我这里有一个陷入两难的问题。
假设我正在使用 Microsoft System Center Data Protection Manager(2010 或 2012,其工作方式相同)来备份我的 Active Directory 环境(如“我的域控制器的系统状态”)以及其他各种内容。
然后,整个数据中心都瘫痪了。我必须重新开始使用新硬件,我只有磁带备份可用,因为它们存储在异地。所以我买了一些新服务器、新磁带库、新存储等等。
现在,每个人都知道(或应该知道),为了执行 Active Directory 灾难恢复,我至少需要恢复域控制器的系统状态;当然,这可以得到……棘手的如果我需要在与原始服务器不同的硬件上进行恢复,但我们也假设这一点已被涵盖。
然而,问题在于,DPM 需要 Active Directory 才能工作;它甚至不会安装在独立服务器上。但是,当然,需要一台正常运行的 DPM 服务器才能从磁带中恢复这些备份。
如何仅从新服务器和 DPM 磁带备份开始恢复我的 Active Directory 环境?
注意:使用虚拟域控制器并备份完整的虚拟机可以使恢复更容易,但实际上并没有改变问题:仍然需要一个有效的 AD 环境才能安装副总理。
答案1
到目前为止,我已经能够想出以下步骤,但我真的希望有一些更简单的方法:
- 在新服务器上安装操作系统
- 创建一个新的“虚拟”域并将服务器设为其域控制器
- 在第二台服务器上安装操作系统
- 将服务器加入“虚拟”域
- 在第二台服务器上安装 DPM 并将其连接到磁带库
- 还原 DPM 数据库(*)
- 查找包含域控制器的系统状态备份的磁带
- 将系统稳定备份还原到网络位置
- 丢弃除恢复的备份之外的所有内容
- 在新域控制器上安装操作系统
- 在新域控制器上还原系统状态备份
- 验证恢复的 AD 是否正常工作
- 在新的 DPM 服务器上安装操作系统
- 将新的 DPM 服务器加入到已还原的域
- 在新的 DPM 服务器上安装 DPM 并将其连接到磁带库
- 还原 DPM 数据库
- 根据你的 DR 计划开始恢复其他所有内容
这个解决方案很笨拙、冗长,而且有些尴尬,但它应该工作;我唯一担心的是第一次恢复 DPM 数据库(标有(*)在列表中),因为我不知道这在不同的 AD 域上运行时是否可以工作。如果这不起作用,那么唯一的解决方案就是手动导入包含 DC 系统状态备份的磁带……如果您有相当大的备份,祝您好运找到它。
但当然,这也适用于首先找到 DPM 数据库的备份……
答案2
我们每周单独备份 DPM 服务器(通过命令行计划任务),每天备份 DPM 数据库。
这样,我们就可以从非 DPM 管理的备份引导 DPM 服务器,并且登录可以使用缓存的域凭据。然后,我就可以开始从我们的虚拟磁带库恢复“真实”备份。
这是可行的,因为 DPM 服务器使用本地数据库和本地登录,因为我们希望该单元尽可能独立。如果您的服务器使用远程数据库,这可能不适合您。
答案3
将您的 DC 备份到 Azure。它非常便宜(100GB 每月花费 10 美元)并且超级容易使用。然后 AD 的恢复只需要以下内容:
- 访问你的 Azure 订阅 - 应该没问题
- 用于加密 Azure 备份的密码 - 将其保存在异地,保存到您存储 SSH/BitLocker/等密钥的 U 盘中,或者其他位置
然后,您可以在一个全新的临时 Windows Server 上进行恢复,而无需涉及任何域(新的或现有的)。没错,您不需要将其加入任何域。该过程如下:
转至 Azure/恢复服务
打开相应的备份库
- 下载适用于 Windows Server 的 Azure 备份代理
- 下载 Vault 凭证
在临时服务器上安装代理
注册服务器向导
- 指定下载的凭证
- 生成密码<-保存它,但不是太重要,因为此服务器仅供临时使用
开始/Microsoft Azure 备份/恢复数据
恢复数据向导
- 另一台服务器/再次指定下载的凭据
- 选择备份服务器/(您的旧 DPM 服务器)
- 浏览文件
- VM 存储将指定为完整路径,而不是友好名称,但它仍然可以工作
- 一旦你选择了要恢复的数据,它会要求你输入密码老的DPM 服务器会加密您在云中的内容,因此您绝对需要将此密码备份到异地。如果您没有,您就完蛋了。
就是这样。我已经测试过了,它有效 :)