Sichern von DC für einen katastrophalen Fall

9

Ich habe externe Backups für die wichtigsten Elemente des Unternehmens eingerichtet, in dem ich arbeite. Eines dieser kritischen Elemente ist der DC.

Jetzt ist das Unternehmen ziemlich klein, hat also nur eine einzige Gesamtstruktur und zwei DC-Server auf separaten physischen Maschinen (einer ist jedoch virtualisiert). Ein kritischer Fehler im Serverraum kann jedoch beide Computer zerstören.

Ich versuche also, eine DC-Sicherung für ein Szenario mit kritischen Fällen zu erstellen. Ich lese immer wieder online, dass das Sichern des Systemstatus ausreicht, aber ich habe das Gefühl, dass dies nur gültig ist, wenn Sie den DC auf demselben Server wiederherstellen möchten, auf dem das Backup erstellt wurde. Ich habe versucht, eine Systemstatus-Sicherung zu erstellen und sie dann auf einer isolierten VM (demselben Server, denselben Updates) wiederherzustellen, und dies ... lief nicht so gut. Die Wiederherstellung verlief einwandfrei, aber dann konnte ich den lokalen DC nicht kontaktieren, selbst wenn ich sicherstellte, dass die VM dieselbe IP wie zuvor hatte (natürlich immer noch isoliert). Keine der DC-bezogenen Verwaltungskonsolen funktionierte ebenfalls. Während der Wiederherstellung wurde sogar gewarnt, dass die Wiederherstellung eines Systemstatus von einem anderen Computer nicht empfohlen wird.

Daher halte ich dies für den falschen Ansatz. Also ... was ist der richtige Ansatz, wenn ich unseren DC außerhalb des Standorts sichern möchte, um einen kritischen Fehler abzudecken? Eine vollständige Sicherung des Laufwerks C: + Systemstatus oder ich könnte einfach das gesamte Laufwerk für diesen virtualisierten DC sichern, aber ich versuche, die Sicherung so klein wie möglich zu halten ...

BEARBEITEN: Ich versuche, das Backup so klein wie möglich zu halten, um NICHT die Kosten, sondern die Upload-Zeiten zu überspringen.

PS. Ich verwende die Azure Backup-Anwendung, halte sie jedoch nicht für relevant. Auf allen unseren Domänencontrollern wird derzeit Windows Server 2016 ausgeführt.

Shaamaan
quelle
7
+1 zum tatsächlichen Testen der kritischen Wiederherstellung;). Ich habe Azure Backup noch nicht verwendet, aber der Systemstatus sollte ausreichen (unabhängig davon, welche Sicherungslösung Sie verwenden). Sie haben den Technet-Artikel gelesen , nehme ich an? Esp. das Teil für einen anderen Server .
Lenniey
1
@ Lenniey Ja, ich habe diesen Artikel gelesen. Aber nach Überlegung habe ich möglicherweise einen kritischen Teil davon übersehen (insbesondere den hier beschriebenen Schritt, um weitere Schritte nach der AD-Wiederherstellung zu befolgen . Ich
teste
Dafür haben wir den richtigen Stunt vorbereitet. Die Offsite-Sicherungssite enthielt einen Domänencontroller für die Domäne.
Joshudson

Antworten:

7

Eine Wiederherstellung des Systemstatus könnte funktionieren, aber die einzige von Microsoft unterstützte Methode ist eine vollständige Wiederherstellung des Systemabbilds. Dies schließt den Systemstatus ein.

Eine vollständige Wiederherstellung der Gesamtstruktur ist komplex. Sie müssen daher das folgende Dokument überprüfen und ein eigenes Dokument mit den erforderlichen Schritten erstellen:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide

Greg Askew
quelle
7

Ich versuche, das Backup so klein wie möglich zu halten ...

Dies ist ein gängiger Ansatz und der falsche.

Sie schützen eines der wichtigsten IT-Vermögenswerte des Unternehmens. Behandle es als solches. Nicht weniger als eine vollständige Sicherung des DC ist akzeptabel. Sie können die integrierte Windows Server-Sicherung verwenden, um eine vollständige Bare-Metal-Wiederherstellungssicherung des Domänencontrollers zu erstellen.

DCs sind normalerweise klein. Sie könnten wahrscheinlich die gesamte vollständige Sicherung des DC auf einem USB-Laufwerk für 20,00 USD installieren. Sparen Sie nicht.

Ich verstehe ... Backup-Software und Speicher können teuer sein ... vor allem im Laufe der Zeit. Ich höre kein Ende von IT-Administratoren, die über Möglichkeiten sprechen, diese Kosten zu senken. Handeln Sie nicht mit Ihrer Fähigkeit, etwas und / oder alles wiederherzustellen, nur um die Kosten zu senken. Sie müssen festlegen, wie viel Schutz (in Form von Backups) Sie benötigen und wie Sie diesen Bedarf mit dem in Ihrem IT-Budget verfügbaren Wert in Einklang bringen können. Backups sind wie Versicherungen. Wie viel Versicherung möchten / müssen Sie haben und wie viel sind Sie bereit, dafür zu bezahlen?

Ich möchte nicht die Person sein, die dem CEO erklären muss, dass wir ein kritisches Stück IT-Infrastruktur nicht wiederherstellen können, weil wir versucht haben, ein paar Dollar zu sparen.

Mein Ansatz für Backups ist, dass es besser ist, sie zu haben und nicht zu brauchen, als sie zu brauchen und nicht zu haben.

Aus betrieblicher und technischer Sicht würde ich lieber eine vollständige BMR-Sicherung eines DC wiederherstellen, als zu versuchen, den Systemstatus des DC auf einem neuen Computer wiederherzustellen.

Joeqwerty
quelle
Ich muss dies -1, da sich diese Antwort auf das Falsche konzentriert. Ich habe meine Frage bearbeitet, um darauf hinzuweisen, dass der Versuch, das Backup so klein wie möglich zu halten, darauf zurückzuführen ist, dass dieses Backup außerhalb des Standorts hochgeladen werden muss und NICHT, weil wir billige Skates sind und uns kein Laufwerk leisten können. Dies ist auch nur ein VERSUCH - sollte es unmöglich sein, sich an den Systemstatus zu halten, ist es in Ordnung, größer zu werden. Nirgends in meiner Frage habe ich gesagt, dass dies eine absolute Voraussetzung ist.
Shaamaan
OK, die Gründe sind anders als ich vermutet habe, aber meine Antwort bezieht sich auf das Sichern eines DC. Microsoft sagt, dass Sie den Systemstatus eines Domänencontrollers mit Azure Backup sichern können. Ist das also genug? Es ist nicht genug für mich, aber wenn Sie diesen Weg gehen müssen, würde ich vorschlagen, dass Sie eine Sicherung und Wiederherstellung mit einem Test-DC testen, um sicherzustellen, dass es funktioniert und Sie den Wiederherstellungsprozess dokumentieren können.
Joeqwerty
-1 auch von mir. Wenn das Hochladen eines Backups drei Tage dauert, wird wahrscheinlich nie ein vollständiges Backup am Backup-Speicherort eintreffen.
AndreKR
1
Sie haben meine Antwort wegen der Zeit, die für die Durchführung einer vollständigen Sicherung benötigt wird, abgelehnt? Das ist seltsam. Sie würden also riskieren, den DC nicht vollständig wiederherstellen zu können, anstatt eine akzeptable Sicherungslösung zu finden, die sicherstellt, dass Sie den DC vollständig wiederherstellen können?
Joeqwerty