Резервная копия контроллера домена
 

Коллеги, здравствуйте!

Уже довольно давно с серверов, в том числе контроллеров домена, снимаем образы с помощью стороннего ПО - Acronis True Image. Негласный порядок восстановления такой - разворачиваем DC из образа, накатываем актуальный System State (который снимается ежедневно)... И надеемся что это правильный порядок... Один раз нас этот порядок уже подвел - на BDC (для которого порядок создания резервной копии точно такой же) теперь не стартует автоматом служба Netlogon, приходится пинать руками.
На microsoft изучал данное явление, USN rollback и тому подобное, также помню что "категорически не рекомендуется использовать third-party средства"

Вопрос тогда такой - а если не сторонние средства, то что? Как правильно восстанавливать до текущего состояния? Ведь одним System State не обойтись ибо он ставится на уже развернутую систему... Неужели надо разворачивать операционку с нуля, потом dcpromo, а потом system state? А если на DC еще и другое ПО установлено, то процедура растягивается на очень и очень долго...

Каков правильный метод??

Большое спасибо

Вот именно поэтому и говорят, что контроллер домена должен исполнять только эту роль. ПОднять AD с бекапа суточной давности - не гарантия надежности.

ну так, все же чем снимать корректно бэкап?

восстановление второго контроллера.
установка голой ОСи + dcpromo

восстановление единственного конироллера

установка голой ОСи + dcpromo + восстановление SystemState в режиме DSRM

давайте так.
я конечно понимаю, что манипуляции со вторыми контроллерами это здорово.
но ведь роли добавленные есть на первом.
тут где-то писали про clonezilla. что это за вещь, алтернатива acronis будет ли ошибка?

И еще хотелось бы разобраться: где тут корень зла? В чем причина проблемы восстановления DC из образа?

Я так понимаю, что все вокруг руководствуются той самой рекомендацией майкрософт, или личным опытом, как я, столкнувшись с проблемами после восстановления.
Но ведь это всё следствия... В чем причины? Можно ли как-то побороть: исправить проблемы с kerberos, залезть в ldap и что-то поправить - должен же быть способ.

Особенно неясно, почему эта проблема возникает в уже "устаканившейся" среде, в которой изменений не происходит - пользователи не создаются, машины в домен не вводятся и т.д.

Так а какой период жизни копии AD? Минут 30, если не ошибаюсь... Пока сервер воткнули, пока накатили образ, пока то да се - прошло пару тройку часов... Образ уже не актуален. Подняли образ, 2 контроллера начали выяснять, что да как, да кто важнее, и т.п. Вот поэтому лучше всего в качестве копии AD работает дополнительный контроллер домена.
Для этой роли у меня 5 лет стабильно работал и умер только в том месяце Pentium 3 - 450 Mhz, 512 Mb DIMM с одним винтом. Дешево, сердито и никаких проблем.