О необходимости регулярно выполнения резервного копирования серверов сказано не мало, но одной настройки заданий резервного копирования недостаточно, необходимо также следить, чтобы эти задания корректно и успешно выполнялись. Ниже перечислены какими способами можно определить когда было выполнено успешно последнее резервное копирование Microsoft Active Directory (AD). Некоторыми удобно пользоваться для быстрого определения даты последнего резервного копирования, другие удобно использовать для автоматизации в системе мониторинга.

1. После каждого успешного выполнения резервного копии AD в журнале событий Directory Service генерируется событие EventId: 1917 Source: ActiveDirectory_DomainService. Это событие выглядит так:
Отфильтровав в журнале событий по номеру событий, можно узнать фактический график выполнения заданий резервного копирования.

2. Определить дату последней резервной копии AD можно при помощи команды:

repadmin /showbackup

Она покажет точное время выполнения резервной копии каждого из разделов (partition) или их еще называют именованными контекстами (naming context) Службы каталогов, по умолчанию, если не создавались дополнительные, их всего 5:

• Default naming context
• Schema
• Configuration 
• DomainDnsZones
• ForestDnsZones

Например, на приведенном ниже скриншоте можно увидеть, что не все разделы корректно бэкапятся:

3. Через PowerShell явно запросить свойства атрибута dSASignature у каждого контекста именования. Этот атрибут изменяется каждый раз, когда выполняется резервное копирование, и в свойство атрибута LastOriginatingChangeTime устанавливается значение даты последнего резервного копирования.  Командлет PowerShell, который явно вернет дату крайнего бэкапа AD:

(Get-ADReplicationAttributeMetadata -Object "CN=Configuration,DC=DOMAIN,DC=LOC" -Properties dSASignature -Server <DCNAME>).LastOriginatingChangeTime

Ну и для истинных ценителей статистики, можно узнать какое количество раз выполнялось резервное копирование базы AD с момента его развертывания, командлет будет следующий:

(Get-ADReplicationAttributeMetadata -Object "CN=Configuration,DC=DOMAIN,DC=LOC" -Properties dSASignature -Server <DCNAME>).Version

На скриншоте, пример выполнения обоих командлетов:


В заключение, хотелось бы добавить, что если у вас нет имеющегося решения по мониторингу выполнения резервных копий, либо есть развернутая система мониторинга, то не сложно использовать один из описанных выше способов в качестве параметра для мониторинга. Это позволит оперативнее выявлять ситуации, при которых длительное время не выполнялось резервное копирование базы данных Active Directory.