活動目錄備份指通常並不需要備份每一個域控制器。域控制器本身就會把活動目錄資料庫複製到每一個域控制器上。這樣,域裡的每個域控制器都可以認為是一樣的。域控制器應該根據組織的活動目錄結構而備份。舉個例子來說,企業應該備份扮演FSMO角色的域控制器,並且至少應該有一個域控制器是DNS伺服器的。但是當在大型組織中備份活動目錄時,應該在每個域中都至少備份一個域控制器。備份域控制器作為橋頭控制器可能對於活動目錄站點有好處,但是這種做法也不是必要的
基本介紹
- 中文名:活動目錄備份
- 所屬領域:數據安全技術
技巧,工具,
技巧
活動目錄備份需要管理員掌握一些小技巧。
活動目錄備份管理員應該明確需要備份的域控制器。至少,活動目錄備份的主域控制器和其他與域控制器應該分別備份。活動目錄備份的每個域有兩個以上的域控制器,活動目錄備份要確保每個備份的正確性。活動目錄備份和其他系統狀態數據是與伺服器硬體相關的,所以一台活動目錄備份伺服器上的備份不能在另一台活動目錄備份伺服器上恢復。
活動目錄備份對所有的域控制器制定定期的備份計畫。在“tombstone lifetime”期間通常需要至少執行兩次活動目錄備份。
活動目錄備份應該標識清楚,這樣管理員可以很容易區分每個伺服器的最新活動目錄備份。活動目錄備份被保留也應該是一個主要的考慮因素。活動目錄備份不允許恢復超過tombstone生存時間的目錄對象,活動目錄備份為了防止活動目錄資料庫崩潰。但這也意味著活動目錄備份很快就會過時。由於每個活動目錄備份可能體積較大,活動目錄備份會輕鬆占用大量的存儲空間。活動目錄備份可以讓組織的存儲和成本變輕鬆。
活動目錄備份最低限度地執行系統狀態備份。系統狀態備份包括活動目錄備份內容、引導檔案、系統註冊表、公共對象模型資料庫和系統卷數據以及其他域控制器組件。完整的伺服器活動目錄備份可以實現域控制器裸機恢復。
在生產環境中,活動目錄備份與AD組件不要存放到相同的磁碟之上。相反,活動目錄備份可以存放到相同的本地伺服器、存儲陣列甚至連線到備份伺服器的外部磁碟上。活動目錄備份存儲選擇取決於備份軟體的支持選項,但活動目錄備份通過保存到不同的磁碟或其他媒體上可以避免潛在的單點故障,這一點是至關重要的。雖然活動目錄備份總是建議進行離線備份,但最佳實踐是線上備份域控制器,以確保可用性和避免潛在的恢復延遲。
工具
活動目錄備份除了可以用原生Windows Server備份工具,也可以用一些第三方工具。
不同活動目錄備份產品之間的特性也不盡相同,但活動目錄備份的一些功能值得關注。對一個活動目錄備份工具來說,活動目錄備份恢複選項是最具有價值的能力。活動目錄備份粒狀檔案、對象、組織單元或屬性恢復——例如用戶賬戶或組成員——不需要重新啟動域伺服器這一點與完整的系統狀態甚至是完整的系統備份恢復相比更具有優勢。
這些活動目錄備份第三方工具中的報告和報警功能可以將當前活動目錄狀態與已有備份進行對照,並推薦最有效的備份選項。活動目錄備份審計功能產生的報告可以顯示活動目錄對象所發生的變化,什麼時候發生的以及是誰操作的。這是組織負責合規和審計的關鍵。活動目錄備份的查看報警和通知功能,確保備份成功或者快速解決錯誤問題。
這些第三方活動目錄備份工具是否與本地Windows Server工具無縫結合,例如活動目錄備份資源回收筒可以節省時間,避免麻煩,甚至無需開發腳本來提供這種集成。關注活動目錄備份調度靈活性,這樣活動目錄備份可以在非高峰通信時間執行備份,並且在寬頻需求較低時實現場外複製備份。
活動目錄備份考慮到域控制器和技術支持的重要性,活動目錄備份在實驗室環境中對潛在的活動目錄備份工具進行評估是至關重要的,然後活動目錄備份才可以將工具用於實際生產環境中。活動目錄備份管理員也應該遵循良好的備份實踐來管理每個域和組織內各個地方的活動目錄備份。
