Створення резервної копії Active Directory
Найбільш важливе з обмежень, що накладаються на створення резервної копії служби каталогу, полягає в тому, що Active Directory може копіюватися лише як частина даних системного стану контролера домену.
Дані системного стану контролера домену включають [13]:
- базу даних Active Directory і журнали транзакцій;
- системні файли і файли запуску, що знаходяться під захистом Windows;
- системний реєстр контролера домену;
- всю зонний інформацію DNS, інтегровану з Active Directory;
- папку Sysvol;
- базу даних реєстрації класів СОМ +;
- базу даних служби сертифікатів (якщо контролер домену є також сервером служби сертифікатів);
- інформацію кластерної служби;
- метакаталогі інформаційної Інтернет-служби Microsoft (IIS) (якщо служба IIS встановлена на комп'ютері).
Всі ці компоненти повинні копіюватися і відновлюватися цілком через їх тісної інтеграції. Наприклад, якщо на сервері служби сертифікатів було створено сертифікат, який був призначений на об'єкт Active Directory. то база даних служби сертифікатів (що містить запис про створення об'єкта) і об'єкт Active Directory (що містить запис про те, що сертифікат призначений на об'єкт) повинні бути збережені.
Загальна практика полягає в тому, що всі контролери домену повинні брати участь в циклі регулярного резервного копіювання. Один виняток до цього правила можна зробити, якщо є декілька контролерів домену, розташованих в одному офісі. В цьому випадку можна здійснювати таку процедуру відновлення контролерів домену, в якій спочатку буде встановлюватися новий контролер домену. а потім заповнюватися його каталог шляхом реплікації. Однак навіть в цьому сценарії слід створювати резервні копії принаймні деяких контролерів домену на випадок такої аварії, при якій будуть виведені з ладу всі контролери домену в офісі. У будь-якому випадку необхідно створити резервні копії господаря операцій.
Хоча час життя об'єктів-пам'яток накладає жорсткі обмеження на частоту резервного копіювання, очевидно, що створювати резервні копії контролерів домену краще набагато частіше, ніж кожні 60 днів. Виникне багато проблем, якщо відновлювати контролер домену з резервної копії, давнішої, ніж пара днів. Оскільки відновлення Active Directory включає відновлення всієї інформації про стан системи, ця інформація буде відновлена до попереднього стану. Якщо сервер є також сервером служби сертифікатів, то все посвідчення, випущені до того, як ви зробили резервну копію, не будуть включені в базу даних служби сертифікатів. Якщо були оновлені драйвери або встановлені будь-які нові додатки, вони не зможуть працювати, тому що буде зроблений відкат системного реєстру до попереднього стану. Майже всі компанії підтримують такий режим резервного копіювання, у якому деякі сервери копіюються щоночі. Контролери домену повинні включатися в такий режим резервування.
процес відновлення
Існують дві причини, через які, можливо, доведеться відновлювати Active Directory [13].
- Перша причина виникне, коли база даних стане непридатною для використання, тому що на одному з контролерів домену відбулася відмова в роботі жорсткого диска або база даних зіпсована до такої міри, що її більше не вдається завантажити.
- Друга причина виникне, коли в результаті помилки хтось видалив організаційну одиницю. що містить кілька сотень облікових записів користувачів і груп. В цьому випадку бажаніше відновити інформацію, ніж вводити її повторно.
Якщо планується відновлювати Active Directory. тому що базу даних на одному з контролерів домену більше не можна використовувати, то є такі два варіанти процесу [13].
Якщо планується відновлювати Active Directory. тому що хтось видалив велику кількість об'єктів з каталогу, то необхідно відновити базу даних Active Directory на одному з контролерів домену, використовуючи резервну копію, яка містить віддалені об'єкти. Потім потрібно зробити відновлення при наявності повноважень (authoritative), в процесі якого всі відновлені дані відзначаються так, щоб вони реплицироваться на всі інші контролери домену, переписуючи вилучену інформацію.
Для відновлення Active Directory необхідно архівувати дані стану служби [4]. [6]. реєстр, базу даних реєстрації СОМ +, системні завантажувальні файли і базу даних служб сертифікації (якщо це сервер служб сертифікації). При перезавантаженні комп'ютера в режимі відновлення служб каталогів необхідно увійти в систему з адміністраторськими правами, використовуючи правильні ім'я та пароль облікового запису Security Accounts Manager. При цьому не можна використовувати обліковий запис адміністратора Active Directory. так як служби Active Directory відключені і не можна їх засобами перевірити справжність облікового запису. Для цього застосовується база даних облікових записів SAM. пароль облікового запису SAM задається в процесі установки Active Directory.
короткі підсумки
- Розробити послідовне створення резервної копії та відновити управління контролерів домену.
- Розгорнути контролери домену Active Directory з апаратної надмірністю.
Найбільш важливе з обмежень, що накладаються на створення резервної копії служби каталогу, полягає в тому, що Active Directory може копіюватися лише як частина даних системного стану контролера домену.
Дані системного стану контролера домену включають:
- базу даних Active Directory і журнали транзакцій;
- системні файли і файли запуску, що знаходяться під захистом Windows;
- системний реєстр контролера домену;
- всю зонний інформацію DNS, інтегровану з Active Directory;
- папку Sysvol;
- базу даних реєстрації класів СОМ +;
- базу даних служби сертифікатів (якщо контролер домену є також сервером служби сертифікатів);
- інформацію кластерної служби;
- метакаталогі інформаційної Інтернет-служби Microsoft (IIS) (якщо служба IIS встановлена на комп'ютері).
Всі ці компоненти повинні копіюватися і відновлюватися цілком через їх тісної інтеграції.
Причини, через які, можливо, доведеться відновлювати Active Directory:
- База даних стане непридатною для використання.
- Видалення організаційної одиниці. містить кілька сотень облікових записів користувачів і груп.
Для відновлення Active Directory необхідно архівувати дані стану служби: реєстр, базу даних реєстрації СОМ +, системні завантажувальні файли і базу даних служб сертифікації (якщо це сервер служб сертифікації).