Meg kell feltétlenül még csinál egy biztonsági másolatot az Active directory. Minden tartományvezérlő meghibásodhat, adatbázis-sérülés fordulhat elő, vírusok, ransomware vagy más katasztrófa törölheti az összes tartományvezérlőt. Ebben a helyzetben vissza kell állítania egy biztonsági másolatból. Az Active Directory biztonsági mentése is ingyenes, így nincs ok arra, hogy ne tegye meg.
4. engedélyeznie kell az Active Directory Lomtárat, ez lehetővé teszi a törölt objektumok biztonsági mentés nélkül történő visszaállítását.
5. dokumentálja az Active Directory-környezetet, a biztonsági mentési irányelveket és a katasztrófa utáni helyreállítási terveket.
6. Backup Active Directory legalább naponta, ha van egy nagy környezetben sok változás, akkor fontolja meg naponta kétszer mentést.
7. győződjön meg róla, hogy rendelkezik az Active Directory külső biztonsági másolatával. Ezt az útmutatóban részletesebben ismertetjük.
8. biztonsági mentés két tartományvezérlőről minden tartományban, az egyiknek meg kell tartania a műveleti fő szerepet.

Active Directory teljes biztonsági mentés VS rendszerállapot-biztonsági mentés

ez a szakasz segít megérteni, mi a különbség a teljes kiszolgálói biztonsági mentés és a rendszerállapot-biztonsági mentés között.

teljes biztonsági mentés

• biztonsági másolatot készít minden szerver adatról, beleértve az alkalmazásokat és az operációs rendszert is
• tartalmazza a rendszer állapotát
• lehetővé teszi a csupasz fém helyreállítását – ez lehetővé teszi a visszaállítást egy teljesen más hardverre. Ennek ellenére ajánlott, hogy a visszaállítást kapó hardver azonos hardverkonfigurációval rendelkezzen.
• ha sok adat vagy 3rd party alkalmazás van telepítve a tartományvezérlőre (nem ajánlott), a biztonsági mentések jelentősen nagyobbak lesznek.
• a teljes biztonsági mentés opció a legjobb, ha a teljes kiszolgálót ugyanarra vagy másik kiszolgálóra állítja vissza. A teljes visszaállítás lehetővé teszi az operációs rendszer egyszerű újratelepítését és a biztonsági mentés helyreállítását.

rendszerállapot-biztonsági mentések

a rendszerállapot-biztonsági mentés csak az Active Directory visszaállításához szükséges összetevőket tartalmazza. A rendszerállapot a következőket tartalmazza:

• Sysvol a tartományvezérlőből – a sysvol csoportházirend-objektumokat tartalmaz, de továbbra is javaslom a csoportházirend biztonsági mentését a GPMC-ből.
• Active Directory adatbázis és kapcsolódó fájlok
• DNS-zónák és-rekordok (csak az Active Directory integrált DNS-éhez)
• rendszerleíró adatbázis
• Com+ Osztályregisztrációs adatbázis
• rendszerindítási fájlok
• a rendszerállapot-biztonsági mentést az Active Directory helyreállítására csak ugyanazon a kiszolgálón lehet használni. Nem használható sérült szerver operációs rendszer helyreállítására. A Microsoft nem támogatja a rendszerállapot biztonsági mentésének visszaállítását egyik számítógépről egy másik számítógépre, más gyártmányú, típusú vagy hardverkonfigurációjú számítógépre

telepítse a Windows Server Backup programot

a Windows server backup segédprogram rossz csomagolást kap, főleg azért, mert helytelenül használják. Ez nem megoldás a teljes vállalkozás biztonsági mentésére, de kiválóan működik olyan speciális felhasználási esetekben, mint például az Active Directory biztonsági mentése.

évek óta használom az Active Directory biztonsági mentéséhez, és remekül működik. Van néhány dolog, amit tisztában kell lennie a segédprogram használatakor, és rámutatok ezekre az útmutatóban.

A Windows Server biztonsági mentésének telepítése

2. lépés: szerepkörök és funkciók hozzáadása

most kattintson a “szerepkörök és funkciók hozzáadása “elemre”

Lépés 3: Válassza ki a Windows Server Backup

most csak kattintson tovább néhányszor, hogy eljusson a szolgáltatások kiválasztása oldalra. Válassza a “Windows Server Backup” lehetőséget, majd kattintson a Tovább gombra.

a következő képernyőn kattintson a Telepítés gombra. Amikor a telepítés befejeződött, kattintson a Bezárás gombra.

ezzel befejeződik a Windows server backup utility telepítése.

a következő lépés a biztonsági mentés konfigurálása.

az Active Directory biztonsági mentése (teljes kiszolgáló biztonsági mentése)

a rendszerállapot biztonsági mentése helyett inkább a teljes biztonsági mentés opciót használom. Ez az opció lehetővé teszi az egyszerű visszaállítást, ha az operációs rendszer vagy az Active Directory megsérül.

tartalmazza a rendszer állapotát, így kiválaszthatja, hogy visszaállítsa a teljes kiszolgálót vagy csak a rendszerállapotot.

csak a rendszerállapot biztonsági mentésének lépései ugyanazok, csak a teljes kiszolgáló helyett az egyéni beállítást választja.

itt vannak a biztonsági mentéshez konfigurált beállítások:

• napi biztonsági mentés
• 1 teljes biztonsági mentés, majd 14 növekményes biztonsági mentés – A Windows server backup automatikusan kezeli a teljes és növekményes biztonsági mentéseket, nincs szükség további konfigurációra.
• a biztonsági mentés célállomása egy helyi lemezként csatlakoztatott kötet lesz. Egy SAN-t használok, amely replikálódik egy másik adatközpontba a katasztrófa utáni helyreállításhoz.
• a tartományvezérlők VMware környezetben futnak.
• a tartományvezérlő Windows Server 2016

1. lépés: állítson be egy dedikált kötetet a biztonsági mentésekhez

fontos: teljes biztonsági másolat készítésekor a lemez nem lehet nagyobb, mint a visszaállított lemez. Tehát, ha a biztonsági másolatot készítő szerver lemezmérete 50 Gb, akkor a biztonsági mentési lemez nem lehet nagyobb ennél. A Windows biztonsági mentések nagyon hatékonyak, az első biztonsági mentés megtelt, akkor növekményes biztonsági mentéseket fog tenni. Szeretem, hogy a biztonsági mentés lemez valamivel kisebb, mint a lemez fogok biztonsági másolatot készíteni.

2. lépés: konfigurálja a Windows Server biztonsági mentését

nyissa meg a Windows Server Backup segédprogramot

kattintson a” biztonsági mentés ütemezése ” gombra a jobb oldalon

kattintson a Tovább gombra az első lépések oldalon

válassza a “teljes szerver” lehetőséget, majd kattintson a Tovább gombra.

ha csak a rendszerállapotról szeretne biztonsági másolatot készíteni, válassza az “Egyéni”lehetőséget.

a fenti képernyőképen a biztonsági mentés konfigurációja megmondja, hogy mekkora lesz a biztonsági mentés mérete. Hacsak nem rendelkezik 3rd party programokkal és fájlokkal a tartományvezérlőn, a biztonsági mentésnek meglehetősen kicsinek kell lennie. Az első biztonsági mentés után növekményes lesz, és csak a módosításokat menti.

kattintson a “Speciális beállítások” gombra

kattintson a ” VSS Beállítások “elemre, majd válassza a”VSS teljes biztonsági mentés” lehetőséget. Kattintson az OK gombra

ez akkor ajánlott, ha nem használ más biztonsági mentési terméket az Active Directory biztonsági mentéséhez.

állítsa be az Ön számára legmegfelelőbb biztonsági mentési ütemtervet. A környezetemben napi biztonsági mentést konfiguráltam 7: 00 órakor.

ha van egy nagy környezetben sok hirdetés változások érdemes naponta kétszer mentést.

a céltípus megadása képernyőn válassza a “biztonsági mentés egy kötetre”lehetőséget. Ezután válassza ki az 1.lépésből konfigurált kötetet.

ne válassza a “biztonsági mentés megosztott hálózati mappába” lehetőséget ez az opció nem támogatja a növekményes biztonsági mentéseket, minden alkalommal felülírja a biztonsági mentést.

erősítse meg a biztonsági mentési beállításokat, majd kattintson a Befejezés gombra.

a biztonsági mentés konfigurációja befejeződött, de meg kell változtatnunk néhány beállítást a létrehozott ütemezett feladatban.

Feladatütemező beállításai

csak írja be a “Feladatütemező” szót a keresősávba, majd kattintson az alkalmazásra.

Tallózás a Task Scheduler Library – > Microsoft – > Windows – > Backup

látni fogja a windows backup ütemezett feladat.

kattintson duplán a feladat nevére a megnyitásához.

az Általános képernyőn ellenőrizze, hogy a feladat RENDSZERFIÓKKÉNT fut-e, majd módosítsa a Konfigurálás beállítást a megfelelő operációs rendszerre. A 2016-os évet én választottam.

a beállítások képernyőn módosítsa a feladatot, hogy hagyja abba a futást, ha 2 óránál hosszabb ideig fut. Jelölje be a négyzetet is, hogy engedélyezze a feladat igény szerinti futtatását.

kattintson az OK gombra. Ez befejezi az ütemezett tevékenység módosításait.

ha szeretné, akkor jobb egérgombbal kattintson a feladatra, és futtassa. A biztonsági mentési folyamat egy kis CPU-felhasználást okozhat, ezért lehet, hogy várnia kell.

az első biztonsági mentés teljes biztonsági mentés lesz. A következő 14 biztonsági mentés növekményes lesz, majd újabb teljes biztonsági másolatot készít.

a biztonsági mentés segédprogramban ellenőrizheti a biztonsági mentések állapotát, a felhasznált lemezterületet és még sok mást.

a biztonsági mentés konfigurációja befejeződött, az Active Directory mostantól napi rendszerességgel készít biztonsági másolatot (vagy bármilyen ütemezést, amelyre beállította).

a következő részben megmutatom, hogyan lehet könnyen ellenőrizni a biztonsági mentéseket.

automatikus HIRDETÉSMENTÉS-figyelés (e-mail riasztások)

ebben a szakaszban megmutatom, hogyan kaphat e-mail értesítéseket, amikor a biztonsági mentés befejeződött. Ez egy tesztelt megoldás, amelyet a Microsofttól találtam, és amelyet a gyártás során használok.

a biztonsági mentések felügyeletének automatizálásához egy ütemezett feladatot úgy kell konfigurálni, hogy a 4.eseményazonosító naplózásakor műveletet indítson el.

1.lépés: PowerShell parancsfájl beállítása

az ütemezett feladat PowerShell parancsfájlt indít el, amikor a 4. eseményazonosító naplózásra kerül. A szkript e-mailt küld.

másolja az alábbi szkriptet, majd illessze be egy szöveges fájlba. Mentse el AD-Backup-sucess néven. ps1

meg kell változtatnia a feladó címet, a címet és az SMTP-címet.

$From = "[email protected]"$To = "[email protected]"$Subject = "DC1 AD Backup SUCCESSFUL"$Body = "DC1 daily backup successful. No further action is required"$SMTPServer = "SMTP address"$SMTPPort = "25"Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -SmtpServer $SMTPServer -port $SMTPPort

2.lépés: ütemezett feladat beállítása

nyissa meg az ütemezett feladat alkalmazást, a Feladatütemező könyvtárban hozzon létre egy új feladatot.

az Általános képernyőn állítsa be a következő

• név: hirdetés biztonsági mentés siker értesítés
• használja a következő fiókot: SYSTEM
• beállítása “Futtatás, függetlenül attól, hogy a felhasználó be van-e jelentkezve”
• Futtatás a legmagasabb jogosultságokkal
• Konfigurálás: válassza ki az operációs rendszert

a triggerek képernyőn kattintson az Új gombra, majd állítsa be a következőket:

• kezdje el a feladatot: egy eseményen
• napló: Microsoft-Windows-Biztonsági mentés / működési
• forrás: biztonsági mentés
• Eseményazonosító: 4

a műveletek képernyőn kattintson az Új gombra, majd állítsa be a következőket:

• művelet: program indítása
• Program / szkript: C:\WINDOWS \ system32 \ WindowsPowerShell \ v1. 0\powershell.exe
• argumentumok hozzáadása: a szkript elérési útja az 1.lépésből. Példa c:\it\AD-Backup-sucess.ps1

kattintson az ok gombra, és a feladat beállítása befejeződött.

Most, amikor a biztonsági mentés befejeződik, e-mail értesítést kap.

összefoglaló

az Active Directory A Windows környezet egyik legkritikusabb összetevője. Úgy tűnik, hogy minden az Active Directorytól vagy a DNS-től függ, és ha összeomlik, semmi sem működik jól vagy egyáltalán. Olyan ügyfelekkel dolgoztam, akiknek teljes tartományvezérlő összeomlása volt (mindegyik), és szó szerint minden leállt. Szerencsére volt biztonsági mentésük, és vissza tudták állítani a tartományvezérlőket.

az összes ransomware megy körül, állandó fenyegetések soha nem lehet tudni, mi történhet, így nem hivatkozhat több tartományvezérlők, mint az egyetlen módszer a hirdetés mentések. Mindenképpen több tartományvezérlővel kell rendelkeznie, de emellett győződjön meg arról, hogy biztonsági mentéseket is futtat. Miért ne tennéd? Csak Mutattam egy módot, hogy ingyen támogasd őket.

maradjon velünk a következő útmutatóban, hogyan lehet visszaállítani az Active Directory-t egy biztonsági másolatból.

források

az útmutatóhoz használt források és a HIRDETÉSMENTÉSEKKEL kapcsolatos további információk.

Active Directory: automatizálja a rendszerállapot biztonsági mentését

Active Directory: automatizálja a biztonsági mentést siker-hiba értesítés

AD erdő helyreállítása-készítsen biztonsági másolatot egy teljes kiszolgálóról

A Windows Server biztonsági mentési funkciójának használata

A Windows Server biztonsági mentési funkciójának áttekintése