none
Снятие образов Active Directory RRS feed

  • Вопрос

  •  Доброго дня! Скажите пожалуйсто какими средствами можно снимать образ и в последствии востанавливать полностью контролер домна?

    На скорую непроверенную руку сделал Акронисом интерпрайзом сервер версия 9.0 , каковы мои шансы востоновить обычным развертыванием образа два контроллера домена???
    6 июня 2008 г. 13:05

Ответы

  • На прошлой неделе как раз завершил тестирование сего таинства. Для нормального восстановления базы AD после полного коллапса (допустим, полное уничтожение всех контроллеров домена) можно обойтись только стандартным ntbackup'ом.

    Шаги такие:
    1) Требуется, чтобы был сделан маленький образ System State (маленький - означает, без защищенных файлов. В книжке по администрированию AD написано как сие проделывается). Причем образ нужен с DC хозяина ролей - это важно.
    2) На всякий пожарный, иметь бэкап папки dns из system32 (возможно и не надо, но мне понадобилось).
    3) На новом нулевом сервере в реестре сохранить ветку HKLM\Hardware (это нужно, чтобы после восстановления system state сервер не ругался на тонну нового оборудования).
    4) Далее так: запускаем сервер, на который будет производиться восстановление в режиме восстановления AD. Восстанавливаем systemstate по оригинальному пути. Перегружаемся.
    5) Опять в этом же режиме восстановления загружаемся, импортируем сохраненную ветку реестра Hardware. Теперь самое интересное - надо запустить восстановление AD с помощью утилиты NTDSutil.exe (требуется авторитетное восстановление целой базы (restore database). Перегружаемся.
    6) Загружаемся в обычном режиме и исправляем появляющиеся ошибки...потребуется заново накатить на сервер роль DNS Server (она хоть вместе с systemstate восстанавливается, но криво - приходится переделывать - это в общем-то опционально).
    7) Желательно потом завести в домене еще один DC и передать ему все роли - это на случай, того, что тот сервер, на который первоначально восстанавливали глюкнет таки из-за конфлика оборудования.

    Примерно так вот... сегодня протестировал новый домен - работает на ура.

    28 июля 2008 г. 11:42

Все ответы

  • шансы восстановления достаточно мутные. Вместе со снятием образа рекомендуется снять systemstate через ntbackup, поскольку акронис не умеет корректно снимать systemstate через ntbackup и после восстановления образа часто появляются проблемы, если не раскатать после восстановления из образа отдельно systemstate.

    6 июня 2008 г. 13:43
  • Уж сколько раз говорилось: бэкап контроллеров домена снятием образа делать нельзя! Ну вот это хотя бы почитайте.

    Отвечающий
  • На прошлой неделе как раз завершил тестирование сего таинства. Для нормального восстановления базы AD после полного коллапса (допустим, полное уничтожение всех контроллеров домена) можно обойтись только стандартным ntbackup'ом.

    Шаги такие:
    1) Требуется, чтобы был сделан маленький образ System State (маленький - означает, без защищенных файлов. В книжке по администрированию AD написано как сие проделывается). Причем образ нужен с DC хозяина ролей - это важно.
    2) На всякий пожарный, иметь бэкап папки dns из system32 (возможно и не надо, но мне понадобилось).
    3) На новом нулевом сервере в реестре сохранить ветку HKLM\Hardware (это нужно, чтобы после восстановления system state сервер не ругался на тонну нового оборудования).
    4) Далее так: запускаем сервер, на который будет производиться восстановление в режиме восстановления AD. Восстанавливаем systemstate по оригинальному пути. Перегружаемся.
    5) Опять в этом же режиме восстановления загружаемся, импортируем сохраненную ветку реестра Hardware. Теперь самое интересное - надо запустить восстановление AD с помощью утилиты NTDSutil.exe (требуется авторитетное восстановление целой базы (restore database). Перегружаемся.
    6) Загружаемся в обычном режиме и исправляем появляющиеся ошибки...потребуется заново накатить на сервер роль DNS Server (она хоть вместе с systemstate восстанавливается, но криво - приходится переделывать - это в общем-то опционально).
    7) Желательно потом завести в домене еще один DC и передать ему все роли - это на случай, того, что тот сервер, на который первоначально восстанавливали глюкнет таки из-за конфлика оборудования.

    Примерно так вот... сегодня протестировал новый домен - работает на ура.

    28 июля 2008 г. 11:42
  •  

    Если на аналогичное железо восстанавливать, то отлично прокатит образ, сделанный Norton GHost'ом. Он не меняет SID'ы, и для доменной структуры Вы получите не вновь созданный DC, а абсолютно точную копию предыдущего. Проверено неоднократно.

    Если же железо хоть чуть-чуть отличается, то лучше стандартными средствами (System State ntbackup'ом). С драйверами потом помучаетесь, возможно, но AD заработает.

    28 июля 2008 г. 12:09
  • Дело не в железе.

    Если у Вас один контроллер домена и бэкап был сделан меньше 30 дней назад, то восстановление из образа, скорее всего, пройдет удачно.

     

    В остальных случаях такое восстановление может привести к проблемам.

     

    28 июля 2008 г. 12:31
    Модератор
  • Если контроллер один, то он нормально восстановится и более чем через 30 дней. Проблема в том, что:

    1. Если контроллер один и образу менее 30 дней, то могут "вылететь" из домена некоторые машины. Если образу более 30 дней, то "вылетят" скорее всего все машины. Причина в том, что машины раз в 30 дней меняют свои пароли. В образе они, естесственно, на момент создания образа.

    2. Если контроллер один и у вас неустранимые проблемы с аппаратной частью сервера (сгорела мат. плата например), то вам нужна будет точно такая же "железяка", иначе ваш образ бесполезен в 90% случаев (10% это сильно сходное "железо"). Зачем вам бесполезный "бэкап"?

    3. Если контроллер не один, то тут вас ждут все "прелести". USN Rollback, lingering objects, возвращение удаленных записей и серьезные проблемы (бубен, технет, ночевки в серверной)  с восстановлением нормальной репликации.Об этом уже столько говорено, что лень писать. Наберите в гугле слова что я написал латиницей выше и читайте.

     

    28 июля 2008 г. 14:33
    Отвечающий
  • Может и такое решение подойдет, если конечно нужно просто данные АД не потерять. Это сконвертировать реальную машину в вертуальную с помошью VMware Converter, можно в реальном времени и по сети, после чего уже  "поднять" данные на VMware Player.  

    29 июля 2008 г. 4:52
  •  Holotrop написано:

     Доброго дня! Скажите пожалуйсто какими средствами можно снимать образ и в последствии востанавливать полностью контролер домна?

    На скорую непроверенную руку сделал Акронисом интерпрайзом сервер версия 9.0 , каковы мои шансы востоновить обычным развертыванием образа два контроллера домена???


    Зачем изобретать велосипед ?

    1)Пользоваться стандартными средствами ntbackup.

    Встроенное и бесплатное средство.Быстрое работает.
    Подробности тут http://technet2.microsoft.com/windowsserver/en/library/a3a50047-5abd-4561-bab4-658097bbb6271033.mspx?mfr=true


    2)BackupExec и ArcServe

    Первый делает резервную копию контролера, которую можно впоследствии восстановить на другом железе.

    Второй по заявлениям разработчика тоже умеет - сам не проверял.


    • Предложено в качестве ответа off_Sa 28 марта 2010 г. 11:31
    29 июля 2008 г. 5:49
  • cognize_,

    А можно поподробнее про Backup Exec, желательно статью про восстановление AD W2008R2?

    Ворон,

    Откуда взяты шаги, если можно ссылочку плиз?
    16 марта 2010 г. 5:51
  • Возникла очень неприятная ситуация разрушился раид массив на одном из контроллеров домена. Есть бэкап диска С и системстэйт, дело в том что папки ntds и sysvol находились на диске D. Но самое плохое то что эти бэкапы сделаны 63 дня назад.

    Не подскажите алгоритм действий для возвращение контроллера в состав домена?

    28 марта 2010 г. 8:51
  • Удалите информацию о контроллере из AD с помощью ntdsutil и поднимите AD заново. Так, ИМХО, будет проще всего.

    28 марта 2010 г. 11:01
  • Подскажите, какие могут возникнуть проблемы, если имея 2 КД восстановить system state основного КД с более раннего состояния? (речь идет о нескольких днях)

    Ведь на дополнительном в этом случае останется более свежие данные.

    28 марта 2010 г. 13:03
  • Подскажите, какие могут возникнуть проблемы, если имея 2 КД восстановить system state основного КД с более раннего состояния? (речь идет о нескольких днях)

    Ведь на дополнительном в этом случае останется более свежие данные.


    Ситуация штатная, все должно работать.

    ЗЫ Главное, чтобы возраст backup'а systemstate не превышал времени захоронения объектов (Tombstone Lifetime), который, ЕМНИП, составляет 60 дней для win2k и 180 для win2k3 SP1,2

    28 марта 2010 г. 13:25
  • я пока в восстановлениях не силен (слава Богу :) ) но как я понял есть несколько способов. помогите выбрать подходящий, плиз!

    ситуация следующая:

    после апдейтов перестала репликация dfs работать, потом обнаружилось что wmi по-полной глючит. вобщим много чего перепробовал - не помогает (полная пересборка wmi вызывает только кучу ошибок). короче решил восстановить все с того состояния когда всё работало. бекап ведется средствами backup exec и ленточной библиотеки. имею полные и дифференциальные архивы основоного КД (проблемы на нем) - и system state  и полностью системного раздела. в сети есть еще дополнительный КД.

    вообщим нужно восстановить все системные библиотеки(которые могли быть заменены при апдейтах), репозитарий wmi, системные файлы служб и т.п. что может влиять на службы особенно на dfs, а все остльное нужно чтоб подтянулось с дополнительного КД - информация об объектах AD, пространстве имен, опубликованных ресурсах dfs и т.д.

    p.s. домен на win2k3sp2

    28 марта 2010 г. 13:44
  • То есть сначала нужно запустить dcpromo и понизить роль на вылетевшем контроллере, затем вычистить AD от записей этого контроллера, затем снова повысить его роль. Дело в том что на этом сервере стоит программное обеспечение которое сейчас работает нормально, и не хотелось бы терять работоспособность этих программ.
    29 марта 2010 г. 3:53
  • По симантеку в комплекте есть инстукция на 1800 страниц, вот там прям все по полочкам расписано , в каком порядке и что и как  бэкапить.
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    31 марта 2010 г. 16:40