none
שחזור ASR של AD 2003 RRS feed

  • שאלה

  • שלום לכולם !

    ב AD 2003   בעל דומיין יחיד המכיל 2  DC .
    אם בנקודת זמן X   אני מבצע לשני הDC  גבוי   Automatic System Recovery  ( גיבוי מלא של כול המחשב )   ולאחר מכן בנקודת זמן Y  , אני מבצע שיחזור  Automatic System Recovery  של נקודת הזמן X (על אותם המכונות בהתאמה וכאשר הם מנותקות מהרשת )  , האם לאחר השחזור , חיבורם לרשת , והעלאת שני הה DC    - האם אני  חייב לנקוט בצעדים נוספים (בכדי שהמערכת תחזור לתפקוד מלא  של ה AD בנקודת הזמן X (כלומר צילום מצב של ה AD  בנקודת הזמן X , כולל כול האובייקטים כמובן וכ'ו) ) ?
    בתודה מראש לעונים !
    יוס.

    שבת 30 אוקטובר 2010 07:00

כל התגובות

  • שלום יוסי,

    אנא עיין בהתכתבות:

    http://www.winvistatips.com/re-restore-tombstoned-ad-asr-t595520.html

    בהצלחה


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net
    שבת 30 אוקטובר 2010 08:57
  • שלום.

    הנושא יותר מורכב מהשאלה שלך - ותלוי מה הסיטואציה המדוייקת.

    אם אני מתייחס בדיוק למה ששאלת, אז התשובה היא שאפשר לשחזר אבל:

    * סביר להניח שזה לא יהיה רלוונטי לחזור תקופה ארוכה בזמן, ותצטרך להשלים את השחזור למשל על ידי שחזור SYSTEM STATE עדכני יותר.

    * תצטרך ללמוד על המשמעות של authoritative restore .
    http://www.google.com/#hl=en&q=authoritative+restore+2003
    בעיקרון שחזור השרת הראשון צריך להיות authoritative אם אין יותר קשר לשרתים האחרים,
    ושחזור השרת השני צריך להיות רגיל non auth .

    * אם אתה חוזר אחורה בזמן אז יהיו בעיות בקשר עם התחנות, ויהיה למשל צורך לחבר מחדש את כל התחנות והשרתים האחרים ל domain ,
    אלא אם אתה כאמור משחזר system state עדכני יותר.

    לסיכום - התשובה היא מורכבת יותר ממה שזה נראה, ואתה צריך לבחון סיטואציות שונות ומה הפתרון המתאים להן.
    בכל מקרה אסור להסתמך על גיבוי ישן אלא להקפיד שיהיה גיבוי system state עדכני של השרתים (יחד עם הגיבויים של כונן C, וכמובן ה DATA).

    יזהר

     


    Yizhar Hurwitz http://yizhar.mvps.org
    שבת 30 אוקטובר 2010 13:34
  • ראשית , תודה יזהר !

    השאלה נולדה בעקבות מצב שייתכן שאצטרך לבצע פעולה "אקוטית"/"חזקה" על שני הdc , והתוכנית שלי (במקרה של צורך בשחזור הAD , בזמן השבתה מינימלי ,  עקב הפעולה הבעייתית ) היא: לבצע גיבוי ASR  לשני השרתים (באותו הזמן ) , מייד לאחר הגיבוי לבצע את  הפעולה הבעייתית   ואם אכן "נדפק" משהוא במערכת הAD  , לבצע מיידית את שחזור הASR  האמור לעיל - האם גם בתסריט הנ"ל אמורות להיות "בעיות בקשר עם התחנות, ויהיה למשל צורך לחבר מחדש את כל התחנות והשרתים האחרים ל domain " וכ'ו ?

    אגב , ברשותך , גם בנוהל הפורמלי  ( authoritative /non auth restore ) אם גיבוי ה authoritative אינו עדכני אזי אני מניח שאצטרך לחבר מחדש את כל התחנות והשרתים האחרים ל domain - לא כך ?

    ושוב תודה יזהר !

    יוס.

    שבת 30 אוקטובר 2010 14:12
  • שלום.

    מהי הפעולה האקוטית שאתה מתכנן לעשות?
    בכל אופן אתה צריך שיהיה לך גיבוי מלא ומסודר של המערכות כל הזמן,
    גם למקרה שלא עושים פעולה מיוחדת אלא באים בבוקר ופתאום אין שרתים כי גנבו אותם.

    לגבי הפעולה שאתה מתכנן לעשות - שחזור ASR מיועד למקרים קיצוניים שבהם משחזרים את כל המערכת,
    אחרי למשל אובדן של החומרה או של הדיסקים.
    אם אתה מתכנן לעשות משהו שמבצע למשל שינוי ב AD,
    אז במקרה שתרצה לחזור אחורה אתה יכול להסתפק בשחזור SYSTEM STATE (לפי הנוהל המתאים),
    ולא צריך שחזור מלא.
    מה שטוב בגיבוי ASR זה שאפשר גם לשחזר ממנו באופן סלקטיבי (כי זה למעשה גיבוי NTBACKUP רגיל עם תוספת למקרים מיוחדים).

    אני מציע לך להשתמש בגיבוי הרגיל היומיומי שלך, ובנוסף אתה יכול לשמור גם ASR של המערכות.
    לפני שאתה בא לעשות את הפעולה הקריטית שהזכרת אז תשמור בצד גיבוי SYSTEM STATE נוסף אבל לא חייבים להריץ שוב ASR אם הכנת אותו לפני מספר שעות או ימים.
    במקרה הצורך תוכל לשחזר SYSTEM STATE בלבד, או שחזור מלא, לפי הסיטואציה.

    בכל מקרה חשוב מאד שתבין את המשמעות של AUTHORITATIVE RESTORE לעומת NON AUTHORITATIVE - מה האופציות ומתי משתמשים בכל אחד.

    כמו כן חשוב מאד שתקרא על מה שנקרא USN ROLLBACK כדי שתדע איך להקפיד להימנע ממצב כזה ומה אסור לעשות.

    תקרא מאמרים שונים על המושגים שהזכרתי.

    לגבי מה שכתבתי על חיבור מחדש של תחנות ל DOMAIN - זה רלוונטי רק במקרה שמחזירים את המערכת תקופה ארוכה לאחור בלי קשר לאופן השחזור,
    בגלל שהמחשבים מחליפים את הסיסמא שלהם אחת לשבוע בדרך כלל.
    במקרה שלך מדובר על זמן קצר אז זה לא משנה ואתה יכול להתעלם מהנושא הזה.

    בדיקות ודברים נוספים שחשוב להקפיד עליהם באופן שגרתי, ובמיוחד לפני שינויים ב AD :
    EVENT VIEWER
    DCDIAG
    REPADMIN /SHOWREPS
    בדיקה שהשעונים מסונכרנים בין השרתים.
    גיבוי מלא של DRIVE C , SYSTEM STATE ו DATA של כל השרתים, אחת לשבוע לפחות (רצוי אחת ליום),
    זה יכול להיות עם תוכנת הגיבוי הרגילה שלך ו/או עם NTBACKUP .

    אנא תרשום כאן תשובות לנושאים הבאים כדי שנבין יותר טוב:
    מה נוהל הגיבוי הרגיל שלך, בלי קשר לשינויים?
    מה הפעולה שאתה מתכנן לעשות?
    האם אתה יכול להרחיב יותר בנושא של חומרה ותוכנה של השרתים, לפחות מה שקשור לשינויים?

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org
    שבת 30 אוקטובר 2010 14:44
  • תשובות :

    1)אני מבצע נוהל גיבוי יומי לטייפ (11.0 arcserv ) של הsystem state של שני הרתי DC  המדוברים

    2)מדובר בשתי פעולות אחת חומרה (בדיקת תפקוד מערכת ה ups )  והשניה (הקרובה יותר בזמן) היא הסרת meta data  של DC  נוסף (שעשה בעיות  ובצעתי עבורו dcpromo/force removal  ) בעזרת ntdsutill

    הDC  הנוסף (השלישי) הנ"ל נוצר והוקם (בשלב מאוחר יותר של יצירת הAD /domain ושני השרתי DC  המדוברים בשחזור ) רק לצורך שרידות הAD  ולא רץ עליו  אף FSMO

    3)שני שרתי הDC  הם שרתי 2003  של IBM שמשמשים רק כ DC

    ברשותך , הבנתי שהדרך שלי (ASR) על אף שהיא "עקומה" משהו - אמורה לעבוד (בהנחה שאכן שתתבצע "מיידית"  כפי שהצגתי)

    אני "מתעקש" עליה מכווין ש  אין לי נסיון (מעשי) בסוג של שחזור AD  ונראה לי שהמנגנון שאני מציע  הוא הפשוט/מהיר ביותר לשחזור מלא של הAD - האם במקרה הנ"ל  השחזור יהיה מלא גם עבור הsysvol ?

    בהנחה (הגיונית) שאני טועה  וכן אבצע על פי שחזור הSystem  state  , האם אצרך לבצע auth restore של ה הSystem  state של הdc  הראשון (חשוב איזה מהם  מבחינת הרולים שהוא החזיק) ולאחר מכן non tauth restore של הSystem  state של השני - (מה אצטרך לסמן לסמן/לא לסמן לשחזר) ?שוב , מה קורה עם הsysvol?

    יוס.

    שבת 30 אוקטובר 2010 15:30
  • תודה , אכן עיינתי  ובעקבות כך העליתי שאלות בהמשך לגבי הsysvol
    שבת 30 אוקטובר 2010 15:33
  • שלום יוסי,

    א. וודא שה tombstone lifetime  מוגדר ל 180 ימים:

    http://msmvps.com/blogs/ulfbsimonweidner/archive/2010/02/10/adjusting-the-tombstone-lifetime.aspx

    ב. לדעתי אתה יכול לפשט את הסוגיה.

    1. כבה DC אחד (זה שאינו ה FSMO).

    * וודא ששני ה DC הינם GC + DNS לפני.

    2. בצע ASR לשרת הפעיל.

    3. בצע את השינויים ברשת.

    4. במקרה של תקלה, תוכל לשחזר את ה DC עם ASR או להעלות את ה DC הכבוי (כאשר ה DC עם הבעיות למטה, ואז תוכל למחוק אותו).

    כמו כן, מומלץ שיהיה לך SYSTEP STATE מגובה בשני השרתים.

    בהצלחה

     


    בברכה, יובל סיני, יועץ טכנולוגיות, אתר אינטרנט: http://www.ben-shushan.net
    שבת 30 אוקטובר 2010 20:01
  • שלום.

    אתה יכול לשמור גיבוי ASR (זה טוב לשמור גיבויים כאלו על דיסק, בנוסף לגיבויים של ARCSERVE על הקלטות),
    אבל זה משהו כללי שלא קשור ישירות לשינויים שאתה מתכנן לעשות, אלא תוספת לגיבוי השגרתי.

    לפני השינויים שאתה עושה תשמור גיבוי SYSTEM STATE של שני השרתים.

    לגבי זה שאין לך נסיון או ידע מספיקים בנושא שחזור AD - תדאג שיהיה לך מישהו שנותן לך תמיכה בנושא למקרה הצורך.
    כלומר אתה לא צריך שהוא יהיה איתך באתר בזמן הפעולה, אבל אם משהו משתבש ואם אתה מגיע לשלב של שחזורים אז שתדע למי לפנות.

    השיטה של ASR היא לא "עקומה", וזה טוב שאתה לא מסתמך רק על ARCSERVE (כי השחזור ממנו הוא איטי ומורכב יחסית).
    אבל ספיציפית לגבי AD אם יש בעיה ב AD לא מבצעים שחזור מלא אלא נקודתי כפי שכתבתי.

    אני אגב חולק על הגישה שיובל סיני הציע - לנתק אחד השרתים.
    אני תמיד מבצע שינויים ב AD כשכל השרתים פעילים ומסונכרנים כדי למנוע בעיות, אבל יחד עם זה אני שומר גיבוי SYSTEM STATE וגם מוודא שאני יודע מה אני עושה.
    זה לא שאחד מאיתנו צודק והשני טועה, אלא גישות שונות.
    הגישה שלי היא לעשות את העבודה כשכל השרתים פעילים.

    אם אתה בכל זאת רוצה לנתק שרת אחד, יש להקפיד שהשרת עם תפקידי FSMO השונים יהיה פעיל ומחובר לרשת, אחרת לא תצליח לבצע את הפעולה.

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org
    שבת 30 אוקטובר 2010 21:11
  • שלום יובל !

    בהסתמך על השיטה שאתה מציע , מה קורה עם הDC הכבוי ? מה הטפול/השחזור  עבורו ובאיזה שלב  ?

    כמו כן  מה הכוונה בסעיף 3?

    האם בשיטה הנ"ל אמורה להיות בעייה עם הsysvol ? כלומר אני חייב להתייחס (להגדיר וכ'ו) אליו בנפרד   או  שהנוהל שאתה מציע הוא שלם  ומטפל גם בכך ?

    תודה !

    יוס .

    יום ראשון 31 אוקטובר 2010 06:06
  • שלום יזהר !

    לדעתי היתרון בשיטתך לעומת שיטת יובל היא  שהתעוד עליה נרחב ומפורט יותר (נדמה לי שזו השיטה ה"פורמלית" של MS )

    לעומת זאת נראה לי ששיטת יובל היא מהירה / פשוטה יותר לבצוע משיטתך

    בכול מקרה אני שמח  ששניכם מעלים כאן  כול אחד את שיטתו  - דבר שמחדד ומעמיק את הבנתי  בנושא הלא טרוויאלי הזה (מבחינתי לפחות :-))

    תודה !

    יוס.

    יום ראשון 31 אוקטובר 2010 06:19
  • שלום.

     

    השיטה של כיבוי אחד השרתים היא לא פשוטה ולא מהירה יותר.

    להיפך זו שיטה יותר מורכבת מפני שבמהלך העבודה (או השחזור במידת הצורך) אם אחד השרתים כבוי זה עלול לגרום לתקלות והודעות שגיאה שונות בגלל שאין סנכרון תקין בין השרתים.


    יזהר

     


    Yizhar Hurwitz http://yizhar.mvps.org
    יום ראשון 31 אוקטובר 2010 18:24
  • מסכים לקטע של של ההודעות (אזהרות) שגיאה (אולי) אך לא לקטע של התקלות (ביחוד אם אין על השרת הכבוי  FSMO) , חסר סיטואציות במציאות/בחיי היום יום  שרק DC אחד עובד? הרי זה בדיוק (בין היתר ) הסיבה לריבוי  שרתי DC - גיבוי
    יום שלישי 02 נובמבר 2010 06:03