Одним із важливих аспектів використання Active Directory є відновлення у разі відмови. Для захисту від відмови варто завжди мати надійну резервну копію Стан системи (System State). Резервне копіювання стану системи дозволяє забезпечити збереження файлів, критичних для функціонування системи.
До цих файлів входять Active Directory, системний реєстр та вміст папки SYSVOL, що містить реєстраційні сценарії та шаблони групових політик. При відмові контролера домену найкращим способомвідновлення є взагалі відмова від відновлення.
Завжди, якщо дозволяє пропускна здатність мережного підключенняі в домені є другий контролер домену, намагайтеся перевстановити операційну систему Windows (або відновіть її з резервної копії ASR) і повторно запустіть утиліту DCPromo для підвищення сервера до контролера домену. При цьому буде отримано чисту систему.
Оскільки резервна копія Active Directory може створюватись лише у складі Стану системи, при відновленні Active Directory необхідно відновити і стан системи. Якщо сервер повністю відмовив, відновлення системи на іншому апаратне забезпеченняможе призвести до проблем.
Якщо після поновлення виникають проблеми, проведіть виправлення операційної системидля усунення всіх помилок конфігурації.
Таким чином, якщо всі інші спроби виправлення проблеми завершилися невдало і є дійсна резервна копія стану системи, і необхідно відновлювати базу даних Active Directory, можна скористатися одним з трьох типів відновлення.
- Основний (Primary)- виберіть цей варіант, якщо відновлюється перший контролер домену і в домені більше не включено жодного контролера домену. При виборі цього варіанта відновлення інших контролерів домену має бути неавторитетним (Nonauthoritative).
- Авторитетний (Authritative)- використовується лише тоді, коли базу даних Active Directory необхідно привести до стану, в якому вона перебувала в момент створення резервної копії. Таке відновлення має виконуватися лише при виникненні серйозних помилок, наприклад, видалення підрозділу, або при необхідності виконати відкіт усіх попередніх дій. Цей варіант відновлення вимагає запуску команди ntdsutil після відновлення для вибору об'єктів, авторитетних для реплікації.
- Неавторитетний (Nonauthoritative)- цей варіант відновлення використовується у 99% випадків відновлення бази даних Active Directory. Цей варіант призводить до відновлення даних, після чого контролер домену отримує оновлення з інших контролерів домену в межах лісу (що дозволяє відновити синхронізацію).
При запуску відновлення Active Directory варіант відновлення вибирається у діалоговому вікні Додаткові параметривідновлення (Advanced Restore Options)у додатку Backup. Ще раз наголошую, відновлення має розглядатися лише як остання можливість.
Якщо контролер домену є єдиним сервером DNSі в службі DNS використовуються зони, інтегровані в Active Directory, дані зони DNS будуть недоступними під час завантаження контролера домену в режимі відновлення служби каталогів.
Якщо стан системи відновлюється через мережу за допомогою утиліти резервного копіюваннявід третьої фірми, може знадобитися внесення відповідних записів до файл Hosts(це дозволить надати перетворення імен для всіх комп'ютерів, що беруть участь у процесі відновлення).
Active Directory в Windows Server 2008. Контролерів домену має бути кілька, це золоте правило, яке необхідно слідувати у всіх середніх і великих організаціях. Принцип відновлення за наявності кількох контролерів суттєво змінюється. Спробуємо зрозуміти чому. Уявимо, що ви маєте два контролери домену з іменами DC1 і DC2 (це контролери одного домену). Обидва будуть мати ідентичну базу даних Active Directory, і якщо ви зміните її на одному, вона оновиться автоматично на іншому, це процес реплікації.
Тепер визначимося з розкладом резервного копіювання:
Неділя- Повна резервна копія системного розділу(описана у першій частині статті)
Понеділок - субота- створення стану системи системидержави (описано в першій частині статті)
Все було чудово, але в четвер через неполадки перестав працювати контролер домену DC1. Ви маєте кілька шляхів для відновлення контролера, розглянемо їх.
- Шлях перший: відновити стан системи (systemstate), що було зроблено у середу. Для цього вам знадобиться запустити контролер у режимі DSRM (Режим відновлення служби каталогів) та використовуючи програму Windows Server Backup відновити стан. Але для цього контролер повинен завантажитись у DSRM, такої можливості може і не бути.
- Шлях другий:якщо завантажити контролер у DSRM не виходить, процедура відновлення починається із запуску відновлення системного розділу, архів якого було створено у неділю. Після того як ви відновлюєте DC1 з цього архіву, ваш комп'ютер йде в нормальне завантаження.
І ось тут що за першого варіанта, що за другого з'являється два контролери, у яких не синхронізовані бази Active Directory. DC1 має версію бази на день резервної копії, а DC2 поточну, найновішу версію.
Яка з версій матиме пріоритет?
Якщо ви проводитимете відновлення способом, описаним мною в першій частині статті, то пріоритет матиме той контролер, який залишався працювати, у нашій ситуації це DC2. Все, що знаходиться в Active Directory на DC1 після відновлення, буде оновлено до стану DC2. Цей спосіб називається не примусове відновлення.
А може, ну його цей Windows Server Backup?
Нещодавно зіткнувся з позицією співробітника Microsoft, який на питання, як відновити контролер домену, відповів «А навіщо?». Спочатку я трохи задумався, чи не жартує він, але потім його докази мені зрозуміли. Ідея виглядає так. В організаціях середнього розміру, як правило, 3-4-5 і більше контролерів домену і шанс втратити їх разом близький до 0. Щоб уникнути цього шансу ми здійснюємо резервне копіювання тільки 2-х. При цьому резервне копіювання відбувається того чи тих контролерів, які володіють ролями FSMO і представляють особливу цінність. Всі інші просто живуть своїм життям і якщо якийсь виходить з ладу ми просто ставимо нову ОС і піднімаємо новий контролер домену, слід зауважити, що за часом це будуть рівнозначні процедури.
Може виникнути бажання взагалі перестати робити копії, може, все не втратимо, а ролі FSMO можна і захопити при бажанні. Бажання зовсім шкідливе і чому. Втрата об'єктів Active Directory це не тільки випадкове видалення користувача, ви можете випадково стерти скриптом організаційний підрозділ з усім вмістом і просто так повернути з контейнера віддалених об'єктів, все спочатку не вийде. А зміни вже прореплікувалися. І кожен контролер знає про видалення. У цій ситуації вам знадобиться резервна копія.
Дотримуйтесь правила - "Зайвих резервних копій не буває"
Пріоритет при реплікації
Оскільки при стандартному відновленні на відремонтований контролер реплікується Active Directory з робочих контролерів, такий спосіб нам не підійде. Нам потрібно змусити змінити пріоритет реплікації та прореплікувати інформацію з відновленого контролера на інші. Це називається примусове відновлення.
У Windows Server 2003 ми могли виконати примусове відновлення трьома способами:
Примусове відновлення усієї бази даних.
Робилася ця процедура за допомогою утиліти ntdsutil. У Windows Server 2008 утиліта ntdsutil залишилася, але тепер ми не можемо примусово відновити всю базу даних.
Тільки:
Примусове відновлення організаційного підрозділу із вмістом
Примусове відновлення окремого об'єкту
Тому ми завжди повинні знати, які об'єкти було видалено. Звичайно, тримати таку інформацію в голові ви не зможете. Для цього в Windows 2008 було створено засіб Active Directory database mounting tool
Active Directory database mounting tool призначена для поліпшення, саме спрощення процесу відновлення служби каталогів. У Windows 2003, якщо ми мали безліч архівів і не знали, який містить інформацію потрібну для відновлення, доводилося грати в рулетку, відновлюючи той чи інший архів і перевіряючи його вміст.
У Windows 2008 ситуація змінюється. Використовуючи Database Mounting Tool, ми можемо переглядати вміст бази на той чи інший процес часу.
На жаль, ми не можемо переглядати вміст AD на будь-який період часу, а лише в ті моменти, коли був створений Snapshot. Скажу відразу Snapshot не є тим Snapshot-ом, до якого ми звикли, використовуючи VmWare. Він містить інформацію про наявність об'єктів у базі, але аж ніяк не бере участь у відновленні цих об'єктів.
З вищесказаного можна дійти невтішного висновку:
Щоб мати актуальне уявлення про вміст зробленої резервної копії, перед нею повинен створювати Snapshot. Текст пакетного файлу, який запускається перед створенням резервної копії, має бути наступним:
ntdsutil.exe "activate instance NTDS" snapshot create quit quit
Готовий пакетний файл можна завантажити тут. Обов'язково переконайтеся, що Snapshot встигає закінчитися до початку резервного копіювання.
Мал. 1.Створення знімка Active Directory
Процес примусового відновлення контролера домену з використанням системи. (systemstate)
Передісторія така, одним з адміністраторів було видалено організаційний підрозділ BetaTesters, в якому містилася обліковий записчи записи. Точно цього ми не знаємо. Інформація про видалення встигла реплікуватись на всі контролери домену. У нас є кілька архівів з Systemstate за попередні дні. Коли точно видалено організаційний підрозділ, ми не знаємо.
Для початку нам необхідно вибрати який стан системи ми будемо відновлювати. Дату вилучення ми не знаємо. Для цього використовуватимемо Snapshot-и, які створюються у нас незадовго до резервної копії. Запустивши утиліту ntdsutil, дивимось перелік знімків нашої AD.
Мал. 2.Перегляд доступних фотографій Active Directory
Для цього в командному рядку набираємо ntdsutil -> snapshot -> Activate Instance NTDS -> list all . В результаті ми отримаємо список створених знімків Active Directory. Перший знімок створено 13 квітня. З нього я й почну.
Там же монтую командою mount c підставленим ідентифікатором перший знімок Active Directory. Приклад на малюнку 3. Після цієї операції у вас з'явиться на диску C: об'єкт посилання, що називається $SNAP_дата. Зайшовши до нього, ви побачите структуру вашого системного диска на момент створення копії.
Мал. 3.Монтування знімка Active Director
Знімок змонтовано. Відкриваю друге віконце командного рядкаі запускаю утиліту dsamain. Виконуємо хитру команду, яка дозволяє підключити моментальний знімок як LDAP-сервер. У команді вкажіть шлях до файлу ntds.dit у змонтованому знімку та порт LDAP-сервера (я рекомендую 50001)
Мал. 4.Використання dsamain.
Не закриваючи вікно, запускаємо оснащення Active Directory користувачі та комп'ютери. Вибираємо підключення до іншого контролера домену.
Мал. 5.Змінити контролер домену.
У меню, що з'явилося, вказуємо підключення до « Ім'я Сервера: вказаний порт в dsamain», у моїй ситуації це « DC:50001»
Мал. 6.Вибір сервера LDAP
Натиснувши «ОК», ми потрапляємо в оснастку «Active Directory користувачі та комп'ютери», яка містить дані для читання станом на момент створення знімка Active Directory. Я знаходжу організаційний підрозділ BetaTesters і в ньому є користувач Rud Ilya. Висновок можна зробити таким: оскільки знімок був створений 13 квітня і містить віддалений підрозділ, нам необхідно відновлювати стан системи на 13 квітня.
Мал. 7.Перегляд інформації знімка AD.
Перед тим, як перезавантажитися в режим відновлення служби каталогів, не забудьте змонтувати знімок. Робиться командою unmount з ідентифікатором знімка.
Мал. 8.Розмонтування знімка
Тепер ми готові перезавантажити один із контролерів домену в режим відновлення служби каталогів. Як це зробити я писав у першій частині статті. Зверніть увагу, що при завантаженні в DSRM ви повинні використовувати адміністратора DSRM, а не доменного.
Мал. 9.Вхід до DSRM. Вказуємо Ім'я_Комп'ютера\Адміністратор
Мал. 10.Список станів системи (SystemStates)
Нам потрібно відновити стан системи на 13 квітня, тому наступна команда буде: wbadmin start systemstaterecovery -version:час_створення_архіву
Мал. 12.Процес відновлення стану системи.
Кожен об'єкт Active Directory має номер версії і якщо на двох контролерах в одного об'єкта різні номери версії, то правильним (новішим) вважається той об'єкт, у якого версія більша. Після закінчення процесу відновлення необхідно запустити утиліту ntdsutilта підняти номер версії для віддаленої гілки Active Directory. Тобто для нашого контейнера.
Робиться це так: ntdsutil -> Activate Instance NTDS -> Authoritative restore -> restore subtree “І вказати, що має бути відновлено примусово ”. Приклад малюнку 13.
Мал. 13.Вибір того, що відновлюватиметься примусово.
Підсумок:Ми примусово відновили організаційний підрозділ з усім вмістом, використовуючи стан системи та миттєві знімки Active Directory. У Windows Server 2008 ми можемо примусово відновлювати організаційні підрозділи з усім вмістом, або конкретні об'єкти. Команда «restore database» з ntdsutil була прибрана, відповідно, примусово відновити всю базу даних Active Directory у нас не вийде.
Якщо ви відновлюєте архів системного диска контролера домену і хочете домогтися примусового відновлення якоїсь частини AD, то відразу після відновлення, не даючи контролеру завантажитись у нормальному режимі, входимо в режим відновлення служби каталогів. І використовуючи ntdsutil, вказуємо яка частина AD повинна відновитися примусово.
Матеріал наданий ресурсом
Будь-який користувач операційної системи Windows XP може рано чи пізно зіткнутися з тим, що зображення на робочому столі зміниться повідомленням про збій Active Desctop. Взагалі, це дуже цікава функція, яка дозволяє розміщувати на робочому столі зведення новин, наприклад, котирування валют, тобто різні динамічні елементи. Але тільки користуються цим одиниці, а глючить дуже і часто. Та ще й віруси її "люблять".
Спроба натиснути кнопку "відновити робочий стіл active desktop"при цьому часто або нічого не видає, або викидає таку помилку:
Для вирішення такої проблеми насамперед перевірте системний диск C:\ декількома антивірусними програмамита перезавантажтеся. Тільки після цього можна йти далі.
Як відновити робочий стіл?
Для відновлення Active Desctop є кілька шляхів. Найправильніший шлях – за допомогою виправлення у реєстрі Windows. Для цього запускаємо редактор реєстру. Зробити це можна, натиснувши кнопку «Пуск» і вибравши пункт меню «Виконати»:
У рядку «Відкрити» пишемо команду та натискаємо кнопку ОК. Відкриється редактор реєстру Windows. У ньому треба знайти гілку
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
Зробити це можна двома шляхами. Перший - просто по черзі відкриваючи гілки відповідно до зазначеного порядку. Другий - через пошук по F3 ввівши як критерій пошуку слово "Components". Там нас цікавить параметр DeskHtmlVersion:
Клікаємо по ньому двічі, щоб змінити. Змінюємо значення цього параметра на нуль - 0 і натискаємо на кнопку "ОК". Закриваємо редактор реєстру, перезавантажуємося та перевіряємо – помилка відновлення робочого столу має усунутись.
Якщо Ви панічно боїтеся лізти в параметри реєстру Windows XP, боячись там щось напортачити (що теж не має сенсу), то можна зробити «хід конем». Вам треба створити нового локального користувача Windowsчерез Панель Управління та зайти в систему під ним. Ви можете видалити старого користувача. Великий мінус такого способу полягає в тому, що Ви втратите всі налаштування старого облікового запису.
Але прибрати помилку active desktop та відновити робочий стіл Windows XP це допоможе.
Передбачається, що у вас є контролер домену бекапу.
Бекап робиться утилітою ntbackup (для Windows 2000/2003), або утилітою архівації у Windows 2008/2008 R2. Для відновлення потрібно, щоб при архівації була обов'язково відзначена опція System State (стан системи).
Їли архівація робилася сторонніми утилітами- Треба звернутися до довідки цих утиліт для відновлення.
Виконання звичайного (невторитарного) відновлення Active Directory
За допомогою цього відновлення відновлюються всі об'єкти на момент резервного копіювання AD.
- Перезавантажте комп'ютер за допомогою клавіші F8 у режимі Directory Restore Mode.
- Запустіть утиліту NTDSUtil. У запрошенні ntdsutil введіть команду files і натисніть клавішу Enter.
- У запрошенні file maintenance виконайте команду Header та прочитайте інформацію про останні створені резервні копії. Інформація про резервне копіювання, яке ви провели, повинна міститися в абзаці Previous Full Backup.
- Двічі виконайте команду Quit, щоб вийти з утиліти NTDSUtil.
- Запустіть утиліту ntbackup. Перейдіть за посиланням Advanced Mode і у вікні Backup Utility перейдіть на вкладку Restore and Manage Media.
- На вкладці Restore and Manage Media розкрийте вузол створеної вами резервної копії та встановіть прапорець навпроти рядка System State, а потім натисніть кнопку Start Restore. Натисніть OK у вікні попередження. У вікні Confirm Restore натисніть кнопку Advanced та перегляньте можливості у вікні Advanced Restore Options. Закрийте вікно Advanced Restore Options і у вікні Confirm Restore натисніть кнопку OK.
- Після завершення резервного копіювання перезавантажте комп'ютер у звичайному режимі.
Відновлення, при якому можна відновити окремо віддалені об'єкти Active Directory
1. Перезавантажте контролер домену за допомогою клавіші F8 у режимі Directory Restore Mode і здійсніть повне відновлення контролера домену аналогічно попередньому випадку, але після закінчення відновлення не робіть перезавантаження.
2. Запустіть утиліту NTDSUtil і введіть authoritative restore у запрошенні ntdsutil. Натисніть клавішу Enter.
3. У запрошенні authoritative restore введіть знак запитання та натисніть Enter. Прочитайте список доступних команд цього режиму.
4. У запрошенні authoritative restore введіть команду restore subtree
OU=User_OU,DC=Domain,DC=local
OU = User_OU, DC = Domain, DC = local |
5. Натисніть Yes у вікні підтвердження.
OU=User_OU Ім'я контенера, що відновлюється:
DC=Domain Ім'я вашого домену
DC=local ім'я домену.
6. Двічі виконайте команду quit, щоб вийти з NTDSUtil, а потім перезавантажте комп'ютер у нормальному режимі.
7. Проведіть примусову реплікацію з іншими контролерами домену та переконайтеся, що організаційний підрозділ User_OU з усіма вкладеними об'єктами відновлено на обох контролерах домену.
Немає схожих постів...
