Аварийное восстановление Active Directory с помощью DPM

8

У меня тут какой-то вопрос-22.

Предположим, я использую Microsoft System Center Data Protection Manager (2010 или 2012, он работает одинаково) для резервного копирования, среди прочего, моей среды Active Directory (как в «Состояние системы моих контроллеров домена»).

Затем происходит полная потеря центра обработки данных. Я должен начать все заново на новом оборудовании, у меня есть только резервные копии на магнитной ленте, потому что они хранились вне сайта. Поэтому я покупаю несколько новых серверов, новую ленточную библиотеку, новое хранилище и так далее.

Теперь все знают (или должны знать), что для аварийного восстановления Active Directory мне нужно как минимум восстановить состояние системы контроллера домена; Конечно, это может быть ... сложно, если мне нужно восстановить его на другом оборудовании от исходного сервера, но давайте также предположим, что этот вопрос уже рассмотрен.

Тем не менее, и вот в чем подвох, DPM нуждается в Active Directory для правильной работы ; он даже не будет установлен на отдельном сервере. Но, конечно, рабочий сервер DPM необходим для того, чтобы вернуть эти резервные копии с лент.

Как я могу восстановить свою среду Active Directory, начиная только с новых серверов и резервных копий ленты DPM?

NB. Использование виртуальных контроллеров домена и резервное копирование полных виртуальных машин может упростить восстановление, но на самом деле вопрос не меняет вообще: рабочая среда AD по-прежнему необходима для того, чтобы даже установить DPM.

active-directory disaster-recovery restore scdpm system-state Massimo
источник
Честно говоря - Состояние системы контроллера домена - это защита от случайного удаления объектов или повреждения базы данных. У вас действительно должен быть второй (географически другой) сайт с контроллером домена для сценариев аварийного восстановления.
Пауска
1
И у меня обычно есть. Но это полный сценарий аварийного восстановления, и его необходимо включить в план аварийного восстановления, даже если это очень маловероятно. Кроме того, не каждый бизнес охватывает несколько сайтов или может позволить себе запасной «горячий» центр обработки данных.
Массимо

Ответы:

5

До сих пор я смог придумать следующую процедуру, но я очень надеюсь, что есть более простой способ:

  • Установите операционную систему на новый сервер
  • Создайте новый «фиктивный» домен и сделайте сервер его контроллером домена
  • Установите операционную систему на второй сервер
  • Присоединить сервер к домену "пустышка"
  • Установите DPM на втором сервере и подключите его к ленточной библиотеке.
  • Восстановить базу данных DPM (*)
  • Найти ленту с резервной копией состояния системы контроллера домена
  • Восстановление резервной копии системы в сетевую папку
  • Выбросьте все, кроме восстановленной резервной копии
  • Установите операционную систему на новый контроллер домена
  • Восстановите резервную копию состояния системы на новом контроллере домена
  • Убедитесь, что восстановленная AD работает правильно
  • Установите операционную систему на новый сервер DPM
  • Присоедините новый сервер DPM к восстановленному домену
  • Установите DPM на новый сервер DPM и подключите его к ленточной библиотеке.
  • Восстановите базу данных DPM
  • Начните восстанавливать все остальное в соответствии с вашим планом DR

Это решение неуклюже, долго и несколько неловко, но оно должно работать; Единственное, что меня беспокоит, - это восстановление базы данных DPM в первый раз (шаг, помеченный (*) в списке), потому что я не знаю, может ли это работать при работе в другом домене AD. Если это не сработает, то единственным решением будет ручной импорт ленты, содержащей резервную копию состояния системы DC ... и удачи в ее поиске, если у вас есть резервные копии приличного размера.
Но, конечно, это также относится к поиску резервной копии базы данных DPM в первую очередь ...

Massimo
источник
Похоже, что первые 5-1 / 2 маркеров могут быть реализованы заранее как виртуальные машины на нетбуке, который находится в том же хранилище, что и ленты - своего рода рабочая станция для начальной загрузки, если хотите. Вы также можете иметь подготовленную виртуальную машину для контроллера домена на нетбуке, готовую принять состояние системы, и другую, готовую присоединиться к домену и стать новым сервером DPM. С таким же успехом у вас может быть файловая папка на этом нетбуке со всеми необходимыми установочными носителями.
alx9r
2
К вашему беспокойству о том, работает ли «Восстановление базы данных DPM» в другом домене: «Полностью поддерживается чтение лент с разных серверов dpm независимо от домена или версии dpm». ( источник ) Вам просто нужно иметь под рукой сертификаты, используемые для шифрования лент.
alx9r
4

Мы резервируем сервер DPM отдельно (с помощью запланированной задачи командной строки) еженедельно, а базу данных DPM ежедневно.

Таким образом, мы можем загрузить сервер DPM из резервных копий, не управляемых DPM, и вход в систему будет работать с кэшированными учетными данными домена. Затем я могу начать восстанавливать «настоящие» резервные копии из нашей виртуальной ленточной библиотеки.

Это работает, потому что сервер DPM использует локальную базу данных с локальным входом в систему, потому что мы хотели, чтобы устройство было как можно более автономным. Если ваш сервер использует удаленную базу данных, это может не сработать для вас.

namezero
источник
1
«Мы резервируем сервер DPM отдельно ...» - чтобы это работало в случае, когда весь сайт удален, некоторые из этих отдельных резервных копий должны быть вне сайта. Мне любопытно, как ты этого добился.
alx9r
1
Привет, со старой доброй запланированной задачей wbadmin запустите резервное копирование -quiet -allCritical -systemState -vssFull. Мы также создаем резервную копию локального экземпляра MSDPM2010 с помощью BACKUP DATABASE [DPMDB] TO DISK ... Таким образом, сервер DPM может быть автономно загружен и повторно инвентаризован для восстановления.
Namezero
3

Сделайте резервную копию своих контроллеров домена в Azure. Это очень дешево (100 ГБ стоит 10 долларов в месяц) и очень прост в использовании. Тогда для восстановления AD требуется только следующее:

  • доступ к вашей подписке Azure - не должно быть проблемой
  • фраза-пароль, используемая для шифрования резервных копий Azure - сохраняйте ее вне сайта, на своем накопителе, где хранятся ключи SSH / BitLocker / etc, или что-то в этом роде

Затем вы можете восстановить на совершенно новом временном Windows Server без каких-либо доменов (новых или существующих). Это верно, вам не нужно присоединять его к любому домену. Процедура выглядит так:

  1. Перейти к Azure / Службы восстановления

  2. Откройте соответствующее хранилище резервных копий

    • Загрузите агент резервного копирования Azure для Windows Server
    • Скачать учетные данные Vault

  3. Установить агент на временном сервере

  4. Мастер регистрации сервера

    • указать загруженные учетные данные
    • Generate Passphrase <- сохраните его, хотя это не должно быть слишком важно, так как этот сервер предназначен только для временного использования

  5. Пуск / Microsoft Azure Backup / Восстановление данных

  6. Мастер восстановления данных

    • Другой сервер / снова укажите загруженные учетные данные
    • Выберите Сервер резервного копирования / (ваш старый сервер DPM)
    • Искать файлы
    • Хранилище виртуальных машин будет указано как полные пути вместо понятных имен, но, тем не менее, оно будет работать
    • После того, как вы выберете данные для восстановления, он запросит парольную фразу, которую вы использовали на OLD DPM-сервере, чтобы зашифровать ваши данные в облаке, поэтому вам абсолютно необходима резервная копия этой парольной фразы. Если у вас его нет, значит, вы в порядке.

И это все. Я проверял это, это работает :)

bviktor
источник