Cele mai bune practici pentru Securizarea active directory

cunoaștere aprofundată a infrastructurii lor este foarte utilă în planificarea de recuperare AD. Cât de multe controlere de domeniu în mediul dvs. - unul sau mai multe? Aceste controlere de domeniu sunt disponibile pentru citire și scriere (RWDC) sau read-only (RODC)? Acesta nu a reușit doar un singur controler, sau deteriorat AD întreaga infrastructură? Dacă aveți mai multe controlere, dacă utilizați pentru a sincroniza modificările între diferitele controlere de domeniu, File Replication Service (FRS) sau au trecut la un DFSR distribuit pentru a sincroniza modificările apărute între diferitele controlere de domeniu? Aici sunt doar câteva dintre întrebările, răspunsurile la care trebuie sa stii pentru a recupera datele cu succes.

Recuperarea controler de domeniu într-un mod «neautoritarului»

Dacă aveți de gând pentru a restabili un controler de domeniu, trebuie să stabilească mai întâi modul de «neautoritarului» dacă suficient sau trebuie să utilizeze «autoritate» modul. Diferența dintre cele două moduri este că, în modul de recuperare, «neautoritarului» controler de domeniu își dă seama că el a fost de ceva timp liber. Prin urmare, acesta permite altor controlere de domeniu pentru a actualiza baza de date, ceea ce face cele mai recente modificări care au avut loc în timpul absenței sale. Când «autoritate» controlor de restaurare crede că doar acesta are o bază de date cu adevărat loial, așa că a fost cel care are autoritatea de a bazelor de date ale altor date de controlere de domeniu de actualizare pe baza datelor lor.

În cele mai multe scenarii de recuperare trebuie să modul «neautoritarului», ca și în mediul înconjurător, există mai multe controlere de domeniu. Mai mult, «autoritate» controler de domeniu de reconstituire poate duce la probleme noi. Ea se bazează pe această logică Veeam Backup Replicarea: implicit se realizează «neautoritarului» restaurare DC, deoarece se crede că infrastructura este construită cu redundanță și include controlere de domeniu multiple. Pentru a efectua «autoritate» restabiliți utilizând Veeam, este necesar să se efectueze unele măsuri suplimentare, care sunt descrise mai jos.

NOTĂ. Un alt răspuns comun la refuzul controlerului de domeniu - pentru a distribui rolul printre celelalte controlere și metadatele curate, în cazul în care este puțin probabil ca recuperarea. În acest caz, va angaja un alt DC pentru a servi ca nu a reușit, și nu trebuie să-l restaureze.

Să ne întoarcem la copiile de rezervă de fișiere care au fost descrise în articolul precedent. Restaurarea unui controler de domeniu de rezervă Veeam Backup Replicarea este foarte ușor. Pentru a face acest lucru:

  • Alegeți o restaurare expertul în interfața cu utilizatorul
  • Găsiți controlerul de domeniu dorit
  • Selectați opțiunea de meniu pentru a restabili recuperarea VM integral (Restaurare intreg VM)
  • Apoi specificați un punct de restaurare
  • Selectați site-ul original sau noi de recuperare
  • finaliza procesul

Cel mai bun lucru este că, datorită prelucrării datelor, luând în considerare starea cererii atunci când se creează o copie de siguranță, nu va avea nevoie de nimic altceva de făcut. Veeam recunoaște controlerul de domeniu în HMW a spus și recupera folosind un algoritm special cu precizie:

  • Se restabilesc fișierele și hard disk-uri VM
  • Descarcă într-un sistem de operare pentru servicii speciale de domeniu Restore Mode (Mod DSRM)
  • setările aplicației
  • Repornirea în mod normal,

Controlerul de domeniu va ști despre restaurarea dintr-o copie de rezervă, și să ia măsuri adecvate: baza de date existentă va fi declarată nulă, iar partenerii de replicare va fi capabil să-l upgrade, ceea ce face cele mai până la data de informații.

Cele mai bune practici pentru Securizarea active directory

Fig. 1. Veeam Backup Replicarea: Restaurare o întreagă VM

Cele mai bune practici pentru Securizarea active directory

Fig. 2. Veeam Endpoint Backup: restaurare de "bare-metal"

controler de domeniu de recuperare în modul «autoritate»

Cel mai probabil, nu va fi nevoie de modul de recuperare. Cu toate acestea, să-l cunosc mai bine, pentru a face să înțelegeți de ce este asa. Acest mod poate fi utilizat atunci când încercați să restaurați copia corectă a controlerului de domeniu într-un mediu cu controlere de domeniu multiple, în ciuda faptului că întreaga structură a AD, pentru un motiv oarecare, este deteriorat (de ex. Malware, virus și așa mai departe. N.). În această situație, s-ar putea prefera sa deteriorat controlerii de domeniu acceptă modificări de controller nou restaurat.

NOTĂ. Prelucrarea este similar cu ceea ce se întâmplă atunci când se utilizează Veeam SureBackup pentru a restabili controlerul de domeniu într-un mediu izolat.

Pentru a recupera obiectul la distanță sau container în modul «autoritate» și forța controlerul de domeniu pentru a copia datele recuperate de la DC la celelalte controlere:

Procedura «autoritate» recuperare SYSVOL (folosind serviciul DFSR), se realizează după cum urmează:

  1. Efectuam «neautoritarului» controler de domeniu de recuperare (de exemplu, BM reconstituire în întregime în Veeam Backup Replicarea).
  2. Când a doua sarcină, du-te la ramura de registru HKLM \ System \ CurrentControlSet \ Services \ DFSR. Creați o cheie de restaurare. și apoi să creați un șir de caractere cu autoritate de valoare SYSVOL.
    Această valoare va fi serviciul de citire DFSR. Dacă nu este setată, implicit SYSVOL restore se efectuează în modul de «neautoritarului»
  3. Du-te la HKLM \ System \ CurrentControlSet \ Control \ BackupRestore. crea cheia SystemStateRestore. LastRestoreId apoi a crea un șir de caractere cu orice valoare GUID. De exemplu: 10000000-0000-0000-0000-000000000000.
  4. Reporniți DFSR.

Cele mai bune practici pentru Securizarea active directory

Fig. 3. Restaurarea SYSVOL în modul «autoritate» (serviciu DFSR)

Procedura «autoritate» recuperare SYSVOL (folosind FRS serviciu):

În acest articol, am analizat restabili un controler de domeniu unic. Cu toate acestea, cel mai adesea atunci când se lucrează cu AD doriți să restaurează un obiect șters accidental, în acest caz, pentru a restabili controlerul complet - nu cea mai bună opțiune. În următorul articol voi vorbi despre restaurarea obiectelor individuale director AD cu propriile instrumente de utilitate Microsoft și Veeam Explorer pentru Active Directory.

De asemenea, ai putea fi interesat:

Andrey Zhelezko (Andrew Zhelezko) - Manager de Veeam comunitar. În timpul carierei sale în Veeam a dobândit o înțelegere profundă a produselor de virtualizare și expertiza tehnică pentru a rezolva problemele clienților. Această experiență ajută Andrew să vorbească cu comunitatea IT, „aceeași limbă“ și să înțeleagă interesele administratorii mediilor virtuale. Andrew. mai mult