V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kyonn
V2EX  ›  Windows

如何最小代价备份域控?

  •  
  •   kyonn · 14 天前 · 1778 次点击
    • 常规肯定是搞个备份域控机器, 对家用来说性价比不高. 由于域控的特殊性, 直接快照备份又是不可行的.
    • 本来就算域控挂了, 重装下也没什么, 但多半域账号映射到 linux 的 uid 会变化.

    有没有比较可行的办法?

    21 条回复    2024-12-15 20:44:49 +08:00
    COW
        1
    COW  
       14 天前
    控制面板 - 备份与还原
    busier
        2
    busier  
       14 天前
    不是~~架设额外域控制器要命吗?

    就算挂了,额外域控夺取一下主控角色操作很难吗~~!
    busier
        3
    busier  
       14 天前
    开个虚拟机,无 gui 的 Windows 域控占用不了几个内存

    最小资源开销,也可以用 samba 跑域控

    或则 PVE Lxc 容器虚拟机里面跑 TurnKey Domain Controller 做域控
    kyonn
        4
    kyonn  
    OP
       14 天前
    @busier 现在就是虚拟机跑的, 架个额外域控要再弄台硬件, 多个维护. 如果可以单域控,, 但是能在硬件挂了后恢复到新硬件上就比较好. 因为域控直接从快照恢复会有问题, 不知道有什么更好的办法
    kyonn
        5
    kyonn  
    OP
       14 天前
    @COW 这个对域控有用吗? 我试过快照是有问题的,, windows 原生的备份不知道对域控有没有限制.
    busier
        6
    busier  
       14 天前
    @kyonn 你说的会有问题大概率是域控制器默认下发全域策略是默认开启了定期修改 Machine Account Password 的(好像是 25 天一改),如果碰巧客户机与域控制器同步修改了 Machine Account Password ,而你域控制器或客户机快照又还原成改之前的,那么客户机就会与域控制器失去联络。

    在域安全策略里面禁用这个功能,并确保此策略的下发生效!
    COW
        7
    COW  
       14 天前 via Android
    @kyonn 有用,快照和备份是不同概念,快照只存状态,备份才会产出数据副本
    hefish
        8
    hefish  
       13 天前
    家用都要用域控啦,这个家族规模大啊。。。膜拜
    samli12
        9
    samli12  
       13 天前
    总共才多少数据量,写个脚本完事,下次再导入进去不就完了
    PrinceofInj
        10
    PrinceofInj  
       13 天前
    @busier #2 夺取 FSMO 简单,但是等到挂了后在建,SID 一定会变化。
    PrinceofInj
        11
    PrinceofInj  
       13 天前
    之前看过介绍,启用 server 的 serber backup 功能,然后备份的时候勾选 系统状态,备份后可以将域控正常备份。当然,只是见过,没有测试过到底能不能还原。
    life90
        12
    life90  
       13 天前
    Windows 的域控实在不建议在家里用。你用 Linux 下的 LDAP 比这个好,如果只是做认证的话。当然你有别的用途当我没说。
    kyonn
        13
    kyonn  
    OP
       13 天前
    @PrinceofInj 好的, 试试
    kyonn
        14
    kyonn  
    OP
       13 天前
    @life90 ldap 也用的, 不折腾的话所有认证都本地一套其实也可以的, 就是折腾
    kyonn
        15
    kyonn  
    OP
       13 天前
    不是这个问题. 域控有跟时间相关的状态, 快照恢复到历史的时间点不能用的, 具体关键词是啥忘了.
    NewYear
        16
    NewYear  
       13 天前
    域控真的不建议单独部署,因为域控本来就是为了方便。

    上面看你说本来就是虚拟机,建议 2 个方法。
    1 、另外再建一个域控并作为额外域控(作为备份),并每天自动开机一会同步数据,自动关机
    2 、Windows 自带的备份是可以定时备份域控服务器的,你可以搜一下教程。如果怕硬盘坏掉,可以备份到移动硬盘里(长期插一个)。

    再搭配一个脚本确认备份情况,失败或者意外则发邮件提醒你。
    NewYear
        17
    NewYear  
       13 天前
    也可以买个二手低配板子,搭建额外域控,整体一百来块肯定够,每天开机一小会,一年都废不了多少电费。

    总之,域控这玩意绝对不应该单独跑,低成本搭建一个额外域控才是最靠谱的,软硬件坏掉都不影响 AD 域的功能。
    kyonn
        18
    kyonn  
    OP
       13 天前
    @NewYear 域控不建议单独部署, 这个单独部署, 单独跑 是什么呢?
    本来就是虚拟机, 再建个虚拟机跑额外域控, 应该作用不大, 本然防的就是这台虚拟机硬件坏了. windows 自带备份我研究下看看.

    弄额外板子搭建域控, 这个每天开机一会是为了同步吧, 这个同步时间有什么明确的标准吗.
    NewYear
        19
    NewYear  
       13 天前
    @kyonn

    因为域控最基础的就是账号授权,主打的就是一个方便,账号崩了,其他关联的系统的服务都得崩。但是大家普遍建服务器都是单节点,到了这个我就说不建议单独部署呢,因为域控部署额外域控太方便了,自动形成集群,不用管理谁是主谁是从,一台坏了另一台还能正常服务,毫无影响,用户无感知,一定时间内修好坏的就行,再启动如果有滞留的信息也会再次同步。。。。除非主服务器真的挂了,彻底挂了,就要手动进行抢夺,但也仅仅是手动操作一下,后续建立一个新的域控服务器又是集群了。

    用其他的备份方式都没有起一台额外域控方便,因为域控是作为基础设施存在的,没必要在这里冒险,中断服务的体验非常差。
    每天开机一会是为了同步数据,没有具体要求,可以在开机跑个 bat 脚本,同步完数据就关机就可以了,基本上都是非常快的,域控需要同步的数据很少,比整机备份、C 盘备份快太多。

    PS:在企业内大多数情况下,服务器应用都是单节点为主,因为集群配置太麻烦,也有一些运行条件(比如要准备第二套服务器的硬件资源),有时候还要做必要的维护(多个服务器数据不一致了难搞),停机维护就代表要和大家岔开上班时间贼麻烦。。。。。但是域控服务器这点非常优秀,几乎零配置,零管理。。。。中小企业网管最讨厌的就是停机维护,因为这代表别人上班你要上班,别人不上班的时候你还是要上班,所有基础的服务器应用里,域控在整个管理过程中都是不需要中断服务的,就是一个字,爽,大家上班我们也可以操作,一堆业务正在运行我也敢去运维,所以域控服务器往往是维护得最好的。。。

    其实很多企业的基础建设差,大多都是同一个原因“维护麻烦,时间冲突,不想下班再来加班搞”,,而更好的方案是搭建“集群”式的基础架构,想什么时候维护就什么时候维护,就是一个字,爽。。。
    kyonn
        20
    kyonn  
    OP
       12 天前
    @NewYear 感谢详细的解答. 一开始理解错了,, 以为说是备份域控不建议单独部署, 原来指的是域控服务不要单独部署, 多点部署自动形成集群, 比单点备份更方便.

    照这么说的话, 我感觉可以在 远程的一台 windows pc 上再起个虚拟机镜像, 跟主域控同步数据, 备份的域控可以随 pc 开机/关机.

    关于提到的起个 bat 脚本同步数据, 指的是 域同步服务( DSRM ):"repadmin /syncall" 来手动触发同步吗?
    NewYear
        21
    NewYear  
       12 天前
    @kyonn

    对,具体还可以做一些判断,比如判断同步是否出现了失败的情况,推送个邮件/通知啥的,不过这种功能要自己写。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2841 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 06:05 · PVG 14:05 · LAX 22:05 · JFK 01:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.