Atkopšana ir aktīva. Active Directory: kopējiet un atjaunojiet. Darbvirsmas atjaunošanas metodes

Iekšā Active Directory Windows Server 2008. Domēna kontrolleriem vajadzētu būt vairāk nekā vienam, tas ir zelta likums, kas jāievēro visās vidējās un lielajās organizācijās. Atkopšanas princips vairāku kontrolieru klātbūtnē būtiski mainās. Mēģināsim saprast, kāpēc. Iedomāsimies, ka jums ir divi domēna kontrolleri ar nosaukumu DC1 un DC2 (tie ir viena domēna kontrolleri). Abiem būs identiska Active Directory datu bāze, un, ja to mainīsit vienā, tā tiks automātiski atjaunināta otrā, tas ir replikācijas process.

Tagad pieņemsim lēmumu par dublēšanas grafiku:

svētdiena- pilnīga sistēmas nodalījuma dublēšana (aprakstīts raksta pirmajā daļā)

Pirmdiena - sestdiena- sistēmas stāvokļa sistēmas stāvokļa izveide (aprakstīts raksta pirmajā daļā)

Viss bija kārtībā, bet ceturtdien DC1 domēna kontrolleris pārstāja darboties problēmu dēļ. Jums ir vairāki veidi, kā atjaunot kontrolieri, apskatīsim tos.

  • Pirmais veids: atjaunot sistēmas stāvokli, kas tika izveidots trešdien. Lai to izdarītu, jums būs jāstartē kontrolleris DSRM (Directory Service Restore Mode) režīmā un jāizmanto Windows programma Servera dublējuma atjaunošanas stāvoklis. Bet šim kontrolierim ir jāielādē DSRM, tas var nebūt iespējams.
  • Otrais veids: ja kontrollera ielāde DSRM neizdodas, atkopšanas procedūra sākas, uzsākot sistēmas nodalījuma atkopšanu, kura arhīvs tika izveidots svētdien. Pēc DC1 atjaunošanas no šī arhīva dators sāk normāli sāknēties.

Un šeit pirmajā variantā un otrajā parādās divi kontrolleri, kuriem nav sinhronizētas Active Directory datu bāzes. DC1 ir datu bāzes versija dublēšanas dienā, un DC2 ir pašreizējā, jaunākā versija.

Kurai versijai būs prioritāte?

Ja veiksiet atkopšanu tādā veidā, kā es aprakstīju raksta pirmajā daļā, tad prioritāte tiks dota kontrolierim, kas palika strādāt, mūsu situācijā tas ir DC2. Viss, kas atrodas Active Directory DC1 pēc atkopšanas, tiks atjaunināts uz DC2 stāvokli. Šo metodi sauc par nepiespiedu atgūšanu.

Vai varbūt šī Windows Server dublēšana?

Nesen es saskāros ar Microsoft darbinieka pozīciju, kurš uz jautājumu, kā atjaunot domēna kontrolleri, atbildēja: "Kāpēc?" Sākumā nedaudz prātoju, vai viņš joko, bet tad man kļuva skaidri viņa argumenti. Ideja ir šāda. Vidēja lieluma organizācijās parasti ir 3-4-5 vai vairāk domēna kontrolleri, un iespēja tos uzreiz pazaudēt ir tuvu 0. Lai izvairītos no šādas iespējas, mēs dublējam tikai 2. Šajā gadījumā tiek dublēts viens vai tie kontrolieri, kuriem pieder FSMO lomas un kuriem ir īpaša vērtība. Visi pārējie vienkārši dzīvo savu dzīvi un, ja vienam neizdodas, mēs vienkārši uzstādām jaunu OS un izaudzinām jaunu domēna kontrolleri, jāņem vērā, ka laika ziņā tās būs līdzvērtīgas procedūras.

Var rasties vēlme pilnībā pārtraukt kopiju izgatavošanu, varbūt mēs nezaudēsim visu, un FSMO lomas var uzņemt, ja vēlaties. Vēlme ir pilnīgi kaitīga, un lūk, kāpēc. Active Directory objektu zaudēšana nav tikai nejauša lietotāja izdzēšana, jūs varat nejauši izdzēst organizācijas vienību ar visu tās saturu ar skriptu un vienkārši atgriezt to no izdzēsto objektu konteinera, kurā jūs nevarēsit dabūt tā sākotnējā forma. Un izmaiņas jau ir atkārtotas. Un katrs kontrolieris zina par dzēšanu. Šādā situācijā jums būs nepieciešama rezerves kopija.

Ievērojiet noteikumu - “Nav papildu dublējumkopiju”

Replikācijas prioritāte

Tā kā standarta atkopšana atkārto Active Directory no strādājošiem kontrolleriem uz “salabotu” kontrolleri, šī metode mums nedarbosies. Mums ir jāpiespiež replikācijas prioritāte, lai mainītu un replicētu informāciju no atjaunotā kontrollera uz pārējo. To sauc par piespiedu atgūšanu.

Operētājsistēmā Windows Server 2003 mēs varam veikt piespiedu atjaunošanu trīs veidos:

    Visas datu bāzes piespiedu atkopšana.

Šī procedūra tika veikta, izmantojot utilītu ntdsutil. Operētājsistēmā Windows Server 2008 saglabājas utilīta ntdsutil, taču tagad mēs nevaram piespiedu kārtā atjaunot visu datu bāzi.

Tikai:

    Piespiedu kārtā atjaunot organizatorisko vienību ar saturu

    Viena objekta piespiedu atkopšana

Tāpēc mums vienmēr ir jāzina, kuri objekti ir izdzēsti. Protams, jūs nevarēsit saglabāt šādu informāciju savā galvā. Šim nolūkam operētājsistēmā Windows 2008 tika izveidots Active Directory datu bāzes montāžas rīks.

Active Directory datu bāzes montāžas rīks ir izstrādāts, lai uzlabotu un īpaši vienkāršotu direktoriju pakalpojuma atkopšanas procesu. Operētājsistēmā Windows 2003, ja mums bija daudz arhīvu un nezinājām, kurā ir atkopšanai nepieciešamā informācija, mums bija jāspēlē rulete, atjaunojot to vai citu arhīvu un pārbaudot tā saturu.

Operētājsistēmā Windows 2008 situācija mainās. Izmantojot datu bāzes montāžas rīku, mēs varam apskatīt datu bāzes saturu konkrētam procesam.

Diemžēl mēs nevaram apskatīt AD saturu jebkurā interesējošā laika periodā, bet tikai brīžos, kad tika izveidots momentuzņēmums. Uzreiz teikšu, ka Snapshot nav tas Snapshot, ko mēs esam pieraduši izmantot VmWare. Tas satur informāciju par objektu klātbūtni datu bāzē, bet nekādā veidā nav iesaistīts šo objektu atjaunošanā.

No iepriekš minētā varam secināt:

Lai būtu aktuāls priekšstats par izveidotās dublējuma saturu, pirms tā ir jāizveido momentuzņēmums. Pakešfaila tekstam, kas tiek palaists pirms dublējuma izveides, jābūt šādam:

ntdsutil.exe "aktivizēt instances NTDS" momentuzņēmums izveidot quit quit

Gatavo pakešfailu var lejupielādēt “šeit”. Pirms dublēšanas sākšanas pārliecinieties, vai Snapshot ir pabeigts.

Rīsi. 1. Active Directory momentuzņēmuma izveide

Domēna kontrollera piespiedu atkopšanas process, izmantojot sistēmas stāvokli. (sistēmas stāvoklis)

Fons ir šāds: viens no administratoriem izdzēsa organizatorisko vienību “BetaTesters”, kurā bija kontu vai ieraksti. Mēs to nezinām droši. Informācija par dzēšanu jau ir replicēta visos domēna kontrolleros. Mums ir vairāki arhīvi no Systemstate no iepriekšējām dienām. Mēs precīzi nezinām, kad organizatoriskā vienība tika noņemta.

    Pirmkārt, mums ir jāizvēlas, kādu sistēmas stāvokli mēs atjaunosim. Mēs nezinām dzēšanas datumu. Lai to izdarītu, mēs izmantosim Snapshots, kas tiek izveidoti īsi pirms dublēšanas. Pēc utilīta ntdsutil palaišanas mēs skatāmies uz mūsu AD momentuzņēmumu sarakstu.

    Rīsi. 2. Skatiet pieejamos Active Directory momentuzņēmumus

    Šim nolūkam iekšā komandrinda numura sastādīšana ntdsutil -> momentuzņēmums -> Aktivizēt gadījumu NTDS -> uzskaitīt visus . Rezultātā mēs saņemsim izveidoto Active Directory momentuzņēmumu sarakstu. Pirmais attēls tika uzņemts 13. aprīlī. Ar to es sākšu.

    Es tur rediģēju kopā ar komandu mount ar aizstāto identifikatoru pirmais Active Directory momentuzņēmums. Piemērs 3. attēlā. Pēc šīs darbības diskā C būs atsauces objekts ar nosaukumu $SNAP_date. Kad to ievadīsit, jūs redzēsit sava struktūra sistēmas disks kopijas izveides brīdī.

    Rīsi. 3. Aktīvā direktora momentuzņēmuma uzstādīšana

    Fotoattēls ir rediģēts. Es atveru otru komandrindas logu un palaidu utilītu dsamain. Mēs izpildām sarežģītu komandu, kas ļauj izveidot savienojumu ar momentuzņēmumu kā LDAP serveri. Komandā norādiet ceļu uz failu ntds.dit uzstādītajā momentuzņēmumā un LDAP servera portu (iesaku 50001)

    Rīsi. 4. Izmantojot dsamain.

    Neaizverot logu, palaidiet papildprogrammu “Active Directory Users and Computers”. Atlasiet savienojumu ar citu domēna kontrolleri.

    Rīsi. 5. Mainīt domēna kontrolleri.

    Parādītajā izvēlnē norādiet savienojumu ar " Servera nosaukums: norādītais ports dsamain", manā situācijā tas ir" DC:50001»

    Rīsi. 6. LDAP servera izvēle

    Noklikšķinot uz “OK”, mēs tiekam novirzīti uz papildinājumu “Active Directory lietotāji un datori”, kurā ir lasāmie dati no brīža, kad tika izveidots Active Directory momentuzņēmums. Atrodu organizatorisko vienību “BetaTesters” un tajā ir lietotājs “Rud Ilya”. Secinājumu var izdarīt šādi: tā kā momentuzņēmums tika izveidots 13. aprīlī un tajā ir dzēsta organizatoriskā vienība, mums ir jāatjauno sistēmas stāvoklis uz 13. aprīli.

    Rīsi. 7. Skatīt AD momentuzņēmuma informāciju.

    Pirms atsāknēšanas direktoriju pakalpojumu atjaunošanas režīmā noteikti atvienojiet momentuzņēmumu. Tas tiek darīts ar atvienošanas komandu ar momentuzņēmuma identifikatoru.

    Rīsi. 8. Momentuzņēmuma atvienošana

    Tagad mēs esam gatavi pārstartēt vienu no domēna kontrolleriem direktoriju pakalpojumu atjaunošanas režīmā. Kā to izdarīt, es rakstīju raksta pirmajā daļā. Lūdzu, ņemiet vērā, ka, augšupielādējot DSRM, jums ir jāizmanto administratora DSRM, nevis domēna DSRM.

    Rīsi. 9. Piesakieties DSRM. Norādiet Datora_nosaukums\Administrators

    Rīsi. 10. Sistēmas stāvokļu saraksts (SystemStates)

    Mums ir jāatjauno sistēmas stāvoklis uz 13. aprīli, tāpēc šāda komanda būtu šāda: wbadmin start systemstaterecovery -version:archive_creation_time

    Rīsi. 12. Sistēmas stāvokļa atjaunošanas process.

    Katram Active Directory objektam ir versijas numurs, un, ja diviem kontrolleriem vienam objektam ir atšķirīgi versijas numuri, tad pareizais (jaunāks) objekts ir tas, kuram ir augstāka versija. Kad atkopšanas process ir pabeigts, jums ir jāpalaiž utilīta ntdsutil un paaugstiniet attālās Active Directory filiāles versijas numuru. Tas ir, mūsu konteineram.

    Tas tiek darīts šādi: ntdsutil -> Aktivizēt gadījumu NTDS -> Autoritatīvā atjaunošana -> atjaunot apakškoku " Un norādīt, kas jāatjauno piespiedu kārtā ”. Piemērs 13. attēlā.

    Rīsi. 13. Izvēloties to, kas tiks atjaunots piespiedu kārtā.

Rezultāts: Mēs piespiedu kārtā atjaunojām organizatorisko vienību ar visu tās saturu, izmantojot sistēmas stāvokļa un Active Directory momentuzņēmumus. Operētājsistēmā Windows Server 2008 mēs varam piespiest atjaunot organizācijas vienības ar visu saturu vai konkrētus objektus. Komanda “atjaunot datu bāzi” no ntdsutil ir noņemta, tāpēc mēs nevarēsim piespiedu kārtā atjaunot visu Active Directory datu bāzi.

Ja atjaunojat domēna kontrollera sistēmas diska arhīvu un vēlaties panākt kādas AD daļas piespiedu atjaunošanu, tad uzreiz pēc atjaunošanas, neļaujot kontrollerim sāknēties normālā režīmā, ieejam direktoriju pakalpojuma atjaunošanas režīmā. . Un, izmantojot ntdsutil, mēs norādām, kura AD daļa ir jāatjauno piespiedu kārtā.

Materiāls, ko nodrošina resurss

Dati ar atbalstu populārākajiem failu sistēmas(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS). Darbojas ar cietajiem diskiem: IDE, ATA, SCSI, zibatmiņas diskiem, atmiņas kartēm un disketēm, kā arī RAID masīviem, kas ir īpaši svarīgi sistēmas administratoriem. Bet parastam lietotājam nebūs grūti atgūt izdzēstos vai bojātos failus.

Programma spēj atpazīt 28 failu tipus, pamatojoties uz to parakstiem. Tie varētu būt dokumenti, fotogrāfijas vai attēli, mūzika, video, arhīvi utt. Profesionāliem un amatieru fotogrāfiem ir iespēja meklēt RAW fotogrāfijas, kuras izmantojis viņu fotokameras ražotājs (Leica, Canon, Nikon, Sony u.c.), kas sašaurinās meklēšanu un samazina attēlu atjaunošanas laiku.

Divas atkopšanas opcijas: QuickScan (ātrs) un SuperScan (lēns), kā arī meklēšanas filtrs, ieskaitot daļu no faila nosaukuma, palīdzēs samazināt meklēšanas un atkopšanas laiku. nepieciešamie faili. Jebkurā gadījumā programmas algoritmi ļauj ātri atgūt datus pat no lieliem HDD, kas bieži vien nav sasniedzami konkurējošām utilītprogrammām.

Programmas saskarne būs saprotama pat nepieredzējušam lietotājam, taču arī pieredzējušiem lietotājiem, kuri pirmo reizi saskaras ar datu atkopšanu, var rasties jautājumi un grūtības. Mēs esam uzrakstījuši instrukcijas, kā izmantot Active File Recovery, kas palīdzēs jums iziet cauri atkopšanas procesam no lietojumprogrammas palaišanas līdz priekam par pazaudēto datu atgriešanu.

Failu atkopšanas lietošanas instrukcijas

Ilustratīviem piemēriem mēs paņēmām četrus failus: video (mp4), audio (mp3), Word dokuments(doc) un attēlu (jpg). Iemetiet šos failus kartē MicroSD atmiņa un formatēja to. Tagad mēģināsim atjaunot šos failus pēc formatēšanas un pārliecinieties, ka programma darbojas.

Attēls Nr. 1: Faili atkopšanai

Attēls Nr. 2: Atmiņas kartes formatēšana

Pēc arhīva izsaiņošanas ar programmu palaidiet failu “ File Recovery.exe" Atvēries Windows OS starta logs (Skatīt no Nr.4), kurā redzam visas pieslēgtās datu glabāšanas ierīces, starp kurām ir mūsu formatēta atmiņas karte (ChipBnk Flash Disk). Atlasiet to un noklikšķiniet uz “SuperSkan”, lai precīzāk lēni skenētu atmiņas karti.

Attēls Nr. 4: skenējamās ierīces izvēle

Tiks atvērts neliels logs ar skenēšanas iestatījumiem. Tajā varat iestatīt izdzēsto nodalījumu meklēšanu, ja tādi ir, un zemāk atlasiet failu veidus, kurus programma meklēs pēc parakstiem. Ja pirms formatēšanas vai dzēšanas ir jāatrod un jāatjauno viss, kas bija diskā, tad vienkārši atstājiet “Viss(Lēns)”, taču atcerieties, ka tad skenēšana prasīs daudz ilgāku laiku.

5. attēls: skenēšanas iestatījumi

Ja precīzi zināt, kāda veida faili ir jāatkopj, atlasiet “Daži” un noklikšķiniet uz “Atlasīt...”. Atzīmējot izvēles rūtiņas tikai blakus tiem failu paplašinājumiem, kas mūs interesē, mēs samazināsim meklēšanas laiku. Mūsu gadījumā es norādīju četru veidu failus (Skatīt no Nr. 6).

6. attēls: failu tipu atlase

Tagad noklikšķiniet uz "OK" un "Start". Skenēšanas process ir sācies un progresu redzam vizuāli apakšējā kreisajā stūrī procentos.

7. attēls: skenēšanas process

Kad skenēšana ir pabeigta, programmas kreisajā pusē zem visām ierīcēm parādīsies mape “SuperScan” ar datumu un laiku. Mēs to atveram un labajā pusē redzam programmas atrastos failu tipus. Atlasiet tos un augšpusē noklikšķiniet uz ikonas “Atkopt”. Lai atjaunotu savus failus, mums tiks lūgts norādīt vietu, kur tie tiks saglabāti. Pēc saglabāšanas vietas izvēles noklikšķiniet uz “Atkopt”, kas sāks atkopšanas procesu.

8. attēls: datu atkopšana

Kad datu atkopšana ir pabeigta, dodieties uz jūsu norādīto mapi, kurā tiek saglabāti mūsu faili, katrs savā sadaļā. Pārbaudām funkcionalitāti un priecājamies! Vienīgais negatīvais ir tas, ka programma pēc formatēšanas nevarēja atjaunot failu nosaukumus, taču tas ne vienmēr notiek.

Viens svarīgs Active Directory izmantošanas aspekts ir kļūmjpārlēce. Lai aizsargātu pret neveiksmēm, vienmēr ir vērts iegūt uzticamu rezerves kopija Sistēmas stāvoklis. Dublējums sistēmas stāvoklis ļauj nodrošināt sistēmas darbībai svarīgu failu saglabāšanu.

Šie faili ietver Active Directory, sistēmas reģistrs un mapes SYSVOL saturu, kurā ir reģistrācijas skripti un veidnes grupas politikas. Ja domēna kontrolleris neizdodas labākais veids restaurācija ir atteikšanās atjaunot vispār.

Vienmēr, ja iespējams caurlaidspēja tīkla savienojums un domēnā ir otrs domēna kontrolleris, mēģiniet pārinstalēt Windows operētājsistēmu (vai atjaunot to no ASR dublējuma) un atkārtoti palaidiet utilītu DCPromo, lai pārveidotu serveri par domēna kontrolleri. Tā rezultātā sistēma būs tīra.

Tā kā Active Directory var dublēt tikai kā sistēmas stāvokļa daļu, atjaunojot Active Directory, ir jāatjauno arī sistēmas stāvoklis. Ja serveris pilnībā neizdodas, atjaunojiet sistēmu citā aparatūra var radīt problēmas.

Ja problēmas rodas pēc atveseļošanās, veiciet korekciju operētājsistēma lai atrisinātu visas konfigurācijas kļūdas.

Tāpēc, ja visi citi mēģinājumi novērst problēmu ir bijuši neveiksmīgi un jums ir derīgs sistēmas stāvokļa dublējums un ir jāatjauno Active Directory datu bāze, varat izmantot vienu no trim atkopšanas veidiem.

  • Primārais- Atlasiet šo opciju, ja tiek atjaunots pirmais domēna kontrolleris un domēnā vairs nav iespējots neviens domēna kontrolleris. Ja atlasāt šo opciju, atlikušo domēna kontrolleru atkopšanai ir jābūt neautoritatīvai.
  • Autoritatīvs- izmanto tikai tad, ja Active Directory datu bāze ir jāatjauno stāvoklī, kādā tā bija dublējuma izveides laikā. Šī atkopšana jāveic tikai tad, ja rodas nopietnas kļūdas, piemēram, tiek dzēsta organizatoriskā vienība, vai ja nepieciešams atsaukt visas iepriekšējās darbības. Šai atkopšanas opcijai pēc atkopšanas ir jāpalaiž komanda ntdsutil, lai atlasītu objektus, kas ir autoritatīvi replikācijai.
  • Neautoritatīvs- Šī atkopšanas opcija tiek izmantota 99% Active Directory datu bāzes atkopšanas gadījumu. Izmantojot šo opciju, dati tiek atjaunoti, pēc tam domēna kontrolleris saņem atjauninājumus no citiem meža domēna kontrolleriem (ļaujot tam atgriezties pie sinhronizācijas).

Palaižot Active Directory atjaunošanu, dialoglodziņā tiek atlasīta atjaunošanas opcija Papildu atjaunošanas opcijas dublēšanas lietojumprogrammā. Vēlreiz uzsveru, ka restaurācija jāuzskata tikai par pēdējo līdzekli.

Ja domēna kontrolleris ir vienīgais DNS serveris un DNS izmanto Active Directory integrētas zonas, DNS zonas dati nebūs pieejami, kad domēna kontrolleris tiks palaists direktoriju pakalpojuma atjaunošanas režīmā.

Ja sistēmas stāvoklis tiek atjaunots tīklā, izmantojot trešās puses dublēšanas utilītu, iespējams, būs jāveic atbilstoši ieraksti Hosts fails(tas nodrošinās nosaukumu izšķirtspēju visiem datoriem, kas piedalās atkopšanas procesā).

Ko darīt un kādas dejas darīt ar un bez tamburīna, ja uz darbvirsmas redzat ziņojumu “Atjaunot aktīvo darbvirsmu”? Lai gan ar šo problēmu saskaras arvien mazāk lietotāju, jo galvenā šīs kļūdas platforma ir operētājsistēma Windows sistēma XP, bet tas joprojām ir aktuāls. Galu galā šī sistēma joprojām ir aktuāls, lai gan .

Kāpēc darbvirsmas atkopšana neizdodas?

Problēma ir šāda: dažu kļūdu dēļ darbvirsma, kā mēs zinām, pārstāj darboties. Un kopā ar mūsu iecienītāko fona attēlu mēs redzam uzrakstu “Atjaunot aktīvo darbvirsmu”, kas mums jāpiekrīt, ka tas ir nepatīkams. Bet tas nešķiet tik biedējoši, jo tur uzreiz var redzēt darbvirsmas atjaunošanas pogu. Un mani nopietni interesē jautājums, vai šī poga kādam palīdzēja? Vismaz vienu reizi?

Iemesli, kāpēc darbvirsma iziet no ierindas, man nav zināmi. Es neizpētīju FAQ, meklējot interpretāciju. Bet es zinu, kā atrisināt šādu problēmu, un es domāju, ka tas ir tas, ko jūs šeit atnācāt, nevis garlaicīgas teorijas dēļ.

Darbvirsmas atjaunošanas metodes

Vienkāršākais veids, kā atjaunot Active Desktop, ir pieteikties kā vietējam administratoram un izdzēst problemātisko lietotāja mapi. Ja esat administrators, varat izveidot jaunu administratoru un vēlreiz izdzēst problemātiskā lietotāja mapi. Šī mape tiek saglabāta c:\lietotāji. Pēc tam vēlreiz piesakieties, izmantojot problemātisko kontu. Konta mape tiks izveidota no jauna. Un tā kā tas ir izveidots, kopējot mapi Noklusējums tad ar to nebūs nekādu problēmu. Kopš mapes Noklusējumsšī ir noklusējuma mape, uz kuras pamata tiek izveidotas visas jaunās pielāgotas mapes, tajā nav nekā no lietotāja. Nav iestatījumu, nav dokumentu, nav saglabātu paroļu - pilnīgi nekas, kas tiek iegūts konta darbības laikā. Tāpēc tas ir vienkāršākais problēmas risinājums. Un viegluma otrā puse ir visu jūsu iestatījumu nojaukšana līdz nullei. Ja tas jums ir piemērots, ejiet uz priekšu un dziediet.

Nu, problēmai vienmēr ir grūtāks risinājums. Bet šo iespējuļaus jums ne tikai atjaunot darbvirsmu, bet arī saglabāt visus iestatījumus kopā ar jums. Lai to izdarītu, atveriet Reģistra redaktors ak, ejam uz reģistra filiāli
hkey_current_user\softvare\microsoft\internet explorer\desktop\scheme
Tur mēs atrodam parametru displeji. Parametra vērtībai jābūt saglabāšanas režīms.Šis parametrs ir no reģistra un paziņo sistēmai, ka ir radusies ar darbvirsmu saistīta kļūda. Un tāpēc tas norāda, ka jums tas ir jāieslēdz saglabāšanas režīms. Uh tad tas ir tieši tas pats ekrāns ar kļūdu. Šāds ekrāns mums nav vajadzīgs. Tāpēc mēs notīrām šo parametru.

Pēc tam mēs ejam uz mapi
c:\documents and settings\%user%\appdata\microsoft\internet explorer\
un izdzēsiet failu desktop.htt. Iespējams arī, ka šī faila tur nebūs. Pēc tam noņemiet visus ierobežojumus slēpto un sistēmas failišajā mapē. To var izdarīt, izmantojot komandrindu, izmantojot komandu vai, piemēram, izmantojot programmu, piemēram, Total commander. Kad mēs atrodam šo failu, mēs to izdzēšam. Starp citu šo failu var izdzēst, vienkārši izmantojot , jo mēs zinām visu ceļu uz to. Lai to izdarītu, izmantojiet komandu del.

Pēc visa šī atjauniniet darbvirsmu. Ja darbības tiek veiktas pareizi, kļūdas ekrāns par nepieciešamību atjaunot aktīvo darbvirsmu pazudīs. Lai veicas!

ATJAUNINĀJUMS: problēmas risinājums ir paredzēts slinkākajiem: mēģiniet vienkārši atlasīt jebkuru attēlu kā darbvirsmas fonu. Dažreiz šāda vienkārša darbība dod ļoti vēlamo rezultātu.

Sergejs Jaremčuks

Objektu dublēšana un atjaunošana
Active Directory operētājsistēmā Windows Server 2008/2008 R2

Active Directory ir standarts korporatīvie tīkli strādā zem Windows vadība. Nodrošina administratoru efektīvi instrumenti, šķietami vienkārši lietojams, tas tomēr ir diezgan sarežģīts pēc savas struktūras un sastāva. Turklāt neviens nav pasargāts no kļūmēm operētājsistēmā, programmās, aparatūras kļūmēm vai cilvēka kļūdām. Tāpēc jums vienmēr jābūt gatavam tam, ka jums būs jāveic pasākumi darba kopumā vai atsevišķu elementu atjaunošana.

Par rezerves kopiju nepieciešamību

Katrā jaunā Windows versijas Serveris, parādās jauni rīki, kas vienkāršo un automatizē pārvaldības procesu, ar ko var tikt galā pat iesācējs administrators. Viens no izplatītākajiem šādu “ekspertu” viedokļiem ir izvairīties no domēna kontrolleru rezervēšanas. Arguments ir vienkāršs. Vidējas un lielas organizācijas izmanto vairākus domēna kontrollerus, tā ir aksioma. Varbūtība, ka viss neizdosies tajā pašā dienā, ir gandrīz nulle. Ja vien tie nav veikti pēc prokurora rīkojuma vai izmantojot kļūdu apsardzes organizēšanā, bet šī lieta, redziet, ir neparasti. Tāpēc, ja viens domēna kontrolleris neizdodas, visi pārējie darbojas normāli, un jauns serveris ir gatavs to aizstāt. Daļēji viņiem ir taisnība, taču joprojām ir jārezervē vismaz divi kontrolieri (kļūdas gadījumā) ar FSMO (elastīgās viena galvenā operāciju) lomām. Tas ir tas, ko Microsoft un veselais saprāts. Turklāt ir vēl viens galvenais arguments par labu atrunai. Pārvaldības vienkāršība palielina kļūdu procentuālo daudzumu. Ir diezgan viegli nejauši izdzēst Active Directory objektu. Un tā var nebūt apzināta darbība, piemēram, kļūdas rezultātā, izpildot skriptu. Un, lai atjaunotu visus iestatījumus, jums būs jāpieliek pūles.

Ja kļūda netiek atklāta nekavējoties un izmaiņas jau ir replicētas citos kontrolleros, šajā situācijā jums būs nepieciešama rezerves kopija. Es pat nerunāju par mazām organizācijām ar vienu domēna kontrolleri.

Dokuments, kas parāda datu dublēšanas un atjaunošanas iespējas operētājsistēmā Windows Server 2008, ir Gila Kirkpatrika raksts “Active Directory dublēšana un atjaunošana sistēmā Windows Server 2008”, kuru iesaku izlasīt. Bet, ja atlaišanas jautājumi ir aprakstīti pilnībā, tad restaurācija ir parādīta, manuprāt, nedaudz virspusēji un nesniedz pilnu ainu. Šis raksts faktiski parādījās no piezīmēm, kas apkopotas šim galējam gadījumam.

Arhivēšanas sistēma Windows dati Serveris

Operētājsistēmā Windows Server 2008 NT Backup tika aizstāts ar pilnīgi jaunu komponentu Windows Server Backup (WBS), kura pamatā ir VSS (Volume Shadow Copy Service). WBS ir diezgan jaudīga lietojumprogramma, kas ļauj atjaunot sistēmu, tostarp citā datorā, un atbalsta dažus pakalpojumus, kuru sarakstā ir iekļauts AD.

WBS instalēšana ir vienkārša, jums vienkārši jāaktivizē komponents “Windows Server Backup Features” un apakšvienums “Windows Server Backup System”. Pēdējā ietver MMC pārvaldības konsoli un jauno Wbadmin komandrindas rīku. Turklāt ir pieejams vienums “Komandrindas programmas”, kas ietver PowerShell skripti, kas ļauj izveidot un pārvaldīt dublējumus.

Komandrindā instalēšana izskatās vēl vienkāršāka:

> servermanagercmd -instalēt dublēšanas funkcijas

Vai servera kodolā:

> ocsetup WindowsServerBackup

Varat pārvaldīt savu rezervāciju no MMC konsoles vai komandrindas. Tātad, lai izveidotu kritisko sējumu rezerves kopiju, jums jāievada:

> wbadmin Sākt dublēšanu -backupTarget:E: -allCritical

Ar pilnu kopiju, manuprāt, viss ir skaidrs. Šī raksta kontekstā mūs vairāk interesē sistēmas stāvokļa dublēšana, izmantojot parametru SystemStateBackup. Starp citu, šī funkcija nebija pieejama pirmajās Windows Server 2008 versijās, un tā nav pieejama, izmantojot MMC:

> wbadmin Sākt SystemStateBackup -backupTarget:E:

Šajā gadījumā tiek veikta sistēmas stāvokļa un dažu pakalpojumu, tostarp AD, kopija pa failam. Pats neērtākais šajā gadījumā ir tas, ka katru reizi ir jāizveido pilna kopija (svaigi instalēta sistēma ir aptuveni 7 GB), un process ir nedaudz lēnāks nekā parasta dublēšana. Bet jūs varat atjaunot šādu kopiju citā datorā ar identisku konfigurāciju.

Komanda tiek kopēta citā sējumā. Bet KB944530 paskaidro, kā iespējot dublēšanu jebkurā sējumā. Lai to izdarītu, reģistra atslēgai HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup ir jāpievieno DWORD parametrs ar nosaukumu AllowSSBTo AnyVolume un vērtību 1.

Šeit parasti nav problēmu ar dublēšanu, viss ir vienkāršs un skaidrs, grūtības sākas, kad nepieciešams atjaunot AD funkcionalitāti vai nejauši izdzēstus objektus. Izmantojot SystemState kopijas, varat izvairīties no visas sistēmas atjaunošanas un vienkārši atgriezt iepriekšējo AD pakalpojumu stāvokli. Grafiskā konsole, kas paredzēta datu atkopšanai, neredz SystemState kopijas (tās atrodas diskā citā SystemStateBackup direktorijā). Ja mēģināt sākt atkopšanas procesu darba sistēma, mēs saņemam ziņojumu, ka, tā kā arhīvā ir Active Directory domēna pakalpojums, darbība jāveic direktoriju pakalpojumu atjaunošanas režīmā (DSRM). Tas ir viens no trūkumiem, jo ​​domēna kontrolleris šobrīd nebūs pieejams.

Jaunais BCD sāknēšanas mehānisms, kas parādījās operētājsistēmā Windows, sākot ar Vista, kurā tika noņemts vecais labais boot.ini, liek mums veikt vēl vairākas darbības, lai iekļūtu DSRM. OS ietver īpaša lietderība, kas paredzēti bootloader parametru rediģēšanai (internetā var atrast grafiskos utilītus, bet man šķiet, ka tiem nav vietas serverī). Izveidojiet jaunu ieraksta kopiju:

> bcdedit /copy (noklusējums) /d "Directory Service Repair Mode"

Kad pabeidzam, mēs pārbaudām:

> bcdedit /enum

Sarakstā jāparādās jaunam vienumam.

Restartējiet, atlasiet Direktoriju pakalpojuma labošanas režīms un noklikšķiniet uz , atzīmējiet “Katalogu pakalpojumu atjaunošanas režīms”. Lūdzu, ņemiet vērā, ka šajā režīmā, lai pieteiktos, ir jāizmanto administratora akreditācijas dati vietējā sistēma, nevis domēna konts.

> wbadmin iegūt versijas

Un mēs to atjaunojam, izmantojot saņemto versijas identifikatoru kā parametru:

> wbadmin start systemstaterecovery – versija:05/21/2009-21:02

Ja veicat atjaunošanu no vietējā diska, parametrs BackupTarget, kas norāda wbadmin, kur iegūt dublējumu, nav obligāts. Ja kopija ir ieslēgta tīkla resurss, mēs to rakstām šādi:

BackupTarget:\\computer\backup -machine:server-ad

Neskatoties uz brīdinājumu, ka:

Direktoriju pakalpojuma atjaunošana parasti notiek bez problēmām. Pēc atsāknēšanas tiek parādīts ziņojums, ka uzsāktā atkopšanas darbība ir veiksmīgi pabeigta.

Dodoties uz Active Directory pārvaldības konsoli, mēs atklājam, ka viss ir savās vietās... izņemot jaunus objektus, kas izveidoti pēc dublēšanas. Principā tas ir rezultāts, ko mēs sagaidām. Bet atsevišķu objektu atjaunošanai ir pavisam cits veids (pat vairāki).

Objektu piespiedu atjaunošana, izmantojot NTDSUTIL

Windows Server ietver NTDSUTIL komandrindas utilītu Active Directory domēna pakalpojumu (AD DS) un Active Directory vieglo direktoriju pakalpojumu (AD LDS) uzturēšanai, pārvaldībai un uzraudzībai. Lietderība kļūst pieejama sistēmā pēc AD DS lomas instalēšanas. Operētājsistēmā Windows Server 2008 tā funkcionalitāte ir nedaudz mainījusies. Tātad operētājsistēmā Windows Server 2003 ar tās palīdzību bija iespējams atjaunot visu datu bāzi, taču 2008. gadā wbadmin ar to lieliski paveicas, iespējams, tāpēc tās atkopšanas iespējas ir nedaudz samazinātas. Tagad, izmantojot NTDSUTIL, varat atjaunot organizatorisko vienību ar visu tās saturu un vienu objektu.

Tas darbojas, pamatojoties uz Active Directory momentuzņēmumiem, kas uzņemti, izmantojot VSS. Momentuzņēmums ir kompakta aktīva Active Directory pakalpojuma dublējums ar visiem direktorijiem un failiem. Šādas kopijas izveide, atšķirībā no SystemState, ir ļoti ātra un aizņem dažas sekundes.

>ntdsutil

Pāriesim pie momentuzņēmuma konteksta:

ntdsutil: momentuzņēmums

Mēs palaižam komandu, lai izveidotu momentuzņēmumu (īsā forma - “ac i ntds”):

momentuzņēmums: aktivizējiet instances ntds

momentuzņēmums: izveidot

Pēc kāda laika saņemam informāciju par izveidoto attēlu, izejam:

momentuzņēmums: iziet

ntdsutil: aiziet

Tagad, lai atjaunotu Active Directory datu bāzi, DSRM režīma komandrindā vienkārši ievadiet “ntdsutil files repair”, taču mūs interesē atsevišķs objekts.

Varat skatīt izdzēsto objektu sarakstu, izmantojot LDP.exe, izmantojot PowerShell cmdlet Get-ADObject un Restore-ADObject (ir arī citas iespējas).

Piemēram, LDP ir jāizveido savienojums ar serveri, jāizvēlas “Opcijas -> Vadības elementi” un nolaižamajā sarakstā “Ielādēt iepriekš definētos” jāiestata opcija Atgriezt izdzēstos objektus. Pēc tam dodieties uz "Skatīt -> Koks", atlasiet domēna kontekstu. Rezultātā objekts CN=Deleted Object parādīsies kokā labajā pusē, kur atradīsim visus dzēstos objektus.

Tagad svarīgi ir tas, ka, dzēšot objektu, tas zaudē lielu un svarīgu daļu no saviem rekvizītiem (konkrēti, paroli, manageBy, memberOf), tāpēc pēc atjaunošanas tas nebūs tieši tādā formā, kādā mēs vēlējāmies. Tas viss ir skaidri redzams LDP. Bet šeit ir vairākas iespējas:

  • palielināt to atribūtu skaitu, kuri netiks pārrakstīti, kad objekts tiek dzēsts dzēsto objektu krātuvē;
  • atjaunot objektu un atgriezt tā atribūtus;
  • un vislabākais ir bloķēt objektu no nejaušas dzēšanas.

Ir vairāki veidi, kā atgūt izdzēsto objektu. Visērtākā ir Marka Russinoviča utilīta AdRestore. Lejupielādējiet un ievadiet:

> adresstore -r lietotājs

Mēs iegūstam objektu ar dažiem atribūtiem.

Pārējās metodes ir aprakstītas KB840001, tās nav tik vienkāršas, tāpēc es pie tām nekavēšos.

Objekta atribūtu atjaunošana

Momentuzņēmums, kas iegūts, izmantojot ntdsutil, satur objektu un tā atribūtus. Attēlu var uzstādīt un savienot kā virtuālu LDAP serveri, kas eksportē objektus. Zvaniet uz ntdsutil:

>ntdsutil

ntdsutil: momentuzņēmums

Apskatīsim pieejamo attēlu sarakstu:

momentuzņēmums: uzskaitīt visus

Fotoattēls ir rediģēts. Tagad varat izmantot Explorer, lai pārietu uz norādīto direktoriju un redzētu, kas atrodas tajā. Izejiet no ntdsutil, divreiz ievadot quit, attēls joprojām tiks pievienots. Tagad, izmantojot utilītu dsamain, mēs izveidojam virtuālo LDAP serveri, kā parametru norādot ceļu uz failu ntds.dit, kas atrodas uzstādītajā momentuzņēmumā. Es izvēlējos 10000 kā LDAP servera portu:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Ir izlaista Microsoft Active Directory domēna pakalpojumu versija 6.0.6001.18000

Varat izveidot savienojumu ar virtuālo LDAP serveri, izmantojot Active Directory lietotāju un datoru konsoli, kā parametru norādot porta numuru 10000, un skatīt tajā esošos objektus.

Mēs eksportējam vajadzīgā objekta parametrus uz ldf failu. Sīkāka informācija par ldifde ir rakstīta KB237677.

> ldifde -r "(vārds=lietotājs)" -f export.ldf -t 10000

Iegūtajā ldf failā jāmaina changetype: add parametram changetype: modify un pēc tam jauns fails importēt direktorijā:

> ldifde -i -z -f import.ldf

Ir arī citas importēšanas/eksportēšanas iespējas, izmantojot DSGET/DSMOD, PowerShell un tā tālāk.

> dsget lietotājs cn=user,ou=ou1,dc=domain,ds=ru -s localhost:10000 -memberof | dsmod grupa -c -addmbr cn=lietotājs,ou=ou1,dc=domēns,ds=ru

Vēl viena metode ir balstīta uz faktu, ka katram Active Directory objektam ir versijas numurs. Ja divu domēna kontrolleru versiju numuri atšķiras, objekts ar augstāku versijas numuru tiek uzskatīts par jaunu un pareizu. Tas izmanto “autoritatīvās atjaunošanas” mehānismu, kad objektam, kas atjaunots, izmantojot ntdsutil, tiek piešķirts lielāks numurs, un AD to pieņem kā jaunu. Lai piespiedu atkopšanas mehānisms darbotos, serveris arī tiek restartēts DSRM.

> ntdsutil "autoritatīvā atjaunošana" "atjaunot objektu cn=user,ou=group,dc=domain,dc=ru" q q

Sadalījums tiek atjaunots tādā pašā veidā:

> ntdsutil "autoritatīvā atjaunošana" "atjaunot apakškoku ou=group,dc=domain,dc=ru" q q

Objektu aizsardzība pret dzēšanu

Sākšu ar to, ka ar Windows Server 2008 R2 administratori saņēma vēl vienu funkcionālā domēna līmeni, un rezultātā šādu serveri var konfigurēt vienā no četriem līmeņiem - Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server. 2008 R2. To var norādīt instalēšanas laikā, izmantojot dcpromo, vai palielināt, ja izvēlnē tika atlasīts zemāks līmenis Paaugstiniet domēna (meža) funkcionālo līmeni V Active Directory administrēšanas centrs, par kuru nedaudz tālāk. Turklāt iespējama arī apgrieztā darbība - pazeminot domēna un meža funkcionālo līmeni, ja tie ir Windows Server 2008 R2 līmenī, to var atgriezt Windows Server 2008 līmenī, bet zemāk - uz 2003 vai 2000; - tas nav iespējams. Lielākā daļa jauno funkciju būs pieejamas tikai tad, ja domēns būs R2 līmenī. Tātad, sākot ar Windows Server 2008, objekta rekvizītā parādījās papildu vienums, kas ļauj aizsargāt to no nejaušas dzēšanas. Precīzāk, tas tur bija agrāk, bet šeit vairs nav jāmeklē.

Operētājsistēmā Windows Server 2008 tas ir pieejams, veidojot OU (organizācijas vienību), un to sauc par “Aizsargāt objektu no nejaušas dzēšanas”. Šī izvēles rūtiņa tiek parādīta tikai, veidojot jaunu OU. Esošajiem OU, kā arī atkal izveidotas grupas, datori un konti, to var aktivizēt rekvizītu loga cilnē “Objekts” (redzams, kad ir aktīvs “Skats -> Papildu komponenti (Papildu)”).

R2 nepieciešamais vienums Aizsargāt no nejaušas dzēšanas ir pieejams individuālā konta, datora, grupas un nodaļas rekvizītos visredzamākajā vietā. Vienkārši atzīmējiet izvēles rūtiņu šeit un, mēģinot dzēst objektu, administrators saņem brīdinājumu, ka nav iespējams veikt nepieciešamo darbību. Tomēr jāatceras, ka izvēles rūtiņa aizsargā no dzēšanas tikai to objektu, kurā tā ir atlasīta. Tas ir, ja tas ir aktivizēts grupai, ieslēgts atsevišķi elementi, iekļauts tā sastāvā, šī instalācija nekādā veidā neattiecas. Tas ir, joprojām būs iespējams izdzēst jebkuru objektu iekšpusē, ja tas nav aizsargāts ar personīgo karogu. Situācija ir nedaudz atšķirīga, dzēšot neaizsargātu OU. Ja tajā nav aizsargātu objektu, OU tiks pilnībā izdzēsts. Bet, ja ir šādi objekti, tad parādītajā logā ir jāatzīmē izvēles rūtiņa “Izmantot apakškoku servera vadību”. Pretējā gadījumā tā vietā, lai dzēstu pašu OU ar visiem tās elementiem, faktiski tiks mēģināts attīrīt OU no objektiem, kuriem nav aizsardzības. Turklāt, kā liecina eksperimenti, šī tīrīšana būs nepilnīga, jo, saskaroties ar pirmo aizsargāto objektu, programma pārstāj darboties un izdod brīdinājumu. Tas ir raksturīgi gan Windows Server 2008, gan R2 RC.

Objekts ir aizsargāts pret nejaušu izdzēšanu

Active Directory atkritne

Ieviests Windows Server 2008 R2 jauna funkcija Active Directory atkritne (AD RB), tiek automātiski aktivizēta, kad domēns ir Windows Server 2008 R2 līmenī. Būtībā tas ir līdzīgs sistēmā Windows izmantotajai atkritnei, kurā varat ievietot izdzēstos failus, un nejauši izdzēstu objektu var ātri un bez problēmām atjaunot. Turklāt no AD RB atjaunots objekts nekavējoties saņem visus tā atribūtus. Pēc noklusējuma AD RB izdzēstā objekta “dzīves ilgums” ir 180 dienas, pēc tam tas nonāk atkritnes kalpošanas laika stāvoklī, zaudē atribūtus un pēc kāda laika tiek pilnībā izdzēsts. Šīs vērtības var mainīt, izmantojot parametru msDS-deletedObjectLifetime. Ja, instalējot AD, tika atlasīts līmenis zem R2 un pēc tam paaugstināts ar komandu:

PS C:\> Set-ADForestMode – Identity domain.ru -ForestMode Windows2008R2Forest

tad AD RB jāaktivizē atsevišķi. Šim nolūkam tiek izmantota cmdlet Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature – identitāte ‘CN=atkritnes līdzeklis,CN=izvēles līdzekļi,CN=kataloga pakalpojums, /

CN = Windows NT, CN = Pakalpojumi, CN = konfigurācija, DC = domēns, DC = ru' – Darbības mežs – Mērķis "domēns.ru"

Izdzēstā objekta atkopšana tagad ir ļoti vienkārša:

PS C:\> Get-ADObject -Filter (displayName -eq "lietotājs") -IncludeDeletedObjects | Atjaunot-ADObject

Get-ADObject un Restore-ADObject cmdlet ir liels skaits opcijas, piemēram, ļaujot atrast OU, kurai piederēja dzēstais konts, un pēc tam atjaunot visu OU. Dokumentā Atjaunojiet izdzēstu Active Directory objektu viss ir izklāstīts ļoti detalizēti.

Secinājums

Neskatoties uz Microsoft jaunās servera operētājsistēmas iespējām, Active Directory kontrolleru dublēšana ir jāveic sistemātiski un bez tā, nav iespējams atjaunot atsevišķus objektus vai OU. Turklāt papildus Windows Server dublēšanai jums vajadzētu izveidot momentuzņēmumus, izmantojot ntdsutil. Dublēšanas process tiek vienkāršots un datu apjoms tiek samazināts, ja domēna kontrolleris neveic citas funkcijas.

  1. Džila Kirkpatrika. Active Directory dublēšana un atjaunošana operētājsistēmā Windows Server 2008 – http://technet.microsoft.com/ru-ru/magazine/cc462796.aspx.
  2. Raksts KB944530. Kļūdas ziņojums, mēģinot veikt sistēmas stāvokļa dublēšanu sistēmā Windows Server 2008 – http://support.microsoft.com/kb/944530.
  3. Lietderība AdRestore — http://technet.microsoft.com/ru-ru/sysinternals/bb963906.aspx.
  4. Dokuments KB840001. Kā atjaunot dzēstos lietotāju kontus un to dalības grupās programmā Active Directory – http://support.microsoft.com/kb/840001.
  5. Dokuments KB237677. “LDIFDE rīka izmantošana direktoriju objektu importēšanai un eksportēšanai programmā Active Directory” - http://support.microsoft.com/kb/237677/ru.
  6. Lapa, kas veltīta Windows Server 2008 R2 — http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx.
  7. Dokuments 2. darbība. Atjaunojiet izdzēsto Active Directory objektu — http://technet.microsoft.com/en-us/library/dd379509.aspx.