- PVSM.RU - https://www.pvsm.ru -
Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.
В предыдущей статье [1] мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.
Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.
Microsoft впервые реализовала долгожданную корзину Active Directory в ОС Windows Server 2008 R2. При этом изменился жизненный цикл объектов Active Directory и порядок их удаления. Так, после удаления объекта теперь происходит вот что:
Схематично эти этапы можно изобразить так:
В настоящее время корзина по умолчанию не активирована ни в одной ОС Windows Server. Чтобы использовать ее, нужно подготовить инфраструктуру: убедиться, что все контроллеры домена работают под управлением Windows Server 2008 R2 или выше, и установить функциональный режим работы леса на Windows Server 2008 R2 или выше.
Полезно: Активацию корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) рекомендуется сначала протестировать в «песочнице». Для этого можно использовать технологию виртуальной лаборатории Veeam [2]. Кроме контроллера домена, в виртуальной лаборатория можно запускать и другие критически важные виртуальные машины. Эта технология очень помогает при тестировании совместимости многоуровневых приложений после внесения изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.
Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:
При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.
Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже перечислены плюсы и минусы использования корзины Active Directory.
Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.
Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о преодолении недостатков корзины. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет ограничения корзины Active Directory:
Важно! Этот инструмент входит в состав всех редакций Veeam Backup & Replication, в том числе и в его бесплатную редакцию.
Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.
Ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее в исходное состояние.
В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.
Статья на Хабре: Восстановление удаленных объектов AD из tombstone-объектов [1]
Статья на Хабре: Восстановление контроллера домена из резервной копии с помощью Veeam [3]
Статья на Хабре: Резервное копирование контроллеров домена с помощью Veeam [4]
Автор: Veeam Software
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/rezervnoe-kopirovanie/250149
Ссылки в тексте:
[1] статье: https://habrahabr.ru/company/veeam/blog/317174/
[2] виртуальной лаборатории Veeam: https://habrahabr.ru/company/veeam/blog/182144/
[3] Восстановление контроллера домена из резервной копии с помощью Veeam: https://habrahabr.ru/company/veeam/blog/313570/
[4] Резервное копирование контроллеров домена с помощью Veeam: https://habrahabr.ru/company/veeam/blog/309904/
[5] Источник: https://habrahabr.ru/post/324246/
Нажмите здесь для печати.