locked
Active Directory backup RRS feed

  • Вопрос

  • Нужен  совет:

    Есть домен primer.domain.com один лес одно дерево уровень леса 2008R2.

    Есть один центральный офис и 3 филиала, для каждого офиса  отдельный сайт в каждом из них есть домен контролер (глобальный каталог).

    В центральном офисе (в одном сайте):

    1. server1  -  домен контролер с ролями FSMO (но не GC). Сервер виртуальный на Hyper-V.

    2. server2 - домен контролер (GC). Сервер виртуальный на Hyper-V.

    В каждом филиале (сайте филиала) по одному домен контролеру (GC):

    филиал1 - server3 (GC)

    филиал2 - server4 (GC)

    филиал3 - server5 (GC)

    Все сервера фильалов реплицируются с сервером server1 с ролями FSMO что в центральном офисе. Все работает отлично.

    Нужен совет в плане бекапа .

    DPM-ом бекаплю виртуальные  сервера server1 и server2 (Child Partition Snapshot)  что в  центральном офисе, и делаю бекап System State с сервера server3 (GC) что в одном из филиалов.

    Бекапи делаются каждый день, срок хранения 5 дней.

    Что где пропустил ? И как правильно спланировать бекап для того чтобы в кратчайшие сроки можно было востановить базу AD или один из серверов.


    • Изменено offskid 14 февраля 2012 г. 7:16
    14 февраля 2012 г. 7:14

Ответы

  • server 4 и server5 пропустили. Бэкапьте как server3. Например из-за проблем с электричеством, некорректно завершится работа системы - база AD повреждена, offline дефрагментация не помогает - гораздо быстрее восстановить system state из бекапа, чем поднимать новый КД.
    5 резервных копий - это достаточно. Чтобы восстанавливать удаленные давно объекты - есть корзина AD.
    • Помечено в качестве ответа offskid 16 февраля 2012 г. 15:30
    14 февраля 2012 г. 7:33
    Отвечающий
  • бест практис - отказ от снапшотов. Тут более подробно расписано http://technet.microsoft.com/en-us/library/dd363553(v=ws.10).aspx.

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 10:47
    • Снята пометка об ответе offskid 14 февраля 2012 г. 12:52
    • Помечено в качестве ответа offskid 16 февраля 2012 г. 15:31
    14 февраля 2012 г. 9:43

Все ответы

  • Не надо снапшотить контроллеры домена, AD поломаете после восстановления
    Статья по теме
    http://technet.microsoft.com/en-us/library/dd363553(v=ws.10).aspx

    • Изменено Roman Migranov 14 февраля 2012 г. 7:39
    • Помечено в качестве ответа offskid 14 февраля 2012 г. 10:47
    • Снята пометка об ответе offskid 14 февраля 2012 г. 12:52
    14 февраля 2012 г. 7:31
  • server 4 и server5 пропустили. Бэкапьте как server3. Например из-за проблем с электричеством, некорректно завершится работа системы - база AD повреждена, offline дефрагментация не помогает - гораздо быстрее восстановить system state из бекапа, чем поднимать новый КД.
    5 резервных копий - это достаточно. Чтобы восстанавливать удаленные давно объекты - есть корзина AD.
    • Помечено в качестве ответа offskid 16 февраля 2012 г. 15:30
    14 февраля 2012 г. 7:33
    Отвечающий
  • 5 резервных копий System State имеете в  виду ?

    По поподу букапов Child Partition Snapshot  на тестовой  среде  все работало нормально и при востановлении  ничего не ломалось . В  чем сложность то ?

    14 февраля 2012 г. 7:46
  • В случае восстановления Child Partition Snapshot  можно нарваться на ошибку USN Rollback, в частности сломается репликация. подробнее об этом http://support.microsoft.com/kb/875495/en-us

    14 февраля 2012 г. 7:49
  • Но  есть при востановлении выключить все остальные контролеры то проблем не должны быть .

    Или к  примеру  все контроллеры перевести на виртуалки и делать копию снепшота в одно время и востанавливать в  случ проблемы в одно время.

    Интересует "бест практис такого решения".

    14 февраля 2012 г. 9:40
  • бест практис - отказ от снапшотов. Тут более подробно расписано http://technet.microsoft.com/en-us/library/dd363553(v=ws.10).aspx.

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 10:47
    • Снята пометка об ответе offskid 14 февраля 2012 г. 12:52
    • Помечено в качестве ответа offskid 16 февраля 2012 г. 15:31
    14 февраля 2012 г. 9:43
  • Спасибо Роман. 

    Перечитал все что касается работы домен контроллеров в виртуальной  среде.  Полезная инфа.

    Буду детать System State копии все 5-ти контролеров домена.

    Как думаете с какой периодичностью делать копии System State чтобы максимально быстро все востановить ?

    И достаточто ли только System State бакапа ? Или лучше бекапить целый диск с: ?

    Как действовать с точки зрение "бест практис"  если к примеру упадет сервер server5 (GC) , есть только бекап System State .

    • Изменено offskid 14 февраля 2012 г. 12:52
    14 февраля 2012 г. 10:49
  • 1. периодичность бекапа на скорость самого процесса восстановления влияет слабо. Раз в день достаточно, на мой взгляд.

    2. для восстановления  AD достаточно system state, для восстановления после всяких прочих напастей пригодится бекап всего диска С. Можно сделать так:

    раз в неделю делается полный бекап, каждый день system state.

    3. запускаем в режиме восстановления службы каталогов - монтируем БД Actiive Directory - делаем авторитетное (неавторитетное) восстановление. Здесь особых бест практисов нет, ибо сценарий по сути один.

    про бекапы АД http://technet.microsoft.com/en-us/library/cc771290(v=ws.10).aspx



    14 февраля 2012 г. 13:21
  • Есть ли смисл вообще делать system state бекап каждого из контроллеров? Если грохнится база АД то достаточно будет одного бекапа system state для востановления базы и самой АД.

    Лечше при падении одного из серверов просто настраивать новый чистый сервер , делать его контроллером домена , а  на старом тот что упал принудительно понизить роли и уделить его из схеми.

    Мне кажется такой  вариант не простой но проверенный и рабочий.  Что скажете ?Смисл делать бекапы каждого сервера ?

    14 февраля 2012 г. 14:16
  • Но при падении одного из ДК  никто сильно не пострадает так как все автоматом будут работать с другим ДК.

    Что вы имеете  в  виду быстро востановить работоспособность ?  все равно же придется устанавливать ОС, подтягивать бекап ,востанавливать , а  вдруг востановление пойдет не так и грохнется вся АД? Как на меня более безопасный путь это новый чистый сервер, по времени дольше но проверенно.

    Где я ошибаюсь ?  Просто до конца не могу понять зачем бекапить все ДК?

    14 февраля 2012 г. 15:09
  • Вот  в  моем  случ какие из пяти ДК бекапить system state ? Все физичиские server3,server4,server5? 

    Или два виртуальных что в центральном офисе server1 (FSMO),server2(GC) ,будет достаточно ?

    Стоит ли остановить бекап (Child Partition Snapshot) и переделать на system state изнутри виртуалки ?

    14 февраля 2012 г. 15:25
  • Вот  в  моем  случ какие из пяти ДК бекапить system state ? Все физичиские server3,server4,server5? 

    Или два виртуальных что в центральном офисе server1 (FSMO),server2(GC) ,будет достаточно ?

    Стоит ли остановить бекап (Child Partition Snapshot) и переделать на system state изнутри виртуалки ?

    1. Повторяю - в вашем случае бэкапьте system state на всех КД, и в моем первом посте, в этом топике я объяснил почему.

    2. Это у вас нужно спросить - достаточно или нет? Для восстановления AD это достаточно.

    3. Делайте system state.

    15 февраля 2012 г. 6:38
    Отвечающий
  • СПС. Наверное  так и буду делать , system state на каждом ДК. Как думаете 1 раз в неделю будет достаточно ?
    15 февраля 2012 г. 6:58
  • СПС. Наверное  так и буду делать , system state на каждом ДК. Как думаете 1 раз в неделю будет достаточно ?

    Достаточно. Только в разные дни недели.

    15 февраля 2012 г. 7:03
    Отвечающий