Відновлення контролера домену з резервної копії за допомогою Veeam

Продовжуємо публікацію серії статей, написаних колегою для корпоративного блогу і присвячених резервного копіювання та відновлення контролерів домену і власне Active Directory.

У попередній статті з цієї серії розповідалося про процедуру бекапі фізичних і віртуальних контролерів домену (DC). Сьогодні поговоримо про їх відновлення.
Відразу скажу, що цей пост не є керівництвом по відновленню Active Directory. Його завдання — розповісти про те, що необхідно враховувати при відновленні ОГОЛОШЕННЯ або конкретного контролера домену з резервної копії, а також показати, як можна виконати ці дії за допомогою рішень Veeam.



Доскональне знання своєї інфраструктури дуже допомагає при плануванні відновлення AD. Ось лише частина питань, відповіді на які вам необхідно знати, щоб успішно відновлювати дані:

  • Скільки контролерів домену у вашому середовищі — один чи декілька?
  • Це контролери домену, доступні для читання і запису (RWDC) або тільки для читання (RODC)?
  • Вийшов з ладу тільки один контролер, або пошкоджена вся інфраструктура AD?
  • Якщо у вас кілька контролерів, чи використовуєте ви для синхронізації між різними контролерами домену службу реплікації файлів (FRS) або перейшли на розподілену DFSR для синхронізації між різними контролерами домену?
Примітка: Починаючи з Windows Server 2008, реплікація DFSR стала варіантом налаштування за замовчуванням для реплікації каталогу SYSVOL.

Відновлення виртуализованного контролера домену
Збираючись відновлювати контролер домену, необхідно спочатку визначити, чи достатній режим non-authoritative чи потрібно скористатися режимом authoritative.
Різниця між цими двома режимами полягає в тому, що при режимі відновлення non-authoritative контролер домену розуміє, що він був протягом деякого часу відключений. Тому він дозволяє іншим контролерам оновити базу даних, внісши в неї останні зміни, що відбулися під час його відсутності. А при authoritative відновлення контролер вважає, що тільки на ньому є істинно вірна база даних, тому саме він отримує повноваження на оновлення баз даних інших контролерів домену на основі своїх даних.
У більшості сценаріїв відновлення вам потрібно режим non-authoritative, оскільки в середовищі є декілька контролерів домену. (Крім того, authoritative відновлення може призвести до нових проблем.)

Саме на цьому заснована логіка Veeam Backup & Replication: за умовчанням виконується non-authoritative відновлення, оскільки вважається, що інфраструктура побудована з надмірністю і включає в себе кілька контролерів.

Щоб виконати authoritative відновлення з допомогою Veeam, необхідно здійснити деякі додаткові дії, які будуть описані пізніше.

Корисно: Ще один поширений варіант дій при відмові контролера домену — розподілити ролі між іншими контролерами та очистити метадані, якщо відновлення малоймовірно. У цьому випадку ви доручаєте іншим DC виконувати функції відмовив, і вам не потрібно його відновлювати.

Відновлення в режимі «non-authoritative»

Отже, повернемося до файлів резервних копій, створення яких було описано в попередній статті. Для того, щоб відновити контролер домену з резервної копії Veeam Backup & Replication, потрібно:

  1. Запустити майстер відновлення в консолі Veeam Backup.
  2. Знайти потрібний контролер домену.
  3. Вибрати в меню відновлення варіант відновлення ВМ (Restore Entire VM).
  4. Вказати точку відновлення.
  5. Вибрати початкове або нове місце відновлення.
  6. Завершити процедуру.
Найцікавіше тут, що завдяки обробці даних з урахуванням стану додатків при створенні резервної копії, вам більше нічого не потрібно робити. Veeam розпізнає контролер домену в зазначеній ВМ і акуратно відновить його, використовуючи ось таку послідовність дій:

  1. Відновлення файлів і дисків ВМ.
  2. Завантаження ОС в спеціальному режимі відновлення доменних сервісів (DSRM mode).
  3. Застосування налаштувань.
  4. Перезапуск у звичайному режимі.
Контролер домену буде знати про відновлення з резервної копії і зробить відповідні дії: існуюча база даних буде оголошена недійсною, і партнери реплікації зможуть оновити її, внісши найбільш свіжу інформацію.


Відновлення в режимі «authoritative»

З великою часткою ймовірності вам не потрібно цей режим відновлення. Однак давайте познайомимося з ним ближче, щоб ви зрозуміли, чому це так.

Цей режим можна використовувати, наприклад, коли ви намагаєтеся відновити вірну копію контролера домену в середовищі з кількома контролерами домену, при тому, що вся структура AD з якоїсь причини пошкоджена (напр., шкідливе ПО, вірус тощо). У цій ситуації, звичайно, бажано, щоб пошкоджені контролери домену приймали зміни знову відновленої контролера.

Примітка: Виконувані дії схожі з тим, що відбувається при використанні Veeam SureBackup для відновлення контролера домену в ізольованому середовищі.

Щоб виконати відновлення видаленого об'єкта або контейнера в режимі authoritative і примусити контролер домену скопіювати відновлені дані з цього DC на інші контролери:

  1. Виберіть Veeam операцію відновлення ВМ повністю: програма автоматично виконає стандартне відновлення DC в режимі «non-authoritative» (див. вище).
  2. При другому перезапуску DC відкрийте майстер завантаження (натисніть F8), виберіть пункт DSRM і увійдіть в систему з даними облікового запису DSRM (та обліковий запис, яку ви вказали, коли призначали даний комп'ютер контролером домену).
  3. Відкрийте командний рядок і запустіть утиліту ntdsutil
  4. Використовуйте наступні команди:

    • activate instance ntds;

    • виберіть
      authoritative restore;
    • виберіть
      restore object "distinguishedName"
      або
      restore subtree "distinguishedName"


      Приклад:
      restore subtree “OU=Branch,DC=dc,DC=lab, DC=local 

  5. Підтвердіть authoritative відновлення і перезапустіть сервер після завершення операції.
Процедура authoritative відновлення SYSVOL (при використанні служби DFSR) здійснюється наступним чином:

  1. Виконайте non-authoritative відновлення контролера домену (наприклад, відновлення ВМ у Veeam Backup & Replication).
  2. другий завантаження відкрийте гілку реєстру HKLM\System\CurrentControlSet\Services\DFSR, створіть ключ Restore, а потім створіть рядок SYSVOL значення authoritative.
    Це значення буде зчитано службою DFSR. Якщо значення не встановлено, за замовчуванням проводиться відновлення SYSVOL в режимі non-authoritative.
  3. Перейдіть до HKLM\System\CurrentControlSet\Control\BackupRestore, створіть ключ SystemStateRestore, потім створіть рядок LastRestoreId з будь-яким значенням GUID, наприклад, 10000000-0000-0000-0000-000000000000.
  4. Перезапустіть службу DFSR.




Процедура authoritative відновлення SYSVOL (при використанні служби FRS):

  1. Виконайте non-authoritative відновлення контролера домену (наприклад, відновлення ВМ у Veeam Backup & Replication).

  2. другий завантаження відкрийте гілку реєстру HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup і змініть значення ключа Burflag 000000D4 (hex) або 212 (dec).

    Це забезпечить примусове копіювання даних на контролери домену, використовують стару технологію FRS, «authoritative» режимі. Детальніше про відновлення FRS можна почитати тут.

  3. Перезапустіть службу NTFRS.
Відновлення фізичного контролера домену з Veeam Endpoint Backup
Тепер трохи про відновлення фізичної машини з резервної копії за допомогою Veeam Endpoint Backup.

Вам буде потрібно:

  1. Заздалегідь підготовлений аварійний завантажувальний диск Veeam.
  2. Доступ до резервної копії (на USB-носії або мережевому диску).
Важливо! Пам'ятайте, що в даному випадку особлива логіка Veeam Backup & Replication використовуватися не буде.

Після відновлення за допомогою Veeam Endpoint Backup ваш контролер домену завантажиться в режимі відновлення. Вам потрібно буде вирішити, чи хочете ви змінити ключі реєстру або відразу перезапустіть ВМ у звичайному режимі. Можливо, ця стаття бази знань Veeam буде корисна.



Тут можна прочитати про відновлення на «голе залізо» резервної копії за допомогою Veeam Endpoint Backup більш докладно.

Отже, ми розглянули відновлення окремого контролера домену. Однак найчастіше при роботі з ОГОЛОШЕННЯ потрібно відновити випадково видалений об'єкт, і в цьому випадку відновлювати контролер цілком — не найефективніший варіант. Тому у наступній статті я розповім про відновлення окремих об'єктів каталогу AD з допомогою власних інструментів Microsoft і утиліти Veeam Explorer для Active Directory.

Корисні посилання:
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.