none
Восстановление контролера домена RRS feed

  • Вопрос

  • Коллеги. Доброго дня. Присматриваемся к данному продукту

    Хотелось бы узнать, возможно ли бэкапить контролеры домена и потом их восстанавливать с помощью DPM ?

    С Акронисом такое не прокатывает.

    3 января 2012 г. 14:25

Ответы

  • Добрый день.

    Пользуемся DPM для backup контроллеров домена. Восстанавливать пока не пришлось.

    Работа DPM заключается в том, что Вы из одной консоли управляете расписанием, передачей данных в хранилище и историей копий. Backup выполняется через Windows Backup в составе system State.

    Т.о. восстановление будет по тому же сценарию, как и в случае Windows Backup, за исключением того, что часть операций будут автоматизированы.

    PS: не смысла использовать DPM только для резервного копирования контроллеров домена (кроме кучи денег).

    4 января 2012 г. 17:34

Все ответы

  • Добрый день.

    Пользуемся DPM для backup контроллеров домена. Восстанавливать пока не пришлось.

    Работа DPM заключается в том, что Вы из одной консоли управляете расписанием, передачей данных в хранилище и историей копий. Backup выполняется через Windows Backup в составе system State.

    Т.о. восстановление будет по тому же сценарию, как и в случае Windows Backup, за исключением того, что часть операций будут автоматизированы.

    PS: не смысла использовать DPM только для резервного копирования контроллеров домена (кроме кучи денег).

    4 января 2012 г. 17:34
  • Добрый день.

    Пользуемся DPM для backup контроллеров домена. Восстанавливать пока не пришлось.

    Работа DPM заключается в том, что Вы из одной консоли управляете расписанием, передачей данных в хранилище и историей копий. Backup выполняется через Windows Backup в составе system State.

    Т.о. восстановление будет по тому же сценарию, как и в случае Windows Backup, за исключением того, что часть операций будут автоматизированы.

    PS: не смысла использовать DPM только для резервного копирования контроллеров домена (кроме кучи денег).

    Доброго дня!

    Мы не только резервируем контролеры, дополнительно много сервисов.

    Просто еще не встречал ни одного продукта (по отзывам), который бы восстанавливал DC без проблем. Конечно, еще ниразу не приходилось этого делать, но хотелось бы быть застрахованным. Восстановить DC быстрее средствами восстановления, чем вычищать AD, перезахватывать роли и т.д.


    • Изменено clippart 7 января 2012 г. 7:51
    7 января 2012 г. 7:51
  • А разве такое вообще возможно?

    Микрософт отменило возможность восстановления без проблем в windows 2008 server и далее... Этот только в windows 2003 R2 можно было задать что восстаналиваемая DC имеет наивысший приоритет по сравнению с уже имеющимися. В последующих версиях windows server это сделать НЕЛЬЗЯ!

    Т.Е. если вы восстанавливаете Domain Controller, то Вам в любом случае надо перехватить все роли, почистить AD об упоминаниях об остальных доменах, почистить DNS (остальные контролеры домена естественно вырубить, и по успешному окончанию восстановления удалить). Все остальные контролеры домена придётся поднимать заново.

    И желательно это всё делать в режиме восстановления каталога, иначе ещё с SYSVOL помучится придется. 

    Знаю что пишу, сам недавно восстанавливал PDC.

    29 января 2012 г. 18:18
  • 1. Микрософт отменило возможность восстановления без проблем в windows 2008 server и далее... 

    2. В последующих версиях windows server это сделать НЕЛЬЗЯ!

    3. И желательно это всё делать в режиме восстановления каталога, иначе ещё с SYSVOL помучится придется. 

    1. А это тогда что?

    2. Пруфлинк приведите.

    3. DSRM предназначен как раз для восстановления каталога, но никак не для перехвата ролей и чистки AD и DNS.


    MCP,MCTS
    30 января 2012 г. 6:07
  • Собственно прямо по Вашей ссылке указано следующие:

    When recovering AD DS by restoring from backup is not possible, you must reinstall AD DS.

    То есть, если например случилась беда, и кто-то что-то порушил в АД (не просто удалили OU, а например first organisation в exchange), то исходя из приведённого Вами документа восстановить назад невозможно.

    Authoritative restore возможно только к конкретным объектам, т.е. мы должны знать что удалили. Поправьте меня если я не прав.

    На самом деле микрософт лукавит, восстановить возможно, но они не описывают как (кратко, это как я описал выше, но везде есть свои ньюансы).

    По поводу пункта 3, лично я в режиме DSRM не пробовал, делал так (потом только когда понял что проблема в Sysvol осталась, понял что надо было всё в режиме DSRM было делать). Если я не ошибаюсь, в этом режиме тоже возможно перехватить роли и почистить АД и ДНС.

    30 января 2012 г. 12:31
  • 1. То есть, если например случилась беда, и кто-то что-то порушил в АД (не просто удалили OU, а например first organisation в exchange), то исходя из приведённого Вами документа восстановить назад невозможно.

    2. Authoritative restore возможно только к конкретным объектам,

    3. т.е. мы должны знать что удалили. Поправьте меня если я не прав.

    4.  Если я не ошибаюсь, в этом режиме тоже возможно перехватить роли и почистить АД и ДНС.

    1. Если это изменение было реплицировано на другие КД, то конечно неполномочное восст не поможет. Не для того оно предназначено. Тут либо корзина AD DS либо как крайний вариант полномочное восстановление.

    2. ntdsutil

    authoritative restore

    restore database

    3. Безусловно. В этом и есть весь смысл полномочного восстановления.

    4. Ошибаетесь.


    MCP,MCTS
    30 января 2012 г. 18:57
  • Собственно, полномочное восстановление AD DS целиком в Windows Server 2008 + невозможно (если не считать описанного мною метода).

    Собственно это написано здесь : http://technet.microsoft.com/en-us/library/cc772519(WS.10).aspx

    "Whenever you perform a full server recovery of a domain controller, you perform a nonauthoritative restore of Active Directory Domain Services (AD DS)"

    А команда restore database была упразднена (кстати очень жаль), вот пруф: http://social.technet.microsoft.com/Forums/en/winserverDS/thread/d52da478-e78b-428b-958d-54150b3c9246

    А все другие альтернативы предполагают Вашего точного знания чего восстанавливать. А в описанном ною в 1 пункте ситуации трудно (я бы сказал невозможно) найти что восстанавливать.

    30 января 2012 г. 19:51
  • 1. Собственно, полномочное восстановление AD DS целиком в Windows Server 2008 + невозможно (если не считать описанного мною метода).

    2. А команда restore database была упразднена (кстати очень жаль), вот пруф: http://social.technet.microsoft.com/Forums/en/winserverDS/thread/d52da478-e78b-428b-958d-54150b3c9246

    3. А все другие альтернативы предполагают Вашего точного знания чего восстанавливать. А в описанном ною в 1 пункте ситуации трудно (я бы сказал невозможно) найти что восстанавливать.

    1. Для win2k8 r2 оно практически не актуально и опасно, т.к. неумелое его использование может нанести непоправимый ущерб службе каталогов на всех multimaster DC.

    2. На то у разработчиков были веские причины и ее возможности были далеко не безграничны. Насколько я знаю, она еще присутствовала даже в "первых выпусках" win2k8.

    3. Абсолютной защиты от дурака еще не изобрели. :)


    MCP,MCTS
    31 января 2012 г. 7:11