Рекомендації щодо захисту active directory

Microsoft Active Directory є стандартом в корпоративній інфраструктурі, де потрібно аутентифікація користувачів і централізоване управління. Майже неможливо уявити собі, як системні адміністратори справлялися б зі своєю роботою без цієї технології. Однак використання Active Directory не тільки приносить велику користь, але і накладає велику відповідальність, вимагаючи значного часу і розуміння процесів її роботи.

Ця серія Статей розповість, як успішно виконувати бекап і відновлення Active Directory за допомогою рішень Veeam, які пропонують всі можливості для простого і зручного захисту AD. Можливо, вам буде цікаво ознайомитися з недавньою серією матеріалів «Рекомендації з адміністрування AD». перш ніж приступити до читання цієї статті.

У новій серії статей я пояснюю, як Veeam може захистити дані Active Directory: зробити копії контролерів домену (DC) або окремих об'єктів AD і при необхідності відновити їх.

Сьогодні я розповім про можливості бекапа як фізичних, так і віртуальних контролерів домену, які надає Veeam, і про те, що необхідно пам'ятати під час бекапа.

Рекомендації по бекапіть контролерів домену

Сервіси Active Directory розроблені з урахуванням надмірності, тому звичні правила і тактики бекапа необхідно адаптувати відповідним чином. В даному випадку буде неправильно використовувати ту ж політику бекапа, що вже працює для серверів SQL або Exchange. Нижче я приведу ряд рекомендацій, які можуть допомогти при розробці вашої власної політики для Active Directory:

  • З'ясуйте, які контролери домену в вашому середовищі виконують ролі FSMO (Flexible Single Master Operations). Порада: проста команда для перевірки через командний рядок:> netdom query fsmo
  • Якщо на майданчику кілька контролерів домену, а ви хочете захистити окремі об'єкти, то у вас немає необхідності в бекапе всіх контролерів. Для відновлення окремих об'єктів буде достатньо однієї копії бази даних Active Directory (ntds.dit)
  • Завжди є можливість знизити ризик випадкового або навмисного видалення або зміни об'єктів AD. Можна порекомендувати делегування адміністративних повноважень, настройку обмежень доступу з підвищеними правами і резервний майданчик c затримкою реплікації.
  • Зазвичай рекомендується виконувати бекап контролерів доменів по черзі і так, щоб воно не зустрічалося з реплікацією DFS. Хоча сучасні рішення (наприклад, Veeam Backup Replication v7 з пакетом оновлень 3 і вище) знають, як вирішувати цю проблему.
  • Якщо ви використовуєте віртуальне середовище VMware, контролер домену може бути недоступний через мережу (наприклад, він знаходиться в зоні DMZ). У цій ситуації Veeam переключиться на з'єднання через VMware VIX і зможе обробити цей контролер.

Бекап віртуального контролера домену

Сервіси Microsoft Active Directory організовують і зберігають інформацію про окремі документах лісу доменів в реляційної базі (ntds.dit), яка знаходиться на контролері домену. Раніше бекап контролера домену було дуже виснажливим процесом, оскільки включало бекап стану системи (system state) сервера. Добре відомо, що сервіси Active Directory споживають малу частину ресурсів системи, тому контролери домену зазвичай стають першими кандидатами для віртуалізації. Якщо ви як і раніше дотримуєтеся тієї точки зору, що вони повинні бути тільки фізичними, прочитайте цю статтю.

Будучи віртуалізованних, вони легко справляються адміністратором домену або системним адміністратором і захищені бекапом Veeam Backup Replication. Перед тим, як я перейду до деталей, вам потрібно встановити і налаштувати Veeam Backup Replication.

Системні вимоги (для версії 9.0):

Припустимо, що все налаштовано і готове до роботи. Тепер потрібно створити завдання бекапа контролера домену. Процес настройки досить простий (рис. 1):

  1. Запустіть майстер створення завдання бекапа
  2. Виберіть потрібний контролер домену
  3. Визначте політику зберігання для ланцюжка резервних копій
  4. Не забудьте включити функцію обробки даних з урахуванням стану додатків (AAIP) для забезпечення узгодженості на рівні транзакцій для ОС і додатків, що працюють на ВМ, в тому числі бази даних Active Directory і каталогу SYSVOL

Примітка: AAIP - технологія Veeam, яка забезпечує бекапа ВМ з урахуванням стану додатків. Вона виконує пошук додатків гостьовій ОС, збір їх метаданих, «заморожування» за допомогою відповідних механізмів (Microsoft VSS Writers), підготовку процедури відновлення з використанням VSS для додатків, яка буде виконана при першому запуску відновленої ВМ, і усічення журналів транзакцій додатків в разі успішного завершення бекапа. Детальну інформацію можна знайти в документації AAIP.

Якщо функція AAIP не буде активована, гостьова ОС контролера домену не зрозуміє, що був виконаний її бекап і забезпечений захист. Тому через деякий час ви можете виявити внутрішнє попередження в журналах сервера: подія 2089 - «бекап не виконувався протягом інтервалу затримки архівації» ( "backup latency interval").

Рекомендації щодо захисту active directory

Мал. 1. Редагування завдання бекапа: обробка файлів гостьових ОС

  1. Заплануйте час виконання завдання або запустіть його вручну
  2. Переконайтеся, що завдання успішно виконане без помилок і попереджень

Рекомендації щодо захисту active directory

Мал. 2. Інкрементний бекап

  1. Знайдіть новостворений файл резервної копії в репозиторії - готово!

Резервну копію можна додатково зберегти в хмару з допомогою постачальника послуг Veeam Cloud Connect (VCC). Також її можна перенести в інший репозиторій резервних копій, використовуючи завдання архівування резервних копій або функціонал архівування на магнітну стрічку. Найголовніше, що тепер резервна копія зберігається в надійному місці, і з неї в будь-який момент можна відновити потрібні дані.

Бекап фізичного контролера домену

Щоб виконати бекап фізичного контролера домену за допомогою цього інструменту, необхідно зробити наступне:

  • Завантажте Veeam Endpoint Backup FREE і скопіюйте установник на потрібний сервер
  • Запустіть майстер установки, прийміть ліцензійну угоду і встановіть програму

Примітка: щоб виконати установку в автоматичному режимі, використовуйте цю інструкцію.

Рекомендації щодо захисту active directory

Мал. 3. Вибір об'єктів копіювання в Veeam Endpoint Backup

Примітка: Якщо у вашому середовищі вже встановлено Veeam Backup Replication, і ви хочете використовувати існуючий репозиторій Veeam для зберігання резервних копій фізичних машин, ви можете переналаштувати його прямо з Veeam Backup Replication (утримуючи Ctrl, клацніть правою кнопкою прямо на потрібному репозиторії, дозвольте доступ до сховища і, при необхідності, включите шифрування, див. Рис. 4).

Рекомендації щодо захисту active directory

Мал. 4. Налаштування дозволів доступу до сховища резервних копій для Endpoint Backup

  • Запустіть бекап і переконайтеся, що воно пройшло без помилок

Рекомендації щодо захисту active directory

Мал. 5. Veeam Endpoint Backup FREE: статистика завдань бекапа

  • От і все! Бекап виконаний, контролер домену під захистом. Перейдіть до головного сховища і знайдіть потрібну резервну копію або ланцюжка резервних копій

Рекомендації щодо захисту active directory

Мал. 6. Ланцюжок інкрементних резервних копій

Примітка. Якщо ви налаштували репозиторій Veeam Backup Replication в якості цільового сховища для резервних копій, то новостворені резервні копії будуть знаходитися в панелі інфраструктури Backups> Disk (резервні копії> диск), пункт Endpoint Backups.

Рекомендації щодо захисту active directory

Мал. 7. Veeam Backup Replication: Backups-disk

висновок

Невже бекап контролера домену - це так просто? Так і ні. Успішний бекап - це гарний початок, але далеко не все. У Veeam кажуть: «Резервна копія нічого не варто, якщо з неї не можна відновити дані».

Наступні статті в цій серії будуть присвячені різним сценаріям відновлення Active Directory, включаючи відновлення контролера домену, а також відновлення окремих віддалених і змінених об'єктів за допомогою власних інструментів Microsoft і Veeam Explorer для Active Directory.

Також вас може зацікавити:

Рекомендації щодо захисту Active Directory: Частина 1. Бекап контролера домену. 5.0 з 5 на підставі 2 відгуків

Андрій Желєзко (Andrew Zhelezko) - Veeam Community Manager. За час кар'єри в Veeam він придбав глибоке розуміння роботи продуктів віртуалізації і багатий технічний досвід у вирішенні проблем клієнтів. Цей досвід допомагає Андрію говорити з ІТ-спільнотою «на одній мові» і розуміти інтереси адміністраторів віртуальних середовищ. Андрій. More

Схожі статті