Windows server 2003 архивация и восстановление

Обновлено: 05.07.2024

Архивирование и восстановление - это службы инфраструктуры открытых ключей PKI, которые могут использоваться организацией для восстановления потерянных, похищенных или недоступных секретных ключей шифрования. Архивирование и восстановление ключей - актуальные функции для приложений

Архивирование и восстановление — это службы инфраструктуры открытых ключей PKI, которые могут использоваться организацией для восстановления потерянных, похищенных или недоступных секретных ключей шифрования. Архивирование и восстановление ключей — актуальные функции для приложений, поддерживающих PKI, например приложений защищенной электронной почты, имеющих дело с данными постоянного хранения. Впервые технология централизованного автоматического архивирования и восстановления секретных ключей была предложена в службе Key Management Service (KMS), которая представляет собой часть почтовой системы Microsoft Exchange Server 4.0 и выше, базирующуюся на Secure MIME (S/MIME). В комплект поставки Exchange Server 2003 служба KMS не входит, поэтому, если в организации имеется работающая KMS в среде Exchange 2000 Server и планируется миграция на Exchange 2003, базу данных архивированных ключей KMS придется перенести в базу данных архивированных ключей центра сертификации Windows 2003 Server Certification Authority (CA). Более подробную информацию об этой процедуре можно найти во врезке «Миграция базы данных KMS Exchange». Имеющаяся в Windows 2003 технология архивирования и восстановления ключей построена на концепции KMS: каждый центр сертификации CA уровня предприятия в среде Windows 2003 имеет службу централизованного автоматического архивирования и восстановления ключей. Как описано во врезке «Ручное архивирование и обновление ключей», администраторы PKI могут выполнять соответствующие процедуры и вручную. В этой статье мы рассмотрим, как можно настроить в Windows 2003 процесс автоматического архивирования и восстановления ключей, а также познакомимся с принципами работы данной технологии.

Настройка автоматического архивирования и восстановления

Для настройки параметров архивирования ключей объекта CA используется оснастка Certification Authority консоли MMC. Необходимо открыть диалоговое окно Properties объекта CA и перейти на вкладку Recovery Agents. Чтобы включить функцию восстановления ключей, следует выбрать режим «Archive the key». Как и в KMS Exchange, в центрах CA среды Windows 2003 для восстановления ключей поддерживается фирменная технология: при восстановлении одного ключа из архивной базы данных можно затребовать несколько сертификатов ключа восстановления (Key Recovery certificate) и, соответственно, назначить несколько агентов ключа восстановления (Key Recovery Agent, KRA). KRA представляет собой учетную запись Windows, которая является владельцем сертификата ключа восстановления и секретного ключа, таким образом, данная учетная запись имеет право его восстанавливать. В инфраструктуре Windows 2003 PKI имеются предустановленные шаблоны сертификатов ключей восстановления, поэтому настройку сертификата ключа восстановления для конкретной учетной записи выполнить достаточно просто. Оптимальным с точки зрения безопасности решением является хранение сертификата KRA и секретного ключа на смарт-карте. Нужно указать в текстовом поле Number of recovery agents to use то количество агентов KRA, которое необходимо для ключа восстановления. Затем следует определить те сертификаты KRA, которые будут использоваться при архивировании ключа, для чего требуется нажать кнопку Add, расположенную в нижней части окна. Заметим, что можно задавать больше сертификатов KRA, чем требуется для ключа восстановления. При этом служба центра CA опрашивает контейнер KRA в контексте именования конфигурации Active Directory и возвращает список доступных сертификатов KRA (как показано на экране 1). Следует помнить, что после каждого добавления сертификата KRA необходимо перезапускать службу CA, в противном случае в колонке Status сертификата будет отображаться Not Loaded.

Чтобы разрешить архивирование ключей на уровне шаблона сертификата, требуется запустить оснастку Certificate Template консоли MMC. Для того чтобы включить процедуру автоматического архивирования секретного ключа пользователя PKI при запросе пользователем сертификата, соответствующего конкретному шаблону (например, шаблону New User), нужно открыть окно Properties данного шаблона и перейти на вкладку Request Handling. На этой вкладке необходимо установить флажок Archive subject?s encryption private key, как показано на экране 2. Следует иметь в виду, что это можно делать только в шаблонах сертификатов версии 2.

Архитектура автоматического архивирования и восстановления

После того как было разрешено автоматическое архивирование ключей при каждом запросе архивирования секретного ключа, центр CA случайным образом генерирует симметричный ключ, соответствующий стандарту 3DES (Triple Data Encryption Standard), который используется для шифрования секретного ключа PKI клиента. Затем CA с помощью открытого ключа KRA, сконфигурированного для автоматического архивирования, производит шифрование симметричного ключа. Если было выбрано более одного агента KRA, то CA шифрует симметричный ключ, применяя ключи шифрования каждого из агентов KRA. Пошаговое описание процесса архивирования приведено ниже.

В этом процессе используется сертификат CA Exchange, с помощью которого обеспечивается конфиденциальность и защита целостности данных при передаче клиентом секретного ключа для его архивирования в CA. В новом шаблоне сертификата среды Windows 2003 задается содержимое сертификата. Сертификат CA Exchange физически размещается в атрибутах объекта AD CN= -Xchg, DC= . Секретный ключ сертификата находится в защищенной части реестра сервера CA. Из соображений безопасности пара «сертификат CA Exchange — ключ» имеет непродолжительное время жизни, равное 7 дням.

Клиентские секретные ключи и симметричные ключи хранятся в шифрованном виде в базе данных центра сертификации Windows 2003 CA. Клиентские секретные ключи отображаются в столбце RawArchivedKey, а симметричные ключи — в столбце KeyRecoveryHashes базы данных CA. Чтобы просмотреть эти столбцы и всю структуру схемы базы данных CA, нужно набрать в командной строке:

Для того чтобы определить, имеются ли в базе данных CA секретные ключи сертификатов, можно воспользоваться оснасткой Certification Authority, как показано на экране 3. Для этого в контейнере CA Issue Certificates нужно добавить для отображения столбец Archived Key. Затем следует нажать правой кнопкой мыши на контейнере Certificates, выбрать View, Add/Remove columns из меню и добавить столбец Archived Key.

Восстановление ключей

Пользователь инфраструктуры PKI или приложения, использующего PKI, обычно инициирует процесс восстановления ключа, требующий использования хотя бы одного агента KRA (количество этих агентов задается в свойствах CA). В инфраструктуре Windows 2003 PKI поддерживаются механизмы разделения ролей, позволяющие разделять роли администратора CA (CA administrator), менеджера сертификатов (certificate manager) и KRA, поскольку при обновлении восстановленных из базы CA данных может потребоваться вмешательство менеджера сертификатов. В рассматриваемом ниже примере предполагается, что разделения ролей нет, и используется только один сертификат KRA. Для восстановления архивированного секретного ключа можно пользоваться как командной строкой, так и графическим интерфейсом.

Полная последовательность действий, необходимых для восстановления секретного ключа с помощью командной строки, включает следующие шаги:

Восстановление ключей через графический интерфейс может производиться с помощью утилиты Key Recovery, или krt.exe, также называемой Certification Authority Key Recovery, из набора Microsoft Windows Server 2003 Resource Kit. Диалоговое окно этой утилиты показано на экране 4. Чтобы восстановить ключ с помощью утилиты Key Recovery, нужно выполнить следующие действия:

  1. KRA выбирает в раскрывающемся списке Certification Authority (CA) центр CA, из которого производится восстановление ключей.
  2. Чтобы найти секретные ключи и сертификаты заданного пользователя, KRA выбирает в раскрывающемся списке Search Criteria критерий поиска (например, Common Name, UPN, Serial Number, Hash или Account Name), затем вводит соответствующий идентификатор (например, для обеспечения соответствия критерию Common Name это может быть Administrator) и, наконец, нажимает кнопку Search.
  3. После получения результатов поиска KRA может либо восстановить сразу все архивированные ключи (для этого нужно нажать кнопку Recover), либо обновить только одну пару "ключ-сертификат" (для этого используются кнопки Retrieve Blob или Decrypt Blob).

Восстановление данных и восстановление ключей

Восстановление данных — это процесс в инфраструктуре PKI, с помощью которого выполняется дешифрация данных после потери секретного ключа. Данная служба необходима при работе с постоянно сохраняемыми данными, безопасность которых обеспечивается с помощью технологии шифрования. Невозможность расшифровки таких данных после потери ключа приводит к потере данных. Восстановление данных может выполняться вслед за восстановлением ключа: после того, как пользователь и авторизованный администратор получают доступ к секретному ключу пользователя, тот с помощью данного ключа может расшифровать симметричные ключи, применявшиеся для шифрования данных. Но можно проводить восстановление данных и независимо от восстановления секретных ключей. Хорошим примером применения восстановления данных независимо от восстановления секретных ключей пользователя может служить шифрующая файловая система (EFS) в Windows 2003 и Windows 2000.

В случае если необходимо обеспечить возможность восстановления данных независимо от восстановления секретных ключей пользователей, предварительно формируется специальная группа администраторов, называемая Data Recovery Agents, которая обладает соответствующими полномочиями для дешифрации данных. Группе Data Recovery Agents должны быть доступны симметричные ключи шифрования. Таким образом, если в PKI используется этот тип восстановления данных, для дешифрации копии симметричного ключа используется открытый ключ агентов Data Recovery.

Если при планировании развертывания инфраструктуры PKI необходимо обеспечить восстановление данных, то при выработке решения нужно учитывать следующее.

  • Восстановление данных требуется в тех случаях, когда структура организации такова, что либо требуется независимый доступ к шифрованным данным пользователей, либо не разрешен доступ к секретным ключам пользователей.
  • Если имеется доступ к секретным ключам и не требуется (или не разрешен) доступ к шифрованным данным пользователя, будет вполне достаточно восстановления ключей.
  • Если в организации не разрешается доступ к шифрованным данным или к секретным ключам пользователей, тогда не поможет ни восстановление ключей, ни восстановление данных.

Широкие возможности

Инфраструктура Windows 2003 PKI предоставляет пользователям новые гибкие возможности централизованного автоматического управления процессами архивирования и восстановления ключей. Новая служба архивирования и восстановления ключей в Windows 2003 PKI является намного более зрелой по сравнению с предыдущими реализациями инфраструктуры PKI. Следует также отметить, что, наряду с другими новыми возможностями, данная служба способствует лучшему сосуществованию среды Windows 2003 PKI с реализациями PKI от других производителей.

Миграция базы данных KMS Exchange

Служба KMS (Key Management Service) не входит в комплект поставки Microsoft Exchange Server 2003, поэтому если имеется работающая KMS в среде Exchange 2000 Server и планируется миграция на Exchange 2003, базу данных архивированных ключей KMS потребуется перенести в базу данных архивированных ключей центра сертификации Windows 2003 Server. Если в организации используется Exchange 5.5 Server KMS, тогда сначала следует выполнить обновление до Exchange 2000, поскольку процесс переноса KMS в Windows 2003 CA может работать только с базой данных KMS из версии Exchange 2000.

При необходимости в Windows 2003 CA следует разрешить импорт независимых сертификатов, поскольку импорт сертификатов и ключей, выданных другими центрами CA в базу данных Windows 2003 CA, будет возможен только при условии, что в данном центре разрешен импорт сторонних сертификатов и секретных ключей. Для того чтобы это сделать, требуется ввести в командной строке консоли сервера CA следующую команду:

Затем выполняется экспорт содержимого базы данных KMS Exchange. Для этого используется мастер Exchange KMS Key Export Wizard, который запускается через оснастку Exchange System Manager (ESM) консоли Microsoft Management Console (MMC) сервера Exchange 2000. Для запуска мастера нужно открыть консоль ESM, открыть диалоговое окно Properties объекта Key Manager, после чего выбрать All Tasks, Export Users. Мастер задаст вопросы о сертификате центра CA Export Signing и о том, пользовательские ключи каких групп администраторов Exchange 2000 следует экспортировать. По умолчанию мастер сохраняет результирующий файл экспорта в каталоге \%systemdrive%program filesexchsrvrkmsdata. Нужно найти этот файл и скопировать его на сервер CA.

Чтобы выполнить импорт экспортированных архивных данных KMS в центральную базу архивированных данных CA, используется следующая команда:

С помощью этой команды можно обрабатывать как файлы формата Exchange KMS Export, так и файлы форматов .PFX и .EPF. Последние два формата используются при ручном архивировании сертификатов и секретных ключей. Более подробно этот процесс описан во врезке «Ручное архивирование и восстановление ключей». Если в базу данных добавляется сертификат, выпущенный другим центром CA, тогда в описанной выше команде необходимо использовать ключ -f; данная ситуация типична при миграции архивированной базы данных ключей KMS.

Ручное архивирование и обновление ключей

  • Открыть с помощью оснастки Certificates консоли MMC соответствующее персональное хранилище сертификатов; щелкнуть правой кнопкой мыши на том сертификате или секретном ключе, для которого будет выполняться резервное копирование, затем выбрать из контекстного меню All Tasks, Export. При этом запускается мастер Certificate Export Wizard. Затем нужно установить флажки Yes, export the private key и Enable strong protection (requires IE 5.0 NT 4.0 SP4 and above). Если установлен второй флажок, тогда мастер попросит пользователя ввести пароль для защиты содержимого файла .PFX. Флажок Delete private key if export is successful устанавливать не следует.
  • Запустить Microsoft Internet Explorer (IE) 6.0 и выбрать из меню Tools пункт Internet Options. В диалоговом окне Internet Options следует выбрать вкладку Content, затем открыть диалоговое окно Certificates, для чего требуется нажать Certificates. Выберите сертификат секретного ключа, который пользователю необходимо экспортировать, затем нажмите Export (при этом запустится Cerftificate Export Wizard). Установите те же самые флажки, которые описаны выше.

Пользователи также могут архивировать свои секретные ключи шифрования через Microsoft Outlook. Программа Outlook не сохраняет ключи в файле .PFX, здесь используется специальный файл экспорта Outlook, который имеет расширение .EPF. Данное расширение исторически унаследовано из технологии защищенной почты: аббревиатура EPF означает Entrust Profile. Одна из причин, по которой Outlook до сих пор использует этот формат, заключается в том, что он поддерживает сертификаты X.509 версии 1, которые применялись в предыдущей реализации инфраструктуры Exchange Key Management Service (KMS). Как и для файлов .PFX, здесь можно использовать пароль для защиты содержимого файла .EPF.

Перед тем, как приступить к практической части нашей статьи, необходимо усвоить немного теории. А именно базовые принципы, которые должны лежать в основе вашей политики резервного копирования. Многие начинающие админы путают резервное копирование с обеспечением отказоустойчивости, думая что наличие "зеркала" или RAID5 избавляет их от необходимости делать резервные копии. Но это не так. Отказоустойчивость предупреждает потерю данных в случае аппаратных сбоев, никак при этом не защищая от программных и человеческого фактора. Сбой в программе способен разрушить БД сразу на всех дисках RAID, то же самое произойдет и с ошибочно удаленными данными.

Как видим, резервное копирование никоим образом не заменяет и не дополняет необходимость обеспечения отказоустойчивости, а является независимой операцией, преследующей совершенно иные цели. А именно обеспечить сохранность данных от логических ошибок и человеческого фактора.

Ответом на следующий вопрос должен быть перечень данных подлежащих резервному копированию, частота создания резервных копий и период в течении которого они должны хранится. Для одних данных будет достаточно еженедельного копирования, для других потребуется ежедневное. Для оперативно меняющихся и активно используемых данных вполне хватает одной резервной копии, для других, когда ошибка может быть замечена по прошествии более длительного периода времени желательно иметь резервные копии за период превышающий время обнаружения ошибки. При этом следует соблюдать "золотую середину", помня что резервные копии "продукт скоропортящийся" и устанавливать разумные сроки. Например, для активно использующейся базы 1С резервная копия месячной давности уже не представляет особой практической ценности, а только занимает место на диске.

Ну и последний вопрос, где хранить резервные копии. На наш взгляд наиболее оптимально использовать внешний жесткий диск подключенный через USB или eSATA. И безусловно не стоит хранить резервные копии на одном логическом диске с основными данными, хотя ниже, в практическом примере мы поступим именно так. Но одно дело пример, для ознакомления с технологией, а совсем другое ее применение в производственных целях. Будьте благоразумны, не подвергайте себя неоправданным рискам.

На этом закончим с теорией и перейдем к практике. Для решения поставленной задачи мы будем использовать штатные инструменты предоставляемые нам операционной системой. Это позволит избежать необоснованных расходов на дополнительное ПО и повысит надежность системы в целом (мы считаем что каждое лишнее приложение на сервере вносит дополнительный риск сбоев). Да и зачем изобретать велосипед, когда все уже придумано до нас.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-40-29.jpg

Пуск - Стандартные - Служебные - Архивация данных. В открывшемся в режиме мастера приложении последовательно выбираем: Архивация файлов и параметров, затем Предоставить возможность выбора объектов для архивации.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-42-26.jpg

В следующем окне выбираем файлы и папки для которых мы хотим создать резервные копии. Не стоит пытаться объять необъятное и одним махом архивировать все данные. Более разумно создать отдельные задания для каждого типа данных, это позволит более гибко управлять как параметрами архивации, так и восстановления, а также избежать таких ситуаций, когда вместе с нужными документами случайно "восстановили" ненужные, уничтожив результат труда за последний день / несколько дней / неделю. Далее предстоит указать месторасположение и наименование архива, после чего с основными настройками будет закончено.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-43-25.jpg


Но не спешите жать кнопку Готово. Самое время перейти к настройке дополнительных параметров.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-43-42.jpg

На этом этапе мы можем выбрать тип архивации в зависимости от типа данных и наших требований. Так как в нашем примере архивируются базы 1С, то мы выбрали Обычный способ, так как при активной работе затрагиваются практически все файлы БД. Для папки с офисными документами более подойдет Добавочный способ, позволяющий архивировать только вновь измененные или созданные файлы. Следующим шагом следует указать: добавить ли данный архив к существующим или перезаписать его. В нашем случае была выбрана опция перезаписать, в активно используемой 1С базе ошибки как правило выявляются сразу и необходимости иметь множество резервных копий как правило нет.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-46-09.jpg


Наконец мы добрались до логического завершения, настройки расписания для резервного копирования. Мастер архивации предложит нам выполнить архивацию немедленно или создать задание для планировщика. Естественно, что нас интересует последний вариант. Мы настроили ежедневное выполнение задания в 20:00, когда в офисе гарантированно никого не будет. Затем следует перейти в Панель управления - Назначенные задания и щелкнув правой кнопкой мыши выбрать Выполнить.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-49-35.jpg

Если все сделано правильно мы увидим окно как на рисунке выше и в папке для резервных копий должен появится файл архива.

Восстановление данных можно выполнить двойным щелчком по файлу архива, либо запустив Архивацию данных и выбрав вручную необходимый файл. Мастер последовательно предложит нам выбрать файлы для восстановления (не обязательно восстанавливать весь архив целиком), место для восстановления (есть возможность восстановить файлы по их изначальному расположению либо в отдельную папку) и, в дополнительных опциях, настройки перезаписи уже существующих файлов. Для баз 1С, во избежание коллизий и разрушения БД, следует выбирать полную перезапись, для архива документов, в случае удаления отдельных файлов можно восстановить только их, не затрагивая существующие.

Мы рассмотрели самый простой способ, организацию ежедневного копирования с перезаписью архива, попробуем усложнить условия. Допустим нам требуется ежедневное копирование с сохранением архивов за неделю. Ничего сложного в этом нет, все решается на уровне планировщика. Для начала откроем и изменим существующее задание.

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-56-31.jpg

В строке Выполнить изменим имя создаваемого файла архива, добавив сокращенное наименование дня недели (МО - Monday - Понедельник и т.д.).

Windows-Server-2003-Standard-Edition-(2)-2010-01-30-23-56-43.jpg

На закладке Расписание назначим заданию еженедельное исполнение по Понедельникам в 20:00 с перезаписью существующего архива. Теперь скопируем это задание (перетянуть на свободное место ПКМ) и изменим его для Вторника, аналогично поступим для Среды и т.д. В итоге получим пять заданий, выполняющихся каждое в свой день недели с понедельника по пятницу. Последовательно запустим их и убедимся в корректности работы.

Windows-Server-2003-Standard-Edition-(2)-2010-01-31-00-12-30.jpg

В результате мы должны получить пять архивов на каждый день недели. Таким же способом можно задать любое расписание для архивации данных, либо скомбинировать любые варианты. Например в добавок к ежедневному архиву создавать еженедельный по пятницам и т.п.

В любом случае не забывайте, что грамотно настроенное резервное копирование залог сохранности и бесперебойного доступа к вашим данным.

Видовое разнообразие внешних и внутренних факторов, которые могут поспособствовать краху ОС и привести к нежелательной утрате пользовательских данных, велико. Однако возможности современных ОС позволяют обезопасить важную информацию. Можно выполнить ряд простых предварительных операций и при необходимости вернуть пропавшую информацию.

Как ранее известно, процесс стирания файлов не подразумевает их мгновенное затирание. Ответственная служба ОС Windows Server просто помечает занятое удаленными файлами пространство дискового носителя соответствующей меткой и отображает данный объем накопителя в виде пустого незанятого места. А потом, при выполнении последующих операций записи новых файлов, система производит посекторное затирание отмеченной области и сохраняет новые данные поверх старых. Поэтому, удаленные данные не пропадают. Они все еще находятся на диске. Их можно восстановить независимо от причины, послужившей их пропаже. Также можно вернуть и функциональность всей ОС, если произошел критический сбой или участились системные ошибки.

Ответственный инструмент системной архивации, встроенный в функционал ОС Windows Server

Инструмент «Система архивации данных» в ОС Windows Server является вложенной функцией. Однако, несмотря на ее важность для полноценного и безопасного хранения данных (рассчитана на восстановление информации пользователей, управление хранилищем и возврат работоспособности системы), она не установлена сразу изначально. Пользователям предстоит самостоятельно выполнить ряд простых последовательных шагов и произвести установку инструмента, ответственного за резервное копирование, вручную. Алгоритм установки предполагает следующие действия.

Произведите запуск приложения «Диспетчер серверов», для чего в меню управления системными приложениями «Пуск» найдите и кликните одноименный раздел (в боковом списке программ или закрепленном поле плиток).

Выберите в окне приложения в левой панели управления раздел «Панель мониторинга». Затем в основной панели настроек локального сервера щелкните раздел «Добавить роли и компоненты», запускающий ответственного помощника.

В новом окне встроенного системного помощника в левой панели будут представлены разделы для пошагового заполнения. В разделе «Перед началом работы» ознакомьтесь с важными условиями для продолжения. Проверьте соответствия будущих настроек установленным потребностям, подтвердите, что система обладает последней версией пакета безопасности, а также защищены приоритетные системы контроля и управления. Кликните по кнопке «Далее» и выполните переход к следующей странице.

В разделе основной панели управления «Тип установки» определитесь с приемлемым вариантом будущих характеристик. Изначально помощник предлагает верный раздел. Поэтому, ничего не меняйте, оставьте в качестве своего выбора параметр «Установка ролей и компонентов» и жмите «Далее».

В следующем разделе боковой панели «Выбор сервера», аналогично предыдущему шагу, тоже нет необходимости изменять предложенный помощником выбор. Ничего не меняя нажмите на кнопку продолжения «Далее».

Следующий раздел «Компоненты» боковой панели управления позволяет задать нужный компонент сервера. В одноименном поле, содержащем список всех доступных к использованию компонентов, отыщите выделенный вариант «Система архивации данных Windows Server» и выберите его, отметив соответствующим образом. Потом задействуйте стандартную кнопку перехода к следующему разделу («Далее»).

Ознакомьтесь с представленными характеристиками, отредактируйте их при необходимости, а потом запустите процесс установки путем нажатия на соответствующую кнопку действия.

В финальном разделе боковой панели «Результаты» можно отслеживать весь процесс. По его исполнению, закройте окно ответственной кнопкой «Закрыть».

Искомый инструмент для резервной архивации в операционной системе Windows Server теперь готов к дальнейшему использованию.

Порядок действий для воссоздания архивной копии данных посредством установленного инструмента в ОС Windows Server?

Теперь пользователи могут непосредственно приступить к созданию собственного архива данных, а также к организации автоматической функции резервирования информации в соответствии с персональным распорядком. Алгоритм действий следующий.

Известным способом через меню «Пуск» запустите приложение «Диспетчер серверов». На ленте меню «Панели мониторинга» отыщите и нажмите на кнопку «Средства». В открывшемся выпадающем меню выберите параметр «Система архивации данных Windows Server».

Примечание. Открыть инструмент архивации также можно сразу напрямую, если воспользоваться службой поиска. Наберите запрос «wbadmin.msc» и в разделе «Лучшее соответствие» поисковой панели будет представлен требуемый результат.

В разделе, ответственном за локальную архивацию, пользователи могут воспользоваться любым вариантом, из представленных, по выбору, и настроить параметры резервного копирования (единичные или постоянные) или произвести восстановление данных.

Установка режима резервирования данных согласно собственного распорядка

Чтобы задать параметры периодического цикличного режима архивации согласно персонального распорядка пользователи должны выполнить следующие действия. В консоли инструмента архивации щелкните ответственный параметр «Расписание архивации», представленный в крайней правой панели допустимых действий.

Будет запущен встроенный помощник настройки расписания. Укажите требуемый тип конфигурации, установив напротив нужного параметра индикатор выделения («точку»). В зависимости от задач пользователи могут настроить автоматический режим архивации как для всего сервера, так и для отдельных его элементов.

Установите распорядок, который включает периодичность архивации и приемлемый временной интервал ее исполнения. Используйте потом кнопку «Далее» для перехода к следующим характеристикам.

На следующей странице параметров «Тип места назначения» выберите способ хранения будущих копий, поместив индикатор выделения («точку») рядом с подходящим решением.

Задайте предпочитаемое месторасположение (заполните поле «Расположение») для удаленной папки на странице соответствующей характеристики и перейдите к следующим настройкам.

Зарегистрируйте расписание архивации во всплывающем одноименном окне, подтвердив наличие прав администратора путем ввода данных соответствующей учетной записи.

Проверьте заданные на предыдущих этапах характеристики и сохраните настройки расписания. Нажмите на кнопку окончания «Готово» и завершите процедуру.

При необходимости подготовить архив в одном экземпляре, то выберите режим однократного резервирования. В панели действий инструмента архивации Windows Server отметьте соответствующий раздел («Однократная архивация»).

Задайте тип конфигурации «Настраиваемый» (установите индикатор выделения «точку»).

Выберите элементы, для которых будет выполнена операция резервного копирования, закрепив их в подготовленном поле.

Определитесь с типом места назначения, в котором будет располагаться архивная копия (используйте стандартный способ выбора параметра посредством индикатора выделения «точки»).

Проверьте соответствие примененных параметров. Щелкните на кнопку «Архивировать», когда все характеристики будут представлены верно.

Восстановите операционную систему из подготовленного архива

Резервная копия позволяет быстро и без дополнительных инструментов восстановить работоспособность операционной системы в случае ее непредвиденного сбоя или поломки.

Откройте инструмент «Система архивации данных Windows Server» любым способом. Например, введите в поисковой строке запрос «wbadmin.msc» для прямого мгновенного перехода к требуемому приложению.

В крайней боковой панели допустимых в инструменте действий найдите среди предложенных вариантов и щелкните левой кнопкой мыши раздел «Восстановление», ответственный за требуемую операцию.

В окне помощника восстановления на начальном этапе (в разделе «Приступая к работе») укажите адресное месторасположение ранее сохраненной архивной копии. Отметьте индикатором выделения верный параметр и продолжите, нажав на кнопку «Далее».

Отметьте используемый тип размещения и задайте расположение архива в следующих одноименных разделах.

Так случилось что один из наших админов решил переинсталлировать наш Backup Server. Передо мной была поставлена задача произвести однократное резервное копирование серверов ручными методами, на то время пока Backup Server недоступен.

В записи кратко собраны заметки о порядке действий во время резервного копирования и восстановления в Windows 2003, 2008, 8.1, VMWare, VirtualBox.

Резервное копирование Windows 2003

По пунктам как сделать резервное копирование в windows 2003:

  • Открываем пуск и запускаем: Start Menu - Programs - Accessories - System Tools - Backup
  • Если увидели окошко "Backup or Restore Wizard", то кликаем на "Advanced Mode" - мне больше нравятся расширенные интерфейсы.
  • Переходим на вкладку "Backup"
  • Отмечаем галочками нужные локальные диски и "system state"
  • В нижнем левом углу кнопочкой Browse указываем куда сохранять резервную копию и жмем "Start Backup"

Вот и все. NTBackup поддерживает VSS (Volume Shadow Copy Service, теневое копирование) - то есть будут "забекаплены" даже системные заблокированные файлы и файлы с которым на данный момент времени ведется работа.

Резервное копирование в Windows 2008

Сначала необходимо установить Windows Server Backup Features:

  • Пуск - Administrative tools - Server Manager
  • Кликаем на Features - Add Features
  • Скролим и почти в самом низу ставим галочку напротив Windows Server Backup Features
  • Жмем Next - Install

Ждем окончания установки и переходим к резервному копированию:

  • Пуск - Administrative tools - Windows Server Backup
  • В правом меню нажимаем "Backup Once"
  • Different Options - Custom
  • Отмечаем галочками нужные логические диски
  • Указываем тип резервного копирования, я выбрал сетевой диск - "Remote Shared Folder". Если будете выбирать резервное копирование на локальный диск, то почитайте дополнительную информацию - есть жалобы что в некоторых режимах полностью форматируется диск, на который совершается резервное копирование.
  • Указываем куда копировать Backup - адрес сетевой папки
  • Указываем тип резервного копирования, я выбрал VSS Full Backup
  • Подтверждаем

Стоит знать что в Windows 2008 R2 добавлен некоторый функционал в Windows Server Backup по сравнению с Windows Server 2008.

Бонус: регулярные бекапы на сетевой диск можно реализовать с помощью task Scheduler и команды

wbadmin start backup -backupTarget:\\[server]\[share] -include:C: -vssFull

Можно добавить параметр -quiet, чтобы не задавались лишние вопросы. Запуск естественно через админа.

К сожалению если создавать резервные копии на сетевую папку, то нет возможности сохранять более чем одно состояние сервера, то есть хранится лишь одна резервная копия, все предыдущие удаляются. Но это можно обойти таким способом: подключить в качестве локального тома iscsi-диск, для этого ничего покупать не понадобиться, нужен только еще один windows-сервер с большими дисками для хранения резервных копий. Как это делается можно прочесть в статье "Настройка iSCSI-хранилища в Windows Server 2008 R2"

Восстановление:

  • С флешки восстановиться не получиться, microsoft заблокировал возможность хранение резервных копий на флешке, а значит и восстановление с них
  • Если копируете резервную копию на логический диск, для того чтобы с него восстановиться, то в корне логического диска должна находиться папка WindowsImageBackup
  • Команда для получения версий бекапа с логического диска d:
  • Команда восстановления с резервной копии:

Резервное копирование Windows 8.1

Способ 1: как сделать бэкап через оконный интерфейс

Удобно если не хотите заморачиватся командами и нужно создать резервную копию однократно.

Идем в "Панель управления - История файлов - Резервная копия образа системы"

Способ 2: бэкап при помощи команды wbadmin

Пригодится если хотите настроить автоматическое периодическое создание резервных копий.

Пример команды которая делает резервную копию системы на диск L:

Значение параметров:

  • -backupTarget – букву диска или сетевой путь, где сохранится резервный образ (в автоматически созданную папку WindowsImageBackup)
  • -include – буквы дисков (перечисляются через запятую), которые нужно включить в резервный образ
  • -allCritical – обеспечивает автоматическое включение в образ всех разделов необходимых для полноценного восстановления системы
  • -quiet – обеспечивает тихое выполнение команды без лишних вопросов

Осталось прописать выполнение этой команды в планировщике задач через оконный интерфейс или при помощи например вот такой команды, которая создаст в планировщике задачу "WinBackup" с запуском в 23:00 часа каждые 3 дня:

Посмотреть доступные резервные копии можно при помощи команды:

Восстановление Windows 8.1

Находим установочный диск Windows, грузимся с него и доходим до вот этого этапа:

Восстановление системы Windows 8

Далее выбираем "Диагностика" - "Дополнительные параметры" - "Восстановление образа системы". Ну а дальше думаю разберетесь =)

Восстановление определенных файлов из резервной копии

В десктопных версиях Windows нет, такого встроенного инструментария как в серверных Windows, который поможет восстановить из резервной определенные папки или файлы.

Но если все-таки понадобилось достать какие-то файлы из резервной копии, это сделать достаточно легко. Нужно смонтировать файл с расширением vhdx из папки "WindowsImageBackup\Имя_хоста\Backup Дата" в качестве диска.

Порядок действий:

  • Запускаем оснастку "Управления дисками", команда diskmgmt.msc
  • В главном меню оснастки выбираем "Действия" - "Присоединить виртуальный жесткий диск"
  • В обзоре выбираем "WindowsImageBackup\Имя_хоста\Backup Дата", галочку "Только для чтения" не ставим
  • Вы увидите что в списке дисков появился новый диск, но скорее всего ему не будет выделена "Буква диска", поэтому жмем правой кнопкой мышки по размеченной области диска (на изображении ниже помечено как 1) и выбираем пункт с "Изменить букву диска". Жмите кнопку "Добавить" и назначьте какую-либо букву.
  • Теперь "Моем компьютере" в списке локальных дисков у Вас должен появиться еще один логический диск с тем томом, на котором находятся нужные Вам файлы
  • После окончания работы нажмите правой кнопкой мышки на области которая отмечена цифрой 2 на изображении ниже и выберите пункт "Отсоединить виртуальный жесткий диск"

Восстановление файлов из резервной копии Windows 8.1

Восстановление файлов и папок из теневой копии

Этот способ может выручить когда история файлов не сохранена, резервных копий нет, но файлы нужно восстановить.

Windows время от времени делает теневые копии томов, в том числе во время создания точек восстановления. Для того, чтобы посмотреть список теневых копий введите команду (от имени администратора):

Для каждой из копий указана буква диска и дата\время ее создания:

Восстановление файлов из теневых копий

Для просмотра файлов определитесь с нужной датой и скопируйте идентификатор тома теневой копии (на изображении выше отмечен желтым цветом).

После этого выполните команду:

Вместо shadowcopy и HarddiskVolumeShadowCopy2 подставляйте свои значения.

В корне системного диска появится символическая ссылка shadowcopy, ведущая в теневую копию. Перейдя по ссылке, вы увидите знакомую структуру файлов и папок на время создания теневой копии.

Ошибка 0x8004231f

Если во время резервного копирования Вы получаете ошибку

Или на английском:

Detailed error: ERROR - A Volume Shadow Copy Service operation error has occurred: (0x8004231f) Insufficient storage available to create either the shadow copy storage file or other shadow copy data.

There is not enough disk space to create the volume shadow copy on the storage location. Make sure that, for all volumes to be backup up, the minimum required disk space for shadow copy creation is available. This applies to both the backup storage destination and volumes included in the backup. Minimum requirement: For volumes less than 500 megabytes, the minimum is 50 megabytes of free space. For volumes more than 500 megabytes, the minimum is 320 megabytes of free space. Recommended: At least 1 gigabyte of free disk space on each volume if volume size is more than 1 gigabyte. ERROR - A Volume Shadow Copy Service operation error has occurred: (0x8004231f) Insufficient storage available to create either the shadow copy storage file or other shadow copy data.

То попробуйте выполнять команду резервного копирования без параметра "-allCritical"

Резервное копирование в VMWare Server

Есть у меня несколько виртуальных серверов в бесплатной среде виртуализации VMWare Server. Если вы захотите себе такой, то он вроде уже на официальном сайте недоступен для скачивания

При резервном копировании виртуальных серверов у меня возникли колебания относительно того, как лучше его сделать:

  • Сделать backup хостового сервера захватив диски на которых располагаются папки с виртуальными машинами
  • Сделать резервное копирование каждой виртуальной машины посредством ее ОС
  • Сделать снимки (Snapshot) средствами VMWare
  • Выключать по порядку виртуальные машины и копировать их папки-контейнеры.

Сначала я остановился на варианте со снимком - ведь он должен создаться без остановки виртуальной машины. Но как оказалось снимки в VMWare не совсем те снимки, которые я подразумевал.

Делая снимок виртуальной машины мы просто "замораживаем" файл с файловой системой виртуальной машины и записываем все изменения в дополнительный файл. Снимок делается с целью протестировать какое-то ПО или что-либо вроде этого, и если все хорошо, то снимок удаляется через консоль VMWare (delete shapshot) , в процессе удаления из дополнительного файла все изменения файловой системы накатываются на основной файл. Если же тестирование прошло неудачно, то можно вернуться к предыдущему состоянию через Revert to Snapshot в VMWare.

Выходит в VMWare создавать бекапы через снимки неправильно. Если сделать снимок, то все равно придется копировать все файлы виртуальной машины, а не отдельный файл снимка. Плюс все изменения файловой системы будут записываться в дополнительный файл, если же создать потом еще один снимок - получим +1 дополнительный файл. В результате со временем получим глючную и тормозящую систему.

Потому я выбрал пункт вариант "выключить виртуальную машину и скопировать ее папку", так как мои виртуальные машины не критичны относительно простоев и выключений.

Читайте также: