使用DPM的Active Directory灾难恢复


8

我这里有一个22类问题。

假设我正在使用Microsoft System Center数据保护管理器(2010或2012,其工作方式相同)来备份Active Directory环境(如“域控制器的系统状态”)。

然后,整个数据中心丢失。我必须重新开始使用新硬件,因为磁带备份存储在异地,所以我只能使用它们的磁带备份。因此,我购买了一些新服务器,新磁带库,新存储等。

现在,每个人都知道(或应该知道),为了执行Active Directory灾难恢复,我至少需要还原域控制器的系统状态。当然,如果我需要在与原始服务器不同的硬件上还原它,这可能会很棘手,但是让我们假设这已经涵盖了。

Howewer,这很重要,DPM需要Active Directory才能进行工作;它甚至不会安装在独立服务器上。但是,当然,需要工作的DPM服务器才能从磁带上取回那些备份。

如何仅从新服务器和DPM磁带备份开始还原Active Directory环境?

注意:使用虚拟域控制器并备份完整的VM可以使还原更加容易,但实际上根本没有改变这个问题:为了安装 DPM,仍然需要一个工作的AD环境。


老实说-域控制器的系统状态是为了保护自己免受意外删除对象或破坏数据库的侵害。对于灾难恢复方案,您确实应该有第二个(地理位置不同)站点,该站点中具有域控制器。
pauska 2012年

1
我通常有。但这是一个完整的灾难恢复方案,即使极不可能,也需要制定灾难恢复计划。同样,并非每个企业都跨多个站点,或者不是每个企业都可以负担备用的“热”数据中心。
Massimo'9

Answers:


5

到目前为止,我已经能够提出以下过程,但是我真的希望有一些更简单的方法:

  • 在新服务器上安装操作系统
  • 创建一个新的“虚拟”域并使服务器成为其域控制器
  • 在第二台服务器上安装操作系统
  • 将服务器加入“虚拟”域
  • 在第二台服务器上安装DPM并将其连接到磁带库
  • 还原DPM数据库(*)
  • 查找带有域控制器的系统状态备份的磁带
  • 将系统稳定备份还原到网络位置
  • 丢弃除已还原的备份以外的所有内容
  • 在新的域控制器上安装操作系统
  • 在新的域控制器上还原系统状态备份
  • 验证还原的AD是否正常工作
  • 在新的DPM服务器上安装操作系统
  • 将新的DPM服务器加入还原的域
  • 在新的DPM服务器上安装DPM并将其连接到磁带库
  • 恢复DPM数据库
  • 开始根据您的灾难恢复计划还原其他所有内容

该解决方案笨拙,冗长且有些尴尬,但它应该有效。我唯一关心的是第一次还原DPM数据库(列表中标有(*)的步骤),因为我不知道在其他AD域上运行时是否可以正常工作。如果这不起作用,那么唯一的解决方案是手动导入包含DC的系统状态备份的磁带...如果备份得体,则很幸运。
但这当然也适用于首先查找DPM数据库的备份...


似乎可以将第一个5-1 / 2项目符号预先实现为上网本中的VM,并将其与磁带保存在同一保管库中(如果需要,可以作为一种引导恢复工作站)。您还可以在上网本上为DC准备好一个准备就绪的VM,以准备接受系统状态,另一个准备加入域并成为新的DPM服务器。您可能还需要在该上网本上共享所有需要的安装媒体文件。
alx9r 2014年

2
使您担心“还原DPM数据库”是否在另一个域中有效:“完全支持从不同的dpm服务器读取磁带,而与域或dpm版本无关。” (来源)您只需要准备用于加密磁带的证书即可。
alx9r 2014年

4

我们每周(通过命令行计划任务)分别备份DPM服务器,并每天备份DPM数据库。

这样,我们可以从非DPM托管的备份中引导DPM服务器,并且登录可以与缓存的域凭据一起使用。然后,我可以开始从虚拟磁带库恢复“真实”备份。

之所以可行,是因为DPM服务器使用具有本地登录功能的本地数据库,因为我们希望该单元尽可能独立。如果您的服务器使用远程数据库,那么这可能对您不起作用。


1
“我们分别备份DPM服务器...”-为了在整个站点被清除的情况下起作用,这些单独的备份中的一些必须位于场外。我很好奇你是如何实现的。
alx9r 2014年

1
嗨,用wbadmin的旧计划任务启动了backup -quiet -allCritical -systemState -vssFull。我们还使用BACKUP DATABASE [DPMDB] TO DISK备份了本地MSDPM2010实例。这样,DPM服务器可以独立引导并重新盘点以进行恢复。
namezero 2014年

3

将您的DC备份到Azure。它非常便宜(100GB每月10美元),而且超级易于使用。那么,恢复AD只需要满足以下条件:

  • 访问您的Azure订阅-应该没有问题
  • 用于加密Azure备份的密码-将其保存在异地,存储到SSH / BitLocker / etc密钥的pendrive或其他内容中

然后,您可以在不涉及任何域(新域或现有域)的全新Windows临时Windows Server上进行恢复。没错,您不需要将其加入任何域。该过程如下所示:

  1. 转到Azure /恢复服务

  2. 打开适当的备份保管库

    • 下载Windows Server的Azure备份代理
    • 下载保险柜凭证
  3. 在临时服务器上安装代理

  4. 注册服务器向导

    • 指定下载的凭证
    • 生成密码短语<-保存它,尽管应该不太重要,因为该服务器仅用于临时使用
  5. 开始/ Microsoft Azure备份/恢复数据

  6. 恢复数据向导

    • 另一台服务器/再次指定下载的凭据
    • 选择备份服务器/(旧的DPM服务器)
    • 浏览文件
    • VM存储将被指定为完整路径,而不是友好名称,但是仍然可以运行
    • 选择要恢复的数据后,它将要求您在OLD DPM服务器上使用的密码来加密云中的内容,因此这就是您绝对需要此密码的异地备份的原因。如果没有它,您将被嫁给。

就是这样。我已经测试过了,它有效:)

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.