Донецкий техникум промышленной автоматики

Відновлення каталогу AD

  1. Служба Active Directory (AD) недарма вважається наріжним каменем нових технологій, реалізованих в Windows...
  2. Що потрібно резервувати
  3. додаткова інформація
  4. Відновлення відмовив контролера домену
  5. Відновлення AD за допомогою повторної установки
  6. Відновлення AD за допомогою резервної копії
  7. Застарілі резервні копії
  8. Відновлення на неідентічніх обладнанні
  9. Дистанційне резервування і відновлення каталогу AD
Служба Active Directory (AD) недарма вважається наріжним каменем нових технологій, реалізованих в Windows 2000. AD служить центральним сховищем і точкою доступу до величезних обсягів інформації, тому бездоганне стан і постійна готовність цієї служби є неодмінною умовою безперебійної роботи мережі. Якщо каталог AD вийде з ладу, то, швидше за все, від усієї інфраструктури служб IT не буде ніякого толку. Звідси висновок: ретельно продуманий план відновлення служби AD просто необхідний.

При правильному підході до справи планування заходів по відновленню даних після збою починається задовго до того, як трапиться щось серйозне. План відновлення служби AD може включати в себе створення кластерів, дискових масивів RAID і процедур резервного копіювання та відновлення. Крім того, слід подбати про те, щоб в кожному домені і в кожному географічному регіоні була достатня кількість контролерів доменів (DC). У цій статті я хочу познайомити читачів з основними принципами резервування, а також розповісти про те, як вибрати оптимальний метод відновлення і при необхідності повернути до життя службу AD.

Вирішальне ланка - контролери доменів

У будь-якому домені кожен DC містить копію контексту іменування AD даного домену. Тому план відновлення служби AD після збою по суті є планом підготовки до відновлення (або заміни) одного або декількох DC.

Всякий здатний взаємодіяти зі службою AD контролер домену Windows 2000 включає в себе доступну для читання і запису копію її каталогу, а для того, щоб всі зміни передавалися на інші DC домену, в ньому застосовується метод реплікації з декількома власниками (multimaster). Нагадаємо, що для функціонування мережі Windows 2000 немає необхідності в кожному домені мати основний контролер домену (PDC). Тому можна сказати, що Windows 2000 краще масштабується і більш стійка до відмов, ніж система Windows NT. З іншого боку, використання моделі реплікації з декількома власниками істотно ускладнює виконання деяких типів операцій по відновленню, так що від адміністратора потрібно розуміння процесу реплікації даних службою AD.

Що потрібно резервувати

Для успішного проведення операції відновлення потрібно знати, які саме дані слід копіювати. Як відомо, каталог AD зберігається на контролерах доменів мережі, тому повне відновлення AD передбачає наявність повних резервних копій кожного контролера домену. І вже у всякому разі для всіх доменів лісу потрібно мати резервні копії всіх серверів глобальних каталогів (Global Catalog, GC) і всіх контролерів, що відповідають за виконання операцій (Operations Masters). В ідеалі потрібно повне резервування цих машин, проте потрібно мати на увазі, що всі дані, необхідні для резервування кожного DC, містяться на системному розділі диска і у відомостях про стан системи System State. Ця інформація для контролера домену включає дані AD, а також файли для роботи взаємодіючих з AD служб (наприклад, файли реєстру, завантажувальні файли, файли каталогу Sysvol, бази даних служби сертифікатів Certificate Services і служби Microsoft Cluster). Як відомо, служба DNS має велике значення для функціонування AD, тому в ці стани System State включаються тільки зони, інтегровані з AD. Це одна з причин необхідності резервування системного розділу, де і розташовані стандартні зони (читачі, які бажають отримати додаткову інформацію про резервування System State, можуть звернутися до переліку «Матеріали по темі»).

На ринку представлено цілий ряд сертифікованих для роботи в середовищі Windows 2000 програм, що забезпечують резервне копіювання, однак буде цілком достатньо коштів резервування, що поставляються з цією операційною системою. Для Windows 2000 фахівці Microsoft підготували вдосконалену версію утиліти резервування. Вона забезпечує копіювання не тільки на стрічкове пристрій, але і на інші носії, а також дозволяє виконувати резервування через певні проміжки часу без використання командного файлу. Щоб за допомогою цієї програми створити резервну копію стану системи System State контролера домену, потрібно на цьому контролері послідовно вибрати елементи Start, Programs, Accessories і Backup. Існує й інша можливість: клацнути на елементах Start, Run, а потім в текстовому вікні Open ввести з клавіатури ntbackup. У вікні Backup потрібно виставити прапорець у System State в лівій панелі на закладці Backup, як показано на Екрані 1. Копіювати System State можуть тільки члени груп Backup Operators або Administrators; право відновлювати дані про стан системи надається тільки членам локальної групи Administrators. Резервування даних System State можливо тільки в режимі Normal (т. Е. Режими Copy, Daily, Differential або Incremental не застосовуються). Процедура створення копії в режимі Normal забирає більше часу, ніж при використанні інших видів резервування, зате її можна проводити в оперативному режимі. Правда, утиліта резервного копіювання системи Windows 2000 має один недолік, не властивий виробам незалежних постачальників: вона дозволяє виконувати резервування тільки локальних копій каталогу AD; копіювати дані про стан віддаленої машини за допомогою цієї утиліти неможливо.

додаткова інформація

Докладний план відновлення даних після збою системи передбачає не тільки заходи щодо забезпечення резервного копіювання, але і надання оновлених даних, які дозволяють контролерам доменів виступати в ролі серверів GC і Operations Masters. Нагадаю, що кожен сервер GC містить копію кожного об'єкта лісу, і ця обставина забезпечує можливість пошуку по AD без звернення до контролерів доменів в кожному домені. Визначити, на якому контролері домена зберігається глобальний каталог, можна за допомогою оснастки Active Directory Sites and Services консолі управління Microsoft Management Console (MMC). Активізувавши консоль, потрібно натиснути правою кнопкою миші на об'єкті Ntds цікавить сервера і вибрати пункт Properties. Якщо даний сервер є сервером GC, в діалоговому вікні буде виставлений прапорець Global Catalog.

Виконавці ролей Operations Masters - це контролери доменів, які виконують в своїх доменах або лісах особливі завдання з обслуговування найважливіших функцій AD, які не використовують застосовуваний в AD метод реплікації з декількома власниками. Наприклад, схема AD визначає, які типи об'єктів можуть створювати користувачі, а контролер - виконавець ролі власника схеми (Schema Master) - є єдиним на весь ліс контролером домену, уповноваженим приймати зміни в схемі. Визначити, які контролери доменів виступають в якості Operations Masters, можна за допомогою оснастки Active Directory Users and Computers консолі MMC. Це стосується контролерів, які виконують будь-які ролі, крім ролі майстра схеми Schema Master; в цьому випадку слід звернутися до оснащення Schema Manager консолі MMC. Щоб з'ясувати, які контролери доменів грають роль Operations Masters, потрібно запустити оснащення Active Directory Users and Computers, натиснути правою кнопкою миші на імені домена в лівій панелі консолі і в контекстному меню вибрати пункт Operations Masters. Крім того, можна використовувати утиліту командного рядка Ntdsutil.

Навіть якщо перший контролер в кореневому домені (інакше кажучи, перший контролер домену, створений в лісі) не є ні сервером GC, ні Operations Master, швидше за все, йому відведена важлива роль в процесі синхронізації часу, необхідному для аутентифікації по протоколу Kerberos. Так що слід обов'язково подбати про резервування і цієї системи.

Відновлення відмовив контролера домену

Тепер, коли відомо, які саме дані потрібно резервувати на контролері домену і які контролери доменів мережі потрібно резервувати в будь-якому випадку, можна переходити до вибору методу відновлення. Залежно від ситуації відновлення служби AD і повернення в стрій відмовив контролера домену можна здійснювати за допомогою повторної установки або відновлення з резервної копії непримусового (nonauthoritative) або примусовим (authoritative) методом.

Відновлення AD за допомогою повторної установки

Якщо на одному з контролерів домена мережі порушена цілісність файлів або бази даних, для відновлення служби AD найпростіше перевстановити Windows 2000 і потім запустити майстер Active Directory Installation Wizard (DCPromo). В процесі виконання DCPromo система зв'язується з іншим контролером в рамках того ж домена і отримує від нього новітню копію каталогу AD.

По суті, цей процес рівнозначний створенню нового контролера домену, однак слід взяти до уваги кілька додаткових міркувань. Якщо виникли проблеми були настільки серйозними, що потрібна повторна установка, ймовірно, не можна буде знизити статус сервера-контролера домену до перевстановлення Windows 2000. Стало бути, інформація в AD, що відноситься до цього контролеру, можуть виявитися не такими і не можна виключати можливості конфлікту імен. У такому випадку для нового контролера, створеного після переустановлення системи, потрібно задати нове ім'я, відмінне від імені вийшов з ладу контролера домену. Якщо це рішення прийнятно, можна просто видалити первинне ім'я сервера з відповідного вузла в оснащенні Active Directory Sites and Services, а також з організаційної одиниці контролерів домену в оснащенні Active Directory Users and Computers.

Але якщо потрібно дати переустановленному контролеру домену те ж ім'я, що було у попереднього (скажімо, в разі, коли на даному контролері розміщується додаток, до якого користувачі звертаються по імені або за допомогою букви накопичувача), потрібно видалити об'єкт ntdsDSA вийшла з ладу машини з AD на одному з решти контролерів домену. Для видалення об'єкта можна скористатися утилітою командного рядка Ntdsutil, яка обслуговує базу даних сховища AD, управляє ролями виконавців операцій (Flexible Single-Master Operation, FSMO) і видаляє метадані, що залишилися після збою контролера домену. Щоб запустити утиліту, потрібно вибрати Start, Run і ввести з клавіатури

ntdsutil

в текстовому вікні Open. Відкриється нове вікно, в якому слід задати набір команд, наведений в лістингу 1.

Відновлення AD за допомогою резервної копії

У деяких випадках відновлення каталогу служби AD за допомогою повторної установки Windows 2000 цілком допустимо, але бувають ситуації, коли доводиться вдаватися до допомоги резервних копій вмісту контролера домену. Наприклад, при роботі з вузлом, котрі володіють всього одним контролером домену, і використанні глобальних каналів зв'язку WAN передача даних в процесі реплікації за допомогою майстра DCPromo неможлива. Краще за все, не вдаючись до перевстановлення Windows 2000, відновити AD з резервної копії. У цій ситуації слід вибрати непримусового метод відновлення. Ну а при спробі відновити інформацію, яка була помилково видалено з AD (і, отже, не може бути залучена з інших контролерів даного домена), доведеться виконати примусове відновлення каталогу служби AD.

Непримусового відновлення. Щоб виконати будь-який тип відновлення за допомогою утиліти архівації даних Windows 2000, потрібно провести завантаження системи в режимі Directory Services Restore Mode (режим відновлення служби каталогу). Даний режим слід вибрати в розширеному меню варіантів завантаження, яке відкривається після натискання клавіші F8 в процесі ініціалізації системи. В цьому режимі контролер домену стартує без запуску служби AD, забезпечуючи тим самим можливість перезапису існуючих файлів. Як завжди, система запропонує зареєструватися. Але ввести потрібно не облікові дані домену, а ім'я та пароль локального облікового запису Administrator. По завершенні реєстрації запустіть утиліту архівування. Тепер систему можна відновити з закладки Restore вікна Backup.

Після відновлення комп'ютер потрібно перезавантажити. Операційна система встановить контакт з партнерами по реплікації і отримає дані про всі зміни, внесені в AD з моменту створення резервної копії. При використанні цього методу обсяг пов'язаного з реплікацією трафіку набагато менше, ніж у випадку з ніж встановлювати засобами DCPromo, оскільки реплицируются тільки останні зміни.

Примусове відновлення. Цей метод слід застосовувати в тих випадках, коли завдання полягає в тому, щоб міститься в резервної копії інформація про AD мала пріоритет перед існуючими даними (т. Е. Більш пізніми). Наприклад, це доречно після того, як хтось помилково видалив інформацію, яку важко відновити.

Уявімо собі таку картину. З домену AD випадково видалена організаційна одиниця Marketing. Через кілька хвилин помилку помічають, але реплікація вже завершилася. У цій ситуації виконання непримусового відновлення даних на контролері домену не допоможе відтворити організаційну одиницю. Коли відновлений контролер домену після роботи в режимі Directory Services Restore Mode инициализируется знову, система почне звичайний процес реплікації, її партнери по реплікації оновлять розміщену на відновленому контролері копію AD, т. Е. Видалять організаційну одиницю Marketing. В результаті втрачені об'єкти так і не будуть відновлені. Проблема буде вирішена лише в тому випадку, якщо дані з резервної копії замінять містяться в новішій версії AD.

Примусове відновлення виконується так само, як і непримусового, з тією лише різницею, що в процедуру включається додатковий етап: після відновлення потрібно запустити утиліту Ntdsutil і виділити той розділ каталогу, який слід відновити примусово. Наприклад, щоб відновити організаційну одиницю Marketing, в командному рядку потрібно ввести наступні команди:

ntdsutil Authoritative restore Restore subtree OU = Marketing, DC = Win2000, DC = com

Утиліта Ntdsutil «визнає» команди примусового відновлення тільки при роботі в режимі Directory Services Restore Mode. За допомогою цих команд можна відновити будь-який фрагмент каталогу AD. Потрібно лише надати для цього фрагмента правильне складене ім'я (distinguished name, DN).

Примусове відновлення всього каталогу AD можна виконати за допомогою команди Restore Database. Однак потрібно мати на увазі, що користуватися цією командою слід дуже обережно, бо після її застосування все зміни, внесені в каталог AD після останнього сеансу резервного копіювання, будуть безповоротно втрачені.

Застарілі резервні копії

У разі відновлення служби AD з резервної копії ніж пізніше зроблена ця копія, тим краще. При цьому потрібно пам'ятати, що вік сформованого образу повинен бути не більший, ніж зазначений в параметрі AD tombstoneLifetime. Цей параметр, значення якого за замовчуванням становить 60, являє собою число днів, протягом яких AD зберігає віддалений об'єкт перед тим, як назавжди видалити всі записи, що стосуються даного об'єкту. Крім того, в службі AD дескриптори tombstone використовуються для маркування віддалених об'єктів і для реплікації видалення на інші контролери домену. Таким чином, що привласнюється параметру tombstoneLifetime значення велике в силу того, що в процесі реплікації можуть виникати затримки, викликані, наприклад, тривалим простоєм контролера домену. Однак це значення можна зменшити до двох днів. Переглядати і змінювати значення параметра tombstoneLifetime дозволяє оснащення ADSI Edit консолі MMC (див. Екран 2).

Але навіть якщо резервна копія має менший вік, ніж встановлений в параметрі tombstoneLifetime, можливі нестиковки по часу, пов'язані з паролями, які захищають облікові записи комп'ютерів і дані про довірчі стосунки. За замовчуванням система Windows 2000 пропонує змінювати ці паролі раз в сім днів. Так, якщо виконати примусове відновлення фрагмента каталогу AD і ця процедура зачіпає паролі, що захищають або обліковий запис комп'ютера, або довірче відношення, можливо, доведеться вручну встановлювати заново ці паролі. В іншому випадку може бути порушений процес реплікації і виникнуть труднощі при реєстрації в домені. Щоб перевстановити захищає довірливе ставлення пароль, потрібно видалити і відтворити це відношення за допомогою оснастки Active Directory Domains and Trusts консолі MMC. Щоб перевстановити обліковий запис комп'ютера, слід відкрити оснастку Active Directory Users and Computers, натиснути правою кнопкою миші на відповідній комп'ютера записи і вибрати пункт Reset Account.

Відновлення на неідентічніх обладнанні

При вікорістанні методу Відновлення з резервної копії передбачається, что каталог AD відтворюється на тій же машині, на Якій віконувалося Копіювання. Альо в багатьох випадка, коли доводиться вдаватся до ЗАСОБІВ Відновлення после збою, необходимость в цьом віклікана Якраз відмовою апаратних компонентів, так что Відновлення на ідентічному обладнанні просто Неможливо. Щоб відновіті каталог AD на новій машині, самперед необходимо упевнити, что конфігурація жорсткий диск новой системи не відрізняється від конфігурації диска віхідної машини і что розділи нового жорсткий диск, по крайней мере, не менше розділів, что були на віхідної машині. Крім того, слід переконатися, що на цільовій машині використовується той же рівень апаратних абстракцій (hardware abstraction layer, HAL), що і на вихідній. Якщо в новій системі встановлена ​​інша відеокарта або є кілька мережевих інтерфейсних плат, їх потрібно деінсталювати до виконання процедури відновлення. Після перезавантаження механізм Plug-and-Play (PnP) системи Windows 2000 повинен знову встановити ці компоненти.

Дистанційне резервування і відновлення каталогу AD

Як я вже зазначав, вбудована програма резервування системи Windows 2000 забезпечує виконання тільки локальних процедур резервного копіювання каталогу AD. Іншими словами, використовувати цю програму для резервування і відновлення даних про стан на віддаленій системі неможливо. Однак слу-ЖБА Windows 2000 Server Terminal Services дозволяє обійти це обмеження. Потрібно просто виконати відновлення в термінальному вікні - як якщо б ви працювали за відновлюваної машиною.

Для того щоб відновити вміст контролера домену, доступного через термінальне з'єднання, необхідно відкрити через це з'єднання файл boot.ini контролера і в кінці шляху в форматі Advanced RISC Computing (ARC) до системи, що завантажується за замовчуванням, вказати перемикач / safeboot: dsrepair, як показано на Екрані 3. Після цього операції по відновленню можна продовжити.

На закінчення хочу сказати, що кращий спосіб заощадити час і уникнути стресу при відновленні AD - заздалегідь підготувати план дій і весь час тримати його під рукою. Будь-адміністратор, якому доводилося «піднімати» вийшов з ладу сервер, знає, що в цьому випадку завдання стає помітно простіше.

Роберт Макінтош - інструктор по продуктам Microsoft і технологіям систем захисту. З ним можна зв'язатися за адресою: [email protected] .