Práticas recomendadas para backup e recuperação do AD DS?

4

Portanto, a Microsoft alega que " você não pode usar uma pasta compartilhada de rede como destino de backup para um backup de estado do sistema ", mas já vi muitas postagens em que as pessoas indicam que podem fazer isso usando um prompt de comando usando wbadmin.

Meu objetivo final:

Não estou preocupado em fazer o backup de nenhum dos nossos controladores de domínio, pois, se um deles morrer, só irei ativar um novo controlador de domínio e permitir que os demais DCs sejam replicados para ele. No entanto, tenho a preocupação de, pelo menos, garantir que eu tenha um backup do AD, caso toda a nossa infraestrutura de AD seja removida e precise ser restaurada de um backup.

Veja o que fiz até agora para atingir o objetivo:

Do meu PDCe, executei um backup bem-sucedido em um compartilhamento de rede usando o seguinte comando:

wbadmin start systemstatebackup -backuptarget:\srv-backup\b$\srv-dc1

Eu criei um backup agendado assim:

wbadmin enable backup -addtarget:\srv-backup\b$\srv-dc1 -systemstate -schedule:03:00

Eu verifiquei no dia seguinte que o backup agendado foi concluído com êxito.

Então, aqui estão novas perguntas:

  1. Como faço backup do AD corretamente? Meu método atual está correto?

  2. Se o meu método de backup atual só produzir UM backup a qualquer momento (porque ele está fazendo o backup em um compartilhamento de rede e substituirá o backup anterior a cada noite), devo procurar o armazenamento local para empurrar o backup backups para (para que eu possa ter vários backups), ou devo apenas fazer backups dos meus outros dois DCs da mesma maneira; para um compartilhamento de rede (escalonando as programações, é claro - então, pelo menos, terei um ou mais backups diários dos quais posso depender)?

  3. Eu li em outro tópico da comunidade onde alguém disse "fazer backup da pasta NTDS de C: \ Windows", mas estou assumindo que isso é desnecessário, já que é feito backup durante o backup systemstate - isso está correto?

por John 'Shuey' Schuepbach 08.04.2016 / 18:35

2 respostas

6

So Microsoft claims that "you cannot use a network shared folder as a backup target for a system state backup"

Essa é (ou foi) uma restrição na versão original do Backup do Windows, fornecida em sistemas operacionais mais antigos (Vista RTM e Server 2008 RTM - isso pode ou não ter sido tratado em service packs ou atualizações desses sistemas operacionais). Windows 7 + / Server 2008 R2 + gerencia backups de estado do sistema para pastas de rede.

  1. How do I properly backup AD? Is my current method correct?

Não. Fazer o backup de um controlador de domínio não é o mesmo que fazer o backup do Active Directory. SE tudo correr bem, então, com certeza, você pode se safar. É claro que os backups só existem para quando tudo não corre bem, então você deve sempre considerar o que poderia dar errado quando estiver desenvolvendo uma estratégia de backup. Neste caso, vejo dois problemas principais .

  1. Você está apenas fazendo backup de um controlador de domínio. Se / quando a replicação for interrompida para / desse controlador de domínio ou que um controlador de domínio for a fonte de corrupção que está forçando a restauração de backups, você não terá mais backups do Active Directory real.

  2. Seu período de retenção de um backup é bastante inútil. No momento em que você perceber que tem um problema, provavelmente substituiu seu backup por uma cópia que contenha seu problema. Então, isso precisa ser corrigido e, felizmente, não é difícil armazenar seus backups em pastas nomeadas com a data em que foram tiradas. Você também pode considerar fazer backups incrementais para economizar espaço. Semanais completos, os incrementais diários são uma estratégia bastante comum que oferece um bom equilíbrio entre espaço em disco e velocidade / facilidade de restauração de backup.

  1. If my current backup method will only yield ONE backup at any given time (because it’s backing up to a network share and it will overwrite the previous backup each night), should I look into getting local storage to push the backups to (so I can have multiple backups), or should I just do backups of my other two DCs in the same manner; to a network share (staggering the schedules of course - then I’ll at least have one or more daily backups that I can depend on)?

Como declarado / implícito acima, você deve fazer o backup de todos os seus controladores de domínio diariamente. Como mencionado acima, coloque os backups em uma pasta nomeada até a data que foi feita para impedir que os backups sejam sobrescritos e considere backups incrementais e / ou diferenciais para economizar espaço.

  1. I've read in another thread in the community where someone said to "backup the NTDS folder from C:\Windows", but I'm assuming that is unnecessary since it gets backed up during the systemstate backup - is that correct?

Você está correto. A pasta NTDS (NT Directory Service) contém os bancos de dados que são essencialmente seu domínio do Active Directory. Um backup de estado do sistema deve obter essa pasta e os bancos de dados nela. (Não faria mal verificar isso em seus backups, é claro.) Como se costuma dizer, os backups que não são testados na restauração não são realmente backups.

    
por 08.04.2016 / 23:04
3

Você encontrará conselhos sobre como fazer backup e restaurar controladores de domínio que se resumem a "não fazer backup de seu controlador de domínio". Isso infelizmente é um mau conselho. Você deve fazer o backup de todos os seus controladores de domínio, porque nunca sabe qual deles estará corrompido.

O problema não é tanto o backup de controladores de domínio, mas também a restauração dessa parte complicada. Certifique-se de fazer sua lição de casa antes de restaurar!

A resposta para todos os seus problemas é investir em uma solução de backup centralizado "real" como Veam, Acronis, Unitends, etc. Essas ferramentas reconhecem a AD, suportam períodos de retenção, recuperam os dados em uma matriz de disco externa. (ou fita) e forneça um único painel de vidro para monitorar o status de backup de todos os seus servidores.

    
por 09.04.2016 / 00:14