Dowiedz się, jak wykonać kopię zapasową usługi Active Directory, korzystając z poniższego przewodnika krok po kroku.

Dlaczego tworzenie kopii zapasowej Active Directory jest ważne?

W sieciach korzystających z Active Directory jest to krytyczna usługa, która musi działać 24 godziny na dobę, 7 dni w tygodniu.

Jeśli te serwery ulegną awarii, Twoja działalność biznesowa może zostać zakłócona lub całkowicie zatrzymana. Użytkownicy nie będą mieli dostępu do aplikacji, swoich danych i plików, które mogą sprawić, że firma będzie działać. W środowisku hybrydowym awaria serwera Active Directory może nawet zakłócić działanie usług w chmurze.

Uszkodzony kontroler domeny i wpływa na prawie wszystko w organizacji poczynając od drukarki sieciowej kończąc na serwerze pliku. Najgorsze co może się zdarzyć to brak kopii zapasowej bazy danych Active Directory. Odbudowa uszkodzonej bazy danych Active Directory może zając od kilku dni do kilku tygodni.

Przy ciągłych zagrożeniach bezpieczeństwa istnieje realna możliwość, że infrastruktura może zostać porażona, np. wirusem lub oprogramowaniem ransomware. W przypadku oprogramowania ransomware najlepszą ochroną jest zapewnienie kopii zapasowych, które będą odcięte od sieci lokalnej.

Gorąco polecam wykonanie kopii zapasowej Active Directory i rozpoczęcie od przeczytania najlepszych praktyk poniżej.

Najlepsze praktyki dotyczące tworzenia kopii zapasowych w usłudze Active Directory

1. Przywracanie usługi Active Directory z kopii zapasowej powinno być ostatnią opcją odzyskiwania.
2. Powinieneś mieć wiele kontrolerów domeny. Umożliwi to awarię pojedynczego kontrolera domeny i nadal zapewni pełne odzyskiwanie bez tworzenia kopii zapasowej.
3. Aby rozwinąć powyższe, NIE polegaj na wielu kontrolerach jako jedynym źródle odzyskiwania czy też zapewnieniu poprawnego działania infrastruktury. Powinieneś bezwzględnie nadal robić kopię zapasową Active Directory. Wszystkie kontrolery domeny mogą ulec awarii, może nastąpić uszkodzenie bazy danych, wirusy, ransomware lub inna awaria może zniszczyć wszystkie kontrolery domeny. W takiej sytuacji konieczne byłoby przywrócenie go z kopii zapasowej. Również tworzenie kopii zapasowych Active Directory jest BEZPŁATNE, więc nie ma powodu, aby tego nie robić.
4. Powinieneś włączyć Kosz usługi Active Directory, co umożliwi przywracanie usuniętych obiektów bez konieczności tworzenia kopii zapasowej.
5. Dokumentuj swoje środowisko Active Directory, zasady tworzenia kopii zapasowych i plany odzyskiwania po awarii.
6. Twórz kopie zapasowe Active Directory co najmniej raz dziennie, jeśli masz duże środowisko z dużą ilością zmian, rozważ tworzenie kopii zapasowych dwa razy dziennie.
7. Upewnij się, że masz kopię zapasową usługi Active Directory poza siedzibą firmy.
8. Utwórz kopię zapasową dwóch kontrolerów domeny w każdej domenie, z których jeden powinien pełnić rolę wzorca operacji (Operation master role).

Pełna kopia zapasowa Active Directory vs Kopia zapasowa stanu systemu

Ta sekcja pomoże Ci zrozumieć różnicę między wykonywaniem pełnej kopii zapasowej serwera a kopią zapasową stanu systemu.

Full Backup

1. Tworzy kopie zapasowe wszystkich danych serwera, w tym aplikacji i systemu operacyjnego.
2. Zawiera stan systemu.
3. Pozwala na Bare-Metal Restore – pozwala to na przywrócenie kopii na zupełnie innej maszynie. Chociaż zaleca się, aby sprzęt na który zostanie odzyskana kopia miał taką samą konfigurację sprzętową.
4. Jeśli masz dużo danych lub aplikacji innych firm zainstalowanych na kontrolerze domeny (niezalecane).Twoje kopie zapasowe będą znacznie większe.
5. Opcja pełnej kopii zapasowej najlepiej nadaje się do przywracania całego serwera na ten sam lub inny serwer. Pełne przywracanie pozwoli w łatwy sposób ponownie zainstalować system operacyjny i użyć kopii zapasowej do odzyskania.

Kopie zapasowe stanu systemu (System State Backup)

Kopia zapasowa stanu systemu obejmuje tylko składniki potrzebne do przywrócenia usługi Active Directory. Stan systemu obejmuje:

1. Sysvol z kontrolera domeny — sysvol zawiera obiekty zasad grupy, ale nadal zalecam tworzenie kopii zapasowych zasad grupy z Konsoli Group Policy Management (GPMC).
2. Baza danych Active Directory i powiązane pliki.
3. Strefy i rekordy DNS (tylko dla DNS zintegrowanego z Active Directory).
4. Rejestr systemu.
5. Baza danych rejestracji klas Com+.
6. Pliki startowe systemu.
7. Kopia zapasowa stanu systemu najlepiej nadaje się do odzyskiwania usługi Active Directory tylko na tym samym serwerze. Nie można go użyć do odzyskania uszkodzonego systemu operacyjnego serwera. Firma Microsoft nie obsługuje przywracania kopii zapasowej stanu systemu z jednego komputera na drugi komputer innej marki, modelu lub konfiguracji sprzętowej.

Zainstaluj usługę Windows Server Backup

Aby utworzyć kopię zapasową Active Directory, należy zainstalować narzędzie do tworzenia kopii zapasowych serwera Windows. Nie jest to rozwiązanie do tworzenia kopii zapasowych całego przedsiębiorstwa, ale doskonale sprawdza się w określonych przypadkach użycia, takich jak tworzenie kopii zapasowej Active Directory.

Używam go od kilku lat do tworzenia kopii zapasowych Active Directory i działa świetnie. Jest kilka rzeczy, o których należy pamiętać podczas korzystania z tego narzędzia i wskażę je w tym przewodniku.

Krok 1: Otwórz Menedżera serwera.

Krok 2: Dodaj role i funkcje.

Teraz kliknij „Dodaj role i funkcje” (Add roles and features)

Krok 3: Wybierz Kopia zapasowa systemu Windows Server.

Teraz wystarczy kilka razy kliknąć przycisk Dalej, aby przejść do strony wyboru funkcji. Wybierz „Windows Server Backup” i kliknij Dalej.

Na następnym ekranie kliknij zainstaluj (install). Po zakończeniu instalacji kliknij zamknij.

To kończy instalację narzędzia do tworzenia kopii zapasowych serwera Windows.

Następnym krokiem jest konfiguracja kopii zapasowej.

Jak wykonać kopię zapasową Active Directory (pełna kopia zapasowa serwera)

Wolę korzystać z opcji pełnej kopii zapasowej zamiast kopii stanu systemu. Ta opcja umożliwia łatwe przywracanie w przypadku uszkodzenia systemu operacyjnego lub usługi Active Directory.

Obejmuje stan systemu, dzięki czemu można wybrać przywrócenie całego serwera lub tylko stan systemu.

Kroki tworzenia kopii zapasowej tylko stanu systemu są takie same, po prostu wybierzesz niestandardowy zamiast pełnego serwera.

Oto ustawienia, które zostaną skonfigurowane dla tej kopii zapasowej:

Codzienna kopia zapasowa

1. 1 pełna kopia zapasowa, a następnie 14 przyrostowych kopii zapasowych — kopia zapasowa serwera Windows automatycznie obsługuje pełne i przyrostowe kopie zapasowe bez konieczności dodatkowej konfiguracji.
2. Miejscem docelowym kopii zapasowej będzie wolumin zamontowany jako dysk lokalny. Używam sieci SAN z replikacją do innego centrum danych do odzyskiwania po awarii.
3. Moje kontrolery domeny są wirtualne i działają w środowisku VMWare.
4. Kontrolerem domeny jest Windows Server 2016.

Krok 1: Utwórz dedykowany dysk na kopie zapasowe.

Ważne: Podczas wykonywania pełnej kopii zapasowej dysk nie może być większy niż ten, na który przywracasz. Jeśli więc serwer, którego kopię zapasową tworzysz, ma rozmiar dysku 50 GB, dysk kopii zapasowej nie może być większy niż ten. Kopie zapasowe systemu Windows są bardzo wydajne, pierwsza kopia zapasowa jest pełna, a następnie wykonuje kopie przyrostowe. Lubię, aby dysk kopii zapasowej był nieco mniejszy niż dysk, który będę tworzyć.

Krok 2: Skonfiguruj kopię zapasową systemu Windows Server.

Otwórz narzędzie do tworzenia kopii zapasowych systemu Windows Server.

Kliknij „Harmonogram kopii zapasowych” (Backup Schedule) po prawej stronie.

Kliknij Dalej na stronie Pierwsze kroki

Wybierz „Pełny serwer” (Full Server) i kliknij Dalej.

Jeśli chcesz wykonać kopię zapasową tylko stanu systemu, wybierz „Niestandardowy” (Custom).

Na powyższym zrzucie ekranu konfiguracja kopii zapasowej powie Ci, jak duży będzie rozmiar kopii zapasowej. Jeśli nie masz programów i plików innych firm na kontrolerze domeny, kopia zapasowa powinna być dość mała. Po pierwszej kopii zapasowej (pełnej), wykona przyrostową i tylko kopię zapasową zmian.

Wybierz „Ustawienia zaawansowane” (Advanced settings).

Kliknij „Ustawienia VSS” (VSS Settings), a następnie wybierz „Pełna kopia zapasowa VSS” (VSS full backup). Kliknij OK.

Jest to zalecane, jeśli do tworzenia kopii zapasowych usługi Active Directory nie używasz żadnego innego produktu do tworzenia kopii zapasowych.

Skonfiguruj harmonogram tworzenia kopii zapasowych, który najlepiej Ci odpowiada. W moim środowisku codzienną kopię zapasową skonfigurowałem o godzinie 22:00.

Jeśli masz duże środowisko z dużą ilością zmian AD, powinieneś rozważyć tworzenie kopii zapasowych dwa razy dziennie.

Na ekranie określania typu miejsca docelowego wybierz „Utwórz kopię zapasową na dysku twardym przeznaczonym do tworzenia kopii zapasowych” (Back up to a hard disk that is dedicated for backups).

NIE wybieraj „Utwórz kopię zapasową w udostępnionym folderze sieciowym” (Back up to a shared network folder), ta opcja nie obsługuje przyrostowych kopii zapasowych, za każdym razem nadpisze kopię zapasową.

Potwierdź ustawienia kopii zapasowej i kliknij Zakończ (Finish).

Konfiguracja kopii zapasowej jest zakończona, ale musimy zmienić kilka ustawień w zaplanowanym zadaniu, które zostało utworzone.

Ustawienia harmonogramu zadań

Wystarczy wpisać „Harmonogram zadań” (Task Scheduler) w pasku wyszukiwania i kliknąć na aplikację.

Przejdź do Biblioteka Harmonogramu zadań -> Microsoft -> Windows -> Kopia zapasowa (Task Scheduler Library -> Microsoft -> Windows -> Backup).

Zobaczysz zaplanowane zadanie kopii zapasowej systemu Windows.

Kliknij dwukrotnie nazwę zadania, aby je otworzyć.

Na ekranie Ogólne (General) upewnij się, że zadanie działa jako konto SYSTEM i zmień konfigurację na poprawny system operacyjny. Np. na Windows Server 2016.

Na ekranie ustawień zmień zadanie, aby przestało działać, jeśli działa dłużej niż 2 godziny. Zaznacz również to pole, aby zezwolić na uruchomienie zadania na żądanie.

Kliknij OK. To kończy zmiany zaplanowanego zadania.

Jeśli chcesz, możesz kliknąć zadanie prawym przyciskiem myszy i uruchomić je. Proces tworzenia kopii zapasowej może powodować niewielkie użycie procesora, więc może być konieczne poczekanie.

Pierwsza kopia zapasowa będzie pełną kopią zapasową. Następnych 14 kopii zapasowych będzie przyrostowych, a następnie wykona kolejną pełną kopię zapasową.

W narzędziu do tworzenia kopii zapasowych można sprawdzić stan kopii zapasowych, zajęte miejsce na dysku i wiele więcej.

Konfiguracja kopii zapasowej jest zakończona, usługa Active Directory będzie teraz tworzyć kopie zapasowe codziennie (lub zgodnie z harmonogramem, dla którego został skonfigurowany).

W następnej sekcji pokażę, jak łatwo monitorować kopie zapasowe.

Automatyzacja monitorowania kopii zapasowych AD (alerty e-mail)

W tej sekcji pokażę, jak otrzymywać powiadomienia e-mail po zakończeniu tworzenia kopii zapasowej.

Aby zautomatyzować monitorowanie kopii zapasowych, skonfigurujesz zaplanowane zadanie tak, aby uruchamiało akcję po zarejestrowaniu zdarzenia o identyfikatorze 4.

Krok 1: Skrypt PowerShell

Zaplanowane zadanie wyzwoli skrypt PowerShell po zarejestrowaniu zdarzenia o identyfikatorze 4. Skrypt wyśle wiadomość e-mail.

Skopiuj poniższy skrypt i wklej go do pliku tekstowego. Zapisz go jako , np. AD-Backup-Success.ps1

Musisz zmienić adres od, na adres i adres SMTP.

Krok 2: Skonfiguruj zaplanowane zadanie

Otwórz aplikację zaplanowanego zadania (scheduled task app), w bibliotece harmonogramu zadań (task scheduler library) utwórz nowe zadanie.

Na zakładce ogólne ustaw następujące opcje:

• Nazwa (Name):AD Backup Success Notification
• Użyj następującego konta (User account): SYSTEM
• Zaznacz opcje „Run with highest priviliges” (Uruchom z najwyższymi uprawnieniami)
• Skonfiguruj dla (Configure for): Wybierz system operacyjny z listy

Na zakładce Wyzwalacze (Triggers) kliknij nowe i ustaw następujące elementy:

Rozpocznij zadanie (Begin the task): Na imprezie
Dziennik (Log): Microsoft-Windows-Backup/Operational
Źródło (Source): Kopia zapasowa (Backup)
Identyfikator wydarzenia (Event ID): 4

Oczywiście na dole musi być zaznaczona opcja Enabled (Włączony)

Na zakładce Akcje (Actions) kliknij nowe (new) i skonfiguruj następujące elementy:

Akcja (Action): Uruchom program (Start a program)
Program/skrypt: C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe
Dodaj argumenty (Add arguments): Ścieżka do skryptu .ps1 z powiadomieniem o realizacji kopii zapasowej. Przykład C:\Scripts\AD-Backup-sucess.ps1

Kliknij OK. Konfiguracja zadania jest zakończona.

Podsumowanie

Active Directory jest jednym z najważniejszych komponentów środowiska Windows. Wygląda na to, że wszystko zależy od Active Directory lub DNS, a jeśli się zawiesi, nic nie działa poprawnie lub w ogóle.

Zdecydowanie powinieneś mieć kilka kontrolerów domeny, ale dodatkowo upewnij się, że wykonujesz również kopie zapasowe. Właśnie pokazałem Ci sposób na zrobienie backupu zupełnie ZA DARMO. W następnym wpisie pokażę, w jaki sposób odzyskać backup w przypadku problemów.

---

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).