J3qx

information archive

DRP по AD

Posted by j3qx на Февраль 4, 2017

Цели документа

  • сокращение времени простоя сервиса
  • сокращение возможного финансового ущерба
  • обучение персонала работе в чрезвычайных условиях
  • описание шагов для обеспечения быстрого восстановления работоспособности сервиса

Роли участников

Название роли Описание
SA-AD-01 Системный администратор Active Directory
SA-AD-02 Системный администратор Active Directory
SA-N Сетевой администратор
   
   

Контактная информация

Сотрудники ООО «example»

Имя

Должность

Название группы/отдела

Контакты

Руководитель отдела Отдел системного администрирования и пользовательской   поддержки  
Руководитель группы Группа технической поддержки пользователей  
Системный администратор Группа бизнес приложений и безопасности  
Системный администратор Группа бизнес приложений и безопасности  
       
       
       

Внешние подрядчики

         

Информация о площадках

 

 

Расположение архивных копий

Сервер

Тип/Частота

Локально

Удаленно

Альтернативный

pmo-dc-05v Export DNS Zones

по субботам

C:\Windows\System32\dns\backup \\pmo-fs-04   \pmo-dc-05v \mmddyyyy_hhmmss

 

На ленте
pmo-dc-05v Full Backup

ежедневно

Выделенный диск \\pmo-fs-04   \pmo-dc-05v \mmddyyyy_hhmmss На ленте
pd-dc-01v Export DNS Zones

по средам

C:\Windows\System32\dns\backup \\pd-fs-03\pd-dc-01v\mmddyyyy_hhmmss\ На ленте
pd-dc-01v Full Backup

ежедневно

Выделенный диск \\pd-fs-03\pd-dc-01v\mmddyyyy_hhmmss\ На ленте

Процедуры восстановления

Процедура восстановления сервиса осуществляется в 2 фазы:

1. Регистрация инцидента

  • уведомление об инциденте

 

2. Процесс восстановления

Регистрация инцидента

При возникновении инцидента, описанного в плане восстановление сервиса, необходимо уведомить 6911 о проблеме, перечислить бизнес системы, которые затронуты и времени восстановления.

Тип инцидента Бизнес системы Время   восстановления
Потеря леса/домена AD,   1C, RDS, Axapta, BOB, LEOS, Confluence, Jira ~ 12 часов
Восстановление объектов AD: OU, учетные записи, группы Зависит от удаленного объекта ~ 30 минут
Восстановление DNS зоны office.example.ru Все в зоне office.example.ru ~ 30   минут

Процесс восстановления

В зависимости от типа инцидента, предусмотрено несколько сценариев восстановления:

Потеря леса/домена

Данный сценарий восстановления необходимо рассматривать в случаях если:

  • все контроллеры домена были логически или физически повреждены
  • ни один из контроллеров не реплицируется со своими партнерами
  • Active Directory была скомпрометирована
  • умышленное или случайное расширение схемы вредоносными или несовместимыми изменениями
  • установлено вредоносное ПО на всех контроллерах домена
  • невозможно установить новый контроллер домена в любом домене

План действий:

Ответственный

Действия

SA-AD-01 выяснить с каким случаем мы имеем дело
SA-AD-01 определить какую резервную копию необходимо   использовать для восстановления
SA-AD-02 запретить входящую и исходящую репликацию на   контроллере, на котором будет осуществляться восстановление (или выключить   все контроллеры домена, кроме одного, на котором будет осуществляться   восстановление). Восстановление необходимо осуществлять в следующем порядке: Forest Root Domain DC > Parent Domain DC > Child Domain DC, например – dc1.root.domain.ru > dc2.office.domain.ru > dc3.child.office.domain.ru. В нашем случае это – pd-dc-01v или pmo-dc-05v
SA-AD-01 восстановить резервную копию
SA-AD-01 используя ntdsutil почистить метаданные   выключенных контроллеров на восстановленном контроллере и захватить все роли
SA-AD-01 удалить записи выключенных контроллеров в DNS на   восстановленном контроллере
SA-AD-01 удалить записи выключенных контроллеров в AD Sites and Services на   восстановленном контроллере
SA-AD-01 сбросить пароли для компьютерной учетной записи   восстановленного котроллера, трастов, учетной записи krbtgt, учетной записи Administrator дважды
SA-AD-02 проверить логи восстановленного контроллера и убедиться,   что проблемы отсутствуют
SA-AD-01 разрешить входящую и исходящую репликацию
SA-AD-01, SA-AD-02 установить AD DS на новых серверах
   
   

Запретить/разрешить входящую и исходящую репликацию

Запретить исходящую репликацию:

repadmin /options имя_dc +DISABLE_OUTBOUND_REPL

Запретить входящую репликацию:

repadmin /options имя_dc +DISABLE_INBOUND_REPL

Разрешить исходящую репликацию:

repadmin /options имя_dc -DISABLE_OUTBOUND_REPL

Разрешить исходящую репликацию:

repadmin /options имя_dc -DISABLE_INBOUND_REPL

Восстановление резервной копии

Для восстановления контроллера домена необходимо перегрузить сервер, во время загрузки нажать F8 и выбрать «Repair your computer». После загрузки оболочки восстановления ввести DSRM пароль (есть в базе паролей).

При восстановлении архивной копии с выделенного локального диска необходимо выбрать «System Image Recovery»:

 

При восстановлении архивной копии по сети необходимо выбрать «Command Prompt» и сконфигурировать сетевой интерфейс:

1. инициализировать сетевой интерфейс командой wpeinit

2. просмотреть список интерфейсов netsh interface ipv4 show interfaces

 

3. прописать  адрес

netsh interface ipv4 set address name=»Local Area Connection» static x.x.x.x 255.255.255.0 y.y.y.y

 

4. далее выбираем «System Image Recovery» > «Select image» > «Search for a system image on the network»

 

В качестве пути указываем:

\\pd-fs-03.office.example.ru\pd-dc-01v \mmddyyyy_hhmmss

или

\\pmo-fs-04.office.example.ru\pmo-dc-05v \mmddyyyy_hhmmss

Чистка метаданных и захват ролей

На восстановленном контроллере необходимо удалить записи старых контроллеров.

  1. открыть cmd
  2. выполнить команду ntdsutil
  3. выполнить команду metadata cleanup
  4. выполнить команду connection
  5. выполнить команду connect to server localhost
  6. выполнить команду quit
  7. выполнить команду select operation target
  8. выполнить команду list domains и выбрать нужный домен select domain 0
  9. выполнить команду list sites и выбрать сайт select site 1
  10. выполнить команду list servers in site и выбрать сервер, данные о котором необходимо удалить select server 1
  11. выполнить команду quit
  12. выполнить команду remove selected server
  13. выбрать yes для подтверждения
  14. выполнить шаги 7-13 для остальных контроллеров
  15. выполнить команду quit несколько раз для возврата в cmd
  16. проверить, что все роли были переданы восстановленному контроллеру командой netdom query fsmo

Во время удаление утилита ntdsutil предложит захватить роли удаляемого сервера. Если по каким-то причинам захват роли не произошел, то необходимо выполнить:

  1. запустить ntdsutil
  2. выполнить команды roles, connections, connect to server localhost, quit
  3. захватить роль seize имя_незахваченной_роли (pdc, infra master, rid master, schema master, naming master

Сброс паролей

Пароли необходимо сбросить два раза для каждой учетной записи и трастов.

Для сброса пароля учетной записи контроллера необходимо выполнить:

netdom resetpwd /Server:имя_восстановленного_dc  /UserD:office\administrator /PasswordD:*

Для сброса пароля учетных записей office\krbtgt и office\administrator необходимо воспользоваться оснасткой ADUC.

Восстановление объектов AD: OU, учетные записи, группы

Для домена office.example.ru включен функционал Active Directory Recycle Bin, при помощи которого можно восстановить объекты типа OU, учетная запись или группа. При восстановлении учетной записи или группы из корзины, также восстанавливается членство в группе.

Для восстановления учетной записи необходимо выполнить (на примере удаленной учетной записи t-user-03):

Get-ADObject -Filter {SamAccountName -eq «t-user-03»} -IncludeDeletedObjects | Restore-ADObject

Для восстановление группы необходимо выполнить (на примере удаленной группы G_Test):

Get-ADObject -Filter {SamAccountName -eq «G_Test»} -IncludeDeletedObjects | Restore-ADObject

Для восстановление OU с вложенными объектами необходимо выполнить (на примере удаленной OU=Users,OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru с учетными записями в OU):

Get-ADObject -SearchBase «CN=Deleted Objects,DC=office,DC=example,DC=ru» -Filter {lastKnownParent -eq «OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru»} -IncludeDeletedObjects | Restore-ADObject

… далее восстанавливаются вложенные объекты в восстановленной OU Users

Get-ADObject -SearchBase «CN=Deleted Objects,DC=office,DC=example,DC=ru» -Filter {lastKnownParent -eq «OU=Users,OU=RU.MO,OU=Offices,DC=office,DC=example,DC=ru»} -IncludeDeletedObjects | Restore-ADObject

Восстановление DNS зон

В случае удаления всех записей в DNS зонах office.example.ru и _msdcs.office.example.ru необходимо:

1. удалить зону

2. создать новую зону типа «Primary» (выбрать «Store the zone in Active Directory») с таким же именем

3. при создании выбрать опцию «Use this existing file»

4. переименовать архивный файл зоны из «имя.dns.bkp» в «имя.dns»

5. выбрать этот файл для импорта

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: