Как аварийно восстановить Active Directory в Windows Server 2012
В день, когда я приступил к написанию этой статьи, по области Даллас Форт Уорт прошли 11 торнадо. К счастью, в нашем районе осадков выпало немного, однако это событие дало идею для статьи об аварийном восстановлении Active Directory и усовершенствованиях в этой области в Windows Server 2012 (ранее Windows Server 8).
Что касается средств аварийного восстановления Active Directory, реализованных в Server 2012, то я уже как-то упоминал о безопасных для виртуализации функциях, положительное влияние которых на процесс восстановления леса я осознал лишь во время выступлений специалистов группы Active Directory на встрече профессионалов MVP в 2012 году. Однако, прежде чем говорить об улучшениях, вспомним, что представляет собой аварийное восстановление в пространстве Active Directory.
Восстановление леса: редко, но возможно Active Directory отличает высокая отказоустойчивость в случае физических сбоев. Распределенная архитектура Active Directory позволяет создавать обновления на любом контроллере домена (DC) и реплицировать их на другие DC в этом домене или в лесу. При отказе DC или группы DC из-за локального перебоя с питанием или форс-мажорных обстоятельств это гарантирует сохранение работоспособности домена или леса при весьма незначительном влиянии на работу остальных пользователей.
Встречаются, однако, ситуации, когда может потребоваться восстановление леса. Сложности с корневым доменом леса, несоответствие обновлений схемы из-за проблем широкомасштабной репликации, существенные расхождения, вызванные откатом USN при выполнении восстановления образов виртуальных DC — все эти обстоятельства крайне редки, но они существуют. А поскольку основная деятельность вашей компании, несомненно, зависит от работоспособности Active Directory, то у вас на этот случай должен быть готовый план действий. Узнать о необходимости восстановления леса можно как минимум двумя путями. Длинный путь предполагает изучение списка всевозможных подобных ситуаций на TechNet. Коротким путем является получение соответствующих указаний от службы поддержки Microsoft (CSS), с которой вам в экстренном случае, скорее всего, придется общаться по телефону в течение многих часов.
Этапы восстановления леса
На верхнем уровне процедура включает несколько этапов. Отключив все DC поврежденного леса от сети, необходимо выполнить ряд предшествующих восстановлению подготовительных операций. На следующем этапе восстанавливаем по одному DC для каждого домена с использованием последнего исправного набора резервных копий (предполагается, что для каждого домена вы делаете резервные копии как минимум двух DC). Каждый восстановленный DC (начиная с корневого, если таковой имеется) подключаем к сети и получаем начальный лес с одним DC на каждый домен.
Созданный начальный лес необходимо как можно быстрее расширить, повышая роль Active Directory для существующих DC с нуля. Для подготовки DC к повышению роли с нуля я рекомендую воспользоваться командой Dcpromo/forceremoval вместо полной переустановки операционной системы. Ключ /forceremoval, по сути, лишает DC роли Active Directory, оставляя операционную систему нетронутой, что значительно ускоряет процесс, а это бывает немаловажно. Данный этап построения на сегодня представляет собой наиболее трудоемкую часть процесса восстановления леса, поэтому именно здесь важна оптимизация.
У Windows Server 2003 возможности оптимизации ограничиваются процедурными аспектами и режимом Install from Media у Dcpromo. Что касается процедур, то здесь существует множество возможностей ускорить восстановление леса, и, хотя техническая сторона не затрагивается, в чрезвычайных случаях продуманная организация особенно важна. Напомним, что в авральной ситуации, когда необходимо как можно быстрее восстановить работоспособность Active Directory, нет времени изучать материалы на TechNet и форумы сообщества ActiveDir, где обсуждаются оптимальные методы работы. У вас должны быть заготовлены отлаженные и проверенные процедуры, которым будут в точности следовать центральная группа Active Directory и удаленные офисы, чтобы восстановление имело упорядоченный характер, несмотря на стрессовые условия.
Ускорение процесса восстановления Active Directory
Оставив процедурный аспект за рамками обсуждения, поговорим о Dcpromo. Одно из основных действий процесса Dcpromo — создание и заполнение базы данных локальной службы каталогов DC. Способ осуществления этого действия зависит от того, какую версию Windows Server использует DC. Первый способ, поддерживаемый всеми версиями Windows, — репликация объектов Active Directory на других DC в домене. Этот метод хорош для обычного режима работы, но в чрезвычайной ситуации нельзя ставить процесс восстановления инфраструктуры аутентификации в зависимость от подключения к сети, надежности сети и возможности ее перегрузки.
Какие могут быть еще способы повышения роли? Все версии Windows Server после Windows 2000 поддерживают режим Dcpromo Install from Media (параметр/IFM), предусматривающий повышение роли нового DC с использованием резервной копии состояния системы в качестве источника для заполнения базы данных локальной службы каталогов. Преимущество Dcpromo/IFM состоит в независимости от сети и быстроте выполнения, которая особенно впечатляет в случае очень больших баз данных. В частности, в корпорации Intel использование режима /IFM позволило сократить длительность процесса Dcpromo, который при выполнении по сети длился 19 часов, до 10 минут.
Условием для применения этого варианта в аварийной ситуации является наличие набора нескольких рабочих вариантов состояния системы на несистемном разделе. Это требование необходимо выполнить для каждого DC, чтобы не зависеть от сети для выполнения копирования резервных копий состояния системы. Виртуализация предоставляет дополнительные возможности быстрого восстановления леса для текущих версий Windows Server, если вы достаточно осмотрительны.
Виртуализованные DC Active Directory нельзя восстанавливать из моментальных снимков или резервных копий на основе образов (то есть внешних резервных копий жестких дисков виртуальной машины), поскольку при этом могут возникнуть проблемы, описанные в статье «Running Domain Controllers in Hyper-V», опубликованной на TechNet. Мое общее правило при работе с Active Directory и виртуализацией звучит так: не делать с Active Directory ничего, что не могло бы иметь места в физической среде. Однако виртуализация все же позволяет ускорить развертывание леса.
Например, в случае сетевой конфигурации типа «звезда» (hub and spoke) можно создать общий образ виртуальной машины на сетевом хранилище с использованием загруженной на него рабочей резервной копии TFM, после чего клонировать этот образ несколько раз (прежде чем сделать его DC, что позволит избежать проблем виртуализации Active Directory). После этого выполняется Dcpromo/IFM на клонированных образах. Это позволит быстро получить несколько DC на общем сайте для обработки сетевой нагрузки, а филиалы при этом могут временно (до восстановления их DC) выполнять аутентификацию через глобальную сеть.
Ускорение восстановления леса в Windows Server 2012
В Server 2012 возможности упрощения процесса аварийного восстановления Active Directory основаны на функции клонирования виртуальных DC. Server 2012 Hyper-V (а скоро и VMware vSphere) передает виртуальным машинам уникальный идентификатор VM Gen ID, фиксирующий факт восстановления из моментального снимка или резервной копии на основе образа. При таком уведомлении DC может предпринять корректирующие меры, чтобы обеспечить дальнейшее правильное функционирование с другими DC в домене и лесу.
При наличии способности клонирования DC в случаях, когда понадобится быстро расширить начальный лес в процессе восстановления, достаточно будет клонировать начальные DC. В отличие от Server 2008 R2 и более ранних версий, процесс повышения ролей до DC становится ненужным, поэтому горизонтальное масштабирование Active Directory может проходить действительно очень быстро. Можно еще больше ускорить масштабирование, если в качестве временной меры использовать разностные диски.
После развертывания начального виртуального диска разница в его размере для последующих виртуальных DC очень мала (около 200 Кбайт), поэтому развертывание дополнительных DC в рамках масштабирования выполняется молниеносно. Напомним, что смысл первоначального масштабирования состоит в обеспечении достаточного числа работоспособных DC для поддержки операций аутентификации и авторизации, выполняемых пользователями, ресурсами и приложениями. Для возврата ситуации в нормальное русло необходимо закончить компоновку Active Directory в ее окончательной конфигурации.
Восстановление леса Active Directory, несомненно, занимает первое место в списке проблем, которые не дают покоя администраторам Active Directory, но при этом лишь немногие имеют готовый документированный план аварийных действий. Из этих немногих далеко не все провели активное тестирование плана, и лишь единицы тестируют его на регулярной основе. Server 2012 сделает процесс восстановления проще и быстрее, но лишь при условии выполнения предварительной трудоемкой работы.
Автор статьи: Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в кампании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows itPro, имеет звание MVP.