Obnova je aktívna. Active Directory: kopírovanie a obnovenie. Spôsoby obnovenia pracovnej plochy

Active Directory v Windows Server 2008. Viacero doménových radičov, to je zlaté pravidlo, ktoré musia dodržiavať všetky stredné a veľké organizácie. Princíp obnovy v prítomnosti viacerých ovládačov sa výrazne mení. Skúsme pochopiť prečo. Predstavme si, že máte dva radiče domény s názvom DC1 a DC2 (sú to radiče rovnakej domény). Obe budú mať identickú databázu Active Directory a ak ju zmeníte na jednej, automaticky sa aktualizuje na druhej, ide o proces replikácie.

Teraz definujme plán zálohovania:

nedeľu- úplná záloha systémového oddielu (popísané v prvej časti článku)

pondelok - sobota- vytvorenie systemstate systemstate (popísané v prvej časti článku)

Všetko bolo v poriadku, no vo štvrtok kvôli problémom prestal fungovať radič domény DC1. Máte niekoľko spôsobov, ako obnoviť ovládač, zvážte ich.

  • Prvý spôsob: Obnovte stav systému, ktorý bol urobený v stredu. Ak to chcete urobiť, budete musieť spustiť ovládač v režime DSRM (režim obnovenia adresárových služieb) a používať program Windows Stav obnovenia zálohy servera. Na to však musí ovládač zaviesť systém DSRM, čo nemusí byť možné.
  • Spôsob dva: ak sa ovládač nedá načítať do DSRM, procedúra obnovy začína spustením obnovy systémového oddielu, ktorého záloha bola vytvorená v nedeľu. Po obnovení DC1 z tohto archívu sa váš počítač spustí normálne.

A tu pri prvej možnosti, že pri druhej sa objavia dva radiče, ktoré nemajú synchronizované databázy Active Directory. DC1 má verziu databázy v deň zálohy a DC2 má aktuálnu, najnovšiu verziu.

Ktorá verzia bude mať prednosť?

Ak vykonáte obnovu spôsobom, ktorý som popísal v prvej časti článku, potom bude mať prednosť ovládač, ktorý zostal funkčný, v našej situácii je to DC2. Všetko, čo je po obnovení v Active Directory na DC1, sa aktualizuje na stav DC2. Táto metóda sa nazýva neautoritatívne obnovenie.

Alebo možno toto zálohovanie servera Windows?

Nedávno som narazil na pozíciu zamestnanca spoločnosti Microsoft, ktorý na otázku, ako obnoviť radič domény, odpovedal „Prečo?“. Najprv som sa trochu čudoval, či si nerobí srandu, ale potom mi jeho argumenty boli jasné. Myšlienka je nasledovná. V stredne veľkých organizáciách je spravidla 3-4-5 alebo viac doménových radičov a šanca, že ich všetky naraz stratíte, je takmer 0. Aby sme sa vyhli tejto šanci, zálohujeme iba 2. V tomto prípade sa zálohuje jeden alebo tie radiče, ktoré vlastnia roly FSMO a majú osobitnú hodnotu. Všetci ostatní si jednoducho žijú svoje životy a ak jeden z nich zlyhá, jednoducho nainštalujeme nový OS a vybudujeme nový radič domény, treba poznamenať, že časom to budú rovnocenné postupy.

Možno budete chcieť prestať robiť kópie úplne, možno nestratíme všetko a ak chcete, môžete zaujať roly FSMO. Túžba je absolútne škodlivá a tu je dôvod. Strata objektov Active Directory nie je len náhodným vymazaním používateľa, organizačnú jednotku s celým obsahom môžete omylom vymazať pomocou skriptu a len ju vrátiť z kontajnera vymazaných objektov, nestihnete všetko v jeho pôvodnej podobe. A zmeny už boli replikované. A každý kontrolór vie o odstránení. V tejto situácii budete potrebovať zálohu.

Postupujte podľa pravidla - "Neexistujú žiadne ďalšie zálohy"

Priorita replikácie

Keďže štandardné obnovenie na „opravený“ radič replikuje Active Directory z fungujúcich radičov, táto metóda pre nás nebude fungovať. Musíme vynútiť zmenu priority replikácie a replikovať informácie z obnoveného ovládača na zvyšok. Toto sa nazýva nútené obnovenie.

V systéme Windows Server 2003 sme mohli vykonať autoritatívne obnovenie tromi spôsobmi:

    Vynútiť obnovenie celej databázy.

Tento postup bol vykonaný pomocou nástroja ntdsutil. V systéme Windows Server 2008 nástroj ntdsutil zostáva, ale teraz nemôžeme násilne obnoviť celú databázu.

iba:

    Vynútiť obnovenie organizačnej jednotky s obsahom

    Vynútiť obnovenie jedného objektu

Preto vždy potrebujeme vedieť, ktoré objekty boli vymazané. Prirodzene, takéto informácie si v hlave neudržíte. Na tento účel bol v systéme Windows 2008 vytvorený nástroj na pripojenie databázy Active Directory.

Nástroj na pripojenie databázy Active Directory je navrhnutý tak, aby zlepšil a konkrétne zjednodušil proces obnovy adresárovej služby. Ak sme v systéme Windows 2003 mali veľa archívov a nevedeli, ktorý obsahuje informácie potrebné na obnovu, museli sme hrať ruletu, obnoviť ten či onen archív a skontrolovať jeho obsah.

V systéme Windows 2008 je situácia iná. Pomocou nástroja Database Mounting Tool môžeme zobraziť obsah databázy pre konkrétny časový proces.

Žiaľ, obsah AD si nemôžeme prezerať počas akéhokoľvek zaujímavého obdobia, ale iba v momentoch, keď bol vytvorený Snapshot. Hneď poviem, že Snapshot nie je Snapshot, na ktorý sme zvyknutí používať VmWare. Obsahuje informácie o prítomnosti objektov v databáze, ale žiadnym spôsobom sa nepodieľa na obnove týchto objektov.

Z vyššie uvedeného môžeme vyvodiť záver:

Aby ste mali aktuálnu predstavu o obsahu zálohy, mala by sa pred ňou vytvoriť snímka. Text dávkového súboru, ktorý sa spustí pred vytvorením zálohy, by mal byť nasledujúci:

ntdsutil.exe "aktivovať inštanciu NTDS" vytvoriť snímku ukončiť ukončiť

Hotový dávkový súbor si môžete stiahnuť „tu“. Pred spustením zálohovania sa uistite, že má Snapshot čas na dokončenie.

Ryža. jeden. Vytvorte snímku služby Active Directory

Proces autoritatívneho obnovenia radiča domény pomocou stavu systému. (stav systému)

Pozadie je nasledovné, jeden z administrátorov zmazal organizačnú jednotku BetaTesters, ktorá obsahovala účtu alebo záznamy. S istotou to nevieme. Informácie o odstránení sa podarilo replikovať na všetky radiče domény. Máme niekoľko archívov Systemstate z predchádzajúcich dní. Kedy presne bola organizačná zložka odstránená, nevieme.

    Najprv si musíme vybrať, aký stav systému obnovíme. Dátum odstránenia nepoznáme. Na to nám poslúžia snímky, ktoré sa vytvárajú krátko pred zálohovaním. Spustením pomôcky ntdsutil sa pozrieme na zoznam snímok našej AD.

    Ryža. 2. Zobrazenie dostupných snímok služby Active Directory

    Pre toto v príkazový riadok nábor ntdsutil -> snímka -> Aktivovať inštanciu NTDS -> zoznam všetkých . V dôsledku toho získame zoznam vytvorených snímok služby Active Directory. Prvá snímka bola urobená 13. apríla. Začnem ním.

    Na to isté miesto namontujem príkaz namontovať s ID nahradeným prvým snímkom Active Directory. Príklad je na obrázku 3. Po tejto operácii budete mať na jednotke C: referenčný objekt s názvom $SNAP_date. Po jeho zadaní uvidíte štruktúru svojho systémový disk v čase vyhotovenia kópie.

    Ryža. 3. Pripojenie snímky služby Active Director

    Obrázok bol namontovaný. Otvorím druhé okno príkazového riadka a spustím pomôcku dsamain. Spustíme zložitý príkaz, ktorý vám umožní pripojiť snímku ako server LDAP. V príkaze zadajte cestu k súboru ntds.dit v pripojenom snímku a port servera LDAP (odporúčam 50001)

    Ryža. štyri. Pomocou dsamain.

    Bez zatvorenia okna spustite modul Active Directory Users and Computers. Vyberte pripojenie k inému radiču domény.

    Ryža. 5. Zmeňte radič domény.

    V zobrazenej ponuke zadajte pripojenie k " Názov servera: zadaný port v doméne dsamain', v mojej situácii je to ' DC:50001»

    Ryža. 6. Výber servera LDAP

    Kliknutím na tlačidlo "OK" sa dostaneme do modulu snap-in "Používatelia a počítače Active Directory", ktorý obsahuje údaje na čítanie od okamihu vytvorenia snímky Active Directory. Nájdem OU "BetaTesters" a má používateľa "Rud Ilya". Záver možno vyvodiť nasledovne: keďže snímka bola vytvorená 13. apríla a obsahuje vymazanú jednotku, musíme obnoviť stav systému do 13. apríla.

    Ryža. 7. Zobrazte informácie o snímke AD.

    Pred reštartovaním do režimu obnovenia adresárovej služby nezabudnite odpojiť snímku. To sa vykonáva pomocou príkazu unmount s ID snímky.

    Ryža. osem. Odpojenie snímky

    Teraz sme pripravení reštartovať jeden z radičov domény do režimu obnovenia adresárových služieb. Ako na to som napísal v prvej časti článku. Upozorňujeme, že pri nahrávaní do DSRM musíte použiť DSRM správcu, nie doménu.

    Ryža. 9. Prihláste sa do DSRM. Zadajte názov_počítača\správca

    Ryža. desať. Zoznam stavov systému (SystemStates)

    Potrebujeme obnoviť stav systému do 13. apríla, takže nasledujúci príkaz bude: wbadmin štart systemstaterecovery -version:archive_time

    Ryža. 12. Proces obnovy stavu systému.

    Každý objekt Active Directory má číslo verzie a ak má ten istý objekt rôzne čísla verzie na dvoch radičoch, potom správny (novší) objekt je ten s vyššou verziou. Po dokončení procesu obnovy musíte spustiť pomôcku ntdsutil a zvýšte číslo verzie pre vzdialenú pobočku Active Directory. Teda pre náš kontajner.

    Toto sa robí nasledovne: ntdsutil -> Aktivovať inštanciu NTDS -> Autoritatívne obnovenie -> obnoviť podstrom" A uveďte, čo by sa malo násilne obnoviť ”. Príklad je na obrázku 13.

    Ryža. 13. Voľba toho, čo bude násilne obnovené.

výsledok: Autoritatívne sme obnovili OU so všetkým obsahom pomocou snímok stavu systému a Active Directory. V systéme Windows Server 2008 môžeme vynútiť obnovenie buď organizačných jednotiek s celým obsahom, alebo konkrétnych objektov. Príkaz "restore database" z ntdsutil bol odstránený, takže nebudeme môcť násilne obnoviť celú databázu Active Directory.

Ak obnovujete archív systémového disku radiča domény a chcete dosiahnuť vynútenú obnovu niektorej časti AD, potom ihneď po obnove, ktorá zabráni spusteniu radiča v normálnom režime, vstúpime do režimu obnovenia adresárovej služby. A pomocou ntdsutil špecifikujeme, ktorá časť AD by mala byť nútená obnoviť sa.

Materiál poskytnutý zdrojom

Údaje podporujúce najpopulárnejšie súborové systémy(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS). Pracuje s pevnými diskami: IDE, ATA, SCSI, flash disky, pamäťové karty a diskety, ako aj polia RAID, čo je dôležité najmä pre správcov systému. Pre jednoduchého používateľa však nebude ťažké obnoviť odstránené alebo poškodené súbory.

Program je schopný rozpoznať 28 typov súborov na základe ich podpisov. Môžu to byť dokumenty, fotografie alebo obrázky, hudba, videá, archívy atď. Pre profesionálnych a amatérskych fotografov je možné vyhľadávať RAW fotografie používané výrobcom ich fotoaparátu (Leica, Canon, Nikon, Sony atď.), čo zúži vyhľadávanie a skráti čas obnovy snímok.

Dve možnosti obnovenia: QuickScan (rýchle) a SuperScan (pomalé), ako aj filter vyhľadávania vrátane časti názvu súboru pomôžu skrátiť čas vyhľadávania a obnovy pre súbory, ktoré potrebujete. Algoritmy programu v každom prípade umožňujú rýchlu obnovu dát aj z veľkých HDD, čo je často pre konkurenčné utility nedosiahnuteľné.

Rozhranie programu bude jasné aj pre neskúseného používateľa, ale aj skúsení používatelia, ktorí sa prvýkrát stretávajú s obnovou informácií, môžu mať otázky a ťažkosti. Napísali sme manuál na používanie Active File Recovery, ktorý vám pomôže prejsť procesom obnovy od spustenia aplikácie až po radosť po tom, ako získate späť stratené dáta.

Pokyny na používanie obnovy súborov

Pre vizuálne príklady sme vzali štyri súbory: video (mp4), zvuk (mp3), wordový dokument(doc) a obrázok (jpg). Tieto súbory sme hodili na pamäťovú kartu microSD a naformátovali ju. Teraz sa pokúsme obnoviť tieto súbory po formátovaní a uistite sa, že program funguje.

Obrázok č. 1: Súbory na obnovenie

Obrázok č. 2: Formátovanie pamäťovej karty

Po rozbalení archívu s programom spustite súbor " obnovenie súboru.exe". Otvorilo sa štartovacie okno pre OS Windows (Pozri od č. 4), kde vidíme všetky pripojené pamäťové zariadenia, medzi ktorými je nami naformátovaná pamäťová karta (ChipBnk Flash Disk). Vyberte ho a kliknite na „SuperSkan“ pre presnejšie pomalé skenovanie pamäťovej karty.

Obrázok č. 4: Výber zariadenia na skenovanie

Otvorí sa malé okno s nastaveniami skenovania. V ňom môžete nastaviť vyhľadávanie odstránených sekcií, ak nejaké boli, a nižšie vybrať typy súborov, ktoré bude program hľadať podľa podpisov. Ak potrebujete nájsť a obnoviť všetko, čo bolo na disku pred formátovaním alebo odstránením, ponechajte len "Všetko (pomaly)", ale nezabudnite, že potom bude skenovanie trvať oveľa dlhšie.

Obrázok č. 5: Nastavenia skenovania

Ak presne viete, aké typy súborov potrebujete obnoviť, vyberte možnosť „Niektoré“ a kliknite na „Vybrať ...“. Zaškrtnutím iba tých prípon súborov, ktoré nás zaujímajú, skrátime čas vyhľadávania. V našom prípade som určil štyri typy súborov (Pozri od. č. 6).

Obrázok č. 6: Výber typu súboru

Teraz kliknite na "OK" a "Štart". Proces skenovania beží a pokrok vidíme vizuálne v ľavom dolnom rohu v percentách.

Obrázok č. 7: Proces skenovania

Po dokončení skenovania sa na ľavej strane programu pod všetkými zariadeniami zobrazí priečinok „SuperScan“ s dátumom a časom. Otvoríme ho a vpravo vidíme typy súborov, ktoré program našiel. Vyberte ich a kliknite na ikonu s nápisom „Obnoviť“ v hornej časti. Ak chcete obnoviť naše súbory, budeme vyzvaní, aby ste zadali miesto, kde budú uložené. Po výbere miesta uloženia kliknite na „Obnoviť“, čím sa spustí proces obnovy.

Obrázok č. 8: Záchrana dát

Po dokončení obnovy údajov prejdeme do priečinka, ktorý sme označili, kde sú uložené naše súbory, každý vo svojej vlastnej sekcii. Kontrolujeme výkon a tešíme sa! Jediným negatívom je, že program nemohol obnoviť názvy súborov po formátovaní, ale nie vždy sa to stáva.

Jedným z dôležitých aspektov používania služby Active Directory je núdzové prepnutie. Na ochranu pred zlyhaním sa vždy oplatí mať spoľahlivé zálohovanie Stav systému. Zálohovanie stavu systému vám umožňuje zabezpečiť zachovanie súborov, ktoré sú dôležité pre fungovanie systému.

Tieto súbory zahŕňajú Active Directory, systémový register a obsah priečinka SYSVOL, ktorý obsahuje prihlasovacie skripty a šablóny. skupinové politiky. Keď zlyhá radič domény najlepšia cesta zotavenie je vo všeobecnosti zlyhanie zotavenia.

Vždy, ak to dovolí priepustnosť sieťové pripojenie a v doméne je druhý radič domény, skúste preinštalovať operačný systém Windows (alebo ho obnoviť zo zálohy ASR) a znova spustite pomôcku DCPromo na povýšenie servera na radič domény. Výsledkom bude čistý systém.

Keďže službu Active Directory možno zálohovať iba ako súčasť Stav systému, pri obnove služby Active Directory musíte obnoviť aj Stav systému. Ak server úplne zlyhal, obnovte systém na inom hardvér môže viesť k problémom.

Ak sa po obnovení vyskytnú problémy, vykonajte opravu operačný systém vyriešiť prípadné chyby konfigurácie.

Ak teda zlyhali všetky ostatné pokusy o vyriešenie problému a máte platnú zálohu stavu systému a potrebujete obnoviť databázu Active Directory, môžete použiť jeden z troch typov obnovy.

  • Primárny- Túto možnosť vyberte, ak obnovujete prvý radič domény a v doméne nie sú povolené žiadne ďalšie radiče domény. Ak vyberiete túto možnosť, obnovenie zvyšku radičov domény musí byť neautoritatívne.
  • Autoritatívny- používa sa len vtedy, keď je potrebné obnoviť databázu Active Directory do stavu, v akom bola v čase zálohovania. Takáto obnova by sa mala vykonať iba vtedy, keď sa vyskytnú závažné chyby, ako je napríklad odstránenie organizačnej jednotky, alebo ak je potrebné vrátiť všetky predchádzajúce akcie späť. Táto voľba obnovy vyžaduje, aby ste po obnove spustili príkaz ntdsutil, aby ste vybrali objekty, ktoré sú autoritatívne pre replikáciu.
  • neautoritatívne- táto možnosť obnovy sa používa v 99% prípadov obnovy databázy Active Directory. Táto možnosť spôsobí obnovenie údajov, po ktorom radič domény dostane aktualizácie z iných radičov domény v rámci lesa (čo umožňuje obnovenie synchronizácie).

Pri spustení obnovy služby Active Directory sa v dialógovom okne vyberie možnosť obnovenia Rozšírené možnosti obnovenia v aplikácii Zálohovanie. Ešte raz zdôrazňujem, že o obnove treba uvažovať až v krajnom prípade.

Ak je radič domény jediný DNS server a DNS používa zóny integrované so službou Active Directory, údaje zóny DNS budú nedostupné, keď sa radič domény zavedie do režimu obnovenia adresárovej služby.

Ak sa stav systému obnovuje cez sieť pomocou zálohovacieho nástroja tretej strany, môže byť potrebné vykonať príslušné záznamy v súbor hostiteľov(to poskytne rozlíšenie názvov pre všetky počítače, ktoré sa zúčastňujú procesu obnovy).

Čo robiť a aké tance tancovať s tamburínou a bez nej, ak na pracovnej ploche vidíte nápis „Obnoviť aktívnu plochu“? Aj keď sa s týmto problémom stretáva čoraz menej používateľov, pretože hlavnou platformou pre túto chybu je prevádzka systém Windows XP, ale stále je to relevantné. Po všetkom, tento systém je však stále relevantné.

Prečo chyba obnovenia pracovnej plochy?

Problém je tento: kvôli nejakej chybe prestane fungovať pracovná plocha, ako ju poznáme. A namiesto nášho obľúbeného obrázka na pozadí vidíme nápis „Obnoviť aktívnu plochu“, s ktorým musíme súhlasiť, že je nepríjemný. Zdá sa však, že všetko nie je obzvlášť desivé, pretože na tom istom mieste môžete okamžite vidieť tlačidlo na obnovenie pracovnej plochy. A vážne ma zaujíma otázka, pomohlo toto tlačidlo aspoň niekomu? Aspoň raz?

Príčiny výpadku pracovnej plochy sú mi neznáme. Nepreliezal som FAQ pri hľadaní výkladu. Ale viem ako vyriešiť takýto problém a myslím si, že si sem prišiel kvôli tomuto a nie kvôli nudnej teórii.

Spôsoby obnovenia pracovnej plochy

Najjednoduchší spôsob obnovenia Active Desktop je prihlásiť sa ako lokálny správca a odstrániť priečinok problematického používateľa. Ak ste správca, môžete vytvoriť nového správcu a znova odstrániť priečinok problematického používateľa. Tento priečinok je uložený v c:\používatelia. Potom sa znova prihláste pod problémovým účtom. Priečinok účtu sa znova vytvorí. A keďže vzniká skopírovaním priečinka predvolené, potom to nebude mat ziadne problemy. Od priečinka Predvolené toto je predvolený priečinok, na základe ktorého sú všetky nové vlastné priečinky, neobsahuje nič od používateľa. Žiadne nastavenia, žiadne dokumenty, žiadne uložené heslá – absolútne nič, čo by sa zarobilo počas životnosti účtu. Preto je to najjednoduchší spôsob riešenia problému. A odvrátenou stranou ľahkosti je demolácia všetkých vašich nastavení na nulu. Ak vám to vyhovuje, pokračujte v skladbe.

No vždy existuje aj zložitejšie riešenie problému. ale túto možnosť nielenže obnoví pracovnú plochu, ale aj uloží všetky vaše nastavenia so sebou. Ak to chcete urobiť, otvorte Editor registra a prejdite do pobočky registra
hkey_current_user\software\microsoft\internet explorer\desktop\scheme
Tam nájdeme parameter zobrazuje. Hodnota parametra musí byť savemode. Toto nastavenie pochádza z registra a upozorňuje systém, že sa vyskytla chyba súvisiaca s pracovnou plochou. A tak poukazuje na to, že toto musíte zahrnúť savemode. Ach potom len tá istá obrazovka s chybou. Takúto obrazovku nepotrebujeme. Preto tento parameter vymažeme.

Potom prejdeme do priečinka
c:\documents and settings\%user%\appdata\microsoft\internet explorer\
a vymažte súbor desktop.htt Je tiež možné, že tento súbor tam nebude. Potom odstráňte všetky obmedzenia na zobrazovanie skrytých a systémové súbory v tomto priečinku. To sa dá urobiť cez príkazový riadok pomocou príkazu alebo napríklad pomocou programu, ako je Total commander. Keď tento súbor nájdeme, odstránime ho. Mimochodom daný súbor možno odstrániť jednoducho cez , keďže poznáme celú cestu k nemu. Ak to chcete urobiť, použite príkaz del.

Po tom všetkom aktualizujeme pracovnú plochu. Ak sa kroky vykonajú správne, obrazovka s chybou o potrebe obnovenia aktívnej pracovnej plochy zmizne. Veľa štastia!

AKTUALIZÁCIA: Riešenie pre lenivých: skúste si jednoducho vybrať nejaký obrázok ako pozadie pracovnej plochy. Niekedy takáto jednoduchá akcia dáva požadovaný výsledok.

Sergej Jaremčuk

Zálohovanie a obnova objektov
Active Directory v systéme Windows Server 2008/2008 R2

Služba Active Directory je priemyselným štandardom firemné siete pracujúci pod Ovládanie Windows. Poskytovanie správcu efektívne nástroje, navonok ľahko použiteľný, napriek tomu je pomerne zložitý vo svojej štruktúre a zložení. Navyše nikto nie je imúnny voči poruchám v prevádzke operačného systému, programov, hardvérovej poruche alebo ľudskej chybe. Preto treba byť vždy pripravený na to, že budú musieť byť prijaté opatrenia obnova diela vo všeobecnosti alebo jednotlivých prvkov.

O potrebe zálohovania

V každom novom Verzie systému Windows Server, objavujú sa nové nástroje, ktoré zjednodušujú a automatizujú proces správy, ktoré zvládne aj začínajúci správca. Jedným z bežných názorov takýchto „špecialistov“ je všeobecné odmietanie rezervovať radiče domény. Argument je jednoduchý. Stredne veľké a veľké organizácie používajú viacero doménových radičov, to je axióma. Pravdepodobnosť, že za jeden deň všetko zlyhá, sa prakticky rovná nule. Pokiaľ nie sú vyňatí z príkazu prokurátora alebo zneužitím chyby v organizácii bezpečnosti, ale tento prípad, ako vidíte, nie je bežný. Preto, ak jeden radič domény zlyhá, všetky ostatné fungujú normálne a nový server je pripravený nahradiť ho. Čiastočne majú pravdu, ale vyhradenie aspoň dvoch kontrolórov (v prípade chyby) s rolami FSMO (Flexibilné single-master operácie, operácie s jedným vykonávateľom) je stále povinné. To odporúča Microsoft a zdravý rozum. A je tu ešte jeden hlavný argument v prospech výhrad. Jednoduchosť riadenia vedie k zvýšeniu percenta chýb. Náhodné odstránenie objektu Active Directory je celkom jednoduché. A nemusí ísť nutne o úmyselnú akciu, môže k nej dôjsť napríklad v dôsledku chyby pri vykonávaní skriptu. A na obnovenie všetkých nastavení budete musieť vynaložiť určité úsilie.

Ak sa chyba neodhalí okamžite a zmena sa už replikovala na iné ovládače, v tejto situácii budete potrebovať zálohu. Nehovorím o malých organizáciách s jedným radičom domény.

Dokument zobrazujúci možnosti zálohovania a obnovy systému Windows Server 2008 je dokument Gila Kirkpatricka „Zálohovanie a obnovenie služby Active Directory v systéme Windows Server 2008“ v , ktorý odporúčam prečítať. Ak sú však problémy so zálohovaním úplne opísané, obnova je podľa môjho názoru zobrazená trochu povrchne a neposkytuje úplný obraz. Tento článok v skutočnosti vyšiel z poznámok zostavených pre tento extrémny prípad.

Archivačný systém Údaje systému Windows server

V systéme Windows Server 2008 bol NT Backup nahradený úplne novým komponentom Windows Server Backup System (Windows Server Backup, WBS), založený na VSS (Volume Shadow Copy Service, služba tieňovej kópie zväzku). WBS je pomerne výkonná aplikácia, ktorá vám umožňuje obnoviť systém, a to aj na iný počítač, podporujúci niektoré služby, ktorých zoznam zahŕňa AD.

Inštalácia WBS je jednoduchá, stačí aktivovať komponent "Windows Server Backup Features" plus podpoložku "Windows Server Backup". Ten obsahuje konzolu na správu MMC a nový nástroj príkazového riadka Wbadmin. Okrem toho je k dispozícii položka "Programy príkazového riadku", ktorá zahŕňa skripty PowerShell, ktorá vám umožňuje vytvárať a spravovať zálohy.

Na príkazovom riadku je inštalácia ešte jednoduchšia:

> servermanagercmd -nainštalujte funkcie zálohovania

Alebo v jadre servera:

> ocsetup Windows Server Backup

Rezervácie je možné spravovať z konzoly MMC alebo z príkazového riadku. Ak chcete zálohovať kritické zväzky, zadajte:

> wbadmin Spustiť zálohovanie -backupTarget:E: -allCritical

S úplnou kópiou si myslím, že je všetko jasné. V kontexte článku nás skôr zaujíma zálohovanie stavu systému pomocou parametra SystemStateBackup. Mimochodom, táto funkcia nebola dostupná v prvých zostavách systému Windows Server 2008 a nie je dostupná ani prostredníctvom MMC:

> wbadmin Spustiť SystemStateBackup -backupTarget:E:

V tomto prípade sa vykoná skopírovanie stavu systému a niektorých služieb, vrátane AD, po súboroch. Najnepohodlnejšie v tomto prípade je, že zakaždým musíte vytvoriť plnú kópiu (čerstvo nainštalovaný systém má približne 7 GB) a proces je o niečo pomalší ako bežná záloha. Ale na druhej strane môžete takúto kópiu obnoviť na iný počítač s identickou konfiguráciou.

Príkaz skopíruje do iného zväzku. KB944530 vám však povie, ako povoliť možnosť zálohovania na ľubovoľný zväzok. Ak to chcete urobiť, pridajte hodnotu DWORD s názvom AllowSSBTo AnyVolume s hodnotou 1 do vetvy registra HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup.

S redundanciou tu zvyčajne nie sú žiadne problémy, všetko je jednoduché a jasné, ťažkosti začínajú, keď je potrebné obnoviť zdravie AD alebo náhodne vymazané objekty. Používanie kópií SystemState vám umožňuje zaobísť sa bez obnovy celého systému, ale jednoducho obnoviť predchádzajúci stav služieb AD. Grafická konzola určená na obnovu dát nevidí kópie SystemState (sú umiestnené na disku v inom adresári SystemStateBackup). Ak sa pokúsite spustiť proces obnovy v pracovný systém, dostaneme správu, že keďže archív obsahuje doménovú službu Active Directory, operácia musí byť vykonaná v režime obnovy adresárových služieb (DSRM). Toto je jedna z nevýhod, pretože radič domény bude momentálne nedostupný.

Nový zavádzací mechanizmus BCD zavedený vo Windowse od Vista, ktorý odstránil starý dobrý boot.ini, nás núti urobiť ešte niekoľko krokov, aby sme sa dostali do DSRM. OS obsahuje špeciálna pomôcka, určený na úpravu parametrov zavádzača (grafické nástroje nájdete na internete, ale nemyslím si, že majú miesto na serveri). Vytvorte novú kópiu záznamu:

> bcdedit /copy (predvolené) /d "Režim opravy adresárovej služby"

Po dokončení skontrolujte:

> bcdedit /enum

Nová položka by sa mala objaviť v zozname.

Reštartujeme, vyberieme položku Režim opravy adresárovej služby a kliknutím , skontrolujte "Režim obnovenia adresárovej služby". Upozorňujeme, že v tomto režime musíte na prihlásenie použiť poverenia správcu. lokálny systém, nie účet domény.

> wbadmin získať verzie

A obnovte pomocou prijatého identifikátora verzie ako parametra:

> wbadmin štart systemstaterecovery --version:05/21/2009-21:02

Ak obnovujete z lokálneho disku, parameter BackupTarget, ktorý informuje wbadmin, kde má získať zálohu, je voliteľný. Ak je kópia v sieťový zdroj, píšeme to takto:

BackupTarget:\\computer\backup-machine:server-ad

Napriek varovaniu, že:

Obnovenie adresárovej služby zvyčajne prebieha bez problémov. Po reštarte sa zobrazí hlásenie, že iniciovaná operácia obnovy bola úspešne dokončená.

Keď prejdeme do konzoly na správu služby Active Directory, zistíme, že všetko je na svojom mieste ... okrem nových objektov vytvorených po vykonaní zálohy. V zásade sa takýto výsledok očakáva. A na obnovenie jednotlivých objektov existuje úplne iný spôsob (dokonca niekoľko).

Vynútiť obnovenie objektov pomocou NTDSUTIL

Windows Server obsahuje pomôcku príkazového riadka NTDSUTIL na údržbu, správu a riadenie Active Directory Domain Services (AD DS) a Active Directory Lightweight Directory Services (AD LDS). Pomôcka bude v systéme dostupná po nainštalovaní roly AD DS. V systéme Windows Server 2008 sa jeho funkčnosť trochu zmenila. Takže v systéme Windows Server 2003 bolo možné s jeho pomocou obnoviť celú databázu, ale v roku 2008 s tým wbadmin odvádza vynikajúcu prácu, čo je pravdepodobne dôvod, prečo boli jeho možnosti obnovy mierne obmedzené. Teraz pomocou NTDSUTIL môžete obnoviť organizačnú jednotku so všetkým obsahom a jedným objektom.

Jeho práca je založená na snímkach Active Directory vytvorených pomocou služby VSS. Snímka je kompaktná záloha spustenej služby Active Directory so všetkými adresármi a súbormi. Vytvorenie takejto kópie je na rozdiel od SystemState veľmi rýchle a trvá niekoľko sekúnd.

> ntdsutil

Prejdite do kontextu snímky:

ntdsutil:snapshot

Spustite príkaz snapshot (krátka forma je „ac i ntds“):

snímka: aktivácia inštancie ntds

snímka: vytvoriť

Po chvíli získame informácie o vytvorenej snímke, ukončíme:

snímka: skončiť

ntdsutil: ukončiť

Teraz na obnovenie databázy Active Directory stačí zadať „ntdsutil files repair“ na príkazovom riadku DSRM, ale nás zaujíma jediný objekt.

Zoznam odstránených objektov môžete zobraziť pomocou LDP.exe pomocou cmdletov Get-ADObject a Restore-ADObject PowerShell (existujú aj ďalšie možnosti).

Napríklad v LDP by ste sa mali pripojiť k serveru, vybrať „Možnosti (Možnosti) -\u003e Ovládacie prvky (Ovládacie prvky)“ a v rozbaľovacom zozname „Načítať preddefinované“ nastaviť parameter Vrátiť odstránené objekty. Potom prejdite na "Zobraziť -> Strom", vyberte kontext domény. V dôsledku toho sa v strome napravo objaví objekt CN=Deleted Object, kde nájdeme všetky odstránené objekty.

Teraz je dôležité, že pri odstránení objekt stratí veľkú a dôležitú časť svojich vlastností (najmä heslo, managedBy, memberOf), takže po obnovení nebude presne taký, ako sme ho chceli mať. . To všetko je v LDP jasne viditeľné. Ale tu je niekoľko možností:

  • zvýšiť počet atribútov, ktoré nebudú prepísané, keď sa objekt vymaže v úložisku vymazaných objektov;
  • obnoviť objekt a vrátiť jeho atribúty;
  • a najlepšie je zablokovať objekt pred náhodným vymazaním.

Existuje niekoľko spôsobov, ako obnoviť odstránený objekt. Najpohodlnejší je nástroj AdRestore od Marka Russinovicha. Stiahnite si a zadajte:

> adresstore -r užívateľ

Získame objekt s niektorými atribútmi.

Zostávajúce metódy sú popísané v KB840001, nie sú také jednoduché, takže sa nimi nebudem zaoberať.

Obnovenie atribútov objektu

Snímka urobená pomocou ntdsutil má objekt a jeho atribúty. Obraz je možné pripojiť a pripojiť ako virtuálny server LDAP, ktorý exportuje objekty. Voláme ntdsutil:

> ntdsutil

ntdsutil:snapshot

Pozrite si zoznam dostupných obrázkov:

snímka: zoznam všetkých

Obrázok bol namontovaný. Teraz môžete pomocou Prieskumníka prejsť do určeného adresára a zistiť, čo je vnútri. Ukončite ntdsutil zadaním quit dvakrát, obraz bude stále pripojený. Teraz pomocou pomôcky dsamain vytvoríme virtuálny server LDAP, pričom ako parameter zadáme cestu k súboru ntds.dit, ktorý sa nachádza v pripojenej snímke. Ako port servera LDAP som vybral 10 000:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Spustenie Microsoft Active Directory Domain Services verzie 6.0.6001.18000 dokončené

K virtuálnemu serveru LDAP sa môžete pripojiť pomocou konzoly Active Directory Users and Computers, pričom ako parameter zadáte číslo portu 10000 a zobrazíte objekty vo vnútri.

Parametre požadovaného objektu exportujeme do súboru ldf, viac o ldifde je napísané v KB237677 .

> ldifde -r "(meno=používateľ)" -f export.ldf -t 10000

Vo výslednom súbore ldf zmeňte changetype: pridajte parameter na changetype: upravte a potom nový súbor importovať do adresára:

> ldifde -i -z -f import.ldf

Existujú ďalšie možnosti importu/exportu pomocou DSGET/DSMOD, PowerShell atď.

> dsget user cn=user,ou=ou1,dc=domain,ds=ru -s localhost:10000 -memberof | dsmod group -c -addmbr cn=user,ou=ou1,dc=domain,ds=ru

Iná metóda je založená na skutočnosti, že každý objekt Active Directory má číslo verzie. Ak sa čísla verzií na dvoch radičoch domény líšia, objekt s vyšším číslom verzie sa považuje za nový a platný objekt. Toto využíva mechanizmus „autoritatívnej obnovy“, keď objektu obnovenému pomocou ntdsutil je priradené vyššie číslo a AD ho akceptuje ako nový. Aby mechanizmus autoritatívnej obnovy fungoval, server sa tiež reštartuje do DSRM.

> ntdsutil "autoritatívne obnovenie" "obnovenie objektu cn=používateľ,ou=skupina,dc=doména,dc=ru" q q

Rozdelenie sa obnoví rovnakým spôsobom:

> ntdsutil "autoritatívne obnovenie" "obnovenie podstromu ou=skupina,dc=doména,dc=ru" q q

Ochrana objektov pred vymazaním

Na začiatok, so systémom Windows Server 2008 R2 dostali správcovia ďalšiu funkčnú úroveň domény a výsledkom je, že takýto server možno nakonfigurovať v jednej zo štyroch úrovní - Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Dá sa určiť počas inštalácie pomocou dcpromo alebo zvýšiť, ak bola pomocou ponuky vybratá nižšia úroveň Obnovte funkčnú úroveň domény (lesa). v Active Directory Admin Center, o ktorom trochu ďalej. Okrem toho je možná aj reverzná operácia - zníženie funkčnej úrovne domény a lesa, ak sú na úrovni Windows Server 2008 R2, môže sa vrátiť na úroveň Windows Server 2008, nižšie - na 2003 alebo 2000 - je to nemožné. Väčšina nových funkcií bude dostupná iba v prípade, že doména bude na úrovni R2. Počnúc systémom Windows Server 2008 sa teda vo vlastnosti objektu objavila ďalšia položka, ktorá umožnila jeho ochranu pred náhodným odstránením. Presnejšie to bolo predtým, ale tu to už hľadať netreba.

V systéme Windows Server 2008 je k dispozícii pri vytváraní pododdielu (OU, organizačná jednotka) a nazýva sa „Chrániť objekt (kontajner) pred náhodným odstránením“. Tento príznak sa zobrazí iba pri vytvorení novej OU. Pre existujúce OU, ako aj nové vytvorené skupiny, počítačov a účtov, možno ho aktivovať na karte „Objekt“ v okne vlastností (viditeľné pri aktívnom „Zobraziť -> Ďalšie komponenty (Rozšírené)“).

V R2 je potrebná položka Chrániť pred náhodným odstránením dostupná vo vlastnostiach individuálneho účtu, počítača, skupiny a oddelenia na najvýznamnejšom mieste. Tu stačí zaškrtnúť políčko a pri pokuse o vymazanie objektu dostane administrátor varovanie o nemožnosti vykonania požadovanej operácie. Malo by sa pamätať na to, že začiarkavacie políčko chráni pred odstránením iba objekt, v ktorom je nastavené. To znamená, že ak je aktivovaný pre skupinu, zap jednotlivé prvky zahrnuté v jeho zložení sa táto inštalácia v žiadnom prípade nevzťahuje. To znamená, že stále bude možné vymazať akýkoľvek objekt vo vnútri, ak nie je chránený osobnou vlajkou. Trochu iná situácia pri mazaní nechránenej OU. Ak neobsahuje žiadne chránené objekty, OU bude úplne vymazaná. Ak však takéto objekty existujú, v zobrazenom okne začiarknite políčko "Použiť kontrolu servera podstromu" (Použiť kontrolu servera podstromu). V opačnom prípade namiesto vymazania samotnej OÚ so všetkými prvkami skutočne dôjde k pokusu o vyčistenie OÚ od objektov, ktoré ochranu nemajú. Navyše, ako ukazujú experimenty, toto čistenie bude neúplné, pretože keď sa stretnete s prvým chráneným objektom, program prestane pracovať a vydá varovanie. To platí pre Windows Server 2008 aj R2 RC.

Objekt je chránený pred náhodným vymazaním

Kôš služby Active Directory

Windows Server 2008 R2 predstavuje novú funkciu Active Directory Kôš (AD RB), ktorá sa automaticky aktivuje, keď je doména na úrovni Windows Server 2008 R2. Vo svojej podstate je podobný košíku používanému vo Windows, v ktorom odstránené súbory a omylom odstránený objekt je možné rýchlo a bez problémov obnoviť. Navyše, objekt obnovený z AD RB okamžite dostane všetky svoje atribúty. Štandardne je „životnosť“ vymazaného objektu v AD RB 180 dní, po ktorých prejde do stavu Recycle Bin Lifetime, stratí atribúty a po chvíli sa úplne vymaže. Tieto hodnoty môžete zmeniť pomocou parametra msDS-deletedObjectLifetime. Ak sa počas inštalácie AD vybrala úroveň pod R2 a potom sa zvýšila pomocou príkazu:

PS C:\> Set-ADForestMode –Identity domain.ru –ForestMode Windows2008R2Forest

potom je potrebné aktivovať AD RB samostatne. Ak to chcete urobiť, použite cmdlet Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature –Identity ‘CN=Funkcia Kôš,CN=Voliteľné funkcie,CN=Adresárová služba, /

CN=Windows NT,CN=Služby,CN=Konfigurácia, DC=doména,DC=ru' –Formát rozsahu –Cieľ 'domena.ru'

Obnovenie odstráneného objektu je teraz veľmi jednoduché:

PS C:\> Get-ADObject -Filter (displayName -eq "user") -IncludeDeletedObjects | Restore-ADObject

Rutiny cmdlet Get-ADObject a Restore-ADObject majú veľa možností, napríklad vám umožňujú nájsť OU, ktorej patril odstránený účet, a potom obnoviť celú OU. Dokument Obnovte odstránený objekt Active Directory všetko je veľmi podrobné.

Záver

Napriek schopnostiam nových serverových operačných systémov od spoločnosti Microsoft je potrebné systematicky a neustále vykonávať zálohy radičov Active Directory, bez ktorých nie je možné obnoviť jednotlivé objekty alebo OU. Okrem toho by ste okrem zálohovania servera Windows mali vytvárať snímky pomocou ntdsutil. Proces zálohovania sa zjednoduší a objemy údajov sa znížia, ak radič domény nevykonáva iné funkcie.

  1. Jill Kirkpatrick. Zálohovanie a obnovenie služby Active Directory v systéme Windows Server 2008 – http://technet.microsoft.com/en-us/magazine/cc462796.aspx .
  2. Článok KB944530. Chybové hlásenie pri pokuse o vykonanie zálohy stavu systému v systéme Windows Server 2008 – http://support.microsoft.com/kb/944530 .
  3. Utility AdRestore – http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx .
  4. Dokument KB840001. Ako obnoviť odstránené používateľské kontá a ich členstvo v skupinách v službe Active Directory - http://support.microsoft.com/kb/840001 .
  5. Dokument KB237677. „Používanie nástroja LDIFDE na import a export objektov adresára v službe Active Directory“ – http://support.microsoft.com/kb/237677/en .
  6. Stránka systému Windows Server 2008 R2 – http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx .
  7. Dokument Krok 2: Obnovte odstránený objekt Active Directory – http://technet.microsoft.com/en-us/library/dd379509.aspx .