第 4 章 使用虚拟机快照恢复数据丢失

流程

1. 引导 CA 副本虚拟机所需的快照。

2. 将复制协议删除任何丢失的副本。

   [root@server ~]# ipa server-del lost-server1.example.com
   [root@server ~]# ipa server-del lost-server2.example.com
   ...

   Copy to Clipboard Toggle word wrap
3. 安装第二个 CA 副本。请参阅 安装 IdM 副本。
4. VM CA 副本现在是 CA 续订服务器。红帽建议在环境中提升另一个 CA 副本，以充当 CA 续订服务器。请参阅更改和重置 IdM CA 续订服务器。
5. 通过部署带有所需服务（CA、DNS）的额外副本来重新创建所需的副本拓扑。请参阅安装 IdM 副本
6. 更新 DNS 以反应新的副本拓扑。如果使用 IdM DNS，则会自动更新 DNS 服务记录。
7. 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端。

验证

1. 以 IdM 用户身份成功检索 Kerberos ticket-granting ticket，在每个副本中测试 Kerberos 服务器。

   [root@server ~]# kinit admin
   Password for admin@EXAMPLE.COM:
   
   [root@server ~]# klist
   Ticket cache: KCM:0
   Default principal: admin@EXAMPLE.COM
   
   Valid starting       Expires              Service principal
   10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
   10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM

   Copy to Clipboard Toggle word wrap

2. 通过检索用户信息，测试每个副本上的 Directory 服务器和 SSSD 配置。

   [root@server ~]# ipa user-show admin
     User login: admin
     Last name: Administrator
     Home directory: /home/admin
     Login shell: /bin/bash
     Principal alias: admin@EXAMPLE.COM
     UID: 1965200000
     GID: 1965200000
     Account disabled: False
     Password: True
     Member of groups: admins, trust admins
     Kerberos keys available: True

   Copy to Clipboard Toggle word wrap

3. 使用 ipa cert-show 命令测试每个 CA 副本上的 CA 服务器。

   [root@server ~]# ipa cert-show 1
     Issuing CA: ipa
     Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
     Subject: CN=Certificate Authority,O=EXAMPLE.COM
     Issuer: CN=Certificate Authority,O=EXAMPLE.COM
     Not Before: Thu Oct 31 19:43:29 2019 UTC
     Not After: Mon Oct 31 19:43:29 2039 UTC
     Serial number: 1
     Serial number (hex): 0x1
     Revoked: False

   Copy to Clipboard Toggle word wrap