การกู้คืนใช้งานอยู่ Active Directory: คัดลอกและกู้คืน วิธีการคืนค่าเดสก์ท็อปของคุณ

Active Directory ใน วินโดวส์เซิร์ฟเวอร์พ.ศ. 2551 ควรมีตัวควบคุมโดเมนมากกว่าหนึ่งตัว นี่คือกฎทองที่ต้องปฏิบัติตามในองค์กรขนาดกลางและขนาดใหญ่ทั้งหมด หลักการกู้คืนเมื่อมีตัวควบคุมหลายตัวเปลี่ยนแปลงไปอย่างมาก ลองทำความเข้าใจว่าทำไม สมมติว่าคุณมีตัวควบคุมโดเมนสองตัวชื่อ DC1 และ DC2 (ซึ่งเป็นตัวควบคุมของโดเมนเดียวกัน) ทั้งสองจะมีฐานข้อมูล Active Directory ที่เหมือนกัน และหากคุณเปลี่ยนฐานข้อมูลใดฐานข้อมูลหนึ่ง ระบบจะอัปเดตฐานข้อมูลอีกฐานข้อมูลโดยอัตโนมัติ นี่เป็นกระบวนการจำลองแบบ

ตอนนี้เรามาตัดสินใจเกี่ยวกับกำหนดการสำรองข้อมูล:

วันอาทิตย์- การสำรองข้อมูลพาร์ติชันระบบทั้งหมด (อธิบายไว้ในส่วนแรกของบทความ)

วันจันทร์ - วันเสาร์- การสร้างสถานะของระบบ (อธิบายไว้ในส่วนแรกของบทความ)

ทุกอย่างเรียบร้อยดี แต่ในวันพฤหัสบดี ตัวควบคุมโดเมน DC1 หยุดทำงานเนื่องจากปัญหา คุณมีหลายวิธีในการกู้คืนคอนโทรลเลอร์ลองดูที่พวกมัน

  • วิธีแรก: กู้คืนสถานะระบบที่ทำเมื่อวันพุธ ในการดำเนินการนี้ คุณจะต้องเริ่มคอนโทรลเลอร์ในโหมด DSRM (โหมดการกู้คืนบริการไดเรกทอรี) และใช้งาน โปรแกรมวินโดวส์สถานะการคืนค่าการสำรองข้อมูลเซิร์ฟเวอร์ แต่สำหรับสิ่งนี้ คอนโทรลเลอร์จะต้องบูตเข้าสู่ DSRM ซึ่งอาจไม่สามารถทำได้
  • วิธีที่สอง:หากการโหลดคอนโทรลเลอร์ลงใน DSRM ล้มเหลว ขั้นตอนการกู้คืนจะเริ่มต้นด้วยการเริ่มการกู้คืนพาร์ติชันระบบ ซึ่งไฟล์เก็บถาวรนั้นถูกสร้างขึ้นในวันอาทิตย์ หลังจากที่คุณกู้คืน DC1 จากไฟล์เก็บถาวรนี้ คอมพิวเตอร์ของคุณจะเริ่มบูตตามปกติ

และที่นี่ในตัวเลือกแรกและตัวเลือกที่สองตัวควบคุมสองตัวปรากฏขึ้นซึ่งไม่มีฐานข้อมูล Active Directory ที่ซิงโครไนซ์ DC1 มีเวอร์ชันฐานข้อมูลในวันที่สำรองข้อมูล และ DC2 มีเวอร์ชันปัจจุบันใหม่ล่าสุด

เวอร์ชันใดจะมีความสำคัญกว่า?

หากคุณดำเนินการกู้คืนตามที่ฉันได้อธิบายไว้ในส่วนแรกของบทความ ตัวควบคุมที่ยังคงทำงานอยู่จะให้ความสำคัญเป็นอันดับแรก ในสถานการณ์ของเราคือ DC2 ทุกอย่างที่อยู่ใน Active Directory บน DC1 หลังจากการกู้คืนจะได้รับการอัปเดตเป็นสถานะของ DC2 วิธีนี้เรียกว่าการกู้คืนแบบไม่บังคับ

หรืออาจจะเป็นการสำรองข้อมูล Windows Server นี้?

เมื่อเร็วๆ นี้ ฉันได้พบกับพนักงานของ Microsoft ซึ่งเมื่อถูกถามถึงวิธีคืนค่าตัวควบคุมโดเมน เขาก็ตอบว่า "ทำไม" ตอนแรกฉันสงสัยนิดหน่อยว่าเขาล้อเล่นหรือเปล่า แต่แล้วข้อโต้แย้งของเขาก็ชัดเจนสำหรับฉัน ความคิดดำเนินไปเช่นนี้ ตามกฎแล้วในองค์กรขนาดกลางจะมีตัวควบคุมโดเมน 3-4-5 ตัวขึ้นไปและโอกาสที่จะสูญเสียตัวควบคุมโดเมนในคราวเดียวนั้นแทบจะเป็น 0 เพื่อหลีกเลี่ยงโอกาสนี้ เราจะสำรองข้อมูลเพียง 2 ตัวเท่านั้น ในกรณีนี้ การสำรองข้อมูลเกิดขึ้นจากตัวควบคุมหนึ่งหรือตัวควบคุมเหล่านั้นที่มีบทบาท FSMO และมีมูลค่าเฉพาะ คนอื่นๆ ก็แค่ใช้ชีวิตของตัวเอง และหากล้มเหลว เราก็เพียงติดตั้งระบบปฏิบัติการใหม่และเพิ่มตัวควบคุมโดเมนใหม่ ควรสังเกตว่าในแง่ของเวลา สิ่งเหล่านี้จะเป็นขั้นตอนที่เทียบเท่ากัน

อาจมีความปรารถนาที่จะหยุดทำสำเนาโดยสิ้นเชิง บางทีเราจะไม่สูญเสียทุกสิ่งทุกอย่าง และสามารถรับบทบาท FSMO ได้หากต้องการ ความปรารถนาเป็นอันตรายโดยสิ้นเชิง และนี่คือเหตุผล การสูญเสียออบเจ็กต์ Active Directory ไม่เพียงแต่เป็นการลบผู้ใช้โดยไม่ตั้งใจเท่านั้น คุณยังสามารถลบหน่วยขององค์กรที่มีเนื้อหาทั้งหมดด้วยสคริปต์โดยไม่ตั้งใจ และเพียงส่งคืนจากคอนเทนเนอร์ของออบเจ็กต์ที่ถูกลบ คุณจะไม่สามารถดึงข้อมูลทั้งหมดเข้าไปได้ รูปแบบดั้งเดิมของมัน และการเปลี่ยนแปลงได้ถูกทำซ้ำแล้ว และผู้ควบคุมทุกคนรู้เกี่ยวกับการลบ ในสถานการณ์นี้ คุณจะต้องมีสำเนาสำรอง

ปฏิบัติตามกฎ - “ไม่มีการสำรองข้อมูลเพิ่มเติม”

ลำดับความสำคัญของการจำลองแบบ

เนื่องจากการกู้คืนแบบมาตรฐานจะจำลอง Active Directory จากตัวควบคุมที่ใช้งานได้ไปเป็นตัวควบคุมที่ "ซ่อมแซมแล้ว" วิธีการนี้จึงใช้ไม่ได้กับเรา เราจำเป็นต้องบังคับลำดับความสำคัญของการจำลองเพื่อเปลี่ยนแปลงและทำซ้ำข้อมูลจากตัวควบคุมที่กู้คืนไปยังส่วนที่เหลือ สิ่งนี้เรียกว่าการบังคับกู้คืน

ใน Windows Server 2003 เราสามารถบังคับกู้คืนได้สามวิธี:

    บังคับให้กู้คืนฐานข้อมูลทั้งหมด

ขั้นตอนนี้เสร็จสิ้นโดยใช้โปรแกรมอรรถประโยชน์ ntdsutil ใน Windows Server 2008 ยูทิลิตี้ ntdsutil ยังคงอยู่ แต่ตอนนี้เราไม่สามารถกู้คืนฐานข้อมูลทั้งหมดได้

เท่านั้น:

    บังคับให้กู้คืนหน่วยขององค์กรที่มีเนื้อหา

    บังคับให้กู้คืนวัตถุชิ้นเดียว

ดังนั้นเราจึงต้องรู้อยู่เสมอว่าวัตถุใดถูกลบไปแล้ว โดยปกติแล้ว คุณจะไม่สามารถเก็บข้อมูลดังกล่าวไว้ในหัวของคุณได้ เพื่อจุดประสงค์นี้ เครื่องมือติดตั้งฐานข้อมูล Active Directory จึงถูกสร้างขึ้นใน Windows 2008

เครื่องมือติดตั้งฐานข้อมูล Active Directory ได้รับการออกแบบเพื่อปรับปรุง และลดความซับซ้อนของกระบวนการกู้คืนบริการไดเรกทอรีโดยเฉพาะ ใน Windows 2003 หากเรามีไฟล์เก็บถาวรจำนวนมากและไม่รู้ว่าไฟล์ใดมีข้อมูลที่จำเป็นสำหรับการกู้คืน เราจะต้องเล่นรูเล็ต กู้คืนไฟล์เก็บถาวรนี้หรือไฟล์นั้น และตรวจสอบเนื้อหา

ใน Windows 2008 สถานการณ์จะเปลี่ยนไป การใช้เครื่องมือติดตั้งฐานข้อมูลทำให้เราสามารถดูเนื้อหาของฐานข้อมูลสำหรับกระบวนการเฉพาะของเวลาได้

ขออภัย เราไม่สามารถดูเนื้อหาของ AD ในช่วงเวลาที่สนใจใดๆ ได้ แต่จะดูเฉพาะช่วงเวลาที่สร้าง Snapshot เท่านั้น ฉันจะบอกทันทีว่า Snapshot ไม่ใช่ Snapshot ที่เราคุ้นเคยในการใช้ VmWare ประกอบด้วยข้อมูลเกี่ยวกับการมีอยู่ของวัตถุในฐานข้อมูล แต่ไม่มีความเกี่ยวข้องในการกู้คืนวัตถุเหล่านี้

จากข้างต้นเราสามารถสรุปได้:

เพื่อให้มีแนวคิดที่เป็นปัจจุบันเกี่ยวกับเนื้อหาของการสำรองข้อมูล จะต้องสร้าง Snapshot ไว้ก่อนหน้านั้น ข้อความของไฟล์แบตช์ที่รันก่อนที่จะสร้างการสำรองข้อมูลควรเป็นดังนี้:

ntdsutil.exe สร้างสแนปชอต "เปิดใช้งานอินสแตนซ์ NTDS" ออก ออก

คุณสามารถดาวน์โหลดไฟล์แบตช์ที่เสร็จแล้วได้ "ที่นี่" ตรวจสอบให้แน่ใจว่า Snapshot เสร็จสิ้นก่อนเริ่มการสำรองข้อมูล

ข้าว. 1.การสร้างภาพรวม Active Directory

กระบวนการบังคับให้กู้คืนตัวควบคุมโดเมนโดยใช้สถานะระบบ (สถานะระบบ)

พื้นหลังเป็นดังนี้: ผู้ดูแลระบบคนหนึ่งลบหน่วยองค์กร "BetaTesters" ที่มีอยู่ บัญชีหรือการบันทึก เราไม่รู้เรื่องนี้แน่นอน ข้อมูลเกี่ยวกับการลบได้ถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดแล้ว เรามีไฟล์เก็บถาวรหลายรายการจาก Systemstate จากวันก่อนหน้า เราไม่ทราบแน่ชัดว่าหน่วยขององค์กรถูกลบเมื่อใด

    ก่อนอื่น เราต้องเลือกสถานะของระบบที่เราจะกู้คืน เราไม่รู้วันที่ถูกลบ ในการดำเนินการนี้ เราจะใช้ Snapshots ซึ่งสร้างขึ้นก่อนการสำรองข้อมูลไม่นาน หลังจากเปิดตัวยูทิลิตี้ ntdsutil เราจะดูรายการสแนปช็อตของโฆษณาของเรา

    ข้าว. 2.ดูสแนปชอต Active Directory ที่มีอยู่

    เพื่อจุดประสงค์นี้ใน บรรทัดคำสั่งกำลังโทรออก ntdsutil -> snapshot -> เปิดใช้งานอินสแตนซ์ NTDS -> รายการทั้งหมด - ด้วยเหตุนี้ เราจะได้รับรายการสแน็ปช็อต Active Directory ที่สร้างขึ้น ภาพแรกถ่ายเมื่อวันที่ 13 เมษายน นั่นคือสิ่งที่ฉันจะเริ่มต้น

    ฉันแก้ไขที่นั่นกับทีมงาน เมานต์ด้วยตัวระบุที่ถูกแทนที่สแน็ปช็อตแรกของ Active Directory ตัวอย่างในรูปที่ 3 หลังจากการดำเนินการนี้ คุณจะมีอ็อบเจ็กต์อ้างอิงบนไดรฟ์ C: ชื่อ $SNAP_date เมื่อเข้าไปแล้วจะเห็นโครงสร้างของคุณ ดิสก์ระบบในขณะที่สร้างสำเนา

    ข้าว. 3.การติดตั้ง Snapshot ของ Active Director

    รูปภาพได้รับการแก้ไขแล้ว ฉันเปิดหน้าต่างบรรทัดคำสั่งที่สองและเรียกใช้ยูทิลิตี้ dsamain เราดำเนินการคำสั่งที่ซับซ้อนซึ่งช่วยให้คุณสามารถเชื่อมต่อสแน็ปช็อตเป็นเซิร์ฟเวอร์ LDAP ในคำสั่ง ให้ระบุเส้นทางไปยังไฟล์ ntds.dit ในสแน็ปช็อตที่เมาท์และพอร์ตเซิร์ฟเวอร์ LDAP (ฉันแนะนำ 50001)

    ข้าว. 4.ใช้ดีซาเมน.

    โดยไม่ต้องปิดหน้าต่างให้เปิดสแน็ปอิน "ผู้ใช้ Active Directory และคอมพิวเตอร์" เลือกการเชื่อมต่อกับตัวควบคุมโดเมนอื่น

    ข้าว. 5.เปลี่ยนตัวควบคุมโดเมน

    ในเมนูที่ปรากฏขึ้น ให้ระบุการเชื่อมต่อกับ “ ชื่อเซิร์ฟเวอร์: พอร์ตที่ระบุใน dsamain"ในสถานการณ์ของฉันมันคือ" ดีซี:50001»

    ข้าว. 6.การเลือกเซิร์ฟเวอร์ LDAP

    เมื่อคลิก "ตกลง" เราจะไปที่สแน็ปอิน "ผู้ใช้ Active Directory และคอมพิวเตอร์" ซึ่งมีข้อมูลให้อ่าน ณ เวลาที่สร้างสแนปช็อต Active Directory ฉันพบหน่วยขององค์กร "BetaTesters" และมีผู้ใช้ "Rud Ilya" อยู่ในนั้น สรุปได้ดังนี้: เนื่องจากสแนปชอตถูกสร้างขึ้นในวันที่ 13 เมษายนและมีหน่วยองค์กรที่ถูกลบ เราจึงต้องกู้คืนสถานะระบบเป็นวันที่ 13 เมษายน

    ข้าว. 7.ดูข้อมูลภาพรวมโฆษณา

    ก่อนที่คุณจะรีบูตเข้าสู่โหมด Directory Services Restore ตรวจสอบให้แน่ใจว่าได้ยกเลิกการต่อเชื่อมสแน็ปช็อตแล้ว ทำได้โดยใช้คำสั่ง unmount พร้อมตัวระบุสแนปช็อต

    ข้าว. 8.กำลังยกเลิกการต่อเชื่อมสแนปชอต

    ตอนนี้เราพร้อมที่จะรีบูตตัวควบคุมโดเมนตัวใดตัวหนึ่งเข้าสู่โหมดการคืนค่าบริการไดเรกทอรี ฉันเขียนวิธีการทำสิ่งนี้ไว้ในส่วนแรกของบทความ โปรดทราบว่าเมื่ออัปโหลดไปยัง DSRM คุณต้องใช้ DSRM ของผู้ดูแลระบบ ไม่ใช่ DSRM ของโดเมน

    ข้าว. 9.เข้าสู่ระบบ DSRM ระบุ Computer_Name\Administrator

    ข้าว. 10.รายการสถานะของระบบ (SystemStates)

    เราจำเป็นต้องคืนค่าสถานะระบบเป็นวันที่ 13 เมษายน ดังนั้นคำสั่งต่อไปนี้จะเป็น: wbadmin เริ่ม systemstaterecovery -version:archive_creation_time

    ข้าว. 12.กระบวนการกู้คืนสถานะระบบ

    ออบเจ็กต์ Active Directory แต่ละรายการมีหมายเลขเวอร์ชัน และหากตัวควบคุมสองตัวมีหมายเลขเวอร์ชันที่แตกต่างกันสำหรับออบเจ็กต์เดียว ดังนั้นออบเจ็กต์ที่ถูกต้อง (ใหม่กว่า) จะเป็นอันที่มีเวอร์ชันที่สูงกว่า หลังจากกระบวนการกู้คืนเสร็จสิ้น คุณจะต้องเรียกใช้ยูทิลิตีนี้ ntdsutilและเพิ่มหมายเลขเวอร์ชันสำหรับสาขา Active Directory ระยะไกล นั่นก็คือสำหรับภาชนะของเรา

    ทำได้ดังนี้: ntdsutil -> เปิดใช้งานอินสแตนซ์ NTDS -> การคืนค่าที่มีสิทธิ์ -> คืนค่าแผนผังย่อย “และระบุสิ่งที่ควรบังคับคืน ”. ตัวอย่างในรูปที่ 13

    ข้าว. 13.การเลือกสิ่งที่จะถูกเรียกคืนโดยการบังคับ

ผลลัพธ์:เราบังคับให้กู้คืนหน่วยขององค์กรที่มีเนื้อหาทั้งหมดโดยใช้สถานะระบบและสแนปช็อต Active Directory ใน Windows Server 2008 เราสามารถบังคับให้กู้คืนหน่วยองค์กรที่มีเนื้อหาทั้งหมดหรือวัตถุเฉพาะได้ คำสั่ง "กู้คืนฐานข้อมูล" จาก ntdsutil ถูกลบออกแล้ว ดังนั้นเราจะไม่สามารถบังคับกู้คืนฐานข้อมูล Active Directory ทั้งหมดได้

หากคุณกำลังกู้คืนไฟล์เก็บถาวรของดิสก์ระบบของตัวควบคุมโดเมนและต้องการบรรลุการคืนค่าแบบบังคับของ AD บางส่วนจากนั้นทันทีหลังจากการคืนค่าโดยไม่อนุญาตให้คอนโทรลเลอร์บูตในโหมดปกติเราจะเข้าสู่โหมดการกู้คืนบริการไดเรกทอรี . และเมื่อใช้ ntdsutil เราระบุว่าส่วนใดของ AD ที่ควรถูกบังคับให้กู้คืน

วัสดุที่จัดทำโดยทรัพยากร

ข้อมูลพร้อมรองรับความนิยมสูงสุด ระบบไฟล์(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS) ใช้งานได้กับฮาร์ดไดรฟ์: IDE, ATA, SCSI, แฟลชไดรฟ์, การ์ดหน่วยความจำและฟล็อปปี้ดิสก์ รวมถึงอาร์เรย์ RAID ซึ่งมีความสำคัญอย่างยิ่งสำหรับผู้ดูแลระบบ แต่ผู้ใช้ทั่วไปจะกู้คืนไฟล์ที่ถูกลบหรือเสียหายได้ไม่ยาก

โปรแกรมสามารถจดจำไฟล์ได้ 28 ประเภทตามลายเซ็น สิ่งเหล่านี้อาจเป็นเอกสาร ภาพถ่ายหรือรูปภาพ เพลง วิดีโอ เอกสารสำคัญ ฯลฯ สำหรับช่างภาพมืออาชีพและมือสมัครเล่น คุณสามารถค้นหาภาพถ่าย RAW ที่ผู้ผลิตกล้องใช้ (Leica, Canon, Nikon, Sony ฯลฯ) ซึ่งจะจำกัดการค้นหาให้แคบลงและลดเวลาในการกู้คืนรูปภาพ

สองตัวเลือกการกู้คืน: QuickScan (เร็ว) และ SuperScan (ช้า) รวมถึงตัวกรองการค้นหา รวมถึงส่วนหนึ่งของชื่อไฟล์ จะช่วยลดเวลาในการค้นหาและกู้คืน ไฟล์ที่จำเป็น- ไม่ว่าในกรณีใด อัลกอริธึมของโปรแกรมจะช่วยให้คุณสามารถกู้คืนข้อมูลได้อย่างรวดเร็วแม้จะมาจาก HDD ขนาดใหญ่ ซึ่งมักจะไม่สามารถทำได้ในโปรแกรมอรรถประโยชน์ที่แข่งขันกัน

อินเทอร์เฟซของโปรแกรมจะเข้าใจได้แม้กระทั่งผู้ใช้ที่ไม่มีประสบการณ์ แต่แม้แต่ผู้ใช้ที่มีประสบการณ์ซึ่งต้องเผชิญกับการกู้คืนข้อมูลเป็นครั้งแรกก็อาจมีคำถามและปัญหา เรามีคำแนะนำเป็นลายลักษณ์อักษรสำหรับการใช้ Active File Recovery ซึ่งจะช่วยให้คุณดำเนินการตามขั้นตอนการกู้คืนตั้งแต่การเปิดแอปพลิเคชันไปจนถึงความสุขในการส่งคืนข้อมูลที่สูญหาย

คำแนะนำในการใช้การกู้คืนไฟล์

เพื่อเป็นตัวอย่าง เราใช้ไฟล์สี่ไฟล์: วิดีโอ (mp4), เสียง (mp3) เอกสารเวิร์ด(doc) และรูปภาพ (jpg) โยนไฟล์เหล่านี้ลงบนการ์ด หน่วยความจำไมโครเอสดีและจัดรูปแบบมัน ตอนนี้เรามาลองกู้คืนไฟล์เหล่านี้หลังจากการฟอร์แมตและตรวจสอบให้แน่ใจว่าโปรแกรมใช้งานได้

ภาพที่ 1: ไฟล์สำหรับการกู้คืน

ภาพที่ 2: การฟอร์แมตการ์ดหน่วยความจำ

หลังจากแตกไฟล์เก็บถาวรด้วยโปรแกรมแล้วให้เรียกใช้ไฟล์ “ การกู้คืนไฟล์อดีต- หน้าต่างเริ่มต้นสำหรับ Windows OS เปิดขึ้น (ดูจากข้อ 4) ซึ่งเราจะเห็นอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อทั้งหมดซึ่งมีการ์ดหน่วยความจำที่เราฟอร์แมต (ChipBnk Flash Disk) เลือกและคลิก "SuperSkan" เพื่อการสแกนการ์ดหน่วยความจำที่ช้าแม่นยำยิ่งขึ้น

ภาพที่ 4: การเลือกอุปกรณ์ที่จะสแกน

หน้าต่างเล็ก ๆ พร้อมการตั้งค่าการสแกนจะเปิดขึ้น ในนั้นคุณสามารถตั้งค่าการค้นหาพาร์ติชันที่ถูกลบได้ (หากมี) และด้านล่างเลือกประเภทไฟล์ที่โปรแกรมจะค้นหาด้วยลายเซ็น หากคุณต้องการค้นหาและกู้คืนทุกสิ่งที่อยู่ในไดรฟ์ก่อนทำการฟอร์แมตหรือลบ ให้ปล่อย "ทั้งหมด (ช้า)" ไว้ แต่จำไว้ว่าการสแกนจะใช้เวลานานกว่ามาก

รูปภาพ #5: การตั้งค่าการสแกน

หากคุณทราบแน่ชัดว่าคุณต้องการกู้คืนไฟล์ประเภทใด ให้เลือก “บางส่วน” แล้วคลิก “เลือก...” ด้วยการทำเครื่องหมายที่ช่องถัดจากนามสกุลไฟล์ที่เราสนใจ เราจะลดเวลาในการค้นหา ในกรณีของเรา ฉันระบุไฟล์สี่ประเภท (ดูจากข้อ 6)

รูปภาพ #6: การเลือกประเภทไฟล์

ตอนนี้คลิก "ตกลง" และ "เริ่ม" กระบวนการสแกนเริ่มต้นขึ้นแล้ว และเราสามารถเห็นความคืบหน้าทางสายตาที่มุมซ้ายล่างเป็นเปอร์เซ็นต์

รูปภาพ #7: กระบวนการสแกน

หลังจากการสแกนเสร็จสิ้น โฟลเดอร์ “SuperScan” พร้อมวันที่และเวลาจะปรากฏที่ด้านซ้ายของโปรแกรมใต้อุปกรณ์ทั้งหมด เราเปิดมันขึ้นมาและทางด้านขวาเราจะเห็นประเภทไฟล์ที่โปรแกรมพบ เลือกพวกเขาและคลิกไอคอนด้านบนที่ระบุว่า “กู้คืน” ในการกู้คืนไฟล์ของเรา เราจะถูกขอให้ระบุตำแหน่งที่จะบันทึกไฟล์เหล่านั้น หลังจากเลือกตำแหน่งบันทึกแล้ว คลิก "กู้คืน" ซึ่งจะเริ่มกระบวนการกู้คืน

รูปภาพ #8: การกู้คืนข้อมูล

หลังจากการกู้คืนข้อมูลเสร็จสมบูรณ์ ให้ไปที่โฟลเดอร์ที่คุณระบุซึ่งไฟล์ของเราถูกบันทึกไว้ โดยแต่ละไฟล์จะอยู่ในส่วนของตัวเอง เราตรวจสอบการทำงานและชื่นชมยินดี! ข้อเสียอย่างเดียวคือโปรแกรมไม่สามารถกู้คืนชื่อไฟล์ได้หลังจากการฟอร์แมต แต่สิ่งนี้ไม่ได้เกิดขึ้นเสมอไป

สิ่งสำคัญประการหนึ่งของการใช้ Active Directory คือการเฟลโอเวอร์ เพื่อป้องกันความล้มเหลว ควรมีความน่าเชื่อถืออยู่เสมอ สำเนาสำรอง สถานะของระบบ. สำรองข้อมูลสถานะระบบช่วยให้คุณมั่นใจในการเก็บรักษาไฟล์ที่สำคัญต่อการทำงานของระบบ

ไฟล์เหล่านี้ได้แก่ Active Directory รีจิสทรีของระบบและเนื้อหาของโฟลเดอร์ SYSVOL ซึ่งมีสคริปต์การลงทะเบียนและเทมเพลต นโยบายกลุ่ม- เมื่อตัวควบคุมโดเมนล้มเหลว วิธีที่ดีที่สุดการฟื้นฟูคือการปฏิเสธที่จะฟื้นฟูเลย

เสมอหากเป็นไปได้ ปริมาณงาน การเชื่อมต่อเครือข่ายและมีตัวควบคุมโดเมนตัวที่สองในโดเมน ลองติดตั้งระบบปฏิบัติการ Windows ใหม่ (หรือกู้คืนจากการสำรองข้อมูล ASR) และเรียกใช้ยูทิลิตี้ DCPromo อีกครั้งเพื่อเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน ซึ่งจะส่งผลให้ระบบสะอาด

เนื่องจาก Active Directory สามารถสำรองข้อมูลโดยเป็นส่วนหนึ่งของสถานะระบบเท่านั้น เมื่อคุณคืนค่า Active Directory คุณจะต้องคืนค่าสถานะระบบด้วย หากเซิร์ฟเวอร์ล้มเหลวโดยสิ้นเชิง ให้กู้คืนระบบบนเซิร์ฟเวอร์อื่น ฮาร์ดแวร์อาจนำไปสู่ปัญหาได้

หากเกิดปัญหาหลังการกู้คืน ให้ทำการแก้ไข ระบบปฏิบัติการเพื่อแก้ไขข้อผิดพลาดในการกำหนดค่าทั้งหมด

ดังนั้น หากความพยายามอื่นๆ ทั้งหมดเพื่อแก้ไขปัญหาล้มเหลว และคุณมีการสำรองข้อมูลสถานะระบบที่ถูกต้อง และจำเป็นต้องคืนค่าฐานข้อมูล Active Directory คุณสามารถใช้การกู้คืนหนึ่งในสามประเภทได้

  • หลัก- เลือกตัวเลือกนี้ถ้าตัวควบคุมโดเมนตัวแรกกำลังถูกคืนค่า และไม่มีตัวควบคุมโดเมนที่เปิดใช้งานในโดเมนอีกต่อไป ถ้าคุณเลือกตัวเลือกนี้ การกู้คืนตัวควบคุมโดเมนที่เหลือจะต้องไม่ได้รับอนุญาต
  • เผด็จการ- ใช้เฉพาะเมื่อจำเป็นต้องกู้คืนฐานข้อมูล Active Directory กลับสู่สถานะเดิมในขณะที่สร้างการสำรองข้อมูล การกู้คืนนี้ควรทำเฉพาะเมื่อเกิดข้อผิดพลาดร้ายแรง เช่น การลบหน่วยขององค์กร หรือเมื่อจำเป็นต้องย้อนกลับการดำเนินการก่อนหน้านี้ทั้งหมด ตัวเลือกการกู้คืนนี้จำเป็นต้องเรียกใช้คำสั่ง ntdsutil หลังจากการกู้คืนเพื่อเลือกออบเจ็กต์ที่มีสิทธิ์สำหรับการจำลองแบบ
  • ไม่ได้รับอนุญาต- ตัวเลือกการกู้คืนนี้ใช้ใน 99% ของกรณีการกู้คืนฐานข้อมูล Active Directory ตัวเลือกนี้ทำให้ข้อมูลถูกเรียกคืน หลังจากที่ตัวควบคุมโดเมนได้รับการอัปเดตจากตัวควบคุมโดเมนอื่นๆ ภายในฟอเรสต์ (อนุญาตให้แปลงกลับเป็นการซิงโครไนซ์)

เมื่อคุณเรียกใช้การคืนค่า Active Directory ตัวเลือกการคืนค่าจะถูกเลือกตัวเลือกในกล่องโต้ตอบ ตัวเลือกการคืนค่าขั้นสูงในแอปพลิเคชันสำรองข้อมูล ฉันขอย้ำอีกครั้งว่าการฟื้นฟูควรถือเป็นทางเลือกสุดท้ายเท่านั้น

หากตัวควบคุมโดเมนเป็นเพียงตัวเดียว เซิร์ฟเวอร์ DNSและ DNS ใช้โซนที่รวม Active Directory ข้อมูลโซน DNS จะไม่พร้อมใช้งานเมื่อตัวควบคุมโดเมนถูกบูตเข้าสู่โหมดการคืนค่าบริการไดเรกทอรี

หากมีการกู้คืนสถานะของระบบผ่านเครือข่ายโดยใช้ยูทิลิตี้การสำรองข้อมูลของบริษัทอื่น คุณอาจต้องป้อนข้อมูลที่เหมาะสม ไฟล์โฮสต์(ซึ่งจะให้การจำแนกชื่อสำหรับคอมพิวเตอร์ทุกเครื่องที่เข้าร่วมในกระบวนการกู้คืน)

จะทำอย่างไรและเต้นรำอะไรทั้งที่มีและไม่มีแทมบูรีนหากคุณเห็นข้อความ "กู้คืนเดสก์ท็อปที่ใช้งานอยู่" บนเดสก์ท็อปของคุณ แม้ว่าผู้ใช้จะประสบปัญหานี้น้อยลงเรื่อยๆ เนื่องจากแพลตฟอร์มหลักสำหรับข้อผิดพลาดนี้คือระบบปฏิบัติการ ระบบวินโดวส์ XP แต่ก็ยังมีความเกี่ยวข้อง หลังจากนั้น ระบบนี้ยังคงมีความเกี่ยวข้อง แม้ว่า .

เหตุใดการกู้คืนเดสก์ท็อปจึงล้มเหลว

ปัญหาคือ: เนื่องจากข้อผิดพลาดบางประการ เดสก์ท็อปที่เราทราบดีว่าหยุดทำงาน และนอกเหนือจากภาพพื้นหลังที่เราชื่นชอบแล้วเราเห็นข้อความว่า "Restore Active Desktop" ซึ่งเราต้องยอมรับว่าไม่เป็นที่พอใจ แต่ดูเหมือนจะไม่น่ากลัวขนาดนั้น เนื่องจากคุณสามารถเห็นปุ่มกู้คืนเดสก์ท็อปได้ทันที และฉันสนใจคำถามนี้อย่างจริงจัง ปุ่มนี้ช่วยใครได้บ้าง? อย่างน้อยหนึ่งครั้ง?

สาเหตุที่เดสก์ท็อปใช้งานไม่ได้นั้นไม่เป็นที่รู้จักสำหรับฉัน ฉันไม่ได้อ่านคำถามที่พบบ่อยเพื่อค้นหาการตีความ แต่ฉันรู้วิธีการแก้ปัญหาดังกล่าว และฉันคิดว่านั่นคือสิ่งที่คุณมาที่นี่ ไม่ใช่เพื่อทฤษฎีที่น่าเบื่อ

วิธีการคืนค่าเดสก์ท็อปของคุณ

วิธีที่ง่ายที่สุดในการกู้คืน Active Desktop คือการเข้าสู่ระบบในฐานะผู้ดูแลระบบภายในและลบโฟลเดอร์ของผู้ใช้ที่มีปัญหา หากคุณเป็นผู้ดูแลระบบ คุณสามารถสร้างผู้ดูแลระบบใหม่และลบโฟลเดอร์ของผู้ใช้ที่มีปัญหาอีกครั้ง โฟลเดอร์นี้ถูกเก็บไว้ใน ค:\users.จากนั้นเข้าสู่ระบบอีกครั้งโดยใช้บัญชีที่มีปัญหา โฟลเดอร์บัญชีจะถูกสร้างขึ้นใหม่ และเนื่องจากมันถูกสร้างขึ้นโดยการคัดลอกโฟลเดอร์ ค่าเริ่มต้นแล้วจะไม่มีปัญหากับมัน ตั้งแต่โฟลเดอร์ ค่าเริ่มต้นนี่คือโฟลเดอร์เริ่มต้นตามที่สร้างขึ้นใหม่ทั้งหมด โฟลเดอร์ที่กำหนดเองไม่มีอะไรจากผู้ใช้อยู่ในนั้น ไม่มีการตั้งค่า ไม่มีเอกสาร ไม่มีรหัสผ่านที่บันทึกไว้ - ไม่มีสิ่งใดที่ได้รับตลอดอายุของบัญชี ดังนั้นนี่จึงเป็นตัวเลือกที่ง่ายที่สุดในการแก้ปัญหา และด้านพลิกของความสว่างคือการรื้อถอนการตั้งค่าทั้งหมดของคุณให้เป็นศูนย์ หากสิ่งนี้เหมาะกับคุณ ก็ร้องเพลงได้เลย

มีวิธีแก้ไขปัญหาที่ยากกว่าอยู่เสมอ แต่ ตัวเลือกนี้จะช่วยให้คุณไม่เพียงแต่กู้คืนเดสก์ท็อปของคุณเท่านั้น แต่ยังบันทึกการตั้งค่าทั้งหมดไว้กับคุณอีกด้วย เมื่อต้องการทำเช่นนี้ ให้เปิด ตัวแก้ไขรีจิสทรีอ่า ไปที่สาขาทะเบียนกันดีกว่า
hkey_current_user\softvare\microsoft\internet explorer\desktop\scheme
ที่นั่นเราพบพารามิเตอร์ แสดง- ค่าพารามิเตอร์จะต้องเป็น โหมดบันทึกพารามิเตอร์นี้มาจากรีจิสทรีและแจ้งให้ระบบทราบว่ามีข้อผิดพลาดเกี่ยวกับเดสก์ท็อป ดังนั้นจึงบ่งบอกว่าคุณต้องเปิดใช้งานสิ่งนี้อย่างมาก โหมดบันทึก เอ่อแสดงว่าหน้าจอเดียวกันกับข้อผิดพลาดทุกประการ เราไม่ต้องการหน้าจอดังกล่าว ดังนั้นเราจึงล้างพารามิเตอร์นี้

หลังจากนั้นเราไปที่โฟลเดอร์
c:\เอกสารและการตั้งค่า\%ผู้ใช้%\appdata\microsoft\internet explorer\
และลบไฟล์ desktop.httอาจเป็นไปได้ว่าไฟล์นี้จะไม่อยู่ที่นั่น จากนั้นลบข้อจำกัดทั้งหมดในการแสดงการซ่อนและ ไฟล์ระบบในโฟลเดอร์นี้ ซึ่งสามารถทำได้ผ่านบรรทัดคำสั่งโดยใช้คำสั่งหรือตัวอย่างเช่นการใช้โปรแกรมเช่น Total commander เมื่อเราพบไฟล์นี้แล้ว เราจะลบมัน อนึ่ง ไฟล์นี้สามารถลบได้ง่ายๆ ผ่าน เนื่องจากเรารู้เส้นทางทั้งหมดแล้ว เมื่อต้องการทำเช่นนี้ให้ใช้คำสั่ง เดล

หลังจากทั้งหมดนี้ ให้อัพเดตเดสก์ท็อป หากดำเนินการอย่างถูกต้อง หน้าจอแสดงข้อผิดพลาดเกี่ยวกับความจำเป็นในการกู้คืน Active Desktop จะหายไป ขอให้โชคดี!

อัปเดต: วิธีแก้ปัญหาคือสำหรับคนขี้เกียจที่สุด: ลองเลือกรูปภาพใด ๆ เป็นพื้นหลังเดสก์ท็อปของคุณ บางครั้งการกระทำง่ายๆ เช่นนี้ก็ให้ผลลัพธ์ที่ต้องการมาก

เซอร์เกย์ ยาเรมชุก

การสำรองและกู้คืนวัตถุ
Active Directory ใน Windows Server 2008/2008 R2

Active Directory เป็นมาตรฐานใน เครือข่ายองค์กรทำงานภายใต้ การควบคุมหน้าต่าง- จัดให้มีผู้ดูแลระบบ เครื่องมือที่มีประสิทธิภาพดูเหมือนจะใช้งานง่าย แต่ก็มีโครงสร้างและองค์ประกอบค่อนข้างซับซ้อน นอกจากนี้ ไม่มีใครรอดพ้นจากความล้มเหลวในระบบปฏิบัติการ โปรแกรม ความล้มเหลวของฮาร์ดแวร์ หรือข้อผิดพลาดของมนุษย์ ดังนั้นคุณต้องเตรียมพร้อมเสมอสำหรับความจริงที่ว่าคุณจะต้องใช้มาตรการต่างๆ การฟื้นฟูงานโดยรวมหรือองค์ประกอบส่วนบุคคล

เกี่ยวกับความจำเป็นในการสำรองข้อมูล

ในทุกใหม่ เวอร์ชันของ Windowsเซิร์ฟเวอร์ มีเครื่องมือใหม่ๆ ปรากฏขึ้นที่ทำให้กระบวนการจัดการง่ายขึ้นและเป็นอัตโนมัติ ซึ่งแม้แต่ผู้ดูแลระบบมือใหม่ก็สามารถจัดการได้ หนึ่งในความคิดเห็นทั่วไปของ “ผู้เชี่ยวชาญ” ดังกล่าวคือการหลีกเลี่ยงการจองตัวควบคุมโดเมนโดยสิ้นเชิง ข้อโต้แย้งนั้นง่าย องค์กรขนาดกลางถึงขนาดใหญ่ใช้ตัวควบคุมโดเมนหลายตัว นี่เป็นสัจพจน์ โอกาสที่ทุกอย่างจะล้มเหลวในวันเดียวกันนั้นแทบจะเป็นศูนย์ เว้นแต่จะดำเนินการตามคำสั่งของพนักงานอัยการหรือใช้ประโยชน์จากข้อผิดพลาดในองค์กรรักษาความปลอดภัย แต่กรณีนี้คุณคงเห็นว่าไม่ธรรมดา ดังนั้น หากตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว ตัวควบคุมโดเมนตัวอื่นทั้งหมดจะทำงานตามปกติ และเซิร์ฟเวอร์ใหม่ก็พร้อมที่จะแทนที่ ถูกต้องบางส่วน แต่ยังคงต้องมีการสำรองตัวควบคุมอย่างน้อยสองตัว (ในกรณีที่เกิดข้อผิดพลาด) ที่มีบทบาท FSMO (การดำเนินการหลักเดียวแบบยืดหยุ่น) นี่คือสิ่งที่ Microsoft และ สามัญสำนึก- นอกจากนี้ยังมีข้อโต้แย้งหลักอีกประการหนึ่งที่สนับสนุนการจอง ความง่ายในการจัดการนำไปสู่เปอร์เซ็นต์ข้อผิดพลาดที่เพิ่มขึ้น การลบวัตถุ Active Directory โดยไม่ตั้งใจนั้นค่อนข้างง่าย และอาจไม่ใช่การกระทำโดยเจตนาเสมอไป เช่น เป็นผลมาจากข้อผิดพลาดขณะเรียกใช้สคริปต์ และในการคืนค่าการตั้งค่าทั้งหมดคุณจะต้องใช้ความพยายาม

หากตรวจไม่พบข้อผิดพลาดในทันทีและการเปลี่ยนแปลงได้ถูกจำลองไปยังตัวควบคุมอื่นแล้ว ในสถานการณ์นี้ คุณจะต้องมีสำเนาสำรอง ฉันไม่ได้พูดถึงองค์กรขนาดเล็กที่มีตัวควบคุมโดเมนตัวเดียวด้วยซ้ำ

เอกสารที่แสดงความสามารถในการสำรองและกู้คืนข้อมูลใน Windows Server 2008 เป็นบทความโดย Gil Kirkpatrick เรื่อง “การสำรองและกู้คืน Active Directory ใน Windows Server 2008” ซึ่งฉันแนะนำให้อ่าน แต่หากมีการอธิบายปัญหาของความซ้ำซ้อนอย่างครบถ้วน ในความคิดของฉัน การฟื้นฟูก็แสดงให้เห็นค่อนข้างเผินๆ และไม่ได้ให้ภาพรวมทั้งหมด บทความนี้ แท้จริงแล้วปรากฏจากบันทึกที่รวบรวมไว้สำหรับกรณีร้ายแรงดังกล่าว

ระบบการเก็บถาวร ข้อมูลวินโดวส์เซิร์ฟเวอร์

ใน Windows Server 2008 NT Backup ถูกแทนที่ด้วยส่วนประกอบใหม่ทั้งหมด Windows Server Backup (WBS) ซึ่งใช้ VSS (Volume Shadow Copy Service) WBS เป็นแอปพลิเคชั่นที่ทรงพลังพอสมควรที่ให้คุณกู้คืนระบบรวมถึงคอมพิวเตอร์เครื่องอื่นและรองรับบริการบางอย่างซึ่งรวมถึง AD ด้วย

การติดตั้ง WBS นั้นง่ายดาย คุณเพียงแค่ต้องเปิดใช้งานส่วนประกอบ “คุณสมบัติการสำรองข้อมูลเซิร์ฟเวอร์ Windows” บวกกับรายการย่อย “ระบบสำรองข้อมูลเซิร์ฟเวอร์ Windows” อย่างหลังประกอบด้วยคอนโซลการจัดการ MMC และเครื่องมือบรรทัดคำสั่ง Wbadmin ใหม่ นอกจากนี้ ยังมีรายการ "โปรแกรมบรรทัดคำสั่ง" ซึ่งรวมถึง สคริปต์ PowerShellช่วยให้คุณสามารถสร้างและจัดการการสำรองข้อมูลได้

บนบรรทัดคำสั่ง การติดตั้งดูง่ายกว่า:

> servermanagercmd - ติดตั้งการสำรองข้อมูล - คุณสมบัติ

หรือในเซิร์ฟเวอร์คอร์:

> ocsetup WindowsServerBackup

คุณสามารถจัดการการจองของคุณได้จากคอนโซล MMC หรือจากบรรทัดคำสั่ง ดังนั้น หากต้องการสร้างสำเนาสำรองของวอลุ่มที่สำคัญ คุณควรป้อน:

> wbadmin เริ่มการสำรองข้อมูล -backupTarget:E: -allCritical

ด้วยสำเนาฉบับเต็มฉันคิดว่าทุกอย่างชัดเจน ในบริบทของบทความนี้ เรามีความสนใจในการสำรองข้อมูลสถานะของระบบโดยใช้พารามิเตอร์ SystemStateBackup มากกว่า อย่างไรก็ตาม ฟังก์ชั่นนี้ไม่พร้อมใช้งานใน Windows Server 2008 รุ่นแรก และไม่สามารถใช้งานได้ผ่าน MMC:

> wbadmin เริ่ม SystemStateBackup -backupTarget:E:

ในกรณีนี้ จะมีการคัดลอกสถานะของระบบและบริการบางอย่าง รวมถึง AD แบบไฟล์ต่อไฟล์ สิ่งที่ไม่สะดวกที่สุดในกรณีนี้คือในแต่ละครั้งที่คุณต้องสร้างสำเนาฉบับเต็ม (ระบบที่ติดตั้งใหม่มีขนาดประมาณ 7 GB) และกระบวนการค่อนข้างช้ากว่าการสำรองข้อมูลปกติ แต่คุณสามารถกู้คืนสำเนาดังกล่าวไปยังคอมพิวเตอร์เครื่องอื่นที่มีการกำหนดค่าเหมือนกันได้

คำสั่งคัดลอกไปยังโวลุ่มอื่น แต่ KB944530 อธิบายวิธีเปิดใช้งานการสำรองข้อมูลไปยังโวลุ่มใดก็ได้ ในการดำเนินการนี้ คุณต้องเพิ่มพารามิเตอร์ DWORD ด้วยชื่อ AllowSSBTo AnyVolume และค่า 1 ลงในคีย์รีจิสทรี HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup

มักจะไม่มีปัญหาในการสำรองข้อมูลที่นี่ ทุกอย่างเรียบง่ายและชัดเจน ปัญหาเริ่มต้นขึ้นเมื่อจำเป็นต้องคืนค่าการทำงานของ AD หรือวัตถุที่ถูกลบโดยไม่ตั้งใจ การใช้สำเนา SystemState ช่วยให้คุณหลีกเลี่ยงการกู้คืนระบบทั้งหมดและเพียงคืนสถานะก่อนหน้าของบริการ AD คอนโซลกราฟิกที่ออกแบบมาสำหรับการกู้คืนข้อมูลไม่เห็นสำเนาของ SystemState (อยู่บนดิสก์ในไดเร็กทอรี SystemStateBackup อื่น) หากคุณพยายามเริ่มกระบวนการกู้คืนใน ระบบการทำงานเราได้รับข้อความว่าเนื่องจากไฟล์เก็บถาวรประกอบด้วยบริการโดเมน Active Directory การดำเนินการจึงต้องดำเนินการในโหมดการคืนค่าบริการไดเรกทอรี (DSRM) นี่เป็นข้อเสียประการหนึ่ง เนื่องจากตัวควบคุมโดเมนจะไม่พร้อมใช้งานในขณะนี้

กลไกการบูต BCD ใหม่ที่ปรากฏใน Windows โดยเริ่มจาก Vista ซึ่ง boot.ini เก่าที่ดีถูกลบออก บังคับให้เราต้องดำเนินการหลายอย่างเพื่อเข้าสู่ DSRM ระบบปฏิบัติการประกอบด้วย ยูทิลิตี้พิเศษออกแบบมาเพื่อแก้ไขพารามิเตอร์ bootloader (คุณสามารถค้นหายูทิลิตี้กราฟิกได้บนอินเทอร์เน็ต แต่ฉันคิดว่าไม่มีที่บนเซิร์ฟเวอร์) สร้างสำเนาใหม่ของบันทึก:

> bcdedit /copy (ค่าเริ่มต้น) /d "โหมดการซ่อมแซมบริการไดเรกทอรี"

เมื่อเสร็จแล้วเราจะตรวจสอบ:

> bcdedit /enum

รายการใหม่ควรปรากฏในรายการ

รีบูต เลือกโหมดการซ่อมแซมบริการไดเรกทอรีแล้วคลิก ให้เลือก “โหมดการกู้คืนบริการไดเรกทอรี” โปรดทราบว่าในโหมดนี้คุณต้องใช้ข้อมูลประจำตัวของผู้ดูแลระบบเพื่อเข้าสู่ระบบ ระบบท้องถิ่นไม่ใช่บัญชีโดเมน

> wbadmin รับเวอร์ชัน

และเรากู้คืนโดยใช้ตัวระบุเวอร์ชันที่ได้รับเป็นพารามิเตอร์:

> wbadmin เริ่ม systemstaterecovery –เวอร์ชัน:05/21/2009-21:02

หากคุณกำลังกู้คืนจากดิสก์ภายในเครื่อง พารามิเตอร์ BackupTarget ซึ่งบอก wbadmin ว่าจะรับข้อมูลสำรองจากที่ใดเป็นทางเลือก หากการคัดลอกเปิดอยู่ ทรัพยากรเครือข่าย, เราเขียนมันแบบนี้:

BackupTarget:\\คอมพิวเตอร์\สำรอง -เครื่อง:เซิร์ฟเวอร์-โฆษณา

แม้จะมีคำเตือนว่า:

การกู้คืนบริการไดเรกทอรีมักจะเกิดขึ้นโดยไม่มีปัญหา หลังจากรีบูตเราจะเห็นข้อความระบุว่าการดำเนินการกู้คืนที่เริ่มต้นเสร็จสมบูรณ์แล้ว

ไปที่คอนโซลการจัดการ Active Directory เราพบว่าทุกอย่างเข้าที่แล้ว... ยกเว้นออบเจ็กต์ใหม่ที่สร้างขึ้นหลังจากทำการสำรองข้อมูล โดยหลักการแล้วนี่คือผลลัพธ์ที่เราคาดหวัง แต่ในการกู้คืนวัตถุแต่ละชิ้นนั้นมีวิธีที่แตกต่างไปจากเดิมอย่างสิ้นเชิง (แม้แต่หลายอย่าง)

บังคับให้กู้คืนวัตถุโดยใช้ NTDSUTIL

Windows Server มียูทิลิตีบรรทัดคำสั่ง NTDSUTIL สำหรับการบำรุงรักษา จัดการ และติดตาม Active Directory Domain Services (AD DS) และ Active Directory Lightweight Directory Services (AD LDS) ยูทิลิตี้นี้จะพร้อมใช้งานบนระบบหลังจากติดตั้งบทบาท AD DS ใน Windows Server 2008 ฟังก์ชันการทำงานมีการเปลี่ยนแปลงเล็กน้อย ดังนั้นใน Windows Server 2003 จึงเป็นไปได้ที่จะกู้คืนฐานข้อมูลทั้งหมดด้วยความช่วยเหลือ แต่ในปี 2008 wbadmin ทำหน้าที่ได้อย่างดีเยี่ยมในเรื่องนี้ ซึ่งอาจเป็นสาเหตุว่าทำไมความสามารถในการกู้คืนจึงลดลงเล็กน้อย ขณะนี้ เมื่อใช้ NTDSUTIL คุณสามารถกู้คืนหน่วยขององค์กรที่มีเนื้อหาทั้งหมดและออบเจ็กต์เดียวได้

ทำงานโดยอิงตามสแน็ปช็อต Active Directory ที่ถ่ายโดยใช้ VSS สแน็ปช็อตคือการสำรองข้อมูลแบบกะทัดรัดของบริการ Active Directory ที่ทำงานอยู่พร้อมไดเร็กทอรีและไฟล์ทั้งหมด การสร้างสำเนาดังกล่าวแตกต่างจาก SystemState คือรวดเร็วมากและใช้เวลาไม่กี่วินาที

>ntdsutil

ไปที่บริบทสแน็ปช็อต:

ntdsutil:ภาพรวม

เรารันคำสั่งเพื่อสร้างสแน็ปช็อต (แบบสั้น - “ac i ntds”):

สแน็ปช็อต: เปิดใช้งานอินสแตนซ์ ntds

สแนปชอต: สร้าง

หลังจากผ่านไประยะหนึ่งเราได้รับข้อมูลเกี่ยวกับรูปภาพที่สร้างขึ้น เราก็ออก:

ภาพรวม: ลาออก

ntdsutil:เลิก

ตอนนี้หากต้องการกู้คืนฐานข้อมูล Active Directory เพียงป้อน "การซ่อมแซมไฟล์ ntdsutil" ในบรรทัดคำสั่งโหมด DSRM แต่เราสนใจวัตถุอื่น

คุณสามารถดูรายการวัตถุที่ถูกลบได้โดยใช้ LDP.exe โดยใช้ PowerShell cmdlets Get-ADObject และ Restore-ADObject (มีตัวเลือกอื่น ๆ )

ตัวอย่างเช่น ใน LDP คุณควรเชื่อมต่อกับเซิร์ฟเวอร์ เลือก “ตัวเลือก -> การควบคุม” และในรายการแบบเลื่อนลง “โหลดที่กำหนดไว้ล่วงหน้า” ให้ตั้งค่าตัวเลือกส่งคืนวัตถุที่ถูกลบ จากนั้นไปที่ "มุมมอง -> ต้นไม้" เลือกบริบทของโดเมน เป็นผลให้วัตถุ CN=Deleted Object ปรากฏในแผนผังทางด้านขวา ซึ่งเราจะค้นหาวัตถุที่ถูกลบทั้งหมด

ตอนนี้สิ่งสำคัญคือเมื่อวัตถุถูกลบ วัตถุนั้นจะสูญเสียคุณสมบัติส่วนใหญ่และสำคัญไป (โดยเฉพาะ รหัสผ่าน, ManagedBy, MemberOf) ดังนั้นหลังจากการคืนค่า มันจะไม่อยู่ในรูปแบบที่เราต้องการอย่างแน่นอน ทั้งหมดนี้มองเห็นได้ชัดเจนใน LDP แต่มีหลายตัวเลือกที่นี่:

  • เพิ่มจำนวนแอตทริบิวต์ที่จะไม่ถูกเขียนทับเมื่อวัตถุถูกลบในที่เก็บข้อมูลวัตถุที่ถูกลบ
  • กู้คืนอ็อบเจ็กต์และส่งคืนแอ็ตทริบิวต์
  • และวิธีที่ดีที่สุดคือการบล็อกวัตถุจากการลบโดยไม่ตั้งใจ

มีหลายวิธีในการกู้คืนวัตถุที่ถูกลบ วิธีที่สะดวกที่สุดคือยูทิลิตี้ AdRestore โดย Mark Russinovich ดาวน์โหลดและป้อน:

> ผู้ใช้ adrestore -r

เราได้รับวัตถุที่มีคุณสมบัติบางอย่าง

วิธีการที่เหลืออธิบายไว้ใน KB840001 ซึ่งไม่ง่ายนักดังนั้นฉันจะไม่พูดถึงมันอีกต่อไป

การเรียกคืนคุณลักษณะของอ็อบเจ็กต์

สแน็ปช็อตที่ได้รับโดยใช้ ntdsutil มีวัตถุและคุณลักษณะของมัน สามารถติดตั้งและเชื่อมต่ออิมเมจเป็นเซิร์ฟเวอร์ LDAP เสมือนที่ส่งออกออบเจ็กต์ได้ โทร ntdsutil:

>ntdsutil

ntdsutil:ภาพรวม

ลองดูรายการรูปภาพที่มีอยู่:

สแนปชอต: รายการทั้งหมด

รูปภาพได้รับการแก้ไขแล้ว ตอนนี้คุณสามารถใช้ Explorer เพื่อนำทางไปยังไดเร็กทอรีที่ระบุและดูว่ามีอะไรอยู่ข้างใน ออกจาก ntdsutil โดยป้อน exit สองครั้ง รูปภาพจะยังคงถูกเมาท์อยู่ ตอนนี้โดยใช้ยูทิลิตี้ dsamain เราสร้างเซิร์ฟเวอร์ LDAP เสมือนโดยระบุพารามิเตอร์เส้นทางไปยังไฟล์ ntds.dit ซึ่งอยู่ในสแน็ปช็อตที่เมาท์ ฉันเลือก 10,000 เป็นพอร์ตเซิร์ฟเวอร์ LDAP:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Microsoft Active Directory Domain Services เวอร์ชัน 6.0.6001.18000 เปิดตัวแล้ว

คุณสามารถเชื่อมต่อกับเซิร์ฟเวอร์ LDAP เสมือนได้โดยใช้คอนโซล Active Directory Users และ Computers โดยระบุหมายเลขพอร์ต 10000 เป็นพารามิเตอร์ และดูออบเจ็กต์ภายในได้

เราส่งออกพารามิเตอร์ของวัตถุที่ต้องการไปยังไฟล์ ldf รายละเอียดเพิ่มเติมเกี่ยวกับ ldifde เขียนใน KB237677

> ldifde -r "(ชื่อ=ผู้ใช้)" -f Export.ldf -t 10000

ในไฟล์ ldf ที่เป็นผลลัพธ์ ให้เปลี่ยนพารามิเตอร์ changetype: add เป็น changetype: modified แล้ว ไฟล์ใหม่นำเข้าสู่ไดเร็กทอรี:

> ldifde -i -z -f import.ldf

มีตัวเลือกการนำเข้า/ส่งออกอื่นๆ ที่ใช้ DSGET/DSMOD, PowerShell และอื่นๆ

> ผู้ใช้ dsget cn=user,ou=ou1,dc=domain,ds=ru -s localhost:10000 -memberof | กลุ่ม dsmod -c -addmbr cn=user,ou=ou1,dc=domain,ds=ru

อีกวิธีหนึ่งขึ้นอยู่กับข้อเท็จจริงที่ว่าแต่ละวัตถุ Active Directory มีหมายเลขเวอร์ชัน ถ้าหมายเลขเวอร์ชันบนตัวควบคุมโดเมนสองตัวแตกต่างกัน ออบเจ็กต์ที่มีหมายเลขเวอร์ชันที่สูงกว่าจะถือว่าเป็นของใหม่และถูกต้อง นี่คือสิ่งที่ใช้กลไก "การคืนค่าที่เชื่อถือได้" เมื่อออบเจ็กต์ที่กู้คืนโดยใช้ ntdsutil ได้รับการกำหนดหมายเลขที่สูงกว่าและ AD ยอมรับว่าเป็นรายการใหม่ เพื่อให้กลไกการกู้คืนแบบบังคับทำงานได้ เซิร์ฟเวอร์จะรีบูตเข้าสู่ DSRM ด้วย

> ntdsutil "การคืนค่าที่เชื่อถือได้" "กู้คืนวัตถุ cn=user,ou=group,dc=domain,dc=ru" q q

การแบ่งส่วนได้รับการฟื้นฟูในลักษณะเดียวกัน:

> ntdsutil "การคืนค่าที่เชื่อถือได้" "กู้คืนทรีย่อย ou=group,dc=domain,dc=ru" q q

การป้องกันวัตถุจากการลบ

ฉันขอเริ่มต้นด้วยความจริงที่ว่าด้วย Windows Server 2008 R2 ผู้ดูแลระบบได้รับระดับโดเมนที่ใช้งานได้อีกระดับและด้วยเหตุนี้เซิร์ฟเวอร์ดังกล่าวสามารถกำหนดค่าได้หนึ่งในสี่ระดับ - Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 อาร์2. สามารถระบุได้ระหว่างการติดตั้งโดยใช้ dcpromo หรือเพิ่มขึ้นหากเลือกระดับที่ต่ำกว่าโดยใช้เมนู เพิ่มระดับการทำงานของโดเมน (ฟอเรสต์)วี ศูนย์การจัดการ Active Directory,ซึ่งไกลออกไปอีกหน่อย ยิ่งไปกว่านั้น การดำเนินการย้อนกลับยังเป็นไปได้ - ลดระดับการทำงานของโดเมนและฟอเรสต์ หากอยู่ในระดับ Windows Server 2008 R2 ก็สามารถกลับสู่ระดับ Windows Server 2008 ได้ แต่ต่ำกว่า - ถึง 2003 หรือ 2000 - มันเป็นไปไม่ได้ คุณลักษณะใหม่ส่วนใหญ่จะใช้งานได้ก็ต่อเมื่อโดเมนอยู่ที่ระดับ R2 ดังนั้นเริ่มต้นด้วย Windows Server 2008 รายการเพิ่มเติมจึงปรากฏในคุณสมบัติของวัตถุที่ช่วยให้คุณสามารถป้องกันการลบโดยไม่ตั้งใจ แม่นยำยิ่งขึ้นมันเคยมีมาก่อน แต่ที่นี่คุณไม่จำเป็นต้องมองหามันอีกต่อไป

ใน Windows Server 2008 จะพร้อมใช้งานเมื่อสร้าง OU (หน่วยองค์กร) และเรียกว่า "ป้องกันวัตถุจากการลบโดยไม่ตั้งใจ" ช่องทำเครื่องหมายนี้จะปรากฏเฉพาะเมื่อสร้าง OU ใหม่ สำหรับ OU ที่มีอยู่เช่นกัน สร้างกลุ่มคอมพิวเตอร์ และบัญชี โดยสามารถเปิดใช้งานได้ในแท็บ "วัตถุ" ของหน้าต่างคุณสมบัติ (มองเห็นได้เมื่อ "ดู -> ส่วนประกอบเพิ่มเติม (ขั้นสูง)" ทำงานอยู่)

ใน R2 รายการที่จำเป็น การป้องกันจากการลบโดยไม่ตั้งใจ มีอยู่ในคุณสมบัติของบัญชีส่วนบุคคล คอมพิวเตอร์ กลุ่ม และแผนก ในตำแหน่งที่มองเห็นได้ชัดเจนที่สุด เพียงทำเครื่องหมายในช่องนี้ และเมื่อคุณพยายามลบออบเจ็กต์ ผู้ดูแลระบบจะได้รับคำเตือนว่าไม่สามารถดำเนินการที่จำเป็นได้ อย่างไรก็ตาม คุณต้องจำไว้ว่าช่องทำเครื่องหมายป้องกันการลบเฉพาะออบเจ็กต์ที่เลือกไว้เท่านั้น นั่นคือหากเปิดใช้งานสำหรับกลุ่มจะเปิดอยู่ แต่ละองค์ประกอบซึ่งรวมอยู่ในองค์ประกอบการติดตั้งนี้ใช้ไม่ได้ แต่อย่างใด นั่นคือจะยังคงสามารถลบวัตถุใด ๆ ภายในได้หากไม่ได้รับการปกป้องด้วยแฟล็กส่วนตัว สถานการณ์จะแตกต่างออกไปเล็กน้อยเมื่อลบ OU ที่ไม่มีการป้องกัน หากไม่มีวัตถุที่ได้รับการป้องกัน OU จะถูกลบออกทั้งหมด แต่หากมีวัตถุดังกล่าว คุณควรทำเครื่องหมายที่ช่อง "ใช้การควบคุมเซิร์ฟเวอร์ย่อยลบ" ในหน้าต่างที่ปรากฏขึ้น มิฉะนั้น แทนที่จะลบ OU เองพร้อมกับองค์ประกอบทั้งหมด จะมีการพยายามที่จะล้าง OU ของอ็อบเจ็กต์ที่ไม่มีการป้องกัน ยิ่งไปกว่านั้น ตามการทดลองแสดงให้เห็นว่า การทำความสะอาดนี้จะไม่สมบูรณ์ เนื่องจากเมื่อพบวัตถุที่ได้รับการป้องกันชิ้นแรก โปรแกรมจะหยุดทำงานและออกคำเตือน นี่เป็นเรื่องปกติสำหรับทั้ง Windows Server 2008 และ R2 RC

วัตถุได้รับการปกป้องจากการลบโดยไม่ตั้งใจ

ถังรีไซเคิล Active Directory

เปิดตัว Windows Server 2008 R2 คุณลักษณะใหม่ Active Directory Recycle Bin (AD RB) เปิดใช้งานโดยอัตโนมัติเมื่อโดเมนอยู่ที่ระดับ Windows Server 2008 R2 โดยพื้นฐานแล้วมันคล้ายกับถังรีไซเคิลที่ใช้ใน Windows ที่คุณสามารถวางได้ ไฟล์ที่ถูกลบและสามารถกู้คืนออบเจ็กต์ที่ถูกลบโดยไม่ตั้งใจได้อย่างรวดเร็วและไม่มีปัญหา นอกจากนี้ วัตถุที่กู้คืนจาก AD RB จะได้รับคุณลักษณะทั้งหมดทันที ตามค่าเริ่มต้น “อายุการใช้งาน” ของวัตถุที่ถูกลบใน AD RB คือ 180 วัน หลังจากนั้นจะเข้าสู่สถานะอายุการใช้งานของถังรีไซเคิล สูญเสียแอตทริบิวต์ และหลังจากนั้นครู่หนึ่งจะถูกลบออกทั้งหมด คุณสามารถเปลี่ยนค่าเหล่านี้ได้โดยใช้พารามิเตอร์ msDS-deletedObjectLifetime หากเมื่อติดตั้ง AD มีการเลือกระดับที่ต่ำกว่า R2 แล้วเพิ่มด้วยคำสั่ง:

ป.ล.:\> ชุด-ADForestMode –โดเมนข้อมูลประจำตัว ru -ForestMode Windows2008R2Forest

ดังนั้นจะต้องเปิดใช้งาน AD RB แยกต่างหาก cmdlet ใช้สำหรับสิ่งนี้ เปิดใช้งาน-ADOptionalFeature PowerShell:

PS C:\> เปิดใช้งาน-ADOptionalFeature – Identity 'CN=คุณสมบัติถังรีไซเคิล,CN=คุณสมบัติเสริม,CN=บริการไดเรกทอรี, /

CN = Windows NT, CN = บริการ CN = การกำหนดค่า DC = โดเมน DC = ru' – ขอบเขตฟอเรสต์ – เป้าหมาย 'domain.ru'

ตอนนี้การกู้คืนวัตถุที่ถูกลบนั้นง่ายมาก:

PS C:\> รับ-ADObject -Filter (displayName -eq "ผู้ใช้") -IncludeDeletedObjects | คืนค่า-ADObject

cmdlet ของ Get-ADObject และ Restore-ADObject มี จำนวนมากตัวอย่างเช่น ช่วยให้คุณค้นหา OU ที่เป็นของบัญชีที่ถูกลบ จากนั้นจึงกู้คืน OU ทั้งหมด ในเอกสาร คืนค่าวัตถุ Active Directory ที่ถูกลบทุกอย่างถูกจัดวางอย่างละเอียด

บทสรุป

แม้จะมีความสามารถของระบบปฏิบัติการเซิร์ฟเวอร์ใหม่จาก Microsoft แต่การสำรองข้อมูลตัวควบคุม Active Directory จะต้องดำเนินการอย่างเป็นระบบและต่อเนื่อง หากไม่มีสิ่งนี้ จะเป็นไปไม่ได้ที่จะกู้คืนวัตถุหรือ OU แต่ละรายการ นอกจากนี้ นอกเหนือจาก Windows Server Backup แล้ว คุณควรสร้างสแน็ปช็อตโดยใช้ ntdsutil กระบวนการสำรองข้อมูลจะง่ายขึ้นและปริมาณข้อมูลจะลดลงหากตัวควบคุมโดเมนไม่ทำหน้าที่อื่น

  1. จิล เคิร์กแพทริค. สำรองและกู้คืน Active Directory ใน Windows Server 2008 – http://technet.microsoft.com/ru-ru/magazine/cc462796.aspx
  2. บทความ KB944530. ข้อความแสดงข้อผิดพลาดเมื่อคุณพยายามสำรองข้อมูลสถานะระบบใน Windows Server 2008 – http://support.microsoft.com/kb/944530
  3. คุณประโยชน์ AdRestore – http://technet.microsoft.com/ru-ru/sysinternals/bb963906.aspx
  4. เอกสาร KB840001. วิธีคืนค่าบัญชีผู้ใช้ที่ถูกลบและความเป็นสมาชิกกลุ่มใน Active Directory – http://support.microsoft.com/kb/840001
  5. เอกสาร KB237677 “การใช้เครื่องมือ LDIFDE เพื่อนำเข้าและส่งออกวัตถุไดเรกทอรีใน Active Directory” – http://support.microsoft.com/kb/237677/ru
  6. เพจเฉพาะสำหรับ Windows Server 2008 R2 - http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx
  7. เอกสาร ขั้นตอนที่ 2: กู้คืนวัตถุ Active Directory ที่ถูกลบ – http://technet.microsoft.com/en-us/library/dd379509.aspx