Dela via

AD Forest Recovery – Vanliga frågor och svar

Det här dokumentet innehåller vanliga frågor och svar om skogsåterställning:

Vad kan jag göra för att påskynda återställningen?

Även om återställningshastighet inte är det primära målet i den här guiden kan du uppnå kortare återställningstider genom att:

  • Skapa en detaljerad skogsåterställningsplan, uppdatera den regelbundet och öva den i en simulerad testmiljö med rimlig storlek minst en gång om året.
  • Utför en fullständig säkerhetskopia av Windows Server Backup som tillhandahåller både återställning utan operativsystem (BMR) eller en systemtillståndsåterställning.
  • Använda kloning av virtualiserad domänkontrollant (DC). Virtualiserad DC-kloning påskyndar processen för att få ytterligare domänkontrollanter distribuerade för att återställa den ursprungliga bandbredden för domäntjänster. Domänkontrollanter som körs efter att en domänkontrollant har återställts från en säkerhetskopia i varje domän, eftersom det är en icke-autentativ återställning, måste PDC-emulatorn också vara tillgänglig under kloningen. De ytterligare virtualiserade domänkontrollanterna kan klonas i stället för att vänta på att potentiellt långa AD DS-installationer ska slutföras och att icke-kritisk replikering ska slutföras efter installationen. Skogar där virtuella domänkontrollanter finns i ett relativt litet antal välanslutna datacenter kan ha störst nytta av kloning under återställningen. Alla miljöer där flera virtualiserade domänkontrollanter för samma domän samlokaliseras på samma hypervisor-värd bör dock vara till nytta.
  • Använd Install From Media IFM för att minska den tid som krävs för fullständig replikering genom att minska replikeringstrafiken, eftersom endast deltat replikeras. Det möjliggör också snabb installation av flera domänkontrollanter.
  • Om du använder komplexa scenarier för fjärrplatser (sällsynta): -** Installera AD DS på en eller flera servrar på en hubb eller mellanlagringsplats** och skicka dem sedan till fjärrplatsen.
    • Implementera säkerhetskopierings-/återställningsprocedurer för domänkontrollanter med dålig/tillfällig anslutning, utöver de domänkontrollanter som har angetts som primära system för säkerhetskopiering och haveriberedskap (BDR) på primära datacenterplatser. Du måste lägga till steg för att synkronisera de återställde domänkontrollanterna på andra platser med huvuddatacentrets domänkontrollanter. Det gör du genom att ange en domänkontrollant som referens för datorkontot och endast där låta KDCSVC köras. På de andra domänkontrollanterna som du återställde följer du stegen i Återställ domänkontrollantens lösenord med Netdom.exe
  • Distribuera skrivskyddade domänkontrollanter (RODC) RODC:er kan ge affärskontinuitet under återställningsprocessen eftersom de inte behöver kopplas från nätverket som skrivbara domänkontrollanter gör. RODC utför inte utgående replikering. Därför utgör de inte samma risk som skrivbara domänkontrollanter utgör för att replikera skadliga data tillbaka till den återställda miljön.

Andra faktorer som påverkar varaktigheten för skogsåterställningsprocessen är följande:

  • När domänkontrollanterna är virtuella datorer kan du dra nytta av återställning av ögonblicksbilder för att återställa en domänkontrollant till ett känt bra tillstånd. Detta är inte den rekommenderade metoden eftersom ögonblicksbilder som används för säkerhetskopior har ett antal varningar, till exempel tillgängligheten för diskutrymme för ögonblicksbilderna på den virtuella datorservern för att ha en användbar säkerhetskopieringshistorik. Vi rekommenderar starkt att du använder regelbundna säkerhetskopior som huvudmedel för återställning. Ögonblicksbilder av virtuella datorer kan hjälpa dig att återställa från problem efter känsliga ändringar, till exempel skogsomfattande uppdateringar som domänbyte eller stora schemauppdateringar. Not: Du måste markera SYSVOL som auktoritativ för DFSR manuellt när det behövs. Mer information om virtualiserad domänkontrollant finns i Virtualiserad domänkontrollantarkitektur.

  • När du återställer domänkontrollanter från säkerhetskopior tar det tid att hitta och hämta det fysiska säkerhetskopieringsmediet, till exempel band, installera om operativsystemet, beroende på återställningsscenariot, och återställa data från säkerhetskopieringsmedia.

    Note

    Du kan minska tiden som krävs för att installera om operativsystemet och återställa data från säkerhetskopian genom att utföra en BMR-återställning i stället för återställning av systemtillstånd. Eftersom bare metal-återställning är binärbaserad slutförs den mycket snabbare än återställning av systemtillstånd. Men om servern innehåller data som undantas från systemtillståndsdata som du inte vill återställa kanske återställning utan operativsystem inte är ett genomförbart alternativ till återställning av systemtillstånd. Överväg fördelarna med att utföra en fullständig serveråterställning i stället för en systemtillståndsåterställning för dina servrar specifikt och förbered därefter genom att utföra lämplig typ av säkerhetskopiering som du planerar att återställa senare. Allmän bästa praxis rekommenderar att du utför en fullständig säkerhetskopia som tillhandahåller både en BMR- eller systemtillståndsåterställningstyp.

    • När du återskapar domänkontrollanter genom replikering tar det tid att replikera data för nätverksbaserade kampanjer. Du kan minska den tid som krävs för att återställa domänkontrollanter genom att placera den nya domänkontrollanten i samma undernät som partnern att höja upp. Detta minimerar fördröjningar som orsakas av nätverksrundtur och dataflöde.

  • Minska tiden för att hämta säkerhetskopieringsmedia genom att:

    • Använda Monteringsverktyget för Active Directory-databaser (Dsamain.exe) för att identifiera den bästa säkerhetskopieringen som ska användas för återställningsåtgärder. Mer information om hur du använder Monteringsverktyget för Active Directory-databaser finns i steg-för-steg-guiden för Monteringsverktyget för Active Directory-databas.
    • Märka säkerhetskopieringsmediet tydligt och lagra mediet på ett organiserat sätt på en bekväm men säker plats som möjliggör snabb hämtning. Kontrollera att du har giltiga autentiseringsuppgifter enligt dina säkerhetskopior.

  • Tvinga borttagningen av AD DS från domänkontrollanterna i stället för att installera om operativsystemet. Om orsaken till det skogsomfattande felet har identifierats som enbart inom AD DS-omfånget behöver du inte installera om operativsystemet på domänkontrollanterna. Mer information om hur du tvingar bort AD DS från en domänkontrollant finns i Tvinga borttagning av en Windows Server 2008-domänkontrollant (https://go.microsoft.com/fwlink/?LinkId=132627).

  • Använd snabbare bandenheter eller disksäkerhetskopior för att minska den tid som krävs för återställningsåtgärder. Företag som har ett mer aggressivt serviceavtal (SLA) kan överväga att ändra procedurerna för skogsåterställning för att påskynda återställningen.

Kan jag automatisera skogsåterställningsprocessen?

På grund av skogens komplexa och kritiska karaktär finns det för närvarande ingen automatisering från slutpunkt till slutpunkt. Skogsåterställningsprocessen är mer en logistisk och organisatorisk utmaning när det gäller att återställa affärskontinuitet än ett tekniskt problem med processautomatisering. Därför bör den person som administrerar miljön skapa en skogsåterställningsplan som är specifik för den miljön och sedan automatisera delar av den som kan automatiseras.

Du kan utföra de flesta av skogsåterställningsstegen med hjälp av kommandoradsverktyg. Därför är de flesta stegen skriptbara. Är till exempel Ntdsutil.exe ett av de vanligaste verktygen i skogsåterställningsprocessen.

Även om skript kan påskynda återställningen måste du testa skripten noggrant innan du tillämpar dem i en verklig miljö. Du måste också uppdatera dem enligt ändringar i Active Directory-miljön, till exempel tillägg av en ny domän eller domänkontrollant eller en ny version av Active Directory.

Next steps