【TechTarget中国原创】对整个林的恢复是活动目录灾难恢复中最具挑战性的一个方面。虽然需要进行完整的林恢复的情况可能占少数,大多数的IT灾难恢复计划都需要针对整个林的崩溃做一个文件化的恢复。
一个完整的林恢复所需的步骤与做法——对于小型以及大型环境——都是非常相似的,而且取决于您是否安装了Windows Server 2003或2008活动目录。
理解林恢复中使用的技术和方法是很重要的。考虑到林是由更小的组件所构成的——即对象、域控制器、站点和域——它们比整个林更可能崩溃。制定一个林的灾难恢复计划需要包括这些跟小组件的相关内容。
此外,重要的是知道您要防范什么。有物理威胁,自然灾害、火灾、爆炸等,以及人为的威胁——一个或者多个域控制器的失效,大量的时间回滚,管理错误等等。您需要防御什么样的威胁可以决定是否需要异地备份、长期磁带备份或者快速的可用磁盘备份,以及恢复将如何进行。
让我们来看看,对于活动目录,什么因素会产生一个良好的灾难恢复计划。因为最好的恢复计划是从一个良好的灾难预防计划开始的,所以我们从这一点开始。
备份
这不是很难学的知识,但是有很多管理员没有一个当前的备份或者不知道他们的当前备份是否可用。最近,我恢复过一个公司的环境,该公司在一个多域林的林根域中只有一个域控制器,而且备份是10个月以前的。域控制器崩溃掉了,并且无法恢复。(请继续关注:之后的文章会详细介绍我们如何恢复林)。
无论如何,拥有一个当前的备份是很重要的。备份只在墓碑生命期(tombstone lifetime TSL)内有效。TSL(通常建议设为120到180天)是对象的一个属性:cn=Directory Service,cn=WindowsNT,cn=Services,cn=Configuration, dc=corp,dc=com, 其中dc=corp,dc=com是林的DN。
Windows 2008的Windows服务器备份工具(Windows Server Backup utility)对以前的NTBackup程序有所改进。Windows服务器备份使用卷影拷贝,因为可以备份为一个单独的文件并且能在一个远程的服务器,如NAS服务器上,轻松地对其进行存储和管理,这是一种更快更有效的备份方法。
虽然Windows服务器备份现在不支持磁带备份,如果您有第三方的磁带备份解决方案,可以使用磁带API。我们建议,在磁盘上存储备份以便快速恢复,同时,在磁带上存储备份以作长期存储。重要的是定期对域控制器进行备份并监控错误。最低的要求是对每个特定分区的至少两个域控制器进行备份,包括GC上的只读域分区、DNS应用分区以及多域分区 ,以防其中一个崩溃。如果您有远程站点,可能有IT人员对其进行备份并存储在一个安全的地方是一个好主意。
远程站点备份的另一种方法是在WAN上重建域控制器或者在站点取回备份设备并使用Install From Media的方法快速还原一个域控制器。方法的选择很大程度上取决于您的组织和环境。
滞后站点
滞后站点虽然已经过时了,但却很不错。这个简单的站点,通常和一个企业的中心站点创建在同一物理位置,在与中心站点独立的子网上包括一个或者两个域控制器。域控制器上设置一个复制计划,只允许每7天(1个域控制器)或者3.5天(两个域控制器)的复制。这是为了恢复被管理员误删的对象,这种情况可能比您想象的要更经常发生。
如果在周一删除了一个包括5000个用户的组织单位(organizational unit OU),而对滞后站点域控制器的复制仅在每个周日进行,那么滞后站点域控制器就还不会对这些用户账户进行删除。因此,您可以在再一次复制前执行一个权威还原,并恢复用户账户。有一个现场的(或者虚拟机)机器去做权威还原会比先从备份还原要更快更容易。
在Windows Server 2008 R2中,活动目录回收站以及虚拟机的使用一定程度上减少了滞后站点这种方法的普及和需求,但滞后站点仍然是一个正确的选择。
请注意,您必须采取预防措施去避免认证客户接触到这些滞后站点域控制器。我在以前的文章implementing the lag site中对此做了详细的说明。
在本文的下半部分中,我们将继续介绍回复活动目录林的更好方式。