Назад | Перейти на главную страницу

Резервное копирование / восстановление Active Directory без DSRM

Я пытаюсь создать резервную копию своего локального контроллера домена на AWS для аварийного восстановления. При локальном запуске нормально работает резервное копирование состояния системы и восстановление через DSRM. К сожалению, сервер в DSRM не загружается в AWS (ситуация, которая вряд ли разрешится), поэтому я ищу другие варианты.

Я очень мало разбираюсь в Active Directory, так как по профессии я разработчик программного обеспечения. Я видел много предложений по созданию еще одного реплицированного зеркала в AWS. Моя проблема в том, что мне нужно держать два экземпляра (DC и шлюз / VPN) и VPN, чтобы это работало постоянно, а не просто потреблять небольшой кусок S3. Если нет способа для репликации AD работать с чрезвычайно прерывистым сетевым подключением, я не думаю, что это сработает для меня.

Другой вариант, который я видел, - это IFM, создающий пользовательский установочный носитель для удаленного сайта, который содержит базу данных AD. Во всем, что я там читал, говорится, что для этого домена должен быть виден еще один DC, прежде чем его можно будет добавить как часть этого домена. Это невозможно, учитывая, что это для DR. Местный офис может быть недоступен.

Поэтому я ищу способ сделать резервную копию базы данных AD и восстановить ее на новом или существующем сервере изолированно от любых других контроллеров домена без использования DSRM. Это возможно?

Поскольку я не смог найти никаких хороших вариантов (SMTP кажется странным, смотрел свысока и никогда не использовался), я остановился на постоянно активном зарезервированном экземпляре t2.micro, который приносит мне менее 10 долларов в месяц. Он подключается обратно к офису через VPN, настроенный для удаленных сотрудников, и является простой целью репликации на новом сайте. Это достаточно дешево, чтобы работать, и достаточно простаивает, чтобы экземпляр t2.micro работал хорошо с максимальной квотой вычислений. Если я позволю AWS предоставить ему внешний IP-адрес, но затем заблокирую доступ только к офису, я смогу обойтись без запуска шлюза, работа которого в основном заключалась в NAT.