Återhämtning aktiv. Active Directory: kopiera och återställ. Sätt att återställa skrivbordet

Active Directory i Windows Server 2008. Flera domänkontrollanter, detta är den gyllene regeln som bör följas i alla medelstora och stora organisationer. Principen för återhämtning i närvaro av flera kontroller förändras avsevärt. Låt oss försöka förstå varför. Låt oss föreställa oss att du har två domänkontrollanter som heter DC1 och DC2 (dessa är kontroller av samma domän). Båda kommer att ha en identisk Active Directory-databas och om du ändrar den på den ena uppdateras den automatiskt på den andra, detta är replikeringsprocessen.

Låt oss nu definiera säkerhetskopieringsschemat:

söndag- fullständig säkerhetskopiering av systempartitionen (beskrivs i första delen av artikeln)

Måndag lördag- skapa ett systemtillstånd systemtillstånd (beskrivs i första delen av artikeln)

Allt var bra, men på torsdagen, på grund av problem, slutade DC1-domänkontrollanten att fungera. Du har flera sätt att återställa kontrollern, överväg dem.

  • Sätt ett: Återställ systemtillståndet som gjordes i onsdags. För att göra detta måste du starta kontrollern i DSRM (Directory Services Restore Mode) och använda Windows-program Server Backup återställningstillstånd. Men för detta måste kontrollern starta upp i DSRM, detta kanske inte är möjligt.
  • Sätt två: om styrenheten inte kan laddas in i DSRM börjar återställningsproceduren med att starta återställningen av systempartitionen som säkerhetskopierades på söndagen. När du har återställt DC1 från det här arkivet kommer din dator att starta normalt.

Och här, med det första alternativet, att med det andra, visas två kontroller som inte har Active Directory-databaser synkroniserade. DC1 har versionen av databasen på dagen för säkerhetskopieringen, och DC2 har den aktuella, senaste versionen.

Vilken version kommer att ha företräde?

Om du utför restaureringen på det sätt som beskrivits av mig i den första delen av artikeln, kommer styrenheten som förblev att fungera att ha prioritet, i vår situation är det DC2. Allt som finns i Active Directory på DC1 efter återställningen kommer att uppdateras till DC2. Denna metod kallas en icke-auktoritativ återställning.

Eller kanske denna Windows Server Backup?

Nyligen stötte jag på positionen för en Microsoft-anställd som, på frågan hur man återställer en domänkontrollant, svarade "Varför?". Först undrade jag lite om han skojade, men sedan blev hans argument tydliga för mig. Tanken är följande. I medelstora organisationer finns det som regel 3-4-5 eller fler domänkontrollanter och chansen att tappa alla på en gång är nära 0. För att undvika denna chans säkerhetskopierar vi bara 2. I det här fallet sker säkerhetskopiering av en eller de kontroller som äger FSMO-roller och är av särskilt värde. Alla de andra lever bara sina liv, och om en av dem misslyckas, installerar vi helt enkelt ett nytt OS och tar upp en ny domänkontrollant, det bör noteras att dessa procedurer kommer att vara likvärdiga med tiden.

Du kanske vill sluta göra kopior helt, kanske kommer vi inte att förlora allt, och du kan fånga FSMO-rollerna om du vill. Begär är absolut skadligt, och här är varför. Förlusten av Active Directory-objekt är inte bara en oavsiktlig radering av en användare, du kan av misstag radera en organisationsenhet med allt dess innehåll med ett skript och helt enkelt returnera det från behållaren med borttagna objekt, du kommer inte att kunna göra allt i dess ursprungliga form. Och förändringarna har redan replikerats. Och alla kontroller känner till raderingen. I den här situationen behöver du en säkerhetskopia.

Följ regeln - "Det finns inga extra säkerhetskopior"

Replikeringsprioritet

Eftersom standardåterställningen till den "reparerade" kontrollern replikerar Active Directory från fungerande kontroller, kommer den här metoden inte att fungera för oss. Vi måste tvinga fram en förändring i replikeringsprioritet och replikera information från den återställda styrenheten till resten. Detta kallas en påtvingad återställning.

I Windows Server 2003 kunde vi utföra en auktoritativ återställning på tre sätt:

    Tvinga återställning av hela databasen.

Denna procedur gjordes med hjälp av verktyget ntdsutil. I Windows Server 2008 finns ntdsutil-verktyget kvar, men nu kan vi inte tvångsåterställa hela databasen.

Endast:

    Tvinga återställning av en organisationsenhet med innehåll

    Tvinga återställning av ett enda objekt

Därför måste vi alltid veta vilka objekt som har tagits bort. Naturligtvis kommer du inte att kunna hålla sådan information i ditt huvud. För att göra detta skapades Active Directory-databasmonteringsverktyget i Windows 2008.

Active Directory-databasmonteringsverktyget är utformat för att förbättra, och specifikt förenkla, processen för att återställa en katalogtjänst. I Windows 2003, om vi hade många arkiv och inte visste vilket som innehåller informationen som behövs för återställning, var vi tvungna att spela roulette, återställa det ena eller det andra arkivet och kontrollera dess innehåll.

I Windows 2008 är situationen annorlunda. Med hjälp av databasmonteringsverktyget kan vi se innehållet i databasen för en viss tidsprocess.

Tyvärr kan vi inte se innehållet i AD under någon tidsperiod av intresse, utan bara vid de ögonblick då ögonblicksbilden skapades. Jag kommer genast att säga att Snapshot inte är den Snapshot som vi är vana vid att använda VmWare. Den innehåller information om förekomsten av objekt i databasen, men deltar inte på något sätt i restaureringen av dessa objekt.

Av ovanstående kan vi dra slutsatsen:

För att ha en uppdaterad uppfattning om innehållet i säkerhetskopieringen bör en ögonblicksbild skapas före den. Texten i batchfilen som körs innan säkerhetskopian skapas ska vara följande:

ntdsutil.exe "aktivera instans NTDS" ögonblicksbild skapa quit quit

Den färdiga batchfilen kan laddas ner "här". Se till att se till att ögonblicksbilden hinner bli klar innan säkerhetskopieringen startar.

Ris. ett. Skapa en Active Directory-ögonblicksbild

Processen att auktoritativt återställa en domänkontrollant med hjälp av System State. (systemtillstånd)

Bakgrunden är följande, en av administratörerna tog bort BetaTesters organisationsenhet, som innehöll konto eller rekord. Vi vet inte säkert. Information om borttagningen lyckades replikera till alla domänkontrollanter. Vi har flera Systemstate-arkiv från tidigare dagar. När exakt den organisatoriska enheten togs bort vet vi inte.

    Först måste vi välja vilket tillstånd för systemet vi ska återställa. Vi vet inte datumet för borttagningen. För att göra detta kommer vi att använda Snapshots, som skapas strax före säkerhetskopieringen. Genom att köra verktyget ntdsutil tittar vi på listan över ögonblicksbilder av vår AD.

    Ris. 2. Visa tillgängliga Active Directory-ögonblicksbilder

    För detta i kommandorad rekrytering ntdsutil -> ögonblicksbild -> Aktivera instans NTDS -> lista alla . Som ett resultat kommer vi att få en lista över skapade Active Directory-ögonblicksbilder. Den första bilden togs den 13 april. Jag börjar med honom.

    På samma ställe monterar jag kommandot montera med ID ersatt första ögonblicksbilden av Active Directory. Ett exempel finns i figur 3. Efter denna operation kommer du att ha på enhet C: ett referensobjekt som heter $SNAP_date. När du går in i den kommer du att se strukturen på din systemdisk vid tidpunkten för kopian.

    Ris. 3. Montera en Active Director-ögonblicksbild

    Bilden är monterad. Jag öppnar ett andra kommandotolksfönster och kör verktyget dsamain. Vi kör ett knepigt kommando som låter dig ansluta en ögonblicksbild som en LDAP-server. I kommandot, ange sökvägen till filen ntds.dit i den monterade ögonblicksbilden och porten på LDAP-servern (jag rekommenderar 50001)

    Ris. fyra. Använder dsamain.

    Starta snapin-modulen Active Directory Användare och datorer utan att stänga fönstret. Välj en anslutning till en annan domänkontrollant.

    Ris. 5. Byt domänkontrollant.

    I menyn som visas anger du anslutningen till " Servernamn: specificerad port i dsamain', i min situation är det' DC:50001»

    Ris. 6. Välja en LDAP-server

    Genom att klicka på "OK" kommer vi till snapin-modulen "Active Directory-användare och -datorer", som innehåller data att läsa från det ögonblick då ögonblicksbilden av Active Directory skapades. Jag hittar OU "BetaTesters" och den har en användare "Rud Ilya". Slutsatsen kan dras enligt följande: eftersom ögonblicksbilden skapades den 13 april och innehåller en raderad enhet måste vi återställa systemtillståndet till den 13 april.

    Ris. 7. Visa AD ögonblicksbild information.

    Glöm inte att avmontera ögonblicksbilden innan du startar om till katalogtjänståterställningsläge. Detta görs med kommandot unmount med ett ögonblicksbild-ID.

    Ris. åtta. Avmonterar en ögonblicksbild

    Vi är nu redo att starta om en av domänkontrollanterna till Directory Services Restore Mode. Hur man gör detta skrev jag i första delen av artikeln. Observera att när du laddar upp till DSRM måste du använda administratörens DSRM, inte domänens.

    Ris. 9. Logga in på DSRM. Ange Datornamn\Administratör

    Ris. tio. Lista över systemtillstånd (SystemStates)

    Vi måste återställa systemtillståndet till den 13 april, så följande kommando skulle vara: wbadmin startar systemstaterecovery -version:archive_time

    Ris. 12. Processen att återställa systemtillståndet.

    Varje Active Directory-objekt har ett versionsnummer, och om samma objekt har olika versionsnummer på två kontroller, så är det korrekta (nyare) objektet det med den högre versionen. När återställningsprocessen är klar måste du köra verktyget ntdsutil och höj versionsnumret för den fjärranslutna Active Directory-grenen. Det vill säga för vår container.

    Detta görs på följande sätt: ntdsutil -> Aktivera instans NTDS -> Auktoritativ återställning -> återställ underträd" Och ange vad som bör återställas med tvång ”. Ett exempel finns i figur 13.

    Ris. 13. Valet av vad som ska återställas med tvång.

Resultat: Vi har auktoritativt återställt organisationsenheten med allt innehåll med hjälp av systemstatus och Active Directory-ögonblicksbilder. I Windows Server 2008 kan vi tvinga återställning av antingen organisationsenheter med allt innehåll eller specifika objekt. Kommandot "återställ databas" från ntdsutil har tagits bort, så vi kommer inte att kunna tvångsåterställa hela Active Directory-databasen.

Om du återställer ett arkiv av systemdisken för en domänkontrollant och vill uppnå en påtvingad återställning av någon del av AD, går vi omedelbart efter återställningen in i katalogtjänstens återställningsläge, vilket förhindrar att kontrollern startar i normalt läge. Och med ntdsutil specificerar vi vilken del av AD som ska tvingas återhämta sig.

Material som tillhandahålls av resursen

Data som stöder mest populära filsystem(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS). Fungerar med hårddiskar: IDE, ATA, SCSI, flash-enheter, minneskort och disketter, samt RAID-arrayer, vilket är särskilt viktigt för systemadministratörer. Men det kommer inte att vara svårt för en enkel användare att återställa raderade eller skadade filer.

Programmet kan känna igen 28 typer av filer baserat på deras signaturer. Det kan vara dokument, fotografier eller bilder, musik, videor, arkiv etc. För professionella och amatörfotografer är det möjligt att söka efter RAW-bilder som används av tillverkaren av deras kamera (Leica, Canon, Nikon, Sony, etc.), vilket kommer att begränsa sökningen och minska återställningstiden för bilder.

Två återställningsalternativ: QuickScan (snabb) och SuperScan (långsam), samt ett sökfilter, inklusive en del av filnamnet, hjälper till att minska sök- och återställningstiden för de filer du behöver. Hur som helst låter programmets algoritmer dig snabbt återställa data även från stora hårddiskar, vilket ofta är ouppnåeligt för konkurrerande verktyg.

Programmets gränssnitt kommer att vara förståeligt även för en oerfaren användare, men även erfarna användare som stöter på informationsåterställning för första gången kan ha frågor och svårigheter. Vi har skrivit en manual för att använda Active File Recovery, som hjälper dig att gå igenom återställningsprocessen från att starta applikationen till glädje efter att du fått tillbaka förlorad data.

Instruktioner för hur du använder File Recovery

För visuella exempel tog vi fyra filer: video (mp4), ljud (mp3), word-dokument(doc) och bild (jpg). Kastade dessa filer på ett microSD-minneskort och formaterade det. Låt oss nu försöka återställa dessa filer efter formatering och se till att programmet fungerar.

Bild #1: Återställningsfiler

Bild #2: Formatera ett minneskort

Efter att ha packat upp arkivet med programmet, kör filen " Filåterställning.ex". Startfönstret för Windows OS har öppnats (Se från nr 4), där vi ser alla anslutna lagringsenheter, bland annat finns ett minneskort formaterat av oss (ChipBnk Flash Disk). Välj den och klicka på "SuperSkan" för en mer exakt långsam skanning av minneskortet.

Bild #4: Att välja en enhet att skanna

Ett litet fönster öppnas med skanningsinställningar. I den kan du ställa in sökningen efter borttagna avsnitt, om det fanns några, och nedan välja vilka typer av filer som programmet kommer att söka efter med signaturer. Om du behöver hitta och återställa allt som fanns på hårddisken innan du formaterade eller raderade, lämna bara "Alla (Långsamt)", men kom ihåg att då kommer skanningen att ta mycket längre tid.

Bild #5: Skanningsinställningar

Om du vet exakt vilka typer av filer du behöver återställa, välj sedan "Vissa" och klicka på "Välj ...". Genom att bara markera de filtillägg som vi är intresserade av kommer vi att minska söktiden. I vårt fall specificerade jag fyra typer av filer (Se från nr 6).

Bild #6: Välj filtyp

Klicka nu på "OK" och "Start". Skanningsprocessen pågår och vi ser framstegen visuellt i det nedre vänstra hörnet som en procentandel.

Bild #7: Skanningsprocess

Efter att skanningen är klar kommer mappen "SuperScan" med datum och tid att visas på vänster sida av programmet under alla enheter. Vi öppnar den och till höger ser vi vilka typer av filer som hittas av programmet. Välj dem och klicka på ikonen med inskriptionen "Återställ" högst upp. För att återställa våra filer kommer vi att uppmanas att ange var de ska sparas. När du har valt lagringsplatsen klickar du på "Återställ", vilket startar återställningsprocessen.

Bild #8: Dataåterställning

Efter att dataåterställningen är klar går vi till mappen som vi angav där våra filer sparas, var och en i sin egen sektion. Vi kollar prestationen och jublar! Det enda negativa är att programmet inte kunde återställa filnamnen efter formatering, men det händer inte alltid.

En viktig aspekt av att använda Active Directory är failover. För att skydda mot misslyckanden är det alltid värt att ha en pålitlig säkerhetskopiering Systemtillstånd. Genom att säkerhetskopiera systemtillståndet kan du säkerställa att filer som är kritiska för systemets funktion bevaras.

Dessa filer inkluderar Active Directory, systemregistret och innehållet i mappen SYSVOL, som innehåller inloggningsskript och mallar grupppolicyer. När en domänkontrollant misslyckas det bästa sättetåterhämtning är i allmänhet ett misslyckande att återhämta sig.

Alltid om det tillåter genomströmning nätverksanslutning och det finns en andra domänkontrollant i domänen, försök att installera om Windows-operativsystemet (eller återställa det från en ASR-säkerhetskopia) och kör om DCPromo-verktyget för att främja servern till en domänkontrollant. Detta kommer att resultera i ett rent system.

Eftersom Active Directory endast kan säkerhetskopieras som en del av System State, måste du även återställa System State när du återställer Active Directory. Om servern har misslyckats helt, sedan systemåterställning på en annan hårdvara kan leda till problem.

Om problem uppstår efter återställning, utför en åtgärd operativ system för att lösa eventuella konfigurationsfel.

Således, om alla andra försök att åtgärda problemet har misslyckats och du har en giltig säkerhetskopia av systemtillstånd och du behöver återställa Active Directory-databasen, kan du använda en av tre typer av återställning.

  • Primär- Välj det här alternativet om du återställer den första domänkontrollanten och inga fler domänkontrollanter är aktiverade i domänen. Om du väljer det här alternativet måste återställning av resten av domänkontrollanterna vara icke-auktoritativ.
  • Auktoritativ- används endast när Active Directory-databasen behöver återställas till det tillstånd den var i vid tidpunkten för säkerhetskopieringen. En sådan återställning bör endast utföras när allvarliga fel inträffar, som att ta bort en organisationsenhet, eller om du behöver återställa alla tidigare åtgärder. Detta återställningsalternativ kräver att du kör kommandot ntdsutil efter återställningen för att välja de objekt som är auktoritativa för replikering.
  • icke-auktoritativ- det här återställningsalternativet används i 99 % av fallen med återställning av Active Directory-databasen. Det här alternativet gör att data återställs, varefter domänkontrollanten tar emot uppdateringar från andra domänkontrollanter inom skogen (vilket möjliggör återställning av synkronisering).

När du startar en Active Directory-återställning väljs återställningsalternativet i dialogrutan Avancerade återställningsalternativ i Backup-applikationen. Än en gång understryker jag att restaurering endast bör betraktas som en sista utväg.

Om domänkontrollanten är den enda DNS-server och DNS använder AD-integrerade zoner, kommer DNS-zondata att vara otillgängliga när domänkontrollanten startas upp i Directory Service Restore Mode.

Om systemtillståndet återställs över nätverket med hjälp av ett säkerhetskopieringsverktyg från tredje part kan det vara nödvändigt att göra lämpliga uppgifter i hosts-fil(detta kommer att ge namnupplösning för alla datorer som deltar i återställningsprocessen).

Vad ska man göra och vad dansar att dansa med och utan tamburin om du ser inskriptionen "Restore Active Desktop" på skrivbordet? Även om färre och färre användare upplever detta problem, eftersom den huvudsakliga plattformen för detta fel är driften Windows-system XP, men det är fortfarande relevant. Trots allt, detta systemär dock fortfarande relevant.

Varför misslyckas skrivbordsåterställning?

Problemet är detta: på grund av något slags fel slutar skrivbordet, som vi känner det, att fungera. Och istället för vår favoritbakgrundsbild ser vi inskriptionen "Återställ Active Desktop", som vi måste hålla med om är obehaglig. Men det verkar som att allt inte är särskilt skrämmande, eftersom du omedelbart kan se knappen för att återställa skrivbordet på samma ställe. Och jag är seriöst intresserad av frågan, hjälpte den här knappen åtminstone någon? Åtminstone en gång?

Orsakerna till att skrivbordet slocknar är okända för mig. Jag klättrade inte på FAQ på jakt efter en tolkning. Men jag vet hur man löser ett sådant problem, och jag tror att du kom hit för detta, och inte för en tråkig teori.

Sätt att återställa skrivbordet

Det enklaste sättet att återställa Active Desktop är att logga in som en lokal administratör och ta bort den problematiska användarens mapp. Om du är administratör kan du skapa en ny administratör och återigen ta bort mappen för den problematiska användaren. Denna mapp lagras i c:\users. Logga sedan in igen under problemkontot. Kontomappen kommer att återskapas. Och eftersom det skapas genom att kopiera mappen standard, då blir det inga problem. Sedan mappen Standard detta är standardmappen baserad på vilken alla nya anpassade mappar, den innehåller ingenting från användaren. Inga inställningar, inga dokument, inga sparade lösenord – absolut ingenting som tjänas in under kontots livstid. Därför är detta det enklaste sättet att lösa problemet. Och baksidan av lätthet är rivningen av alla dina inställningar till noll. Om det passar dig, fortsätt med låten.

Tja, det finns alltid en svårare lösning på problemet. Men detta alternativ kommer inte bara att återställa skrivbordet, utan också spara alla dina inställningar med dig. För att göra detta, öppna Registerredigerare och gå till registerfilialen
hkey_current_user\software\microsoft\internet explorer\desktop\schema
Där hittar vi parametern visas. Parametervärdet måste vara sparaläge. Den här inställningen kommer från registret och meddelar systemet att det finns ett fel relaterat till skrivbordet. Och så påpekar han att du måste få med detta mycket sparaläge. ah sedan bara samma skärm med ett fel. Vi behöver inte en sådan skärm. Därför rensar vi denna parameter.

Efter det går vi till mappen
c:\documents and settings\%user%\appdata\microsoft\internet explorer\
och radera filen desktop.htt Det är också möjligt att den här filen inte finns där. Ta sedan bort alla restriktioner för att visa dolda och systemfiler i den här mappen. Detta kan göras genom kommandoraden med hjälp av ett kommando eller till exempel med hjälp av ett program som Total commander. När vi har hittat den här filen tar vi bort den. Förresten given fil kan enkelt raderas via , eftersom vi vet hela vägen dit. För att göra detta, använd kommandot del.

Efter allt detta uppdaterar vi skrivbordet. Om stegen utförs korrekt försvinner skärmen med ett felmeddelande om behovet av att återställa Active Desktop. Lycka till!

UPPDATERING: Lösning för de lata: försök att helt enkelt välja en bild som skrivbordsbakgrund. Ibland ger en så enkel åtgärd det önskade resultatet.

Sergey Yaremchuk

Säkerhetskopiera och återställa objekt
Active Directory i Windows Server 2008/2008 R2

Active Directory är branschstandarden företagsnätverk arbetar under Windows kontroll. Tillhandahåller administratör effektiva verktyg, utåt sett lätt att använda, den är ändå ganska komplex i sin struktur och sammansättning. Dessutom är ingen immun mot fel i driften av operativsystemet, program, hårdvarufel eller mänskliga fel. Därför måste man alltid vara beredd på att åtgärder kommer att behöva vidtas för att återställande av arbete i allmänhet eller enskilda element.

Om behovet av backup

I varje nytt Windows-versioner Server, nya verktyg dyker upp som förenklar och automatiserar hanteringsprocessen, vilket även en nybörjare kan hantera. En av de vanliga åsikterna bland sådana "specialister" är den allmänna vägran att reservera domänkontrollanter. Argumentet är enkelt. Medelstora och stora organisationer använder flera domänkontrollanter, detta är ett axiom. Sannolikheten att allt kommer att misslyckas på en dag är praktiskt taget lika med noll. Såvida de inte tas ut på order av åklagaren eller genom att man utnyttjar ett fel i organisationen av säkerheten, men det här fallet, ser du, är utöver det vanliga. Därför, om en domänkontrollant misslyckas, fungerar alla andra normalt, och en ny server är beredd att ersätta den. De har delvis rätt, men att reservera minst två styrenheter (vid ett fel) med rollerna FSMO (Flexible single-master operations, operations with one executor) är fortfarande obligatoriskt. Det är vad Microsoft och sunt förnuft rekommenderar. Och det finns ett annat huvudargument för reservationer. Enkel hantering leder till en ökning av andelen fel. Att ta bort ett Active Directory-objekt av misstag är ganska enkelt. Och det behöver inte nödvändigtvis vara en avsiktlig åtgärd, det kan till exempel uppstå som ett resultat av ett fel när skriptet körs. Och för att återställa alla inställningar måste du anstränga dig.

Om felet inte upptäcks omedelbart och ändringen redan har replikerats till andra styrenheter, behöver du i den här situationen en säkerhetskopia. Jag pratar inte om små organisationer med en enda domänkontrollant.

Ett dokument som visar funktionerna för säkerhetskopiering och återställning av Windows Server 2008 är Gil Kirkpatricks "Säkerhetskopiera och återställa Active Directory i Windows Server 2008" i , som jag rekommenderar att läsa. Men om säkerhetskopieringsproblemen är fullständigt beskrivna, så visas återställningen, enligt min mening, något ytligt och ger inte en fullständig bild. Den här artikeln kom faktiskt från anteckningar som sammanställts för det extrema fallet.

Arkiveringssystem Windows-data server

I Windows Server 2008 ersattes NT Backup av en helt ny komponent Windows Server Backup System (Windows Server Backup, WBS), baserat på VSS (Volume Shadow Copy Service, volymskuggkopieringstjänst). WBS är en ganska kraftfull applikation som låter dig återställa systemet, inklusive till en annan dator, som stöder vissa tjänster, vars lista inkluderar AD.

Att installera WBS är enkelt, du behöver bara aktivera komponenten "Windows Server Backup Features" plus underposten "Windows Server Backup". Det senare inkluderar MMC-hanteringskonsolen och det nya kommandoradsverktyget Wbadmin. Dessutom är posten "Kommandoradsprogram" tillgänglig, som inkluderar PowerShell-skript, så att du kan skapa och hantera säkerhetskopior.

På kommandoraden är installationen ännu enklare:

> servermanagercmd -installera Backup-Features

Eller i Server Core:

> ocsetup Windows Server Backup

Reservationer kan hanteras från MMC-konsolen eller från kommandoraden. Så för att säkerhetskopiera kritiska volymer skulle du skriva:

> wbadmin Starta säkerhetskopiering -backupTarget:E: -allCritical

Med ett helt exemplar tycker jag att allt är klart. I samband med artikeln är vi mer intresserade av att säkerhetskopiera systemtillståndet med hjälp av parametern SystemStateBackup. Förresten, den här funktionen var inte tillgänglig i de första versionerna av Windows Server 2008, och den är inte tillgänglig via MMC:

> wbadmin Starta SystemStateBackup -backupTarget:E:

I det här fallet utförs fil-för-fil-kopiering av systemtillståndet och vissa tjänster, inklusive AD. Det mest obekväma i det här fallet är att varje gång du måste skapa en fullständig kopia (nyinstallerat system är cirka 7 GB), och processen är något långsammare än en vanlig säkerhetskopiering. Men å andra sidan kan du återställa en sådan kopia till en annan dator med en identisk konfiguration.

Kommandot kopieras till en annan volym. Men KB944530 berättar hur du aktiverar möjligheten att säkerhetskopiera till vilken volym som helst. För att göra detta, lägg till ett DWORD-värde med namnet AllowSSBTo AnyVolume med värdet 1 till registergrenen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup.

Med redundans finns det vanligtvis inga problem här, allt är enkelt och tydligt, svårigheter börjar när det är nödvändigt att återställa hälsan hos AD eller oavsiktligt raderade objekt. Genom att använda SystemState-kopior kan du göra utan att återställa hela systemet, utan helt enkelt återställa det tidigare tillståndet för AD-tjänster. Den grafiska konsolen designad för dataåterställning ser inte SystemState-kopior (de finns på disken i en annan SystemStateBackup-katalog). Om du försöker starta återställningsprocessen i fungerande system, får vi ett meddelande som säger att eftersom arkivet innehåller Active Directory-domäntjänsten måste operationen utföras i Directory Services Restore Mode (DSRM). Detta är en av nackdelarna, eftersom domänkontrollanten kommer att vara otillgänglig för närvarande.

Den nya BCD-startmekanismen som introducerades i Windows sedan Vista, som tog bort den gamla goda boot.ini, tvingar oss att ta ytterligare några steg för att komma in i DSRM. OS inkluderar särskild nytta, designad för att redigera bootloader-parametrar (du kan hitta grafiska verktyg på Internet, men jag tror inte att de har en plats på servern). Skapa en ny kopia av posten:

> bcdedit /copy (standard) /d "Reparationsläge för katalogtjänst"

När du är klar, kontrollera:

> bcdedit /enum

Det nya objektet bör visas i listan.

Vi startar om, väljer objektet Directory Service Repair Mode och genom att klicka , kryssa i "Katalogtjänståterställningsläge". Observera att i det här läget måste du använda administratörsuppgifter för att logga in. lokalt system, inte ett domänkonto.

> wbadmin hämta versioner

Och återställ med den mottagna versionsidentifieraren som en parameter:

> wbadmin starta systemstaterecovery --version:05/21/2009-21:02

Om du återställer från en lokal enhet är BackupTarget-parametern som talar om för wbadmin var den ska hämta säkerhetskopian valfri. Om kopian finns i nätverksresurs, vi skriver det så här:

BackupTarget:\\dator\backup-maskin:server-ad

Trots varningen att:

Att återställa katalogtjänsten sker vanligtvis utan problem. Efter omstarten stöter vi på ett meddelande som säger att den påbörjade återställningsåtgärden har slutförts.

När vi går till Active Directory-hanteringskonsolen ser vi att allt är på sin plats ... förutom nya objekt som skapats efter att säkerhetskopieringen gjordes. I princip förväntas ett sådant resultat. Och för att återställa enskilda objekt finns det ett helt annat sätt (även flera).

Tvinga återställning av objekt med NTDSUTIL

Windows Server inkluderar kommandoradsverktyget NTDSUTIL för att underhålla, hantera och kontrollera Active Directory Domain Services (AD DS) och Active Directory Lightweight Directory Services (AD LDS). Verktyget blir tillgängligt på systemet efter att AD DS-rollen har installerats. I Windows Server 2008 har dess funktionalitet förändrats något. Så i Windows Server 2003 var det möjligt att återställa hela databasen med dess hjälp, men 2008 gjorde wbadmin ett utmärkt jobb med detta, vilket förmodligen är anledningen till att dess återställningsmöjligheter reducerades något. Nu, med hjälp av NTDSUTIL, kan du återställa organisationsenheten med allt innehåll och ett enda objekt.

Dess arbete är baserat på Active Directory-ögonblicksbilder tagna med VSS-tjänsten. En ögonblicksbild är en kompakt säkerhetskopia av en aktiv Active Directory med alla kataloger och filer. Att skapa en sådan kopia, till skillnad från SystemState, går väldigt snabbt och tar några sekunder.

> ntdsutil

Gå till ögonblicksbildskontexten:

ntdsutil:snapshot

Kör snapshot-kommandot (kort form är "ac i ntds"):

ögonblicksbild: aktivera instans ntds

ögonblicksbild: skapa

Efter ett tag får vi information om den skapade ögonblicksbilden, avsluta:

ögonblicksbild: avsluta

ntdsutil: avsluta

Nu, för att återställa Active Directory-databasen, räcker det med att ange "ntdsutil files repair" på DSRM-kommandoraden, men vi är intresserade av ett enda objekt.

Du kan se listan över borttagna objekt med LDP.exe med hjälp av Get-ADObject och Restore-ADObject PowerShell cmdlets (det finns andra alternativ).

I LDP, till exempel, bör du ansluta till servern, välja "Alternativ (Alternativ) -\u003e Kontroller (Kontroller)" och i rullgardinsmenyn "Ladda fördefinierade" ställ in parametern Returnera borttagna objekt. Gå sedan till "Visa -> Träd", välj domänkontext. Som ett resultat kommer objektet CN=Deleted Object att dyka upp i trädet till höger, där vi hittar alla borttagna objekt.

Nu är det viktiga att när ett objekt raderas förlorar det en stor och viktig del av dess egenskaper (särskilt lösenordet, managedBy, memberOf), så efter att ha återställt det kommer det inte att bli exakt som vi ville att det skulle vara . Allt detta är tydligt synligt i LDP. Men det finns flera alternativ här:

  • öka antalet attribut som inte kommer att skrivas över när ett objekt raderas i den borttagna objektlagringen;
  • återställa objektet och returnera dess attribut;
  • och det bästa är att blockera objektet från oavsiktlig radering.

Det finns flera sätt att återställa ett borttaget objekt. Det bekvämaste är Mark Russinovichs AdRestore-verktyg. Ladda ner och ange:

> adrestore -r användare

Vi får ett objekt med några attribut.

De återstående metoderna beskrivs i KB840001, de är inte så enkla, så jag kommer inte att uppehålla mig vid dem.

Återställer objektattribut

En ögonblicksbild tagen med ntdsutil har ett objekt och dess attribut. Bilden kan monteras och anslutas som en virtuell LDAP-server som exporterar objekt. Vi kallar ntdsutil:

> ntdsutil

ntdsutil:snapshot

Se listan över tillgängliga bilder:

ögonblicksbild: lista alla

Bilden är monterad. Nu kan du navigera med Explorer till den angivna katalogen och se vad som finns inuti. Avsluta ntdsutil genom att skriva quit två gånger, bilden kommer fortfarande att monteras. Nu, med hjälp av verktyget dsamain, skapar vi en virtuell LDAP-server, som anger sökvägen till filen ntds.dit som en parameter, som finns i den monterade ögonblicksbilden. Jag valde 10000 som LDAP-serverport:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Uppstart av Microsoft Active Directory Domain Services version 6.0.6001.18000 slutförd

Du kan ansluta till den virtuella LDAP-servern med hjälp av Active Directory Users and Computers-konsolen, ange portnummer 10000 som en parameter och visa objekten inuti.

Vi exporterar parametrarna för det önskade objektet till en ldf-fil, mer om ldifde finns skrivet i KB237677 .

> ldifde -r "(namn=användare)" -f export.ldf -t 10000

I den resulterande ldf-filen ändrar du parametern changetype: add till changetype: modify och sedan ny fil importera till katalogen:

> ldifde -i -z -f import.ldf

Det finns andra import-/exportalternativ med DSGET/DSMOD, PowerShell och så vidare.

> dsget användare cn=användare,ou=ou1,dc=domän,ds=ru -s localhost:10000 -memberof | dsmod group -c -addmbr cn=användare,ou=ou1,dc=domän,ds=ru

En annan metod bygger på att varje Active Directory-objekt har ett versionsnummer. Om versionsnumren på två domänkontrollanter skiljer sig, anses objektet med det högre versionsnumret vara det nya och giltiga objektet. Det är detta som använder mekanismen för "auktoritativ återställning", när objektet som återställs med ntdsutil tilldelas ett högre nummer och det accepteras av AD som nytt. För att den auktoritativa återställningsmekanismen ska fungera, startar servern också om i DSRM.

> ntdsutil "auktoritativ återställning" "återställ objekt cn=användare,ou=grupp,dc=domän,dc=ru" q q

Underavdelningen återställs på samma sätt:

> ntdsutil "auktoritativ återställning" "återställ underträd ou=grupp,dc=domän,dc=ru" q q

Skydda objekt från radering

Till att börja med, med Windows Server 2008 R2, fick administratörer en annan funktionell nivå av domänen, och som ett resultat kan en sådan server konfigureras i en av fyra nivåer - Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Den kan specificeras under installationen med dcpromo eller höjas om en lägre nivå har valts med hjälp av menyn Återställ domänens (skogens) funktionsnivå i Active Directory Admin Center, om vilket lite längre. Dessutom är den omvända operationen också möjlig - att sänka funktionsnivån för domänen och skogen, om de är på nivån för Windows Server 2008 R2, kan den återställas till nivån för Windows Server 2008, lägre - till 2003 eller 2000 - det är omöjligt. De flesta av de nya funktionerna kommer bara att vara tillgängliga om domänen är på R2-nivå. Så, från och med Windows Server 2008, dök ytterligare ett objekt upp i egenskapen för ett objekt, vilket gjorde att det kunde skyddas från oavsiktlig radering. Närmare bestämt var det förr, men här är det inte längre nödvändigt att leta efter det.

I Windows Server 2008 är den tillgänglig när du skapar en underavdelning (OU, organisationsenhet) och kallas "Skydda objekt (behållare) från oavsiktlig radering". Denna flagga visas endast när en ny OU skapas. För befintliga organisationsenheter, såväl som nya skapade grupper, datorer och konton, kan den aktiveras på fliken "Objekt" i egenskapsfönstret (synlig med den aktiva "Visa -> Ytterligare komponenter (Avancerat)").

I R2 är det nödvändiga objektet Skydda mot oavsiktlig radering tillgängligt i egenskaperna för ett enskilt konto, dator, grupp och avdelning, på den mest framträdande platsen. Det räcker att markera rutan här och när du försöker ta bort ett objekt får administratören en varning om omöjligheten att utföra den nödvändiga operationen. Man bör komma ihåg att kryssrutan endast skyddar objektet i vilket det är inställt från radering. Det vill säga om den är aktiverad för en grupp, på enskilda element ingår i dess sammansättning, denna installation gäller inte på något sätt. Det vill säga, det kommer fortfarande att vara möjligt att radera vilket objekt som helst inuti om det inte är skyddat av en personlig flagga. Lite annorlunda situation när man tar bort en oskyddad organisationsenhet. Om den inte innehåller några skyddade objekt kommer OU:n att raderas helt. Men om det finns sådana objekt, bör du markera rutan "Använd radera underträdsserverkontroll" i fönstret som visas. Annars, istället för att ta bort själva OU:n med alla element, kommer ett försök att faktiskt göras att rensa upp OU:n från objekt som inte har skydd. Dessutom, som experiment visar, kommer denna rengöring att vara ofullständig, eftersom programmet slutar fungera, när det står inför det första skyddade objektet, och utfärdar en varning. Detta gäller både för Windows Server 2008 och R2 RC.

Objektet är skyddat från oavsiktlig radering

Active Directory papperskorgen

Windows Server 2008 R2 introducerar en ny AD RB-funktion (Active Directory Recycle Bin) som automatiskt aktiveras när domänen är på Windows Server 2008 R2-nivå. I sitt väsen liknar den korgen som används i Windows, där raderade filer, och ett oavsiktligt raderat objekt kan återställas snabbt och utan problem. Dessutom får objektet som återställs från AD RB omedelbart alla dess attribut. Som standard är livslängden för ett borttaget objekt i AD RB 180 dagar, varefter det går in i livslängden för papperskorgen, förlorar attribut och raderas efter ett tag helt. Du kan ändra dessa värden med parametern msDS-deletedObjectLifetime. Om, under installationen av AD, en nivå under R2 valdes och sedan höjdes med kommandot:

PS C:\> Set-ADForestMode –Identity domain.ru -ForestMode Windows2008R2Forest

då måste AD RB aktiveras separat. För att göra detta, använd cmdleten Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service, /

CN=Windows NT,CN=Tjänster,CN=Konfiguration, DC=domän,DC=ru' –Scope Forest –Target 'domain.ru'

Att återställa ett borttaget objekt är nu väldigt enkelt:

PS C:\> Get-ADObject -Filter (displayName -eq "user") -IncludeDeletedObjects | Återställ-ADObject

Cmdletarna Get-ADObject och Restore-ADObject har många alternativ, som att låta dig hitta den organisationsenhet som det borttagna kontot tillhörde och sedan återställa hela organisationsenheten. Dokumentera Återställ ett borttaget Active Directory-objekt allt är väldigt detaljerat.

Slutsats

Trots kapaciteten hos de nya serveroperativsystemen från Microsoft måste säkerhetskopiering av Active Directory-kontroller utföras systematiskt och konstant, utan vilka det är omöjligt att återställa enskilda objekt eller OU:er. Dessutom, förutom Windows Server Backup, bör du skapa ögonblicksbilder med ntdsutil. Säkerhetskopieringsprocessen förenklas och datavolymer minskar om domänkontrollanten inte utför andra funktioner.

  1. Jill Kirkpatrick. Säkerhetskopiera och återställa Active Directory i Windows Server 2008 - http://technet.microsoft.com/en-us/magazine/cc462796.aspx .
  2. Artikel KB944530. Felmeddelande när du försöker utföra en säkerhetskopiering av systemtillstånd i Windows Server 2008 - http://support.microsoft.com/kb/944530 .
  3. Verktyg AdRestore - http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx .
  4. Dokumentera KB840001. Så här återställer du raderade användarkonton och deras gruppmedlemskap i Active Directory - http://support.microsoft.com/kb/840001 .
  5. Dokument KB237677. "Använda LDIFDE-verktyget för att importera och exportera katalogobjekt i Active Directory" - http://support.microsoft.com/kb/237677/en .
  6. Sida för Windows Server 2008 R2 - http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx .
  7. Dokumentera Steg 2: Återställ ett borttaget Active Directory-objekt – http://technet.microsoft.com/en-us/library/dd379509.aspx .