Die Sicherung von Active Directory-Domänencontrollern mag kompliziert oder langweilig klingen, ist aber unerlässlich – insbesondere im Katastrophenfall. Vielleicht betreiben Sie mehrere Domänencontroller und es erscheint redundant, aber seien wir ehrlich: Es kann immer etwas passieren: beschädigte AD-Datenbanken, Malware-Infektionen oder sogar Ransomware, die alles verschlüsselt. Regelmäßige Backups sind daher nicht nur empfehlenswert, sondern ein Muss. Zu wissen, wie man Backups manuell erstellt oder den gesamten Prozess automatisiert, erspart Ihnen später viel Ärger. Am Ende verfügen Sie über einen Prozess, der nicht nur AD sichert, sondern auch automatisch ausgeführt werden kann. So können Sie beruhigt sein, dass Ihre Daten sicher sind, selbst im schlimmsten Fall.
So sichern Sie Ihren Active Directory-Domänencontroller (DC) – Schritt für Schritt
Was hat es mit dem Backup von AD auf sich?
Active Directory (AD) ist das Gehirn Ihres Netzwerks. Wird es gelöscht oder beschädigt, kann sich niemand mehr anmelden, Gruppenrichtlinien funktionieren nicht mehr und Ihre gesamte Umgebung gerät ins Wanken. Daher ist eine ordnungsgemäße Datensicherung Ihrer Domänencontroller (DCs) unerlässlich. Selbst wenn Sie mehrere DCs mit replizierten Daten haben – wenn alle ausfallen, ist die Datensicherung Ihre Rettung. Die beste Methode ist in der Regel eine Systemstatussicherung. Diese konsolidiert AD, DNS, die Registrierung und andere wichtige Systeminformationen. So können Sie Ihren Domänencontroller auf einen früheren Zustand zurücksetzen, ohne alles von Grund auf neu installieren zu müssen.
Wie man überprüft, welche DCs FSMO-Rollen innehaben.
- PowerShell als Administrator öffnen
- Laufen:
netdom query fsmo
Dieser Befehl listet die Domänencontroller auf, die wichtige Rollen wie Schema-Master, RID-Master usw.innehaben. Er ist ein guter Ausgangspunkt, um zu wissen, welche Domänencontroller am wichtigsten für regelmäßige Backups sind.
Herausfinden, wann die letzte AD-Sicherung erstellt wurde.
Das Datum der letzten Datensicherung zu kennen, mag etwas ungewöhnlich klingen, ist aber äußerst nützlich. Sie können dies folgendermaßen repadminüberprüfen:
repadmin /showbackup
Es zeigt Ihnen an, wann die letzten AD-Backups durchgeführt wurden. Bei manchen Konfigurationen kann das Datum sehr alt sein, insbesondere wenn manuelle Backups nicht regelmäßig erstellt werden. Außerdem können Sie für jeden Domänencontroller individuelle Informationen abrufen mit:
repadmin /showbackup *
Und wenn Sie sehen möchten, wie oft AD auf einem bestimmten DC gesichert wurde, kann beispielsweise Folgendes funktionieren:
(Get-ADReplicationAttributeMetadata -Object "CN=Configuration, DC=YOURDOMAIN, DC=COM" -Properties dSASignature -Server YOUR-DC-NAME).Version
Ersetzen Sie einfach Ihre Domänen- und Domänencontrollernamen. Beachten Sie: Wenn Ihre Domänencontroller virtualisiert sind und Snapshots verwendet werden, aktualisieren diese das Attribut „LastOriginatingChangeTime“ nicht immer korrekt, was die Backup-Nachverfolgung beeinträchtigen kann.
Verwenden der Windows Server-Sicherung zum Erstellen von AD-Snapshots
Sie haben keine ausgefallene Backup-Software? Kein Problem. Windows Server Backup (WSB) ist eine solide integrierte Option. Es kann den *Systemstatus* sichern, der Active Directory, DNS, die Registrierung und einige andere wichtige Daten umfasst. Im Prinzip reicht es aus, um einen Domänencontroller bei Bedarf wiederherzustellen.
Prüfen Sie zunächst, ob WSB installiert ist:
Get-WindowsFeature Windows-Server-Backup
Falls nicht, fügen Sie es hinzu:
Add-WindowsFeature Windows-Server-Backup –IncludeAllSubFeature
Nach der Installation können Sie eine Sicherung auf einer Netzwerkfreigabe wie z. B.\\\\mun-back1\backup\dc01 erstellen.
Achten Sie darauf, die Freigabeberechtigungen anzupassen – SYSTEM, Domänenadministratoren und Domänencontroller benötigen Lese- und Schreibzugriff. Sie können die grafische Benutzeroberfläche in wbadmin.msc verwenden, für die Automatisierung empfiehlt sich jedoch die Befehlszeile.
Automatisierte Datensicherungen mit PowerShell-Skripten
Hier wird es interessant – oder kompliziert, je nachdem, wie detailliert Sie vorgehen möchten. Mit PowerShell können Sie den gesamten Sicherungsprozess skripten und ihn zeitgesteuert ausführen lassen.Üblicherweise verwendet man dafür wbadmin.exezusätzliche Befehle oder Parameter, um inkrementelle Sicherungen zu verwalten oder mehrere Kopien zu erstellen. Ein einfaches Skript könnte so aussehen:
$path="\\\\mun-back1\\backup\\dc1\\" Import-Module ServerManager [string]$date = Get-Date -f 'yyyy-MM-dd' $TargetUNC=$path + $date # Check if folder exists, create if not if (!(Test-Path -Path $TargetUNC)) { New-Item -Path $TargetUNC -ItemType Directory } # Start the backup $WBadmin_cmd = "wbadmin.exe START BACKUP -backupTarget:$TargetUNC -systemState -noverify -vssCopy -quiet" Invoke-Expression $WBadmin_cmd
Wenn Sie alte Backups nach einer bestimmten Anzahl von Tagen löschen möchten, fügen Sie Ihrem Skript einige Befehle hinzu, wie zum Beispiel:
$ChDaysDel = (Get-Date).AddDays(-90) Get-ChildItem -Path $TargetUNC -Recurse | Where-Object { $_. CreationTime -lt $ChDaysDel } | Remove-Item -Recurse -Force
Um nur die letzten N Backups zu behalten, könnten Sie Folgendes verwenden:
$KeepVersion=10 & wbadmin delete backup -keepVersions:$KeepVersion -quiet
So vermeiden Sie, dass Ihnen bei endlosen Backups der Speicherplatz ausgeht.
Denken Sie daran, nach dem Ausführen des Skripts die WindowsServerBackupProtokolle zu überprüfen, C:\Windows\Logs\WindowsServerBackup\um sicherzustellen, dass alles erfolgreich abgeschlossen wurde.Überprüfen Sie außerdem das Datum Ihrer letzten Datensicherung mit folgendem Befehl:
repadmin /showbackup
Und voilà – Sie haben stets aktuelle, geplante AD-Backups im Autopilot-Modus, die bei Bedarf wiederhergestellt werden können.
Zusammenfassung
Die Einrichtung von AD-Backups mag anfangs etwas kompliziert erscheinen, wird aber nach der Konfiguration zur Routine. Wichtig ist, zu verstehen, was (Systemstatus) gesichert werden soll, wie oft und dass die Sicherung automatisiert ist. Gerade nach einem fehlerhaften Update oder einem Malware-Angriff möchte man nicht ohne aktuellen Wiederherstellungspunkt dastehen. Jede Umgebung ist etwas anders, daher sollten Skripte und Zeitpläne an die eigenen Bedürfnisse angepasst werden. Denken Sie daran: Vorsicht ist besser als Nachsicht.
Zusammenfassung
- Überprüfen Sie die FSMO-Rollen mit
netdom query fsmo - Verwenden Sie diese Funktion
repadmin /showbackupregelmäßig, um die letzten Backups nachzuverfolgen. - Aktivieren Sie die Windows Server-Sicherung, falls diese noch nicht installiert ist.
- Erstellen Sie Systemstatussicherungen über die grafische Benutzeroberfläche oder die Befehlszeile.
- Automatisieren Sie Backups mit PowerShell-Skripten und geplanten Aufgaben.
- Stellen Sie sicher, dass die Berechtigungen für die Sicherungsziele korrekt sind.