Восстановление леса AD — вопросы и ответы

Хотя скорость восстановления не является основной целью этого руководства, вы можете достичь более короткого времени восстановления на следующих уровнях:

• Создание подробного плана восстановления леса, регулярное обновление его и практика в имитированной тестовой среде разумного размера по крайней мере один раз в год.
• Выполнение полной резервной копии Windows Server, которая обеспечивает восстановление состояния операционной системы (BMR) или восстановление состояния системы.
• Использование клонирования виртуализированного контроллера домена (DC). Виртуализированное клонирование контроллеров домена ускоряет процесс, чтобы получить дополнительные контроллеры домена, развернутые для восстановления исходной пропускной способности доменных служб. Контроллеры домена, работающие после восстановления одного контроллера домена из резервной копии в каждом домене, так как это неавторитетное восстановление, эмулятор PDC также должен быть доступен во время операции клонирования. Дополнительные виртуализированные контроллеры данных можно клонировать, а не ожидать завершения потенциально длительных установок AD DS и завершения некритической репликации после установки. Леса, в которых виртуальные контроллеры данных размещаются в относительно небольшом количестве хорошо подключенных центров обработки данных, потенциально пользуются наибольшим преимуществом клонирования во время восстановления. Однако любая среда, в которой несколько виртуализированных DCs для одного домена находятся в одном узле гипервизора, должны быть полезны.
• Использование install From Media IFM для уменьшения времени, необходимого для полной репликации, путем уменьшения трафика репликации, так как будет реплицироваться только разностная. Она также обеспечивает быструю установку нескольких контроллеров домена.
• При использовании сложных сценариев удаленного сайта (редко): -** Установите AD DS на одном или нескольких серверах в концентраторе или промежуточном сайте**, а затем отправьте их на удаленный сайт.
  • Реализуйте процедуры резервного копирования и восстановления для контроллеров домена с плохим или периодическим подключением, помимо контроллеров домена, назначенных в качестве основной системы резервного копирования и аварийного восстановления (BDR) в расположениях основного центра обработки данных. Вам потребуется добавить шаги, чтобы перенести восстановленные контроллеры домена в других местах в синхронизации с основными контроллерами данных центра обработки данных. Для этого назначьте один контроллер домена в качестве ссылки на учетную запись компьютера и только там позволить KDCSVC выполняться. На других восстановленных контроллерах домена выполните действия, описанные в разделе "Сброс пароля контроллера домена" с помощью Netdom.exe.
• Развертывание контроллеров домена только для чтения (RODCS) может обеспечить непрерывность бизнес-процессов во время процесса восстановления, так как они не должны быть отключены от сети как доступные для записи контроллеры домена. Контроллеры домена не выполняют исходящую репликацию. Таким образом, они не представляют того же риска, что записываемые контроллеры домена представляют собой репликацию вредоносных данных обратно в восстановленную среду.

К другим факторам, влияющим на продолжительность процесса восстановления леса, относятся следующие факторы:

• Если контроллеры домена являются виртуальными машинами, вы можете воспользоваться преимуществами восстановления моментальных снимков для отката контроллера домена в известное хорошее состояние. Это не рекомендуемый подход, так как моментальные снимки, используемые для резервных копий, приходят с рядом предостережениях, таких как доступность места на диске для моментальных снимков на сервере виртуальной машины, чтобы иметь доступный журнал резервного копирования. Настоятельно рекомендуется использовать регулярные резервные копии в качестве основных средств для восстановления. Моментальные снимки виртуальных машин могут помочь в восстановлении после конфиденциальных изменений, таких как обновления на уровне леса, такие как переименование домена или крупные обновления схемы. Примечание. При необходимости необходимо пометить SYSVOL как заслуживающий доверия для DFSR вручную. Дополнительные сведения о виртуализированном контроллере домена см. в разделе "Архитектура виртуализированного контроллера домена".

• При восстановлении контроллеров домена из резервных копий требуется время для поиска и извлечения физического носителя резервного копирования, например лент, переустановки операционной системы в зависимости от сценария восстановления и восстановления данных из носителя резервного копирования.

  Заметка

  Вы можете сократить время, необходимое для переустановки операционной системы и восстановления данных из резервной копии, выполнив восстановление BMR вместо восстановления состояния системы. Так как восстановление без операционной системы основано на двоичном коде, оно выполняется гораздо быстрее, чем восстановление состояния системы. Однако если сервер содержит данные, исключенные из данных состояния системы, которые не требуется восстановить, восстановление без операционной системы может оказаться жизнеспособным альтернативой восстановлению состояния системы. Рассмотрим преимущества полного восстановления сервера вместо восстановления состояния системы для серверов, специально и подготовьте соответствующим образом, выполнив соответствующий тип резервного копирования, который планируется восстановить позже. Как правило, рекомендуется выполнить полную резервную копию, которая будет предоставляться как для типа восстановления BMR, так и для состояния системы.

  • При перестроении контроллеров домена по репликации требуется время для репликации данных для повышения производительности на основе сети. Вы можете уменьшить время, необходимое для восстановления контроллеров домена, разместив новый контроллер домена в той же подсети, что и партнер для повышения уровня. Это сводит к минимуму задержки, вызванные циклией и пропускной способностью сети.

• Сократите время получения носителя резервного копирования следующими средствами:

  • Использование средства подключения базы данных Active Directory (Dsamain.exe) для определения оптимальной резервной копии, используемой для операций восстановления. Дополнительные сведения об использовании средства подключения базы данных Active Directory см. в пошаговом руководстве по установке базы данных Active Directory.
  • Метка носителя резервного копирования четко и хранение носителей в упорядоченном режиме в удобном, безопасном, безопасном расположении, которое позволяет быстро извлекать. Убедитесь, что у вас есть допустимые учетные данные в соответствии с резервными копиями.

• Принудительное удаление AD DS из контроллеров домена вместо переустановки операционной системы. Если причина сбоя на уровне леса была определена исключительно в области AD DS, вам не нужно переустановить операционную систему на контроллерах домена. Дополнительные сведения о принудительном удалении AD DS из контроллера домена см. в статье о принудительном удалении контроллера домена Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=132627).

• Используйте более быстрые ленточные устройства или резервные копии дисков, чтобы сократить время, необходимое для операций восстановления. Предприятия, имеющие более агрессивное соглашение об уровне обслуживания (SLA), могут рассмотреть возможность изменения процедур восстановления леса для ускорения восстановления.

Из-за сложного и критического характера процесса восстановления леса в настоящее время нет сквозной автоматизации. Процесс восстановления леса — это более логистическая и организационная задача восстановления непрерывности бизнес-процессов, чем техническая проблема автоматизации процессов. Таким образом, пользователь, который управляет средой, должен создать план восстановления леса, относящийся к этой среде, а затем автоматизировать разделы, которые могут быть успешно автоматизированы.

Большинство шагов восстановления леса можно выполнить с помощью средств командной строки. Поэтому большинство шагов можно выполнить скриптами. Например, Ntdsutil.exe является одним из наиболее часто используемых средств в процессе восстановления леса.

Хотя скрипты могут ускорить восстановление, необходимо тщательно протестировать эти сценарии, прежде чем применять их в реальной среде. Кроме того, их необходимо обновить в соответствии с изменениями в среде Active Directory, например добавление нового домена или контроллера домена или новой версии Active Directory.

Далее

• Восстановление леса AD — необходимые условия
• Ad Forest Recovery — разработка пользовательского плана восстановления леса
• Восстановление леса AD— шаги по восстановлению леса
• Восстановление леса AD. Определение проблемы
• Восстановление леса AD— определение способа восстановления
• Восстановление леса AD — выполнение первоначального восстановления
• Восстановление леса AD — процедуры
• Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
• Ad Forest Recovery — восстановление одного домена в многодоменном лесу
• Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
• Восстановление леса AD — виртуализация
• Восстановление леса AD — очистка