Mejores prácticas de copia de seguridad de Active Directory
Active Directory es un servicio ampliamente conocido para la gestión centralizada y la autenticación de usuarios en entornos basados en Windows. Los administradores pueden gestionar de forma centralizada los ordenadores añadidos al dominio, lo que resulta cómodo y ahorra tiempo en infraestructuras grandes y distribuidas. MS SQL y MS Exchange suelen requerir Active Directory. Si el controlador de dominio de Active Directory (AD DC) deja de estar disponible, los usuarios relacionados no podrán iniciar sesión y los sistemas no funcionarán correctamente, lo que puede causar problemas en su entorno. Por eso es importante hacer backup de su Directorio Activo.
En esta entrada del blog se explican las prácticas recomendadas para hacer backup de Active Directory, incluidos métodos y herramientas eficaces.
Principio de funcionamiento de Active Directory
Active Directory es un sistema de gestión que consta de una base de datos donde se almacenan los objetos individuales y los registros de transacciones. La base de datos se divide en varias secciones que contienen distintos tipos de información: una partición de esquema (que determina el diseño de la base de datos de AD, incluidas las clases de objetos y sus atributos), una partición de configuración (información sobre la estructura de AD) y un contexto de nombres de dominio (usuarios, grupos, objetos de impresora). La base de datos de Active Directory tiene una estructura jerárquica en forma de árbol. El archivo Ntds.dit se utiliza para almacenar la base de datos AD.
Active Directory utiliza los protocolos LDAP y Kerberos para sus funciones en la red. LDAP (Lightweight Directory Access Protocol) es un protocolo abierto multiplataforma utilizado para acceder a directorios (como Active Directory) que también tiene acceso a la autenticación de servicios de directorio mediante nombre de usuario y contraseña. Kerberos es un protocolo de autenticación segura e inicio de sesión único que utiliza criptografía de clave secreta. Los nombres de usuario y contraseñas comprobados por el servidor de autenticación Kerberos se almacenan en el directorio LDAP (en caso de utilizar Active Directory).
Active Directory está estrechamente integrado con el servidor DNS, los archivos de sistema protegidos de Windows, el registro de sistema de un controlador de dominio, así como el directorio Sysvol, la base de datos de registro de clases COM+ y la información de servicio de clúster. Esta integración influye directamente en la estrategia de backups de Active Directory.
¿De qué datos hay que hacer backup?
De acuerdo con la sección anterior, es necesario hacer una copia no sólo de Ntds.dit, sino de todos los componentes integrados con Active Directory. La lista de todos los componentes que forman parte integrante del sistema Domain Controller es la siguiente:
- Servicios de dominio de Active Directory
- Controlador de dominio Registro del sistema
- Directorio Sysvol
- Base de datos de registro de clases COM
- Información de zona DNS integrada con Active Directory
- Archivos de sistema y archivos de arranque
- Información sobre el servicio de clúster
- Base de datos de servicios de certificados (si su controlador de dominio es un servidor de servicios de certificados)
- Metacarpetas IIS (si Microsoft Internet Information Services está instalado en su controlador de dominio)
Recomendaciones generales para hacer backup de AD
Veamos algunas recomendaciones generales para hacer backups de Active Directory.
Se debe hacer backup de al menos un controlador de dominio de un dominio
Es obvio que si sólo tiene un controlador de dominio en su infraestructura, debe hacer backup de este DC. Si tiene más de un controlador de dominio, debe hacer backup de al menos uno de ellos. Debe hacer backup de los controladores de dominio que tengan instalados roles FSMO (Flexible Single Master Operation). Si ha perdido todos los controladores de dominio, puede recuperar un controlador de dominio primario (que contenga roles FSMO) e implementar un nuevo controlador de dominio secundario, replicando los cambios desde el DC primario al DC secundario.
Incluya el backup de Active Directory en su plan de recuperación ante desastres
Componga su plan de recuperación ante desastres (DR) con múltiples escenarios para recuperar su infraestructura mientras se prepara para hipotéticas catástrofes. La mejor práctica consiste en crear un plan de RD exhaustivo antes de que se produzca el desastre. Presta mucha atención a la secuencia de recuperación. Tenga en cuenta que se debe recuperar un controlador de dominio antes de poder recuperar otros equipos con servicios relacionados con el Directorio Activo, ya que pueden quedar inutilizados sin el AD DC. La creación de un plan viable de recuperación ante desastres que tenga en cuenta las dependencias de los distintos servicios que se ejecutan en máquinas diferentes le garantiza el éxito de la recuperación. Puede hacer backup de su controlador de dominio en un sitio local, remoto o en la nube. Entre las prácticas recomendadas para hacer backup de Active Directory está la de tener más de una copia de su controlador de dominio según la regla de backup 3-2-1.
Hacer backup de Active Directory regularmente
Debe hacer backup de su Directorio Activo regularmente con un intervalo que no exceda los 60 días. Los servicios de AD presuponen que la antigüedad del backup de Active Directory no puede ser superior al tiempo de vida de los objetos tumba de AD, que por defecto es de 60 días. Esto se debe a que el Directorio Activo utiliza los objetos lápida cuando es necesario eliminar objetos. Cuando se elimina un objeto AD (se eliminan la mayoría de los atributos de dicho objeto), se marca como objeto lápida y no se elimina físicamente hasta que expira el periodo de vida de la lápida.
Si hay varios controladores de dominio en su infraestructura y la replicación de Active Directory está activada, el objeto tombstone se copia en cada controlador de dominio hasta que expira la vida útil del tombstone. Si restaura uno de sus controladores de dominio a partir de una copia de seguridad cuya antigüedad es superior a la vida útil de la lápida, se encontrará con información incoherente entre los controladores de dominio de Active Directory. En este caso, el controlador de dominio recuperado tendría la información sobre los objetos que ya no existen. Esto puede causar errores en consecuencia.
Si ha instalado controladores o aplicaciones en el controlador de dominio después de hacer backups, no funcionarán tras la recuperación desde dichos backups, ya que el estado del sistema (incluido el registro) se recuperará a un estado anterior. Esta es una razón más para hacer backup de Active Directory con más frecuencia que una vez cada 60 días. Le recomendamos encarecidamente que haga backup de Active Directory Domain Controller todas las noches.
Utilizar programas informáticos que garanticen la coherencia de los datos
Al igual que con cualquier otra base de datos, se debe hacer backup de la base de datos de Active Directory de forma que se garantice la consistencia de la base de datos. La mejor forma de mantener la coherencia es hacer backup de los datos de AD DC cuando el servidor está apagado o cuando se utiliza Microsoft Volume Shadow Copy Service (VSS) en un equipo en ejecución. Hacer backup de un servidor de Active Directory apagado puede no ser una buena idea si el servidor funciona en modo 24/7.
Las prácticas recomendadas para hacer backup de Active Directory recomiendan utilizar aplicaciones de backup compatibles con VSS para hacer backup de un servidor que ejecute Active Directory. Los escritores de VSS crean una instantánea que congela el estado del sistema hasta que se completa el backup para evitar que se modifiquen los archivos activos utilizados por Active Directory durante un proceso de backup.
Utilizar soluciones de backups que ofrezcan una recuperación granular.
Cuando se trata de recuperar un Active Directory, puede recuperar todo el servidor con Active Directory y todos sus objetos. Ejecutar una recuperación completa puede consumir una cantidad de tiempo significativa, especialmente si su base de datos de AD es de un tamaño considerable. Si algunos objetos de Active Directory se borran accidentalmente, es posible que desee recuperar sólo esos objetos y nada más. Las prácticas recomendadas para hacer backups de Active Directory recomiendan utilizar métodos y aplicaciones de backup que puedan realizar una recuperación granular, es decir, sólo recuperar objetos concretos de Active Directory a partir de un backup. Esto le permite limitar el tiempo dedicado a la recuperación.
Métodos nativos para hacer backup de Active Directory
Microsoft ha desarrollado una serie de herramientas nativas para hacer backup de servidores Windows, incluidos los servidores que ejecutan controladores de dominio de Active Directory.
Backup de Windows Server
Windows Server Backup es una utilidad proporcionada por Microsoft con Windows Server 2008 y versiones posteriores de Windows Server que sustituyó a la utilidad NTBackup que estaba integrada en Windows Server 2003. Para acceder a ella, basta con activar Windows Server Backup en el menú Agregar funciones y características. Windows Server Backup cuenta con una nueva GUI (interfaz gráfica de usuario) y permite crear backups incrementales mediante VSS. Los datos de la copia de seguridad se guardan en un archivo VHD, el mismo formato de archivo utilizado para Microsoft Hyper-V. Puede montar estos discos VHD en una máquina virtual o física y acceder a los datos de la copia de seguridad. Fíjate en que, a diferencia del VHD creado por MVMC(Microsoft Virtual Machine Converter), la imagen VHD no es arrancable en este caso. Puedes hacer backup de todo el volumen o del estado del sistema sólo utilizando el comando wbadmin start systemstatebackup comando Por ejemplo:
wbadmin start systemstatebackup --backuptarget:E:
Debe seleccionar un destino de backup distinto del volumen del que está haciendo backups de los datos, y que no sea una carpeta compartida remota.
Cuando llegue el momento de la recuperación, debe arrancar el controlador de dominio en modo de restauración de servicios de directorio (DSRM) pulsando F8 para abrir las opciones de arranque avanzadas (como haría al entrar en modo seguro). A continuación, debe utilizar el comando wbadmin get versions -backupTarget:path_to_backup machine:name_of_server para seleccionar el backup apropiado y empezar a restaurar los datos necesarios. También puede utilizar NTDSutil para gestionar determinados objetos de Active Directory en la línea de comandos durante la recuperación.
Las ventajas de utilizar el backup de Windows Server para hacer backups de Active Directory son la asequibilidad, la capacidad VSS y la posibilidad de hacer backups de todo el sistema o sólo de los componentes de Active Directory.
Las desventajas incluyen la necesidad de poseer las habilidades y la base de conocimientos adecuados para configurar un proceso de backups y recuperación.
Gestor de protección de datos de System Center
Microsoft recomienda utilizar System Center Data Protection Manager (SC DPM) para hacer backup de datos, incluido Active Directory, en infraestructuras basadas en Windows. SC DPM es una solución centralizada de backups y recuperación de nivel empresarial que forma parte de System Center Suite y puede utilizarse para proteger Windows Server, que incluye servicios como Active Directory. A diferencia de la copia de seguridad gratuita integrada en Windows Server, SC DPM es un software de pago que debe instalarse por separado como solución compleja. La instalación puede parecer algo complicada en comparación con Windows Server Backup. De hecho, es necesario instalar un agente de backups para garantizar que su máquina está totalmente protegida.
Las principales funciones de System Center Data Protection Manager relacionadas con el backup de Active Directory son:
- Compatibilidad con VSS
- Backups incrementales
- Hacer backups de Microsoft Azure en la nube
- No hay recuperación granular de objetos para Active Directory
El uso de SC DPM es más práctico cuando se necesita proteger un gran número de máquinas Windows, incluyendo servidores MS Exchange y MS SWL.
Cómo hacer backup de un controlador de dominio virtual
Los métodos de backups nativos de Active Directory listados pueden utilizarse para hacer backups de servidores Active Directory desplegados tanto en servidores físicos como en máquinas virtuales. Ejecutar controladores de dominio en máquinas virtuales ofrece una serie de ventajas específicas para las máquinas virtuales, como el backup a nivel de host, la posibilidad de recuperarse como máquinas virtuales que se ejecutan en diferentes servidores físicos, etc. Las prácticas recomendadas de backup de Active Directory recomiendan utilizar soluciones de backup a nivel de host al hacer backups de los controladores de dominio de Active Directory que se ejecutan en máquinas virtuales a nivel de hipervisor.
Conclusión
El Directorio Activo está clasificado como una de las aplicaciones más críticas para la empresa, cuya interrupción puede provocar la inactividad de usuarios y servicios. En la entrada del blog de hoy se explican las prácticas recomendadas para hacer backups de Active Directory que le ayudarán a proteger su infraestructura contra fallos de AD. Seleccionar la solución de backups adecuada es lo más importante en este caso.
NAKIVO Backup & Replication es un software de copia de seguridad a nivel de host para VMware y Hyper-V VMs que ejecutan Active Directory Domain Controller. Esta solución permite hacer backup de máquinas virtuales de controlador de dominio completas, incluso si la máquina virtual se encuentra en estado de ejecución, respetando la coherencia de aplicaciones (se utiliza VSS) y proporcionando una recuperación instantánea de objetos AD. No se necesitan agentes. NAKIVO Backup & Replication es compatible con la recuperación granular de Active Directory, gracias a la cual podrá recuperar objetos y contenedores de AD concretos sin invertir el tiempo necesario para hacer una recuperación completa de la máquina virtual. Por supuesto, también se admite la recuperación completa de la máquina virtual del controlador de dominio.
