Backup active directory 2008 windows backup

October 19, 2012 updated by

Leave a reply »

Компания Microsoft планирует выпустить операционную систему Windows Server 2008, свою первую крупную серверную платформу со времен Windows Server 2003, в первом квартале 2008 года. Эта серверная операционная система, появления которой с нетерпением ждут во многих крупных компаниях, предлагает целый ряд новых технических возможностей в области безопасности, управления и администрирования, разработанных для повышения надежности и гибкости работы сервера.

Кроме того, платформа Windows Server 2008 включает ряд исправлений и усовершенствований в области Active Directory. Ключевой элемент функциональных возможностей системы Windows Server 2003, Active Directory, в новой системной платформе Windows Server 2008 назван Active Directory Domain Services (AD DS, службы доменов Active Directory), что позволяет провести различие между ним и новыми компонентами системы, такими как Active Directory Certificate Services (AD CS, службы сертификатов Active Directory), Active Directory Federation Services (AD FS, службы интеграции Active Directory), Active Directory Lightweight Directory Services (AD LDS, службы упрощенного протокола доступа к каталогам Active Directory) и Active Directory Rights Management Services (AD RMS, службы управления правами доступа Active Directory).

Особое внимание привлекает новая функция безопасности AD DS – Read-Only Domain Controller (RODC, контроллер домена только для чтения), который позволяет использовать копию базы данных домена только для чтения в условиях пониженной физической или административной защиты, например, в офисах филиалов. В RODC содержатся все объекты и атрибуты AD DS, за исключением паролей для доступа к учетным записям. Поскольку изменить RODC нельзя, злоумышленник или просто неопытный пользователь не сможет произвести нежелательных изменений в базе данных домена, которые в противном случае могли бы отразиться на функционировании всех элементов AD.

Тем не менее, элементы AD DS по-прежнему уязвимы: ошибка пользователя, сбой в работе оборудования, неправильные настройки программного обеспечения могут повредить элементы AD и данные групповой политики (Group Policy). В случае повреждения или удаления этих данных может замедлиться работа приложений, понизиться производительность, могут быть утеряны важные деловые показатели. Именно поэтому необходимо существование надежного механизма восстановления данных. На исправление и восстановление объектов и атрибутов AD с помощью инструментов Windows Server 2003 обычно уходит очень много времени, при этом вероятность возникновения ошибки довольно высока.

Согласно результатам недавнего опроса , в котором участвовали более 150 предприятий, около 60% из них за последний год по меньшей мере один раз пострадали из-за проблем с AD. В зависимости от природы проблемы на ее устранение может уйти несколько часов и даже дней.

Процесс создания резервных копий данных и восстановления элементов AD в серверной операционной системе Windows Server 2008 подвергся некоторым изменениям. Разработчики Microsoft создали новый механизм создания резервных копий данных, а также приложение для просмотра сохраненных копий, но восстановление объектов AD не стало ни проще, ни быстрее. Поскольку новый метод создания резервных копий существенно отличается от прежнего и не совместим с инструментами Windows Server 2003, администраторам AD в сетях, объединяющих компьютеры с разными операционными системами Windows, придется пользоваться независимыми приложениями для создания резервных копий, что усложнит процесс обучения и непосредственного управления сетями на предприятиях.

В этом документе предложен обзор новых функций Windows Server 2008, касающихся создания резервных копий и восстановления объектов AD, а также рассмотрены приложения, которые помогут предприятиям избежать излишней траты времени на восстановление элементов AD, уменьшив, таким образом, негативные последствия этого процесса для пользователей. В частности, здесь будет рассказано о приложении Quest Recovery Manager for Active Directory и принципах его работы в сочетании с новыми функциями Windows Server 2008, что позволяет сделать процесс восстановления AD значительно проще.

НОВЫЙ МЕХАНИЗМ СОЗДАНИЯ РЕЗЕРВНЫХ КОПИЙ ДАННЫХ И ВОССТАНОВЛЕНИЯ ЭЛЕМЕНТОВ ACTIVE DIRECTORY В СЕРВЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ WINDOWS SERVER 2008

Новые функции Windows Server 2008, касающиеся создания резервных копий данных и восстановления объектов Active Directory, можно разбить на три группы: создание резервных копий данных, решение проблем и восстановление.

Создание резервных копий данных

В серверной платформе Windows Server 2008 на смену утилите NTBackup, которая используется в предыдущих версиях серверных операционных систем Microsoft, пришла утилита Windows Server Backup. В официальных документах Microsoft говорится, что Windows Server Backup представляет собой «фундаментальное решение в области создания резервных копий данных и их восстановления» [

Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008] (2), чей «простой дизайн делает это приложение особенно удобным для небольших организаций и обычных пользователей, не являющихся специалистами в области информационных технологий» (3). Отсюда IT-специалисты могут сделать вывод: вполне возможно, что эта утилита не соответствует тем специфическим требованиям, которые к ней предъявляет среда AD на крупных предприятиях.

Утилита Windows Server Backup предлагает ряд новых возможностей. Интегрированное приложение для создания резервных копий Microsoft Management Console (MMC, консоль управления Microsoft) позволяет администраторам IT или тем, кто отвечает за создание резервных копий, производить резервное копирование данных на локальных и удаленных серверах с одного серверного компьютера с помощью единого пользовательского интерфейса. Утилита Windows Server Backup может использоваться для создания резервных копий данных таких приложений, как Microsoft SQL Server™ и Windows SharePoint® Services с помощью Volume Shadow Copy Service (VSS, служба создания точных копий разделов жесткого диска). Утилита поддерживает создание полных и инкрементных резервных копий.

Тем не менее, некоторые ограничения, существующие в Windows Server Backup, могут негативно отразиться на процессе создания резервных копий данных на предприятии в целом и данных Active Directory в частности. Утилита Windows Server Backup не совместима с приложениями для резервного копирования предыдущих версий Windows, поэтому воспользоваться копиями, созданными с помощью NTBackup, невозможно. Кроме того, Windows Server Backup, в отличие от предыдущих версий подобного программного обеспечения, предусматривает гораздо меньше возможностей резервного копирования отдельных элементов. Если учесть, что во многих организациях используется сразу несколько контроллеров домена, это может существенно усложнить процесс создания резервных копий и восстановления Active Directory. К примеру, Windows Server Backup не дает возможности создать копию данных только о состоянии системы (System State), поэтому придется создавать полную резервную копию всех разделов жесткого диска, на которых хранятся компоненты AD. В зависимости от того, где находятся база данных AD, журналы, SYSVOL, директория Windows и загрузочные файлы, может потребоваться создание резервных копий сразу нескольких разделов жесткого диска сервера. Хотя скорость работы утилиты для создания резервных копий Windows Server 2008 значительно выше, чем у предыдущих версий, такой большой объем требует дополнительного пространства для хранения, а восстановление системы с помощью этих копий происходит гораздо медленнее, поскольку администратору приходится выбирать нужные данные вручную.

Решение проблем

Серверная платформа Windows Server 2008 предлагает новое приложение под названием AD DS Snapshot Viewer (просмотр копий AD DS), которое облегчает просмотр резервных копий данных. Snapshot Viewer позволяет просматривать копии базы данных AD, созданные с помощью VSS, чтобы определить, одержат ли они нужные данные, прежде чем запускать процедуру восстановления. Для того, чтобы просматривать эти копии, предназначенные только для чтения, на контроллере домена, его необязательно запускать в режиме Directory Services Restore Mode (DSRM, режим восстановления служб директории). Система Windows Server 2003, напротив, не предусматривает возможности просмотра сразу нескольких резервных копий AD, сделанных в разное время. В такой ситуации единственный способ выяснить, каких данных недостает, — начать неофициальную процедуру восстановления, запустив AD в режиме DSRM.

Хотя Snapshot Viewer – полезная вещь, это приложение довольно неудобно в обращении. Для того, чтобы смонтировать копию и вывести ее в сеть, необходимо воспользоваться двумя утилитами на основе командной строки. Данные приходится просматривать вручную, сравнивая копию (или несколько копий) с текущей базой данных, чтобы найти изменения. В зависимости от масштабов и природы изменений этот процесс можно отнять очень много времени. Подробное описание процесса приведено в примере использования этой возможности на предприятии на странице 5.

Некоторые проблемы, связанные с использованием Snapshot Viewer, помогает решить новая бесплатная утилита AD Explorer от Sysinternals, которую можно загрузить в Интернете. AD Explorer – утилита для Windows, которая позволяет просматривать и редактировать базу данных AD напрямую. Это приложение облегчает просмотр базы данных, поиск определенных записей или атрибутов. Кроме того, с помощью AD Explorer можно делать копии базы данных и производить простое сравнение различных версий, чтобы найти изменения. Однако эти копии не могут использоваться в качестве резервных. Кроме того, эта утилита не позволяет восстанавливать поврежденные объекты.

Восстановление

Определив, какая резервная копия AD содержит нужные данные, необходимо осуществить восстановление данных, и здесь Windows Server 2008 не предлагает никаких изменений к лучшему. Как и в предыдущих версиях серверных операционных систем Windows, для проведения официальной или неофициальной процедуры восстановления необходимо запустить контролер домена в режиме DSRM или написать скрипты, которые восстанавливают удаленные объекты с помощью интерфейса Reanimate Tombstone API, не требуя выхода из сети. Некоторые утилиты, созданные еще для Windows Server 2003, используют интерфейс Reanimate Tombstone API для восстановления удаленных объектов как в Windows Server 2003, так и в Windows Server 2008. Например, утилиты AD Restore от Sysinternal и Object Restore for Active Directory от Quest используют интерфейс Reanimate Tombstone API для восстановления обязательных атрибутов – имени объекта, идентификатора безопасности (Security Identifier, SID), глобально уникального идентификатора (Globally Unique Identifier, GUID) и родительского контейнера. К сожалению, эти утилиты восстанавливают только те данные, которые содержатся в кратких сведениях об объекте, где приведены далеко не все атрибуты. После восстановления удаленного объекта придется тщательно восстанавливать его атрибуты, принадлежность к группам и обратные ссылки, поскольку Windows Server 2008 не предусматривает возможности восстановления атрибутов объекта из резервной копии данных AD.

ПРИМЕР: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ ДАННЫХ И ВОССТАНОВЛЕНИЕ ОБЪЕКТОВ ACTIVE DIRECTORY НА ПРЕДПРИЯТИИ С ПОМОЩЬЮ ИНСТРУМЕНТОВ WINDOWS SERVER 2008

Сейчас конец 2008 года. Компания среднего бизнеса, производящая потребительские товары для рынка с широким географическим охватом, использует элементы AD для управления доступом к целому ряду приложений, от Microsoft Exchange до SQL Server, SAP All-in-One, а также вики-сайтов поддержки потребителей. Недавно на нескольких компьютерах компании была установлена серверная платформа Windows Server 2008, и сейчас IT-администраторы компании изучают изменения и новые возможности этой версии серверной операционной системы Microsoft. В это время компания получает уведомление о том, что вскоре должна состояться реорганизация, которая предусматривает также интеграцию в структуру компании недавно приобретенного филиала.

После реорганизации

Реорганизация завершилась на прошлой неделе. Похоже, интеграция прошла успешно. Сотрудникам отдела информационных технологий пришлось переместить сотни пользовательских учетных записей AD и убедиться в том, что изменения зафиксированы на всех контроллерах домена, которых у компании несколько десятков. При этом IT-специалисты обновили некоторые объекты групповой политики (Group Policy Object, GPO), чтобы обеспечить согласованность данных в рамках всей организации. До сих пор все шло нормально. В понедельник дел было несколько больше, чем обычно, но не слишком, особенно если учесть масштабы проделанных работ.

Звонки в службу поддержки отдела IT начались во вторник утром, когда новая смена сотрудников объединенного удаленного центра обслуживания клиентов приступила к работе после выходных. Некоторые сотрудники центра сообщали, что не могут войти в систему. Поскольку эта смена еще не работала с системой после реорганизации, системные администраторы сразу же предположили, что в результате изменений в данные AD закралась ошибка.

На тех контроллерах домена компании, на которых установлена серверная платформа Windows Server 2008, запущено приложение, которое делает копию данных AD каждые шесть часов по расписанию. Первым делом необходимо было выяснить, когда произошли изменения, затронувшие эту группу пользователей. Просмотрев журнал изменений оператора, который компания ведет как раз для таких случаев, IT-специалисты вскоре сузили временной период, в который произошли нежелательные изменения, до времени между полуднем и пятью часами вечера пятницы. С помощью AD DS Snapshot Viewer небольшая группа администраторов принялась изучать изменения, коснувшиеся отдельных лиц, подразделений организации (Organizational Units, OU) и объектов групповой политики (GPO), опираясь на две резервных копии данных, сделанных в этот отрезок времени.

Рисунок 1 – Обнаружение и монтаж копии с помощью NTDSUTIL

Рисунок 2 – Представление смонтированной копии в виде сервера LDAP для просмотра

Проблема была обнаружена очень быстро, но на ее исправление ушло много времени. Данные тех пользователей, которые не могли войти в систему, не были представлены в AD. Администраторам пришлось смонтировать две резервных копии данных, сделанных в пятницу, и найти в них имена всех пострадавших пользователей с помощью AD DS Snapshot Viewer, чтобы убедиться, что данные о них есть в этой копии данных. Видимо, в процессе изменений, связанных с реорганизацией, путаница, возникшая из-за похожих названий учетных записей пользователей, привела к удалению некоторых из них. Те учетные записи, которые должны были быть перемещены, были вместо этого удалены. После того, как имена пользователей были подтверждены (чтобы избежать случайного восстановления ненужных учетных записей), сотрудники отдела ИТ начали восстановление.

Первым делом нужно было запустить контроллер домена в режиме восстановления. Пока он был отключен, запросы на вход в систему выполняли другие контроллеры домена. Затем администраторы восстановили систему из резервной копии, содержавшей данные об удаленных учетных записях, не перезагружая контроллер и не синхронизируя его с онлайн-версией.

Восстановление объектов в Windows Server 2008 осуществляется точно так же, как и в Windows Server 2003. Используя программу ntdsutil и команду «authoritative restore», IT-специалисты отметили каждую удаленную учетную запись как действующую с помощью команды «restore object ‘отмеченное название’». Только на ввод этой команды для каждой учетной записи ушло больше часа. Проделав эту операцию, администраторы перезагрузили контроллер домена. Затем были произведены все необходимые перемещения и изменения. После этого была запущена репликация изменения на все связанные контроллеры.

На все эти исправления ушел целый день, а пока администраторы решали проблему, в центре поддержки клиентов не хватало сотрудников, поскольку многие из них не могли войти в систему. Но ситуация могла бы быть и серьезней – если бы удаленные учетные записи принадлежали руководителю компании, находящемуся в деловой поездке, торговому представителю, у которого на этот день была назначена важная встреча, или сотрудникам подразделений по распространению и логистике.

ПРИЛОЖЕНИЕ QUEST RECOVERY MANAGER ДЛЯ ACTIVE DIRECTORY

Приложение Quest Recovery Manager for Active Directory обладает интуитивным интерфейсом и позволяет эффективно создавать резервные копии данных, решать проблемы и восстанавливать объекты AD на любых контроллерах домена вне зависимости от того, какая версия Windows на них установлена. Это приложение идеально подходит компаниям среднего бизнеса и крупным предприятиям, которые используют элементы AD для управления пользовательским доступом к деловым приложениям. Приложение Recovery Manager представляет собой единое решение для самых разных задач и позволяет сократить время и средства, затрачиваемые на обучение управлению различными процессами создания резервных копий и восстановления объектов AD. Поскольку это приложение позволяет создавать резервные копии данных и осуществлять восстановление удаленных контроллеров домена, это существенно сокращает время и издержки на администрирование удаленных сайтов. К тому же, использование удобных мастеров настройки приложения позволяет быстро настроить параметры создания резервных копий и коррекции ошибок. Кроме того, пользование мастерами настройки снимает необходимость вручную вводить цепочки команд в интерфейсе командной строки, что зачастую приводит к ошибкам.

Создание резервной копии данных

Приложение Recovery Manager обладает простым интерфейсом Мастера создания резервных копий (Backup Wizard), который поддерживает все версии Windows AD, от 2000 до 20084. В отличие от утилиты Windows Server Backup, приложение Recovery Manager позволяет создавать резервные копии только данных о состоянии системы (System State), не затрачивая лишнего времени и пространства на создание копии целого раздела жесткого диска сервера. Резервные копии можно хранить в одном месте, в нескольких или на самих контроллерах домена.

Решение проблем

Обычно поиск причины, вызвавшей сбой в работе системы, — утомительное занятие. Приложение Recovery Manger позволяет с легкостью выбрать из списка одну из резервных копий для просмотра, при этом загружаются резервные копии быстро, поскольку они постоянно находятся в сети. Инструмент сравнения Recovery Manager осуществляет автоматическое сравнение текущего состояния AD с выбранной резервной копией, выделяя изменения (см. рис. 5), причем выводит не только сведения о том, какие учетные записи и группы были изменены, но и подробные данные о том, какие атрибуты подверглись изменениям.

Рисунок 5 – Инструмент сравнения приложения Recovery Manager выделяет все измененные и удаленные объекты, облегчая решение проблем

Восстановление

Приложение Recovery Manager позволяет восстанавливать отдельные группы данных AD DS, не выходя из сети. Мастер онлайн-восстановления предлагает ряд последовательных шагов по восстановлению данных о состоянии системы (System State) и групповой политике (Group Policy). Восстановить можно как весь домен, так и подразделение организации (OU), объекты групповой политики (GPO), учетные записи отдельных пользователей или индивидуальные атрибуты – все это одним нажатием кнопки мыши, не вызывая при этом вынужденного простоя системы (см. рис. 6). Восстановление системы в режиме онлайн сводит к минимуму негативные последствия для пользователей, поскольку не требует перезапуска контроллеров домена.

Рисунок 6 – Быстрое восстановление объектов с помощью мастера онлайн-восстановления приложения Recovery Manager

СРАВНИТЕЛЬНЫЙ АНАЛИЗ: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ ДАННЫХ И ВОССТАНОВЛЕНИЕ ОБЪЕКТОВ AD НА ПРЕДПРИЯТИИ

В приведенных ниже таблицах сравниваются методы создания резервной копии данных, решения проблем и восстановления объектов с помощью инструментов Windows Server 2003, Windows Server 2008 и приложения Quest Recovery Manager for Active Directory.

Инструменты Windows Server 2003

Инструменты Windows Server 2008

Приложение Quest Recovery Manager for Active Directory

ЗАКЛЮЧЕНИЕ

Хотя новая серверная платформа Windows Server 2008 предлагает ряд улучшений, механизмы создания резервных копий данных и восстановления объектов AD DS существенно не изменились. Новые инструменты несколько облегчают осуществление некоторых процедур, но не приводят к существенному сокращению времени вынужденного простоя системы при восстановлении удаленных или измененных объектов AD.

Приложение Quest Recovery Manager for Active Directory разработано для крупных предприятий и организаций малого бизнеса, которые нуждаются в надежных и эффективных способах быстрого восстановления объектов AD, пострадавших из-за неправильной настройки, вредоносного программного обеспечения, действий злоумышленников, проблем с оборудованием и других серьезных неполадок с AD. Приложение Recovery Manager идеально подходит тем предприятиям, на которых используются различные версии серверных платформ Windows Server, а также для тех компаний, компьютерные сети которых имеют широкий географический охват и, как следствие, нуждаются в централизованном администрировании резервного копирования и восстановления AD. Тысячи предприятий полагаются на приложение Quest Recovery Manager for Active Directory, которое позволяет им избежать простоя системы из-за повседневных проблем AD, связанных со сбоями в функционировании программного обеспечения и ошибками пользователей.

Недавно корпорация Microsoft второй раз за последние четыре года присудила компании Quest Software звание «Лучшего партнера – независимого мирового поставщика программного обеспечения (ISV) – 2007». Компания Quest обеспечивает поддержку продуктам для предприятий, разработанным Microsoft, с 1993 года. Сегодня компания Quest занимает второе после компании Microsoft место по количеству сотрудников, занятых в разработке продуктов AD. Почти семь тысяч компаний полагаются на программное обеспечение Quest в том, что касается управления более чем 45 миллионами учетных записей пользователей на основе AD.

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Recovery Manager for Active Directory

Официальный сайт программы:

http://www.quest.com
Информация о программе: http://www.quest.com/events/listdetails.aspx
Обзор программы: http://www.quest.com/recovery_manager_for_…directory/demo/

Автор: Shawn Barker
Copyright:

Quest Software, Inc.
Источник: whitepapers.silicon.com
Копирование и использование материалов русской версии статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.

Оцените статью: Голосов

Learn how to backup Active Directory with this step-by-step guide.

Let’s dive right in.

Why it is Important to backup Active Directory

In networks that use Active Directory, it is a critical service that must be running 24/7.

If these servers crash then your business operations can be disrupted or stopped altogether. Users won’t be able to access applications, their data, and files that can make a business run. In a hybrid environment, a failed Active Directory server can even disrupt cloud services.

I have supported companies that had a failed domain controller and it affected almost everything. Employees could not access their files, applications, and even internet access was down. The worst part is they had no backups, so they had to rebuild their domain environment. It took several weeks to fully recover. It was a lot of extra work that could have been avoided if they had backups.

Active Directory Backup Best Practices

1. Restoring Active Directory from a backup should be your last option for recovery.
2.  You should have multiple domain controllers. This will allow for a single domain controller to fail and still provide full recovery without a backup.
3. To expand on the above, DO NOT rely on multiple controllers as your only source of recovery. You should absolutely still be doing a backup of Active directory. All domain controllers can fail, database corruption can occur, viruses, ransomware or some other disaster could wipe out all domain controllers. In this situation, you would need to restore it from a backup. Also backing up Active Directory is FREE so there is no reason not to do it.
4. You should enable the Active Directory Recycle Bin, this will give you the ability to restore deleted objects without the need for a backup.
5. Document your Active Directory environment, backup policy, and disaster recovery plans.
6. Backup Active Directory at least daily, if you have a large environment with lots of changes then consider twice a day backups.
7. Ensure you have an offsite backup of Active Directory. This will be explained more throughout this guide.
8. Backup two domain controllers in each domain, one of those should hold the Operation master role.

Active Directory Full Backup VS System State Backup

This section will help you understand the difference between doing a full server backup and a system state backup.

Full Backup

• Backs up all server data, including applications and the operating system
• Includes the system state
• Allows for bare metal recovery – This allows for restoring to an entirely different piece of hardware. Although, it is recommended that the hardware receiving the restore have the same hardware configuration.
• If you have lots of data or 3rd party applications installed on your domain controller (not recommended) your backups will be considerably larger.
• The full backup option is best used for restoring the whole server to the same or different server. A full restore will allow you to easily re-install the operating system and use the backup to recover.

System State Backups

The system state backup includes only the components needed to restore Active Directory. The system state includes the following:

• Sysvol from the domain controller – The sysvol includes group policy objects but I still recommend you backup group policy from the GPMC.
• Active Directory database and related files
• DNS zones and records (only for Active Directory integrated DNS)
• System registry
• Com+ Class registration database
• System startup files
• The system state backup is best used for recovering Active Directory only on the same server.  It cannot be used to recover a corrupt server operating system. Microsoft does not support restoring a system state backup from one computer to a second computer of a different make, model, or hardware configuration

Install Windows Server Backup

To create an Active Directory backup the Windows server backup utility needs to be installed. This utility gets a bad wrap, mostly because it is used incorrectly. It is not a solution for backing up your entire enterprise but works great for specific use cases like backing up Active Directory.

I’ve been using it for years to backup Active Directory and it works great. There are a few things to be aware of when using this utility and I’ll point those out throughout this guide.

Step 1: Open Server Manager

Step 2: Add Roles and Features

Now click on “add roles and features”

Step 3: Select Windows Server Backup

Now just click next a few times to get to the select features page. Select “Windows Server Backup” and click next.

On the next screen click install. When the install is complete click close.

That completes installing the Windows server backup utility.

The next step is to configure the backup.

How to Backup Active Directory (Full Server Backup)

I prefer to use the full backup option instead of the system state backup. This option allows you to easily restore if the operating system or Active Directory becomes corrupt.

It includes the system state so you can choose to restore the entire server or just the system state.

The steps for backing up just the system state are the same you will just choose custom instead of full server.

Here are the settings that will be configured for this backup:

• Daily Backup
• 1 full backup then 14 incremental backups – Windows server backup automatically handles the full and incremental backups no additional configuration is needed.
• The backup destination will be a volume mounted as a local disk. I’m using a SAN with replication to another datacenter for disaster recovery.
• My domain controllers are virtual running in a VMWare environment.
• The domain controller is Windows Server 2016

Step 1: Create a dedicated disk for backups.

Important: When doing a full backup the disk cannot be larger than the one you are restoring to. So if the server you are backing up has a disk size of 50GB, the backup disk cannot be larger than this. The Windows backups are very efficient, the first backup is full then it will do incremental backups. I like to make the backup disk slightly smaller than the disk I’ll be backing up.

Step 2: Configure Windows Server Backup

Open the Windows Server Backup Utility

Click on “Backup Schedule” on the right-hand side

Click next on the Getting started page

Select “Full Server” and click next.

If you want to backup just the system state select “Custom”.

In the above screenshot, the backup configuration will tell you how large the backup size will be. Unless you have 3rd party programs and files on your domain controller the backup should be fairly small. After the first backup, it will do an incremental and only backup the changes.

Click the “Advanced settings” button

Click “VSS Settings” then select “VSS full backup”. Click OK

This is recommended if you are not using any other backup product to backup Active Directory.

Configure the backup schedule that works best for you. In my environment, I configured a daily backup at 7:00 PM.

If you have a large environment with lots of AD changes you should consider twice a day backups.

On the specify destination type screen choose “Back up to a hard disk that is dedicated for backups”.

DO NOT choose “Back up to a shared network folder” This option does not support incremental backups it will overwrite the backup each time.

Confirm backup settings and click finish.

The backup configuration is complete but we need to change a few settings in the scheduled task that was created.

Task Scheduler Settings

Just type in “Task Scheduler” in the search bar and click the app.

Browse to Task Scheduler Library -> Microsoft -> Windows -> Backup

You will see the windows backup scheduled task.

Double click on the task name to open it up.

On the General screen, ensure the task is running as the SYSTEM account and change the configure for to the correct operating system. I’m running 2016 so that is what I have selected.

On the settings screen change the task to stop running if it runs longer than 2 hours.  Also, check the box to allow the task to be run on demand.

Click OK. That completes the changes for the scheduled task.

If you want you could right click the task and run it. The backup process may cause a bit of CPU usage so you may need to wait.

The first backup will be a full backup. The next 14 backups will be incremental then it will do another full backup.

You can check the status of backups, disk space used, and much more in the backup utility.

The backup configuration is complete, Active Directory will now backup on a daily basis (or whatever schedule you configured it for).

In the next section, I will show you how to easily monitor the backups.

Automate AD Backup Monitoring (Email Alerts)

In this section, I’ll show you how to get email notifications when the backup completes. This is a tested solution that I found from Microsoft and that I use in production.

To automate monitoring of the backups you will configure a scheduled task to trigger an action when event ID 4 has been logged.

Step 1: Setup PowerShell Script

The scheduled task will trigger a PowerShell script when event ID 4 is logged. The script will send an email message.

Copy the script below and paste it into a text file. Save it as AD-Backup-Success.ps1

You need to change the from address, to address and the SMTP address.

$From = "dc1@yourdomain.com"
$To = "rallen@ad.activedirectorypro.com"
$Subject = "DC1 AD Backup SUCCESSFUL"
$Body = "DC1 daily backup successful. No further action is required"
$SMTPServer = "SMTP address"
$SMTPPort = "25"
Send-MailMessage -From $From -to $To -Subject $Subject -Body $Body -SmtpServer $SMTPServer -port $SMTPPort

Step 2: Setup Scheduled Task

Open the scheduled task app, in the task scheduler library create a new task.

On the general screen set the following

• Name: AD Backup Success Notification
• Use the following account: SYSTEM
• Set to “Run whether user is logged on or not”
• Run with highest privileges
• Configure for: Choose your operating system

On the Triggers screen click on new and set the following:

• Begin the task: On an event
• Log: Microsoft-Windows-Backup/Operational
• Source: Backup
• Event ID: 4

On the Actions screen click new and configure the following:

• Action: Start a program
• Program/script: C:WINDOWSsystem32WindowsPowerShellv1.0powershell.exe
• Add arguments: Path to the script from step 1. Example c:itAD-Backup-sucess.ps1

Click ok and the task setup is complete.

Now when the backup completes you will receive an email notification.

Summary

Active Directory is one of the most critical components in a Windows environment. It seems like everything is dependent on Active Directory or DNS and if it crashes nothing works right or at all. I’ve worked with customers that had a complete domain controller crash (all of them) and literally everything was down.  Fortunately, they had backups and were able to recover the domain controllers.

With all the ransomware going around and constant threats you never know what can happen so don’t rely on multiple domain controllers as your only method for AD Backups. You definitely should have multiple domain controllers but in addition, ensure you are running backups as well. Why would you not? I just showed you a way to back them up for FREE.

Next, check out my guide on how to restore Active Directory from backup.

Resources

• Automate System State backup – Microsoft documentation
• Windows Server Backup Feature Overview

В этой статье мы поговорим об особенностях резервного копирования контроллеров домена Active Directory, рассмотрим, как настроить автоматическое резервное копирование AD с помощью PowerShell и встроенных средств Windows Server.

Нужно ли бэкапить Active Directory?

Не раз слышал от знакомых администраторов мысль, что если у тебя несколько (5, 10 и т.д.) территориально разнесенных контроллеров домена Active Directory, то бэкапать AD вообще не нужно, т.к. при нескольких DC вы уже обеспечили высокую отказоустойчивость домена. Ведь в такой схеме вероятность одновременного выхода из строя всех DC стремится к 0, а если один контроллер домена упал, то быстрее развернуть новый DC на площадке, а старый контроллер домена удалить согласно инструкции (или с помощью ntdsutil).

Однако в своей практике я встречался с различными сценариями, когда все контроллеры домена оказались повреждёнными: в одном случае все контроллеры домена (а их было более 20 штук в разных городах) оказались зашифрованными из-за перехвата пароля домена шифровальщиком через утилиту mimikatz (для предотвращения таких схем см. статьи “Защита Windows от mimikatz” и “Защита привилегированных групп администраторов”), в другом случае домен положила репликация поврежденного файла NTDS.DIT.

В общем, бэкапить AD можно и нужно. Как минимум вы должны регулярно создавать резервные копии ключевых контроллеров доменов, владельцев ролей FSMO (Flexible single-master operations). Вы можете получить список контролеров домена с ролями FSMO командой:

netdom query fsmo

Как проверить дату последнего бэкапа контроллера домена Active Directory?

Вы можете проверить, когда создавалась резервная копия текущего контроллера домена Active Directory с помощью утилиты repadmin:

repadmin /showbackup

В данном примере видно, что последний раз бэкап DC и разделов AD выполнялся 2017-02-18 18:01:32 (скорее всего он не делался с момента развертывания контроллера домена).

Вы можете получить статус по резервному копированию всех DC в домене командой:

repadmin /showbackup *

Если ваши контроллеры домена запущены на виртуальных машинах, и вы создаете бэкап через снапшоты (см. пример с резервным копированием Hyper-V), то при бэкапе эти даты не обновляются по понятной причине. В большинстве современных средств резервного копирования есть опция, позволяющая указать что это DC и при бэкапе нужно обновлять данные в каталоге LDAP.

Бэкап контроллера домена AD с помощью Windows Server Backup

Если у вас нет специального ПО для резервного копирования, вы можете использовать для создания резервных копий встроенный Windows Server Backup (этот компонент пришел на замену NTBackup). Вы можете настроить автоматическое задание резервного копирования в графическом интерфейсе Windows Server Backup, но у него будут ряд ограничений. Основной недостаток – новая резервная копия сервера всегда будет перезаписывать старую.

При создании резервной копии контроллера домена через WSB, вы создаете резервную копию Состояния системы (System State). В System State попадает база Active Directory (NTDS.DIT), объекты групповых политик, содержимое каталога SYSVOL, реестр, метаданные IIS, база AD CS, и другие системные файлы и ресурсы. Резервная копия создается через службу теневого копирования VSS.

Вы можете проверить, установлен ли компонент Windows Server Backup с помощью PowerShell командлета Get-WindowsFeature:

Get-WindowsFeature Windows-Server-Backup

Если компонент WSB отсутствует, его можно установить с помощью PowerShell:

Add-Windowsfeature Windows-Server-Backup –Includeallsubfeature

Или установите его из Server Manager -> Features.

Я буду сохранять бэкап данного контроллера домена AD в сетевую папку на отдельном выделенном сервере для резевного копирования. Например, путь к каталогу будет таким \srvbak1backupdc01. Настроим NTFS разрешения на этой папке: предоставьте права чтения-записи в этот каталог только для Domain Admins и Domain Controllers.

Резервное копирование Active Directory с помощью PowerShell

Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.

Import-Module ServerManager
[string]$date = get-date -f 'yyyy-MM-dd'
$path=”\srvbak1backupdc1”
$TargetUNC=$path+$date
$TestTargetUNC= Test-Path -Path $TargetUNC
if (!($TestTargetUNC)){
New-Item -Path $TargetUNC -ItemType directory
}
$WBadmin_cmd = "wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet"
Invoke-Expression $WBadmin_cmd

Запустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:

The backup operation to \srvbak1backupdc12019-10-10 is starting.
Creating a shadow copy of the volumes specified for backup...

Detailed error: The filename, directory name, or volume label syntax is incorrect.
The backup of the system state failed [10.10.2019 8:31].

Error in backup of C:windows\systemroot during enumerate: Error [0x8007007b] The filename, directory name, or volume label syntax is incorrect.

File List: Path = c:windows\systemrootsystem32drivers, Filespec = vsock.sys

Если бэкап выполнен успешно, в логе появятся сообщения:

The backup operation successfully completed.
The backup of volume (C:) completed successfully.
The backup of the system state successfully completed [10.10.2019 9:52].

Проверим даты последнего бэкапа на DC:

repadmin /showbackup

Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.

На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.

Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:psbackup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:

$Trigger= New-ScheduledTaskTrigger -At 01:00am -Daily
$User= "NT AUTHORITYSYSTEM"
$Action= New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "c:psbackup_ad.ps1"
Register-ScheduledTask -TaskName "StartupScript_PS" -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Итак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.