Ripristino di emergenza di Active Directory con DPM

8

Ho una sorta di domanda catch-22 qui.

Supponiamo che sto usando Microsoft System Center Data Protection Manager (2010 o 2012, funziona allo stesso modo) per eseguire il backup, tra l'altro, del mio ambiente Active Directory (come nello "Stato del sistema dei miei controller di dominio").

Quindi, si verifica un centro dati completo perso. Devo ricominciare da capo con il nuovo hardware, ho solo i miei backup su nastro disponibili perché sono stati archiviati fuori sede. Quindi compro alcuni nuovi server, una nuova libreria di nastri, un nuovo spazio di archiviazione e così via.

Ora, tutti sanno (o dovrebbero sapere) che per eseguire un ripristino di emergenza di Active Directory devo almeno ripristinare lo stato del sistema di un controller di dominio; ovviamente, questo può diventare ... complicato se devo ripristinarlo su hardware diverso dal server originale, ma supponiamo anche che questo punto sia coperto.

Tuttavia, ed ecco il problema, DPM ha bisogno di Active Directory per funzionare ; non verrà nemmeno installato su un server autonomo. Ma, naturalmente, è necessario un server DPM funzionante per recuperare quei backup dai nastri.

Come posso ripristinare il mio ambiente Active Directory a partire solo da nuovi server e backup su nastro DPM?

NB L'uso dei controller di dominio virtuali e il backup delle VM complete potrebbe facilitare il ripristino, ma in realtà non cambia affatto la domanda: per installare DPM è ancora necessario un ambiente di lavoro funzionante .

active-directory  disaster-recovery  restore  scdpm  system-state 
Massimo
fonte
Onestamente - Fare lo stato del sistema di un controller di dominio è proteggersi dall'eliminazione accidentale di oggetti o dalla corruzione del database. Dovresti davvero avere un secondo sito (geograficamente diverso) con un controller di dominio per scenari di ripristino di emergenza.
pauska,
1
E di solito l'ho fatto. Ma questo è uno scenario di ripristino di emergenza completo e deve essere inserito in un piano di ripristino di emergenza anche se è molto improbabile. Inoltre, non tutte le aziende si estendono su più siti o possono permettersi un datacenter "caldo" di riserva.
Massimo

Risposte:

5

Finora sono stato in grado di elaborare la seguente procedura, ma spero davvero che ci sia un modo più semplice:

  • Installa il sistema operativo su un nuovo server
  • Creare un nuovo dominio "fittizio" e rendere il server il suo controller di dominio
  • Installa il sistema operativo su un secondo server
  • Unisciti al server nel dominio "fittizio"
  • Installare DPM sul secondo server e collegarlo alla libreria nastro
  • Ripristina il database DPM (*)
  • Trova il nastro con un backup dello stato del sistema di un controller di dominio
  • Ripristinare il backup stabile del sistema in un percorso di rete
  • Butta via tutto tranne il backup ripristinato
  • Installa il sistema operativo sul nuovo controller di dominio
  • Ripristina il backup dello stato del sistema sul nuovo controller di dominio
  • Verificare che l'AD ripristinato funzioni correttamente
  • Installa il sistema operativo sul nuovo server DPM
  • Unire il nuovo server DPM al dominio ripristinato
  • Installare DPM sul nuovo server DPM e collegarlo alla libreria nastro
  • Ripristina il database DPM
  • Inizia a ripristinare tutto il resto in base al tuo piano di DR

Questa soluzione è goffa, lunga e un po 'imbarazzante, ma dovrebbe funzionare; la mia unica preoccupazione riguarda il ripristino del database DPM per la prima volta (il passaggio contrassegnato con (*) nell'elenco), perché non so se questo potrebbe funzionare durante l'esecuzione su un dominio AD diverso. Se questo non funziona, l'unica soluzione sarebbe importare manualmente il nastro contenente il backup dello stato del sistema di un controller di dominio ... e buona fortuna trovarlo se si dispone di backup di dimensioni decenti.
Ma ovviamente, questo vale anche per trovare il backup del database DPM in primo luogo ...

Massimo
fonte
Sembra che i primi proiettili 5-1 / 2 possano essere implementati in anticipo come macchine virtuali su un netbook che è conservato nello stesso caveau dei nastri - se lo desideri, una sorta di workstation di ripristino bootstrap. Potresti anche avere una VM preparata per il controller di dominio sul netbook pronta ad accettare lo stato del sistema e un'altra pronta ad entrare nel dominio e diventare il nuovo server DPM. Potresti anche avere una condivisione file su quel netbook con tutti i supporti di installazione di cui avrai bisogno.
alx9r,
2
Per quanto riguarda la questione se "Ripristina il database DPM" funziona in un altro dominio: "La lettura di nastri da diversi server dpm indipendentemente dal dominio o dalla versione di dpm è pienamente supportata". ( fonte ) Devi solo avere i certificati usati per crittografare i nastri a portata di mano.
alx9r,
4

Effettuiamo il backup del server DPM separatamente (tramite attività a schede della riga di comando) settimanalmente e database DPM ogni giorno.

In questo modo possiamo avviare il bootstrap del server DPM da backup gestiti non DPM e l'accesso funziona con le credenziali del dominio memorizzate nella cache. Quindi posso iniziare a ripristinare i backup "reali" dalla nostra libreria di nastri virtuali.

Questo funziona perché il server DPM utilizza un database locale con accesso locale, perché volevamo che l'unità fosse il più autonoma possibile. Se il tuo server utilizza un database remoto, questo potrebbe non funzionare per te.

namezero
fonte
1
"Effettuiamo il backup del server DPM separatamente ...": affinché funzioni nel caso in cui l'intero sito venga cancellato, alcuni di questi backup separati devono essere fuori sede. Sono curioso di come tu l'abbia raggiunto.
alx9r,
1
Ciao, con una buona vecchia attività pianificata di wbadmin start backup -quiet -allCritical -systemState -vssFull. Eseguiamo anche il backup dell'istanza MSDPM2010 locale con BACKUP DATABASE [DPMDB] SU DISCO ... In questo modo, il server DPM può essere avviato autonomamente e reinventato per il ripristino.
namezero
3

Eseguire il backup dei controller di dominio in Azure. È estremamente economico (100 GB costa $ 10 al mese) ed è semplicissimo da usare. Quindi il ripristino di AD richiede solo quanto segue:

  • accesso alla sottoscrizione di Azure: non dovrebbe essere un problema
  • la passphrase usata per crittografare i backup di Azure: salvarla fuori sede, sul pendrive in cui vengono archiviate le chiavi SSH / BitLocker / etc o altro

Quindi è possibile eseguire il ripristino su un Windows Server temporaneo completamente nuovo senza domini (nuovi o esistenti) coinvolti. Esatto, non è necessario unirsi a nessun dominio. La procedura è simile alla seguente:

  1. Vai ad Azure / Servizi di recupero

  2. Apri l'apposito Backup Vault

    • Scarica l'agente di backup di Azure per Windows Server
    • Scarica le credenziali di Vault

  3. Installa l'agente sul server temporaneo

  4. Procedura guidata di registrazione del server

    • specifica le credenziali scaricate
    • Genera Passphrase <- salvalo, anche se non dovrebbe essere troppo importante in quanto questo server è solo per uso temporaneo

  5. Avvia / Backup di Microsoft Azure / Ripristina dati

  6. Ripristino guidato dei dati

    • Un altro server / specificare nuovamente le credenziali scaricate
    • Seleziona il server di backup / (il tuo vecchio server DPM)
    • Cerca i file
    • L'archiviazione di macchine virtuali verrà specificata come percorsi completi anziché come nomi descrittivi, ma funzionerà comunque
    • Dopo aver selezionato i dati da ripristinare, verrà richiesta la passphrase utilizzata sul server DPM OLD per crittografare i dati nel cloud, pertanto è necessario il backup off-site di questa passphrase. Se non ce l'hai, sei obbligato.

E questo è tutto. L'ho provato, funziona :)

bviktor
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.