Obnovitev aktivna. Active Directory: kopiraj in obnovi. Metode za obnovitev namizja

Active Directory v Windows Server 2008. Domenskih krmilnikov naj bo več, to je zlato pravilo, ki ga morajo upoštevati vse srednje in velike organizacije. Načelo obnovitve ob prisotnosti več krmilnikov se bistveno spremeni. Poskusimo razumeti, zakaj. Predstavljajmo si, da imate dva krmilnika domene z imenom DC1 in DC2 (to sta krmilnika iste domene). Oba bosta imela identično bazo podatkov Active Directory in če jo spremenite na enem, se bo samodejno posodobila na drugem, to je postopek podvajanja.

Zdaj pa se odločimo za urnik varnostnega kopiranja:

nedelja- popolna varnostna kopija sistemske particije (opisano v prvem delu članka)

ponedeljek - sobota- ustvarjanje stanja sistema systemstate (opisano v prvem delu članka)

Vse je bilo v redu, vendar je v četrtek krmilnik domene DC1 zaradi težav prenehal delovati. Krmilnik lahko obnovite na več načinov, poglejmo jih.

  • Prvi način: Obnovi sistemsko stanje, ki je bilo narejeno v sredo. Če želite to narediti, boste morali krmilnik zagnati v načinu DSRM (Directory Service Restore Mode) in uporabiti Windows program Stanje obnovitve varnostne kopije strežnika. Toda za to se mora krmilnik zagnati v DSRM; to morda ne bo mogoče.
  • Drugi način:če nalaganje krmilnika v DSRM ne uspe, se postopek obnovitve začne z začetkom obnovitve sistemske particije, katere arhiv je bil ustvarjen v nedeljo. Ko obnovite DC1 iz tega arhiva, se vaš računalnik začne normalno zagnati.

In tukaj se v prvi možnosti in v drugi pojavita dva krmilnika, ki nimata sinhroniziranih baz podatkov Active Directory. DC1 ima različico baze podatkov na dan varnostne kopije, DC2 pa trenutno, najnovejšo različico.

Katera različica bo imela prednost?

Če obnovitev izvedete na način, ki sem ga opisal v prvem delu članka, bo prednost dana krmilniku, ki je ostal delujoč, v našem primeru je to DC2. Vse, kar je v imeniku Active Directory na DC1 po obnovitvi, bo posodobljeno v stanje DC2. Ta metoda se imenuje neprisilna obnovitev.

Ali morda ta Windows Server Backup?

Pred kratkim sem naletel na položaj Microsoftovega zaposlenega, ki je na vprašanje, kako obnoviti krmilnik domene, odgovoril "Zakaj?" Najprej sem se malo spraševal, ali se heca, potem pa so mi njegovi argumenti postali jasni. Ideja gre takole. V srednje velikih organizacijah je praviloma 3-4-5 ali več domenskih krmilnikov in možnost, da jih izgubimo naenkrat, je blizu 0. Da bi se izognili tej možnosti, varnostno kopiramo samo 2. V tem primeru pride do varnostnega kopiranja enega ali tistih krmilnikov, ki imajo v lasti vloge FSMO in so posebne vrednosti. Vsi ostali pač živijo svoja življenja in če kateri odpove, enostavno namestimo nov OS in dvignemo nov krmilnik domene, treba je vedeti, da bodo to časovno enakovredni postopki.

Morda obstaja želja po popolni ustavitvi izdelave kopij, morda ne bomo izgubili vsega in po želji lahko zajamemo vloge FSMO. Želja je popolnoma škodljiva in tukaj je razlog. Izguba objektov Active Directory ni samo naključni izbris uporabnika, organizacijsko enoto lahko s skripto po nesreči zbrišete z vso njeno vsebino in jo preprosto vrnete iz vsebnika izbrisanih objektov, ne boste mogli dobiti vsega svojo prvotno obliko. In spremembe so bile že ponovljene. In vsak upravljavec ve za izbris. V tem primeru boste potrebovali varnostno kopijo.

Upoštevajte pravilo - "Ni dodatnih varnostnih kopij"

Prednost podvajanja

Ker standardna obnovitev kopira Active Directory iz delujočih krmilnikov v "popravljen" krmilnik, ta metoda za nas ne bo delovala. Prisiliti moramo prioriteto podvajanja, da spremeni in podvoji informacije iz obnovljenega krmilnika na ostale. To se imenuje prisilna izterjava.

V sistemu Windows Server 2003 lahko prisilno obnovitev izvedemo na tri načine:

    Prisilna obnovitev celotne baze podatkov.

Ta postopek je bil izveden s pripomočkom ntdsutil. V sistemu Windows Server 2008 pripomoček ntdsutil ostaja, vendar zdaj ne moremo prisilno obnoviti celotne baze podatkov.

Samo:

    Prisilno obnovite organizacijsko enoto z vsebino

    Prisilna obnovitev enega predmeta

Zato moramo vedno vedeti, kateri objekti so bili izbrisani. Takšnih informacij seveda ne boste mogli obdržati v glavi. V ta namen je bilo v sistemu Windows 2008 ustvarjeno orodje za namestitev baze podatkov Active Directory.

Orodje za namestitev baze podatkov Active Directory je zasnovano za izboljšanje in zlasti poenostavitev postopka obnovitve imeniške storitve. V operacijskem sistemu Windows 2003, če smo imeli veliko arhivov in nismo vedeli, kateri vsebuje podatke, potrebne za obnovitev, smo morali igrati ruleto, obnoviti ta ali oni arhiv in preveriti njegovo vsebino.

V sistemu Windows 2008 se situacija spremeni. Z orodjem Database Mounting Tool si lahko ogledamo vsebino baze podatkov za določen časovni proces.

Žal si vsebine AD ne moremo ogledati za poljubno obdobje, ki nas zanima, ampak le v tistih trenutkih, ko je bil posnetek ustvarjen. Takoj bom rekel, da Snapshot ni posnetek, ki smo ga vajeni uporabljati VmWare. Vsebuje informacije o prisotnosti objektov v bazi podatkov, vendar nikakor ni vključen v obnavljanje teh objektov.

Iz zgoraj navedenega lahko sklepamo:

Da bi imeli posodobljeno predstavo o vsebini narejene varnostne kopije, je treba pred njo ustvariti Snapshot. Besedilo paketne datoteke, ki se zažene pred ustvarjanjem varnostne kopije, mora biti naslednje:

ntdsutil.exe "aktiviraj primerek NTDS" posnetek ustvari zapri zapusti

Končano paketno datoteko lahko prenesete »tukaj«. Prepričajte se, da se Snapshot konča, preden začnete varnostno kopiranje.

riž. 1. Ustvarjanje posnetka Active Directory

Postopek vsiljevanja obnovitve krmilnika domene z uporabo stanja sistema. (stanje sistema)

Ozadje je naslednje: eden od administratorjev je izbrisal organizacijsko enoto »BetaTesterji«, ki je vsebovala račun ali posnetke. Tega ne vemo zagotovo. Informacije o izbrisu so že bile podvojene na vse krmilnike domene. Imamo več arhivov iz Systemstate iz prejšnjih dni. Ne vemo natančno, kdaj je bila organizacijska enota odstranjena.

    Najprej moramo izbrati, kakšno stanje sistema bomo obnovili. Datuma izbrisa ne poznamo. Za to bomo uporabili posnetke, ki so ustvarjeni tik pred varnostnim kopiranjem. Ko zaženemo pripomoček ntdsutil, si ogledamo seznam posnetkov našega oglasa.

    riž. 2. Oglejte si razpoložljive posnetke Active Directory

    Če želite to narediti v ukazna vrstica klicanje ntdsutil -> posnetek -> Aktiviraj primerek NTDS -> seznam vseh . Kot rezultat bomo prejeli seznam ustvarjenih posnetkov Active Directory. Prva slika je bila posneta 13. aprila. Tam bom začel.

    Tam urejam z ekipo mount z nadomeščenim identifikatorjem prvi posnetek imenika Active Directory. Primer na sliki 3. Po tej operaciji boste imeli referenčni objekt na pogonu C: imenovan $SNAP_date. Ko ga vnesete, boste videli svojo strukturo sistemski disk v času ustvarjanja kopije.

    riž. 3. Namestitev posnetka Active Director

    Fotografija je bila urejena. Odprem drugo okno ukazne vrstice in zaženem pripomoček dsamain. Izvedemo zapleten ukaz, ki vam omogoča povezavo posnetka kot strežnika LDAP. V ukazu določite pot do datoteke ntds.dit v nameščenem posnetku in vrata strežnika LDAP (priporočam 50001)

    riž. 4. Uporaba dsamain.

    Ne da bi zaprli okno, zaženite snap-in »Active Directory Users and Computers«. Izberite povezavo z drugim krmilnikom domene.

    riž. 5. Spremenite krmilnik domene.

    V meniju, ki se prikaže, označite povezavo z » Ime strežnika: navedena vrata v dsamain", v moji situaciji je " DC:50001»

    riž. 6. Izbira strežnika LDAP

    S klikom na »V redu« se prikaže snap-in »Active Directory Users and Computers«, ki vsebuje podatke za branje od trenutka, ko je bil ustvarjen posnetek Active Directory. Najdem organizacijsko enoto “BetaTesters” in v njej je uporabnik “Rud Ilya”. Zaključek lahko potegnemo takole: ker je bil posnetek ustvarjen 13. aprila in vsebuje izbrisano organizacijsko enoto, moramo obnoviti stanje sistema na 13. april.

    riž. 7. Ogled informacij o posnetku AD.

    Pred ponovnim zagonom v načinu za obnovitev imeniških storitev se prepričajte, da ste odstranili posnetek. To storite z ukazom unmount z identifikatorjem posnetka.

    riž. 8. Odpenjanje posnetka

    Zdaj smo pripravljeni na ponovni zagon enega od krmilnikov domene v način obnovitve imeniških storitev. Kako to storiti, sem napisal v prvem delu članka. Upoštevajte, da morate pri nalaganju v DSRM uporabiti skrbniški DSRM in ne domene DSRM.

    riž. 9. Prijavite se v DSRM. Določite Ime_računalnika\Administrator

    riž. 10. Seznam stanj sistema (SystemStates)

    Obnoviti moramo stanje sistema na 13. april, zato bi bil naslednji ukaz: wbadmin zaženi obnovitev stanja sistema -version:archive_creation_time

    riž. 12. Postopek ponovne vzpostavitve stanja sistema.

    Vsak objekt Active Directory ima številko različice in če imata dva krmilnika različni številki različice za en objekt, potem je pravilen (novejši) objekt tisti z višjo različico. Ko je postopek obnovitve končan, morate zagnati pripomoček ntdsutil in povečajte številko različice za oddaljeno podružnico Active Directory. Se pravi za našo posodo.

    To se naredi na naslednji način: ntdsutil -> Aktiviraj primerek NTDS -> Avtoritativna obnovitev -> obnovi poddrevo “ In navedite, kaj je treba prisilno obnoviti ”. Primer na sliki 13.

    riž. 13. Izbira, kaj bo prisilno obnovljeno.

rezultat: Organizacijsko enoto z vso njeno vsebino smo prisilno obnovili s pomočjo stanja sistema in posnetkov Active Directory. V sistemu Windows Server 2008 lahko prisilno obnovimo organizacijske enote z vso vsebino ali določene objekte. Ukaz »obnovi bazo podatkov« iz ntdsutil je bil odstranjen, zato ne bomo mogli na silo obnoviti celotne baze podatkov Active Directory.

Če obnavljate arhiv sistemskega diska krmilnika domene in želite doseči prisilno obnovitev nekega dela AD, potem takoj po obnovitvi, ne da bi krmilniku omogočili zagon v običajnem načinu, vstopimo v način obnovitve imeniške storitve . In z uporabo ntdsutil navedemo, kateri del AD je treba prisilno obnoviti.

Gradivo, ki ga zagotavlja vir

Podatki s podporo za najbolj priljubljene datotečni sistemi(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS). Deluje s trdimi diski: IDE, ATA, SCSI, bliskovnimi pogoni, pomnilniškimi karticami in disketami, pa tudi z nizi RAID, kar je še posebej pomembno za sistemske administratorje. Toda navadnemu uporabniku ne bo težko obnoviti izbrisanih ali poškodovanih datotek.

Program lahko prepozna 28 vrst datotek na podlagi njihovih podpisov. To so lahko dokumenti, fotografije ali slike, glasba, videi, arhivi itd. Za profesionalne in amaterske fotografe je omogočeno iskanje fotografij RAW, ki jih uporablja proizvajalec njihovega fotoaparata (Leica, Canon, Nikon, Sony itd.), kar bo zožilo iskanje in skrajšalo čas obnovitve slik.

Dve možnosti obnovitve: QuickScan (hitra) in SuperScan (počasna) ter iskalni filter, vključno z delom imena datoteke, bodo pomagali skrajšati čas iskanja in obnovitve potrebne datoteke. Vsekakor algoritmi programa omogočajo hitro obnovitev podatkov tudi z velikih trdih diskov, kar je pogosto nedosegljivo za konkurenčne pripomočke.

Programski vmesnik bo razumljiv tudi neizkušenemu uporabniku, a tudi izkušeni uporabniki, ki se prvič soočajo z obnovitvijo podatkov, bodo morda imeli vprašanja in težave. Napisali smo navodila za uporabo Active File Recovery, ki vam bodo pomagala iti skozi postopek obnovitve od zagona aplikacije do veselja pri vrnitvi izgubljenih podatkov.

Navodila za uporabo File Recovery

Za ilustrativne primere smo vzeli štiri datoteke: video (mp4), avdio (mp3), Wordov dokument(doc) in sliko (jpg). Vrzi te datoteke na kartico Pomnilnik MicroSD in ga formatiral. Zdaj pa poskusimo obnoviti te datoteke po formatiranju in se prepričati, da program deluje.

Slika št. 1: Datoteke za obnovitev

Slika št. 2: Formatiranje pomnilniške kartice

Ko razpakirate arhiv s programom, zaženite datoteko " FileRecovery.exe" Odprlo se je začetno okno za Windows OS (glej od št. 4), kjer vidimo vse priključene naprave za shranjevanje podatkov, med katerimi je tudi spominska kartica, ki smo jo formatirali (ChipBnk Flash Disk). Izberite ga in kliknite »SuperSkan« za natančnejše počasno skeniranje pomnilniške kartice.

Slika št. 4: Izbira naprave za skeniranje

Odpre se majhno okno z nastavitvami skeniranja. V njem lahko nastavite iskanje izbrisanih particij, če so bile, in spodaj izberite vrste datotek, ki jih bo program iskal po podpisih. Če morate poiskati in obnoviti vse, kar je bilo na pogonu pred formatiranjem ali brisanjem, preprosto pustite »Vse (počasi)«, vendar ne pozabite, da bo skeniranje trajalo veliko dlje.

Slika #5: Nastavitve skeniranja

Če natančno veste, katere vrste datotek morate obnoviti, izberite »Nekatere« in kliknite »Izberi ...«. S tem, ko potrdimo polja le ob tistih končnicah datotek, ki nas zanimajo, bomo skrajšali čas iskanja. V našem primeru sem navedel štiri vrste datotek (glej od št. 6).

Slika #6: Izbira vrst datotek

Zdaj kliknite »V redu« in »Začni«. Postopek skeniranja se je začel in napredek lahko vizualno vidimo v spodnjem levem kotu v odstotkih.

Slika #7: Postopek skeniranja

Po končanem skeniranju se na levi strani programa pod vsemi napravami prikaže mapa »SuperScan« z datumom in uro. Odpremo ga in na desni vidimo vrste datotek, ki jih najde program. Izberite jih in kliknite ikono na vrhu z napisom »Obnovi«. Za obnovitev naših datotek bomo morali navesti lokacijo, kamor bodo shranjene. Ko izberete mesto shranjevanja, kliknite »Obnovi«, s čimer se bo začel postopek obnovitve.

Slika #8: Obnovitev podatkov

Po končani obnovitvi podatkov pojdite v mapo, ki ste jo določili, kjer so shranjene naše datoteke, vsaka v svojem razdelku. Preverjamo funkcionalnost in se veselimo! Edina pomanjkljivost je, da program po formatiranju ni mogel obnoviti imen datotek, vendar se to ne zgodi vedno.

Eden od pomembnih vidikov uporabe imenika Active Directory je samodejni preklop. Za zaščito pred okvarami je vedno vredno imeti zanesljivega varnostno kopijo Stanje sistema. Rezerva stanje sistema vam omogoča, da zagotovite ohranitev datotek, ki so ključne za delovanje sistema.

Te datoteke vključujejo Active Directory, sistemski register in vsebino mape SYSVOL, ki vsebuje registracijske skripte in predloge pravilnike skupine. Ko krmilnik domene odpove najboljši način obnova je zavrnitev obnove sploh.

Vedno, če se le da prepustnost omrežno povezavo in je v domeni drugi krmilnik domene, poskusite znova namestiti operacijski sistem Windows (ali ga obnoviti iz varnostne kopije ASR) in znova zaženite pripomoček DCPromo, da strežnik povišate v krmilnik domene. To bo povzročilo čist sistem.

Ker je imenik Active Directory mogoče varnostno kopirati samo kot del stanja sistema, morate ob obnovitvi imenika Active Directory obnoviti tudi stanje sistema. Če strežnik popolnoma odpove, obnovite sistem na drugem strojna oprema lahko povzroči težave.

Če se po obnovitvi pojavijo težave, izvedite popravek operacijski sistem za odpravo vseh konfiguracijskih napak.

Če torej vsi drugi poskusi odpraviti težavo niso uspeli in imate veljavno varnostno kopijo stanja sistema in morate obnoviti bazo podatkov Active Directory, lahko uporabite eno od treh vrst obnovitve.

  • Primarni- To možnost izberite, če se obnavlja prvi krmilnik domene in v domeni ni več omogočenih krmilnikov domene. Če izberete to možnost, mora biti obnovitev preostalih krmilnikov domene neavtoritativna.
  • Avtoritativno- uporablja se samo, ko je treba bazo podatkov Active Directory obnoviti v stanje, v katerem je bila v času, ko je bila varnostna kopija ustvarjena. To obnovitev je treba izvesti le, ko pride do resnih napak, kot je brisanje organizacijske enote, ali ko je treba povrniti vsa prejšnja dejanja. Ta možnost obnovitve zahteva zagon ukaza ntdsutil po obnovitvi, da izberete objekte, ki so verodostojni za podvajanje.
  • Neavtoritativen- Ta možnost obnovitve se uporablja v 99 % primerov obnovitve baze podatkov Active Directory. Ta možnost povzroči obnovitev podatkov, nato pa krmilnik domene prejme posodobitve od drugih krmilnikov domene v gozdu (kar mu omogoča vrnitev v sinhronizacijo).

Ko zaženete obnovitev imenika Active Directory, je v pogovornem oknu izbrana možnost obnovitve Napredne možnosti obnovitve v aplikaciji Backup. Še enkrat poudarjam, da je treba obnovo obravnavati le v skrajnem primeru.

Če je krmilnik domene edini strežnik DNS in DNS uporablja območja, integrirana v imenik Active Directory, podatki območja DNS ne bodo na voljo, ko se krmilnik domene zažene v načinu obnovitve imeniške storitve.

Če se stanje sistema obnavlja po omrežju z uporabo pripomočka za varnostno kopiranje drugega proizvajalca, boste morda morali narediti ustrezne vnose v Datoteka Hosts(to bo zagotovilo ločljivost imen za vse računalnike, ki sodelujejo v postopku obnovitve).

Kaj storiti in kakšne plese početi s tamburinom in brez nje, če na namizju vidite sporočilo »Obnovi aktivno namizje«? Čeprav se vse manj uporabnikov srečuje s to težavo, saj je glavna platforma za to napako operacijski sistem sistem Windows XP, vendar je še vedno aktualen. Konec koncev, ta sistemše vedno aktualna, čeprav.

Zakaj obnovitev namizja ne uspe?

Težava je sledeča: zaradi neke napake namizje, kot ga poznamo, preneha delovati. In skupaj z našo najljubšo sliko v ozadju vidimo napis »Obnovi aktivno namizje«, kar se moramo strinjati, da je neprijetno. Vendar se zdi, da ni vse tako strašljivo, saj lahko takoj vidite gumb za obnovitev namizja. In resno me zanima vprašanje, ali je ta gumb komu pomagal? Vsaj enkrat?

Razlogi, zakaj se namizje pokvari, mi niso znani. Nisem šel skozi pogosta vprašanja, da bi iskal razlago. Vem pa, kako rešiti takšen problem, in mislim, da ste prišli sem zaradi tega, ne zaradi dolgočasne teorije.

Metode za obnovitev namizja

Active Desktop najlažje obnovite tako, da se prijavite kot lokalni skrbnik in izbrišete mapo problematičnega uporabnika. Če ste skrbnik, lahko ustvarite novega skrbnika in spet izbrišete mapo problematičnega uporabnika. Ta mapa je shranjena v c:\uporabniki. Nato se znova prijavite s problematičnim računom. Mapa računa bo ponovno ustvarjena. In ker je ustvarjen s kopiranjem mape Privzeto potem s tem ne bo težav. Od mape Privzeto to je privzeta mapa, na podlagi katere se ustvarijo vse nove mape po meri, v njem ni ničesar od uporabnika. Nobenih nastavitev, nobenih dokumentov, nobenih shranjenih gesel – prav nič, kar se pridobi v času trajanja računa. Zato je to najlažja možnost za rešitev težave. In druga stran lahkotnosti je rušenje vseh vaših nastavitev na nič. Če vam to ustreza, pojte naprej.

No, vedno obstaja težja rešitev problema. Ampak to možnost vam bo omogočil ne le obnovitev namizja, temveč tudi shranjevanje vseh vaših nastavitev. Če želite to narediti, odprite Urejevalnik registra ah, gremo v poslovalnico registra
hkey_current_user\softvare\microsoft\internet explorer\desktop\scheme
Tam najdemo parameter zasloni. Vrednost parametra mora biti shranimode. Ta parameter je iz registra in obvesti sistem, da je prišlo do napake, povezane z namizjem. In zato kaže, da morate to zelo vklopiti shranimode. Uh potem je popolnoma enak zaslon z napako. Takega zaslona ne potrebujemo. Zato počistimo ta parameter.

Po tem gremo v mapo
c:\dokumenti in nastavitve\%user%\appdata\microsoft\internet explorer\
in izbrišite datoteko desktop.htt. Možno je tudi, da te datoteke ne bo. Nato odstranite vse omejitve glede prikaza skritih in sistemske datoteke v tej mapi. To lahko storite prek ukazne vrstice z ukazom ali na primer s programom, kot je Total commander. Ko najdemo to datoteko, jo izbrišemo. Mimogrede to datoteko lahko preprosto izbrišemo prek , saj poznamo celotno pot do njega. Če želite to narediti, uporabite ukaz del.

Po vsem tem posodobite namizje. Če so dejanja izvedena pravilno, bo zaslon z napako o potrebi po obnovitvi aktivnega namizja izginil. Vso srečo!

POSODOBITEV: Rešitev težave je za najbolj lene: poskusite preprosto izbrati katero koli sliko za ozadje namizja. Včasih tako preprosto dejanje daje zelo želeni rezultat.

Sergej Jaremčuk

Varnostno kopiranje in obnavljanje objektov
Active Directory v sistemu Windows Server 2008/2008 R2

Active Directory je standard v korporativna omrežja dela pod Nadzor Windows. Zagotavljanje skrbnika učinkovita orodja, na videz preprost za uporabo, pa je po svoji strukturi in sestavi precej zapleten. Poleg tega nihče ni imun na napake v operacijskem sistemu, programih, okvaro strojne opreme ali človeško napako. Zato morate biti vedno pripravljeni na dejstvo, da boste morali sprejeti ukrepe za obnova dela kot celote ali posameznih elementov.

O potrebi po varnostni kopiji

V vsakem novem Različice sistema Windows Server, se pojavljajo nova orodja, ki poenostavljajo in avtomatizirajo proces upravljanja, ki jim je kos tudi skrbnik začetnik. Eno od pogostih mnenj med takimi "strokovnjaki" je, da se v celoti izogibajo rezerviranju domenskih krmilnikov. Argument je preprost. Srednje do velike organizacije uporabljajo več krmilnikov domene, to je aksiom. Verjetnost, da bo vse propadlo na isti dan, je skoraj enaka ničli. Razen če se izvajajo po nalogu tožilca ali izkoriščanju napake v organizaciji varovanja, a ta primer je, vidite, neobičajen. Torej, če en krmilnik domene odpove, vsi drugi delujejo normalno in nov strežnik je pripravljen, da ga nadomesti. Delno imajo prav, vendar je še vedno potrebna rezervacija vsaj dveh krmilnikov (v primeru napake) z vlogama FSMO (Flexible single-master operations). To sta Microsoft in zdrava pamet. Poleg tega obstaja še en glavni argument v prid pridržka. Enostavnost upravljanja vodi do povečanja odstotka napak. Precej enostavno je pomotoma izbrisati objekt Active Directory. In to morda ni nujno namerno dejanje; lahko se zgodi na primer kot posledica napake pri izvajanju skripta. Če želite obnoviti vse nastavitve, se boste morali malo potruditi.

Če napaka ni zaznana takoj in je bila sprememba že podvojena na druge krmilnike, boste v tem primeru potrebovali varnostno kopijo. Sploh ne govorim o majhnih organizacijah z enim krmilnikom domene.

Dokument, ki prikazuje zmožnosti varnostnega kopiranja in obnavljanja podatkov v sistemu Windows Server 2008, je članek Gila Kirkpatricka, »Varnostno kopiranje in obnovitev imenika Active Directory v sistemu Windows Server 2008«, ki ga priporočam v branje. Če pa so vprašanja presežkov opisana v celoti, potem je obnova prikazana po mojem mnenju nekoliko površno in ne daje celotne slike. Ta članek je pravzaprav nastal iz zapiskov, zbranih za ta skrajni primer.

Sistem arhiviranja Windows podatki Strežnik

V sistemu Windows Server 2008 je varnostno kopiranje NT zamenjala popolnoma nova komponenta, varnostno kopiranje strežnika Windows (WBS), ki temelji na VSS (storitev senčnega kopiranja nosilcev). WBS je dokaj zmogljiva aplikacija, ki vam omogoča obnovitev sistema, vključno z drugim računalnikom, in podpira nekatere storitve, katerih seznam vključuje AD.

Namestitev WBS je preprosta; samo aktivirati morate komponento »Windows Server Backup Features« in podpostavko »Windows Server Backup System«. Slednji vključuje konzolo za upravljanje MMC in novo orodje ukazne vrstice Wbadmin. Poleg tega je na voljo element »Programi ukazne vrstice«, ki vključuje Skripti PowerShell, ki vam omogoča ustvarjanje in upravljanje varnostnih kopij.

V ukazni vrstici je namestitev videti še enostavnejša:

> servermanagercmd -namesti funkcije varnostnega kopiranja

Ali v Server Core:

> ocsetup WindowsServerBackup

Svojo rezervacijo lahko upravljate iz MMC konzole ali iz ukazne vrstice. Torej, če želite ustvariti varnostno kopijo kritičnih nosilcev, morate vnesti:

> wbadmin Zaženi varnostno kopiranje -backupTarget:E: -allCritical

S celotno kopijo mislim, da je vse jasno. V kontekstu tega članka nas bolj zanima varnostno kopiranje stanja sistema z uporabo parametra SystemStateBackup. Mimogrede, ta funkcija ni bila na voljo v prvih različicah sistema Windows Server 2008 in ni na voljo prek MMC:

> wbadmin Zaženite SystemStateBackup -backupTarget:E:

V tem primeru se izvede kopija stanja sistema in nekaterih storitev, vključno z AD, po datotekah. Najbolj neprijetno v tem primeru je, da morate vsakič ustvariti celotno kopijo (novonameščen sistem ima približno 7 GB), postopek pa je nekoliko počasnejši od običajne varnostne kopije. Toda takšno kopijo lahko obnovite v drug računalnik z enako konfiguracijo.

Ukaz kopira na drug nosilec. Toda KB944530 pojasnjuje, kako omogočiti varnostno kopiranje na kateri koli nosilec. Če želite to narediti, morate v registrski ključ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup dodati parameter DWORD z imenom AllowSSBTo AnyVolume in vrednostjo 1.

Tukaj običajno ni težav z varnostnim kopiranjem, vse je preprosto in jasno, težave se začnejo, ko je treba obnoviti funkcionalnost AD ali pomotoma izbrisanih predmetov. Uporaba kopij SystemState vam omogoča, da se izognete obnovitvi celotnega sistema in preprosto vrnete prejšnje stanje storitev AD. Grafična konzola, zasnovana za obnovitev podatkov, ne vidi kopij SystemState (nahajajo se na disku v drugem imeniku SystemStateBackup). Če poskusite začeti postopek obnovitve v delovni sistem, prejmemo sporočilo, da je treba operacijo izvesti v načinu obnovitve imeniških storitev (DSRM), ker arhiv vsebuje domensko storitev Active Directory. To je ena od pomanjkljivosti, saj krmilnik domene trenutno ne bo na voljo.

Nov zagonski mehanizem BCD, ki se je pojavil v sistemu Windows, začenši z Vista, v katerem je bil odstranjen dobri stari boot.ini, nas prisili, da izvedemo več dejanj, da pridemo v DSRM. OS vključuje posebna korist, namenjen urejanju parametrov zagonskega nalagalnika (na internetu lahko najdete grafične pripomočke, vendar mislim, da jim ni mesta na strežniku). Ustvarite novo kopijo zapisa:

> bcdedit /copy (privzeto) /d "Način popravila imeniške storitve"

Ko končamo, preverimo:

> bcdedit /enum

Na seznamu bi se moral pojaviti nov element.

Znova zaženite, izberite način popravila imeniške storitve in kliknite , označite »Način obnovitve imeniških storitev«. Upoštevajte, da morate v tem načinu za prijavo uporabiti skrbniške poverilnice lokalni sistem, ne račun domene.

> wbadmin pridobi različice

In obnovimo ga z uporabo prejetega identifikatorja različice kot parametra:

> wbadmin zaženi obnovitev stanja sistema – različica: 21. 5. 2009-21:02

Če obnavljate z lokalnega diska, je parameter BackupTarget, ki pove wbadminu, kje dobiti varnostno kopijo, neobvezen. Če je kopija vklopljena omrežni vir, zapišemo takole:

BackupTarget:\\computer\backup -machine:server-ad

Kljub opozorilu, da:

Obnovitev imeniške storitve običajno poteka brez težav. Po ponovnem zagonu vidimo sporočilo, da je bila začeta obnovitvena operacija uspešno zaključena.

Ko gremo na konzolo za upravljanje Active Directory, ugotovimo, da je vse na svojem mestu ... razen novih objektov, ustvarjenih po izdelavi varnostne kopije. Načeloma je to rezultat, ki ga pričakujemo. Toda obnoviti posamezne predmete obstaja povsem drugačen način (tudi več).

Prisilno obnavljanje objektov z uporabo NTDSUTIL

Windows Server vključuje pripomoček ukazne vrstice NTDSUTIL za vzdrževanje, upravljanje in spremljanje domenskih storitev Active Directory (AD DS) in storitev Active Directory Lightweight Directory Services (AD LDS). Pripomoček postane na voljo v sistemu po namestitvi vloge AD DS. V sistemu Windows Server 2008 se je njegova funkcionalnost nekoliko spremenila. Tako je bilo v Windows Server 2003 z njegovo pomočjo mogoče obnoviti celotno bazo podatkov, v letu 2008 pa wbadmin to odlično opravi, zato so verjetno njegove obnovitvene zmožnosti nekoliko okrnjene. Zdaj lahko z uporabo NTDSUTIL obnovite organizacijsko enoto z vso njeno vsebino in enim samim objektom.

Deluje na podlagi posnetkov Active Directory, posnetih z uporabo VSS. Posnetek je kompaktna varnostna kopija delujoče storitve Active Directory z vsemi imeniki in datotekami. Ustvarjanje takšne kopije je za razliko od SystemState zelo hitro in traja nekaj sekund.

>ntdsutil

Pojdimo na kontekst posnetka:

ntdsutil:posnetek

Zaženemo ukaz za ustvarjanje posnetka (kratka oblika - "ac i ntds"):

posnetek: aktiviraj primerek ntds

posnetek: ustvari

Čez nekaj časa prejmemo informacije o ustvarjeni sliki, izstopimo:

posnetek: nehaj

ntdsutil:zapusti

Zdaj, če želite obnoviti bazo podatkov Active Directory, samo vnesite »ntdsutil files repair« v ukazno vrstico načina DSRM, vendar nas zanima ločen predmet.

Seznam izbrisanih predmetov si lahko ogledate z uporabo LDP.exe z uporabo cmdletov PowerShell Get-ADObject in Restore-ADObject (obstajajo še druge možnosti).

V LDP se morate na primer povezati s strežnikom, izbrati »Možnosti -> Kontrole« in na spustnem seznamu »Naloži vnaprej določeno« nastaviti možnost Vrni izbrisane predmete. Nato pojdite na “Pogled -> Drevo”, izberite kontekst domene. Posledično se bo v drevesu na desni pojavil objekt CN=Deleted Object, kjer najdemo vse izbrisane objekte.

Zdaj je pomembno, da ko je objekt izbrisan, izgubi velik in pomemben del svojih lastnosti (predvsem geslo, managedBy, memberOf), tako da po njegovi obnovi ne bo ravno v obliki, ki smo jo želeli. Vse to je v LDP jasno vidno. Toda tukaj je več možnosti:

  • povečajte število atributov, ki ne bodo prepisani, ko je predmet izbrisan v shrambi izbrisanih objektov;
  • obnoviti predmet in vrniti njegove atribute;
  • in najboljši je, da blokirate objekt pred nenamernim brisanjem.

Izbrisani predmet lahko obnovite na več načinov. Najbolj priročen je pripomoček AdRestore Marka Russinovicha. Prenesite in vnesite:

> adresore -r uporabnik

Dobimo objekt z nekaj atributi.

Preostale metode so opisane v KB840001, niso tako preproste, zato se na njih ne bom zadrževal.

Obnavljanje atributov objekta

Posnetek, pridobljen z uporabo ntdsutil, vsebuje objekt in njegove atribute. Sliko je mogoče namestiti in povezati kot virtualni strežnik LDAP, ki izvaža objekte. Pokliči ntdsutil:

>ntdsutil

ntdsutil:posnetek

Poglejmo seznam razpoložljivih slik:

posnetek: seznam vseh

Fotografija je bila urejena. Zdaj se lahko z Raziskovalcem pomaknete do določenega imenika in vidite, kaj je notri. Zapustite ntdsutil tako, da dvakrat vnesete quit, slika bo še vedno nameščena. Zdaj s pomočjo pripomočka dsamain ustvarimo navidezni strežnik LDAP, pri čemer kot parameter določimo pot do datoteke ntds.dit, ki se nahaja v nameščenem posnetku. Za vrata strežnika LDAP sem izbral 10000:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Predstavljene so bile domenske storitve Microsoft Active Directory, različica 6.0.6001.18000

Z navideznim strežnikom LDAP se lahko povežete s konzolo Active Directory Users and Computers, pri čemer kot parameter navedete številko vrat 10000 in si ogledate predmete v njem.

Parametre želenega objekta izvozimo v datoteko ldf, več podrobnosti o ldifde je napisano v KB237677.

> ldifde -r "(ime=uporabnik)" -f export.ldf -t 10000

V nastali datoteki ldf spremenite changetype: dodajte parameter v changetype: modify in nato nova datoteka uvozi v imenik:

> ldifde -i -z -f import.ldf

Obstajajo tudi druge možnosti uvoza/izvoza z uporabo DSGET/DSMOD, PowerShell itd.

> dsget uporabnik cn=uporabnik,ou=ou1,dc=domena,ds=ru -s lokalni gostitelj:10000 -član | dsmod skupina -c -addmbr cn=uporabnik,ou=ou1,dc=domena,ds=ru

Druga metoda temelji na dejstvu, da ima vsak predmet Active Directory številko različice. Če se številki različic na dveh krmilnikih domen razlikujeta, se šteje, da je objekt z višjo številko različice nov in pravilen. To je tisto, kar uporablja mehanizem »avtoritativne obnovitve«, ko je objektu, obnovljenemu z uporabo ntdsutil, dodeljena višja številka in ga AD sprejme kot novega. Da mehanizem za prisilno obnovitev deluje, se tudi strežnik znova zažene v DSRM.

> ntdsutil "avtoritativna obnovitev" "obnovi objekt cn=uporabnik,ou=skupina,dc=domena,dc=ru" q q

Delitev se obnovi na enak način:

> ntdsutil "avtoritativna obnovitev" "obnovi poddrevo ou=group,dc=domain,dc=ru" q q

Zaščita objektov pred brisanjem

Naj začnem z dejstvom, da so skrbniki z Windows Server 2008 R2 dobili še eno funkcionalno domensko raven, posledično pa je tak strežnik mogoče konfigurirati v eni od štirih ravni - Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Lahko ga določite med namestitvijo z dcpromo ali povečate, če je bila v meniju izbrana nižja raven Ponovno dvignite domensko (gozdno) funkcionalno raven V Skrbniško središče Active Directory, o čemer malo naprej. Poleg tega je možna tudi obratna operacija - znižanje funkcionalne ravni domene in gozda; če sta na ravni Windows Server 2008 R2, se lahko vrne na raven Windows Server 2008, vendar nižje - na 2003 ali 2000 - To ni mogoče. Večina novih funkcij bo na voljo le, če je domena na ravni R2. Torej, začenši z Windows Server 2008, se je v lastnosti predmeta pojavil dodaten element, ki vam omogoča zaščito pred nenamernim izbrisom. Natančneje, tam je bil prej, tukaj pa vam ga ni več treba iskati.

V sistemu Windows Server 2008 je na voljo pri ustvarjanju OU (organizacijske enote) in se imenuje »Zaščiti objekt pred nenamernim izbrisom«. To potrditveno polje se prikaže samo pri ustvarjanju nove OU. Za obstoječe OU, pa tudi ponovno ustvarili skupine, računalnike in račune, ga je mogoče aktivirati na zavihku »Predmet« v oknu z lastnostmi (vidno, ko je aktiven »Pogled -> Dodatne komponente (Napredno)«).

V R2 je potrebna postavka Zaščiti pred nenamernim brisanjem na voljo v lastnostih posameznega računa, računalnika, skupine in oddelka na najbolj vidnem mestu. Samo potrdite polje tukaj in ko poskusite izbrisati predmet, skrbnik prejme opozorilo, da ni mogoče izvesti zahtevane operacije. Ne smemo pozabiti, da potrditveno polje ščiti pred brisanjem samo predmet, v katerem je izbran. Se pravi, če je aktiviran za skupino, na posamezne elemente, ki je vključen v njegovo sestavo, ta namestitev nikakor ne velja. To pomeni, da bo še vedno mogoče izbrisati kateri koli predmet znotraj, če ni zaščiten z osebno zastavo. Nekoliko drugače je pri brisanju nezaščitene OU. Če ne vsebuje zaščitenih predmetov, bo OU popolnoma izbrisan. Če pa obstajajo takšni objekti, morate v oknu, ki se prikaže, označiti potrditveno polje »Uporabi nadzor strežnika za brisanje poddrevesa«. V nasprotnem primeru se bo namesto brisanja samega OU z vsemi njegovimi elementi dejansko poskusilo očistiti OU od objektov, ki nimajo zaščite. Poleg tega, kot kažejo poskusi, bo to čiščenje nepopolno, saj ko se sooči s prvim zaščitenim predmetom, program preneha delovati in izda opozorilo. To je značilno za Windows Server 2008 in R2 RC.

Objekt je zaščiten pred nenamernim brisanjem

Koš Active Directory

Predstavljen Windows Server 2008 R2 nova funkcija Koš Active Directory (AD RB), samodejno aktiviran, ko je domena na ravni Windows Server 2008 R2. V bistvu je podoben košu, ki se uporablja v sistemu Windows, v katerega lahko postavite izbrisane datoteke, pomotoma izbrisan objekt pa je mogoče hitro in brez težav obnoviti. Poleg tega objekt, obnovljen iz AD RB, takoj prejme vse svoje atribute. Privzeto je »življenjska doba« izbrisanega predmeta v AD RB 180 dni, po tem preide v stanje Recycle Bin Lifetime, izgubi svoje atribute in se čez nekaj časa popolnoma izbriše. Te vrednosti lahko spremenite s parametrom msDS-deletedObjectLifetime. Če je bil ob namestitvi AD izbran nivo pod R2 in nato dvignjen z ukazom:

PS C:\> Set-ADForestMode –Identity domain.ru -ForestMode Windows2008R2Forest

potem je treba AD RB aktivirati posebej. Za to se uporablja cmdlet Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature –Identity ‘CN=Funkcija koša,CN=Izbirne funkcije,CN=Imeniška storitev, /

CN=Windows NT,CN=Storitve,CN=Konfiguracija, DC=domena,DC=ru’ – Obseg gozda –Cilj ‘domain.ru’

Obnovitev izbrisanega predmeta je zdaj zelo preprosta:

PS C:\> Get-ADObject -Filter (displayName -eq "user") -IncludeDeletedObjects | Obnovi-ADObject

Cmdleta Get-ADObject in Restore-ADObject imata veliko število možnosti, ki vam na primer omogočajo, da poiščete OU, ki ji je pripadal izbrisani račun, in nato obnovite celotno OU. V dokumentu Obnovite izbrisani predmet Active Directory vse je razloženo zelo podrobno.

Zaključek

Kljub zmožnostim novega strežniškega operacijskega sistema Microsoft je treba varnostno kopiranje krmilnikov Active Directory izvajati sistematično in nenehno, brez tega ni mogoče obnoviti posameznih objektov ali OU. Poleg tega morate poleg Windows Server Backup ustvariti posnetke z uporabo ntdsutil. Postopek varnostnega kopiranja je poenostavljen in količina podatkov se zmanjša, če krmilnik domene ne izvaja drugih funkcij.

  1. Jill Kirkpatrick. Varnostno kopiranje in obnovitev imenika Active Directory v sistemu Windows Server 2008 – http://technet.microsoft.com/ru-ru/magazine/cc462796.aspx.
  2. Članek KB944530. Sporočilo o napaki, ko poskušate izvesti varnostno kopiranje stanja sistema v sistemu Windows Server 2008 – http://support.microsoft.com/kb/944530.
  3. Pripomoček AdRestore – http://technet.microsoft.com/ru-ru/sysinternals/bb963906.aspx.
  4. Dokument KB840001. Kako obnoviti izbrisane uporabniške račune in njihova članstva v skupinah v Active Directory – http://support.microsoft.com/kb/840001.
  5. Dokument KB237677. »Uporaba orodja LDIFDE za uvoz in izvoz predmetov imenika v Active Directory« – http://support.microsoft.com/kb/237677/ru.
  6. Stran, namenjena Windows Server 2008 R2 – http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx.
  7. Dokument 2. korak: Obnovite izbrisani predmet Active Directory – http://technet.microsoft.com/en-us/library/dd379509.aspx.