4.2. 在部分工作环境中从虚拟机快照中恢复
如果灾难会影响一些 IdM 服务器,而其他 IdM 服务器仍然可以正常工作,您可能需要将部署恢复到虚拟机 (VM) 快照中捕获的状态。例如,如果所有证书颁发机构 (CA) 副本都丢失,其他副本仍在正常工作,则需要将 CA 副本重新置于环境中。
在这种情况下,删除对丢失的副本的引用,从快照中恢复 CA 副本,验证复制和部署新副本。
先决条件
- 您已准备了 CA 副本虚拟机的虚拟机快照。请参阅使用虚拟机快照准备数据丢失的情况。
流程
- 删除到丢失的服务器的复制协议。请参阅卸载 IdM 服务器。
- 引导 CA 副本虚拟机所需的快照。
在恢复的服务器和任何丢失的服务器间删除所有复制协议。
[root@restored-CA-replica ~]# ipa server-del lost-server1.example.com [root@restored-CA-replica ~]# ipa server-del lost-server2.example.com ...
如果恢复的服务器对仍在生产中的任何服务器没有复制协议,请使用其它一个服务器连接恢复的服务器,以更新恢复的服务器。
[root@restored-CA-replica ~]# ipa topologysegment-add Suffix name: domain Left node: restored-CA-replica.example.com Right node: server3.example.com Segment name [restored-CA-replica.com-to-server3.example.com]: new_segment --------------------------- Added segment "new_segment" --------------------------- Segment name: new_segment Left node: restored-CA-replica.example.com Right node: server3.example.com Connectivity: both
-
查看
/var/log/dirsrv/slapd-YOUR-INSTANCE/errors
中的 Directory 服务器错误日志,以查看快照中的 CA 副本是否与剩余的 IdM 服务器正确同步。 如果因为数据库太旧导致在恢复的服务器上复制失败,则重新初始化恢复的服务器。
[root@restored-CA-replica ~]# ipa-replica-manage re-initialize --from server2.example.com
- 如果恢复的服务器上的数据库已被正确同步,请按照安装 IdM 副本的内容,使用所需服务(CA、DNS)部署额外副本来继续。
验证
以 IdM 用户身份成功检索 Kerberos ticket-granting ticket,在每个副本中测试 Kerberos 服务器。
[root@server ~]# kinit admin Password for admin@EXAMPLE.COM: [root@server ~]# klist Ticket cache: KCM:0 Default principal: admin@EXAMPLE.COM Valid starting Expires Service principal 10/31/2019 15:51:37 11/01/2019 15:51:02 HTTP/server.example.com@EXAMPLE.COM 10/31/2019 15:51:08 11/01/2019 15:51:02 krbtgt/EXAMPLE.COM@EXAMPLE.COM
通过检索用户信息,测试每个副本上的 Directory 服务器和 SSSD 配置。
[root@server ~]# ipa user-show admin User login: admin Last name: Administrator Home directory: /home/admin Login shell: /bin/bash Principal alias: admin@EXAMPLE.COM UID: 1965200000 GID: 1965200000 Account disabled: False Password: True Member of groups: admins, trust admins Kerberos keys available: True
使用
ipa cert-show
命令测试每个 CA 副本上的 CA 服务器。[root@server ~]# ipa cert-show 1 Issuing CA: ipa Certificate: MIIEgjCCAuqgAwIBAgIjoSIP... Subject: CN=Certificate Authority,O=EXAMPLE.COM Issuer: CN=Certificate Authority,O=EXAMPLE.COM Not Before: Thu Oct 31 19:43:29 2019 UTC Not After: Mon Oct 31 19:43:29 2039 UTC Serial number: 1 Serial number (hex): 0x1 Revoked: False
其他资源