Active Directory-Notfallwiederherstellung mit DPM

8

Ich habe hier eine Art Catch-22-Frage.

Angenommen, ich verwende Microsoft System Center Data Protection Manager (2010 oder 2012, es funktioniert genauso), um unter anderem meine Active Directory-Umgebung zu sichern (wie im "Systemstatus meiner Domänencontroller").

Dann tritt ein vollständiger Verlust des Rechenzentrums auf. Ich muss neu mit neuer Hardware beginnen. Ich habe meine Bandsicherungen nur verfügbar, weil sie außerhalb des Standorts gespeichert wurden. Also kaufe ich neue Server, eine neue Bandbibliothek, neuen Speicher und so weiter.

Jetzt weiß (oder sollte) jeder wissen, dass ich zum Ausführen einer Active Directory-Notfallwiederherstellung mindestens den Systemstatus eines Domänencontrollers wiederherstellen muss. Natürlich kann dies ... schwierig werden, wenn ich es auf einer anderen Hardware als dem ursprünglichen Server wiederherstellen muss, aber nehmen wir auch an, dass dieser Punkt behandelt wird.

Wie auch immer, und hier ist der Haken: DPM benötigt Active Directory, um arbeiten zu können . Es wird nicht einmal auf einem eigenständigen Server installiert . Natürlich wird ein funktionierender DPM-Server benötigt, um diese Sicherungen von den Bändern zurückzugewinnen.

Wie kann ich meine Active Directory-Umgebung wiederherstellen, indem ich nur mit neuen Servern und DPM-Bandsicherungen beginne?

Hinweis: Die Verwendung von virtuellen Domänencontrollern und das Sichern der vollständigen VMs könnte die Wiederherstellung vereinfachen, ändert jedoch nichts an der Frage: Eine funktionierende AD-Umgebung ist weiterhin erforderlich, um DPM überhaupt zu installieren .

Massimo
quelle
Ehrlich gesagt: Wenn Sie den Systemstatus eines Domänencontrollers ausführen, schützen Sie sich vor versehentlichem Löschen von Objekten oder Beschädigung der Datenbank. Sie sollten wirklich einen zweiten (geografisch unterschiedlichen) Standort mit einem Domänencontroller für Disaster Recovery-Szenarien haben.
Pause
1
Und das habe ich normalerweise. Dies ist jedoch ein vollständiges Notfallwiederherstellungsszenario und muss in einen Notfallwiederherstellungsplan aufgenommen werden, auch wenn dies sehr unwahrscheinlich ist. Außerdem erstreckt sich nicht jedes Unternehmen über mehrere Standorte oder kann sich ein "heißes" Rechenzentrum leisten.
Massimo

Antworten:

5

Bisher konnte ich das folgende Verfahren entwickeln, aber ich hoffe wirklich, dass es einen einfacheren Weg gibt:

  • Installieren Sie das Betriebssystem auf einem neuen Server
  • Erstellen Sie eine neue "Dummy" -Domäne und machen Sie den Server zu seinem Domänencontroller
  • Installieren Sie das Betriebssystem auf einem zweiten Server
  • Verbinden Sie den Server mit der "Dummy" -Domäne
  • Installieren Sie DPM auf dem zweiten Server und verbinden Sie es mit der Bandbibliothek
  • Stellen Sie die DPM-Datenbank wieder her (*)
  • Suchen Sie das Band mit einer Systemstatussicherung eines Domänencontrollers
  • Stellen Sie das System-Stabe-Backup an einem Netzwerkspeicherort wieder her
  • Werfen Sie alles außer dem wiederhergestellten Backup weg
  • Installieren Sie das Betriebssystem auf dem neuen Domänencontroller
  • Stellen Sie die Systemstatussicherung auf dem neuen Domänencontroller wieder her
  • Stellen Sie sicher, dass der wiederhergestellte AD ordnungsgemäß funktioniert
  • Installieren Sie das Betriebssystem auf dem neuen DPM-Server
  • Verbinden Sie den neuen DPM-Server mit der wiederhergestellten Domäne
  • Installieren Sie DPM auf dem neuen DPM-Server und verbinden Sie es mit der Bandbibliothek
  • Stellen Sie die DPM-Datenbank wieder her
  • Stellen Sie alles andere gemäß Ihrem DR-Plan wieder her

Diese Lösung ist ungeschickt, lang und etwas umständlich, sollte aber funktionieren. Mein einziges Anliegen ist es, die DPM-Datenbank zum ersten Mal wiederherzustellen (der in der Liste mit (*) gekennzeichnete Schritt ), da ich nicht weiß, ob dies funktionieren könnte, wenn ich auf einer anderen AD-Domäne ausgeführt werde. Wenn dies nicht funktioniert, besteht die einzige Lösung darin, das Band mit der Systemstatus-Sicherung eines DC manuell zu importieren ... und viel Glück beim Auffinden, wenn Sie über Sicherungen mit angemessener Größe verfügen.
Dies gilt natürlich auch für das erstmalige Auffinden der Sicherung der DPM-Datenbank ...

Massimo
quelle
Es scheint, als könnten die ersten 5-1 / 2-Aufzählungszeichen im Voraus als VMs auf einem Netbook implementiert werden, das sich im selben Tresor wie die Bänder befindet - eine Art Bootstrap-Wiederherstellungs-Workstation, wenn Sie so wollen. Sie können auch eine vorbereitete VM für den Domänencontroller im Netbook bereitstellen, um den Systemstatus zu akzeptieren, und eine andere, die bereit ist, der Domäne beizutreten und der neue DPM-Server zu werden. Sie können auch ein Fileshare auf diesem Netbook mit allen Installationsmedien haben, die Sie ebenfalls benötigen.
Alx9r
2
Zu Ihrer Sorge, ob "DPM-Datenbank wiederherstellen" in einer anderen Domäne funktioniert: "Das Lesen von Bändern von verschiedenen dpm-Servern unabhängig von der Domäne oder der dpm-Version wird vollständig unterstützt." ( Quelle ) Sie müssen nur die Zertifikate zur Verschlüsselung der Bänder zur Hand haben.
Alx9r
4

Wir sichern den DPM-Server separat (über die geplante Befehlszeilenaufgabe) wöchentlich und die DPM-Datenbank täglich.

Auf diese Weise können wir den DPM-Server von nicht von DPM verwalteten Sicherungen booten, und die Anmeldung funktioniert mit zwischengespeicherten Domänenanmeldeinformationen. Dann kann ich anfangen, "echte" Backups aus unserer virtuellen Bandbibliothek wiederherzustellen.

Dies funktioniert, weil der DPM-Server eine lokale Datenbank mit lokaler Anmeldung verwendet, da das Gerät so eigenständig wie möglich sein soll. Wenn Ihr Server eine entfernte Datenbank verwendet, funktioniert dies möglicherweise nicht für Sie.

namezero
quelle
1
"Wir sichern den DPM-Server separat ..." - Damit dies funktioniert, wenn die gesamte Site gelöscht wird, müssen einige dieser separaten Sicherungen außerhalb des Standorts durchgeführt werden. Ich bin gespannt, wie Sie das erreicht haben.
Alx9r
1
Hallo, mit einer guten alten geplanten Aufgabe von wbadmin starte Backup -quiet -allCritical -systemState -vssFull. Wir sichern auch die lokale MSDPM2010-Instanz mit BACKUP DATABASE [DPMDB] TO DISK ... Auf diese Weise kann der DPM-Server eigenständig gebootet und für die Wiederherstellung neu erfunden werden.
Namezero
3

Sichern Sie Ihre Domänencontroller in Azure. Es ist extrem billig (100 GB kosten 10 US-Dollar / Monat) und super einfach zu bedienen. Dann erfordert die Wiederherstellung von AD nur Folgendes:

  • Zugriff auf Ihr Azure-Abonnement - sollte kein Problem sein
  • Die Passphrase, die zum Verschlüsseln der Azure-Sicherungen verwendet wird. Speichern Sie sie außerhalb des Unternehmens auf Ihrem Pendrive, auf dem Sie SSH / BitLocker / etc-Schlüssel oder ähnliches speichern

Anschließend können Sie auf einem völlig neuen, temporären Windows Server ohne (neue oder vorhandene) Domänen wiederherstellen. Das ist richtig, Sie müssen keiner Domain beitreten. Das Verfahren sieht folgendermaßen aus:

  1. Wechseln Sie zu Azure / Recovery Services

  2. Öffnen Sie den entsprechenden Sicherungsdepot

    • Laden Sie den Azure Backup Agent für Windows Server herunter
    • Laden Sie die Vault-Anmeldeinformationen herunter
  3. Installieren Sie den Agenten auf dem temporären Server

  4. Registrieren Sie den Server-Assistenten

    • Geben Sie die heruntergeladenen Anmeldeinformationen an
    • Passphrase generieren <- Speichern, sollte aber nicht zu wichtig sein, da dieser Server nur zur vorübergehenden Verwendung bestimmt ist
  5. Starten / Microsoft Azure Sichern / Wiederherstellen von Daten

  6. Assistent zum Wiederherstellen von Daten

    • Ein anderer Server / geben Sie die heruntergeladenen Anmeldeinformationen erneut an
    • Wählen Sie Backup Server / (Ihr alter DPM-Server)
    • Suchen Sie nach Dateien
    • VM-Speicher wird als vollständiger Pfad anstelle von Anzeigenamen angegeben, funktioniert jedoch trotzdem
    • Sobald Sie die wiederherzustellenden Daten ausgewählt haben, werden Sie nach der Passphrase gefragt, die Sie auf dem OLD DPM-Server verwendet haben, um Ihre Daten in der Cloud zu verschlüsseln. Aus diesem Grund benötigen Sie unbedingt eine Offsite-Sicherung dieser Passphrase. Wenn Sie es nicht haben, sind Sie scr * wed.

Und das ist es. Ich habe es getestet, es funktioniert :)

bviktor
quelle