Backup active directory (full and incremental backup)

Рекомендации по защите active directory: часть 1. бэкап контроллера домена

Введение

В средних и крупных компаниях для управления инфраструктурой корпоративной сети принято использовать доменные службы с одним или несколькими контроллерами домена Active Directory, которые формируют сайты и леса. Доменные службы, о которых пойдет речь в этой статье, позволяют проверять подлинность пользователей и клиентских компьютеров, централизованно управлять инфраструктурными единицами предприятия при помощи групповых политик, предоставлять доступ к общим ресурсам и многое другое. Структура идентификации и доступа корпоративных сетей Active Directory включает в себя пять технологий:

  • Доменные службы Active Directory (Active Directory Domain Services — AD DS);
  • Службы сертификации Active Directory (Active Directory Certificate Services — AD CS);
  • Службы управления правами Active Directory (Active Directory Rights Management Services — AD RDS);
  • Службы федерации Active Directory (Active Directory Federation Services — AD FS);
  • Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services — AD LDS).

Основной технологией Active Directory считаются доменные службы (AD DS). Именно при помощи данной службы вы можете развернуть контроллер домена, без которой в основных службах просто нет необходимости. Серверную роль доменных служб Active Directory можно устанавливать как при помощи графического интерфейса, так и средствами командной строки в полной редакции Windows Server 2008/2008 R2, а также в редакциях ядра сервера Windows Server 2008/2008 R2 средствами командной строки. В этой статье речь пойдет именно об установке роли AD DS при помощи командной строки (как в полной версии, так и в режиме ядра доменные службы Active Directory средствами командной строки устанавливаются одинаково). Но перед командами установки данной роли рекомендую ознакомиться с некоторыми терминами, которые используются в данной технологии:

Контроллер домена. Контроллером домена называется сервер, выполняющий роль доменных служб, или служб каталогов, как называлось ранее, на нем также располагается хранилище данных каталогов и протокол распределения ключей Kerberos (Kerberos Key Distribution Center — KDC). Этот протокол обеспечивает проверку подлинности объектов идентификации в домене Active Directory.

Домен. Домен – это административная единица, внутри которой расположены компьютеры, группы безопасности и пользователи одной сети, управляемые контроллером домена, использующие единые определенные возможности. Контроллер домена реплицирует раздел хранилища данных, который содержит данные идентификации пользователей, групп и компьютеров домена. Причем, учетные записи пользователей и компьютеров расположены не локально на клиентских компьютерах, а на контроллере домена, то есть используется сетевой вход в системы на всех рабочих местах. Помимо этого, домен является областью действия административных политик разного характера.

Лес. Совокупность доменов, использующих единую схему каталога, называется лесом доменов. По сути, лес представляет собой самую внешнюю границу службы каталогов, где первый установленный домен называется корневым. Внутри каждого леса используется общая структура каталогов и настройка службы каталогов. Лес содержит единственное описание сетевой конфигурации и один экземпляр каталога схемы. Лес может состоять из одного или нескольких доменов. Внутри леса домены связываются между собой отношениями «родитель-потомок». При этом имя дочернего домена обязательно включает в себя имя родительского домена.

Дерево. Внутри леса домена, пространство доменных имен содержит деревья леса. Домены интерпретируются как деревья в том случае, если один домен является дочерним для другого. Это означает, что имя корневого домена дерева и всех его дочерних доменов не должно обязательно содержать полное имя родительского домена. Лес может содержать одно или несколько деревьев доменов.

Сайт. Сайтом называется такой объект Active Directory, как контейнер, предоставляющий часть предприятия с хорошей сетевой коммуникацией. Сайты обычно используются предприятиями, у которых филиалы разбросаны по всей стране или по разным странам и даже континентам. Сайт создает периметр репликации и использования служб Active Directory. Основные задачи сайтов – управление трафиком репликации и локализации служб. Репликацией называется перенос изменений с одного контроллера домена на другой, а локализация служб позволяет пользователям проходить проверку подлинности на любом контроллере домена во всем сайте.

Первоначальная настройка

После создания леса и домена, а также после добавления одного или нескольких контроллером домена я обычно, как минимум делаю две вещи:

1. Конфигурирую зону (или зоны) обратного просмотра в DNS.

2. Конфигурирую привязки подсетей в настройках топологии сайтов Active Directory.

Настройка DNS зоны обратного просмотра

Зона обратного просмотра необходима для того, чтобы можно было найти имя компьютера по его IP-адресу.

Для настойки зоны обратного просмотра необходимо:

1. Запустить оснастку управления DNS.

2. В контекстном меню узла “Reverse Lookup Zone” выбрать пункт “New zone”.

3. На странице приветствия мастера настройки зоны обратного просмотра нажмите “Next”.

4. На странице выбора типа зоны выберите основной тип зоны (Primary zone) и укажите, что необходимо хранить зону в Active Directory (Store the zone in Active Directory). Нажмите “Next”.

5. Теперь укажем область репликации зоны. Мы будем реплицировать зону на все контроллеры домена в пределах нашего домена. Нажмите “Next”.

6. Мы будем создавать зону обратного просмотра только для протокола IPv4. Нажмите “Next“.

7. Один из ключевых шагов – правильно указать ID вашей подсети. Например, в моем случае базовый адрес сети следующий – 10.10.10.0/24. На соответствующей странице мастера мы указываем адрес сети в прямой последовательности, как показано ниже. Мастер автоматически преобразуем этот адрес в адрес зоны обратного просмотра. Нажмите “Next:.

8. На странице настройки динамического обновления нажмите “Next”.

9. На последней странице мастера нажмите “Finish”.

Привязка подсетей в настройках сайтов Active Directory

Для того, чтобы компьютер или сервер мог определить к какому сайту Active Directory он принадлежит необходимо выполнить настройки подсетей в соответствующей оснастке.

Настройка подсетей – важный шаг, если у вас географически распределенная инфраструктура. При неверном сопоставлении IP-подсетей и сайтов (или отсутствии сопоставления) компьютеры и серверы могут бегать, например, за данными через весь континент, вместо того, что отправить запрос серверу в соседнем кабинете.

С тем, что такой сайты Active Directory можно ознакомиться в документации Microsoft.

Настроим привязку нашей подсети 10.10.10.0/24 к нашему единственному сайту Active Directory:

1. Запустим оснастку “Active Directory Sites and Services”.

2. В контекстном меню узла “Subnets” выберите пункт “New Subnet…”.

3. В появившемся диалоговом окне в поле “Prefix” укажите базовый адрес сети (в нашем случае 10.10.10.0/24) и выберите в какому сайту Active Directory необходимо привязать подсеть (в нашем случае всего один сайт). Нажмите “ОК”.

4. В свойствах конкретного сайта вы можете посмотреть список IP-подсетей, которые к нему привязаны:

Scheduling an Automatic Active Directory Backup

Taking manual Active Directory backup is not ideal for operations. A truly efficient way to back up the Active Directory server and files is to schedule a regular interval. Performing regular backups is critical to ensure that your data is safe.

Using the built-in backup scheduling feature of the Windows Server Backup console, you can automate the backup process for Active Directory and ensure that your data is backed up regularly and efficiently without requiring manual intervention.

Here’s how you can schedule an automatic Active Directory backup:

  1. Open the Windows Server Backup console and click “Backup Schedule” in the right pane.
  2. Choose “Custom” backup configuration.
  3. Select the items you want to back up, such as system state or bare metal recovery.
  4. In the “Specify Backup Time” section, choose the frequency and time of the backup. In this example, I’ll select “Once a day” every “midnight”. Click Next.
  5. Select the backup destination type and click Next. The options are:
    • Backup to a hard disk that is dedicated for backups (recommended) — Choosing this option will format the hard disk to make it dedicated for backup use only.
    • Back up to a volume — Target a volume not dedicated to backups only.
    • Back up to a shared network folder — The UNC path of a shared folder. This option will delete and overwrite the previous backup with the new one.In this example, we’ll choose to back up to a volume.
  6. Add the backup volume and click Next.
  7. Review the backup settings and click Finish to save the backup schedule.
  8. The backup schedule is not created. Click Close.

That’s it! The daily backup is now scheduled.

Система архивации данных Windows Server Windows Server Backup

Cистема архивации данных Windows Server не устанавливается по умолчанию. Windows Server Backup is not installed by default. В Windows Server 2016 и Windows Server 2012 R2 установите его, выполнив следующие действия. In Windows Server 2016 and Windows Server 2012 R2, install it by following the steps below.

Имейте в виду, что действия могут незначительно отличаться в Windows Server 2016 и Windows Server 2012 R2. Please be aware that the steps may vary slightly between Windows Server 2016 and Windows Server 2012 R2.

Инструкции по установке в Windows Server 2008 и Windows Server 2008 R2 см. в разделе установка Cистема архивации данных Windows Server. For steps to install it in Windows Server 2008 and Windows Server 2008 R2, see Installing Windows Server Backup.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя:
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и  отобразит структуру контейнеров (OU) данного домена Active Directory.

Одним из основных инструментов управления доменами Active Directory является оснастка «Active Directory — пользователи и компьютеры» Active Directory (ADUC).

Адаптер ADUC используется для выполнения типичных задач администрирования домена и управления пользователями, группами, компьютерами и организационными подразделениями в домене Active Directory.

По умолчанию консоль Active Directory — пользователи и компьютеры (dsa.msc) установлена на сервере, когда она продвигается на контроллер домена во время выполнения  роли доменных служб Active Directory (AD DS).

Чтобы использовать оснастку ADUC в Windows 10, сначала необходимо установить Microsoft Remote Server Administration Tools (RSAT).

RSAT включает в себя различные инструменты командной строки, модули PowerShell и оснастки для удаленного управления серверами Windows, Active Directory и другими ролями и функциями Windows, которые работают на серверах Windows.

Как установить Active Directory — пользователи и компьютеры на Windows 10?

По умолчанию RSAT не установлен в Windows 10 (и других настольных операционных системах Windows).

Средства удаленного администрирования сервера (RSAT) позволяют ИТ-администраторам удаленно управлять ролями и компонентами в Windows Server 2016, 2012 R2, 2012, 2008 R2 с рабочих станций пользователей под управлением Windows 10, 8.1, 8 и Windows 7.

RSAT напоминает средства администрирования Windows Server 2003 Pack (adminpak.msi), который был установлен на клиентах под управлением Windows 2000 или Windows XP и использовался для удаленного управления сервером. RSAT не может быть установлен на компьютерах с домашними выпусками Windows.

Чтобы установить RSAT, у вас должна быть профессиональная или корпоративная версия Windows 10.

Совет. Как вы можете видеть, пакет RSAT доступен для последней версии Windows 10 1803.

WindowsTH-RSAT_WS_1709 и WindowsTH-RSAT_WS_1803 используются для управления Windows Server 2016 1709 и 1803 соответственно.

Если вы используете предыдущую версию Windows Server 2016 или Windows Server 2012 R2 / 2012/2008 R2, вам необходимо использовать пакет WindowsTH-RSAT_WS2016.

Выберите язык вашей версии Windows 10 и нажмите кнопку «Download».

В зависимости от битности вашей ОС выберите нужный файл * .msu:

  • Для Windows 10 x86 — загрузите WindowsTH-RSAT_WS2016-x86.msu (69.5 MB);
  • Для Windows 10 x64 — загрузите WindowsTH-RSAT_WS2016-x64.msu (92.3 MB);

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

wusa.exe c:InstallWindowsTH-RSAT_WS2016-x64.msu /quiet /norestart

После завершения установки RSAT вам необходимо перезагрузить компьютер.

Бэкап виртуального контроллера домена

Сервисы Microsoft Active Directory организуют и хранят информацию об отдельных документах леса доменов в реляционной базе (ntds.dit), которая находится на контроллере домена. Раньше бэкап контроллера домена было очень утомительным процессом, поскольку включало бэкап состояния системы (system state) сервера. Хорошо известно, что сервисы Active Directory потребляют малую часть ресурсов системы, поэтому контроллеры домена обычно становятся первыми кандидатами для виртуализации. Если вы по-прежнему придерживаетесь той точки зрения, что они должны быть только физическими, прочитайте эту статью.

Будучи виртуализованными, они легко управляются администратором домена или системным администратором и защищены бэкапом Veeam Backup & Replication. Перед тем, как я перейду к деталям, вам нужно установить и настроить Veeam Backup & Replication.

Системные требования (для версии 9.0):

Виртуальная платформа: Гипервизоры VMware vSphere 4.1 и выше; Microsoft Hyper-V 2008 R2 SP1 и выше

Сервер Veeam: Windows Server 2008 SP2 и выше; Windows 7 SP1 и выше, 64-разрядная ОС

Виртуальная машина (ВМ) контроллера домена: Windows Server 2003 SP1 и выше, минимальный поддерживаемый функциональный уровень леса — Windows 2003

Права доступа: Права администратора Active Directory. Учетная запись администратора предприятия или домена.

В этой статье я не буду касаться процесса установки и настройки Veeam Backup & Replication, поскольку эта тема уже неоднократно освещалась. Если вам нужна помощь в этом вопросе, посмотрите видео, подготовленное системным инженером Veeam.

Предположим, что все настроено и готово к работе. Теперь нужно создать задание бэкапа контроллера домена. Процесс настройки довольно прост (рис. 1):

  1. Запустите мастер создания задания бэкапа
  2. Выберите нужный контроллер домена
  3. Определите политику хранения для цепочки резервных копий
  4. Не забудьте включить функцию обработки данных с учетом состояния приложений (AAIP) для обеспечения согласованности на уровне транзакций для ОС и приложений, работающих на ВМ, в том числе базы данных Active Directory и каталога SYSVOL

Примечание: AAIP — технология Veeam, которая обеспечивает бэкапа ВМ с учетом состояния приложений. Она выполняет поиск приложений гостевой ОС, сбор их метаданных, «заморозку» с помощью соответствующих механизмов (Microsoft VSS Writers), подготовку процедуры восстановления с использованием VSS для приложений, которая будет выполнена при первом запуске восстановленной ВМ, и усечение журналов транзакций приложений в случае успешного завершения бэкапа. Подробную информацию можно найти в .

Если функция AAIP не будет включена, гостевая ОС контроллера домена не поймет, что был выполнен ее бэкап и обеспечена защита. Поэтому через некоторое время вы можете обнаружить внутреннее предупреждение в журналах сервера: событие 2089 — «бэкап не выполнялся в течение интервала задержки архивации» (“backup latency interval”).

Рис. 1. Редактирование задания бэкапа: обработка файлов гостевых ОС 

  1. Запланируйте время выполнения задания или запустите его вручную
  2. Убедитесь, что задание успешно выполнено без ошибок и предупреждений

Рис. 2. Инкрементный бэкап

  1. Найдите вновь созданный файл резервной копии в репозитории — готово!

Резервную копию можно дополнительно сохранить в облако с помощью поставщика услуг Veeam Cloud Connect (VCC). Также ее можно перенести в другой репозиторий резервных копий, используя задания архивирования резервных копий или функционал архивирования на магнитную ленту. Самое главное, что теперь резервная копия хранится в надежном месте, и из нее в любой момент можно восстановить нужные данные.

Повышение сервера до контроллера домена

После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:

* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.

В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:

В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:

В окне Параметры DNS нажимаем Далее.

В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:

В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.

Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.

Исключить проблему регистрации не удалось

Если сам участник домена устанавливается или проблема сети, она не будет зарегистрирована в DNS-сервере.

Если хост компьютера участника правильно зарегистрирован в IP-долларе в DNS-сервере, вы можете запускать IPConfig / Registerdns на этом компьютере для вручную зарегистрироваться. После завершения, DNS-сервер проверяет, есть ли правильная запись, такая как Server1.contoso.com, IP-адрес 192.168.100.13, настаивает на том, есть ли область Contoso.com, соответствующими записи и IP.

Если контроллер домена не регистрирует роль на DNS-сервере, она не является папкой и записью _tcp, перезапустите сервис NetLogon на сервере.

Создайте больше контроллеров домена

Если в домене есть несколько контроллеров домена, вы можете иметь следующие преимущества.

  • Улучшите эффективность входа пользователя: Если есть несколько контроллеров домена для предоставления услугам клиентам, вы можете поделиться бремя на пользователях входа в идентификацию (учетную запись и пароль), чтобы эффективность входа в систему пользователя лучше.
  • Беда: если есть контроллер домена, не удается, могут быть другие обычные контроллеры домена, чтобы продолжить предоставление доменных серверов.
  • Его можно настроить, чтобы быть избыточным, одним из которых не нужно переключаться, по-прежнему поддерживать обычный сервис.

1. Сначала измените имя, измените IP, настройте DNS, чтобы указать на первый контроллер области: 192.168.100.11 после подтверждения пропускания Ping.

2. Во второй серверной системе откройте свойства компьютера, измените компьютер с именем DC2, присоединяйтесь к домену как Contoso.com, DNS Suffix — Contoso.com, как показано на рисунке; ​​затем всплывает учетные данные авторизации домена в контроле домена в управлении доменом Домен контролирует номер учетной записи и пароль устройства и определяет, затем перезагрузите, завершение домена. Обратитесь к рисунке ниже:

3. Установите службу домена Active Directory и роли DNS-сервера в соответствии с первым контроллером домена.

4. В теге конфигурации развертывания «Мастер конфигурации домена Active Directory» выберите увеличение контроллеров домена к существующему домену, заполните доменное имя contoso.com, предоставьте это действие ABC \ Administrator (пароль учетной записи администратора домена как учетные данные) Далее обратитесь к ссылке.

5. В вкладке «Опция« Контроллер домена »мастера конфигурации доменных служб Active Directory имеет флажок« Глобальный каталог GC », выберите имя сайта Contoso (сайт домена требуется, чтобы запросить выбор), введите пароль восстановления DSRM (пароль новый Настройки), затем выберите следующий шаг, обратитесь к рисунку.

6. Вкладка «Опция DNS» Мастер конфигурации доменных служб Active Directory на вкладке «Просмотр», следующий шаг по умолчанию, на предварительной проверке, проверьте проверку, вы можете выбрать установку, как карту; перезапустите DC2 после завершения.

7, затем переключитесь в DC1, откройте DNS-сервер, нажмите правой кнопкой мыши на площади contoso.com, измените контроллер домена и интеграцию DNS и применить, см.

8. В регулярной теге измените, как копировать данные зоны, на все DNS-серверы в этом домене, динамически обновляйте, чтобы быть в безопасности, см. Рисунок ниже.

9. На атрибуте области contoso.com в DNS-сервере на dc1 в теге сервера имени добавьте dc2 в качестве сервера имени, введите DC2 IP и полностью квалифицированный домен DC2.contoso.com в всплывающем окне. ИНЖИР.

10. Переключитесь на DC2, повторите вышеуказанный шаг (имя сервера и полностью квалифицированное доменное имя), после завершения обновления, увидим то же Contoso.com в качестве DNS-сервера на DC1.

11, проверка

Откройте пользователи Active Directory и компьютеры на DC2, он обнаружит, что контент и DC1 полностью согласуются, вы можете видеть, что DC1, DC2, типы в контроллере домена, являются глобальным каталогом GC, указывая, что два контроллера домена равны друг другу. ( Не забудьте указать на 192.168.100.11 и 192.168.100.12 в домене в домене, чтобы при отсутствии определенного контроллера зоны не повлияет, это не повлияет на нормальное использование домена).

Conclusion

We have explained in detail how to back up the Active Directory using the Windows Server backup. We used the manual “Backup Once” approach, but of course, you can also configure a “Backup Schedule,” to run periodic AD backup tasks.

As already mentioned, the Windows Server Backup feature is an easy to use free tool that is bundled in most Windows Server OS, and it can work with VSS to perform Full or System State backups. However, there are also lots of third party Active Directory backup tools out there that you can use. In fact, almost every enterprise-level backup service should be capable of backing up Active Directory with little to no difficulty. The difference between all those tools lies mostly in the way some of them provide more capabilities, especially when it comes to backing up and restoring the Active Directory.

Install the Windows Server backup feature

Windows Server Backup is a utility provided by Microsoft with Windows Server 2008 and later editions. It replaced the NTBackup utility which was built into the Windows Server 2003. Windows Server Backup is a feature that is installable in Windows Server 2019 just like in other previous editions. So if you haven’t used the backup feature yet, you will likely have to install it first. The way to install this feature is through the Server Manager.

1. Open the Server Manager console as shown in the image below.

2. Go to Local Server >> Manage tab >> and click on the Add Roles and Features as seen in the image below. This will open the Add Roles and Features Wizard.

3, In the Select installation type screen, select the Role-based or feature-based installation option and click Next.

4. In the next screen called Select destination server, you will be required to select the server on which you want to install roles and features. Windows will automatically display the server pool. In this case, we are going to select the local server, which is WD2K19-DC01-mylablocal.

5. In the Select server roles screen, you are required to select the roles to install on the server. Since we are installing a feature, you can ignore this section and continue to the next screen. Click Next to continue.

6. In the Select features screen below, scroll down to the Windows Server Backup feature, and select it as seen in the image below. Click Next to continue.

7. In the Confirm installation selections screen, make sure that the Windows Server Backup feature is on the screen and click on the Install button to begin the installation.

The Windows Server Backup feature will begin to install on your local server. Once the installation is completed, click the Close button to close the console.

Резервное копирование Active Directory с помощью PowerShell

Попробуем создать бэкап контроллера домена с помощью PowerShell. Для хранения нескольких уровней копий AD мы будем хранить каждый бэкап в отдельном каталоге с датой создания копии в качестве имени папки.

Import-Module ServerManager$date = get-date -f ‘yyyy-MM-dd’$path=”\srvbak1backupdc1”$TargetUNC=$path+$date$TestTargetUNC= Test-Path -Path $TargetUNCif (!($TestTargetUNC))New-Item -Path $TargetUNC -ItemType directory>$WBadmin_cmd = «wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet»Invoke-Expression $WBadmin_cmd

Запустите данный скрипт. Должна появится консоль wbadmin с информацией о процессе создании резервной (теневой) копии диска:

Я открыл журнал ошибок WSB — C:WindowsLogsWindowsServerBackupBackup_Error-10-10-2019_08-30-24.log.

В файле содержится одна ошибка:

Забегая вперед, скажу, что проблема оказалась в некорректном пути в одном из драйверов VMWware Tools.

Чтобы исправить эту ошибку, откройте командную строку с правами администратора и выполните:

DiskShadow /L writers.txtlist writers detailed

После формирование списка наберите quit и откройте файл «C:WindowsSystem32writers.txt». Найдите в нем строку, содержащую “windows\”.

В моем случае найденная строка выглядит так:

Как вы видите, используется неверный путь к драйверу VSOCK.SYS.

Чтобы исправить путь, откройте редактор реестра и перейдите в раздел HKLMSYSTEMCurrentControlSetServicesvsock.

Измените значение ImagePath с systemrootsystem32DRIVERSvsock.sys на System32DRIVERSvsock.sys

Запустите скрипт бэкапа еще раз.

Если бэкап выполнен успешно, в логе появятся сообщения:

Проверим даты последнего бэкапа на DC:

Теперь тут указано, что последний раз бэкап контроллера домена выполнялся сегодня.

На сервере резевного копирования размер каталога с резервной копией контроллера домена занимает около 9 Гб. По сути на выходе вы получили vhdx файл, который можно использовать для восстановления ОС через WSB, или вы можете вручную смонтировать vhdx файл и скопировать из него нужные файлы или папки.

$WBadmin_cmd = «wbadmin start backup -backuptarget:$path -include:C:WindowsNTDSntds.dit -quiet»Invoke-Expression $WBadmin_cmd

Размер такого бэкапа будет составлять всего 50-500 Мб в зависимости от размера базы AD.

Для автоматического выполнения бэкапа, нужно на DC создать скрипт c:psbackup_ad.ps1. Этот скрипт нужно запускать по расписанию через Task Sheduler. Вы можете создать задание планировщика из графического интерфейса или из PowerShell. Главное требование — задание должно запускать от имени SYSTEM с включенной опцией Run with highest privileges. Для ежедневного бэкапа контролера домена AD создайте следующее задание:

$Trigger= New-ScheduledTaskTrigger -At 01:00am -Daily$User= «NT AUTHORITYSYSTEM»$Action= New-ScheduledTaskAction -Execute «PowerShell.exe» -Argument «c:psbackup_ad.ps1»Register-ScheduledTask -TaskName «StartupScript_PS» -Trigger $Trigger -User $User -Action $Action -RunLevel Highest –Force

Итак, мы настроили резевное копирование состояния AD, а в следующей статье мы поговорим о способах восстановления AD из имеющейся резервной копии контроллера домена.

голоса

Рейтинг статьи

Настройка после развертывания сервиса

После развертывания контроллера домера, выполняем следующие действия.

Синхронизация времени

На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:

w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update

* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.

Соответствие рекомендациям Best Practice

1. Создание коротких имен файлов должно быть отключено

Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Готово — поддержка создания коротких имен отключено.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В обычной командной строке от имени администратора вводим:

sc config srv start= demand

3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.

Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.

Вводим команду в Powershell:

Enable-NetAdapterRss -Name *

4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.

Вводим команду в Powershell:

Enable-NetAdapterIPsecOffload -Name *

5. Некоторые сетевые адаптеры поддерживают LSO, но эта возможность отключена.

Вводим команду в Powershell:

Enable-NetAdapterLso -Name *

6. Значение … не соответствует рекомендуемому на этом сервере.

Система может предложить более оптимальные параметры для опций:

  • Smb2CreditsMin — 128.
  • Smb2CreditsMax — 2048.
  • DurableHandleV2TimeoutInSeconds — 30.
  • AutoDisconnectTimeout — 0.
  • CachedOpenLimit — 5.
  • AsynchronousCredits — 64.

Выставить данные опции можно командой Set-SmbServerConfiguration:

Set-SmbServerConfiguration -Smb2CreditsMin 128 -Smb2CreditsMax 2048 -DurableHandleV2TimeoutInSeconds 30 -AutoDisconnectTimeout 0 -CachedOpenLimit 5 -AsynchronousCredits 64 -Confirm:$false

7. Для повышения производительности SmbDirect отключите подписывание и шифрование.

Вводим команду в Powershell:

Disable-NetAdapterRdma *

Настройка DNS

Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.

1. Настройка перенаправления.

Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:

Переходим на вкладку Сервер пересылки:

Кликаем по кнопке Изменить:

Вводим адреса серверов, на которые хотим переводить запросы:

* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.

2. Удаление корневых ссылок

Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:

Переходим во вкладку Корневые ссылки:

Мы увидим список серверов имен — удаляем все с адресами IPv6.

3. Включение очистки

Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:

Переходим на вкладку Дополнительно:

Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:

Готово.

Понравилась статья? Поделиться с друзьями:
Быть в курсе нового
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: