Назад | Перейти на главную страницу

Лучшие практики для резервного копирования и восстановления AD DS?

Итак, Microsoft утверждает, что "вы не можете использовать общую сетевую папку в качестве цели резервного копирования для резервного копирования состояния системы", но я видел множество сообщений, в которых люди указывали, что они могут сделать это из командной строки с помощью wbadmin.

Моя конечная цель:

Меня не волнует резервное копирование любого из наших контроллеров домена, потому что, если один из них выйдет из строя, я просто разверну новый контроллер домена и позволю оставшимся контроллерам домена реплицироваться на него. Однако меня беспокоит, по крайней мере, убедиться, что у меня есть резервная копия AD, на случай, если вся наша инфраструктура AD будет перегружена и ее потребуется восстановить из резервной копии.

Вот что я сделал до сих пор для достижения цели:

Со своего PDCe я успешно выполнил резервное копирование в общий сетевой ресурс, используя следующую команду:

wbadmin start systemstatebackup -backuptarget:\srv-backup\b$\srv-dc1

Затем я создал запланированную резервную копию следующим образом:

wbadmin enable backup -addtarget:\srv-backup\b$\srv-dc1 -systemstate -schedule:03:00

На следующий день я подтвердил, что запланированное резервное копирование выполнено успешно.

Итак, вот новые вопросы:

  1. Как правильно сделать резервную копию AD? Мой текущий метод верен?

  2. Если мой текущий метод резервного копирования дает только ОДНУ резервную копию в любой момент времени (потому что она выполняет резервное копирование в общий сетевой ресурс и будет перезаписывать предыдущую резервную копию каждую ночь), следует ли мне искать локальное хранилище для отправки резервных копий (чтобы я мог иметь несколько резервных копий), или мне следует таким же образом сделать резервные копии двух других контроллеров домена; в общий сетевой ресурс (разумеется, с изменением расписания - тогда у меня будет хотя бы одно или несколько ежедневных резервных копий, на которые я могу положиться)?

  3. Я читал в другом потоке в сообществе, где кто-то сказал «сделать резервную копию папки NTDS из C: \ Windows», но я предполагаю, что в этом нет необходимости, поскольку она создается во время резервного копирования состояния системы - это правильно?

Поэтому Microsoft утверждает, что «вы не можете использовать общую сетевую папку в качестве целевого объекта резервного копирования для резервного копирования состояния системы».

Это (или было) ограничение на исходную версию Windows Backup, которая входила в старые ОС (Vista RTM и Server 2008 RTM - это могло или не могло быть устранено в пакетах обновления или обновлениях для этих ОС). Windows 7 + / Server 2008 R2 + отлично справляется с резервным копированием состояния системы в сетевые папки.

  1. Как правильно сделать резервную копию AD? Мой текущий метод верен?

Нет. Резервное копирование одного контроллера домена - это не то же самое, что резервное копирование Active Directory. ЕСЛИ все идет хорошо, тогда конечно, возможно, вам это сойдет с рук. Конечно, резервные копии существуют только тогда, когда все идет не так, поэтому вы всегда должны учитывать, что может пойти не так, когда вы придумываете стратегию резервного копирования. В этом случае я вижу два крупный вопросы.

  1. Вы создаете резервную копию только одного контроллера домена. Если / когда репликация прерывается на / с этого контроллера домена, или который один контроллер домена является источником коррупции, который вынуждает вас восстанавливаться из резервных копий, у вас больше нет резервных копий вашей реальной Active Directory.

  2. Срок хранения одной резервной копии бесполезен. К тому времени, когда вы поймете, что у вас возникла проблема, вы, вероятно, перезаписали резервную копию копией, содержащей вашу проблему. Итак, это нужно исправить, и, к счастью, это несложно - храните резервные копии в папках с указанием даты создания. Вы также можете рассмотреть возможность создания инкрементных резервных копий для экономии места. Еженедельное заполнение и ежедневное приращение - довольно распространенная стратегия, которая обеспечивает хороший баланс между дисковым пространством и скоростью / простотой восстановления резервной копии.

  1. Если мой текущий метод резервного копирования дает только ОДНУ резервную копию в любой момент времени (потому что она выполняет резервное копирование в общий сетевой ресурс и будет перезаписывать предыдущую резервную копию каждую ночь), следует ли мне искать локальное хранилище для отправки резервных копий (чтобы я мог иметь несколько резервных копий), или мне следует таким же образом сделать резервные копии двух других контроллеров домена; в общий сетевой ресурс (разумеется, с изменением расписания - тогда у меня будет хотя бы одно или несколько ежедневных резервных копий, на которые я могу положиться)?

Как указано / подразумевается выше, вы должны сделать резервную копию все контроллеры домена ежедневно. Как упоминалось выше, поместите резервные копии в папку, названную по дате создания, чтобы предотвратить перезапись резервных копий, и рассмотрите возможность инкрементного и / или дифференциального резервного копирования для экономии места.

  1. Я читал в другом потоке в сообществе, где кто-то сказал «сделать резервную копию папки NTDS из C: \ Windows», но я предполагаю, что в этом нет необходимости, так как она создается во время резервного копирования состояния системы - это правильно?

Ты прав. Папка NTDS (служба каталогов NT) содержит базы данных, которые по сути являются вашим доменом Active Directory. Резервная копия состояния системы должна содержать эту папку и базы данных в ней. (Конечно, не повредит проверить это на ваших резервных копиях.) Как говорится, резервные копии, не прошедшие тестирование на восстановление, на самом деле не являются резервными копиями.

Вы часто найдете совет по резервному копированию и восстановлению контроллеров домена, который сводится к «не резервировать ваш DC». К сожалению, это плохой совет. Вы должны сделать резервную копию всех своих контроллеров домена, потому что никогда не знаешь, какой из них будет поврежден.

Проблема не столько в резервном копировании контроллеров домена, сколько в их восстановлении, что является сложной частью. Перед восстановлением убедитесь, что вы сделали свою домашнюю работу!

Ответ на все ваши проблемы - инвестировать в «настоящее» централизованное решение для резервного копирования, такое как Veam, Acronis, Unitends и т. Д. Эти инструменты поддерживают AD, поддерживают периоды хранения, обеспечивают резервное копирование данных на внешний дисковый массив (или ленту). ) и предоставьте единую стеклянную панель для мониторинга состояния резервного копирования всех ваших серверов.