Serveur d'impression

Les instantanés DC de l'hyperviseur ne remplacent pas les sauvegardes Active Directory appropriées – Serveur d’impression

Le 8 mai 2020 - 6 minutes de lecture

La plupart des organisations ont virtualisé certains ou tout leur Contrôleurs de domaine AD. Les contrôleurs de domaine virtualisés ont leur avantages, mais ils introduisent également des risques qui n'existaient pas avec les serveurs physiques. Un de ceux-là des risques est la tentation de utiliser des instantanés d'hyperviseur (un moment VM image) pour Sauvegardes AD.

Non.

Soyons clairs: even cependant Microsoft prend en charge hyperviseur restauration d'instantanés depuis Windows Server 2012 – c'est-à-dire qu'ils ne casseront pas UN D comme ils pourrait dans les versions précédentes du système d'exploitation ils ne sont toujours pas recommandésje. Et ils sont surtout non recommandé pour forêt catastrophe récupération scénarios.

Dans un à l'échelle de la forêt Active Directory panne, l'objectif est de remettre AD en service comme rapidely et reliably que possible. Un événement de récupération de forêt de gravité 1 n'est pas comme une récupération de test dans votre laboratoire. Ce sera probablement la situation informatique la plus stressante de votre vie, la direction de niveau C respirant le cou de votre équipe car la plupart ou la totalité de l'entreprise sera en panne. Chaque minute de panne coûtera à votre organisation des dizaines ou des centaines de milliers de dollars– donc chaque une sauvé est précieux.

Avec ça objectif gardons à l’esprit les lacunes de en utilisant instantanés de l'hyperviseur restaurer Active Directory:

  • Une forêt restauré à partir d'instantanés aura du mal problèmes de cohérence des données. Omise à jour des bjects et des attributs rréplication entre les DC est sans fin; une partition est rarement synchroniserronized (c'est à dire. les mises à jour sont terminées et tout Les DC contiennent les mêmes informations). À cause de ce comportement, instantanés de un DC presque certainement contiennent des informations incohérentes par rapport aux autres contrôleurs de domaine en cours d'instantané. Donc, une restauration de ces contrôleurs de domaine créera presque certainement des objets persistants dans les partitions en écriture et en lecture seule. Un objet en attente AD est un objet qui est présent sur un contrôleur de domaine, mais qui a été supprimé et récupéré (c'est-à-dire qu'il a complètement disparu) à partir d'autres contrôleurs de domaine, créant un problème de cohérence dans la partition d'annuaire et le catalogue global. Si vos contrôleurs de domaine n'ont pas activé la cohérence de réplication stricteii, les objets persistants puis reproduire vers d'autres DC. Et si vous exécutez toujours Windows Server 2008 / R2, vous pouvez induire une restauration USNiii dans votre forêt.

    La prise en charge de l'escalade Microsoft indique que «Les problèmes d'objets persistants sont le problème de réplication Active Directory le plus difficile à résoudre et sont systématiquement signalés via plusieurs niveaux de support. En moyenne, il faut deux fois plus de temps pour résoudre un problème d'objet persistant que pour le problème de réplication AD moyen en raison de la complexité de son dépannage. iv"

    Til seul moyen possible de prendre des instantanés sans créer d'objets persistants ou d'autres problèmes est de fermer toute la forêt première. Veux-tu encourir la les pannes fermerting dans ta forêt va créer? Avez-vous les compétences et le temps nécessaires pour éliminer les objets persistants qui résulteront probablement d'une restauration instantanée si vous ne le faites pas?
  • Si un logiciel malveillant se trouvait sur les contrôleurs de domaine au moment de l'instantané, vous n'êtes restauration du malware. Puisqu'un instantané contient la machine virtuelle entière, tout malware qui se trouvait sur la machine virtuelle être également restauré.
  • Quels que soient les serveurs que vous ne restaurez pas à partir d’un instantané, vous devez reconstruire. Restauration de moins de contrôleurs de domaine à partir d'un instantanés diminue les chances de problèmes décrits ci-dessus. Mais cela signifie que votre forêt de semences pour soutenir l'entreprise sera plus petite (Donc probable surchargé) et le processus de reconstruction du rles DC restants seront manuels (prenez donc plus temps et être soumis à plus d'erreurs).
  • La récupération d'instantanés n'est qu'un début. Une fois que votre forêt de semences est restaurer, vous devez encore passer par le long processus de récupération des forêts. Même moiSi vous avez créé des scripts pour automatiser le nettoyage des métadonnées ou le nettoyage DNS, vous devez les mettre à jour tous les vous êtes vos changements de topologie AD. Obtenez quelque chose de mal dans le processus et vous devez tout recommencer. Avez-vous construit et testé une récupération manuelle des forêts processus – de préférence avec des managers qui crient à votre oreille?
  • le instantanés se peut être vulnérable aux logiciels malveillants attaques. S'ils sont stockés à l'emplacement par défaut sur l'hôte, ils sont tout aussi vulnérables au cryptage des logiciels malveillants que la machine virtuelle DC elle-même.
  • L'équipe AD ne contrôle probablement pas ses sauvegardes. C'est généralement les opérations de virtualisation groupe, pas l'équipe AD, cette les contrôles VM instantanés. Cela délègue une fonction critique de reprise après sinistre à une équipe qui ne connaît généralement rien d'Active Annuaire et peut ne pas reconnaître la sensibilité extrême de ses sauvegardes.

Les instantanés d'hyperviseur peuvent être une stratégie de reprise après sinistre réalisable pour les petits environnements où vous pouvez arrêter toute votre forêt AD pendant que vous prenez leur. Mais cette approche n'est pas évolutive et est fortement sujette aux erreurs. Rsouviens le but est d'apporter AD en ligne aussi rapidement et fiable comme tu peux parce que votre organisation sera mode crise.

Le post Hypervisor DC Snapshots No No Substitute for Proper Active Directory Backups est apparu en premier sur Semperis.

*** Ceci est un blog syndiqué de Security Bloggers Network de Semperis rédigé par Sean Deuby. Lisez l'article d'origine sur: https://www.semperis.com/blog/hypervisor-dc-snapshots-are-no-substitute-for-proper-active-directory-backups/

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.