Active Directory Disaster Recovery – kursdag 3

Startet dagen med å kjøre LAB med hvor temaet var object recovery. Dette kan gjøres på en av tre måter.

  • Authoritative restore
    Her tar vi en DC offline og booter i Active Directory Restore mode og henter tilbake data fra backup. Ved hjelp av verktøyet ntdsutil.exe setter vi dataene på et gitt object (OU, bruker, gruppe eller ett annet AD objekt) fra backupen som autoritativt. Teknisk sett gjøres dette ved å øke serienumrene på objektene slik at de opptrer som nyere enn de som finnes i produksjonskatalogen. Ting som skal spesielt følges nøye med på er forward-links og back-links på objekter under restore. Eksempler er member vs memberOf.
  •  Tombstone reanimation
    Når et objekt blir slettet i AD blir det flyttet til kontaineren “Deleted Objects” og alle uvesentlige attributter fjernes. Kun essensielle attributter blir liggende igjen, slik som SID, ObjectGUID og sAMAccountNAme.
    Fra deleted objects kan slettede objekter hentes tilbake (reanimation) ved å bruke LDP eller ADRestore fra Sysinternals. Siden attributtene er borte (deriblant userPassword) må de populeres på nytt. En måte er å bruke AD snapshot og kopiere attributter fra kopien over til produksjon vha f.eks powershell.
    Fordelen her er at vi slipper å ta en DC offline, men det er arbeidskrevende å restore mange objekter pga attributt kopieringen. Da kommer vi til rosinen i pølsa:
  • AD Recycle Bin.
    Ny funksjonalitet i Windows 2008 R2. Når du har fått skogen opp i Windows 2008 R2 Functional level kan AD Recyle bin enables. Den er avslått pr default og kan ikke disables etterpå. Enable av Recycle Bin medfører en økning på 20-40% i AD databasen, noe som kan påvirke ytelse og replikeringsmende. Den store fordelen er at ingen attributter slettes! Forward-links, back-links bevares, men settes til inaktive.
    Med AD Recyle bin tar det kun sekunder å restore noe som tok opptil en time med de foregående metodene.
    I vårt AD på UiT er Recycle Bin slått på!

Neste tema var DNS og DNS Recovery.  Foreleser Kostas (fra Hellas) gikk gjennom hvor avhenging AD er av DNS. Uten fungerende DNS => Inget AD.
Det tas backup av DNS ved System State og full backup, men det er tidkrevene å gjøre autoritative restores. For å unngå å kjøre autoritative restore kan vi bruke verktøyet DNSCMD.EXE til å eksportere DNS sonene til fil. Såvidt vi kunne se er disse filene på standard BIND format!

Skulle man da komme i den situasjon at en av sonene er borte eller blitt ødelagt ved enten en operasjonell feil eller en feil under scavenging tar det kjempekort tid å hente tilbake data vha DNSCMD og dens import funksjon. Eneste etterarbeid som må passes på er å sette tilbake eventuelle delegeringsrettigheter, scavenging/aging settings og dynamic update setting.

Siste tema i dag var Group policy recovery. Igjen en kort gjennomgang av hva GPO er og hva det brukes til. Vi så litt på hvor GPOobjektene lagres i AD, hvor linkene lagres på AD objekt (gpLink attributtet) samt fysisk på domenecontrolleren (SYSVOL share). Verktøy for å ta backup av GPOene er SystemState/Full backup eller alternative metoder som Export/Import funksjonene i Group Policy Management Console. I tillegg har Windows 2008 R2 fått powershell cmdlets om gjør det enda enklere å ta backup og kjøre restore av GPOer. Eneste catch er at linkene mellom OUene og GPOene IKKE tas med i backup. Dette må man være obs på og ha egne rutiner for å få satt de riktig tilbake. Spesielt viktig kan det være å få med prioriteringsrekkefølgede når en OU har mange GPOer.

Oppsummering av dagen; Mantra: Kjør bestandig system-state/Full backup. Men kjør også alternative backup strategier for raskere recovery. Jmfr DNSCMD sin export/import og GPO-Backup/-Restore.

I morgen, SYSVOL recovery.

Leave a Reply

Your email address will not be published. Required fields are marked *