Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Бэкап (backup) Active directory

Автор: Reaper666
Дата сообщения: 12.09.2016 12:46
Недавно озаботился я бэкапом контроллера домена. В конторе имеются два КД, из них я бэкаплю только тот, на котором роли FSMO. Так как он виртуальный (VmWare ESXi), то я попросту копирую диск виртуального сервера. В случае, если у меня лягут оба КД, то я восстанавливаю копию и запускаю сервер, как ни в чем не бывало. Вопрос, насколько оправдано так делать и надо ли вообще? Какие подводные камни могут быть при восстановлении?
Автор: Paromshick
Дата сообщения: 12.09.2016 13:12
При восстановлении одного из контроллеров с образа VM, при том, что второй контроллер жив, наверняка возникнет проблема USN. Гуглим на эту тему. Гуглим стратегия резервного копирования AD, гуглим восстановление AD (например, вот здесь неплохо http://www.osp.ru/winitpro/2011/05/13009845/ ) - получаем общую картину и ссылки в мемориз

Добавлено:

Цитата:
Программы резервного копирования, в которых применяются образы дисков или моментальные снимки виртуальных машин, как правило, несовместимы с AD. Восстановление резервной копии с помощью одного из этих инструментов может привести к серьезным проблемам репликации, известным как возврат номера последовательного обновления (USN).


Добавлено:
По поводу ролей FSMO, наверняка вы знаете, что хозяин роли нужен для внесения изменений в ту часть, хозяином которой он является. А так, база идентична.
Следовательно, если у вас упадут оба, то можно восстановить один из образа, затем ntdsutil'ом вычистить "память" о втором. Если упадет один и на нем все роли, то, видимо номер USN останется неизменным, а след. можно попытаться успешно восстановиться после отказа. Но вообще, рекомендуется разносить роли FSMO и грамотнее всего иметь три контроллера, но можно обойтись и двумя.

Размещение и оптимизация FSMO на контроллерах домена Active Directory
Все что вы хотели знать о мастерах операций, но боялись спросить

В последней статье, в самом конце, есть сухой остаток. Если у вас GC на всех контроллерах - то можно обойтись и двумя, если хотите, чтобы только на одном, то лучше три (это от себя)
Надеюсь, чтива достаточно
Автор: igor me v2
Дата сообщения: 12.09.2016 16:26

Цитата:
грамотнее всего иметь три контроллера, но можно обойтись и двумя.

Чем дальше в лес - тем толще партизаны На одну операцию аж три сервера... Не перестаю удивляться, что это вражьек изобретение и даёт лишь больше напряга, чем пользы...
Автор: Paromshick
Дата сообщения: 12.09.2016 17:27
Та не. В малой конторе можно и на одном всё держать. И даже инстр. бухше оставить с номером телефона, где лежат бэкапы, что делать. По тлф и восстановить, а при наличии teamviewer или т.п. просто что запустить и куда звонить.
Три контроллера, это когда есть возможность и почему-то желание иметь только один GC и чтоб снизить нагрузку. Большая сеть короче, частые аутенфикации, изменения и т.п.
[offtop]
Потом, это ни разу не одна операция, достаточно посмотреть лог.
Любое обращение к любому ресурсу сети уже влечет проверку тикета, а обращение это вовсе не значит, что пользователь тыцкает маусом куда-то, он может просто сёрфить. Я уж не говорю, про современные сервисы, достаточно чунго-чангу иметь, чтобы подгрузить GC прилично. Опять же от количества юзаемых боксов зависит.
А SharePoint, личные сайты... А облачные хранилища аля OneDrive, мессенджеры типа Skype for Business... далее - везде, ага.
Тут таки да, тут партизаны ожиревшие бывают. И грамотно спланировать AD... где-то четверть толстого учебника по нему занимает Planing, токмо никто не читает и я ниасилил весь то. Приходилось потом граблями получать, и крайне нелегко и долго вытаскивать их из буйных зарослей
[/offtop]

Страницы: 12

Предыдущая тема: Подтверждение доставки письма: MDaemon+ The Bat и Outlook


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.