Kế hoạch khôi phục thảm họa Active Directory - Phần 1: Tạo một Active Directory replication lag site

Quản trị mạng Ngăn chặn lỗi Active Directory chính là thành phần chủ yếu trong bất cứ kế hoạch khôi phục thảm họa nào. Tuy có nhiều cách có thể giảm được thảm họa cho Active Directory nhưng cách tốt nhất để tối thiểu thời gian chết của máy móc chính là cần phải có một kế hoạch phù hợp.

Bạn cần khôi phục một domain controller? Muốn ngăn chặn việc xóa một số lượng lớn các đối tượng quan trọng do vô tình? Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách lập kế hoạch cho những điều tồi tệ nhất và những gì bạn cần thực hiện để khôi phục Active Directory của mình và giúp nó chạy trở lại.

Điều quan trọng là phải có một kế hoạch khôi phục thảm họa cho các thảm họa lớn, tuy nhiên có rất nhiều hành động bạn có thể thực hiện để ngăn chặn các thảm họa này – hoặc ít nhất cũng là tối thiểu cơ hội gây ra thảm họa Active Directory, chẳng bạn như việc xóa nhầm một số lượng lớn các đối tượng do vô tình.

Một trong những hành động đó là tạo một lag site bản sao. Rất đơn giản, một lag site là một Active Directory site được dự trữ trong khoảng vài ngày trong một tuần ở sau phần còn lại của miền. Rõ ràng, có một số vấn đề phát sinh (gotchas) khi thực hiện điều này, tuy nhiên về cơ bản một lag site sẽ dự trữ được một backup “sống” cho Active Directory.

Bạn tạo một lag site bằng cách đặt một domain controller từ một hub site vào một site riêng (chúng tôi gọi nó là site khôi phục thảm họa) với một liên kết site đến hub site. Cấu hình liên kết hub site khôi phục thảm họa để có tần xuất tái tạo là 96 giờ. Điều đó có nghĩa rằng một copy sẽ được thực hiện sau 96 giờ phía sau phần còn lại của forest.

Lúc này, cần nhớ rằng, nếu một quản trị viên nào đó do vô tình xóa một OU có 10.000 người dùng thì những gì bạn chỉ có thể làm lúc này là thực hiện một khôi phục thẩm định (và hy vọng thiết bị backup của mình hợp lệ). Điều đó có nghĩa rằng bạn phải thực hiện quá trình khôi phục thẩm định sau:

  1. Cách ly một domain controller có copy thẩm định của Active Directory ra khỏi mạng.
  2. Lấy lưu trữ backup trạng thái hệ thống thích hợp mà bạn đã thực hiện trước khi xóa.
  3. Bảo đảm rằng lưu trữ này là hợp lệ và nó không bị “cũ” so với giới hạn (mặc định là 60 ngày).
  4. Khởi động restore domain controller trong chế độ Directory Service Restore Mode (DSRM).
  5. Thực hiện khôi phục trạng thái hệ thống cho domain controller này. Lưu ý rằng bạn cần phải thực hiện hai lần để khôi phục nhóm và người dùng đúng cách. Điều này không tầm thường chút nào.
  6. Sát nhập domain controller vào mạng.
  7. Bản sao sẽ thực thi các đối tượng Active Directory từ domain controller được khôi phục vào các domain controller khác trong mạng.

Mặc dù vậy với lag site, bạn có một domain controller có chứa bản copy Active Directory trước khi hành động xóa vô tình xảy ra (giả định rằng bạn đã phát hiện thấy điều đó trong khoảng thời gian 4 ngày xuất hiện). Giả định rằng bạn đã phát hiện rằng một quản trị viên đã vô tình xóa mất 10.000 tài khoản ngày hôm qua. Khi đó bạn có thể vào domain controller trong lag site, nơi có một copy Active Directory trước khi xóa và thực hiện một hành động khôi phục thẩm định bằng copy domain controller của Active Directory. Copy này phụ thuộc vào thời điểm lag site sao chép và thời điểm hành động xóa xảy ra. Nếu quá trình sao chép xảy ra vào hôm thứ Hai và thứ Sáu còn hành động xóa xảy ra vào tối thứ Ba thì bạn có chỉ có một cơ hội rất nhỏ.

Kiểm soát những vấn đề phát sinh (gotchas)

Điều quan trọng ở đây là bạn cần thực hiện các bước để ngăn chặn sự thẩm định từ các domain controller của lag site từ khi nó có dữ liệu bảo mật (tài khoản, mật khẩu, tài khoản bị khóa, thành viên nhóm,…) một tuần tuổi. Bạn có thể thực hiện điều này bằng cách định nghĩa một chính sách site cho lag site và định nghĩa thiết lập "DCLocator DNS Records Not Registered by the DCs". Trường Mnemonics được mô tả trong tab Explain. Bạn cần gộp tất cả Mnemonics ngoài trừ bản ghi CNAME (cần thiết cho bản sao). Tab Explain có đôi chút lộn xộn, tuy nhiên nó là một danh sách được phân định theo khoảng trống như thể hiện trong hình 1 bên dưới. Bản thân Mnemonics được liệt kê trong cột bên trái trên tab Explain.

a space-delimited list in a Active Directory replication lag site
Hình 1: Danh sách phân định theo khoảng trống trong một lag site

Cấu hình tối thiểu để thực thi một Active Directory lag site là phải có một site có ít nhất một domain controller từ mỗi miền trong site. Cấu hình được ưa thích là phải có hai domain controller từ mỗi miền trong site. Thiết lập tần suất tạo bản sao là 168 giờ mỗi tuần và dao động lịch trình để chúng tạo bản sao cứ 3,5 ngày một lần. Như vậy bạn sẽ có hai copy cũ để có thể lựa chọn, vấn đề sẽ được giảm một cách rõ rệt.

Bạn cũng có thể sử dụng Virtual Server như các domain controller của lag site để tiết kiệm chi phí phần cứng.

Nếu có một cấu trúc phức tạp (cha/con), thì bạn có rất nhiều vấn đề không thấy rõ. Khi thử một khôi phục trên một miền, bạn sẽ thất bại trong việc khôi phục các thành viên nhóm trong toàn miền. Hewlett-Packard Co. là công ty lần đầu tiên phát hiện ra vấn đề này và công ty này đã phát triển một công cụ mang tên Active Directory Link Replication Manager (ADLRM) để lưu các liên kết này trong một cơ sở dữ liệu SQL và khôi phục chúng khá tiện lợi. Công cụ này cũng có thể lưu và khôi phục các thuộc tính riêng lẻ. Cho ví dụ, nếu bạn có một ứng dụng quản trị nhân sự (HR) đã thay đổi thuộc tính của một người dùng nào đó, trong khi đó bạn cần khôi phục lại thuộc tính này về giá trị được thay đổi trước đó, ADLRM sẽ cho phép bạn thực hiện điều đó mà không yêu cầu một quá trình khôi phục thẩm định toàn bộ.

Thứ Tư, 13/01/2010 09:56
31 👨 2.456
0 Bình luận
Sắp xếp theo