web-dev-qa-db-ja.com

DPMによるActive Directoryの障害回復

ここで一種のcatch-22質問があります。

Microsoft System Center Data Protection Manager(2010または2012、それは同じように機能します)を使用して、さまざまなものの中でも特に、「ドメインコントローラーのシステム状態」のようなActive Directory環境をバックアップしているとします。

次に、完全なデータセンターの損失が発生します。新しいハードウェアで新たに開始する必要があります。テープバックアップは、オフサイトに保管されていたため、使用できるのはそれだけです。そこで、新しいサーバー、新しいテープライブラリ、新しいストレージなどを購入します。

これで、Active Directoryの障害回復を実行するには、少なくともドメインコントローラーのシステム状態を復元する必要があることを誰もが知っています(または知っているはずです)。もちろん、これは元のサーバーとは別のハードウェアで復元する必要がある場合にtricky取得できますが、この点がカバーされていると仮定しましょう。

ちなみに、これが問題ですDPMが機能するためにはActive Directoryが必要です;スタンドアロンサーバーにinstallすることすらありません。ただし、もちろん、テープからこれらのバックアップを取り戻すには、稼働中のDPMサーバーが必要です。

新しいサーバーとDPMテープバックアップのみでActive Directory環境を復元するにはどうすればよいですか?

N.B.仮想ドメインコントローラーを使用してVM全体をバックアップすると、復元が容易になりますが、実際には問題はまったく変わりません。インストールDPM。

active-directorydisaster-recoveryrestorescdpmsystem-state
8
Massimo

これまでのところ、次の手順を思いつくことができましたが、もっと簡単な方法があることを心から願っています。

  • 新しいサーバーにオペレーティングシステムをインストールする
  • 新しい「ダミー」ドメインを作成し、サーバーをドメインコントローラーにします。
  • 2台目のサーバーにオペレーティングシステムをインストールする
  • サーバーを「ダミー」ドメインに参加させる
  • 2台目のサーバーにDPMをインストールし、テープライブラリに接続します。
  • DPMデータベースを復元する(*)
  • ドメインコントローラーのシステム状態のバックアップでテープを見つける
  • システムの場所のバックアップをネットワークの場所に復元する
  • 復元されたバックアップを除くすべてを破棄
  • 新しいドメインコントローラーにオペレーティングシステムをインストールする
  • 新しいドメインコントローラーでシステム状態のバックアップを復元する
  • 復元されたADが正しく機能していることを確認します
  • 新しいDPMサーバーにオペレーティングシステムをインストールする
  • 新しいDPMサーバーを復元されたドメインに参加させる
  • 新しいDPMサーバーにDPMをインストールし、テープライブラリに接続します。
  • DPMデータベースを復元する
  • DR計画に従って、他のすべての復元を開始します

この解決策は不器用で長く、やや厄介ですが、すべきです。私の唯一の懸念は、DPMデータベースを初めて復元することです(リストで(*)とマークされているステップ)。これは、別のADドメインで実行するときにこれが機能するかどうかわからないためです。 。これが機能しない場合、唯一の解決策は、DCのシステム状態のバックアップを含むテープを手動でインポートすることです。適切なサイズのバックアップがある場合は、それを見つけてください。
しかしもちろん、これは最初にDPMデータベースのバックアップを見つけることにも当てはまります...

5
Massimo

DPMサーバーは毎週(コマンドラインでスケジュールされたタスクを介して)毎週、DPMデータベースは毎日バックアップされます。

そうすることで、bootstrap DPM以外の管理バックアップからのDPMサーバーが可能になり、ログオンはキャッシュされたドメイン資格情報で機能します。次に、仮想テープライブラリから「実際の」バックアップの復元を開始できます。

これは、DPMサーバーがローカルログオンでローカルデータベースを使用するために機能します。これは、ユニットをできるだけスタンドアロンにするためです。サーバーがリモートデータベースを使用している場合、これは機能しない可能性があります。

4
namezero

DCをAzureにバックアップします。非常に安く(100GBは月額10ドル)、非常に使いやすいです。次に、ADの回復に必要なものは次のとおりです。

  • azureサブスクリプションへのアクセス-問題にはなりません
  • azureバックアップの暗号化に使用されるパスフレーズ-オフサイトに保存するか、SSH/BitLocker/etcキーなどを保存するペンドライブに保存します

その後、ドメイン(新規または既存)を一切含まずに、完全に新しい一時的なWindowsサーバーで回復できます。そうです、ドメインに参加する必要はありません。手順は次のようになります。

  1. Azure/Recovery Servicesに移動します

  2. 適切なバックアップボールトを開きます

    • Azure Backup Agent for Windows Serverをダウンロードする
    • Vault資格情報をダウンロードする

  3. 一時サーバーにエージェントをインストールする

  4. サーバー登録ウィザード

    • ダウンロードした資格情報を指定する
    • パスフレーズを生成<-保存してください。ただし、このサーバーは一時的に使用するだけなので、それほど重要ではありません。

  5. 開始/ Microsoft Azureバックアップ/データの回復

  6. データ復旧ウィザード

    • 別のサーバー/ダウンロードした資格情報を再度指定
    • バックアップサーバー/(古いDPMサーバー)を選択します。
    • ファイルを参照
    • VMストレージは、フレンドリ名ではなくフルパスとして指定されますが、それでも機能します
    • 復元するデータを選択すると、クラウド内のデータを暗号化するために[〜#〜] old [〜#〜] DPMサーバーで使用したパスフレーズが要求されるので、このパスフレーズのオフサイトバックアップは絶対に必要です。持っていない場合は、scr * wedです。

以上です。私はそれをテストしました、それは働きます:)

3
bviktor