Gibt es einen Grund, Active Directory zu sichern, wenn Sie mehr als einen Domänencontroller haben?

9

An einem Standort befinden sich 3 Domänencontroller. Es gibt zusätzliche 3 Domänencontroller für 3 Remotestandorte.

Meine Frage: Gibt es einen Grund, warum Sie Active Directory trotzdem sichern sollten?

Wenn einer der Domänencontroller ausfällt, können Sie einen anderen Server bereitstellen und ihn mit den anderen replizieren lassen.

Rowell
quelle

Antworten:

21

Absolut. Was passiert, wenn jemand etwas Dummes tut und alle Konten löscht oder eine kritische Organisationseinheit löscht oder ein Attribut mit einem Skript massenhaft zurücksetzt und es falsch macht?

Möglicherweise stellen Sie den AD-Status zu einem früheren Zeitpunkt wieder her. Dies wird als maßgebliche Wiederherstellung bezeichnet .

Normalerweise ist keine vollständige Sicherung erforderlich, um die AD-Daten abzurufen. Das Active Directory ist Teil einer Systemstatus-Sicherung. Sie müssen wahrscheinlich nicht jeden einzelnen Domänencontroller sichern. Um eine gute Sicherung des AD zu erhalten, sollten Sie eigentlich nur einen der Domänencontroller sichern müssen. Wenn Sie Ereignisprotokolldaten oder andere Dinge benötigen, die sich nur auf einem einzelnen Server befinden, möchten Sie diese möglicherweise abrufen.

In der Regel werden auch andere Dienste wie DHCP auf Domänenmitgliedern installiert. Sie werden das mit ziemlicher Sicherheit wiederherstellen wollen. Wenn Sie nur 3 Server haben, vermute ich, dass dies in Ihrem Fall zutrifft. Es ist wahrscheinlich, dass auf diesen Boxen auch andere scheinbar geringfügige Dienste ausgeführt werden. Sie sollten diese auch sichern, wenn Sie sie nicht woanders replizieren lassen.

Zoredache
quelle
3
+1 Änderungen [auch schlechte], die von Domain-Administratoren vorgenommen wurden, werden von den DCs nicht hinterfragt, sondern replizieren sie nur pflichtbewusst für Sie. Kein Grund, das Schicksal in Versuchung zu führen. Erstellen Sie einfach Backups und freuen Sie sich, wenn Sie sie nie wieder in Produktion bringen müssen.
Jscott
2
+1 - Ich habe einmal versehentlich jedes einzelne Konto in unserer Domain deaktiviert, einschließlich meines eigenen und aller anderen Administratoren (fragen Sie nicht). Sie benötigen diese Backups!
Matt
Hervorragende Punkte zu den Fehlern, die in AD gemacht werden. Die Frage tauchte in meinem Kopf auf, als ich über die Redundanz von DCs diskutierte - was nicht einmal für Änderungen in AD gilt.
Rowell
2
+1 für all die dummen Fehler, die keiner von uns jemals gemacht hat;)
Robin Gill
2
Ich mache nie dumme Fehler. Sie sind "aktive Lernerfahrungen".
Bart Silverstrim