W tym wpisie pokażę, jak poprawnie przygotować kopię zapasową środowiska Active Directory, aby być w stanie odtworzyć kontroler domeny po awarii. Z jednej strony środowisko Active Directory jest odporne na awarie. Uszkodzenie jednego kontrolera nie wpływa znacząco na całą infrastrukturę. Do tego stopnia, że nie odzyskuje się go z backupu, tylko instaluje od nowa. Jednak w dobie chociażby ataków typu Ransomware warto posiadać odseparowaną kopię zapasową jak i procedurę, umożliwiającą poprawne odtworzenie AD.
Rekomendowaną metodą do tworzenia kopii zapasowych Active Directory, jest usługa Windows Server Backup, wbudowana w system operacyjny Windows Server.
Zaczynajmy…
Instalacja funkcji Windows Server Backup
Sprowadza się do uruchomienia Server Managera, następnie Manage oraz Add Roles and Features
Z całego kreatora podczas wyboru dodatkowych funkcji należy wybrać jedną opcję Windows Server Backup
Po zakończeniu kreatora, możemy przejść do konfiguracji.
Konfiguracja Windows Server Backup
Przejdźmy zatem do najważniejszej części dzisiejszego posta, czyli jak skonfigurować kopię zapasową kontrolera domeny. Otwórzmy zatem konsolę wbadmin, po czym z prawej strony wejdźmy w kreator Backup Schedule…
W procesie konfiguracji kopii zapasowej wybieramy opcję Custom i przechodzimy dalej
W kolejnym kroku należy wybrać, które elementy kontrolera domeny chcemy backupować, po kliknięciu Add items, zaznaczamy opcję Bare Metal Recovery (wraz z tą opcją zostaje zaznaczony System State, oraz dysk zawierający system operacyjny). Przechodzimy dalej.
Następnie wybieramy harmonogram wykonywania kopii zapasowej, ja pozostawię opcję domyślną, czyli raz dziennie o 22:00.
To już prawie koniec, pozostał tylko wybór miejsca zapisywania backupu. Na potrzeby zapisywania kopii zapasowych utworzyłem osobny, dedykowany dysk. Będzie to też pomocne przy odtwarzaniu, ale to zobaczycie w kolejnym wpisie.
Podsumowując ustawienia, konfiguracja wygląda następująco.
Przejdźmy zatem do przetestowania, czy backup wykona się poprawnie.
Jeśli posiadacie środowisko wielodomenowe (jeden las, w którym jest wiele domen), to kopię zapasową trzeba wykonać dla każdej domeny w lesie z osobna. Warto taki backup posiadać na więcej niż jednym kontrolerze, no i przechowywać go w odseparowanym środowisku, by w razie chociażby ataku Ransomware móc go później użyć.
W kolejnym wpisie pokaże Wam w jaki sposób użyć takiego backupu i odzyskać kontroler, w taki sposób, żeby mógł dalej pracować, a nie był tylko maszynką na chwilę do testów.
