La mayoría de las organizaciones han virtualizado todo sus controladores de dominio (DC) de AD. Los DC virtualizados tienen sus ventajas en ventajas, pero también introducen riesgos que no existían con los servidores físicos. Uno de estos riesgos es la tentación de utilizar instantáneas del hipervisor (un punto en el tiempo VM imagen) para copias de seguridad de AD.
No lo hagas.
Seamos claros: Aunque Microsoft admite hipervisor de hipervisor desde Windows Server 2012 (es decir, no romperán AD como que en versiones anteriores del sistema operativo), todavía no se recomiendan. Y especialmente no se recomiendan para bosque desastres recuperación forestales.
En un bosque AD en todo el bosque, el objetivo es devolver AD al servicio como rápidoly y fiablely como sea posible. Un evento de recuperación forestal de gravedad 1 no es como una recuperación de prueba en su laboratorio. Lo más probable es que sea la situación de TI más estresante de su vida, con la dirección de nivel C respirando en la nuca de su equipo porque la mayor parte o la totalidad del negocio estará fuera de servicio. Cada minuto de interrupción le costará a su organización decenas o cientos de miles de dólares.por lo que cada uno ahorrado es precioso.
Con este objetivo en mente, veamos las deficiencias de utilizar instantáneas del hipervisor para restaurar AD:
- Un bosque restaurado a partir de instantáneas tendrá difíciles problemas de coherencia de datos. Oatualización de objetos y atributos replicación entre DCs es interminableuna partición rara vez está sincronizadaronizada (es decir las actualizaciones están completas y todos los DC contienen la misma información). Debido a este comportamiento, instantáneas de un DC casi seguro contendrán información inconsistente relativa a los otros DCs que están siendo instantaneados. Por lo tanto, una restauración de estos DCs creará casi con toda seguridad objetos persistentes en particiones tanto de escritura como de sólo lectura. Un objeto persistente AD es un objeto que está presente en un DC pero que ha sido eliminado y recolectado (es decir, ha desaparecido por completo) de otros DCs, creando un problema de consistencia en la partición del directorio y el catálogo global. Si sus DCs no tienen activada la consistencia de replicación estrictalos objetos remanentes se replicarán a otros DCs. Y si todavía está ejecutando Windows Server 2008 / R2, podría inducir un rollback USN en su bosque.
El soporte de escalado de Microsoft afirma que "Los problemas de objetos persistentes son los problemas de replicación de Active Directory más difíciles de resolver y se escalan rutinariamente a través de múltiples niveles de soporte. Por término medio, se tarda el doble en resolver un problema de objetos persistentes que un problema medio de replicación de Active Directory, debido a la complejidad que conlleva su solución"."
Ta única forma viable de realizar instantáneas sin crear objetos persistentes u otros problemas es apagar todo el bosque primero. ¿Está dispuesto a incurrir en los apagones que cierranting su bosque creará? ¿Dispone de los conocimientos y el tiempo necesarios para acabar con los objetos persistentes que probablemente resultarán de la restauración de una instantánea? si no lo hace?
- Si había malware en los DCs en el momento de la instantánea, sólo estás restaurando el malware. Dado que una instantánea contiene toda la máquina virtual, cualquier malware que estuviera en la VM se restaurará también. será restaurado también.
- Los servidores que no restaures desde snapshot, deberás reconstruirlos. Restauración de menos DCs desde snapshots disminuye la posibilidad de problemas descritos anteriormente. Pero eso significa que el bosque inicial para dar soporte a la empresa será más pequeño (por tanto probablemente sobrecargado) y el proceso de reconstrucción de losos DC restantes será manual (por tanto, llevará más tiempo y estará sujeto a más errores).
- La recuperación de instantáneas es sólo el principio. Una vez que su bosque semilla esté restaureddebe pasar por el largo proceso de recuperación del bosque. Inclusosi ha creado scripts para automatizar la limpieza de metadatos o de DNS, debe actualizarlos cada cada vez que cambie la topología de AD. Si algo falla en el proceso y deberá empezar de nuevo. ¿Has creado y probado un proceso manual de recuperación manual -¿preferiblemente con los jefes gritándote al oído?
- En instantáneas mismas pueden ser vulnerables a ataques malware. Si se almacenan en la ubicación predeterminada del host, son tan vulnerables al cifrado de malware como la propia máquina virtual de CC.
- Es probable que el equipo de AD no controle sus copias de seguridad. Suele ser el grupo de operaciones de virtualización, no el equipo AD, que controla VM snapshots. Esto delega una función crítica de recuperación de desastres a un equipo que generalmente no sabe nada sobre Active Directory y puede que no reconozca la extrema sensibilidad de sus copias de seguridad.
Las instantáneas de hipervisor pueden ser una estrategia de recuperación ante desastres viable para entornos pequeños en los que se puede apagar toda la recuperación del bosque de AD mientras se toman. Pero este enfoque no es escalable y es muy propenso a errores. Recuerde que el objetivo es volver a poner AD en línea de la forma más rápida y fiable posible, ya que su organización estará en modo de crisis.
