none
backup Active Directory RRS feed

  • Вопрос

  • Здравствуйте коллеги

    Коллеги подскажите как правильно делать резервное копирование Active Directory при условии что есть два  и более контроллера домена ?

    Спасибо

    5 марта 2015 г. 13:04

Ответы

  • Здравствуйте коллеги

    Коллеги подскажите как правильно делать резервное копирование Active Directory при условии что есть два  и более контроллера домена ?

    Спасибо

    Резервное копирование AD делать нужно любой программой, специально поддерживающей это резервное копирование. Точнее, эта программа должна поддерживать восстановление AD - потому что именно для восстановления требуются специфические действия. Простейшая из таких программ - Windows Server Backup, более сложные - Microsoft DPM, Symantec BackupExec и т.д.

    Резервное копирование через снятие образа диска (Acronis TrueImage, Norton Ghost и т.п.) опасно тем, что восстановленная из образа диска база данных Active Directory будет находиться в рассогласованном состоянии (т.н. USN Rollback), если не предпринять специальных мер. В качестве специальной меры, как минимум, нужно делать следующее:

    1. Восстановить образ диска на сервер, не допуская после восстановления его загрузку в обычном режиме подключенным к сети (неподключенным к сети, или в безопасном режиме любого типа  - можно) до окончания (п.5) изложенной ниже процедуры.

    2. На отключенном от сети КД, загруженном в обычном режиме, сделать резервную копию состояния системы с помощью Windows Server Backup

    3. Загрузиться в режиме восстановления служб каталогов и зайти под локальным администратором (для этого надо знать пароль администратора этого режима).

    4. Восстановить полученную на шаге 2 копию состяния системы.

    5. Теперь можно подключить КД к сети и загрузиться в обычном режиме.

    Ещё лучше делать резервную копию состояния системы вместе с созданием образа диска (её тогда можно использовать на шаге 4, шаг 2 при этом не нужен, пропускается).

    А ещё лучше - всё-таки использовать программу, поддерживающую резервное копирование AD.


    Слава России!

    5 марта 2015 г. 16:30

Все ответы

  • вы про авторитативное и неавторитативное восстановление уже прочитали?

    разницу поняли?

    5 марта 2015 г. 15:32
  • Здравствуйте коллеги

    Коллеги подскажите как правильно делать резервное копирование Active Directory при условии что есть два  и более контроллера домена ?

    Спасибо

    Резервное копирование AD делать нужно любой программой, специально поддерживающей это резервное копирование. Точнее, эта программа должна поддерживать восстановление AD - потому что именно для восстановления требуются специфические действия. Простейшая из таких программ - Windows Server Backup, более сложные - Microsoft DPM, Symantec BackupExec и т.д.

    Резервное копирование через снятие образа диска (Acronis TrueImage, Norton Ghost и т.п.) опасно тем, что восстановленная из образа диска база данных Active Directory будет находиться в рассогласованном состоянии (т.н. USN Rollback), если не предпринять специальных мер. В качестве специальной меры, как минимум, нужно делать следующее:

    1. Восстановить образ диска на сервер, не допуская после восстановления его загрузку в обычном режиме подключенным к сети (неподключенным к сети, или в безопасном режиме любого типа  - можно) до окончания (п.5) изложенной ниже процедуры.

    2. На отключенном от сети КД, загруженном в обычном режиме, сделать резервную копию состояния системы с помощью Windows Server Backup

    3. Загрузиться в режиме восстановления служб каталогов и зайти под локальным администратором (для этого надо знать пароль администратора этого режима).

    4. Восстановить полученную на шаге 2 копию состяния системы.

    5. Теперь можно подключить КД к сети и загрузиться в обычном режиме.

    Ещё лучше делать резервную копию состояния системы вместе с созданием образа диска (её тогда можно использовать на шаге 4, шаг 2 при этом не нужен, пропускается).

    А ещё лучше - всё-таки использовать программу, поддерживающую резервное копирование AD.


    Слава России!

    5 марта 2015 г. 16:30
  • Спасибо
    6 марта 2015 г. 4:27
  •   Проблема обсуждалась еще и здесь:

    ~

    Резервное копирование — виртуальные клоны против неконсистентных кентавров
    http://habrahabr.ru/company/truevds/blog/142198/

    ~

    ~

    cvss  17 апреля 2012 в 19:18#

      . . .

    Мне трудно допустить, что у контроллера домена такая реакция на перерыв работе может быть нормой. В статье по ссылке описывалось условие, в котором возникла проблема — это был просто снэпшот, и восстановление из этого снэпшота привело к нарушению в работе. Судя по ней, контроллер доменов не поддерживает Quiesce, поэтому не сбрасывает корректно данные на диск перед снэпшотом

    ~

    ~

    heathen  17 апреля 2012 в 20:19#

    Ситуация в следующем: при репликации AD используется USN (update sequence number) совместно с идентификатором вызова (invocation ID) для отслеживания изменений, переданных с источника обновления. Эти номера фиксируются. Если вы сняли снимок виртуальной машины, а затем продолжили работу, все участники репликации продолжают обмениваться данными. Если же затем вы восстановите систему из снимка, то номера не совпадут. А так как AD не транзакционная система и логов там не ведется, то восстановленный сервер просто не сможет договориться с остальными участниками репликации — он будет пытаться отдать данные с устаревшим USN и ID, а остальные откажутся их принимать (и, соответственно, отправлять свои), потому что для них этот номер уже в прошлом.
     
    Поэтому MS прямо говорит (все в той же статье по ссылке выше), что нельзя для резервного копирования контроллеров домена использовать средства типа Norton Ghost или снимков виртуальных машин, потому что не заведется потом, если данные реплицируются. При использовании штатных (или разработанных специально сторонних) средств в вышеуказанном случае происходит корректное обнуление (reset) USN и ID, и конфликта не возникает.

    12 марта 2015 г. 7:19
  • При должной организации, бекап AD - страховка на очень крайний случай, когда совсем всё пропало.

    Поскольку запустить чистую виртуалку из образа, поднять до DC, перехватить роли - тупо быстрее, по сравнению с восстановлением из бекапа.

    Если, конечно, погибший DC не является по совместительству "маршрутизатором, шлюзом в интернет, порталом SharePoint, Exchange, Lync, сервером 1C, файл-сервером, ..." :)


    S.A.

    12 марта 2015 г. 7:35
  • ~~

    При должной организации, бекап AD - страховка на очень крайний случай,

    когда совсем всё пропало.

    ~~

      В общем-то, да . . . Но хотелось бы и консистентный backup иметь . . .

    ~~

    Поскольку запустить чистую виртуалку из образа, поднять до DC, перехватить роли - тупо быстрее, по сравнению с восстановлением из бекапа.

    ~~

      Т.е. это все вложится в 15-20 минут? ну 35 минут?

    ~~

    Если, конечно, погибший DC не является по совместительству "маршрутизатором, шлюзом в интернет,


    ~~

     При нескольких LANCard в сервере DC -- будут проблемы с функционалом

    Просто не советую

    ~~

    Если, конечно, погибший DC не является по совместительству ", . . . , Exchange, . . . , сервером 1C, файл-сервером, ..." :)


    ~~

     Можно, но будет тормозить ( в случае с Exchange еще и не все будет супер-хорошо)

    (

     А если совсем точно: привожу все по памяти,

    на практике на DC прикладное ПО не устанавливаю

    См. далее про виртуализацию

    )

    ~~

    Если, конечно, погибший DC не является по совместительству " . . . ,

    порталом SharePoint , . . ., Lync,

    ~~

     Мягко говоря не уверен, что процеc install-а , обнаружив DC просто не сообщит "не возможно"

    ~~

     И вообще, к чему это все в век Hyper-V ?

    ~~

    "Одна машина -- одна задача"

    ~

     И , скорее:

    "Одна cluster -- одна задача"


    12 марта 2015 г. 8:27
  • ~~

    Q:

    Коллеги подскажите как правильно делать резервное копирование Active Directory при условии что есть два  и более контроллера домена ?

     A:

    Резервное копирование AD делать нужно любой программой, специально поддерживающей это резервное копирование. Точнее, эта программа должна поддерживать восстановление AD - потому что именно для восстановления требуются специфические действия. Простейшая из таких программ - Windows Server Backup, более сложные - Microsoft DPM, Symantec BackupExec и т.д.

    Резервное копирование через снятие образа диска (Acronis TrueImage, Norton Ghost и т.п.) опасно тем, что восстановленная из образа диска база данных Active Directory будет находиться в рассогласованном состоянии (т.н. USN Rollback), если не предпринять специальных мер. В качестве специальной меры, как минимум, нужно делать следующее:

    1. Восстановить образ диска на сервер, не допуская после восстановления его загрузку в обычном режиме подключенным к сети (неподключенным к сети, или в безопасном режиме любого типа  - можно) до окончания (п.5) изложенной ниже процедуры.

    2. На отключенном от сети КД, загруженном в обычном режиме, сделать резервную копию состояния системы с помощью Windows Server Backup

    3. Загрузиться в режиме восстановления служб каталогов и зайти под локальным администратором (для этого надо знать пароль администратора этого режима).

    4. Восстановить полученную на шаге 2 копию состяния системы.

    5. Теперь можно подключить КД к сети и загрузиться в обычном режиме.

    Ещё лучше делать резервную копию состояния системы вместе с созданием образа диска (её тогда можно использовать на шаге 4, шаг 2 при этом не нужен, пропускается).

    А ещё лучше - всё-таки использовать программу, поддерживающую резервное копирование AD.

    ~~

     Вопрос:

     Т.е. это

    ==

    Другой вариант это то, что в VSS райтере AD заложены инструкции по восстановлению из такого снапшота — я думаю, что этот вариант более вероятный, т.к. иначе зачем этот VSS райтер нужен, если не за тем, чтобы обеспечить нормальное восстановление?

    ==

    не соответствует действительности?

    ~

    ~

     Основные моменты:

    ==

    USN rollback  . . .  легко воспроизводился,

    если создавать бэкап при отключенных VMware Tools (просто выключали сервис).

    ==

    ~

    ~

    ==

    восстановление из снапшота сделанного без VSS приводит к USN rollback, в то время как восстановление из правильно сделанного quiesced снапшота позволяет домен контроллерам нормально функционировать.

    ==

    ~

    ~

    ~

     Ссылка на первоисточник и более детальные цитаты:

    ~

    VMware: «To quiesce or not to quiesce?», бэкапим вирутальные машины правильно
    http://habrahabr.ru/company/acronis/blog/207472/

    ~

    ~

    chineek  27 декабря 2013 в 11:32#

    Мы использовали vSphere 5.0 и 2 машины Win2k8R2 SP1 в качестве домен контроллеров (возможно и на других конфигурациях, но сейчас не могу найти точную информацию). В результате в ивент логе отресторенной машине было следующее сообщение:
     
    Event ID 1109: Active Directory has been restored from backup media, or has been configured to host an application partition. The invocationID attribute for this domain controller has been changed.
     
    USN rollback при этом не наблюдалось, но он легко воспроизводился, если создавать бэкап при отключенных VMware Tools (просто выключали сервис). Подозреваю, что VMware Tools делают дополнительные приседания на стадии бэкапа помимо использования VSS, но точно этого выяснить не удалось (копаться в чужом коде не этично, да и не особо законно :)). Другой вариант это то, что в VSS райтере AD заложены инструкции по восстановлению из такого снапшота — я думаю, что этот вариант более вероятный, т.к. иначе зачем этот VSS райтер нужен, если не за тем, чтобы обеспечить нормальное восстановление?

    ~

    ~

    chineek  22 января 2014 в 10:39#

    Долговато конечно проверяли (сказались затянувшиеся праздники и накопившиеся задачи), но наконец подтвердили факт, что Win2k3 ведет себя так же как и Win2k8: восстановление из снапшота сделанного без VSS приводит к USN rollback, в то время как восстановление из правильно сделанного quiesced снапшота позволяет домен контроллерам нормально функционировать.

    ~

    ~

    P.S.

      И, все таки, хотелось бы Answer именно на этот вопрос почитать Ж-)

    12 марта 2015 г. 8:31
  • Всё правильно. Резервное копирование AD стандартными средствами Windows делается через VSS, поэтому логика восстановления заложена именно в VSS Writer для AD.

    Другое дело, что средства создания образов дисков физических компьютеров или снимков в средствах виртуализации часто при восстановлении не используют VSS Writer, поэтому не меняют Invocation ID, и в результате получается USN Rollback. Рад, что VMWare VSphere 5.0 умеет использовать VSS Writer в процессе восстановления.

    В Windows 2012 проблема восстановления виртуальных КД из снимков (или реплик) решена по-другому: там Hyper-V (версии, начиная с 3.0) сообщает виртуальной машине её уникальный идентификатор, а AD при запуске проверяет, не изменился ли он по сравнению с предыдущим запуском, и если изменился - меняет Invocation ID, как и после восстановления. В принципе, гипервизором не обязательно должен быть именно Hyper-V версии 3.0 и выше - это, в принципе, может делать и любой другой гипервизор, если в нем такая возможность заложена: этот интерфейс со стороны MS документирован.


    Слава России!


    • Изменено M.V.V. _ 12 марта 2015 г. 10:13
    12 марта 2015 г. 10:13
  • ~~

    Всё правильно. Резервное копирование AD стандартными средствами Windows делается через VSS, поэтому логика восстановления заложена именно в VSS Writer для AD.

    Другое дело, что средства создания образов дисков физических компьютеров или снимков в средствах виртуализации часто при восстановлении не используют VSS Writer, поэтому не меняют Invocation ID, и в результате получается USN Rollback.

    Рад, что VMWare VSphere 5.0 умеет использовать VSS Writer в процессе восстановления.

    ~~

     Хорошо что chineek нас "не пидманул" Ж-)

    ~~

    В Windows 2012 проблема восстановления виртуальных КД из снимков (или реплик) решена по-другому: там Hyper-V (версии, начиная с 3.0) сообщает виртуальной машине её уникальный идентификатор, а AD при запуске проверяет, не изменился ли он по сравнению с предыдущим запуском, и если изменился - меняет Invocation ID, как и после восстановления. В принципе, гипервизором не обязательно должен быть именно Hyper-V версии 3.0 и выше - это, в принципе, может делать и любой другой гипервизор, если в нем такая возможность заложена: этот интерфейс со стороны MS документирован.

    ~~

      Жаль, что в MS пошли по пути внедрения отдельного механизма под виртуализацию,

    правильнее было бы доработать основной механизм репликации . . .

    ~

     в то же время, понимаю почему поступили именно так:

    "Cолнце всходит на востоке?. . Каждый день? " и т.д. Ж-)


    12 марта 2015 г. 10:26