如何备份Active Directory域控制器?
在本文中,我们将讨论Active Directory域控制器备份,并学习如何使用PowerShell和内置的Windows服务器工具配置自动AD备份。
需要备份Active Directory吗?
很多次我从我的管理员那里听说,如果你有多个(3,8等)域控制器分布在不同的地理位置,你根本不需要备份你的AD。因为有了多个DCs,我们就提供了域容错。这是所有DCs同时失效趋于0的模式,如果其中一个域控制器出现故障,可以在同一站点上快速部署新的域控制器,使用 ntdsutil删除旧的。
然而,在我的实践中,当所有的域控制器都被破坏时,我遇到了各种各样的情况:在一个案例中,所有的域控制器(尽管在不同的城市有20多个)都被加密,这是因为勒索软件使用mimikatz工具捕获了一个域管理员密码(要防止这些情况,请参阅“如何保护”)窗口对抗米米卡茨?”和“在Active Directory中保护管理员组”),在另一种情况下,复制损坏的NTDS.DIT公司文件导致域失败。
所以你可以而且应该备份你的AD。你必须至少定期备份关键域控制器和FSMO(灵活的单主机操作)角色所有者。我们可以使用以下命令获取具有FSMO角色的域控制器列表:
netdom query fsmo
获取上次Active Directory域控制器备份日期
我们可以使用repadmin工具检查上次备份当前Active Directory域控制器的时间:
repadmin /showbackup
我们可以看到,在这个示例中,上一次备份DC和AD分区的时间是2016-02-18(很可能,自从部署域控制器之后,备份还没有完成)。
我们可以使用以下命令获取域中所有DC的备份状态:
repadmin /showbackup *
如果域控制器在虚拟机上运行,并且我们使用快照对其进行备份(请参阅Hyper-V备份的示例),则备份日期不会因为明显的原因而更新。大多数现代备份工具都有一个选项,我们可以检查它是否是DC,并且在备份过程中必须更新LDAP目录中的数据。
使用Windows Server Backup备份AD域控制器
如果我们没有任何特殊的备份软件,我们可以使用内置的 Windows Server backup(此组件已经取代了NTBackup工具)。我们可以在Windows Server backup GUI中配置自动备份任务,但它有一些限制。主要的缺点是新的服务器备份总是覆盖以前的备份。
当我们使用WSB备份域控制器时,我们将创建一个 系统状态备份。系统状态包括Active Directory数据库(NTDS.DIT公司)、组策略对象、SYSVOL目录内容、注册表、IIS元数据、adcs数据库和其他系统文件和资源。备份是通过卷影复制服务(VSS)创建的。
我们可以使用Get-WindowsFeature PowerShell cmdlet检查是否安装了Windows Server Backup:
Get-WindowsFeature Windows-Server-Backup
如果未安装WSB,可以使用PowerShell添加:
Add-Windowsfeature Windows-Server-Backup –Includeallsubfeature
或者通过服务器管理器->功能安装Windows Server Backup。
我将此AD域控制器的备份保存到专用备份服务器上的共享网络文件夹中。例如,备份目录的路径可能如下所示:
\mun-back1\backup\dc01
. 配置此文件夹的NTFS权限:授予 域管理员和 域控制器组 仅的读写访问权限。
使用PowerShell进行Active Directory备份
让我们尝试使用PowerShell备份域控制器。为了保存多个级别的AD备份副本,我们将每个备份副本存储在一个单独的目录中,并将备份创建日期作为文件夹名称。
Import-Module ServerManager
[string]$date = get-date -f 'yyyy-MM-dd'
$path="\mun-back1\backup\dc1\"
$TargetUNC=$path+$date
$TestTargetUNC= Test-Path -Path $TargetUNC
if (!($TestTargetUNC)){
New-Item -Path $TargetUNC -ItemType directory
}
$WBadmin_cmd = "wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet"
Invoke-Expression $WBadmin_cmd
运行PowerShell脚本。wbadmin控制台将出现。它包含有关磁盘备份(卷影副本)创建过程的信息:
The backup operation to \mun-back1\backup\dc120-06-01 is starting. Creating a shadow copy of the volumes specified for backup...
我第一次备份DC的尝试失败,出现错误(域控制器是VMWare虚拟机):
