Récupération après sinistre Active Directory avec DPM

8

J'ai une sorte de question de rattrapage ici.

Supposons que j'utilise Microsoft System Center Data Protection Manager (2010 ou 2012, cela fonctionne de la même manière) pour sauvegarder, entre autres choses, mon environnement Active Directory (comme dans «l'état du système de mes contrôleurs de domaine»).

Ensuite, un centre de données complet perdu se produit. Je dois repartir à neuf sur du nouveau matériel, je n'ai que mes sauvegardes sur bande disponibles car elles ont été stockées hors site. J'achète donc de nouveaux serveurs, une nouvelle bandothèque, un nouveau stockage, etc.

Maintenant, tout le monde sait (ou devrait savoir) que pour effectuer une récupération après sinistre Active Directory, je dois au moins restaurer l'état du système d'un contrôleur de domaine; bien sûr, cela peut devenir ... difficile si je dois le restaurer sur un matériel différent du serveur d'origine, mais supposons également que ce point soit couvert.

Cependant, et voici le hic, DPM a besoin d'Active Directory pour fonctionner ; il ne sera même pas installé sur un serveur autonome. Mais, bien sûr, un serveur DPM fonctionnel est nécessaire pour récupérer ces sauvegardes à partir des bandes.

Comment puis-je restaurer mon environnement Active Directory en commençant uniquement par les nouveaux serveurs et les sauvegardes sur bande DPM?

NB L'utilisation de contrôleurs de domaine virtuels et la sauvegarde de toutes les machines virtuelles pourraient faciliter la restauration, mais cela ne change en rien la question: un environnement AD fonctionnel est toujours nécessaire pour même installer DPM.

active-directory disaster-recovery restore scdpm system-state Massimo
la source
Honnêtement - Faire l'état du système d'un contrôleur de domaine, c'est se protéger contre la suppression accidentelle d'objets ou la corruption de la base de données. Vous devriez vraiment avoir un deuxième site (géographiquement différent) avec un contrôleur de domaine pour les scénarios de reprise après sinistre.
pauska
1
Et j'ai l'habitude. Mais il s'agit d'un scénario de reprise après sinistre complet et doit être intégré dans un plan de reprise après sinistre, même si cela est très peu probable. De plus, toutes les entreprises ne s'étendent pas sur plusieurs sites ou ne peuvent pas se permettre un datacenter «à chaud» de rechange.
Massimo

Réponses:

5

Jusqu'à présent, j'ai pu trouver la procédure suivante, mais j'espère vraiment qu'il existe un moyen plus simple:

  • Installer le système d'exploitation sur un nouveau serveur
  • Créez un nouveau domaine "factice" et faites du serveur son contrôleur de domaine
  • Installer le système d'exploitation sur un deuxième serveur
  • Joignez le serveur au domaine "factice"
  • Installez DPM sur le deuxième serveur et connectez-le à la bandothèque
  • Restaurer la base de données DPM (*)
  • Rechercher la bande avec une sauvegarde de l'état du système d'un contrôleur de domaine
  • Restaurer la sauvegarde de stabilisation du système vers un emplacement réseau
  • Jetez tout sauf la sauvegarde restaurée
  • Installez le système d'exploitation sur le nouveau contrôleur de domaine
  • Restaurer la sauvegarde de l'état du système sur le nouveau contrôleur de domaine
  • Vérifiez que l'AD restauré fonctionne correctement
  • Installez le système d'exploitation sur le nouveau serveur DPM
  • Joignez le nouveau serveur DPM au domaine restauré
  • Installez DPM sur le nouveau serveur DPM et connectez-le à la bandothèque
  • Restaurer la base de données DPM
  • Commencez à restaurer tout le reste selon votre plan DR

Cette solution est maladroite, longue et quelque peu maladroite, mais elle devrait fonctionner; ma seule préoccupation est de restaurer la base de données DPM pour la première fois (l'étape marquée d'un (*) dans la liste), car je ne sais pas si cela pourrait fonctionner lors de l'exécution sur un autre domaine AD. Si cela ne fonctionne pas, la seule solution serait d'importer manuellement la bande contenant la sauvegarde de l'état du système d'un DC ... et bonne chance pour la trouver si vous avez des sauvegardes de taille décente.
Mais bien sûr, cela vaut également pour trouver la sauvegarde de la base de données DPM en premier lieu ...

Massimo
la source
Il semble que les premières puces 5-1 / 2 pourraient être implémentées à l'avance en tant que VM sur un netbook qui est conservé dans le même coffre-fort que les bandes - une sorte de poste de travail de récupération de bootstrap si vous voulez. Vous pouvez également avoir une machine virtuelle préparée pour le contrôleur de domaine sur le netbook prête à accepter l'état du système et une autre prête à rejoindre le domaine et devenir le nouveau serveur DPM. Vous pourriez aussi bien avoir un partage de fichiers sur ce netbook avec tous les supports d'installation dont vous aurez également besoin.
alx9r
2
Pour savoir si la fonction "Restaurer la base de données DPM" fonctionne dans un autre domaine: "La lecture de bandes sur différents serveurs dpm, quel que soit le domaine ou la version dpm, est entièrement prise en charge." ( source ) Il vous suffit d'avoir les certificats utilisés pour crypter les bandes à portée de main.
alx9r
4

Nous sauvegardons le serveur DPM séparément (via une tâche planifiée en ligne de commande) hebdomadairement et la base de données DPM quotidiennement.

De cette façon, nous pouvons amorcer le serveur DPM à partir de sauvegardes gérées non DPM et la connexion fonctionne avec les informations d'identification de domaine mises en cache. Ensuite, je peux commencer à restaurer des "vraies" sauvegardes à partir de notre bibliothèque de bandes virtuelle.

Cela fonctionne parce que le serveur DPM utilise une base de données locale avec une connexion locale, car nous voulions que l'unité soit aussi autonome que possible. Si votre serveur utilise une base de données distante, cela peut ne pas fonctionner pour vous.

namezero
la source
1
"Nous sauvegardons le serveur DPM séparément ..." - Pour que cela fonctionne dans le cas où le site entier est effacé, certaines de ces sauvegardes distinctes doivent être hors site. Je suis curieux de voir comment vous y êtes parvenu.
alx9r
1
Salut, avec une bonne vieille tâche planifiée de wbadmin start backup -quiet -allCritical -systemState -vssFull. Nous sauvegardons également l'instance MSDPM2010 locale avec BACKUP DATABASE [DPMDB] TO DISK ... De cette façon, le serveur DPM peut être démarré de façon autonome et réinventé pour la récupération.
namezero
3

Sauvegardez vos contrôleurs de domaine sur Azure. C'est extrêmement bon marché (100 Go coûte 10 $ / mois) et super facile à utiliser. Ensuite, la récupération d'AD nécessite uniquement les éléments suivants:

  • l'accès à votre abonnement Azure - ne devrait pas être un problème
  • la phrase secrète utilisée pour chiffrer les sauvegardes Azure - enregistrez-la hors site, sur votre clé USB où vous stockez les clés SSH / BitLocker / etc, ou quelque chose

Ensuite, vous pouvez récupérer sur un serveur Windows temporaire complètement nouveau sans aucun domaine (nouveau ou existant) impliqué. C'est vrai, vous n'avez pas besoin de le joindre à un domaine. La procédure ressemble à ceci:

  1. Accédez à Azure / Recovery Services

  2. Ouvrez le coffre-fort de sauvegarde approprié

    • Téléchargez l'agent de sauvegarde Azure pour Windows Server
    • Télécharger les informations d'identification de Vault

  3. Installer l'agent sur le serveur temporaire

  4. Assistant d'enregistrement de serveur

    • spécifier les informations d'identification téléchargées
    • Générer une phrase secrète <- enregistrez-la, mais cela ne devrait pas être trop important car ce serveur est uniquement à usage temporaire

  5. Démarrer / Sauvegarde Microsoft Azure / Récupérer des données

  6. Assistant de récupération de données

    • Un autre serveur / spécifiez à nouveau les informations d'identification téléchargées
    • Sélectionnez Backup Server / (votre ancien serveur DPM)
    • Parcourir les fichiers
    • Le stockage VM sera spécifié comme chemin d'accès complet au lieu de noms conviviaux, mais cela fonctionnera néanmoins
    • Une fois que vous avez sélectionné les données à récupérer, il vous demandera la phrase secrète que vous avez utilisée sur le serveur OLD DPM pour crypter vos données dans le cloud, c'est pourquoi vous avez absolument besoin d'une sauvegarde hors site de cette phrase secrète. Si vous ne l'avez pas, vous êtes scr * wed.

Et c'est tout. Je l'ai testé, ça marche :)

bviktor
la source