第 2 章 使用复制恢复服务器丢失

如果服务器被严重破坏或丢失,具有多个副本可确保您创建替换副本,并快速恢复以前的冗余级别。

如果您的 IdM 拓扑包含集成证书颁发机构(CA),删除和替换损坏的副本的步骤会因 CA 续订服务器和其他副本的不同。

2.1. 恢复丢失 CA 续订服务器

如果证书颁发机构(CA)续订服务器丢失,您必须首先提升另一个 CA 副本来满足 CA 续订服务器角色,然后部署替换的 CA 副本。

先决条件

  • 您的部署使用 IdM 内部证书颁发机构(CA)。
  • 环境中的另一个 Replica 安装了 CA 服务。
警告

如果出现以下情况,IdM 部署是不可恢复的:

  1. CA 续订服务器已经丢失。
  2. 没有安装 CA。
  3. 没有带有 CA 角色的副本备份。

    务必要从带有 CA 角色的副本进行备份,以便保护证书数据。有关创建和恢复备份的更多信息,请参阅准备使用 IdM 备份数据丢失

流程

  1. 将复制协议删除丢失的 CA 续订服务器。请参阅卸载 IdM 服务器
  2. 在环境中升级另一个 CA Replica 以作为新的 CA 续订服务器。请参阅更改和重置 IdM CA Renewal Master
  3. 安装一个新的 CA Replica 来替换丢失的 CA 副本。请参阅使用 CA 安装 IdM 副本
  4. 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
  5. 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端

验证步骤

  1. 以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。

    [root@server ~]# kinit admin
    Password for admin@EXAMPLE.COM:
    
    [root@server ~]# klist
    Ticket cache: KCM:0
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
    10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
  2. 通过检索用户信息来测试 Directory Server 和 SSSD 配置。

    [root@server ~]# ipa user-show admin
      User login: admin
      Last name: Administrator
      Home directory: /home/admin
      Login shell: /bin/bash
      Principal alias: admin@EXAMPLE.COM
      UID: 1965200000
      GID: 1965200000
      Account disabled: False
      Password: True
      Member of groups: admins, trust admins
      Kerberos keys available: True
  3. 使用 ipa cert-show 命令测试 CA 配置。

    [root@server ~]# ipa cert-show 1
      Issuing CA: ipa
      Certificate: MIIEgjCCAuqgAwIBAgIjoSIP...
      Subject: CN=Certificate Authority,O=EXAMPLE.COM
      Issuer: CN=Certificate Authority,O=EXAMPLE.COM
      Not Before: Thu Oct 31 19:43:29 2019 UTC
      Not After: Mon Oct 31 19:43:29 2039 UTC
      Serial number: 1
      Serial number (hex): 0x1
      Revoked: False

其它资源

2.2. 恢复丢失常规副本

要替换不是证书颁发机构(CA)续订服务器的副本,请从拓扑中删除丢失的副本,并安装新副本。

先决条件

流程

  1. 将复制协议删除丢失的服务器。请参阅卸载 IdM 服务器
  2. 使用所需服务(CA、KRA、DNS)部署新副本。请参阅 安装 IdM 副本
  3. 更新 DNS 以反应副本拓扑的更改。如果使用 IdM DNS,则会自动更新 DNS 服务记录。
  4. 验证 IdM 客户端可访问 IdM 服务器。请参阅在恢复过程中调整 IdM 客户端

验证步骤

  1. 以 IdM 用户身份成功检索 Kerberos Ticket-Granting-Ticket 在新副本中测试 Kerberos 服务器。

    [root@newreplica ~]# kinit admin
    Password for admin@EXAMPLE.COM:
    
    [root@newreplica ~]# klist
    Ticket cache: KCM:0
    Default principal: admin@EXAMPLE.COM
    
    Valid starting       Expires              Service principal
    10/31/2019 15:51:37  11/01/2019 15:51:02  HTTP/server.example.com@EXAMPLE.COM
    10/31/2019 15:51:08  11/01/2019 15:51:02  krbtgt/EXAMPLE.COM@EXAMPLE.COM
  2. 通过检索用户信息,在新副本中测试 Directory Server 和 SSSD 配置。

    [root@newreplica ~]# ipa user-show admin
      User login: admin
      Last name: Administrator
      Home directory: /home/admin
      Login shell: /bin/bash
      Principal alias: admin@EXAMPLE.COM
      UID: 1965200000
      GID: 1965200000
      Account disabled: False
      Password: True
      Member of groups: admins, trust admins
      Kerberos keys available: True

2.3. 恢复丢失多个服务器

如果同时丢失多个服务器,请通过查看以下五个场景中的一个适用于您的情况来确定环境是否可以重建。

2.3.1. 在无 CA 部署中恢复丢失多个服务器

无 CA 部署中的服务器都被视为相等,您可以以任何顺序删除和替换丢失的副本来重建环境。

流程

2.3.2. 当 CA 续订服务器解压时,恢复丢失多个服务器

先决条件

  • 您的部署使用 IdM 内部证书颁发机构(CA)。

流程

2.3.3. 恢复丢失 CA 续订服务器和其它服务器

先决条件

  • 您的部署使用 IdM 内部证书颁发机构(CA)。
  • 至少一个 CA 副本是不正确的。

流程

  1. 提升另一个 CA 副本以实现 CA 续订服务器角色。请参阅 恢复丢失 CA 续订服务器
  2. 替换所有其他丢失的副本。请参阅 恢复丢失常规副本

2.3.4. 恢复丢失所有 CA 副本

如果没有证书颁发机构(CA)副本,IdM 环境便无法部署额外副本并重建其自身。

先决条件

  • 您的部署使用 IdM 内部证书颁发机构(CA)。

流程

  • 这种情形是一个完全丢失。

其它资源

2.3.5. 从基础架构丢失总量中恢复

如果所有服务器都同时丢失,且没有虚拟机(VM)快照或数据备份来恢复,这种情况将无法恢复。

流程

  • 这种情形是一个完全丢失。

其它资源


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。