Резервное копирование и восстановление AD

Резервное копирование выполняется с целью облегчить восстановление данных в случае аппаратной неисправности, повреждения программного обеспечения, случайного удаления…

Active Directory (AD) содержит следующие файлы:

Ntds.dit — база данных Active Directory в которой хранится схема, объекты и атрибуты домена (расположение по умолчанию — %systemroot%\NTDS\Ntds.dit)

Edb*.log — файл журнала транзакций Любое изменение сначала заносится в журнал транзакций и только потом записывается в базу AD, обеспечивая ее целостность. Файл Edb.log имеет размер 10Mб. Если файл журнала транзакций переполняется, AD создает новый EdbX.log, где X — число начинающееся с 1.

Edb.chk — файл контрольной точки используемый для отслеживания изменений, записываемых в базу данных AD, он указывает на информацию которая в случае сбоя должна быть восстановлена (записана в дальнейшем)

Res1.log и Res2.log — резервные файлы журнала транзакций, позволяющие AD вести журнал в случае отсутствия свободного места на жестком диске.

С целью повысить быстродействие системы Microsoft рекомендует размещать файлы журналов и базу данных на разных дисках. Для перемещения базы данных и файлов журнала транзакций используется утилита Ntdsutil в режиме Directory Services Restore Mode:

Ntdsutil — files — move DB to drive:\directory — quit —
Ntdsutil — files — Move logs to drive:\directory — quit —

Резервное копирование AD
Для резервного копирования AD используется стандартная утилита Windows – NTBackup, копируются данные о состоянии системы (System State Data). Данные о состоянии системы на контроллере домена содержат:

  • реестр содержащий сведения о конфигурации компьютера
  • базу данных AD
  • папку SYSVOL содержащую шаблоны групповой политики и сценарии входа
  • базу данных зарегистрированных классов СОМ+
  • загрузочные файлы системы и системные файлы
  • базу данных служб сертификации (на сервере сертификатов)
  • информацию необходимую для восстановления кластера, если запущена служба Cluster.
  • базу данных IIS, если IIS установлен
  • системные файлы защищенные Windows File Protection

Для выполнения резервного копирования необходимо входить в группу Администраторы, Операторы архива или Операторы сервера. Утилита NTBackup поддерживает только локальный режим, т.е. резервное копирование с удаленного компьютера выполнить невозможно. Резервное копирование контроллеров домена необходимо выполнять по меньшей мере один раз в течение половины периода Tombstone Lifetime (TSL).

С помощью оснастки Active Directory Users and Computers (ADUC), ADSIEdit, LDP или утилиты DSACLS можно предотвратить случайное удаление объекта. Защитим с помощью ADUC Организационное подразделение (ОП) Sales вложенное в ОП Company домена karba.local от случайного удаления или перемещения:
ОП Company — добавляем DENY ACE группе Everyone на удаление DELETE CHILD с областью действия This object only:
DSACLS OU=Company,DC=KARBA,DC=LOCAL /D EVERYONE:DC
ОП Sales — добавляем DENY ACE группе на удаление DELETE and DELETE TREE с областью действия This object only:
DSACLS OU=Sales,OU=Company,DC=KARBA,DC=LOCAL /D EVERYONE:SDDT

Восстановление AD
Для восстановления AD сервер должен быть перегружен в режим восстановления службы каталога (Directory Service Restore Mode).

Существует два способа восстановления данных из резервной копии, принудительное (Authoritative) и непринудительное (Non-Authoritative).

Принудительное используется в случае, если нужно восстановить случайно удаленный объект. Принудительное восстановление гарантирует, что восстановленный объект не будет изменен в ходе репликации.

Непринудительное восстановление возвращает AD в состояние на момент создания резервной копии, а репликация с других серверов (партнеров по репликации) обновляет данные, приводя объекты к текущему состоянию (если используется один контроллер домена, то все изменения произошедшие с момента резервного копирования, будут утрачены).

Каждый контроллер домена имеет номер последовательных обновлений (Update Sequence Number, USN). USN увеличивается на единицу при каждом изменении объектов AD. Например, если после изменения адреса пользователя USN равен 1000, то при следующем изменении любого другого объекта USN будет равен 1001. Объекту помеченному для принудительного восстановления назначается наивысший номер обновлений (он увеличивается на 100000 единиц за каждый день прошедший с момента резервного копирования).

Для принудительного восстановления объекта, сразу после восстановления данных состояния системы, запускается утилита Ntdsutil и в командной строке вводится:
authoritative restore — restore subtree distinguished name of object — quit — quit
Для принудительного восстановления всей базы AD в командной строке Ntdsutil вводится:
authoritative restore — restore database — quit — quit

После окончания процедуры восстановления контроллер домена можно перезапустить в обычном режиме.
Все принудительно восстановленные объекты реплицируются на другие контроллеры — партнеры по репликации.

Некоторые компоненты AD не следует или невозможно восстанавливать принудительно (например схема AD не может быть восстановлена). После принудительного восстановления учетной записи пользователя данные о его членстве в группах могут быть удалены из AD, нужно вновь добавить пользователя в его группы (см. http://support.microsoft.com/kb/840001).

Удаленный из AD объект помещается в скрытый контейнер CN=Deleted Objects, атрибут объекта isDeleted принимает значение True, к Distinguished Name добавляется флаг ADEL и устанавливается значение Tombstone Lifetime (TSL). Помеченный на удаление объект (Tombstoned) может быть восстановлен в течение TSL, затем запись об объекте окончательно удаляется из базы данных Active Directory.

На контроллере домена каждые 12 часов запускается процесс Garbage Collection, при этом окончательно удаляются объекты у которых закончилось TSL и выполняется дефрагментация базы данных AD. Можно изменить этот интервал с помощью ADSI Edit присвоив значение атрибуту garbageCollPeriod (CN=Directory Service,CN=Windows NT,CN=Services, DC=DomainName,DC=local,CN=Configuration)

Время жизни помеченного на удаление объекта (TSL) по умолчанию равно 60 дням, после выхода Windows Server 2003 SP1 стало равным 180 дням. TSL можно изменить при помощи ADSI Edit. Для этого нужно запустить ADSI Edit, найти CN=Directory Service, CN=Windows NT, CN=Services,CN=Configuration, DC=DomainName,DC=local и щелкнуть правой кнопкой мыши на контейнере CN=Directory Service и выбрать Properties. Найти Tombstone Lifetime в списке атрибутов, нажать кнопку Edit и ввести количество дней, необходимое для хранения удаленных объектов.

Для восстановления помеченного на удаление объекта нужно удалить атрибут isDeleted и восстановить прежнее значение DistinguishedName. Для этого запускаем Ldp.exe из Windows Support Tools, выбираем из меню Connections команду Connect, указываем NetBios имя контроллера домена и порт 389 (LDAP). В меню Connections выбираем команду Bind, вводим учетные данные администратора предприятия (Enterprise Admins). В меню Options выбираем Controls и в поле Load Predefined из списка выбираем Return deleted objects и жмем Ок. Выбираем в меню View пункт Tree, в поле BaseDN вводим DC=DomainName,DC=local. В списке контейнеров левой панели ищем контейнер CN=Deleted Objects, DC=DomainName,DC=local и щелкаем по нему два раза. Находим удаленный объект, например:
CN= Елена Муратова\0ADEL:a49bb628-11b5-427f-85cf-6441b8b94970,CN=Deleted Objects, DC=DomainName,DC=local
Выделяем его, щелкаем правой кнопкой мыши и выбираем Modify. В разделе Edit Entry, в поле Attribute вводим isDeleted, в панели Operation выбираем Delete, затем жмем кнопку Enter.
В разделе Edit Entry в поле Attribute вводим distinguishedName, в поле Values вводим Common Name объкта и после запятой значение lastKnownParent из списка атрибутов объекта (см.правую панель), например:
CN=Елена Муратова,OU=Sales Users,OU=Sales,DC=DomainName,DC=local
В разделе Operation выбираем Replace и жмем кнопку Enter. Устанавливаем флажки Synchronous и Extended нажимаем кнопку Run

При восстановлении учетной записи пользователя нужно заново прописать все ее атрибуты, за исключением sAMAccountName, SID и GUID, установить пароль и включить ее.

Guy Teverovsky написал утилиту ADRestore.net облегчающую процесс восстановления удаленных объектов. http://blogs.microsoft.co.il/files/folders/guyt/entry40811.aspx

Запись опубликована в рубрике Active Directory. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91