4.2. 在部分工作环境中从虚拟机快照中恢复

如果灾难会影响一些 IdM 服务器，而其他 IdM 服务器仍然可以正常工作，您可能需要将部署恢复到虚拟机 (VM) 快照中捕获的状态。例如，如果所有证书颁发机构 (CA) 副本都丢失，其他副本仍在正常工作，则需要将 CA 副本重新置于环境中。

在这种情况下，删除对丢失的副本的引用，从快照中恢复 CA 副本，验证复制和部署新副本。

先决条件

您已准备了 CA 副本虚拟机的虚拟机快照。请参阅使用虚拟机快照准备数据丢失的情况。

流程

删除到丢失的服务器的复制协议。请参阅卸载 IdM 服务器。
引导 CA 副本虚拟机所需的快照。

在恢复的服务器和任何丢失的服务器间删除所有复制协议。

ipa server-del lost-server1.example.com
ipa server-del lost-server2.example.com

[root@restored-CA-replica ~]# ipa server-del lost-server1.example.com
[root@restored-CA-replica ~]# ipa server-del lost-server2.example.com
...

Copy to Clipboard

Toggle word wrap

如果恢复的服务器对仍在生产中的任何服务器没有复制协议，请使用其它一个服务器连接恢复的服务器，以更新恢复的服务器。

ipa topologysegment-add

[root@restored-CA-replica ~]# ipa topologysegment-add
Suffix name: domain
Left node: restored-CA-replica.example.com
Right node: server3.example.com
Segment name [restored-CA-replica.com-to-server3.example.com]: new_segment
---------------------------
Added segment "new_segment"
---------------------------
  Segment name: new_segment
  Left node: restored-CA-replica.example.com
  Right node: server3.example.com
  Connectivity: both

Copy to Clipboard

Toggle word wrap

查看 /var/log/dirsrv/slapd-YOUR-INSTANCE/errors 中的 Directory 服务器错误日志，以查看快照中的 CA 副本是否与剩余的 IdM 服务器正确同步。
如果因为数据库太旧导致在恢复的服务器上复制失败，则重新初始化恢复的服务器。
```
ipa-replica-manage re-initialize --from server2.example.com
```
```
[root@restored-CA-replica ~]# ipa-replica-manage re-initialize --from server2.example.com
```
Copy to Clipboard Toggle word wrap
如果恢复的服务器上的数据库已被正确同步，请按照安装 IdM 副本的内容，使用所需服务（CA、DNS）部署额外副本来继续。

验证

以 IdM 用户身份成功检索 Kerberos ticket-granting ticket，在每个副本中测试 Kerberos 服务器。

kinit admin
klist

[root@server ~]# kinit admin
Password for admin@EXAMPLE.COM:

[root@server ~]# klist
Ticket cache: KCM:0
Default principal: admin@EXAMPLE.COM

Valid starting       Expires              Service principal
10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM

Copy to Clipboard

Toggle word wrap

通过检索用户信息，测试每个副本上的 Directory 服务器和 SSSD 配置。

ipa user-show admin

[root@server ~]# ipa user-show admin
  User login: admin
  Last name: Administrator
  Home directory: /home/admin
  Login shell: /bin/bash
  Principal alias: admin@EXAMPLE.COM
  UID: 1965200000
  GID: 1965200000
  Account disabled: False
  Password: True
  Member of groups: admins, trust admins
  Kerberos keys available: True

Copy to Clipboard

Toggle word wrap

使用 ipa cert-show 命令测试每个 CA 副本上的 CA 服务器。

ipa cert-show 1

[root@server ~]# ipa cert-show 1
  Issuing CA: ipa
  Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
  Subject: CN=Certificate Authority,O=EXAMPLE.COM
  Issuer: CN=Certificate Authority,O=EXAMPLE.COM
  Not Before: Thu Oct 31 19:43:29 2019 UTC
  Not After: Mon Oct 31 19:43:29 2039 UTC
  Serial number: 1
  Serial number (hex): 0x1
  Revoked: False

Copy to Clipboard

Toggle word wrap

4.2. 在部分工作环境中从虚拟机快照中恢复

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links