Восстановление контроллера домена из бекапа veeam в песочнице, какой вариант лучше?

Question

[iwnch]

Всем привет!
Задача стоит такая.
Воспроизвести процесс восстановления КД на случай сбоя. Для этого необходимо развернуть КД AD из резервной копии veeam в песочнице. Самое основное ограничение, необходимо чтобы сеть песочницы была изолирована от продовой сети, во избежании коллизий с рабочим КД. Так же нужно по итогу любую машину ввести в домен используя КД АД развернутый из бекапа в песке.
Какие варианты лучше всего подходят для этого? Слышал, что в Veeam есть песочница встроенная, с изолированной сетью.
С какими проблемами я могу столкнуться во время этого? На что стоит обратить внимание?

Comments

[MVV]

А ещё у MS есть целый раздел в документации, посвященный восстановлению леса AD (по факту вы хотите сделать именно это): https://learn.microsoft.com/en-us/windows-server/i...

Думаю, вам полезно будет ознакомиться, если ещё не читали.

[iwnch]

MVV, Привет! Спасибо, что ответил. Посмотрел доку, но не очень понял, подойдет ли это в моем случае, т.к мне, по факту, нужно сделать "стенд" при исправно работающем КД, основной вопрос состоит в том, чтобы мне изолировать мой стенд от продовой сети, в которой установлен КД

[osada]

Раз речь идет о песочнице, то чтобы понять до конца саму схему восстановления КД, можно просто развернуть на виртуалках тестовый дрмен AD с такими же настройками, кол-м КД и др.

Там же установить Veeam, сделать сразу снэпшоты рабочего состояния всех участников AD, там же провести симуляцию отказа одного из КД и там же сразу пытаться восстановить его из бэкапа Veeam.

В большинстве случаев такой метод тренировки на кошках позволить понять вообще как устроена схема AD, какие нужны сделать первые шаги, какие вторые и т.д.

Если не получилось восстановить КД с первой попытки, то откатываемся в первоначальное положение с помощью ранее сделанных снэпшотов и пробуем еще раз.

Answer 1

[Роман Безруков]

КД, надеюсь, не единственный в вашей инфраструктуре?
КД железный или виртуальный (на чем?) ?
Что вы там бэкапите - system state, базу/логи AD или КД целиком?
По большому счету, вам нужно содержимое двух папок (в случае проблем с репликацией, например, если другие КД недоступны): C:\Windows\NTDS (конкретно файл ntds.dit) и C:\Windows\SYSVOL

С какими проблемами я могу столкнуться во время этого? На что стоит обратить внимание?

с песочницей Veeam не упражнялся, да и не вижу каких-то проблем с ней...если в песочнице только один КД - восстанавливайте все равно как Domain Controller (Non-Authoritative Restore) (Step 4. Specify Recovery Verification Options and Tests)

Из опыта - мне было проще и быстрее развернуть новый КД и синхронизировать его с оставшимися в строю.

Comments

[iwnch]

Привет! Спасибо за ответ.
КД не единственный в инфре.
Есть сервер, на нем проксмокс, на нем КД.
Бекапим целиком КД
Я пока что, новичок, в этом деле, поэтому могу как-то не так понять Вас, больше интересует момент, разворачивания КД из бекапа в изолированной сети, так чтобы он не конфликтовал с КД продовым, но при этом мог смотреть в интернет, но не мог смотреть в локалку и ввести в домен машину какую-нибудь.
Мне не нужно пошаговое решение этого, интересует общие шаги, которые могут привести к результату

[Роман Безруков]

iwnch, при восстановлении машины из бэкапа можно выбрать куда восстанавливать - в то же расположение или новое. Логично, что надо восстанавливать надо в новое расположение, т.е. в изолированную сеть, куда нет доступа у продуктивных сетей. КД восстанавливается в режиме DSRM (нужен будет соответствующий пароль), потом перегружается в нормальное состояние
у Veeam для восстановления в песочницу вроде надо отдельную Application Group делать (но это не точно)...в документации должно быть описано
еще могут быть нюансы, что восстанавливаемый КД является держателем ролей FSMO

ну восстановили вы КД в изолированную сеть - дальше что? И зачем такому КД интернет в изолированной сети?

[iwnch]

Это нужно мне просто для тестов, понять, как работать с AD, бекапами и т.д, поэтому хочу его восстановить в изолированную сеть, но при этом хочу, чтобы я смог ввести в домен комп, который будет обращаться к восстановленному КД

[Роман Безруков]

iwnch, ну...в подавляющем большинстве случаев я бы пошел по пути развертывания нового КД и его синхронизации с существующими...
если полегли все КД в вашем лесе - то можно смело восстанавливать КД (ибо он будет единственным) и захватывать им все роли FSMO, потом добавлять дополнительные КД

[iwnch]

Спасибо
А по поводу того, чтобы развернуть его в изолированной сети, не подскажите, что можно сделать? Условно, развернуть виртуалку, прописать ей адрес, убрать маршруты до локалки, оставить только выход в инет, такой способ подойдет?

[Роман Безруков]

iwnch, ну примерно такой путь...

[MVV]

Роман Безруков, все так. А из того, что надо не забыть, если исходный КД был в инфраструктуре не единственным: после восстановления надо удалить из AD все остальные КД и захватить отсутствующие на восстановленном КД роли FSMO. Ну и восстанавливать КД (точнее, DFS на нем) надо в полномочном режиме (не знаю, как в Veeam, а в Windows Server backup для этого есть галочка): иначе он может себя не объявлять КД.

Answer 2

[Вася Пупкин]

КД не восстанавливают из бекапа, поскольку если у вас их два, то ключи могли поменяться. На бекап ушли старые ключи керберос, а сломался он с новыми, в итоге когда вы разворачиваете из бекапа, то данные идут старые и у вас ничего не работает.
КД дублируются в сети через репликацию, но не восстанавливают.

Comments

[iwnch]

А если представить ситуацию, что разом все КД полегли и восстановить их возможности нет, но есть бекапы. Как быть в этой ситуации? Неужели нет решений никаких?

[Valentin Barbolin]

КД не восстанавливают из бекапа, поскольку если у вас их два, то ключи могли поменяться.

Дурня. Сам восстанавливал, если бекап не старше чем политика доверия между ПК и доменом, то ничего перевводить даже не надо, все будет работать. Единственно что грузиться все долго, особенно если два контроллера, им надо дать время на синхронизацию.

[CityCat4]

Valentin Barbolin, Просто, если там только DC, то может оказаться быстрее поднять новый сервак и засинхронизировать его. Хотя конечно обычно так не бывает...

[MVV]

Вася Пупкин, если резервная копия достаточно свежая (моложе 30 дней - это с гарантией) и если восстанавливать ее поддерживаемым способом (т.е. не просто накатыванием образа Acronis на железный КД), и даже - неподдерживаемым, но на виртуалку на современном, поддерживающим идентификацию VM гипервизоре, то проблем не будет. Если резервная копися старше (но восстановлена поддерживаемым способом), то проблемы возможны, но они решаемы.
Однако поднять новый КД взамен отказавшего действительно проще, и, есди есть возможность делать так - нужно так и делать.
Впрочем, одиночный КД можно восстанавливать как угодно и из чего угодно: ему реплицироваться ни с чем не надо. Так что вы ответили тут не на тот вопрос, который был задан.

[Вася Пупкин]

MVV, слишком много "если".

Answer 3

[SunTechnik]

При разворачивается стенда, потенциально, есть проблема с ip адресом

Либо надо строить изолированную подсеть.
Причём, если тестовый клиент - физическая машина, то надо настраивать отдельный vlan или использовать отдельный интерфейс на сервере, если есть свободный. Но в этом случае, песочница не будет иметь выход в интернет.

Есть вариант смены ip на контроллере. Но это отдельная процедура, но даже в этом случае лучше использовать отдельную физическую сеть (vlan), так как часть сервисов работает на broadcast.

Answer 4

[Drno]

развернуть несколько виртуалок и протестировать