Active Directory备份最佳实践-世界杯完整回放-世界杯小组赛出线规则_1982年西班牙世界杯

Active Directory 是在基于 Windows 的环境中进行集中管理和用户认证的广为人知的服务。管理员可以集中管理添加到域中的计算机，这对于大型和分布式基础架构来说既方便又节省时间。MS SQL 和 MS Exchange 通常需要 Active Directory。如果 Active Directory 域控制器（AD DC）不可用，则相关用户无法登录，系统无法正常运行，这可能会给您的环境带来麻烦。这就是为什么备份您的 Active Directory 非常重要。

本博客文章解释了包括有效方法和工具在内的 Active Directory 备份最佳实践。

Active Directory 工作原理

Active Directory 是一个管理系统，它由一个数据库组成，其中存储了各个对象和事务日志。数据库被分成几个部分，包含不同类型的信息 – 模式分区（确定 AD 数据库设计，包括对象类和它们的属性）、配置分区（关于 AD 结构的信息）和域名上下文（用户、组、打印机对象）。Active Directory 数据库具有分层树状结构。文件 Ntds.dit 用于存储 AD 数据库。

Active Directory 使用 LDAP 和 Kerberos 协议来在网络上进行功能操作。LDAP（轻量级目录访问协议）是一种开放的跨平台协议，用于访问目录（如 Active Directory），也可以通过用户名和密码进行目录服务身份验证。Kerberos 是一种安全的身份验证和单点登录协议，使用秘密密钥加密。Kerberos 身份验证服务器检查的用户名和密码存储在 LDAP 目录中（在使用 Active Directory 的情况下）。

Active Directory 与 DNS 服务器、Windows 受保护的系统文件、域控制器的系统注册表以及 Sysvol 目录、COM+ 类注册数据库和群集服务信息紧密集成。这种集成对 Active Directory 备份策略有直接影响。

必须备份哪些数据？

根据前文，您不仅需要复制 Ntds.dit，还需要备份与 Active Directory 集成的所有组件。以下是所有作为域控制器系统的组成部分的组件列表：

Active Directory 域服务

域控制器系统注册表

Sysvol 目录

COM+ 类注册数据库

与 Active Directory 集成的 DNS 区域信息

系统文件和启动文件

群集服务信息

证书服务数据库（如果您的域控制器是证书服务服务器）

IIS元文件夹（如果在您的域控制器上安装了Microsoft Internet Information Services）

常规AD备份建议

让我们看看一些Active Directory备份的常规建议。

一个域中至少需要备份一个域控制器

显然，如果您的基础架构中只有一个域控制器，您应该备份此DC。如果您有多个域控制器，则应该至少备份其中一个。您应该备份具有FSMO（柔性单主操作）角色安装的域控制器。如果您丢失了所有域控制器，您可以恢复主域控制器（包含FSMO角色），并部署新的次级域控制器，将更改从主DC复制到次级DC。

将您的Active Directory备份包含在您的灾难恢复计划中

准备虚拟灾难时，编写包含多种场景的灾难恢复（DR）计划。在灾难发生之前制定完善的DR计划是最佳实践。特别注意恢复顺序。请记住，域控制器必须在您恢复其他与Active Directory相关服务的机器之前进行恢复，否则这些机器可能会变得无用。制定一份考虑到不同机器上不同服务依赖性的可行灾难恢复计划可确保您成功恢复。您可以将域控制器备份到本地站点、远程站点或云中。Active Directory备份的最佳实践之一是根据3-2-1备份规则拥有多份域控制器副本。

定期备份Active Directory

您应定期备份Active Directory，备份间隔不得超过60天。AD服务假定Active Directory备份的年龄不得超过默认情况下为60天的AD墓碑对象的生命周期。这是因为当需要删除对象时，Active Directory会使用墓碑对象。当AD对象被删除（大部分对象属性被删除）时，它会被标记为墓碑对象，并且在墓碑生命周期到期之前不会被物理删除。

如果您的基础架构中有多个域控制器并且启用了Active Directory复制，则墓碑对象将复制到每个域控制器，直到墓碑寿命到期。如果您从备份中恢复其中一个域控制器，而备份的年龄超过了墓碑的寿命，则您将在Active Directory域控制器之间遇到不一致的信息。在这种情况下，恢复的域控制器将具有关于不再存在的对象的信息。这可能会相应地引起错误。

如果您在备份后在域控制器上安装了任何驱动程序或应用程序，则在从该备份中恢复后，它们将无法正常工作，因为系统状态（包括注册表）将恢复到之前的状态。这只是备份Active Directory的频率比每60天一次更多的一个原因。我们强烈建议您每晚备份Active Directory域控制器。

使用确保数据一致性的软件

与任何其他数据库一样，Active Directory数据库必须以确保数据库一致性得到保留的方式进行备份。如果在服务器关闭时或在运行中使用MicrosoftVolume Shadow Copy Service（VSS）时备份AD DC数据，则可以最好地保持一致性。如果服务器以24/7模式运行，则在关闭状态下备份Active Directory服务器可能不是一个好主意。

Active Directory 备份最佳实践建议您使用支持 VSS 的备份应用程序来备份运行 Active Directory 的服务器。VSS 写入程序创建一个快照，将系统状态冻结，直到备份完成，以防止在备份过程中修改 Active Directory 使用的活动文件。

使用提供粒度恢复的备份解决方案

在恢复 Active Directory 时，您可以恢复包含 Active Directory 及其所有对象的整个服务器。运行完整恢复可能会消耗大量时间，特别是如果您的 AD 数据库相当庞大。如果一些 Active Directory 对象意外被删除，您可能只想恢复这些对象，而不是其他任何东西。Active Directory 备份最佳实践建议您使用可以执行粒度恢复的备份方法和应用程序，即仅从备份中恢复特定的 Active Directory 对象。这样可以限制在恢复过程中花费的时间。

本地 Active Directory 备份方法

微软已开发了一系列用于备份 Windows 服务器的本地工具，包括运行 Active Directory 域控制器的服务器。

Windows Server 备份

Windows Server Backup是由微软提供的实用工具，适用于Windows Server 2008及之后的Windows Server版本，取代了内置于Windows Server 2003的NTBackup实用程序。要访问它，只需在添加角色和功能菜单中启用Windows Server Backup。Windows Server Backup具有新的GUI（图形用户界面），并允许您使用VSS创建增量备份。备份的数据保存在VHD文件中 – 这是Microsoft Hyper-V使用的相同文件格式。您可以将这些VHD磁盘挂载到虚拟机或物理机并访问备份的数据。请注意，与MVMC（Microsoft虚拟机转换器）创建的VHD不同，在这种情况下，VHD镜像是无法启动的。您可以使用wbadmin start systemstatebackup命令备份整个卷或仅系统状态。例如：

wbadmin start systemstatebackup –backuptarget:E:

您应选择与备份数据的卷不同的备份目标，并且不是远程共享文件夹。

到了恢复的时候，您应该按下目录服务恢复模式（DSRM）启动域控制器，方法是按下 F8 键打开高级启动选项（就像进入安全模式时所做的那样）。然后，您应该使用 wbadmin get versions -backupTarget:path_to_backup machine:name_of_server 命令选择适当的备份，并开始恢复所需的数据。您还可以在恢复期间使用 NTDSutil 在命令行中管理特定的活动目录对象。

使用 Windows Server 备份来备份活动目录的优点包括价格合理、支持 VSS 和可以备份整个系统或仅备份活动目录组件。

缺点包括需要具备适当的技能和知识基础来配置备份和恢复过程。

System Center 数据保护管理器

微软建议您使用 System Center 数据保护管理器（SC DPM）来备份包括 Windows 基础架构中的活动目录在内的数据。SC DPM 是一个集中式的企业级备份和恢复解决方案，是 System Center 套件的一部分，可以用于保护包括活动目录在内的 Windows Server。与免费内置的 Windows Server 备份不同，SC DPM 是付费软件，必须单独部署为复杂的解决方案。与 Windows Server 备份相比，安装可能会有些挑战。确实，必须安装备份代理程序以确保您的机器得到充分保护。

系统中心数据保护管理器（System Center Data Protection Manager）与Active Directory备份相关的主要特点包括：

VSS支持

增量备份

备份至Microsoft Azure云

无法对Active Directory进行细粒度对象恢复

在需要保护大量Windows机器，包括MS Exchange和MS SQL服务器时，使用SC DPM是最实用的。

备份虚拟域控制器

列出的本机Active Directory备份方法可用于备份部署在物理服务器和虚拟机上的Active Directory服务器。在虚拟机上运行域控制器具有一系列特定于虚拟机的优势，如主机级别备份、能够作为运行在不同物理服务器上的虚拟机进行恢复等。Active Directory备份最佳实践建议，在对运行在虚拟机上的域控制器进行备份时，使用主机级别备份解决方案，以在hypervisor级别进行备份。

结论

Active Directory被归类为最为关键的业务应用之一，其中断可能会导致用户和服务的停机。今天的博客文章介绍了Active Directory备份的最佳实践，以帮助您保护基础架构免受AD故障的影响。在这种情况下，选择合适的备份解决方案是重要的要点。

NAKIVO备份与复制是一种面向主机级别的VMware备份软件和Hyper-V VMs的解决方案，适用于运行Active Directory域控制器。该解决方案允许您备份整个域控制器VM，即使VM处于运行状态，同时尊重应用程序感知（使用VSS）并提供即时的AD对象恢复。无需代理。NAKIVO备份与复制支持细粒度的Active Directory恢复，因此您可以恢复特定的AD对象和容器，而无需花费时间进行完整的VM恢复。当然，也支持对域控制器VM进行完整恢复。