备份域控制器AD 保护的最佳实践（第 1 部分）

Andrew Zhelezko

在需要身份验证和集中用户管理的企业环境中，Microsoft Active Directory 是一项标准组件。很难想像如果没有这一技术，系统管理员该如何有效完成工作。作为一项重要特性，Active Directory 需要用户花费大量时间妥善利用，以实现最大效用。

本系列旨在帮助您使用 Veeam 产品成功备份和恢复 Active Directory 域服务，满足您轻松完成 AD 保护的一切要求。在阅读本系列文章之前，您可能希望阅读我们先前发布的 AD 管理最佳实践系列。

本系列将探讨 Veeam 如何保护 Active Directory 数据 — 根据需要保护和恢复域控制器 (DC) 或单个 AD 对象。

今天，我将介绍 Veeam 为物理和虚拟化域控制器提供的备份选项，以及相关的备份注意事项。

备份域控制器的注意事项

由于 Active Directory 域服务设计了冗余，因此一般的备份规则和策略可进行相应调整。您的备份策略并不适用于此处的 SQL 或 Exchange 服务器。下面一些注意事项可能有助于您创建自己的 Active Directory 策略：

了解在您的环境中哪些域控制器充当 Flexible Single Master Operations (FSMO) 角色。提示：通过命令行确认这一点的简单命令：>netdom query fsmo

实施全域恢复时，您可能需要从具有最多 FSMO 角色的 DC 开始，通常是具有 PDC 模拟器角色的 DC。或者在还原之后使用 ntdsutil seize 命令手动转换角色。在计划备份时请注意这一点，并相应地设置域控制器的优先级。参考 Active Directory 基本知识白皮书，详细了解 FSMO 角色。

如果您的站点具有多个域控制器，而且您希望保护单个对象，您无需为项目级恢复备份所有 DC，一个 Active Directory 数据库 (ntds.dit) 就可满足需求
总有方法降低意外/蓄意删除/修改 AD 对象的风险。考虑授权管理操作的权限，设置升高组（elevated group）的访问限制，并维护“延迟”站点
我们通常建议一次备份一个域控制器，以免干扰 DFS 复制，即使现代备份应用程序Veeam Backup & Replication v9.5 知道如何处理这一情况
如果您使用 VMware 虚拟环境且无法通过网络连接域控制器，需要在 DMZ 中进行操作（如本示例所述）在本示例中，Veeam 将实施面向 VIX 的故障切换，应该能够处理您的 DC。

如何备份虚拟域控制器

Microsoft Active Directory 服务能够在林中组织和保存有关单个对象的信息，并将其保存至域控制器托管的关系型数据库 (ntds.dit)。过去，备份域控制器是一项繁琐的工作，需要备份服务器的系统状态。众所周知，Active Directory 服务不会消耗系统的大量资源，因此，域控制器似乎总是环境中首先实施虚拟化的服务器。如果您坚持“只使用物理 DC”的老一套做法，请参考本博文。

实施虚拟化之后，它们可由域/系统管理员轻松管理，而且易于通过 Veeam Backup & Replication 备份。如需了解详情，您应该安装和配置 Veeam Backup & Replication。系统要求（版本 9.0）如下：

虚拟平台：VMware vSphere 4.1 和更高版本；Microsoft Hyper-V 2008 R2 SP1 和更高版本

Veeam 服务器：Windows Server 2008 SP2 和更高版本；Windows 7 SP1 和更高版本，64 位操作系统

域控制器虚拟机 (VM)：Windows Server 2003 SP1 和更高版本，Windows 2003 支持的最低林功能级别

权限：目标 Active Directory 的管理权限。企业管理员或域管理员的账户。

本文并不描述 Veeam Backup & Replication 的安装和配置流程，该流程已经介绍过多次。但如果您需要相关帮助，请参见以下由 Veeam 系统工程师录制的视频。

假设您的所有功能运行正常。现在，您需要为虚拟域控制器配置备份任务。配置流程相当简单（见下图 1）：

1.启动备份任务创建向导

2.在任务中添加所需的域控制器

3.指定备份链的保留策略

4.务必启用应用感知图像处理 (AAIP)，以确保虚拟机上运行的操作系统和应用程序的事务一致性，包括 Active Directory 数据库和 SYSVOL 目录

注：AAIP 是一项 Veeam 技术，支持软件以应用感知的方式备份虚拟机，包括检测来宾账户操作系统的应用程序，收集它们的元数据，使用相应的 Microsoft VSS 写入程序对它们进行停顿处理，准备在第一次启动还原的虚拟机时实施应用程序的特定 VSS 还原程序，并在备份任务成功完成时截断应用程序的交易日志。详情请参考 AAIP 文档。

不启用 AAIP 将不会触发域控制器来宾账户操作系统，从而无法进行备份和保护因此，您稍后可能会在服务器日志中看到内部警告 — 事件 2089，内容为“备份延迟间隔”天数内未进行备份。

转存失败重新上传取消

图 1.编辑备份任务：Guest 处理

5.安排任务或手动运行任务

6.确保任务顺利完成，且未发生错误或警告

转存失败重新上传取消

图 2.执行 DC 增量备份

7.在备份存储库中查找最新创建的备份文件 — 就这么简单！

此外，您可在 Veeam Cloud Connect (VCC) 服务提供商的帮助下或使用另一个备份存储库通过 Veeam 备份复制任务在云中存储备份，或通过备份至磁带任务将其存档至磁带。最重要的是，备份现在非常安全，并可在您需要时立即还原。

如何备份物理域控制器

坦率地讲，我希望您一直在更新贵公司的 AD 服务，而且您的域控制器实施虚拟化已有很长一段时间。如果不是这样，我希望您至少一直在更新域控制器，而且它们运行较新的 Windows Server 操作系统版本、Windows Server 2008 R2 或更高版本。（如需管理较旧的系统，请跳过下列内容，立即阅读第三篇文章）

那么，如果拥有一个或一组运行 Windows Server 2008 R2 或更高版本的物理域控制器，您希望保护您的 AD？Veeam Endpoint Backup 实用程序旨在确保其余物理终端和服务器上的数据安全无虞。Veeam Endpoint Backup 可捕捉物理机上的所需数据，并将其存储在备份文件中。如果发生灾难，您能够实施裸机还原或卷级还原，同时全面控制恢复程序。此外，Veeam Explorer for Microsoft Active Directory 可帮助轻松实施项目级恢复。

如需使用该工具备份您的物理域控制器，您应该：

从本页中下载 Veeam Endpoint Backup 免费版，并将其复制到您的 DC 中
启动安装向导，接受许可协议并安装该程序

注：阅读这些说明，在无人值守模式下进行安装。

选择合适的备份模式，配置备份任务。备份整台电脑是最简单、也是推荐的做法。使用文件级备份模式时，务必选择操作系统作为备份对象（见图 3）。这可确保该程序捕捉裸机还原需要的所有文件，Active Directory 数据库和 SYSVOL 目录也会保存。参考产品用户指南了解详情

转存失败重新上传取消

图 3.在 Veeam Endpoint Backup 中选择需备份的对象

注：如果您的基础架构具有 Veeam Backup & Replication 实例，而且您希望使用配置的 Veeam 备份存储库接受终端备份，请通过 Veeam Backup & Replication 对其进行重新配置（右击所需的存储库，支持访问存储库，并在需要时启用备份加密，见图 4）。

图 4.设置备份存储库的终端备份权限

运行备份，避免任何错误

转存失败重新上传取消

图 5.Veeam Endpoint Backup 免费版：备份任务统计

就是这个！备份已完成，从现在开始您的域控制器将受到保护。访问备份目标，查看备份或备份链

转存失败重新上传取消

图 6.增量备份链

注。如果您将 Veeam Backup & Replication 存储库配置为 DC 备份目标，请在 备份> 磁盘 节点（位于终端备份节点）中查找新创建的备份。

转存失败重新上传取消

图 7.Veeam Backup & Replication：备份磁盘

总结

域控制器备份就这么简单吗？既简单也不简单。成功备份是第一步，但不是全部。Veeam 有一句名言：“如果不能还原，备份一文不值”。

本系列的下列文章旨在用于不同的 Active Directory 恢复场景，包括还原特定域控制器，使用原生 Microsoft 实用程序和 Veeam Explorer for Active Directory.恢复单个删除及更改的对象。

另请参阅

白皮书Active Directory 对象的颗粒恢复
Veeam 社区论坛：在另一个 AD 域中备份域控制器