Skonfiguruj tworzenie kopii zapasowych kontrolerów domeny Active Directory

W tym artykule porozmawiamy o funkcjach tworzenia kopii zapasowych kontrolerów domeny Active Directory, zobaczymy, jak skonfigurować automatyczne tworzenie kopii zapasowych AD za pomocą PowerShell i wbudowanych narzędzi Windows Server..

Treść

  • Czy muszę wykonać kopię zapasową Active Directory?
  • Jak sprawdzić datę ostatniej kopii zapasowej kontrolera domeny Active Directory?
  • Tworzenie kopii zapasowej kontrolera domeny AD przy użyciu Kopii zapasowej systemu Windows Server
  • Tworzenie kopii zapasowej usługi Active Directory za pomocą programu PowerShell

Czy muszę wykonać kopię zapasową Active Directory?

Nieraz słyszałem od administratorów zaznajomionych z pomysłem, że jeśli masz kilka (5, 10 itd.) Geograficznie rozproszonych kontrolerów domeny Active Directory, nie musisz tworzyć kopii zapasowych AD, ponieważ na kilku DC już zapewniłeś wysoką odporność domeny. Rzeczywiście, w takim schemacie prawdopodobieństwo równoczesnego uszkodzenia wszystkich kontrolerów domeny dąży do 0, a jeśli jeden kontroler domeny upadnie, szybsze jest wdrożenie nowego kontrolera domeny w witrynie i usunięcie starego za pomocą narzędzia ntdsutil.

Jednak w mojej praktyce spotkałem się z różnymi scenariuszami, w których wszystkie kontrolery domeny okazały się uszkodzone: w jednym przypadku wszystkie kontrolery domeny (było ich ponad 20 w różnych miastach) zostały zaszyfrowane z powodu przechwycenia hasła domeny przez program szyfrujący za pomocą narzędzia mimikatz (aby zapobiec schematy znajdują się w artykułach „Ochrona systemu Windows przed mimikatz” i „Ochrona grup uprzywilejowanych administratorów”), w innym przypadku domena umieściła replikację uszkodzonego pliku NTDS.DIT.

Zasadniczo tworzenie kopii zapasowych AD jest możliwe i konieczne. Co najmniej należy regularnie wykonywać kopię zapasową kluczowych kontrolerów domeny, właścicieli roli FSMO (Elastyczne operacje jednego wzorca). Możesz uzyskać listę kontrolerów domeny z rolami FSMO za pomocą polecenia:

zapytanie netdom fsmo

Jak sprawdzić datę ostatniej kopii zapasowej kontrolera domeny Active Directory?

Za pomocą narzędzia repadmin można sprawdzić, kiedy utworzono kopię zapasową bieżącego kontrolera domeny Active Directory:

repadmin / showbackup

W tym przykładzie widać, że ostatnia kopia zapasowa partycji DC i AD miała miejsce 2017-02-18 18:01:32 (najprawdopodobniej nie zostało to zrobione od czasu wdrożenia kontrolera domeny).

Możesz uzyskać stan kopii zapasowej wszystkich kontrolerów domeny w domenie za pomocą polecenia:

repadmin / showbackup *

Jeśli kontrolery domeny działają na maszynach wirtualnych i tworzysz kopię zapasową za pomocą migawek (patrz przykład z kopią zapasową Hyper-V), daty te nie są aktualizowane z oczywistych powodów. W większości nowoczesnych narzędzi do tworzenia kopii zapasowych dostępna jest opcja pozwalająca określić, że jest to kontroler domeny, a podczas tworzenia kopii zapasowej należy zaktualizować dane w katalogu LDAP.

Tworzenie kopii zapasowej kontrolera domeny AD przy użyciu Kopii zapasowej systemu Windows Server

Jeśli nie masz specjalnego oprogramowania do tworzenia kopii zapasowych, możesz użyć wbudowanej kopii zapasowej systemu Windows Server do tworzenia kopii zapasowych (ten składnik zastąpił NTBackup). Możesz skonfigurować automatyczne zadania tworzenia kopii zapasowych w graficznym interfejsie użytkownika kopii zapasowej systemu Windows Server, ale będzie to miało pewne ograniczenia. Główną wadą jest to, że nowa kopia zapasowa serwera zawsze nadpisuje starą..

Kiedy tworzysz kopię zapasową kontrolera domeny przez WSB, tworzysz kopię zapasową Stany systemu (Stan systemu) Stan systemu obejmuje bazę Active Directory (NTDS.DIT), obiekty GPO, zawartość katalogu SYSVOL, rejestr, metadane IIS, bazę danych AD CS oraz inne pliki i zasoby systemowe. Kopia zapasowa jest tworzona za pośrednictwem usługi kopiowania w tle VSS.

Możesz sprawdzić, czy składnik Kopia zapasowa systemu Windows Server jest zainstalowany za pomocą polecenia cmdlet programu PowerShell Get-WindowsFeature:

Get-WindowsFeature Windows-Server-Backup

Jeśli brakuje komponentu WSB, można go zainstalować za pomocą programu PowerShell:

Dodaj funkcję Windows Windows Serwer Kopia zapasowa - Uwzględnij wszystkie funkcje

Lub zainstaluj go z Menedżera serwera -> Funkcje.

Zapisz kopię zapasową tego kontrolera domeny AD w folderze sieciowym na oddzielnym serwerze dedykowanym do tworzenia kopii zapasowych. Na przykład ścieżka do katalogu to \\ srvbak1 \ backup \ dc01. Skonfiguruj uprawnienia NTFS w tym folderze: udziel uprawnień do odczytu i zapisu w tym katalogu tylko dla Administratorzy domeny i Kontrolery domen.

Tworzenie kopii zapasowej usługi Active Directory za pomocą programu PowerShell

Spróbujmy utworzyć kopię zapasową kontrolera domeny za pomocą PowerShell. Aby przechowywać kilka poziomów kopii AD, będziemy przechowywać każdą kopię zapasową w osobnym katalogu z datą utworzenia kopii jako nazwę folderu.

Import-Module ServerManager
[ciąg] $ date = get-date -f 'rrrr-MM-dd'
$ path = ”\\ srvbak1 \ backup \ dc1 \”
$ TargetUNC = $ ścieżka + $ data
$ TestTargetUNC = Test-Path -Path $ TargetUNC
if (! ($ TestTargetUNC))
Nowy element -Path $ TargetUNC -ItemType katalog

$ WBadmin_cmd = "wbadmin.exe START BACKUP -backupTarget: $ TargetUNC -systemState -noverify -vssCopy -quiet"
Wywołanie-wyrażenie $ WBadmin_cmd

Uruchom ten skrypt. Konsola wbadmin powinna pojawić się z informacją o procesie tworzenia kopii zapasowej (cienia) dysku:

Rozpoczęła się operacja tworzenia kopii zapasowej na \\ srvbak1 \ backup \ dc1 \ 2019-10-10. Tworzenie kopii w tle woluminów określonych dla kopii zapasowej ... 

Moja pierwsza próba utworzenia kopii zapasowej kontrolera domeny zakończyła się błędem (kontroler domeny to maszyna wirtualna VMWare):

Błąd szczegółowy: nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. Nie udało się wykonać kopii zapasowej stanu systemu [10/10/2019 8:31].

Otworzyłem dziennik błędów WSB - C: \ Windows \ Logs \ WindowsServerBackup \ Backup_Error-10-10-2019_08-30-24.log.

Plik zawiera jeden błąd:

Błąd podczas tworzenia kopii zapasowej C: \ windows \\ systemroot \ podczas wyliczania: Błąd [0x8007007b] Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest nieprawidłowa.

Patrząc w przyszłość, powiem, że problem był na złej ścieżce w jednym ze sterowników VMWware Tools.

Aby naprawić ten błąd, otwórz wiersz polecenia z uprawnieniami administratora i uruchom:

DiskShadow / L writers.txt
lista autorów szczegółowych

Po utworzeniu listy wpisz quit i otwórz plik „C: \ Windows \ System32 \ writers.txt”. Znajdź w nim wiersz zawierający „Windows \\”.

W moim przypadku znaleziony ciąg wygląda następująco:

Lista plików: ścieżka = c: \ windows \\ systemroot \ system32 \ drivers, Filespec = vsock.sys

Jak widać, użyto niewłaściwej ścieżki do sterownika VSOCK.SYS.

Aby naprawić ścieżkę, otwórz edytor rejestru i przejdź do sekcji HKLM \ SYSTEM \ CurrentControlSet \ Services \ vsock.

Zmień wartość ImagePath za pomocą
\ systemroot \ system32 \ DRIVERS \ vsock.sys
na
System32 \ DRIVERS \ vsock.sys

Ponownie uruchom skrypt kopii zapasowej.

Jeśli tworzenie kopii zapasowej powiodło się, w dzienniku pojawią się następujące komunikaty:

Operacja tworzenia kopii zapasowej zakończyła się pomyślnie. Tworzenie kopii zapasowej woluminu (C :) zostało zakończone pomyślnie. Utworzenie kopii zapasowej stanu systemu zakończyło się pomyślnie [10/10/2019 9:52]. 

Sprawdź daty ostatniej kopii zapasowej w DC:

repadmin / showbackup

Teraz tutaj wskazano, że ostatnio wykonano kopię zapasową kontrolera domeny.

Na serwerze kopii zapasowej rozmiar katalogu z kopią zapasową kontrolera domeny wynosi około 9 GB. Zasadniczo masz plik vhdx na wyjściu, którego możesz użyć do przywrócenia systemu operacyjnego za pośrednictwem WSB, lub możesz ręcznie zamontować plik vhdx i skopiować z niego niezbędne pliki lub foldery.

Jeśli w witrynie znajduje się kilka kontrolerów domeny, nie trzeba tworzyć ich kopii zapasowych. Aby zaoszczędzić miejsce, wystarczy okresowo wykonywać kopię zapasową bazy danych AD - pliku ntds.dit. Aby to zrobić, użyj następujących poleceń:

$ WBadmin_cmd = "wbadmin start backup -backuptarget: $ path -include: C: \ Windows \ NTDS \ ntds.dit -quiet"
Wywołanie-wyrażenie $ WBadmin_cmd

Rozmiar takiej kopii zapasowej będzie wynosić tylko 50-500 MB, w zależności od rozmiaru bazy AD.

Aby wykonać automatyczną kopię zapasową, musisz utworzyć skrypt c: \ ps \ backup_ad.ps1 na DC. Ten skrypt musi być uruchamiany zgodnie z harmonogramem za pośrednictwem narzędzia Sheduler. Możesz utworzyć zadanie harmonogramu z GUI lub PowerShell. Głównym wymaganiem jest, aby zadanie było uruchamiane w imieniu SYSTEMU z włączoną opcją Uruchom z najwyższymi uprawnieniami. Aby wykonać codzienną kopię zapasową kontrolera domeny AD, utwórz następujące zadanie:

$ Trigger = New-ScheduledTaskTrigger -At 01:00 -Daily
$ User = „NT AUTHORITY \ SYSTEM”
$ Action = New-ScheduledTaskAction -Execute „PowerShell.exe” -Argument „c: \ ps \ backup_ad.ps1”
Register-ScheduledTask -TaskName „StartupScript_PS” -Trigger $ Trigger -User $ User -Action $ Action -RunLevel Highest -Force

Tak więc utworzyliśmy kopię zapasową stanu AD, aw następnym artykule omówimy sposoby przywracania AD z istniejącej kopii zapasowej kontrolera domeny.