Prokursy Online

Podstawy

🟢 EGZAMIN4 min czytaniaPostęp: 76/233

Polityka backupów – Windows Server / AD

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Co wnosi ta lekcja

Poznasz politykę backupów w środowisku Windows Server i AD: cel (disaster recovery, AD, ransomware), zasadę 3-2-1, typy backupów (Bare Metal, dane, System State), harmonogram, retencję, test odtwarzania; oraz realny przykład wdrożenia (Synology, GFS, ochrona przed ransomware) i zasady produkcyjne.

Polityka backupów – Windows Server / AD

Cel polityki

Celem backupu jest: odzyskanie systemu po awarii (disaster recovery), odzyskanie plików po usunięciu przez użytkownika, odzyskanie kontrolera domeny (AD), ochrona przed ransomware.

Zasada 3-2-1 (fundament)

3 kopie danych, 2 różne nośniki, 1 kopia poza lokalizacją (off-site). Przykład: (1) system produkcyjny, (2) backup lokalny na dysku E:, (3) backup zewnętrzny (NAS / inna maszyna / chmura).

Typy backupów

A) Backup systemu (Bare Metal) – system operacyjny, AD, rejestr, konfiguracja, role. Pełne odtworzenie serwera. Robimy codziennie.

B) Backup danych (wolumeny) – pliki użytkowników, udziały sieciowe, foldery firmowe. Robimy codziennie.

C) Backup System State – baza AD, SYSVOL, rejestr. Bez tego nie odtworzysz domeny. Robimy codziennie.

Harmonogram

Codziennie 23:00 – pełny backup (Bare Metal + dane). Co tydzień (niedziela) – pełny backup + test przywracania. Co miesiąc – kopia offline (odłączany dysk).

Retencja

Przykład: 7 kopii dziennych, 4 tygodniowe, 3 miesięczne = historia ok. 3 miesiące wstecz.

Backup vs Snapshot (w kontekście AD)

Snapshot NIE jest backupem produkcyjnym. Snapshot: dobry do testów, przed instalacją roli; NIE zabezpiecza przed uszkodzeniem hosta, NIE chroni przed ransomware. Backup: zapisany jako osobny plik, można odtworzyć na innym serwerze, spełnia wymogi audytu.

Gdzie NIE robić backupu

Na tej samej partycji C:, na tym samym fizycznym dysku, tylko jako snapshot VM.

Test odtwarzania

Backup, którego nie testujesz = nie istnieje. Raz w miesiącu: przywróć plik testowy, sprawdź czy AD się odtwarza, sprawdź czy serwer startuje.

Polityka dla labu (VM)

Snapshot przed AD, po AD, po DNS; backup raz na tydzień. W produkcji: snapshotów unikamy dla kontrolerów domeny.

Polityka anty-ransomware

Dysk backupowy: nie stale widoczny, powinien być odłączany, najlepiej backup offline. Ransomware szyfruje również dyski podłączone.

Przykładowa polityka (skrót)

Serwer: SRV-WS2019. Typ: Bare Metal + System State + wolumeny. Częstotliwość: codziennie 23:00. Retencja: 7 dni + 4 tygodnie + 3 miesiące. Nośnik: dysk zewnętrzny + NAS. Test restore: raz w miesiącu. Snapshot: tylko do celów testowych.

Środowisko produkcyjne – przykład wdrożenia

Poniżej realny scenariusz wdrożenia backupu u klienta (Windows Server 2019 + AD + ERP + pliki + Synology jako backup storage).

Środowisko

Serwer: Windows Server 2019, Active Directory (DC), DNS, File Server, ERP (np. Streamsoft/SQL), 15–30 użytkowników. Backup storage: NAS Synology (np. DS923+, DS1522+), RAID SHR/RAID 5, 2× dysk 8–12 TB, opcjonalnie hot spare.

Architektura backupu (model 3-2-1)

Windows Server → (LAN 1Gb/2.5Gb) → Synology NAS (repozytorium) → Hyper Backup do: drugiego NAS, chmury (C2/Wasabi/S3), dysku USB offline.

Co backupujemy

1. Bare Metal – system, AD, System State, rejestr, role, bootloader; odtworzenie całego serwera na nowym sprzęcie. 2. SQL/ERP – osobny backup bazy, harmonogram co 1h/4h, na NAS. 3. Dane użytkowników – udziały sieciowe, foldery firmowe.

Rozwiązanie: Synology Active Backup for Business

Na Synology: Pakiety → Active Backup for Business. Na Windows Server: agent Synology. Daje: pełny image systemu, deduplikację, kompresję, harmonogram, szybkie odtworzenie bare metal, odtworzenie do VM, wersjonowanie.

Polityka – produkcja

Codziennie 23:00 – pełny backup (image). Co 4h – backup różnicowy danych. SQL – co 1h backup logów.

Retencja (GFS)

7 kopii dziennych, 4 tygodniowe, 6 miesięcznych, 2 roczne (Grandfather-Father-Son).

Replikacja

Hyper Backup na Synology: kopia do drugiego NAS (inna lokalizacja), chmury (C2/Wasabi), dysku USB offline. Zabezpieczenie przed pożarem, kradzieżą, ransomware.

Ochrona przed ransomware

Snapshot replication, Immutable backup (jeśli model wspiera), oddzielne konto backupowe (nie admin domeny), ograniczony dostęp SMB.

Konfiguracja sieciowa NAS

Statyczne IP, opcjonalnie osobny VLAN, brak dostępu z internetu, dostęp tylko z serwera.

Test restore

Raz w miesiącu: odtwórz plik testowy, odtwórz VM testową, sprawdź AD restore. Backup bez testu = fikcja.

Gdy serwer padnie

Nowy sprzęt → boot z nośnika Synology Recovery → wskazanie backupu → Restore Bare Metal → serwer wraca z AD, DNS, ERP. Czas: 2–6 h.

Koszt wdrożenia (orientacyjnie)

Synology DS923+ ~2500–3000 zł, 2× HDD 8TB ~1200–1600 zł, wdrożenie 1500–3000 zł, opcjonalnie chmura 50–150 zł/mies.

Wersja profesjonalna (ERP)

2 kontrolery domeny, NAS lokalny + NAS w drugiej lokalizacji, backup SQL co godzinę, snapshoty co 6h, Immutable backup.

Zasady produkcyjne

  • Snapshot VM ≠ backup.
  • Backup poza serwerem.
  • Backup musi być testowany.
  • Backup nie może być stale dostępny dla użytkowników.
  • Konto backupowe ≠ konto admin domeny.

Myślenie admina (ważne)

  • Backup to nie opcja, to obowiązek.
  • Backup robimy przed zmianami.
  • Snapshot ≠ backup.
  • „Zrobię później” = „stracę serwer”.

Zapamiętaj

  • Cel backupu: odzyskanie systemu po awarii, plików, kontrolera domeny (AD), ochrona przed ransomware.
  • Zasada 3-2-1: 3 kopie, 2 nośniki, 1 kopia off-site. Typy: Bare Metal (system, AD, role), dane (wolumeny), System State (baza AD, SYSVOL).
  • Harmonogram: codziennie pełny backup; co tydzień test przywracania; co miesiąc kopia offline. Retencja np. 7 dni + 4 tyg. + 3 mies.
  • Backup vs snapshot w AD: snapshot nie jest backupem produkcyjnym; backup poza serwerem, testowany; nie na C:, nie tylko snapshot VM.
  • Środowisko produkcyjne: NAS (np. Synology), model 3-2-1, GFS, replikacja, ochrona przed ransomware; zasady: backup poza serwerem, konto backupowe ≠ admin, test restore. Myślenie admina: backup to obowiązek, przed zmianami; snapshot ≠ backup.

Sprawdź się

Notatki (opcjonalnie)
PoprzedniaNastępna