none
請問domain controller災難復原問題 RRS feed

  • 問題

  • 大家好

    現在公司的所有DC都是VM, 而且有固定時間做Clone。

    最近公司要做AD的災難復原演練,老闆說想要在 on production 上作演練。

    可是我想到一個問題,假如有A, B兩台AD,然後有一台是在一個禮拜前做的Clone叫做Clone-A, 有一台是昨天做BESR的叫做BESR-B.

    如果做災難還原演練的話,我一定會把A, B這兩台AD先關機。

    到時在線上的應該會是Clone-A, BESR-B這兩台AD,然後off line的就是A跟B。那我還可以把Clone-A, BESR-B這兩台關機,

    然後再把A, B這兩台AD再開回來做 on production嗎?

    開回來後會不會跟其他domain的DC有複寫問題呢?

    謝謝

    2012年12月17日 上午 06:48

解答

  • 基本上AD如果要做災難還原...是很糟糕很糟糕的狀況才會叫災難, 例如所有DC在一瞬間被摧毀的一乾二淨...

    不過就算有災難..只要你有備份DC上的System State就已經足夠復原了, 用不著把整部機器備份起來...

    其實DC在VM上要處理得很小心, 基本上Clone, snapshot這些技術都是不建議使用的, 因為有可能會破壞AD的運作

    Clone出來的主機還要確認Windows SID沒有被改變, 不然也不能使用...

    我建議是把System State備份復原的整套動作熟習一下, 操作幾遍, 以防整個AD掛掉用來救亡之用..用投產AD來做試驗品實在太危險了

    只有一台DC不能再啟動的話並不算災難...買台新機器, 把它加進網域, 再升級成DC, 就已經完成整個復原程序了

    提外話, Windows Server 2012 首次把DC Cloning 放入支援範圍以內, 還會更多支援虛擬化的DC步署, 可以參閱:

    http://blogs.technet.com/b/askpfeplat/archive/2012/10/01/virtual-domain-controller-cloning-in-windows-server-2012.aspx

    微軟這是"新技術", 可見在舊系統真的不宜胡亂嘗試...

     


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2012年12月21日 上午 03:51
    • 已標示為解答 Andy ChenModerator 2012年12月22日 上午 01:40
    2012年12月17日 上午 08:36
  • 我個人不建議在測試災難復原後,
    又把原來的 DC 再重新開啟,
    因為沒人可以保證一定不會發生怪異的錯誤,
    把 Clone-B 架上去就不要再把 B 開回來了。

    假使想要做演練,
    我會建議可以另開一個測試環境,
    譬如先安裝一個用戶端電腦或檔案伺服器 (VM) 並且加入現有網域,
    然後再掛進另一個測試環境,
    把兩台 DC 都災難復原到這個測試環境中,
    看這個用戶端電腦或檔案伺服器的存取是否都正常。

    基本上,我自己用 BESR 做過網域內的 DC 及 Exchange 都還原到另一個測試環境中,
    是可以正常運作的,但我是用同一個時間點備份的檔案做還原動作,
    而且因為我是用實體的備份,等同是 P2V 的模式,
    後續還是要做一些網路設定等等,
    不過 BESR 軟體的備份還原及災難復原就不適合在微軟論壇討論了。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已提議為解答 AChange 2012年12月21日 上午 03:51
    • 已標示為解答 Andy ChenModerator 2012年12月22日 上午 01:40
    2012年12月18日 上午 03:38
    版主

所有回覆

  • 基本上AD如果要做災難還原...是很糟糕很糟糕的狀況才會叫災難, 例如所有DC在一瞬間被摧毀的一乾二淨...

    不過就算有災難..只要你有備份DC上的System State就已經足夠復原了, 用不著把整部機器備份起來...

    其實DC在VM上要處理得很小心, 基本上Clone, snapshot這些技術都是不建議使用的, 因為有可能會破壞AD的運作

    Clone出來的主機還要確認Windows SID沒有被改變, 不然也不能使用...

    我建議是把System State備份復原的整套動作熟習一下, 操作幾遍, 以防整個AD掛掉用來救亡之用..用投產AD來做試驗品實在太危險了

    只有一台DC不能再啟動的話並不算災難...買台新機器, 把它加進網域, 再升級成DC, 就已經完成整個復原程序了

    提外話, Windows Server 2012 首次把DC Cloning 放入支援範圍以內, 還會更多支援虛擬化的DC步署, 可以參閱:

    http://blogs.technet.com/b/askpfeplat/archive/2012/10/01/virtual-domain-controller-cloning-in-windows-server-2012.aspx

    微軟這是"新技術", 可見在舊系統真的不宜胡亂嘗試...

     


    邊幫助, 邊鍛鍊

    • 已提議為解答 AChange 2012年12月21日 上午 03:51
    • 已標示為解答 Andy ChenModerator 2012年12月22日 上午 01:40
    2012年12月17日 上午 08:36
  • 我個人不建議在測試災難復原後,
    又把原來的 DC 再重新開啟,
    因為沒人可以保證一定不會發生怪異的錯誤,
    把 Clone-B 架上去就不要再把 B 開回來了。

    假使想要做演練,
    我會建議可以另開一個測試環境,
    譬如先安裝一個用戶端電腦或檔案伺服器 (VM) 並且加入現有網域,
    然後再掛進另一個測試環境,
    把兩台 DC 都災難復原到這個測試環境中,
    看這個用戶端電腦或檔案伺服器的存取是否都正常。

    基本上,我自己用 BESR 做過網域內的 DC 及 Exchange 都還原到另一個測試環境中,
    是可以正常運作的,但我是用同一個時間點備份的檔案做還原動作,
    而且因為我是用實體的備份,等同是 P2V 的模式,
    後續還是要做一些網路設定等等,
    不過 BESR 軟體的備份還原及災難復原就不適合在微軟論壇討論了。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已提議為解答 AChange 2012年12月21日 上午 03:51
    • 已標示為解答 Andy ChenModerator 2012年12月22日 上午 01:40
    2012年12月18日 上午 03:38
    版主