Защита Windows 2000 Active Directory (часть 3) — резервное копирование и восстановление

Опубликовано: 14 Апреля, 2023

В этой статье я сосредоточусь на процессе Active Directory. В рамках защиты вашего активного каталога вам необходимо убедиться, что в качестве плана на случай непредвиденных обстоятельств вы сможете восстановить свой активный каталог в случае аварии. (Те, кто пропустил первые две статьи этой серии, могут щелкнуть здесь, чтобы перейти к части 1, и здесь, чтобы перейти к части 2).

При резервном копировании активного каталога Microsoft поддерживает только один тип резервного копирования, вы можете выполнить полное резервное копирование только активного каталога. Инкрементные и дифференциальные резервные копии, как правило, работают некорректно в Active Directory. Рекомендуется не использовать эти параметры. AD использует расширенную базу данных Jet, которая экспортирует интерфейс резервного копирования, аналогичный Exchange 5.5. Причина отказа от поддержки инкрементных и дифференциальных резервных копий заключается в том, что большинство приложений резервного копирования привязываются к локальной клиентской библиотеке DLL, точки входа которой определены в ntdsbcli.h.

Что вы будете резервировать?

При резервном копировании активного каталога необходимо учитывать, что активный каталог будет обрабатываться как часть данных состояния системы.

Содержание состояния системы следующее.

  1. Загрузочные файлы, включая системные файлы и все файлы, защищенные с помощью Windows File Protection (WFP).
  2. Active Directory (только на контроллере домена).
  3. Sysvol (только на контроллере домена).
  4. Службы сертификации (только в центре сертификации).
  5. База данных кластера (только на узле кластера).
  6. Реестр.
  7. Информация о конфигурации счетчиков производительности.
  8. База данных регистрации класса служб компонентов.

Факты о резервных копиях состояния системы

  1. Войдите в систему как администратор или резервный оператор.
  2. Только контроллеры домена содержат AD в системном состоянии.
  3. Резервные копии состояния системы могут быть включены в типичные задания резервного копирования.
  4. Резервные копии состояния системы находятся в сети.
  5. При удаленном резервном копировании и восстановлении состояния системы следует использовать сторонние инструменты. Резервное копирование Windows будет работать только на локальной машине!

Ограничения резервного копирования состояния системы.

  1. Резервное копирование и восстановление системного хранилища нельзя настроить на резервное копирование или восстановление отдельных компонентов из-за зависимости между компонентами состояния системы.
  2. Восстановление данных о состоянии системы может быть перенаправлено в альтернативные расположения, в которых восстанавливаются только файлы реестра, файлы каталога Sysvol и файлы загрузки системы (удаленное перенаправление не является полным восстановлением).
  3. База данных Active Directory, база данных служб сертификации и база данных регистрации классов служб компонентов не восстанавливаются в альтернативное расположение. Это означает, что если вам нужно протестировать восстановление, вы столкнетесь с проблемами при восстановлении в тестовой среде.

Где активная директория?

Active Directory находится не на каком-то одном контроллере домена, а на всех контроллерах домена. При резервном копировании Active Directory рекомендуется создавать резервную копию состояния системы всей группы соответствующих контроллеров домена, но исключая главный контроллер домена с относительным идентификатором (RID). Отсутствие одного из контроллеров домена может привести к тому, что вы не сможете восстановить активный каталог. Крайне важно, чтобы никто другой не мог добавить контроллеры домена в вашу рабочую группу контроллеров домена.

На приведенной выше диаграмме показан компьютер, для которого было выбрано резервное копирование с использованием популярного пакета резервного копирования. Обратите внимание, что состояние системы доступно для резервного копирования.

Резервное копирование Active Directory

Важно сделать резервную копию всего активного каталога, а также базовых служб и зависимостей. Active Directory сильно зависит от DNS. Если вы используете DNS, интегрированный с Active Directory, вам не нужно явно создавать резервные копии файлов зоны.

Рекомендуется сделать резервную копию системного диска, а также состояния системы, поскольку резервное копирование системного диска будет включать данные зоны DNS. Резервное копирование активного каталога может оказаться очень разноплановым, поскольку в соответствии с хорошей практикой файлы базы данных и файлы журналов следует размещать на отдельных дисках. Примечание. Вам не нужно будет указывать, где находятся эти файлы, даже если они находятся на разных дисках, поскольку при резервном копировании состояния системы файлы автоматически объединяются в одно место для целей резервного копирования.

Предупреждение!
Если последняя имеющаяся у вас резервная копия старше срока жизни захоронения, установленного в Active Directory, ваша резервная копия считается неэффективной. Рекомендуется выполнить не менее двух резервных копий в течение времени существования захоронения; это означает, что каждые 29 дней следует делать резервную копию, поскольку срок жизни захоронения составляет 60 дней. Если не следовать этому методу, вы обнаружите несогласованность в вашем активном каталоге. Я настоятельно рекомендую, чтобы еженедельное резервное копирование было абсолютным минимальным рассматриваемым горизонтом резервного копирования.

Ниже приведены файлы, которые дополняют Active Directory.

  1. ntds.dit (файл базы данных).
  2. edb.chk (файл контрольной точки.)
  3. edb*.log (файлы журнала транзакций.)
  4. res1.log и res2.log (зарезервированные файлы журнала транзакций).

чтобы начать резервное копирование вашего активного каталога…

1. нажмите «Пуск», затем нажмите «Выполнить», затем введите ntbackup и нажмите «ОК».

2. Вам должна быть представлена утилита ntbackup; нажмите «Инструменты», затем нажмите «Мастер резервного копирования», затем нажмите «Далее».

3. Выберите только резервное копирование состояния системы.

4. Выберите место, куда вы хотите сделать резервную копию состояния вашей системы. Если вы делаете резервную копию на жесткий диск, убедитесь, что диск отформатирован в NTFS.

5. Проверьте настройки и нажмите Готово. Если вы хотите настроить планирование, аппаратное сжатие, метки мультимедиа, проверку данных или добавить их к другому заданию, вы можете сделать это, нажав кнопку «Дополнительно» на этом экране. Верификацию данных можно просмотреть в средстве просмотра событий.

Служба каталогов

Служба каталогов — это механизм, который AD использует для отслеживания и классификации пользователей и ресурсов, существующих в распределенной системе. Службу каталогов следует рассматривать в рамках общей стратегии резервного копирования и восстановления AD. Информация службы каталогов может быть реплицирована на другие контроллеры домена в той же доменной среде. Крайне важно, чтобы перед попыткой восстановления был разработан план восстановления. Все изменения, обнаруженные во время резервного копирования, сохраняются во временном журнале и добавляются в конец набора резервных копий после завершения резервного копирования.

Резюме

Windows 2000 хранит всю свою информацию о безопасности в Active Directory. В этой статье описан процесс, который необходимо выполнить для резервного копирования активного каталога, чтобы обеспечить его безопасность.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023