január 20, 2022

Windows 2003 tartományvezérlő biztonsági mentése/visszaállítása

X

Adatvédelem & cookie-k

ez az oldal cookie-kat használ. A folytatással elfogadja azok használatát. Tudj meg többet, beleértve a cookie-k kezelésének módját is.

Megvan!

reklámok

néhány évvel ezelőtt egy meglehetősen nagy cégnél dolgoztam, több száz telephellyel körülbelül 50 különböző országban, amelyeket egyetlen globális hálózat kapcsolt össze… kivéve 4 vagy 5 adatközpont-webhelyet, amelyeket “megoldási központoknak”hívtak. Az egyik ilyen különleges helyszínen dolgoztam. A megoldásközpontok célja az volt, hogy minden olyan szolgáltatást elhelyezzenek, amelyet egy ügyfélvállalat megkövetel tőlünk, miközben elkülönítik vállalatunk globális hálózatától. Mivel nem voltunk részei a globális hálózatnak, a vállalat fekete bárányának tartottak minket… és én voltam az egyetlen rendszermérnök, aki felelős volt a szervereim működtetéséért. Semmi baj… akkor dolgozom a legjobban, amikor magamra vagyok hagyva.

ez azonban számos további komplikációt jelentett, amelyekkel a társaságomban másoknak nem kellett megküzdeniük. A legnagyobb kihívás a webhely katasztrófa-helyreállítási terve volt. Nem csak azt feltételezhetjük, hogy új webhelyre költözünk, mert vissza kell állítanunk a saját környezetünket, amely magában foglalta a saját domainünket is.

Igen, tudom… elhelyezhettem volna az egyik tartományvezérlőnket egy másik helyen, és létrehozhattam volna egy speciális VPN-t, csak a DC-k közötti kommunikációra. ez érvényes megoldás lenne, de egyszerűen nem elég jó. Egy DR esemény során, ami engem nagyon függ az informatikai személyzet azon a másik helyen… és hívj őrült, de azt akarom, hogy képes legyen biztosítani, hogy képes lenne elvégezni a helyreállítási 100% segítsége nélkül bárki más.

sok időt töltöttem a Microsoft fehér könyveinek és különböző személyek által írt eljárásainak olvasásával, ötletekkel dobáltam a kollégákkal, és ötleteket szedtem össze, hogy megpróbáljak egy olyan eljárást kidolgozni, amely megfelel az igényeinknek. Végül kifejlesztettem az eljárást, amelyet alább olvashat … és számos alkalommal sikeresen teszteltem. Tudva, hogy valaki odakint valószínűleg ugyanazt keresi, arra gondoltam, hogy nagyszerű lenne megosztani veled.

a tartományvezérlő(k) biztonsági mentése

nyilvánvaló, hogy a domain visszaállítása előtt először biztonsági másolatot kell készítenie. 6621 > elsősorban a tartományvezérlők Rendszerállapotának biztonsági mentésére vagyunk kíváncsiak. Tehát mi a rendszer állapota?

a kiszolgáló Rendszerállapota tartalmazza a rendszerleíró adatbázist, a rendszerindító fájlokat, néhány rendszerfájlt, az Active Directory szolgáltatást és egyéb összetevőket. (Erről bővebben itt olvashat.) A rendszerállapot biztonsági mentése során nem választhat, hogy mely összetevők kerülnek biztonsági mentésre. Ez egy mindent vagy semmit helyzet.

mivel ez magában foglalja a teljes rendszerleíró adatbázist, meg kell értenie, hogy ez magában foglalja az eredeti rendszer telepített hardverével kapcsolatos információkat is. Ez némileg bonyolíthatja a visszaállítási folyamatot. Ha a rendszer állapotát DC-ről támogatta egy HP Proliant DL380 G5 sorozatú szerveren… és megpróbálja visszaállítani egy Dell PowerEdge T100-on… akkor valószínűleg problémái vannak az operációs rendszer későbbi indításával, mert a hardverkészlet jelentősen eltér.

a DR terv részeként azt javaslom, hogy dokumentálja az egyes tartományvezérlők gazdagépnevét, IP-címét, operációs rendszerét, szervizcsomag szintjét és hardvergyártását/modelljét. Hasznos lehet ez az információ, Amikor eljön az ideje.

ezek az utasítások a “dc123” gazdagépnevet fogják használni a tartományvezérlő neveként, és feltételezik, hogy a rendszerállapot biztonsági mentését minden nap 3:00-kor szeretné futtatni.

jelentkezzen be a tartományvezérlőbe, és hajtsa végre a következő lépéseket:

  1. hozzon létre egy C:\Backup \ mappa.
  2. Kattintson A Start — Minden Program — Kellékek — Rendszereszközök — Biztonsági Mentés Elemre.
  3. kattintson a — biztonsági mentési fájlok és beállítások kiválasztása — gombra .
  4. Select hadd válasszam ki, hogy mit kell biztonsági másolatot készíteni — .
  5. Bontsa Ki A Sajátgép — Rendszerállapot Ellenőrzése-Elemet .
  6. állítsa be a biztonsági mentési fájl helyét C:\Backup \ mappa.
    állítsa a biztonsági mentés nevét “Dc123 rendszerállapot”értékre.
  7. Kattintson A — — Válassza A Normál-Lehetőséget.
  8. jelölje be az adatok ellenőrzése biztonsági mentés után négyzetet -.
  9. válasszuk a meglévő biztonsági mentések cseréje-lehetőséget .
  10. válassza a később lehetőséget — állítsa a feladat nevét “Dc123 rendszerállapot”értékre.
  11. kattintson — ütemezze a munkát napi 3:00-kor.
  12. kattintson — adja meg a felhasználói hitelesítő adatokat — .
  13. kattintson — adja meg a felhasználói hitelesítő adatok halmazát — — — .

maga a tényleges biztonsági mentési feladat valószínűleg 15-30 percet vesz igénybe. Ezután biztonsági másolatot készíthet a C:\Backup \ mappa a szalaghoz. Személyesen, inkább egy másik feladatot ütemeztem, amely ekkor indul 4:00am a “robocopy” – hoz (amely a Windows Server 2003 Resource Kit Tools download részeként található) az egyes biztonsági mentési fájlokat egy másik szerverre, ahol néhány órával később mindegyiket szalagra dobták.

csak igazán kell hát 1 tartományvezérlő ez a munka, de akkor a nagyjából zárva egyetlen hardverkészlet, amikor eljön az ideje, hogy nem a visszaállítás. Mivel soha nem voltam biztos benne, hogy milyen hardver lenne elérhető számomra, amikor eljött az ideje, hogy a visszaállítás, megpróbáltam, hogy a gyakorlatban a ház minden tartományvezérlő egy másik modell a szerver… és hátlap mindegyikük külön-külön. Minden biztonsági mentés valahol 600-800 MB lemezterület között futott (ami a mai szabványok szerint meglehetősen kis alamizsna).

Igen, ez valószínűleg jelentős mértékű túlzás volt a részemről. Azonban, úgy találom, hogy minél paranoiásabb vagy, annál jobban felkészült arra, hogy megtalálja magát. És én inkább paranoiás vagyok olyan dolgokkal kapcsolatban, mint DR.

Hogyan állítsuk vissza a tartományvezérlőket

most tegyünk úgy, mintha katasztrófa történt volna!

letöltötted a kazettáidat az off-site tárolóból, és megszerezted a cél hardvert, úgyhogy lássunk munkához! (Ne feledje, hogy a hardver illesztése a DC visszaállításhoz a legjobb lenne,de cserélhet. Ez nem egzakt tudomány, ezért szükség lehet némi kísérletezésre.)

Megjegyzés: Ezek az utasítások néhány feltételezést szem előtt tartva vannak megírva.

  1. feltételezzük, hogy az egész domainjét valamilyen katasztrofális esemény kiegyenlítette.
  2. feltételezzük, hogy a tartományvezérlők Windows 2003 operációs rendszert futtatnak.
  3. feltételezzük, hogy bárki, aki a munkát végzi, ismeri a bejelentkezési hitelesítő adatokat (az eredeti tartományból) a tartomány rendszergazdai fiókjához, vagy egy olyan felhasználói fiókhoz, amely mind a tartomány “Tartománygazdái”, mind a “séma adminisztrátorai” csoportjának tagja.
  1. készítsen önálló Windows 2003-kiszolgálót, és hozza fel az eredeti DC-vel megegyező szervizcsomag-szintre.
  2. nevezze el a kiszolgálót ugyanazzal a gazdagépnévvel, mint az eredeti DC.
  3. állítsa vissza a rendszerállapot biztonsági mentési fájljait a szalagról, majd másolja át őket az új kiszolgáló helyi merevlemezére.
  4. indítsa újra a szervert.
  5. a POST után nyomja meg a gombot, majd válassza a “Directory Services Restore Mode (Csak Windows tartományvezérlők)” lehetőséget.
  6. Kattintson A Start — Minden Program — Kellékek — Rendszereszközök — Biztonsági Mentés Elemre.
  7. kattintson — válassza a fájlok visszaállítása, majd a Beállítások lehetőséget — — keresse meg a biztonsági mentési fájl helyét—.
  8. fájl kibontása – rendszerállapot biztonsági mentése — jelölje be a rendszerállapot négyzetet — .
  9. kattintson — Válassza ki az eredeti helyet — — — válassza a meglévő fájlok elhagyása lehetőséget (ajánlott) — .
  10. jelölje be a következő jelölőnégyzeteket:

    * Biztonsági beállítások visszaállítása
    * csatlakozási pontok Visszaállítása, de nem a mappa és a fájl adatai
    * meglévő kötetcsatolási pontok megőrzése
    * replikált adatkészletek visszaállításakor jelölje be a visszaállított adatokat elsődleges adatként az összes replikához

  11. kattintson a — gombra .
  12. a visszaállítás befejezése után kattintson a — gombra a rendszer újraindításához.

ha a szerver hardvere jelentősen eltér az eredeti DC-től, akkor nehézségeket tapasztalhat a GUI indításakor. Ebben az esetben előfordulhat, hogy továbbra is helyreállíthatja az operációs rendszert csökkentett módba történő indítással vagy egy eredeti Windows 2003 operációs rendszer CD-re történő indítással a javítás elvégzéséhez.

miután belépett a GUI-ba, be kell jelentkeznie az eredeti DC helyi rendszergazdai jelszavával.

most már képes lesz megragadni az FSMO szerepeket. (Megjegyzés: Minden “ragadd meg” parancs után kattintson a gombra, és hagyjon 3-5 percet a feladat befejezéséhez.)

  1. kattintson a Start — Futtatás — NTDSUTIL-gombra .
  2. írja be a következő parancsokat az NTDSUTIL-ba.

    szerepek
    kapcsolatok
    kapcsolódás a dc123 kiszolgálóhoz
    q
    tartománynév-mester lefoglalása
    infrastruktúra-mester lefoglalása
    PDC lefoglalása
    RID mester lefoglalása
    séma-mester lefoglalása
    q
    q

ezután erősítse meg, hogy a DC globális katalógus-kiszolgáló.

  1. hirdetési oldalak és Szolgáltatások indítása
    (C:\Windows\System32\dssite.MSC)
  2. bontsa ki a Sites – Default-First-Site-Name – Servers-Dc123 elemet.
  3. kattintson a jobb gombbal, majd válassza az NTDS-beállítások lehetőséget — az Általános lapon ellenőrizze, hogy be van-e jelölve a globális katalógus négyzet.
  4. végezze el a rendszer tiszta újraindítását.

most megtisztítjuk a régi tartományvezérlőket az AD-adatbázisból.

  1. kattintson a Start — Run — NTDSUTIL — gombra .
  2. írja be a következő parancsokat az NTDSUTIL-ba.

    metaadatok
    kapcsolatok tisztítása
    csatlakozás a dc123 kiszolgálóhoz
    kilépés
    műveleti cél kiválasztása
    tartományok listája
    tartomány kiválasztása <#>
    helyek listája
    webhely kiválasztása <#>
    szerverek listázása a
    webhelyen válassza ki a <# rossz DC-t>
    lépjen ki
    távolítsa el a kiválasztott szervert
    lépjen ki

  3. indítsa el az Active Directory webhelyeket és szolgáltatásokat(C:\Windows\System32\dssite.msc).
  4. Bontsa Ki A Sites – Default-First-Site-Name – Servers Elemet.
  5. kattintson a jobb gombbal a < bad DC hostname> elemre-válassza a Törlés lehetőséget.
  6. Active Directory felhasználók és számítógépek indítása (C:\Windows\System32\dsa.msc).
  7. bontsa ki a tartományt — nyissa meg a tartományvezérlők tárolóját.
  8. kattintson a jobb gombbal a < bad DC hostname> elemre-válassza a Törlés lehetőséget.
  9. válassza ki a tartományvezérlő véglegesen offline állapotban van, és az Active Directory Telepítővarázsló (DCPROMO) használatával már nem lehet lefokozni.
  10. kattintson a — gombra a megerősítéshez.

domainjét most sikeresen vissza kell állítani, de ezen a ponton ne tekintse magát befejezettnek. Ezt a helyreállított szervert a legjobb esetben is gyanúsnak kell tekinteni, és nem szabad hosszú távú megoldásként tartani.

mielőtt bármi mást csinálna, azt javaslom, hogy készítsen egy 2. “tiszta” tartományvezérlőt a visszaállított 1. DC mellett. Ezután vigye át az FSMO szerepeket a 2.DC-re. Végül lefokozza az 1. DC-t egy tagkiszolgálóra, és visszavonja a tartományból. Ez remélhetőleg biztosítja, hogy a domain egy tiszta és stabil DC-n fut, amelyre támaszkodhat. Ezután építsen egy új 2. DC-t a redundancia biztosítása érdekében.

Gratulálunk! A domain visszaáll. Most kezdj el dolgozni minden más helyreállításán. 🙂

reklámok

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.