Active Directory 分阶段恢复可实现更快的灾难恢复 - Microsoft 平台管理 - 博客 - Quest Community

2017 年，马士基大约 150 个在线域控制器在 NotPetya 攻击中作为附带损害被全部摧毁，所有依赖 Active Directory 进行身份验证的关键业务功能都停止了1。为了让这家航运巨头重新恢复运转，Maersk IAM 管理员完成了多项艰巨的任务，获取了唯一剩余的离线域控制器 (DC) 的副本，并在 Surface Pro 4 上恢复了一个 DC。2他们所需要的只是一台在线的 DC，即使不是在最理想的硬件上，也可以让灾难恢复过程的其余部分继续进行。

这篇文章将重点介绍为什么 Maersk 方法以及任何优先考虑关键域控制器恢复的 IT 灾难恢复计划可以让 Active Directory (AD) 管理员更好地控制恢复过程，允许关键服务更快地开始其恢复选项，并能够更快地登录关键业务功能。分阶段恢复过程也是 Microsoft 恢复完全无法访问的 Active Directory 林的最佳实践。

什么是 Active Directory 的分阶段灾难恢复计划？

在 Microsoft Windows Server 联机文档中，它们介绍了如何还原整个 Active Directory 林。它们介绍了如何确定要使用哪些备份，您可以在我的上一篇文章中了解可用于灾难恢复规划的各种备份 Active Directory 方法。

但是，考虑到实际的恢复过程（一旦您选择了备份），Microsoft 建议为每个域配备一个专用 DC，该 DC 是灾难恢复策略中的首选 DC，以便简化恢复过程和可靠性计划并执行森林恢复3。我将在下一节中详细解释为什么会这样。

为了支持整个 Active Directory 灾难的分阶段恢复，Active Directory 灾难恢复版的 Quest Recovery Manager 允许您在第一阶段执行初始恢复，以使林尽快发挥作用，从而为您购买更多第二阶段森林结构全面恢复的时间。

• 第 1 阶段：执行初始恢复
  对每个域中的一个或多个域控制器执行还原。

• 第二阶段：重新部署剩余的 DC
  通过升级恢复剩余的域控制器

Active Directory 分阶段恢复的优点

依赖关系！ AD 的分阶段恢复很重要的根本原因是依赖链。如果 AD 关闭，则用户无法进行身份验证以进行工作。如果 AD 和关键应用程序受到损害，则在 AD 恢复之前无法恢复这些关键应用程序。分阶段恢复确实可以简化恢复过程，因为这意味着几分钟、几小时、几天甚至几周之间的差异。

您是否要在开始其他恢复过程之前完美恢复整个 AD 林？不。如果您有灾难恢复计划，您将恢复到 Surface Pro 4 或更理想的备用硬件。你会向好的方向发展，而不是完美的。第二阶段是您进行完美计划的机会。

在所述灾难恢复计划中，您将定义 AD 恢复时间目标 (RTO) 和恢复点目标 (RPO) 的参数。 RPO 将定义备份和复制 AD 的频率，而 RTO 将定义在组织的容忍限度内需要恢复应用程序的速度。 RTO 应优先考虑首先恢复哪些 DC，以保持业务正常运转。

让我用一个场景来阐明这一点。假设您有两个域，称为域 A 和域 B。

• 域 A 有 3 个 DC，分布在北美各地
• 域 B 有 10 个 DC，分布在北美和欧洲

勒索软件攻击并破坏两个加密磁盘的域。域 A 中的所有 3 个 DC 和域 B 中的所有 10 个 DC 物理上无法访问。

这意味着 Active Directory 已关闭，并且依赖它的所有关键应用程序和用户也已关闭。

因此，在我们的场景中，Active Directory 灾难恢复计划的第一阶段将从域 A 恢复 1 个 DC，例如位于总部的 DC，也可能从域 B 恢复 2 个 DC，例如地理位置重要的数据中心中的 DC。

之所以这样做，是因为借助Active Directory 灾难恢复版恢复管理器等解决方案，您可以在大约一个小时内从干净的备份（扫描恶意软件）自动恢复这 2 个关键 DC，从而扫清了道路用于 IT 灾难恢复计划流程的其余部分。 一小时 - 给予或接受取决于您制定和实践业务连续性计划的程度。

即使远程办公室的某些连接速度很慢，关键是他们仍然可以执行工作，而两个域中的其他 DC 在第 2 阶段恢复（以及更快的连接速度）。

通过Active Directory 灾难恢复版恢复管理器重新升级模式，如果某些区域已准备好升级其 DC，而其他区域尚未准备好，则 AD 管理员还可以根据需要多次运行第 2 阶段。

长话短说

恢复 Active Directory 林灾难可以简化还原过程、快速启用登录并减少其他关键应用程序开始还原过程所需等待的时间。确定每个域中至少一个主域控制器，以便在恢复方案中确定优先级。快速将这些内容放到网上，获取交易，然后才将注意力转向不太重要的 DC。先追求好的，再追求完美。

Quest Recovery Manager for Active Directory Disaster Recovery Edition 可自动执行分阶段恢复过程，甚至允许您根据需要多次运行第 2 阶段。请继续关注此博客，了解如何在第 2 阶段使用 IFM 自动化并加速 DC 推广。

资料来源：

1：https://www.wired.com/story/notpetya-cyberattack-ukraine-Russia-code-crashed-the-world/
2：https://gvnshtn.com/maersk-me-notpetya/
3：https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-确定-how-to-recover