地震後的重建!——AD災難恢復!
阿新 • • 發佈:2020-10-20
Active Directory災難恢復之
網路拓撲重建
2008年5月12日 中午14:28分,中國四川省汶川縣發生了比<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1976年7月28日當時河北省唐山市地震還要強烈的里氏8.0級地震!隨後的幾分鐘,中國境內北京、甘肅、青海、寧夏、山西、陝西、河南、湖北、上海、廣州、重慶、雲南、山東、湖南、等超過20個省市以及中國比鄰的越南等鄰國均發生里氏4級以上餘震,區域性地區震級處5級以上,由於地震影響,通訊一度中斷,中央地震局在測知震情後,迅速通報中央,國家主席×××、×××總理×××等領導人得知災情後,立即成立 5.12震災應急指揮部,×××總理親自擔任總指揮,中共中央副主席×××、中央×××副總理×××擔任副指揮,並在第一時間做出重要批示!“不惜一切代價,要在第一時間內搶救災民,早到一分鐘,就多救出一條人命!”隨即各省市自治區、直轄市立即開展震災搶險工作,各企事業單位、中國紅十字基金會、演藝界等立即號召捐款救災,在災情發生一週內,負責收納震災捐款的各級銀行及紅十字基金會收到了僅中國境內的慈善捐款達160多億元人民幣,其中不乏個別人士的慷慨捐贈,被譽為慈善之父的國際巨星成龍大哥,更是以個人名義捐贈了 1000萬元人民幣!中國移動、聯通、小靈通隨即開通了手機捐贈平臺,全國人民拿起手機就能進行慈善救助,據抗震救災指揮部統計,各項捐款大多均已到位,這將對抗災救險提供有力保證!
截止2008年5月22 日19點,也就是震情發生後的第10天,疑難者已達51151人,四川地區餘震仍舊不斷,救災人員冒著生命危險毅然奔赴與抗震救災一線!至此,我們向我們的一線救災英雄,致以最崇高的敬意!你們是祖國人民的驕傲!
為儘快展開災後重建工作,各部門加大了力度,鄰近四川的各省市救災與災後重建同時展開,各企事業單位也隨即進入災後重建的佇列中,然而,各企業及部門在重建通訊網路的過程中,問題也隨即而來。
案例一:
某公司基本網路拓撲如下,內網有三臺域控制器,一臺為主域控制器,其餘兩臺為子域控制器,由於公司規模較小,DNS伺服器與主域控制器安裝在同一臺PC上,受震災影響,擔任主域控制器的PC被完全物理損毀,內網負責管理的伺服器就剩兩臺子域控制器,現在公司要求最快速度還原出網路拓撲,從而進一步重建其它服務,接到求助後,第一時間規劃出還原方案。
根據之前受傷的該公司管理員描述後,我們用Microsoft ISA2004實驗室的Microsoft Virtual PC 2007虛擬機器,以及其中的3套Virtual PC:Florence、Firenze和Berlin來模擬出此次災難恢復的實驗環境,Florence擔任物理損毀的主域控制器,它的角色曾是操作主機、DNS伺服器以及全域性編錄伺服器,其次用Firenze和Berlin來承擔域中兩臺倖免於難的子域控制器。
首先架構公司震前的網路環境,新建itet.com域,域中部署主域控制器Florence和兩臺子域控制器Firenze和Berlin,(具體部署辦法這裡不在陳述,我的部落格中有博文介紹,歡迎閱讀),環境構建好後,我們關閉Florence,並讓其不在出場,下面開始我們AD災難恢復之旅。
開始實驗前我們先勾畫出實驗完成後所要求的目的
1 重建好DNS伺服器
2 轉移操作主機角色
3 重建全域性編錄伺服器
4 AD中清除報廢的主域控制器物件
5 最後,重建的主域控制器於子域控制器間擁有正確的複製拓撲而且能正常複製連結
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
·實施計劃:
(一)角色規劃
.由於公司以給出明確要求:“恢復好的網路拓撲將直接並永久用於公司內網”。所以我們必須要將主域控制器角色以及操作主機角色、全域性編錄伺服器角色交予子域控制器中的其中一臺來承擔,它將替代Florence的所有角色,之前小張描述過,Firenze的硬體效能略好於Berlin,並且我們用於替代Florence角色的PCServer將永久擔當這一角色,所以我們決定用Firenze這臺子域控制器來替代Florence,另外由於PC資源緊張並且公司規模較小,負載較輕,DNS伺服器就將架設於Firenze中,Firenze最終將擔任Florence的所有角色。
(二)環境模擬
我們在VPC中搭建好原來的網路架構
1.DNS伺服器Florence中建立好名為ITET.com的域
2.IP及DNS地址配置
Florence為192.168.11.101;
Firenze為192.168.11.102;
Berlin為192.168.11.108;
DNS:均指向DNS伺服器Florence: 192.168.11.101.
3.Florence作為主域控制器、DNS伺服器、全域性編錄伺服器、操作主機。
4.Firenze和Berlin作為該域的兩臺子域控制器。
5.搭建好災前的網路環境後,我們將Florence關機,並讓其不在出場。
6.這時我們在重新啟動Firence和Berlin,重啟進入系統後展開各自AD中的站點和服務項,嘗試能否複製拓撲,如圖,出現如下提示
如上圖:域控制器間互相複製拓撲時,出現RPC伺服器不可用的錯誤,至此,災難狀態模擬成功!接下來我們開始實施重建。
(三)災難重建
(1). DNS伺服器重建
1.把Firenze和Berlin的DNS伺服器地址指向將要擔任DNS伺服器的Firenze:192.168.11.102如圖:
將Firenze: DNS伺服器地址指向自己:192.168.11.102
將Berlin: DNS伺服器地址指向Firenze:192.168.11.102,下圖
2.Firenze上開始安裝DNS服務,下圖
掛入適合當前作業系統的OS映象,Firenze為原版2003,因此掛入原版2003的Iso,然後Win+R執行sysocmgr /i:sysoc.inf開啟Windows組建安裝嚮導,安裝DNS服務。
點選確定開始安裝
提示安裝完成,點選完成退出
DNS安裝完畢,接下來我們新建一個正向主要查詢區域ITET.com
3.新建正向主要查詢區域
我們Win+R執行dnsmgmt.msc開啟DNS管理介面,在正向查詢區域上點選右鍵,然後選擇新建區域,進入新建區域嚮導
選擇新建主要區域,在這裡我們要注意下,如上圖,在最末行我們看見了一項預設打鉤的“在AD中儲存區域”的選項,我們需要去掉這個鉤後在點選下一步,因為待會兒重建DNS需要區域檔案,我們去掉這個鉤,區域檔案將存貯在本地計算機,方便隨後的重建操作。
我們去掉這個鉤,然後繼續下一步進行配置,上圖
出現定義區域名稱嚮導介面,我們輸入模擬原公司域名的實驗域名ITET.com,然後點選下一步,出現下圖提示