Резервное копирование DC для катастрофического случая

Я настраивал резервные копии за пределами сайта для наиболее важных элементов компании, в которой я работаю. Одним из этих критических элементов является DC.

Сейчас компания довольно маленькая, поэтому имеет только один лес и два сервера постоянного тока на отдельных физических машинах (однако один виртуализирован). Тем не менее, критический сбой в серверной комнате может уничтожить обе эти машины.

Итак, я пытаюсь создать резервную копию DC для критического сценария. Я продолжаю читать в Интернете, что достаточно выполнить резервное копирование состояния системы, но я чувствую, что это допустимо только в том случае, если вы хотите иметь возможность восстановить контроллер домена на том же сервере, где было выполнено резервное копирование. Я попытался сделать резервную копию состояния системы, а затем восстановить ее на изолированной виртуальной машине (тот же сервер, те же обновления), и это ... не очень хорошо; восстановление прошло нормально, но потом я не смог связаться с локальным DC, даже если бы убедился, что у виртуальной машины тот же IP-адрес, что и раньше (конечно, все еще изолированный). Ни одна из связанных с DC административных консолей также не работала. Во время восстановления было даже предупреждение о том, что восстановление состояния системы с другого компьютера не рекомендуется.

Таким образом, я чувствую, что это неправильный подход. Итак ... что является правильным подходом, если я хочу сделать резервную копию нашего DC-контроллера, чтобы покрыть критический сбой? Полное резервное копирование диска C: System State System или я мог бы просто создать резервную копию всего диска для этого виртуализированного DC, но я пытаюсь сделать резервную копию как можно меньше ...

РЕДАКТИРОВАТЬ: я пытаюсь сделать резервную копию как можно меньше, чтобы не пропустить расходы, но время загрузки.

PS. Я использую приложение резервного копирования Azure, но я не думаю, что это актуально. Все наши контроллеры домена в настоящее время работают под управлением Windows Server 2016.

backup domain-controller

— Shaamaan
источник

+1 за тестирование критического восстановления;). Я еще не использовал Azure Backup, но состояния системы должно быть достаточно (независимо от того, какое решение для резервного копирования вы используете). Вы читали статью Technet , я полагаю? Особенно часть для другого сервера .

— Леннией

@Lenniey Да, я прочитал эту статью. Но, поразмыслив, я, возможно, пропустил критическую часть этого (в частности, немногое, чтобы выполнить больше шагов после восстановления AD, описанного здесь . Я проверяю это сейчас.

— Shaamaan

Мы настроили довольно трюк для этого. У внешнего сайта резервного копирования был DC для домена.

— Джошудсон

Ответы:

Восстановление состояния системы может работать, но единственный способ, поддерживаемый Microsoft, - полное восстановление образа системы. Это включает в себя состояние системы.

Полное восстановление леса является сложным, поэтому вам нужно просмотреть следующий документ и создать свой собственный документ с необходимыми шагами:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide

— Грег Аскью
источник

Я пытаюсь сделать резервную копию как можно меньше ...

Это общий подход, и это неправильный подход.

Вы защищаете один из самых важных активов информационных технологий компании. Относитесь к этому как таковой. Ничто, кроме полного резервного копирования DC, не допустимо. Вы можете использовать встроенную резервную копию Windows Server, чтобы создать полную резервную копию DC для восстановления.

DC обычно маленькие. Вы могли бы, вероятно, вместить полную резервную копию DC на USB-накопителе за 20,00 $. Не экономьте.

Я понял ... программное обеспечение для резервного копирования и хранилище могут быть дорогостоящими ... особенно со временем. Я не слышу, чтобы ИТ-администраторы говорили о том, как сократить эти расходы. Не торгуйте своей способностью восстанавливать что-либо и / или все просто, чтобы сократить расходы. Вам необходимо определить, какой уровень защиты (в виде резервных копий) вам необходимо иметь, и как сбалансировать эту потребность с тем, что у вас есть в вашем ИТ-бюджете. Резервные копии как страховка. Сколько страховки вы хотите / должны иметь и сколько вы готовы за нее заплатить?

Я не хочу быть тем человеком, который должен объяснить генеральному директору, что мы не можем восстановить критически важную часть ИТ-инфраструктуры, потому что мы пытались сэкономить несколько долларов.

Мой подход к резервным копиям заключается в том, что лучше иметь их и не нуждаться в них, чем в том, что они нужны, а не в них.

С эксплуатационной и технической точек зрения я бы предпочел восстановить полную резервную копию BMR DC, чем пытаться восстановить состояние системы DC на новой машине.

— joeqwerty
источник

Мне нужно -1 это, так как этот ответ фокусируется не на том. Я отредактировал свой вопрос, указав, что ПОПЫТКА сделать резервную копию настолько маленькой, насколько это возможно, проистекает из необходимости загружать эту резервную копию за пределы сайта, а НЕ потому, что мы дешевы и не можем позволить себе диск. Кроме того, это всего лишь ПОПЫТКА - если невозможно придерживаться состояния системы, можно пойти дальше. Нигде в моем вопросе я не сказал, что это абсолютное требование.

— Shaamaan

Хорошо, поэтому причины отличаются от того, что я предположил, но мой ответ остается верным, поскольку он касается резервного копирования DC. Microsoft говорит, что вы можете создавать резервные копии состояния системы контроллера домена с помощью Azure Backup, так что этого достаточно? Для меня этого недостаточно, но если вам нужно пойти по этому пути, я бы посоветовал вам протестировать резервное копирование и восстановление с помощью тестового DC, чтобы убедиться, что оно работает, и чтобы вы могли документировать процесс восстановления.

— Joeqwerty

-1 от меня тоже. Если для загрузки резервной копии требуется три дня, есть вероятность, что в хранилище резервных копий никогда не будет полной резервной копии.

— AndreKR

Вы отклонили мой ответ из-за количества времени, которое потребуется для полного резервного копирования? Это странно. Таким образом, вы рискуете не иметь возможности полностью восстановить DC, а не найти приемлемое решение для резервного копирования, которое гарантирует, что вы сможете полностью восстановить DC?

— Joeqwerty