Создание копии промышленного экземпляра Active Directory / Эллес для целей тестирования

Необходимость в создании полной или частичной копии экземпляра Active Directory (AD) / Эллес, находящегося в промышленной эксплуатации, может возникать, например, в следующих случаях:

  • перед внедрением Эллес у клиента с работающим в промышленной среде экземпляром AD требуется убедиться в работоспособности решения, включая совместимость с используемыми клиентом информационными системами, отладить процесс внедрения, настроить интеграции и выполнить иные подготовительные действия;

  • при развертывании или эксплуатации Эллес в промышленной среде возникает проблема или ошибка, требующая дополнительного тестирования для локализации и поиска решения;

  • перед обновлением программного обеспечения на контроллерах домена в промышленной среде требуется протестировать новые версии;

  • перед внедрением новой информационной системы или обновлением существующей требуется проверить работоспособность интеграций с Эллес.

Созданная копия может развертываться в инфраструктуре клиента либо (после выполнения всех требуемых действий по обезличиванию данных и смене секретов) в сетях «Т1 Иннотех» или компании-интегратора.

Полнота копии

Степень полноты копии относительно исходного экземпляра AD/Эллес зависит от решаемой задачи и возможностей инфраструктуры клиента.

Минимальная копия может включать один контроллер домена. Например, такая копия является достаточной для проведения анализа данных каталога.

В некоторых случаях копия должна повторять часть сетевой топологии или доменной иерархии. Например, такая частичная копия может потребоваться для анализа проблем или сценариев внедрения, на которые влияет структура сайтов и подсетей или иерархия доменов леса.

Полная копия, максимально повторяющая промышленный экземпляр по всем параметрам, включая сетевые настройки и сетевое окружение, может потребоваться, например, если выявлена проблема при репликации между контроллерами домена в разных подсетях и необходимо воспроизвести ее в тестовой среде.

Способы получения копии данных домена

Для получения копии данных домена могут использоваться следующие способы:

  1. В домен в промышленной среде вводится новый контроллер. После завершения репликации данных контроллер отключается и переносится в тестовую среду. В домене в промышленной среде удаляются данные, относящиеся к выведенному контроллеру.

  2. С помощью штатных утилит создается резервная копия контроллера домена в промышленной среде. Из созданной резервной копии в тестовой среде восстанавливается контроллер домена.

  3. Используются инструменты клонирования операционной системы:

    • если контроллер домена развернут на виртуальной машине, клонируется виртуальная машина и полученный клон включается в состав тестовой среды;

    • если контроллер домена в промышленной среде развернут на физическом выделенном сервере, возможны два варианта:

      • клонирование жесткого диска с последующей установкой клона на новом физическом сервере в тестовой среде;

      • клонирование жесткого диска в виде образа для развертывания на виртуальной машине с последующим созданием виртуальной машины на основе полученного образа в тестовой среде.

Подготовка данных копии

При переносе в тестовую среду данные из промышленного контура могут проходить дополнительную обработку.

Обеспечение согласованности

Поскольку AD является распределенной системой с multimaster-репликацией, а также сложной иерархической и географической структурой (распределенные по разным географическим локациям леса доменов), для обеспечения согласованности данных при создании «снимков» с нескольких контроллеров домена требуются дополнительные действия.

Возможны следующие варианты:

  1. Блокировка возможности изменения данных на всех контроллерах домена на время создания «снимка». Например, для этого контроллеры (как минимум — все контроллеры RWDC) могут быть физически выключены, после чего выполняется клонирование.

  2. Восстановление согласованности в тестовой среде. Например, для этого может использоваться функциональность авторитативного восстановления (Authoritative Restore), позволяющая принудительно привести данные на всех контроллерах в согласованное состояние.

Обезличивание

Если это необходимо для соблюдения требований по защите персональных данных, при переносе в тестовую среду могут выполняться действия по обезличиванию данных каталога (см., например, раздел «Обезличивание данных Active Directory с очисткой корзины»).

Смена секретов

На контроллере домена хранятся секретные ключи / пароли или хэши секретных ключей учетных записей компьютеров, входящих в домен, доменных и локальных пользователей, сервисных и специальных учетных записей.

Для соблюдения требований безопасности после создания «снимков» могут быть выполнены следующие действия:

  • принудительная смена всех секретов в промышленной среде;

  • принудительная смена всех секретов в тестовой среде после ее развертывания.

Дополнительная настройка копии

Для обеспечения более точного соответствия условиям работы экземпляра AD/Эллес в промышленной среде после развертывания тестовой среды может потребоваться дополнительная настройка.

Сетевые настройки

Если при клонировании не удается полностью воспроизвести настройки промышленной среды, в тестовой среде необходимо соответствующим образом отредактировать настройки сетевых подключений, DNS-записи, относящиеся к контроллерам домена, настройки подсетей в сайтах, правила брандмаэуров и т. д.

Роли серверов

Если при создании тестовой среды не используются «снимки» контроллеров домена с FSMO-ролями, необходимо принудительно назначить соответствующие FSMO-роли выбранным для этого контроллерам.

Аналогично для роли глобального каталога — может потребоваться включить данную роль на других контроллерах домена.

Примеры сценариев создания копии

На Рис. 1 представлена схема леса AD, состоящего из одного родительского и двух дочерних доменов. В каждом домене контроллеры распределены по нескольким сайтам — от двух до четырех контроллеров на сайт.

forest example
Рис. 1. Пример леса доменов

Рассмотрим несколько вариантов создания копии экземпляра AD/Эллес для целей тестирования.

Полная копия леса доменов

Чтобы получить полную копию леса доменов, необходимо создать «снимки» всех работающих в нем контроллеров домена одним из доступных способов.

Для достижения максимальной степени полноты копии необходимо, чтобы «снимки» были согласованными. Если при этом могут использоваться те же IP-адреса, что и в промышленной среде, после развертывания всех контроллеров из «снимков» тестовая среда будет готова к работе без дополнительных действий.

Если отсутствует возможность получить согласованные «снимки» контроллеров домена, требуется провести авторитативное восстановление контроллеров в каждом домене. При этом следует учитывать, что в ходе такого восстановления будут обновлены данные на всех контроллерах, что снизит степень полноты соответствия полученной копии исходному состоянию в промышленной среде.

Частичная копия леса доменов

Процесс создания частичной копии зависит от задач тестирования. Например, если необходимо воссоздать иерархию и топологию леса, то возможен следующий сценарий развертывания тестовой среды (он соответствует сценарию восстановления леса после аварии):

  1. В промышленной среде с помощью штатных средств ОС Windows Server создается резервная копия одного контроллера из каждого домена. Например, создаются резервные копии следующих контроллеров: dcmainc1, dcmainsc1 и dcspbdc1.

  2. В тестовой среде выполняется восстановление домена company.local:

    1. Из резервной копии восстанавливается контроллер dcmainc1.

    2. Сетевые настройки контроллера dcmainc1 приводятся в соответствие с настройками сети в тестовой среде.

    3. Контроллеру dcmainc1 назначаются все FSMO-роли.

    4. На контроллере dcmainc1 удаляются записи остальных контроллеров домена company.local.

    5. Создаются новые контроллеры в сайтах Main и MSK домена company.local.

  3. В тестовой среде выполняется восстановление домена systems.company.local:

    1. Из резервной копии восстанавливается контроллер dcmainsc1.

    2. Сетевые настройки контроллера dcmainsc1 приводятся в соответствие с настройками сети в тестовой среде.

    3. Контроллеру dcmainsc1 назначаются все FSMO-роли.

    4. На контроллере dcmainsc1 удаляются записи остальных контроллеров домена systems.company.local.

    5. Создаются новые контроллеры в сайтах Main, MSK и SPB домена systems.company.local.

  4. В тестовой среде выполняется восстановление домена departments.company.local:

    1. Из резервной копии восстанавливается контроллер dcspbdc1.

    2. Сетевые настройки контроллера dcspbdc1 приводятся в соответствие с настройками сети в тестовой среде.

    3. Контроллеру dcspbdc1 назначаются все FSMO-роли.

    4. На контроллере dcspbdc1 удаляются записи остальных контроллеров домена departments.company.local.

    5. Создаются новые контроллеры в сайтах Main и MSK домена departments.company.local.

  5. Прочие настройки доменов и леса приводятся в соответствие с промышленной средой. Например:

    • если в промышленном среде FSMO-роли распределены между несколькими контроллерами, аналогичное распределение воспроизводится в тестовой среде;

    • если в промышленном среде используются особые настройки репликации между сайтами и т. п., аналогичные настройки выполняются в тестовой среде.

Следует учитывать, что полученная тестовая среда будет лишь частично соответствовать промышленной. Например, при таком сценарии не удастся воспроизвести проблему или ошибку, затрагивающую только данные контроллера домена dcspbdc2, так как поврежденные данные не попадут в тестовую среду.

Копия одного контроллера домена

Копии одного контроллера домена достаточно, например, для задач тестирования совместимости определенной информационной системы с контроллером домена Эллес.

Если планируется, что в промышленной среде новая информационная система будет работать с контроллерами домена в сайте Main домена systems.company.local, то возможен следующий сценарий развертывания тестовой среды:

  1. В промышленной среде создается резервная копия контроллера домена dcmainsc1.

  2. В тестовой среде выполняется восстановление контроллера из полученной резервной копии.

  3. Из домена удаляется вся информация о других контроллерах.

  4. При необходимости изменяются сетевые настройки.

  5. В домен вводится контроллер Эллес (операция join).

  6. Выполняется настройка взаимодействия тестового экземпляра информационной системы с контроллером домена Эллес.