DPMによるActive Directoryの障害回復

8

ここで一種のcatch-22質問があります。

Microsoft System Center Data Protection Manager（2010または2012、それは同じように機能します）を使用して、さまざまなものの中でも特に、（「ドメインコントローラーのシステム状態」のように）Active Directory環境をバックアップするとします。

次に、完全なデータセンターの損失が発生します。新しいハードウェアで新たに開始する必要があります。テープバックアップはオフサイトに保管されていたため、使用できるのはテープバックアップのみです。そこで、新しいサーバー、新しいテープライブラリ、新しいストレージなどを購入します。

これで、Active Directoryの障害回復を実行するには、少なくともドメインコントローラーのシステム状態を復元する必要があることを誰もが知っている（または知っているはずです）。もちろん、元のサーバーとは別のハードウェアで復元する必要がある場合、これは扱いにくいかもしれませんが、この点がカバーされていると仮定しましょう。

しかし、DPMが機能するためにはActive Directoryが必要です。スタンドアロンサーバーにインストールすることすらできません。しかし、もちろん、テープからこれらのバックアップを取り戻すには、稼働中のDPMサーバーが必要です。

新しいサーバーとDPMテープバックアップのみでActive Directory環境を復元するにはどうすればよいですか？

注：仮想ドメインコントローラーを使用してVM全体をバックアップすると、復元が容易になりますが、実際にはまったく問題はありません。DPMをインストールするためにも、稼働中のAD環境が必要です。

— マッシモ
ソース

正直に言うと、ドメインコントローラのシステム状態を実行することは、オブジェクトの偶発的な削除やデータベースの破損から身を守ることです。障害回復のシナリオでは、ドメインコントローラを含む2つ目の（地理的に異なる）サイトが本当に必要です。

— pauska 2012

1

そして、私は通常持っています。しかし、これは完全な災害復旧シナリオであり、非常にまれであっても、災害復旧計画を立てる必要があります。また、すべてのビジネスが複数のサイトにまたがったり、予備の「ホット」データセンターを利用できるわけではありません。

— Massimo

5

これまでのところ、次の手順を思いつくことができましたが、もっと簡単な方法があることを心から願っています。

新しいサーバーにオペレーティングシステムをインストールする
新しい「ダミー」ドメインを作成し、サーバーをそのドメインコントローラーにします。
2台目のサーバーにオペレーティングシステムをインストールする
サーバーを「ダミー」ドメインに参加させる
2台目のサーバーにDPMをインストールして、テープライブラリに接続します。
DPMデータベースを復元する（*）
ドメインコントローラーのシステム状態のバックアップでテープを見つける
システムの場所のバックアップをネットワーク上の場所に復元する
復元されたバックアップ以外のすべてを破棄する
新しいドメインコントローラーにオペレーティングシステムをインストールする
新しいドメインコントローラーでシステム状態のバックアップを復元する
復元されたADが正しく機能していることを確認します
新しいDPMサーバーにオペレーティングシステムをインストールする
新しいDPMサーバーを復元されたドメインに参加させる
新しいDPMサーバーにDPMをインストールし、テープライブラリに接続します。
DPMデータベースを復元する
DR計画に従って、他のすべての復元を開始します

このソリューションは不器用で長く、やや厄介ですが、機能するはずです。私の唯一の懸念は、DPMデータベースを初めて復元すること（リストで（*）でマークされたステップ）に関するものです。これは、別のADドメインで実行するときにこれが機能するかどうかわからないためです。これが機能しない場合、唯一の解決策は、DCのシステム状態のバックアップを含むテープを手動でインポートすることです。適切なサイズのバックアップがある場合は、それを見つけてください。
しかしもちろん、これは最初にDPMデータベースのバックアップを見つけることにも当てはまります...

— マッシモ
ソース

最初の5-1 / 2の箇条書きは、テープと同じ保管庫に保管されるネットブックのVMとして事前に実装できるようです-可能であれば、一種のブートストラップ回復ワークステーションです。システム状態を受け入れる準備ができているネットブック上のDC用に準備されたVMを用意し、別のVMをドメインに参加して新しいDPMサーバーにする準備をすることもできます。そのネットブックに必要なすべてのインストールメディアを含むファイル共有もあるかもしれません。

— alx9r 2014

2

「DPMデータベースの復元」が別のドメインで機能するかどうかについての懸念：「ドメインまたはdpmのバージョンに関係なく、異なるdpmサーバーからのテープの読み取りは完全にサポートされています。」（ソース）テープを暗号化するために使用する証明書を手元に用意するだけです。

— alx9r 2014

4

DPMサーバーは毎週（コマンドラインでスケジュールされたタスクを介して）毎週、DPMデータベースは毎日バックアップされます。

そうすることで、DPM以外の管理バックアップからDPMサーバーをブートストラップでき、ログオンはキャッシュされたドメイン資格情報で機能します。次に、仮想テープライブラリから「実際の」バックアップの復元を開始できます。

これは、DPMサーバーがローカルログオンでローカルデータベースを使用するために機能します。これは、ユニットをできるだけスタンドアロンにする必要があるためです。サーバーがリモートデータベースを使用している場合、これは機能しない可能性があります。

— 名前ゼロ
ソース

1

「DPMサーバーを個別にバックアップします...」-サイト全体が消去された場合にこれを機能させるには、これらの個別のバックアップの一部をオフサイトにする必要があります。どうやってそれを達成したのか知りたいです。

— alx9r 2014

1

こんにちは、wbadmin start backup -quiet -allCritical -systemState -vssFullの古き良きスケジュールされたタスクです。また、ローカルのMSDPM2010インスタンスをBACKUP DATABASE [DPMDB] TO DISK ...を使用してバックアップします。これにより、DPMサーバーをスタンドアロンブートストラップして、復旧のために再インベントリできます。

— namezero

3

DCをAzureにバックアップします。非常に安価（100GBは月額10ドル）で、非常に使いやすいです。次に、ADの回復に必要なものは次のとおりです。

Azureサブスクリプションへのアクセス-問題にはなりません
Azureバックアップの暗号化に使用されるパスフレーズ-オフサイトに保存するか、SSH / BitLocker / etcキーなどを保存するペンドライブに保存します

次に、ドメイン（新規または既存）が関与していない、完全に新しい一時的なWindowsサーバーで回復できます。そうです、ドメインに参加する必要はありません。手順は次のようになります。

Azure / Recovery Servicesに移動します
適切なバックアップボールトを開きます
- Azure Backup Agent for Windows Serverをダウンロードする
- Vault資格情報をダウンロードする
一時サーバーにエージェントをインストールする
サーバー登録ウィザード
- ダウンロードした資格情報を指定する
- パスフレーズを生成<-保存してください。ただし、このサーバーは一時的に使用するだけなので、それほど重要ではありません。
開始/ Microsoft Azureバックアップ/データの回復
データ復旧ウィザード
- 別のサーバー/ダウンロードした資格情報を再度指定
- バックアップサーバー/（古いDPMサーバー）を選択します。
- ファイルを参照
- VMストレージは、フレンドリ名ではなくフルパスとして指定されますが、それでも機能します
- 復元するデータを選択すると、OLD DPMサーバーでクラウド内のものを暗号化するために使用したパスフレーズが求められるため、このパスフレーズのオフサイトバックアップが絶対に必要です。持っていない場合は、scr * wedです。

以上です。私はそれをテストしました、それは働きます:)

— bviktor
ソース