Ebben a cikkben az Active Directory tartományvezérlők biztonsági mentése funkcióiról beszélünk, megtudhatja, hogyan állíthat be automatikus AD-mentést a PowerShell és a beépített Windows Server eszközök használatával..
Tartalom:
- Biztonsági másolatot kell készítenem az Active Directory-ról?
- Hogyan ellenőrizhető az Active Directory tartományvezérlő utolsó biztonsági másolatának dátuma?
- Az AD tartományvezérlő biztonsági mentése a Windows Server Backup használatával
- Az Active Directory biztonsági mentése a PowerShell segítségével
Biztonsági másolatot kell készítenem az Active Directory-ról?
Többször is hallottam az adminisztrátoroktól, akik ismerik azt az elgondolást, hogy ha több (5, 10 stb.) Földrajzilag szétszórt Active Directory tartományvezérlővel rendelkezik, akkor nem kell biztonsági másolatot készíteni az AD-ről, mert több DC-ben már biztosított nagyfokú rugalmasságot. Valójában egy ilyen rendszerben az összes DC egyidejű hibájának valószínűsége 0-ra növekszik, és ha egy tartományvezérlő esik, akkor gyorsabb új DC telepítése a helyszínre, és a régi eltávolítása az ntdsutil használatával..
A gyakorlatban azonban különböző forgatókönyvekkel találkoztam, amikor az összes tartományvezérlő megsérült: egy esetben az összes tartományvezérlőt (különböző városokban több mint 20 volt) titkosították, mivel a titkosító a mimikatz segédprogram segítségével elfogta a domain jelszót. a sémákat lásd: „A Windows védelme a mimikatz ellen” és „A privilegizált rendszergazdai csoportok védelme” cikkekben), egy másik esetben a tartomány a sérült NTDS.DIT fájl replikációját helyezi el.
Általában lehetséges és szükséges a tartalék AD. Legalább rendszeresen biztonsági másolatot kell készítenie a kulcsfontosságú tartományvezérlőkről, az FSMO (Flexible single-master műveletek) szereptulajdonosokról. Az FSMO szerepekkel rendelkező tartományvezérlők listáját a következő paranccsal kaphatja:
netdom query fsmo
Hogyan ellenőrizhető az Active Directory tartományvezérlő utolsó biztonsági másolatának dátuma?
Ellenőrizheti, hogy a repadmin segédprogrammal készült-e biztonsági másolat az aktuális Active Directory tartományvezérlőről:
repadmin / showbackup
Ebben a példában látható, hogy a DC és az AD partíciók legutóbbi biztonsági mentése 2017-02-18 18:01:32 volt (valószínűleg ezt nem tették meg a tartományvezérlő telepítése óta)..
A tartomány összes DC-jének biztonsági mentési állapotát a következő paranccsal kaphatja meg:
repadmin / showbackup *
Az AD tartományvezérlő biztonsági mentése a Windows Server Backup használatával
Ha nincs speciális biztonsági mentési szoftver, akkor a beépített Windows Server Backup segítségével biztonsági másolatot készíthet (ez az összetevő az NTBackup helyébe lépett). Beállíthat automatikus biztonsági mentési feladatokat a Windows Server Backup GUI-ban, de ennek vannak bizonyos korlátozásai. A fő hátrány az, hogy egy új szerver biztonsági másolat mindig felülírja a régit..
Amikor biztonsági másolatot készít egy tartományvezérlőről a WSB-n keresztül, biztonsági másolatot készít A rendszer állapota (A rendszer állapota). A rendszerállapot magában foglalja az Active Directory alapot (NTDS.DIT), GPO-kat, a SYSVOL könyvtár tartalmát, a nyilvántartást, az IIS metaadatokat, az AD CS adatbázist, valamint más rendszerfájlokat és erőforrásokat. Biztonsági másolat készül a VSS árnyékmásolati szolgáltatáson keresztül.
A Windows Server Backup összetevő telepítése a PowerShell parancsmag segítségével, a Get-WindowsFeature használatával ellenőrizhető:
Get-WindowsFeature Windows-Server-Backup
Ha a WSB összetevő hiányzik, telepítheti a PowerShell használatával:
Add-Windowsfeature Windows-Server-Backup -Includeallsubfeature
Vagy telepítse a Kiszolgálókezelőből -> Szolgáltatások.
Az AD tartományvezérlő biztonsági másolatát egy külön dedikált szerver hálózati mappájába mentem a biztonsági mentés céljából. Például a könyvtár elérési útja \\ srvbak1 \ backup \ dc01. Konfigurálja az NTFS engedélyeket ezen a mappán: csak az adott könyvtár számára adjon meg olvasási-írási engedélyeket ehhez a könyvtárhoz Domain adminok és Tartományvezérlők.
Az Active Directory biztonsági mentése a PowerShell segítségével
Próbáljunk biztonsági másolatot készíteni egy tartományvezérlőről a PowerShell használatával. Az AD másolatok több szintjének tárolására minden egyes biztonsági másolatot külön könyvtárban tárolunk azzal a dátummal, amikor a másolat létrehozásának dátuma volt a mappa neve.
Import-Module ServerManager
[string] $ date = get-date -f 'éééé-hh-nap'
$ path = ”\\ srvbak1 \ backup \ dc1 \”
$ TargetUNC = $ elérési út + $ dátum
$ TestTargetUNC = Test-Path -Path $ TargetUNC
if (! ($ TestTargetUNC))
Új elem -Path $ TargetUNC -ItemType könyvtár
$ WBadmin_cmd = "wbadmin.exe Mentés indítása -backupTarget: $ TargetUNC -systemState -noverify -vssCopy -quiet"
Invoke-Expression $ WBadmin_cmd
Futtassa ezt a szkriptet. A wbadmin konzolnak megjelennie kell a lemez biztonsági másolatának (árnyék) másolatának létrehozására vonatkozó információkkal:
A \\ srvbak1 \ backup \ dc1 \ 2019-10-10 fájlba mentési művelet megkezdődik. A biztonsági másolathoz megadott kötetek árnyékmásolatának létrehozása ...
Részletes hiba: A fájlnév, a könyvtár neve vagy a kötetcímke szintaxisa helytelen. A rendszerállapot biztonsági mentése nem sikerült [2019.10.10. 8:31].
Megnyitottam a WSB hibanaplót - C: \ Windows \ Logs \ WindowsServerBackup \ Backup_Error-10-10-2019_08-30-24.log.
A fájl egy hibát tartalmaz:
Hiba a C: \ windows \\ systemroot \ biztonsági mentésében a felsorolás során: Hiba [0x8007007b] A fájlnév, a könyvtár neve vagy a kötetcímke szintaxisa helytelen.
Ami a jövőt illeti, azt mondom, hogy a probléma a VMWware Tools egyik illesztőprogramjában a rossz utat mutatta.
A hiba kijavításához nyisson meg egy parancssort rendszergazdai jogosultságokkal, és futtassa:
DiskShadow / L írók.txt
listaírók részletesen
A lista létrehozása után írja be a quit parancsot, és nyissa meg a „C: \ Windows \ System32 \ writers.txt” fájlt. Találjon benne egy sort, amely a következőt tartalmazza:Windows \\".
Az én esetemben a megtalált karakterlánc így néz ki:
Fájllista: elérési út = c: \ windows \\ systemroot \ system32 \ illesztőprogramok, Filespec = vsock.sys
Mint láthatja, a VSOCK.SYS illesztőprogram helytelen elérési útját használja.
Az út javításához nyissa meg a beállításjegyzék-szerkesztőt, és lépjen a szakaszba HKLM \ SYSTEM \ CurrentControlSet \ Services \ vsock.
Az ImagePath értékét módosítsa a gombbal\ systemroot \ system32 \ DRIVERS \ vsock.sys
továbbSystem32 \ DRIVERS \ vsock.sys
Futtassa újra a biztonsági mentési szkriptet.
Ha a biztonsági mentés sikeres volt, a következő üzenetek jelennek meg a naplóban:
A biztonsági mentési művelet sikeresen befejeződött. A kötet (C :) biztonsági mentése sikeresen befejeződött. A rendszer állapotának biztonsági mentése sikeresen befejeződött [2019.10.10. 9:52].
Ellenőrizze a legutóbbi biztonsági mentés dátumait a DC-n:
repadmin / showbackup
Most itt jelezzük, hogy a tartományvezérlő utolsó biztonsági másolatát készítették ma.
A tartalék kiszolgálón a tartományvezérlő biztonsági másolatát tartalmazó könyvtár mérete körülbelül 9 GB. Alapvetően a kimenet egy vhdx fájl, amelyet felhasználhat az operációs rendszer visszaállításához a WSB-n keresztül, vagy manuálisan csatolhatja a vhdx fájlt, és másolja be a szükséges fájlokat vagy mappákat.
$ WBadmin_cmd = "wbadmin biztonsági másolat indítása -backuptarget: $ elérési út -include: C: \ Windows \ NTDS \ ntds.dit -quiet"
Invoke-Expression $ WBadmin_cmd
Az ilyen biztonsági másolat mérete csak 50-500 MB lesz, az AD-bázis méretétől függően.
Az automatikus biztonsági mentéshez létre kell hoznia a c: \ ps \ backup_ad.ps1 parancsfájlt a DC-n. Ezt a szkriptet a Feladatütemezőn keresztül kell ütemezni. Az ütemező feladatot a GUI-ból vagy a PowerShell-ből hozhat létre. A fő követelmény, hogy a feladatot a SYSTEM nevében kell futtatni, a Futtatás a legmagasabb jogosultságokkal opcióval engedélyezve. Az AD tartományvezérlő napi biztonsági másolatához hozza létre a következő feladatot:
$ Trigger = New-ScheduledTaskTrigger - 01:00 -ig
$ Felhasználó = "NT HATÓSÁG \ RENDSZER"
$ Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "c: \ ps \ backup_ad.ps1"
Regisztrálás-Ütemezett Feladat -TaskName "StartupScript_PS" -Trigger $ Trigger -User $ Felhasználó -Action $ Akció -RunLevel Legmagasabb -Force
Tehát felállítottuk az AD állapot biztonsági mentését, és a következő cikkben arról beszélünk, hogyan lehet az AD helyreállítása egy tartományvezérlő meglévő biztonsági másolatából.
