J3qx

information archive

Active Directory Disaster Recovery PlanПлан восстановления службы Active Directory в случае сбоя

Posted by j3qx на Ноябрь 26, 2016

Active Directory Disaster Recovery Plan. План восстановления службы Active Directory в случае сбоя (DRP)

Версии

Цели документа

  • сокращение времени простоя сервиса
  • сокращение возможного финансового ущерба
  • обучение персонала работе в чрезвычайных условиях
  • описание шагов для обеспечения быстрого восстановления работоспособности сервиса

Роли участников

Название роли Описание
SA-AD-01 Системный администратор Active Directory
SA-AD-02 Системный администратор Active Directory
SA-N Сетевой администратор

Контактная информация

Сотрудники

Имя

Должность

Название группы/отдела

Контакты

Внешние подрядчики

Поставщик Идентификатор Телефон/E-Mail SLA Другое

Информация о площадках

Название Контакты Адрес Другое
Даталайн +7 (495) 784-65-06

+7 (495) 784-61-38

support@dtln.ru

ул. Боровая, д. 7, стр. 10

Расположение архивных копий

Сервер Тип/Частота Расположение
pmo-dc-09v Full Backup

ежедневно

\\pmo-fs-14 \pmo-dc-09v \mmddyyyy_hhmmss
pd-dc-11v Full Backup

ежедневно

\\pd-fs-15\Backup_Data\pd-dc-11v\mmddyyyy_hhmmss\

Процедуры восстановления

Процедура восстановления сервиса осуществляется в 2 фазы:

1. Регистрация инцидента

  • уведомление об инциденте

2. Процесс восстановления

Регистрация инцидента

При возникновении инцидента, описанного в плане восстановление сервиса, необходимо уведомить 6911 о проблеме, перечислить бизнес системы, которые затронуты и времени восстановления.

Тип инцидента Бизнес системы Время восстановления
Потеря леса/домена AD, 1C, RDS, Axapta, BOB, LEOS (all), Confluence, Jira, WMS, BO, SAP BO, Stash, LAP & SEO ~ 12 часов
Восстановление объектов AD: OU, учетные записи, группы Зависит от удаленного объекта ~ 30 минут

Процесс восстановления

В зависимости от типа инцидента, предусмотрено несколько сценариев восстановления:

Потеря леса/домена

Данный сценарий восстановления необходимо рассматривать в случаях если:

  • все контроллеры домена были логически или физически повреждены
  • ни один из контроллеров не реплицируется со своими партнерами
  • Active Directory была скомпрометирована
  • умышленное или случайное расширение схемы вредоносными или несовместимыми изменениями
  • установлено вредоносное ПО на всех контроллерах домена
  • невозможно установить новый контроллер домена в любом домене

План действий:

Ответственный

Действия

SA-AD-01 выяснить с каким случаем мы имеем дело
SA-AD-01 определить какую резервную копию необходимо использовать для восстановления
SA-AD-02 запретить входящую и исходящую репликацию на контроллере, на котором будет осуществляться восстановление (или выключить все контроллеры домена, кроме одного, на котором будет осуществляться восстановление). Восстановление необходимо осуществлять в следующем порядке: Forest Root Domain DC > Parent Domain DC > Child Domain DC, например – dc1.root.domain.ru > dc2.office.domain.ru > dc3.child.office.domain.ru. В нашем случае это – pd-dc-11v или pmo-dc-09v
SA-AD-01 восстановить резервную копию
SA-AD-01 используя ntdsutil почистить метаданные выключенных контроллеров на восстановленном контроллере и захватить все роли
SA-AD-01 удалить записи выключенных контроллеров в DNS на восстановленном контроллере
SA-AD-01 удалить записи выключенных контроллеров в AD Sites and Services на восстановленном контроллере
SA-AD-01 сбросить пароли для компьютерной учетной записи восстановленного котроллера, трастов, учетной записи krbtgt, учетной записи Administrator дважды
SA-AD-02 проверить логи восстановленного контроллера и убедиться, что проблемы отсутствуют
SA-AD-01 разрешить входящую и исходящую репликацию
SA-AD-01, SA-AD-02 установить AD DS на новых серверах

Вредоносное изменение объектов AD

Данный сценарий восстановления необходимо рассматривать в случаях если:

  • произошло изменение/повреждение объектов AD

План действий:

Ответственный

Действия

SA-AD-01

определить какую резервную копию необходимо использовать для восстановления (до возникновения изменений объектов)

SA-AD-01

Отменить входящую и исходящую репликацию на восстанавливаемом контроллере, или отключить на нем сетевые интерфейсы, если есть локальный/консольный доступ к серверу

SA-AD-01

Восстановить резервную копию

SA-AD-01

Пометить требующие отката объекты AD как авторитативные (для этого служба AS DS должна быть остановлена)

SA-AD-01

Включить репликацию на восстановленном контроллере, или включить сетевые интерфейсы

Запретить/разрешить входящую и исходящую репликацию

Запретить исходящую репликацию:

repadmin /options имя_dc +disable_outbound_repl

Запретить входящую репликацию:

repadmin /options имя_dc +disable_inbound_repl

Разрешить исходящую репликацию:

repadmin /options имя_dc -disable_inbound_repl

Разрешить исходящую репликацию:

repadmin /options имя_dc -disable_inbound_repl

После восстановления репликации на контроллере может понадобиться перезапуск служб AD DS.

Восстановление резервной копии

Для восстановления контроллера домена необходимо перегрузить сервер, во время загрузки нажать F8 и выбрать «Repair your computer». После загрузки оболочки восстановления ввести DSRM пароль (есть в базе паролей).

При восстановлении архивной копии с выделенного локального диска необходимо выбрать «System Image Recovery»:

При восстановлении архивной копии по сети необходимо выбрать «Command Prompt» и сконфигурировать сетевой интерфейс:

1. Инициализировать сетевой интерфейс: wpeinit

2. Просмотреть список интерфейсов: netsh interface ipv4 show interfaces

3. Задать адрес:

netsh interface ipv4 set address «Local Area Connection» static x.x.x.x 255.255.255.0 y.y.y.y

4. Выйти из интерфейса командной строки

5. Выбрать: System Image Recovery > «Select image > Search for a system image on the network

В качестве пути указать путь к расположению резервной копии:

\\10.10.36.24\backup_data\pd-dc-11v\mmddyyyy_hhmmss (pd-fs-15.office.example.ru)

или

\\10.12.20.46\pmo-dc-09v\mmddyyyy_hhmmss (pmo-fs-14.office.example.ru)

Для восстановления раздела из образа необходимо, чтобы раздел имел корректную файловую систему. При отмене/сбое во время восстановления сервера из образа раздел становится поврежденным и повторное восстановление более невозможно без форматирования диска (в режиме восстановления системный диск — это диск D:). После форматирования диска D: восстановление проходит штатно.

Чистка метаданных и захват ролей

На восстановленном контроллере необходимо удалить записи старых контроллеров и, при необходимости, захватить FSMO роли. Для захвата ролей необходимы права Enterprise Admin, например, подойдет встроенная запись office\administrator.

  1. запустить cmd от имени учетной записи с достаточными полномочиями
  2. выполнить команду ntdsutil
  3. выполнить команду metadata cleanup
  4. выполнить команду connection
  5. выполнить команду connect to server localhost
  6. выполнить команду quit
  7. выполнить команду select operation target
  8. выполнить команду list domains и выбрать нужный домен select domain <номер домена> (например, select domain 0)
  9. выполнить команду list sites и выбрать нужный сайт select site <номер сайта>
  10. выполнить команду list servers in site и выбрать сервер, данные о котором необходимо удалить select server <номер сервера>
  11. выполнить команду quit
  12. выполнить команду remove selected server
  13. выбрать yes для подтверждения
  14. выполнить шаги 7-13 для остальных контроллеров
  15. выполнить команду quit несколько раз для возврата в cmd
  16. проверить, что все роли были переданы восстановленному контроллеру командой netdom query fsmo

Во время удаления утилита ntdsutil предложит захватить роли удаляемого сервера. Если по каким-то причинам захват роли не произошел, то необходимо выполнить:

  1. запустить ntdsutil
  2. выполнить команды roles, connections, connect to server localhost, quit
  3. захватить роль seize имя_незахваченной_роли (pdc, infra master, rid master, schema master, naming master)

Авторитативное восстановление объектов AD

Для авторитативного восстановления необходимо пройти все шаги, как и при обычном восстановлении сервера из образа. После восстановления необходимо загрузить сервер в обычном режиме (важно, чтобы перед этим уже была отключена репликация или сеть), остановить службы AD DS, запустить утилиту ntdsutil и выполнить команды:

net stop ntds

ntdsutil
activate instance ntds
authoritative restore

Это переведет сервер в режим авторитативного восстановления. Далее необходимо пометить необходимые нам для восстановления как авторитативные:

restore object <DistinguishedName> — помечает одиночный объект (компьютер, пользователя или группу) как авторитативный для репликации;
restore subtree <DistinguishedName> — помечает поддерево (например, OU со всем содержимым) как авторитативный объект;
-vernic <increment> — параметр, который позволяет вручную задавать USN. По умолчанию при авторитативном восстановлении USN данных увеличивается на 100000. Параметр verinc оказывается полезен, если выполняется авторитетное восстановление данных поверх других авторитетно восстановленных данных, то есть значение USN должно быть увеличено больше, чем на 100000.

Например, чтобы пометить для восстановления OU USR:
restore subtree ″OU=USR,DC=office,DC=example,DC=ru″

Далее после включения репликации (или сети) и перезагрузки сервера именно помеченные авторитативные объекты будут распространены по остальным контроллерам, перезаписав нежелательно измененные объекты AD.

Сброс паролей

Пароли необходимо сбросить дважды для каждой учетной записи. Трасты необходимо провалидировать с обоих сторон из оснастки AD Domains and Trusts.
Для сброса пароля учетной записи контроллера необходимо выполнить:

netdom resetpwd /Server:имя_восстановленного_dc /UserD:office\administrator /PasswordD:*

Для сброса пароля учетных записей office\krbtgt и office\administrator необходимо воспользоваться оснасткой ADUC.

Восстановление объектов из корзины AD: OU, учетные записи, группы

Для домена office.example.ru включен функционал Active Directory Recycle Bin, при помощи которого можно восстановить объекты типа OU, учетная запись или группа. При восстановлении учетной записи или группы из корзины, также восстанавливается членство в группе.
Для включения корзины AD необходимо чтобы окно PS AD Modules было запущено с правами Enterprise Admin. Необходимо выполнить команду:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=office,DC=example,DC=ru’ –Scope ForestOrConfigurationSet –Target ‘office.example.ru’

Для восстановления учетной записи необходимо выполнить (на примере удаленной учетной записи t-user-03):

Get-ADObject -Filter {SamAccountName -eq «t-user-03»} -IncludeDeletedObjects | Restore-ADObject

Для восстановление группы необходимо выполнить (на примере удаленной группы G_Test):

Get-ADObject -Filter {SamAccountName -eq «G_Test»} -IncludeDeletedObjects | Restore-ADObject

Для восстановление OU с вложенными объектами необходимо выполнить (на примере удаленной OU=Users,OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru с учетными записями в OU):

Get-ADObject -SearchBase «CN=Deleted Objects,DC=office,DC=example,DC=ru» -Filter {lastKnownParent -eq
«OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru»} -IncludeDeletedObjects | Restore-ADObject

далее восстанавливаются вложенные объекты в восстановленной OU Users

Get-ADObject -SearchBase «CN=Deleted Objects,DC=office,DC=example,DC=ru» -Filter {lastKnownParent -eq «OU=Users,OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru»} -IncludeDeletedObjects | Restore-ADObject

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: