У овом чланку ћемо говорити о функцијама сигурносних копија контролера домена Ацтиве Дирецтори, погледајте како да подесите аутоматско прављење резервних копија АД користећи ПоверСхелл и уграђене алате Виндовс Сервер..
Садржај:
- Требам ли сигурносно копирати Ацтиве Дирецтори?
- Како проверити датум последње сигурносне копије контролера домена Ацтиве Дирецтори?
- Израда резервне копије АД контролера домена помоћу сигурносне копије Виндовс Сервер
- Израда сигурносне копије Ацтиве Дирецтори са програмом ПоверСхелл
Требам ли сигурносно копирати Ацтиве Дирецтори?
Више пута сам чуо од администратора упознатих са идејом да ако имате неколико (5, 10, итд.) Географски раштрканих контролера домена Ацтиве Дирецтори, не морате правити резервне копије АД-а, јер на неколико ДЦ-а већ сте обезбедили велику отпорност на домену. Заиста, у таквој шеми вероватноћа истовременог отказа свих ДЦ-а тежи 0, и ако падне један контролер домена, брже је инсталирати нови ДЦ на локацију и уклонити стари користећи нтдсутил.
Међутим, у својој пракси наишао сам на различите сценарије када су се показали да су сви контролери домена оштећени: у једном случају, сви контролори домена (било их је више од 20 у различитим градовима) су шифровани због пресретања лозинке домене од стране шифрера преко услужног програма мимикатз (да спрече такве за шеме погледајте чланке „Заштита Виндовса од мимикатз“ и „Заштита привилегованих административних група“), у другом случају, домена ставља репликацију оштећене датотеке НТДС.ДИТ..
Генерално, резервни АД је могућ и неопходан. У најмању руку, требало би да редовно правите резервне копије кључних контролора домена, власника улога ФСМО (Флексибилне операције са једним мастер-ом). Списак контролера домена са ФСМО улогама можете добити помоћу наредбе:
нетдом упит фсмо
Како проверити датум последње сигурносне копије контролера домена Ацтиве Дирецтори?
Можете проверити када је створена резервна копија тренутног контролера домена Ацтиве Дирецтори помоћу услужног програма репадмин:
репадмин / сховбацкуп
У овом примеру се види да је последњи пут прављење резервних копија ДЦ и АД партиција 2017-02-18 18:01:32 (највероватније да то није учињено од размештања контролера домена).
Статус резервне копије свих ДЦ-ова у домену можете добити командом:
репадмин / сховбацкуп *
Израда резервне копије АД контролера домена помоћу сигурносне копије Виндовс Сервер
Ако немате посебан софтвер за прављење резервних копија, можете користити уграђени сигурносни систем Виндовс Сервер да бисте направили резервне копије (ова компонента је замењена НТБацкуп). Можете поставити аутоматске сигурносне копије у ГУИ за Виндовс Сервер Бацкуп, али то ће имати одређена ограничења. Главни недостатак је тај што ће нова сигурносна копија сервера увек пребрисати стару..
Када направите сигурносну копију контролера домена путем ВСБ-а, креирате резервну копију Систем стања (Стање система) Стање система укључује базу активног именика (НТДС.ДИТ), ГПО-ове, садржај директорија СИСВОЛ, регистар, метаподатке ИИС, базу података АД ЦС и друге системске датотеке и ресурсе. Израда резервне копије путем ВСС услуге копирања у сенци.
Можете да проверите да ли је компонента система Виндовс Бацкуп резервна копија инсталирана помоћу програма ПоверСхелл цмдлет Гет-ВиндовсФеатуре:
Гет-ВиндовсФеатуре Виндовс-Сервер-Бацкуп
Ако недостаје ВСБ компонента, можете је инсталирати помоћу ПоверСхелл-а:
Адд-Виндовсфеатуре Виндовс-Сервер-Бацкуп -Инцлудеаллсубфеатуре
Или га инсталирајте из Сервер Манагер -> Феатурес.
Резервно ћу сачувати резервну копију овог АД контролера домене у мрежној мапи на посебном наменском серверу ради резервне копије. На пример, стаза директорија би била \\ срвбак1 \ бацкуп \ дц01. Конфигуришите НТФС дозволе у овој мапи: одобрите дозволе за читање и писање у овај директориј само за Администратори домена и Контроле домена.
Израда сигурносне копије Ацтиве Дирецтори са програмом ПоверСхелл
Покушајмо да направимо резервну копију контролера домена помоћу ПоверСхелл-а. Да бисмо сачували неколико нивоа АД копија, чуваћемо сваку резервну копију у посебном директорију са датумом креирања копије као именом мапе.
Увоз-модул СерверМанагер
[стринг] $ дате = гет-дате -ф 'гггг-ММ-дд'
$ патх = ”\\ срвбак1 \ бацкуп \ дц1 \”
$ ТаргетУНЦ = $ путања + $ датум
$ ТестТаргетУНЦ = Тест-Патх-Патх $ ТаргетУНЦ
иф (! ($ ТестТаргетУНЦ))
Нев-Итем -Патх $ ТаргетУНЦ -ИтемТипе директориј
$ ВБадмин_цмд = "вбадмин.еке СТАРТ БАЦКУП -бацкупТаргет: $ ТаргетУНЦ -системСтате -новерифи -вссЦопи -куиет"
Инвоке-Екпрессион $ ВБадмин_цмд
Покрените ову скрипту. На вбадмин конзоли треба да се појави информација о процесу креирања резервне (сенчне) копије диска:
Операција израде сигурносних копија за \\ срвбак1 \ бацкуп \ дц1 \ 2019-10-10 започиње. Креирање копије у сенци волумена наведених за израду резервних копија ...
Детаљна грешка: Назив датотеке, име директорија или синтакса налепнице волумена није тачна. Резервна копија системског стања није успела [10.10.2018 8:31].
Отворио сам дневник грешака у ВСБ - Ц: \ Виндовс \ Логс \ ВиндовсСерверБацкуп \ Бацкуп_Еррор-10-10-2019_08-30-24.лог.
Датотека садржи једну грешку:
Грешка у прављењу резервне копије Ц: \ виндовс \\ системроот \ током набрајања: Грешка [0к8007007б] Назив датотеке, име директорија или синтакса налепнице волумена нису тачни.
Гледајући унапред, рећи ћу да је проблем био на погрешном путу у једном од управљачких програма ВМВваре Тоолс.
Да бисте исправили ову грешку, отворите командни редак са администраторским привилегијама и покрените:
ДискСхадов / Л писци.ткт
списак писаца детаљан
Након креирања листе откуцајте и отворите датотеку „Ц: \ Виндовс \ Систем32 \ Врит.ткт“. Пронађите у њему линију која садржи „виндовс \\“.
У мом случају, пронађени низ изгледа овако:
Листа датотека: Патх = ц: \ виндовс \\ системроот \ систем32 \ дриверс, Филеспец = всоцк.сис
Као што видите, погрешан пут до ВСОЦК.СИС управљачког програма користи се.
Да бисте исправили пут, отворите уређивач регистра и пређите на одељак ХКЛМ \ СИСТЕМ \ ЦуррентЦонтролСет \ Сервицес \ всоцк.
Промените вредност ИмагеПатх са\ системроот \ систем32 \ ДРИВЕРС \ всоцк.сис
наСистем32 \ ДРИВЕРС \ всоцк.сис
Поново покрените резервну скрипту.
Ако је сигурносна копија била успешна, у дневнику ће се појавити следеће поруке:
Операција прављења резервних копија је успешно завршена. Резервна копија јачине (Ц :) је успешно завршена. Сигурносно копирање стања система успешно је завршено [10.10.2019 9:52].
Проверите датуме последње сигурносне копије на ДЦ-у:
репадмин / сховбацкуп
Овде је назначено да је последњи пут извршена сигурносна копија контролера домена данас.
На резервном серверу величина директорија са сигурносном копијом контролера домене износи око 9 ГБ. У суштини, на излазу сте добили вхдк датотеку коју можете користити за враћање ОС-а путем ВСБ-а или можете ручно монтирати вхдк датотеку и копирати потребне датотеке или мапе из ње.
$ ВБадмин_цмд = "вбадмин старт бацкуп -бацкуптаргет: $ патх -инцлуде: Ц: \ Виндовс \ НТДС \ нтдс.дит -куиет"
Инвоке-Екпрессион $ ВБадмин_цмд
Величина такве резервне копије биће само 50-500 МБ, зависно од величине АД базе.
За аутоматско прављење резервних копија, морате да креирате скрипту ц: \ пс \ бацкуп_ад.пс1 на ДЦ. Ову скрипту треба извршавати према распореду кроз програм за планирање задатака. Задатак за планирање можете да креирате из ГУИ-а или из ПоверСхелл-а. Главни захтев је да се задатак мора извршавати у име СИСТЕМ-а са омогућеном опцијом Рун с највишим привилегијама. За свакодневно израду сигурносне копије АД контролера домена направите следећи задатак:
$ Триггер = Ново-заказаниТаскТриггер -У 01:00 сати -Дневно
$ Усер = "НТ АУТХОРИТИ \ СИСТЕМ"
$ Ацтион = Ново-заказанаТаскАцтион -Екецуте "ПоверСхелл.еке" -Аргумент "ц: \ пс \ бацкуп_ад.пс1"
Регистер-СцхедуледТаск -ТаскНаме "СтартупСцрипт_ПС" -Триггер $ Триггер -Усер $ Усер -Ацтион $ Ацтион -РунЛевел Хигхест -Форце
Дакле, поставили смо резервну копију стања АД, а у следећем чланку ћемо говорити о начинима враћања АД-а из постојеће сигурносне копије контролера домена.
