Recuperação de desastre do Active Directory com DPM

8

Eu tenho um tipo de pergunta catch-22 aqui.

Suponha que eu esteja usando o Microsoft System Center Data Protection Manager (2010 ou 2012, funciona da mesma maneira) para fazer backup, entre outras coisas, do meu ambiente do Active Directory (como em "o estado do sistema dos controladores de domínio").

Em seguida, ocorre um datacenter completo perdido. Preciso começar de novo em um novo hardware, só tenho meus backups em fita disponíveis porque eles foram armazenados externamente. Então, eu compro alguns novos servidores, uma nova biblioteca de fitas, novo armazenamento e assim por diante.

Agora, todos sabem (ou deveriam saber) que, para executar uma recuperação de desastre do Active Directory, preciso restaurar pelo menos o estado do sistema de um controlador de domínio; claro, isso pode ficar ... complicado se eu precisar restaurá-lo em um hardware diferente do servidor original, mas também vamos assumir que esse ponto está coberto.

No entanto, e aqui está o problema, o DPM precisa do Active Directory para funcionar ; ele nem será instalado em um servidor independente. Mas, é claro, é necessário um servidor DPM que funcione para recuperar esses backups das fitas.

Como posso restaurar meu ambiente do Active Directory, iniciando apenas com novos servidores e backups em fita do DPM?

Nota: o uso de controladores de domínio virtual e o backup de VMs completas podem facilitar a restauração, mas na verdade não mudam a questão: ainda é necessário um ambiente de trabalho do AD para instalar o DPM.

active-directory disaster-recovery restore scdpm system-state Massimo
fonte
Honestamente - O estado do sistema de um controlador de domínio é proteger-se contra a exclusão acidental de objetos ou a corrupção do banco de dados. Você realmente deve ter um segundo site (geograficamente diferente) com um controlador de domínio para cenários de recuperação de desastre.
pauska 6/09/12
1
E eu geralmente tenho. Mas este é um cenário completo de recuperação de desastre e precisa seguir um plano de recuperação de desastre, mesmo que seja muito improvável. Além disso, nem todas as empresas abrangem vários sites ou podem comprar um data center "quente" sobressalente.
Massimo

Respostas:

5

Até agora, consegui criar o seguinte procedimento, mas espero realmente que exista uma maneira mais simples:

  • Instale o sistema operacional em um novo servidor
  • Crie um novo domínio "fictício" e torne o servidor seu controlador de domínio
  • Instale o sistema operacional em um segundo servidor
  • Associe o servidor ao domínio "fictício"
  • Instale o DPM no segundo servidor e conecte-o à biblioteca de fitas
  • Restaurar o banco de dados do DPM (*)
  • Encontre a fita com um backup do estado do sistema de um controlador de domínio
  • Restaurar o backup estável do sistema em um local de rede
  • Jogue fora tudo, exceto o backup restaurado
  • Instale o sistema operacional no novo controlador de domínio
  • Restaurar o backup do estado do sistema no novo controlador de domínio
  • Verifique se o AD restaurado está funcionando corretamente
  • Instale o sistema operacional no novo servidor DPM
  • Associe o novo servidor DPM ao domínio restaurado
  • Instale o DPM no novo servidor DPM e conecte-o à biblioteca de fitas
  • Restaurar o banco de dados DPM
  • Comece a restaurar tudo o mais de acordo com seu plano de recuperação de desastres

Essa solução é desajeitada, longa e um tanto estranha, mas deve funcionar; minha única preocupação é restaurar o banco de dados do DPM pela primeira vez (a etapa marcada com (*) na lista), porque não sei se isso poderia funcionar ao executar em um domínio do AD diferente. Se isso não funcionar, a única solução seria importar manualmente a fita que contém o backup do estado do sistema de um controlador de domínio ... e boa sorte encontrá-lo se você tiver backups de tamanho decente.
Mas é claro, isso também se aplica à localização do backup do banco de dados do DPM em primeiro lugar ...

Massimo
fonte
Parece que os primeiros marcadores 5-1 / 2 poderiam ser implementados com antecedência como VMs em um netbook que é mantido no mesmo cofre que as fitas - uma espécie de estação de trabalho de recuperação de autoinicialização, se você preferir. Você também pode ter uma VM preparada para o controlador de domínio no netbook pronta para aceitar o estado do sistema e outra pronta para ingressar no domínio e se tornar o novo servidor DPM. Você também pode ter um compartilhamento de arquivos nesse netbook com toda a mídia de instalação necessária.
alx9r
2
Para sua preocupação sobre se "Restaurar o banco de dados do DPM" funciona em outro domínio: "A leitura de fitas de diferentes servidores dpm, independentemente do domínio ou da versão do dpm, é totalmente suportada". ( fonte ) Você só precisa ter os certificados usados ​​para criptografar as fitas.
precisa saber é o seguinte
4

Fazemos backup do servidor DPM separadamente (via tarefa programada da linha de comando) semanalmente e do banco de dados do DPM diariamente.

Dessa forma, podemos inicializar o servidor DPM a partir de backups não gerenciados pelo DPM e o logon funciona com credenciais de domínio em cache. Então eu posso começar a restaurar backups "reais" da nossa biblioteca de fitas virtual.

Isso funciona porque o servidor DPM usa um banco de dados local com logon local, porque queríamos que a unidade fosse o mais independente possível. Se o seu servidor usa um banco de dados remoto, isso pode não funcionar para você.

namezero
fonte
1
"Fazemos backup do servidor DPM separadamente ..." - Para que isso funcione no caso de todo o site ser eliminado, alguns desses backups separados devem ser externos. Estou curioso como você conseguiu isso.
alx9r
1
Olá, com uma boa e velha tarefa agendada do wbadmin start backup -quiet -allCritical -systemState -vssFull. Também fazemos backup da instância local do MSDPM2010 com BACKUP DATABASE [DPMDB] TO DISK ... Dessa forma, o servidor DPM pode ser autoinicializado e reinventado para recuperação.
namezero
3

Faça backup dos seus DCs para o Azure. É extremamente barato (100 GB custa US $ 10 / mês) e super fácil de usar. Em seguida, a recuperação do AD requer apenas o seguinte:

  • acesso à sua assinatura do Azure - não deve ser um problema
  • a senha usada para criptografar os backups do Azure - salve-o fora do local, no pendrive, onde você armazena chaves SSH / BitLocker / etc ou algo assim

Em seguida, você pode se recuperar em um Windows Server temporário completamente novo, sem nenhum domínio (novo ou existente) envolvido. É isso mesmo, você não precisa ingressar em nenhum domínio. O procedimento fica assim:

  1. Acesse Serviços do Azure / Recovery

  2. Abra o cofre de backup apropriado

    • Baixe o Agente de Backup do Azure para Windows Server
    • Baixar credenciais do Vault

  3. Instale o agente no servidor temporário

  4. Assistente para Registrar Servidor

    • especificar credenciais baixadas
    • Gerar senha <- salve-a, embora não deva ser muito importante, pois este servidor é apenas para uso temporário

  5. Iniciar / Backup do Microsoft Azure / Recuperar dados

  6. Assistente para Recuperar Dados

    • Outro servidor / especifique as credenciais baixadas novamente
    • Selecione Servidor de backup / (seu servidor DPM antigo)
    • Procurar arquivos
    • O armazenamento da VM será especificado como caminhos completos em vez de nomes amigáveis, mas funcionará mesmo assim
    • Depois de selecionar os dados a serem recuperados, ele solicitará a senha que você usou no servidor OLD DPM para criptografar suas coisas na nuvem, por isso é absolutamente necessário o backup externo dessa senha. Se você não o tem, está matriculado.

E é isso. Eu testei, funciona :)

bviktor
fonte