Wednesday, October 17th, 2018

Организация защиты в Windows 2000 Active Directory (Часть 3) – Резервное копирование и восстановление

Published on Февраль 3, 2009 by   ·   Комментариев нет

В этой статье я сфокусируюсь на процессах active directory. Неотъемлемой часть обеспечения защиты вашего active directory является периодическое создание резервных копий и возможность восстановления вашего active directory в случае аварии. (Те, кто пропустил первые две части из этой серии, могут нажать здесь, чтобы получить Часть 1 или здесь, чтобы получить Часть 2).

Т.к. создание резервных копий active directory Microsoft поддерживает только один тип резервных копий, то вы можете произвести только полное резервное копирование active directory.  Инкрементальные и дифференциальные резервные копии имеют тенденцию работать неправильно, поэтому рекомендуется не использовать эти опции. AD использует расширенную базу данных Jet, которая имеет интерфейс для выполнения резервного копирования схожий с Exchange 5.5. Причина, по которой перестали поддерживать инкрементальные и дифференциальные резервные копии, заключается в том, что большинство приложений связаны с локальной, размещенной на клиенткой стороне DLL, которая имеет точки входа в ntdsbcli.h.

Что вы будете сохранять?

При выполнении резервной копии, вам необходимо заметить, что active directory имеет дело с частью данных, касающихся системного состояния.

Содержимое системного состояния такое:

  1. Загрузочные файлы, включая системные файлы и все файлы, защищаемые Windows File Protection (WFP).
  2. Active Directory (только на контроллере домена).
  3. Sysvol (только на контроллере домена).
  4. Службы сертификации (только для полномочий сертификаций).
  5. База данных кластеров (только на кластерном узел).
  6. Реестр.
  7. Информация о конфигурации Performance counter.
  8. База данных классов регистрации служб компонентов (Component Services Class registration database).

Факты резервного копирования системного состояния

  1. Вход в систему от имени администратора или оператора по выполнению резервных копий.
  2. Только контроллеры домена содержат AD в системном состоянии.
  3. Резервные копии системного состояния могут быть объединены с типичными работами по созданию резервных копий.
  4. Резервные копии системного состояния в режиме реального времени.
  5. Средства сторонних производителей должны использоваться при удаленном резервном копировании и восстановлении системного состояния. Резервное копирование Windows работает только на локальной машине!

Ограничения при создании резервной копии состояния системы.

  1. Резервное копирование и восстановление системного состояния не может быть сведено к резервному копированию или восстановлению отдельных компонентов, из-за зависимостей между компонентами системного состояния.
  2. Восстановление системного состояния может быть перенаправлено в альтернативное местоположение, в котором восстанавливается только файлы реестра, файлы директорий Sysvol, и системные загрузочные файлы (удаленное перенаправление – это неполное восстановление).
  3. База данных Active Directory, база данных службы сертификации, и база данных классов регистрации компонентов служб не восстанавливаются в альтернативное местоположение. Это означает, что если вам необходимо проверить восстановление, то вы столкнетесь с проблемами при восстановлении в лаборатории.

Где располагается Active Directory?

Active directory не располагается на одном контроллере домена, а коллективно распределена на контроллерах домена. Хорошо выполнять резервное копирование системного состояния всего набора ответственных за резервное копирование, но при этом исключив относительный ID (RID) главного контроллера домена. Результатом потери одного из контроллеров домена может стать невозможность восстановления active directory.  Это жизненно важно, чтобы никто еще не был в состоянии добавлять контроллеры домена к вашему рабочему набору контроллеров домена.

Active directory организация резервного копирования

Диаграмма выше представляет компьютер, который был выбран для создания резервной копии с использованием популярного пакета для создания резервных копий. Обратите внимание, что системное состояние доступно для выполнения резервной копии.

Создание резервной копии Active Directory

Важно, чтобы резервная копия всей active directory, также включала базовые службы и взаимосвязи. Active directory сильно связана с DNS. Если вы используете active directory с интегрированной DNS, то вам не надо выполнять детальное резервное копирование файлов зоны.

Рекомендуется, чтобы ваша резервная копия системного диска, а также системного состояния при резервном копировании системного диска, содержала данные о зонах DNS.  Создание резервной копии active directory диктует, чтобы файлы баз данных и файлы журналов располагались на различных дисках.  Примечание: вы не сможете задать эти файлы, даже если они располагаются на различных дисках, т.к. резервное копирование системного состояния  автоматически объединяет файлы в одном месте.

Внимание!
Если последняя имеющаяся у вас резервная копия старше, чем время жизни, установленное в Active Directory, ваша резервная копия считается неэффективной. Поэтому рекомендуется сделать как минимум две резервные копии в период установленного времени жизни; это значит, что каждые 29 дней необходимо делать резервную копию, т.к. время жизни составляет 60 дней. Но не стоит следовать этому методу, я настоятельно рекомендую создавать резервную копию вашей active directory как минимум раз в неделю.

Ниже представлены файлы Active Directory.

  1. ntds.dit (файл базы данных.)
  2. edb.chk (файл контрольной точки.)
  3. edb*.log (файл журнала транзакций.)
  4. res1.logres2.log (Зарезервированные файлы журнала транзакций).

Для того, чтобы создать резервную копию вашей active directory…

1. нажмите на Start, затем Run, затем наберите ntbackup и нажмите Ok.

Active directory организация резервного копирования

2.   Появится интерфейсное окно утилиты ntbackup; нажмите на Tools, затем нажмите Backup wizard, затем нажмите Next.

Active directory организация резервного копирования

3. Выберите Only back up the system state.

Active directory организация резервного копирования

4. Выберите местоположение, куда вы хотите поместить резервную копию вашего системного состояния. Если вы выполняете резервную копию на жесткий диск, убедитесь, что диск отформатирован в формате NTFS.

Active directory организация резервного копирования

5. Проверьте ваши настройки и нажмите Finish.   Если вы хотите настроить запуск по расписанию, сжатие данных, метки, проверку данных или выполнить различную работу, вы можете сделать это щелкнув на кнопке advanced на этом экране. Проверку данных можно просмотреть в окне событий.

Службы директорий

Службы директорий – это механизм, который использует AD, для того чтобы  отследить и классифицировать ресурсы, существующие в распределенной системе. Служба директорий должна рассматриваться в рамках вашей всеобщей стратегии резервного копирования и восстановления AD. Информация службы директорий может быть скопирована на другие контроллеры домена в подобном окружении домена. Жизненно важно, чтобы резервное копирование выполнялось в соответствии с планом. Все изменения, обнаруженные в процессе резервного копирования, хранятся во временном журнале, и добавляются в конец набора резервной копии, после окончания процесса резервного копирования.

Резюме

Windows 2000 сохраняет всю информацию о своей безопасности, содержащейся в Active Directory. Эта статья описала процесс, необходимый для создания резервной копии active directory, гарантируя при этом ее безопасность.

Источник www.windowsecurity.com



Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]