Tworzenie kopii zapasowej DC w przypadku katastrofy

Tworzę kopie zapasowe poza witryną dla najważniejszych elementów firmy, w której pracuję. Jednym z tych krytycznych elementów jest DC.

Obecnie firma jest dość mała, więc ma tylko jeden las i dwa serwery DC na osobnych fizycznych komputerach (jednak zwirtualizowanych). To powiedziawszy, krytyczny błąd w serwerowni może zniszczyć obie te maszyny.

Staram się więc utworzyć kopię zapasową DC dla scenariusza krytycznego. Wciąż czytam online, że wystarczy wykonać kopię zapasową stanu systemu, ale mam wrażenie, że jest to poprawne tylko wtedy, gdy chcesz mieć możliwość przywrócenia kontrolera domeny na tym samym serwerze, na którym wykonano kopię zapasową. Próbowałem zrobić kopię zapasową stanu systemu, a następnie przywrócić ją na izolowanej maszynie wirtualnej (ten sam serwer, te same aktualizacje), a to ... nie poszło tak dobrze; przywracanie poszło dobrze, ale wtedy nie mogłem skontaktować się z lokalnym DC, nawet jeśli upewniłem się, że VM ma takie samo IP jak poprzednio (oczywiście nadal izolowane). Żadna z konsol administracyjnych związanych z DC również nie działała. Podczas przywracania pojawiło się nawet ostrzeżenie, że przywrócenie stanu systemu z innej maszyny nie jest zalecane.

Dlatego uważam, że to niewłaściwe podejście. Więc ... jakie jest właściwe podejście, jeśli chcę wykonać kopię zapasową naszego DC poza siedzibą, aby pokryć krytyczną awarię? Kompletna kopia zapasowa dysku C: + System State lub mógłbym po prostu wykonać kopię zapasową całego dysku dla tego zwirtualizowanego kontrolera domeny, ale staram się, aby kopia zapasowa była jak najmniejsza ...

EDYCJA: Staram się, aby kopia zapasowa była jak najmniejsza, aby NIE pomijać kosztów, ale czasów przesyłania.

PS. Korzystam z aplikacji Azure Backup, ale nie sądzę, żeby to było tak istotne. Wszystkie nasze kontrolery domeny działają obecnie w systemie Windows Server 2016.

backup domain-controller

— Shaamaan
źródło

+1 za faktycznie przetestowanie odzyskiwania krytycznego;). Nie korzystałem jeszcze z usługi Azure Backup, ale stan systemu powinien wystarczyć (bez względu na to, z którego rozwiązania korzystasz). Zakładam, że przeczytałeś artykuł Technet ? Esp. część dla innego serwera .

— Lenniey

@Lenniey Tak, przeczytałem ten artykuł. Ale po zastanowieniu mogłem przeoczyć jego krytyczną część (konkretnie opisaną tutaj

— kolejność

Zrobiliśmy to w tym celu. Witryna kopii zapasowej poza witryną zawierała kontroler domeny dla domeny.

— joshudson

Odpowiedzi:

Przywracanie stanu systemu może działać, ale jedyną metodą obsługiwaną przez Microsoft jest pełne odzyskiwanie obrazu systemu. Obejmuje to stan systemu.

Pełne odzyskiwanie lasu jest złożone, dlatego należy przejrzeć następujący dokument i utworzyć własny dokument, wykonując wymagane czynności:

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide

— Greg Askew
źródło

Staram się, aby kopia zapasowa była jak najmniejsza ...

Jest to powszechne podejście i niewłaściwe podejście.

Chronisz jeden z najważniejszych zasobów informatycznych firmy. Traktuj to jako takie. Nic nie mniej niż pełna kopia zapasowa DC jest akceptowalna. Możesz użyć wbudowanej kopii zapasowej systemu Windows Server, aby wykonać kopię zapasową DC bez systemu operacyjnego.

DC są zazwyczaj małe. Prawdopodobnie mógłbyś zmieścić całość pełnej kopii zapasowej DC na dysku USB o wartości 20,00 USD. Nie skąpi.

Rozumiem ... oprogramowanie do tworzenia kopii zapasowych i przechowywanie może być kosztowne ... zwłaszcza z czasem. Nie słyszę, żeby administratorzy IT mówili o sposobach zmniejszenia tych kosztów. Nie zamieniaj swojej zdolności do odzyskiwania czegokolwiek i / lub wszystkiego po prostu w celu zmniejszenia kosztów. Musisz określić, ile ochrony (w postaci kopii zapasowych) potrzebujesz i jak zrównoważyć tę potrzebę z tym, co masz w budżecie IT. Kopie zapasowe są jak ubezpieczenie. Ile ubezpieczenia chcesz / potrzebujesz i ile chcesz za to zapłacić?

Nie chcę być osobą, która musi wyjaśnić CEO, że nie możemy odzyskać krytycznego elementu infrastruktury IT, ponieważ staraliśmy się zaoszczędzić kilka dolarów.

Moje podejście do tworzenia kopii zapasowych jest takie, że lepiej je mieć i nie potrzebować, niż je potrzebować i nie mieć.

Z operacyjnego i technicznego punktu widzenia wolałbym przywrócić pełną kopię zapasową BMR DC, a następnie spróbować przywrócić stan systemu DC na nową maszynę.

— joeqwerty
źródło

Muszę to -1, ponieważ ta odpowiedź dotyczy niewłaściwej rzeczy. Zredagowałem swoje pytanie, aby wskazać, że PRÓBKA, aby kopia zapasowa była tak mała, jak to możliwe, wynika z potrzeby przesłania tej kopii poza witrynę, a NIE dlatego, że jesteśmy tanimi łyżwami i nie stać nas na dysk. Ponadto jest to tylko PRÓBA - jeśli nie można trzymać się stanu systemu, można zwiększyć. Nigdzie w moim pytaniu nie powiedziałem, że jest to absolutny wymóg.

— Shaamaan

OK, więc powody są inne niż przypuszczałem, ale moja odpowiedź pozostaje bez odpowiedzi, ponieważ dotyczy tworzenia kopii zapasowej DC. Microsoft twierdzi, że możesz wykonać kopię zapasową stanu systemu kontrolera domeny za pomocą usługi Azure Backup, więc czy to wystarczy? To mi nie wystarcza, ale jeśli musisz pójść tą drogą, sugeruję przetestowanie kopii zapasowej i odzyskiwania za pomocą testowego kontrolera domeny, aby upewnić się, że działa i abyś mógł udokumentować proces odzyskiwania.

— joeqwerty

-1 ode mnie też. Jeśli przesłanie kopii zapasowej potrwa trzy dni, istnieje szansa, że pełna kopia zapasowa nigdy nie dotrze do lokalizacji kopii zapasowej.

— AndreKR

Zanotowałeś moją odpowiedź ze względu na czas potrzebny do wykonania pełnej kopii zapasowej? To dziwne. Więc ryzykujesz, że nie będziesz w stanie w pełni przywrócić kontrolera domeny zamiast znaleźć akceptowalne rozwiązanie do tworzenia kopii zapasowych, które zagwarantuje, że będziesz w stanie całkowicie przywrócić kontroler domeny?

— joeqwerty