суббота, 20 марта 2010 г.

Восстановление Active Directory

Принудительное восстановление. Этот метод следует применять в тех случаях, когда задача состоит в том, чтобы содержащаяся в резервной копии информация об AD имела приоритет перед существующими данными (т. е. более поздними). Например, это уместно после того, как кто-то по ошибке удалил информацию, которую трудно восстановить.
Представим себе такую картину. Из домена AD случайно удалена организационная единица Marketing. Через несколько минут ошибку замечают, но репликация уже завершилась. В этой ситуации выполнение непринудительного восстановления данных на контроллере домена не поможет воссоздать организационную единицу. Когда восстановленный контроллер домена после работы в режиме Directory Services Restore Mode инициализируется вновь, система начнет обычный процесс репликации, ее партнеры по репликации обновят размещенную на восстановленном контроллере копию AD, т. е. удалят организационную единицу Marketing. В результате утраченные объекты так и не будут восстановлены. Проблема будет решена лишь в том случае, если данные из резервной копии заменят содержащиеся в более новой версии AD.
Принудительное восстановление выполняется так же, как и непринудительное, с той лишь разницей, что в процедуру включается дополнительный этап: после восстановления нужно запустить утилиту Ntdsutil и выделить тот раздел каталога, который следует восстановить принудительно. Например, чтобы восстановить организационную единицу Marketing, в командной строке нужно ввести следующие команды:
ntdsutil

Authoritative restore

Restore subtree OU=Marketing,

 DC=Win2000, DC=com
Утилита Ntdsutil «признает» команды принудительного восстановления только при работе в режиме Directory Services Restore Mode. С помощью этих команд можно восстановить любой фрагмент каталога AD. Требуется только предоставить для этого фрагмента правильное составное имя (distinguished name, DN).
Принудительное восстановление всего каталога AD можно выполнить с помощью команды Restore Database. Однако нужно иметь в виду, что пользоваться этой командой следует очень осторожно, ибо после ее применения все изменения, внесенные в каталог AD после последнего сеанса резервного копирования, будут безвозвратно утеряны.
(источник www.infocity.kiev.ua)
И так, с теорией вроде понятно…
Теперь ближе к практике.
У нас удалили каталог с учетными записями. Начальник как бы намекнул что было бы неплохо восстановить.
ПРАКТИКА:
PS C:\Users\Администратор> ntdsutil.exe
C:\Windows\system32\ntdsutil.exe: help

?                                 - Вывод этой справочной информации
Activate Instance %s              - Устанавливает "NTDS" или определенный экземпляр AD LDS в качестве активного экземпляра.
Authoritative restore             - Принудительно восстановить базу данных DIT
Change Service Account %s1 %s2   - Измените учетную запись службы AD DS/LDS на имя пользователя %s1 и пароль %s2.
                                     Используйте "NULL" для пустого пароля или "*" для ввода пароля с консоли.
Configurable Settings          - Управление настраиваемыми параметрами
DS Behavior                    - Просмотр и изменение режима работы AD DS/LDS
Files                          - Управление файлами DS/LDS-базы данных AD
Group Membership Evaluation   - Оцените идентификаторы безопасности в токене для данного пользователя или группы
Help                          - Вывод этой справочной информации
IFM                           - Создание носителя IFM
LDAP policies                 - Управление политиками протокола LDAP
LDAP Port %d                  - Настройка порта LDAP для экземпляра AD LDS.
List Instances                - Составьте список всех экземпляров AD LDS, установленных на этом компьютере.
Local Roles                   - Управление локальными ролями RODC
Metadata cleanup              - Очистка объектов ликвидированных серверов
Partition management          - Управление разделами каталогов
Popups off                    - Запретить всплывающие окна
Popups on                     - Разрешить всплывающие окна
Quit                          - Выход из программы
Roles                         - Токены владельца управления ролью NTDS
Security account management   - Управление базой данных учетных записей -
очистка повторяющихся SID
Semantic database analysis    - Проверка семантики
Set DSRM Password             - Сброс пароля администратора для режима восстановления службы каталогов
Snapshot                      - Управление снимком
SSL Port %d                   - Настройка порта SSL для экземпляра AD LDS.

C:\Windows\system32\ntdsutil.exe:
Далее
Activate Instance NTDS
Ругается…. :)
В отдельной консоли набираем
net stop NTDS
Соглашаемся…
Снова:
Activate Instance NTDS
Пошло :)
Authoritative restore
Нам нужен один каталог:
Restore subtree OU=DOM,OU=MyUsers,DC=Win2000,DC=com
Все.
выходим:
q ENTER
q ENTER
Ох, чуть не забыл:
net start NTDS

Комментариев нет:

Отправить комментарий