Kế hoạch khôi phục thảm họa Active Directory

Kế hoạch khôi phục thảm họa Active DirectoryNgăn chặn lỗi Active Directory chính là thành phần chủ yếu trong bất cứ kế hoạch khôi phục thảm họa nào. Tuy có nhiều cách có thể giảm được thảm họa cho Active Directory nhưng cách tốt nhất để tối thiểu thời gian chết của máy móc chính là cần phải có một kế hoạch phù hợp. Bạn cần khôi phục một domain controller? Muốn ngăn chặn việc xóa một số lượng lớn các đối tượng quan trọng do vô tình? Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách...
Nội dung trích xuất từ tài liệu:
Kế hoạch khôi phục thảm họa Active Directory Kế hoạch khôi phục thảm họa Active DirectoryNgăn chặn lỗi Active Directory chính là thành phần chủ yếu trong bấtcứ kế hoạch khôi phục thảm họa nào. Tuy có nhiều cách có thể giảmđược thảm họa cho Active Directory nhưng cách tốt nhất để tối thiểuthời gian chết của máy móc chính là cần phải có một kế hoạch phù hợp.Bạn cần khôi phục một domain controller? Muốn ngăn chặn việc xóa một sốlượng lớn các đối tượng quan trọng do vô tình? Trong bài này chúng tôi sẽgiới thiệu cho các bạn cách lập kế hoạch cho những điều tồi tệ nhất vànhững gì bạn cần thực hiện để khôi phục Active Directory của mình và giúpnó chạy trở lại.Điều quan trọng là phải có một kế hoạch khôi phục thảm họa cho các thảmhọa lớn, tuy nhiên có rất nhiều hành động bạn có thể thực hiện để ngăn chặncác thảm họa này – hoặc ít nhất cũng là tối thiểu cơ hội gây ra thảm họaActive Directory, chẳng bạn như việc xóa nhầm một số lượng lớn các đốitượng do vô tình.Một trong những hành động đó là tạo một lag site bản sao. Rất đơn giản,một lag site là một Active Directory site được dự trữ trong khoảng vài ngàytrong một tuần ở sau phần còn lại của miền. Rõ ràng, có một số vấn đề phátsinh (gotchas) khi thực hiện điều này, tuy nhiên về cơ bản một lag site sẽ dựtrữ được một backup “sống” cho Active Directory.Bạn tạo một lag site bằng cách đặt một domain controller từ một hub sitevào một site riêng (chúng tôi gọi nó là site khôi phục thảm họa) với một liênkết site đến hub site. Cấu hình liên kết hub site khôi phục thảm họa để có tầnxuất tái tạo là 96 giờ. Điều đó có nghĩa rằng một copy sẽ được thực hiện sau96 giờ phía sau phần còn lại của forest.Lúc này, cần nhớ rằng, nếu một quản trị viên nào đó do vô tình xóa một OUcó 10.000 người dùng thì những gì bạn chỉ có thể làm lúc này là thực hiệnmột khôi phục thẩm định (và hy vọng thiết bị backup của mình hợp lệ). Điềuđó có nghĩa rằng bạn phải thực hiện quá trình khôi phục thẩm định sau: 1. Cách ly một domain controller có copy thẩm định của Active Directory ra khỏi mạng. 2. Lấy lưu trữ backup trạng thái hệ thống thích hợp mà bạn đã thực hiện trước khi xóa. 3. Bảo đảm rằng lưu trữ này là hợp lệ và nó không bị “cũ” so với giới hạn (mặc định là 60 ngày). 4. Khởi động restore domain controller trong chế độ Directory Service Restore Mode (DSRM). 5. Thực hiện khôi phục trạng thái hệ thống cho domain controller này. Lưu ý rằng bạn cần phải thực hiện hai lần để khôi phục nhóm và người dùng đúng cách. Điều này không tầm thường chút nào. 6. Sát nhập domain controller vào mạng. 7. Bản sao sẽ thực thi các đối tượng Active Directory từ domain controller được khôi phục vào các domain controller khác trong mạng.Mặc dù vậy với lag site, bạn có một domain controller có chứa bản copyActive Directory trước khi hành động xóa vô tình xảy ra (giả định rằng bạnđã phát hiện thấy điều đó trong khoảng thời gian 4 ngày xuất hiện). Giả địnhrằng bạn đã phát hiện rằng một quản trị viên đã vô tình xóa mất 10.000 tàikhoản ngày hôm qua. Khi đó bạn có thể vào domain controller trong lag site,nơi có một copy Active Directory trước khi xóa và thực hiện một hành độngkhôi phục thẩm định bằng copy domain controller của Active Directory.Copy này phụ thuộc vào thời điểm lag site sao chép và thời điểm hành độngxóa xảy ra. Nếu quá trình sao chép xảy ra vào hôm thứ Hai và thứ Sáu cònhành động xóa xảy ra vào tối thứ Ba thì bạn có chỉ có một cơ hội rất nhỏ.Kiểm soát những vấn đề phát sinh (gotchas)Điều quan trọng ở đây là bạn cần thực hiện các bước để ngăn chặn sự thẩmđịnh từ các domain controller của lag site từ khi nó có dữ liệu bảo mật (tàikhoản, mật khẩu, tài khoản bị khóa, thành viên nhóm,…) một tuần tuổi. Bạncó thể thực hiện điều này bằng cách định nghĩa một chính sách site cho lagsite và định nghĩa thiết lập DCLocator DNS Records Not Registered by theDCs. Trường Mnemonics được mô tả trong tab Explain. Bạn cần gộp tất cảMnemonics ngoài trừ bản ghi CNAME (cần thiết cho bản sao). Tab Explaincó đôi chút lộn xộn, tuy nhiên nó là một danh sách được phân định theokhoảng trống như thể hiện trong hình 1 bên dưới. Bản thân Mnemonics đượcliệt kê trong cột bên trái trên tab Explain. Hình 1: Danh sách phân định theo khoảng trống trong một lag siteCấu hình tối thiểu để thực thi một Active Directory lag site là phải có mộtsite có ít nhất một domain controller từ mỗi miền trong site. Cấu hình đượcưa thích là phải có hai domain controller từ mỗi miền trong site. Thiết lậptần suất tạo bản sao là 168 giờ mỗi tuần và dao động lịch trình để chúng tạobản sao cứ 3,5 ngày một lần. Như vậy bạn sẽ có hai copy cũ để có thể lựachọn, vấn đề sẽ được giảm một cách rõ rệt.Bạn cũng có thể sử dụng Virtual Server như các domain controller của lagsite để tiết kiệm chi phí phần cứng.Nếu có một cấu trúc phức tạp (cha/con), thì bạn có rất nhiều vấn đề khôngthấy rõ. Khi thử một k ...