1/18/2555

การสำรองข้อมูลของ Active Directory Certificate Service (AD CS)

19:51    No comments

        Active Directory Certificate Service (AD CS) เป็นบริการหนึ่งในหลายๆ บริการของ Active Directory ใน Windows Server 2008 ซึ่งหน้าที่หลัก AD CS ก็คือการทำหน้าที่ในการออกกุญแจ (Key) ซึ่งใช้วิธีการทำงานในรูปแบบ Public Key Infrastructure (PKI) นั่นเอง
        ดังนั้นการสำรองข้อมูลของ AD CS โดยทั่วๆ ไปแล้วก็คือการสำรองการทำงานของระบบกุญแจต่างๆ ซึ่งเกี่ยวกับการดำเนินการรักษาความปลอดภัยของระบบโดยรวมนั่นเอง ซึ่งจริงๆ แล้วหากผู้ใช้งานทำการสำรองข้อมูลระบบ (System State) ไว้แล้วนั้นก็จะเป็นการสำรองข้อมูลเกี่ยวกับ AD CS ไปด้วยในตัว ยกเว้น ยังไม่มีการทำการสำรอง Private Key ของ Certificate Authority เนื่องจากใน Windows Server 2008 นั้นได้มีการย้าย Folder ที่เก็บ Private Key ของ Certificate Authority ไปไว้ยังอีก Folder หนึ่งนอกเหนือจากการสำรองข้อมูลใน System State
        ด้วยเหตุนี้จึงจะขอสรุปขั้นตอนเพิ่มเติมที่ต้องดำเนินการทำการสำรองข้อมูลของ AD CS นอกเหนือไปจากการสำรองข้อมูล System state ดังต่อไปนี้
ขั้นตอนที่ 1 สร้าง Folder สำหรับเก็บข้อมูลสำรอง

  • ให้ทำการสร้าง Folder สำหรับเก็บสำรองข้อมูลเพิ่มเติมขึ้นอีก 1 Folder ในที่นี้สมมุติว่าเป็น “C:\BackupCA”
backup ca01
ขั้นตอนที่ 2 สำรองข้อมูล Private Key ของ Ceritificate Authority      
  • ทำการสำรอง Private Key ของ Certificate Authority โดยใช้ CERTUTIL  โดยใช้คำสั่งในรูปแบบ
        certutil –backup –p      เช่น
backup ca02
  • จะปรากฎผลการดำเนินการดังตัวอย่างในรูป แสดงว่าการ Backup Database ประสบผลสำเร็จ
backup ca03
  • จะปรากฎ File ที่ได้จากการ Backup ไว้ใน C:\BackupCA ดังรูป
backup ca04
ขั้นตอนที่ 3 สำรองข้อมูล Registry ที่จำเป็นในการทำงาน
  • ทำการ Export Registry ที่เกี่ยวข้องในการทำงานของ AD CS ไปไว้ใน C:\BackupCA  โดยใช้คำสั่ง
        reg export HKLM\System\CurrentControlSet\Services\CertSvc\Configuration เช่น
backup ca05      
  • หากดำเนินการสำเร็จจะมีผลลัพธ์ดังรูป
backup ca06
  • เมื่อไปดูใน C:\BackupCA จะพบว่ามี File “regkey.reg” เพิ่มขึ้นมา
backup ca07
  • เก็บข้อมูลของ CSP (cryptographic service provider) โดยใช้คำสั่ง
        Certutil –getreg CA\CSP  > เช่น
backup ca08
  • เมื่อไปดูใน C:\BackupCA จะพบว่ามี File “CSP.txt” เพิ่มขึ้นมา
backup ca09
ขั้นตอนที่ 4 การจัดทำ Script สำหรับการสำรองข้อมูล โดยอัตโนมัติ
  • หาก ต้องการให้ Windows ทำการสำรองข้อมูลให้โดยอัตโนมัติ ก็สามารถทำได้ โดยเขียน Script เป็น Batch File โดยใช้คำสั่งดังกล่าวข้างต้นมาไว้ด้วยกัน และใช้ Schedule Tasks ในการสั่ง Run โดยอัตโนมัติ  ตัวอย่าง Script ดังนี้
backup ca10
        จากตัวอย่าง Script ข้างต้น จะมีการใส่คำสั่งให้ทำการลบข้อมูลเก่าใน C:\BackupCA ออกทุกครั้งด้วย
ขั้นตอนที่ 5 ทำการ Backup C:\BackupCA โดยใช้ Windows Server Backup (WSB)
        เมื่อได้ข้อมูลที่ต้องการ Backup แล้วก็ให้เรียกใช้ Windows Server Backup เพื่อทำการสำรองข้อมูลใน C:\BackupCA ต่อไป ดูรายละเอียดการใช้งาน

หมายเหตุ
        หากเครื่อง Certificate Authority มีการติดตั้ง Web Enrollment ด้วย ให้ทำการสำรองข้อมูลของ IIS เพิ่มเติม ดูรายละเอียดการใช้งาน

0 ความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)