Recuperación ante desastres de Active Directory con DPM

Tengo una especie de pregunta catch-22 aquí.

Supongamos que estoy usando Microsoft System Center Data Protection Manager (2010 o 2012, funciona de la misma manera) para hacer una copia de seguridad, entre otras cosas, de mi entorno de Active Directory (como en "Estado del sistema de mis controladores de dominio").

Entonces, se produce una pérdida completa del centro de datos. Tengo que comenzar de nuevo en hardware nuevo, solo tengo mis copias de seguridad en cinta disponibles porque se almacenaron fuera del sitio. Así que compro algunos servidores nuevos, una nueva biblioteca de cintas, un nuevo almacenamiento, etc.

Ahora, todos saben (o deberían saber) que para realizar una recuperación de desastres de Active Directory necesito al menos restaurar el estado del sistema de un controlador de dominio; por supuesto, esto puede ser ... complicado si necesito restaurarlo en un hardware diferente del servidor original, pero también supongamos que este punto está cubierto.

Sin embargo, y aquí está el truco, DPM necesita Active Directory para que funcione ; ni siquiera se instalará en un servidor independiente. Pero, por supuesto, se necesita un servidor DPM que funcione para recuperar esas copias de seguridad de las cintas.

¿Cómo puedo restaurar mi entorno de Active Directory comenzando solo con nuevos servidores y copias de seguridad de cinta DPM?

Nota: el uso de controladores de dominio virtual y la copia de seguridad de las máquinas virtuales completas podría facilitar la restauración, pero en realidad no cambia la pregunta en absoluto: todavía se necesita un entorno de trabajo de AD para incluso instalar DPM.

Hasta ahora, he podido idear el siguiente procedimiento, pero realmente espero que haya una forma más simple:

• Instale el sistema operativo en un nuevo servidor
• Cree un nuevo dominio "ficticio" y haga del servidor su controlador de dominio
• Instale el sistema operativo en un segundo servidor
• Únete al servidor al dominio "ficticio"
• Instale DPM en el segundo servidor y conéctelo a la biblioteca de cintas.
• Restaurar la base de datos DPM (*)
• Encuentre la cinta con una copia de seguridad del estado del sistema de un controlador de dominio
• Restaurar la copia de seguridad del sistema en una ubicación de red
• Deseche todo excepto la copia de seguridad restaurada
• Instale el sistema operativo en el nuevo controlador de dominio
• Restaurar la copia de seguridad del estado del sistema en el nuevo controlador de dominio
• Verifique que el AD restaurado funciona correctamente
• Instale el sistema operativo en el nuevo servidor DPM
• Unir el nuevo servidor DPM al dominio restaurado
• Instale DPM en el nuevo servidor DPM y conéctelo a la biblioteca de cintas.
• Restaurar la base de datos DPM
• Comience a restaurar todo lo demás de acuerdo con su plan de DR

Esta solución es torpe, larga y algo incómoda, pero debería funcionar; Mi única preocupación es restaurar la base de datos DPM por primera vez (el paso marcado con (*) en la lista), porque no sé si esto podría funcionar cuando se ejecuta en un dominio AD diferente. Si esto no funciona, entonces la única solución sería importar manualmente la cinta que contiene la copia de seguridad del estado del sistema de un DC ... y buena suerte para encontrarla si tiene copias de seguridad de tamaño decente.
Pero, por supuesto, esto también se aplica a la búsqueda de la copia de seguridad de la base de datos DPM en primer lugar ...

Respaldamos el servidor DPM por separado (a través de la tarea esquematizada por la línea de comandos) semanalmente y diariamente la base de datos DPM.

De esa forma podemos arrancar el servidor DPM desde copias de seguridad administradas que no sean DPM, y el inicio de sesión funciona con credenciales de dominio en caché. Entonces puedo comenzar a restaurar copias de seguridad "reales" de nuestra biblioteca de cintas virtual.

Esto funciona porque el servidor DPM utiliza una base de datos local con inicio de sesión local, porque queríamos que la unidad fuera lo más independiente posible. Si su servidor usa una base de datos remota, esto puede no funcionar para usted.

Haga una copia de seguridad de sus DC en Azure. Es extremadamente barato (100GB cuesta $ 10 / mes) y súper fácil de usar. Entonces la recuperación de AD solo requiere lo siguiente:

• acceso a su suscripción de Azure: no debería ser un problema
• la frase de contraseña utilizada para cifrar las copias de seguridad de Azure: guárdela fuera del sitio, en su pendrive donde almacena las claves SSH / BitLocker / etc., o algo así

Luego puede recuperarse en un Windows Server temporal completamente nuevo sin ningún dominio (nuevo o existente) involucrado. Así es, no necesita unirlo a ningún dominio. El procedimiento se ve así:

1. Ir a Azure / Servicios de recuperación

2. Abra la Bóveda de respaldo apropiada

   • Descargue Azure Backup Agent para Windows Server
   • Descargar credenciales de Vault

3. Instalar agente en el servidor temporal

4. Asistente de registro del servidor

   • especificar credenciales descargadas
   • Generate Passphrase <- guárdelo, aunque no debería ser demasiado importante ya que este servidor es solo para uso temporal

5. Inicio / Copia de seguridad de Microsoft Azure / Recuperar datos

6. Asistente para recuperar datos

   • Otro servidor / especifique las credenciales descargadas nuevamente
   • Seleccione Servidor de respaldo / (su antiguo servidor DPM)
   • Buscar archivos
   • El almacenamiento de VM se especificará como rutas completas en lugar de nombres descriptivos, pero funcionará de todos modos
   • Una vez que seleccione los datos para recuperar, le pedirá la frase de contraseña que utilizó en el servidor OLD DPM para cifrar sus cosas en la nube, por lo que es absolutamente necesario que realice una copia de seguridad externa de esta frase de contraseña. Si no lo tienes, estás arrugado.

Y eso es. Lo he probado, funciona :)