Active Directory phục hồi thảm họa với DPM


8

Tôi có một loại câu hỏi Catch-22 ở đây.

Giả sử tôi đang sử dụng Trình quản lý bảo vệ dữ liệu của Trung tâm hệ thống Microsoft (2010 hoặc 2012, nó hoạt động theo cùng một cách) để sao lưu, trong số nhiều thứ khác, môi trường Active Directory của tôi (như trong "Trạng thái hệ thống của bộ điều khiển miền của tôi").

Sau đó, một trung tâm dữ liệu hoàn chỉnh bị mất xảy ra. Tôi phải bắt đầu làm mới phần cứng mới, tôi chỉ có sẵn các bản sao lưu băng của mình vì chúng được lưu trữ ngoài trang web. Vì vậy, tôi mua một số máy chủ mới, thư viện băng mới, bộ nhớ mới, v.v.

Bây giờ, mọi người đều biết (hoặc nên biết) rằng để thực hiện khôi phục thảm họa Active Directory, tôi ít nhất cần khôi phục trạng thái hệ thống của bộ điều khiển miền; tất nhiên, điều này có thể trở nên ... khó khăn nếu tôi cần khôi phục nó trên phần cứng khác với máy chủ ban đầu, nhưng chúng ta cũng giả sử điểm này được bảo vệ.

Tuy nhiên, và đây là cách bắt, DPM cần Active Directory để hoạt động ; Nó thậm chí sẽ không cài đặt trên một máy chủ độc lập. Nhưng, tất nhiên, cần có một máy chủ DPM hoạt động để lấy lại các bản sao lưu đó từ các băng.

Làm cách nào tôi có thể khôi phục môi trường Active Directory của mình bắt đầu chỉ với các máy chủ mới và bản sao lưu băng từ DPM?

NB Sử dụng bộ điều khiển miền ảo và sao lưu toàn bộ VM có thể giúp khôi phục dễ dàng hơn, nhưng thực tế không thay đổi câu hỏi nào cả: vẫn cần một môi trường AD hoạt động để thậm chí cài đặt DPM.


Thành thật - Làm trạng thái hệ thống của bộ điều khiển miền là để bảo vệ bạn khỏi việc vô tình xóa các đối tượng hoặc làm hỏng cơ sở dữ liệu. Bạn thực sự nên có một trang web thứ hai (khác biệt về mặt địa lý) với bộ điều khiển miền trong đó cho các kịch bản khắc phục thảm họa.
pauseka

1
Và tôi thường có. Nhưng đây là một kịch bản khắc phục thảm họa hoàn chỉnh và cần phải đi vào một kế hoạch khắc phục thảm họa ngay cả khi điều đó rất khó xảy ra. Ngoài ra, không phải mọi doanh nghiệp đều mở rộng nhiều trang web hoặc có thể mua một trung tâm dữ liệu "nóng" dự phòng.
Massimo

Câu trả lời:


5

Cho đến nay, tôi đã có thể đưa ra quy trình sau đây, nhưng tôi thực sự hy vọng có một cách đơn giản hơn:

  • Cài đặt hệ điều hành trên một máy chủ mới
  • Tạo một miền "giả" mới và biến máy chủ thành bộ điều khiển miền của nó
  • Cài đặt hệ điều hành trên máy chủ thứ hai
  • Tham gia máy chủ đến miền "giả"
  • Cài đặt DPM trên máy chủ thứ hai và kết nối nó với thư viện băng
  • Khôi phục cơ sở dữ liệu DPM (*)
  • Tìm băng với bản sao lưu trạng thái hệ thống của bộ điều khiển miền
  • Khôi phục sao lưu stabe hệ thống vào vị trí mạng
  • Vứt bỏ mọi thứ trừ bản sao lưu được khôi phục
  • Cài đặt hệ điều hành trên bộ điều khiển miền mới
  • Khôi phục sao lưu trạng thái hệ thống trên bộ điều khiển miền mới
  • Xác minh rằng AD được khôi phục đang hoạt động đúng
  • Cài đặt hệ điều hành trên máy chủ DPM mới
  • Tham gia máy chủ DPM mới vào miền được khôi phục
  • Cài đặt DPM trên máy chủ DPM mới và kết nối nó với thư viện băng
  • Khôi phục cơ sở dữ liệu DPM
  • Bắt đầu khôi phục mọi thứ khác theo kế hoạch DR của bạn

Giải pháp này là vụng về, dài và hơi khó xử, nhưng nó nên hoạt động; Mối quan tâm duy nhất của tôi là về việc khôi phục cơ sở dữ liệu DPM lần đầu tiên (bước được đánh dấu (*) trong danh sách), vì tôi không biết liệu điều này có thể hoạt động khi chạy trên một miền AD khác không. Nếu điều này không hiệu quả, thì giải pháp duy nhất là nhập thủ công băng chứa bản sao lưu trạng thái hệ thống của DC ... và may mắn tìm thấy nó nếu bạn có bản sao lưu có kích thước phù hợp.
Nhưng tất nhiên, điều này cũng áp dụng cho việc tìm kiếm bản sao lưu của cơ sở dữ liệu DPM ngay từ đầu ...


Có vẻ như các viên đạn 5-1 / 2 đầu tiên có thể được triển khai trước như các máy ảo trên netbook được giữ trong cùng một kho chứa băng - một loại máy trạm phục hồi bootstrap nếu bạn muốn. Bạn cũng có thể có một VM chuẩn bị cho DC trên netbook sẵn sàng chấp nhận trạng thái hệ thống và một trạng thái khác sẵn sàng tham gia miền và trở thành máy chủ DPM mới. Bạn cũng có thể có một tập tin trên netbook đó với tất cả các phương tiện cài đặt mà bạn sẽ cần.
alx9r

2
Đối với mối quan tâm của bạn về việc "Khôi phục cơ sở dữ liệu DPM" có hoạt động trong một tên miền khác hay không: "Đọc băng từ các máy chủ dpm khác nhau bất kể phiên bản miền hoặc dpm được hỗ trợ đầy đủ". ( nguồn ) Bạn chỉ cần có các chứng chỉ được sử dụng để mã hóa các băng tiện dụng.
alx9r

4

Chúng tôi sao lưu riêng máy chủ DPM (thông qua tác vụ được lập lịch dòng lệnh) hàng tuần và cơ sở dữ liệu DPM hàng ngày.

Bằng cách đó, chúng ta có thể khởi động máy chủ DPM từ các bản sao lưu không phải do quản lý của DPM và đăng nhập hoạt động với thông tin xác thực được lưu trong bộ nhớ cache. Sau đó, tôi có thể bắt đầu khôi phục các bản sao lưu "thực" từ thư viện băng ảo của chúng tôi.

Điều này hoạt động vì máy chủ DPM sử dụng cơ sở dữ liệu cục bộ với đăng nhập cục bộ, vì chúng tôi muốn đơn vị ở trạng thái độc lập nhất có thể. Nếu máy chủ của bạn sử dụng cơ sở dữ liệu từ xa, điều này có thể không phù hợp với bạn.


1
"Chúng tôi sao lưu riêng máy chủ DPM ..." - Để điều này hoạt động trong trường hợp toàn bộ trang web bị xóa sổ, một số bản sao lưu riêng biệt này phải ở ngoài cơ sở. Tôi tò mò làm thế nào bạn đạt được điều đó.
alx9r

1
Xin chào, với một nhiệm vụ theo lịch trình cũ của wbadmin bắt đầu sao lưu -quiet -allCritical -systemState -vssFull. Chúng tôi cũng sao lưu phiên bản MSDPM2010 cục bộ với BACKUP DATABASE [DPMDB] TO DISK ... Bằng cách đó, máy chủ DPM có thể được khởi động độc lập và được phát minh lại để phục hồi.
namezero

3

Sao lưu DC của bạn vào Azure. Nó cực rẻ (100 GB có giá $ 10 / tháng) và siêu dễ sử dụng. Sau đó, sự phục hồi của AD chỉ yêu cầu như sau:

  • truy cập vào đăng ký Azure của bạn - không nên là một vấn đề
  • cụm mật khẩu được sử dụng để mã hóa các bản sao lưu Azure - lưu nó bên ngoài, vào ổ đĩa của bạn nơi bạn lưu trữ các khóa SSH / BitLocker / etc hoặc một cái gì đó

Sau đó, bạn có thể khôi phục trên Windows Server hoàn toàn mới, tạm thời mà không cần bất kỳ tên miền nào (mới hoặc hiện tại). Đúng vậy, bạn không cần phải tham gia nó vào bất kỳ miền nào. Thủ tục trông như thế này:

  1. Chuyển đến Azure / Dịch vụ khôi phục

  2. Mở Vault sao lưu thích hợp

    • Tải xuống Đại lý sao lưu Azure cho Windows Server
    • Tải xuống thông tin đăng nhập Vault
  3. Cài đặt tác nhân trên máy chủ tạm thời

  4. Đăng ký thuật sĩ máy chủ

    • chỉ định thông tin đăng nhập
    • Tạo cụm mật khẩu <- lưu nó, mặc dù không quá quan trọng vì máy chủ này chỉ được sử dụng tạm thời
  5. Bắt đầu / Sao lưu Microsoft Azure / Khôi phục dữ liệu

  6. Phục hồi dữ liệu thuật sĩ

    • Một máy chủ khác / chỉ định lại thông tin đăng nhập
    • Chọn Máy chủ dự phòng / (máy chủ DPM cũ của bạn)
    • Duyệt tìm tập tin
    • Lưu trữ VM sẽ được chỉ định là đường dẫn đầy đủ thay vì tên thân thiện nhưng tuy nhiên nó sẽ hoạt động
    • Khi bạn chọn dữ liệu để khôi phục, nó sẽ yêu cầu cụm mật khẩu bạn đã sử dụng trên máy chủ OLD DPM để mã hóa nội dung của bạn trên đám mây, vì vậy đó là lý do tại sao bạn hoàn toàn cần sao lưu cụm từ mật khẩu này. Nếu bạn không có nó, bạn sẽ * wed.

Và đó là nó. Tôi đã thử nó, nó hoạt động :)

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.