Pemulihan bencana Direktori Aktif dengan DPM

8

Saya punya semacam pertanyaan catch-22 di sini.

Misalkan saya menggunakan Manajer Perlindungan Data Pusat Sistem Microsoft (2010 atau 2012, ia bekerja dengan cara yang sama) untuk membuat cadangan, di antara berbagai hal lain, lingkungan Direktori Aktif saya (seperti dalam "Status Sistem pengontrol domain saya").

Kemudian, pusat data lengkap hilang terjadi. Saya harus memulai dengan perangkat keras baru, saya hanya memiliki backup tape saya karena disimpan di luar situs. Jadi saya membeli beberapa server baru, perpustakaan tape baru, penyimpanan baru, dan sebagainya.

Sekarang, semua orang tahu (atau harus tahu) bahwa untuk melakukan pemulihan bencana Direktori Aktif saya harus setidaknya mengembalikan keadaan sistem pengontrol domain; tentu saja, ini bisa menjadi ... rumit jika saya perlu mengembalikannya pada perangkat keras yang berbeda dari server asli, tetapi mari kita juga asumsikan titik ini dibahas.

Bagaimana pun, dan inilah masalahnya, DPM membutuhkan Direktori Aktif agar dapat berfungsi ; bahkan tidak akan menginstal pada server mandiri. Namun, tentu saja, server DPM yang berfungsi diperlukan untuk mendapatkan kembali cadangan tersebut dari kaset.

Bagaimana saya bisa mengembalikan lingkungan Active Directory saya mulai dengan hanya server baru dan cadangan DPM tape?

NB Menggunakan pengontrol domain virtual dan membuat cadangan VM penuh bisa membuat pemulihan lebih mudah, tetapi sebenarnya tidak mengubah pertanyaan sama sekali: lingkungan AD yang berfungsi masih diperlukan untuk menginstal DPM.

Massimo
sumber
Jujur - Melakukan status sistem pengontrol domain adalah untuk melindungi diri Anda dari penghapusan objek secara tidak sengaja, atau kerusakan database. Anda benar-benar harus memiliki situs kedua (berbeda secara geografis) dengan pengontrol domain di dalamnya untuk skenario pemulihan bencana.
pauska
1
Dan saya biasanya punya. Tapi ini adalah skenario pemulihan bencana yang lengkap, dan harus masuk dalam rencana pemulihan bencana bahkan jika itu sangat tidak mungkin. Juga, tidak setiap bisnis mencakup beberapa situs atau dapat membeli pusat data "panas" cadangan.
Massimo

Jawaban:

5

Sejauh ini, saya sudah dapat menemukan prosedur berikut, tetapi saya sangat berharap ada beberapa cara yang lebih sederhana:

  • Instal sistem operasi pada server baru
  • Buat domain "dummy" baru dan buat server pengontrol domainnya
  • Instal sistem operasi pada server kedua
  • Bergabunglah dengan server ke domain "dummy"
  • Instal DPM di server kedua dan sambungkan ke perpustakaan rekaman
  • Pulihkan basis data DPM (*)
  • Temukan rekaman itu dengan cadangan status sistem pengontrol domain
  • Kembalikan cadangan sistem stabe ke lokasi jaringan
  • Buang semuanya kecuali cadangan yang dipulihkan
  • Instal sistem operasi pada pengontrol domain baru
  • Kembalikan cadangan status sistem pada pengontrol domain baru
  • Verifikasi bahwa AD yang dipulihkan berfungsi dengan benar
  • Instal sistem operasi pada server DPM baru
  • Bergabunglah dengan server DPM baru ke domain yang dipulihkan
  • Instal DPM pada server DPM yang baru dan sambungkan ke perpustakaan rekaman
  • Kembalikan database DPM
  • Mulailah mengembalikan semua yang lain sesuai dengan rencana DR Anda

Solusi ini kikuk, panjang dan agak canggung, tetapi seharusnya berhasil; satu-satunya kekhawatiran saya adalah tentang mengembalikan database DPM untuk pertama kalinya (langkah ditandai dengan (*) dalam daftar), karena saya tidak tahu apakah ini bisa berfungsi ketika berjalan pada domain AD yang berbeda. Jika ini tidak berhasil, maka satu-satunya solusi akan secara manual mengimpor rekaman yang berisi cadangan status sistem DC ... dan semoga berhasil menemukannya jika Anda memiliki cadangan berukuran layak.
Tapi tentu saja, ini juga berlaku untuk menemukan cadangan database DPM di tempat pertama ...

Massimo
sumber
Sepertinya peluru 5-1 / 2 pertama dapat diimplementasikan di muka sebagai VM di netbook yang disimpan di lemari besi yang sama dengan kaset - semacam workstation pemulihan bootstrap jika Anda mau. Anda juga bisa menyiapkan VM untuk DC di netbook yang siap menerima status sistem dan yang lain siap bergabung dengan domain dan menjadi server DPM baru. Anda mungkin juga memiliki fileshare di netbook itu dengan semua media instal yang Anda perlukan juga.
alx9r
2
Yang membuat Anda khawatir apakah "Pulihkan database DPM" bekerja di domain lain: "Membaca kaset dari server dpm yang berbeda terlepas dari versi domain atau dpm didukung sepenuhnya." ( sumber ) Anda hanya perlu memiliki sertifikat yang digunakan untuk mengenkripsi kaset berguna.
alx9r
4

Kami mencadangkan server DPM secara terpisah (melalui tugas baris perintah schedeuled) Weeklyt, dan basis data DPM setiap hari.

Dengan begitu kita bisa mem-bootstrap server DPM dari cadangan yang tidak dikelola DPM, dan masuk berfungsi dengan kredensial domain yang di-cache. Lalu saya bisa mulai mengembalikan backup "asli" dari perpustakaan tape virtual kami.

Ini berfungsi karena server DPM menggunakan database lokal dengan log masuk lokal, karena kami ingin unit menjadi mandiri. Jika server Anda menggunakan basis data jauh, ini mungkin tidak berfungsi untuk Anda.

namezero
sumber
1
"Kami mencadangkan server DPM secara terpisah ..." - Agar ini berfungsi dalam kasus di mana seluruh situs dihapus, beberapa cadangan terpisah ini harus berada di luar lokasi. Saya ingin tahu bagaimana Anda mencapai itu.
alx9r
1
Hai, dengan tugas terjadwal lama yang baik dari wbadmin mulai cadangan -quiet -allCritical -systemState -vssFull. Kami juga mencadangkan instance MSDPM2010 lokal dengan BACKUP DATABASE [DPMDB] TO DISK ... Dengan begitu, server DPM dapat di-boot secara mandiri dan diinventori ulang untuk pemulihan.
namezero
3

Cadangkan DC Anda ke Azure. Ini sangat murah (100GB biaya $ 10 / bulan) dan super mudah digunakan. Maka pemulihan AD hanya membutuhkan yang berikut:

  • akses ke langganan Azure Anda - seharusnya tidak menjadi masalah
  • frasa sandi yang digunakan untuk mengenkripsi cadangan Azure - simpan di luar kantor, ke flashdisk tempat Anda menyimpan kunci SSH / BitLocker / etc, atau sesuatu

Kemudian Anda dapat memulihkan pada Windows Server sementara yang sama sekali baru tanpa melibatkan domain (baru atau yang sudah ada). Itu benar, Anda tidak perlu bergabung ke domain apa pun. Prosedurnya terlihat seperti ini:

  1. Buka Layanan Azure / Pemulihan

  2. Buka Cadangan Cadangan yang sesuai

    • Unduh Agen Cadangan Azure untuk Windows Server
    • Unduh kredensial Vault
  3. Instal agen di server temp

  4. Daftarkan Server Wizard

    • tentukan kredensial yang diunduh
    • Generate Passphrase <- simpan, meskipun seharusnya tidak terlalu penting karena server ini hanya untuk penggunaan sementara
  5. Mulai / Microsoft Azure Backup / Pulihkan Data

  6. Pulihkan Wisaya Data

    • Server lain / tentukan kredensial yang diunduh lagi
    • Pilih Backup Server / (server DPM lama Anda)
    • Jelajahi file
    • Penyimpanan VM akan ditentukan sebagai jalur lengkap alih-alih nama yang ramah tetapi akan tetap bekerja
    • Setelah Anda memilih data yang akan dipulihkan, ia akan meminta frasa sandi yang Anda gunakan pada server DPM LAMA untuk mengenkripsi barang-barang Anda di cloud, jadi itu sebabnya Anda benar-benar membutuhkan cadangan kata sandi ini di luar kantor. Jika Anda tidak memilikinya, Anda menikah.

Dan itu saja. Saya sudah mengujinya, ia bekerja :)

bviktor
sumber