Принудительное восстановление. Этот метод следует применять в тех случаях, когда задача состоит в том, чтобы содержащаяся в резервной копии информация об AD имела приоритет перед существующими данными (т. е. более поздними). Например, это уместно после того, как кто-то по ошибке удалил информацию, которую трудно восстановить.
Представим себе такую картину. Из домена AD случайно удалена организационная единица Marketing. Через несколько минут ошибку замечают, но репликация уже завершилась. В этой ситуации выполнение непринудительного восстановления данных на контроллере домена не поможет воссоздать организационную единицу. Когда восстановленный контроллер домена после работы в режиме Directory Services Restore Mode инициализируется вновь, система начнет обычный процесс репликации, ее партнеры по репликации обновят размещенную на восстановленном контроллере копию AD, т. е. удалят организационную единицу Marketing. В результате утраченные объекты так и не будут восстановлены. Проблема будет решена лишь в том случае, если данные из резервной копии заменят содержащиеся в более новой версии AD.
Принудительное восстановление выполняется так же, как и непринудительное, с той лишь разницей, что в процедуру включается дополнительный этап: после восстановления нужно запустить утилиту Ntdsutil и выделить тот раздел каталога, который следует восстановить принудительно. Например, чтобы восстановить организационную единицу Marketing, в командной строке нужно ввести следующие команды:
ntdsutil Authoritative restore Restore subtree OU=Marketing, DC=Win2000, DC=com
Утилита Ntdsutil «признает» команды принудительного восстановления только при работе в режиме Directory Services Restore Mode. С помощью этих команд можно восстановить любой фрагмент каталога AD. Требуется только предоставить для этого фрагмента правильное составное имя (distinguished name, DN).
Принудительное восстановление всего каталога AD можно выполнить с помощью команды Restore Database. Однако нужно иметь в виду, что пользоваться этой командой следует очень осторожно, ибо после ее применения все изменения, внесенные в каталог AD после последнего сеанса резервного копирования, будут безвозвратно утеряны.
(источник www.infocity.kiev.ua)
И так, с теорией вроде понятно…
Теперь ближе к практике.
У нас удалили каталог с учетными записями. Начальник как бы намекнул что было бы неплохо восстановить.
ПРАКТИКА:
PS C:\Users\Администратор> ntdsutil.exe
C:\Windows\system32\ntdsutil.exe: help
? - Вывод этой справочной информации
Activate Instance %s - Устанавливает "NTDS" или определенный экземпляр AD LDS в качестве активного экземпляра.
Authoritative restore - Принудительно восстановить базу данных DIT
Change Service Account %s1 %s2 - Измените учетную запись службы AD DS/LDS на имя пользователя %s1 и пароль %s2.
Используйте "NULL" для пустого пароля или "*" для ввода пароля с консоли.
Configurable Settings - Управление настраиваемыми параметрами
DS Behavior - Просмотр и изменение режима работы AD DS/LDS
Files - Управление файлами DS/LDS-базы данных AD
Group Membership Evaluation - Оцените идентификаторы безопасности в токене для данного пользователя или группы
Help - Вывод этой справочной информации
IFM - Создание носителя IFM
LDAP policies - Управление политиками протокола LDAP
LDAP Port %d - Настройка порта LDAP для экземпляра AD LDS.
List Instances - Составьте список всех экземпляров AD LDS, установленных на этом компьютере.
Local Roles - Управление локальными ролями RODC
Metadata cleanup - Очистка объектов ликвидированных серверов
Partition management - Управление разделами каталогов
Popups off - Запретить всплывающие окна
Popups on - Разрешить всплывающие окна
Quit - Выход из программы
Roles - Токены владельца управления ролью NTDS
Security account management - Управление базой данных учетных записей -
очистка повторяющихся SID
Semantic database analysis - Проверка семантики
Set DSRM Password - Сброс пароля администратора для режима восстановления службы каталогов
Snapshot - Управление снимком
SSL Port %d - Настройка порта SSL для экземпляра AD LDS.
C:\Windows\system32\ntdsutil.exe:
Далее
Activate Instance NTDS
Ругается…. 
В отдельной консоли набираем
В отдельной консоли набираем
net stop NTDS
Соглашаемся…
Снова:
Activate Instance NTDS
Пошло
Authoritative restore
Нам нужен один каталог:
Restore subtree OU=DOM,OU=MyUsers,DC=Win2000,DC=com
Все.
выходим:
q ENTER
q ENTER
выходим:
q ENTER
q ENTER
Ох, чуть не забыл:
net start NTDS
Комментариев нет:
Отправить комментарий