AD DS 备份和恢复的最佳实践?

AD DS 备份和恢复的最佳实践?

因此微软声称“不能使用网络共享文件夹作为系统状态备份的备份目标“,但我见过很多帖子,人们表示他们可以使用 wbadmin 从命令提示符中执行此操作。

我的最终目标:

我并不担心备份我们的任何域控制器,因为如果一个域控制器坏了,我只需启动一个新的域控制器,让其余的 DC 复制到它即可。但我担心至少要确保我有 AD 的备份,以防我们的整个 AD 基础设施被破坏,需要从备份中恢复。

以下是我目前为实现目标所做的事情:

从我的 PDCe,我使用以下命令成功备份到网络共享:

wbadmin start systemstatebackup -backuptarget:\srv-backup\b$\srv-dc1

然后我创建了一个如下的计划备份:

wbadmin enable backup -addtarget:\srv-backup\b$\srv-dc1 -systemstate -schedule:03:00

第二天我确认计划的备份已成功完成。

以下是新的问题:

  1. 如何正确备份 AD?我当前的方法正确吗?

  2. 如果我当前的备份方法在任何给定时间都只能产生一个备份(因为它备份到网络共享并且每晚都会覆盖前一个备份),我是否应该考虑获取本地存储来推送备份(这样我就可以有多个备份),或者我应该以相同的方式对我的另外两个 DC 进行备份;到网络共享(当然错开时间表 - 然后我至少会有一个或多个我可以依赖的每日备份)?

  3. 我在社区的另一个帖子中看到有人说“从 C:\Windows 备份 NTDS 文件夹”,但我认为这是不必要的,因为它会在系统状态备份期间进行备份 - 对吗?

答案1

因此微软声称“您不能使用网络共享文件夹作为系统状态备份的备份目标”

这是(或曾经是)对 Windows Backup 原始版本的限制,该版本出现在较旧的操作系统上(Vista RTM 和 Server 2008 RTM - 这些问题可能已在这些操作系统的服务包或更新中得到解决,也可能尚未得到解决)。Windows 7+/Server 2008 R2+ 可以很好地将系统状态备份处理到网络文件夹。

  1. 如何正确备份 AD?我当前的方法正确吗?

不。备份一个域控制器与备份 Active Directory 不同。 如果如果一切顺利,那么你当然可以侥幸逃脱。当然,备份只存在于一切不顺利的时候,所以在制定备份策略时,你应该始终考虑可能出现的问题。在这种情况下,我看到两个主要的问题。

  1. 您仅备份一个域控制器。如果/当与该域控制器的复制中断时,或一个域控制器是损坏的根源,迫使您从备份中恢复,您不再拥有实际 Active Directory 的备份。

  2. 一个备份的保留期非常无用。当您意识到有问题时,您可能已经用包含问题的副本覆盖了您的备份。因此,这需要修复,幸运的是,这并不难 - 将备份存储在以拍摄日期命名的文件夹中。您可能还想考虑进行增量备份以节省空间。每周完整备份、每日增量备份是一种非常常见的策略,可以在磁盘空间和备份恢复的速度/难易程度之间取得良好的平衡。

  1. 如果我当前的备份方法在任何给定时间都只能产生一个备份(因为它备份到网络共享并且每晚都会覆盖前一个备份),我是否应该考虑获取本地存储来推送备份(这样我就可以有多个备份),或者我应该以相同的方式对我的另外两个 DC 进行备份;到网络共享(当然错开时间表 - 然后我至少会有一个或多个我可以依赖的每日备份)?

如上所述/暗示,您应该备份全部每天检查域控制器。如上所述,将备份放在以拍摄日期命名的文件夹中,以防止备份被覆盖,并考虑增量和/或差异备份以节省空间。

  1. 我在社区的另一个帖子中看到有人说“从 C:\Windows 备份 NTDS 文件夹”,但我认为这是不必要的,因为它会在系统状态备份期间进行备份 - 对吗?

您说得对。NTDS(NT 目录服务)文件夹包含本质上是您的 Active Directory 域的数据库。系统状态备份应该获取该文件夹及其中的数据库。(当然,在您的备份上验证这一点不会有什么坏处。)俗话说,未经恢复测试的备份不是真正的备份。

答案2

您会经常发现有关备份和恢复域控制器的建议,这些建议归结为“不要备份您的 DC”。不幸的是,这是个坏建议。您应该备份所有域控制器,因为您永远不知道哪一个会损坏。

问题不在于域控制器的备份,而在于恢复它们,这才是棘手的部分。确保在恢复之前做好功课!

解决所有问题的答案是投资“真正的”集中式备份解决方案,如 Veam、Acronis、Unitends 等。这些工具具有 AD 感知能力、支持保留期、将数据备份到外部磁盘阵列(或磁带),并提供用于监控所有服务器备份状态的单一窗口。

相关内容