Най-добри практики за Осигуряване на Active Directory

Задълбочено познаване на тяхната инфраструктура е много полезно за планиране възстановяване АД. Колко домейн контролери във вашата среда - един или повече? Този домейн контролери са достъпни за четене и писане (RWDC) или само за четене (RODC)? Тя не е само един контролер, или повреден АД цялата инфраструктура? Ако имате няколко контролери, независимо дали използвате, за да синхронизирате промените между различните домейн контролери, служба за репликация на файлове (FRS) или да се включва към разпределена DFSR да синхронизирате промените между различните контролери на домейни? Това са само някои от въпросите, отговорите на които трябва да знаете за успешното възстановяване на данни.

Възстановяване на домейн контролер в режим «не-авторитетен»

Ако ще да се възстанови домейн контролер, първо трябва да се определи начинът на «не-авторитетен» дали достатъчно или трябва да използвате «авторитетен» режим. Разликата между двата режима е, че в режим на възстановяване, «не-авторитетен» домейн контролер осъзнава, че той е бил за известно време. Ето защо, тя позволява на други домейн контролери за да актуализира своята база данни, което го прави най-скорошните промени, които са настъпили по време на неговото отсъствие. Когато «авторитетен» реставрация контролер смята, че само той има истински верен на база данни, така че това е онзи, който има властта до базите данни на други данни домейн контролери за актуализиране на базата на данните им.

В повечето сценарии за възстановяване, което трябва да «не-авторитетен» режим, както и в околната среда, има няколко контролери на домейни. Освен това, «авторитетен» домейн контролер разтваряне може да доведе до нови проблеми. Тя се основава на тази логика Veeam Backup Replication: по подразбиране се извършва «не-авторитетен» DC възстановяване, тъй като се смята, че инфраструктурата е изградена с излишък и включва множество домейн контролери. За да изпълните «авторитетен» Възстановяване с помощта на Veeam, че е необходимо да се извършат допълнителни стъпки, които са описани по-долу.

ЗАБЕЛЕЖКА. Друг често срещан отговор на отказа на домейн контролера - да разпространява своята роля сред другите контролери и чиста метаданни, ако е малко вероятно възстановяването. В този случай, можете да извърши друго DC да служи като се провали, и не е нужно да го възстановите.

Да се ​​върнем към архивите на файлове, които са описани в предишната статия. Възстановяване на домейн контролер от резервно копие Veeam Backup Репликация е много лесно. За да направите това:

  • Изберете възстановяване на съветника в потребителския интерфейс
  • Намерете желания домейн контролера
  • Изберете опцията за възстановяване на възстановяване VM изцяло (Възстановяване на цялата VM)
  • След това задайте точка за възстановяване
  • Изберете най-оригинален или новия сайт възстановяване
  • приключване на процеса

Най-хубавото е, че благодарение на обработката на данни, като се вземат предвид състоянието на заявлението при създаване на резервно копие, вие няма да се нуждаят от нещо друго да се направи. Veeam признава домейн контролера в споменатия ВМТ и точно това се възстанови с помощта на специален алгоритъм:

  • Възстановяване на файлове и твърди дискове VM
  • Изтегляне OS в специални услуги домейни Restore Mode (режим DSRM)
  • настройки на приложението
  • Рестартирането нормално

Контролерът на домейн ще знаете за възстановяване от резервно копие, и предприема необходимите действия: съществуващата база данни ще бъде обявен за недействителен и репликация партньори ще могат да го ъпгрейд, което прави най-актуалната информация.

Най-добри практики за Осигуряване на Active Directory

Фиг. 1. Veeam Backup Replication: Възстановяване на цяла VM

Най-добри практики за Осигуряване на Active Directory

Фиг. 2. Veeam Endpoint Backup: възстановяване на "чист хардуер"

Възстановяване на домейн контролер в «авторитетен» режим

Най-вероятно няма да се наложи режим на възстановяване. Все пак, нека да го опозная по-добре, за да ви накара да се разбере защо това е така. Този режим може да се използва, когато се опитвате да се възстанови правилното копие на домейн контролера в среда с множество домейн контролери, въпреки факта, че цялата структура на АД, по някаква причина, е повреден (напр. Malware, вируси и така нататък. Н.). В тази ситуация, може да предпочетете да повреди домейн контролери приемат промени в сравнение с възстановената контролера.

ЗАБЕЛЕЖКА. Обработката е подобно на това, което се случва, когато се използва Veeam SureBackup за възстановяване на домейн контролера в изолирана среда.

За възстановяване на отдалечени обекти или контейнера в «авторитетен» режим и принуди домейн контролера, за да копирате възстановените данни от DC към другите контролери:

Процедура «авторитетен» възстановяване SYSVOL (използвайки DFSR услуга) се извършва, както следва:

  1. Извършване на «не-авторитетен» домейн контролер възстановяване (например, BM разтваряне изцяло в Veeam Backup Репликация).
  2. Когато втората товара, отидете в HKLM \ System клон на регистъра \ CurrentControlSet \ Services \ DFSR. Създаване Възстановяване ключ. и след това да създадете низ с авторитетните на стойност SYSVOL.
    Тази стойност ще бъде прочетено услуга DFSR. Ако не е зададено, SYSVOL по подразбиране възстановявате отново се извършва в режим на «не-авторитетен»
  3. Отидете в HKLM \ System \ CurrentControlSet \ Control \ BackupRestore. създадете SystemStateRestore ключ. След това LastRestoreId създаде низ с всяка стойност GUID. Например: 10000000-0000-0000-0000-000000000000.
  4. Рестартирайте DFSR.

Най-добри практики за Осигуряване на Active Directory

Фиг. 3. Възстановяване на SYSVOL в «авторитетен» режим (DFSR услуга)

Процедура «авторитетен» възстановяване SYSVOL (с помощта на услугата FRS):

В тази статия, Прегледах възстановяване на една домейн контролер. Въпреки това, най-често, когато се работи с AD, който искате да възстановите случайно изтрити обект, в този случай, за да се възстанови напълно контролера - не най-добрият вариант. В следващата статия ще говорим за възстановяване на индивидуалната обекти АД директория със собствените си инструменти за Microsoft и Veeam Explorer комунални за Active Directory.

Също така, може да се интересуват от:

Андрей Zhelezko (Andrew Zhelezko) - Управител Veeam Общността. По време на кариерата си в Veeam е придобил по-дълбоко разбиране на продуктите на виртуализация и техническата експертиза за решаване на проблемите на клиентите. Този опит помага Андрю да говоря с ИТ общност ", на същия език" и да разберат интересите на администраторите на виртуални среди. Андрю. още