Особенности архивации и восстановления виртуализированных контроллеров домена

Обновлено: Апрель 2011 г.

Назначение: Windows Server 2008, Windows Server 2008 R2, Windows Virtualization

Архивация контроллеров домена является критически важным требованием для любой среды. Резервные копии защищают от потери данных в случае ошибки администрирования или сбоя контроллера домена. В таких случаях необходимо выполнить откат состояния системы контроллера домена на момент времени, предшествующий сбою или ошибке. Поддерживаемый способ восстановления работоспособного состояния контроллера домена состоит в использовании приложения архивации, совместимого с Active Directory, например системы архивации данных Windows Server, для восстановления резервной копии состояния системы, созданной из существующей установки контроллера домена. Дополнительные сведения об использовании системы архивации данных Windows Server с доменными службами Active Directory см. в статье "Пошаговое руководство по архивации и восстановлению данных в доменных службах Active Directory" (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=138501.

Определенные требования операций восстановления Active Directory приобретают дополнительную значимость при использовании технологии виртуальных машин. Например, при восстановлении контроллера домена с помощью копии файла виртуального жесткого диска (VHD-файл) пропускается критически важный шаг обновления версии базы данных контроллера домена после его восстановления. Репликация будет продолжена с несоответствующими номерами отслеживания, следствием чего станет база данных, несогласованная между репликами контроллеров домена. В большинстве случаев эта проблема останется незамеченной системой репликации и сообщений об ошибках не будет, за исключением несогласованностей между контроллерами домена.

Имеется два поддерживаемых способа осуществления резервного копирования и восстановления виртуализированного контроллера домена.

  1. Выполнение системы архивации данных Windows Server в операционной системе на виртуальной машине.

  2. Выполнение системы архивации данных Windows Server на узле. Это действие вызывает модуль записи службы теневого копирования томов (VSS) операционной системы на виртуальной машине, чтобы обеспечить выполнение резервного копирования надлежащим образом.

Как было отмечено выше, контроллеры домена, функционирующие на виртуальных машинах, имеют функциональные ограничения, которых нет для контроллеров домена, работающих на физических компьютерах. При архивации и восстановлении виртуального контроллера домена нельзя использовать некоторые возможности программного обеспечения виртуализации и приемы работы.

  • Не копируйте и не клонируйте VHD-файлы контроллеров домена вместо создания обычных резервных копий. В случае копирования или клонирования VHD-файла он становится устаревшим. Если затем VHD-файл запускается в обычном режиме, может возникнуть несоответствие данных репликации в лесу. Необходимо выполнить надлежащие операции архивации, поддерживаемые доменными службами Active Directory, например используя систему архивации данных Windows Server.

  • Не используйте моментальный снимок как резервную копию для восстановления виртуальной машины, настроенной в качестве контроллера домена. При возврате виртуальной машины в предыдущее состояние возникнут проблемы с репликацией. Дополнительные сведения см. в разделе Приложение A: виртуализированные контроллеры домена и проблемы репликации. Несмотря на то что использование моментального снимка для восстановления контроллера домена только для чтения не приведет к возникновению проблем репликации, этот способ восстановления все равно не рекомендуется.

Необходимо регулярно архивировать состояние системы для восстановления контроллера домена в случае его сбоя. Состояние системы содержит файлы журналов и данные Active Directory, реестр, системный том (папка SYSVOL) и различные элементы операционной системы. Это требование в равной степени относится к контроллерам домена, функционирующим на виртуальной машине или на базовом оборудовании. Процедуры восстановления состояния системы, реализуемые приложениями архивации, совместимыми с Active Directory, разработаны таким образом, чтобы обеспечивать согласованность локальных и реплицированных баз данных Active Directory после завершения процесса восстановления, включая уведомление партнеров по репликации о сбросах значения атрибута invocationID. Однако использование виртуальных сред размещения и приложений создания образов операционных систем или дисков позволяет администраторам обходить проверки и контроль данных, которые, как правило, выполняются при восстановлении состояния системы контроллера домена.

В случае сбоя виртуальной машины, выполняющей роль контроллера домена, и отсутствия отката номера последовательного обновления (USN) имеется два поддерживаемых варианта восстановления виртуальной машины.

  • Если имеется действительная резервная копия данных состояния системы, созданная до момента сбоя, можно восстановить состояние системы, выбрав параметр восстановления в средстве архивации, использованном для создания этой резервной копии. Резервную копию данных состояния системы необходимо создать с помощью средства архивации, совместимого с Active Directory, в течение периода существования отметки полного удаления, который по умолчанию составляет не более 180 дней. Резервное копирование контроллеров домена необходимо выполнять по меньшей мере один раз в течение половины периода существования отметки полного удаления. Дополнительные сведения об определении периода существования отметки полного удаления для конкретного леса см. в статье "Определение времени существования отметки полного удаления для леса" (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=137177).

  • Если имеется рабочая копия VHD-файла, но отсутствует резервная копия состояния системы, существующую виртуальную машину можно удалить. Восстановите существующую виртуальную машину, используя имеющуюся копию VHD-файла, но запускайте ее обязательно в режиме восстановления служб каталогов (DSRM) и настройте надлежащим образом реестр, как описано в следующем разделе. После чего перезапустите контроллер домена в обычном режиме.

Чтобы определить оптимальный способ восстановления виртуализированного контроллера домена, воспользуйтесь процессом, изображенным на следующем рисунке.

Восстановление контроллера домена с возможностью записи в виртуализации Hyper-V

Процесс восстановления и принимаемые решения проще для контроллеров домена только для чтения.

Восстановление контроллера домена «только для чтения» в виртуализации Hyper-V

Если имеется действительная резервная копия состояния системы виртуальной машины, настроенной в качестве контроллера домена, можно безопасно восстановить резервную копию, следуя процедуре, определяемой средством архивации, использованным для создания резервной копии VHD-файла.

ImportantВажно
Чтобы надлежащим образом восстановить контроллер домена, необходимо запустить его в режиме DSRM. Необходимо предотвратить запуск контроллера домена в обычном режиме. Если вы пропустили возможность войти в режим DSRM во время запуска системы, отключите виртуальную машину, настроенную в качестве контроллера домена, прежде чем завершится процедура ее запуска в обычном режиме. Важно запустить контроллер домена именно в режиме DSRM, поскольку при запуске контроллера домена в обычном режиме происходит увеличение значений его номеров последовательного обновления, даже если он отключен от сети. Дополнительные сведения об откате номера последовательного обновления см. в Приложение A: виртуализированные контроллеры домена и проблемы репликации.

  1. Запустите виртуальную машину, настроенную в качестве контроллера домена, и нажмите клавишу F5 для перехода к экрану диспетчера загрузки Windows. Если появился запрос ввода учетных данных подключения, немедленно нажмите кнопку Пауза на виртуальной машине, чтобы приостановить запуск. Затем введите учетные данные подключения и нажмите кнопку Воспроизведение на виртуальной машине. Щелкните мышью в окне виртуальной машины и нажмите клавишу F5.

    Если экран диспетчера загрузки Windows не появился и начался запуск контроллера домена в обычном режиме, отключите виртуальную машину, прежде чем завершится процедура запуска. Повторяйте эти действия до тех пор, пока не получите доступ к экрану диспетчера загрузки Windows. Из меню восстановления после ошибок Windows нет доступа к режиму DSRM. Поэтому, если появилось меню восстановления после ошибок Windows, попробуйте отключить виртуальную машину и включить ее вновь.

  2. На экране диспетчера загрузки Windows нажмите клавишу F8, чтобы перейти к меню дополнительных вариантов загрузки.

  3. В меню Дополнительные варианты загрузки выберите Режим восстановления служб каталогов и нажмите клавишу ВВОД. Произойдет запуск контроллера домена в режиме DSRM.

  4. Используйте подходящий способ восстановления для средства, которым создавалась резервная копия состояния системы. При использовании системы архивации данных Windows Server см. статью "Выполнение непринудительного восстановления доменных служб Active Directory" (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkID=132637).

Если отсутствует резервная копия данных состояния системы, созданная до момента сбоя виртуальной машины, можно использовать предыдущий VHD-файл для восстановления контроллера домена, выполняющегося на виртуальной машине. Если это возможно, создайте копию VHD-файла, чтобы при обнаружении сбоя в процедуре или при пропуске шага, можно было повторно выполнить все действия с копией VHD-файла.

ImportantВажно
  • Не следует рассматривать следующую процедуру в качестве замены регулярного создания резервных копий.

  • Операции восстановления, которые выполняются с помощью следующей процедуры, не поддерживаются Майкрософт и должны использоваться только в крайнем случае при отсутствии других вариантов.

  • Не используйте эту процедуру, если копия VHD-файла, который необходимо восстановить, используется в обычном режиме какой-либо виртуальной машиной.

  1. Используя предыдущий виртуальный жесткий диск, запустите виртуальный контроллер домена в режиме DSRM, как описано в предыдущем подразделе. Необходимо предотвратить запуск контроллера домена в обычном режиме. Если экран диспетчера загрузки Windows не появился и начался запуск контроллера домена в обычном режиме, отключите виртуальную машину, прежде чем завершится процедура запуска. Подробные инструкции для входа в режим DSRM см. в предыдущем подразделе.

  2. Откройте редактор реестра. Чтобы открыть редактор реестра, нажмите кнопку Пуск, выберите команду Выполнить, введите regedit, а затем нажмите кнопку ОК. Если появится диалоговое окно Управление учетными записями пользователей, убедитесь, что в окне указано нужное действие, и выберите ответ Да. В редакторе реестра разверните следующий путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. Найдите значение с именем DSA Previous Restore Count. Если это значение задано, запишите его. Если значение отсутствует, то по умолчанию оно равно нулю. Не добавляйте значение, если оно не отображается.

  3. Щелкните правой кнопкой мыши раздел Параметры, выберите команду Создать, а затем — пункт Параметр DWORD (32 бита).

  4. Введите новое имя Database restored from backup (база данных, восстановленная из резервной копии) и нажмите клавишу ВВОД.

  5. Дважды щелкните мышью созданное значение, чтобы открыть диалоговое окно Изменение параметра DWORD (32 бита) и введите 1 в поле Значение. Параметр Database restored from backup (база данных, восстановленная из резервной копии) доступен на контроллерах домена, на которых выполняется Windows 2000 Server с пакетом обновления 4 (SP4), Windows Server 2003 с установленными обновлениями, перечисленными в статье 875495 базы знаний Майкрософт (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=137182) и Windows Server 2008.

  6. Перезапустите контроллер домена в обычном режиме.

  7. После перезапуска контроллера домена откройте средство просмотра событий. Чтобы открыть окно просмотра событий, нажмите кнопку Пуск, выберите пункт Панель управления, дважды щелкните значок Администрирование, а затем дважды щелкните значок Просмотр событий.

  8. Разверните узел Журналы приложений и служб и выберите журнал Службы каталогов. Убедитесь, что в области сведений отображаются события.

  9. Щелкните правой кнопкой мыши журнал Службы каталогов и выберите команду Найти. В поле Что найти введите 1109 и нажмите кнопку Найти далее.

  10. Должна отображаться по меньшей мере запись события с кодом 1109. При отсутствии такой записи перейдите к следующему шагу. В противном случае дважды щелкните запись и прочитайте текст, который должен подтверждать, что был обновлен атрибут InvocationID.

    Active Directory has been restored from backup media, or has been configured to host an application partition. 
    The invocationID attribute for this directory server has been changed. 
    The highest update sequence number at the time the backup was created is <время>
    
    InvocationID attribute (old value):<предыдущее значение InvocationID>
    InvocationID attribute (new value):<новое значение InvocationID>
    Update sequence number:<номер последовательного обновления>
    
    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.
    
    
  11. Закройте окно просмотра событий.

  12. В редакторе реестра убедитесь, что значение параметра DSA Previous Restore Count равно предыдущему значению, увеличенному на 1. Если это значение не равно предыдущему значению, увеличенному на 1, и не удается найти запись события с кодом 1109 в средстве просмотра событий, убедитесь, что пакеты обновлений для контроллера домена являются актуальными на текущую дату. Эту процедуру нельзя повторно выполнять для того же VHD-файла. Можно повторить попытку для копии VHD-файла или для другого VHD-файла, который не запускался в нормальном режиме, начав с шага 1.

  13. Закройте редактор реестра.

См. также

Добавления сообщества

ДОБАВИТЬ
Показ: