В этой статье я сфокусируюсь на важности безопасного восстановления active directory. Существование неработоспособной резервной копии пагубно, особенно если ваша AD была повреждена хакером или новым вирусом. Нет смысла в создании резервных копий и инвестировании тысяч долларов в стратегию резервного копирования, если вы можете ей воспользоваться.
Наиболее важная часть вашей стратегии резервного копирования должна быть сфокусирована и начинаться с того, что вы всегда можете восстанавливаться лучше, чем сохраняться. Хорошая практика заключается в том, чтобы начать работать с того, что у вас есть рабочая среда, и попытаться перенести его в другое место. Тогда вы быстро научитесь различать, что вам необходимо восстанавливать.
Те из вас, кто пропустил первые статьи из этой серии, может получить их с помощью следующих ссылок: Часть 1, Часть 2, Часть 3.
Существует два способа для восстановления Active Directory.
Дублирование восстановления.
Сценарий: Вы имеет систему Active directory, работающую более чем на трех контроллерах домена. Один из контроллеров домена испытывает проблемы, снижается его производительность, а затем он перестает функционировать. Другие контроллеры по-прежнему в порядке и продолжают функционировать нормально.
1. Переформатируйте аварийный контроллер домена и переустановите на него Windows 2000. Перенесите базу данных с оставшихся контроллеров доменов Windows 2000 на вновь созданный сервер с помощью дублирования.
2. После добавления нового сервера windows 2000 AD в домен, нажмите start, затем Programs, Administrative Tools, а затем Active Directory Sites And Services на существующем контроллере домена. Удалите все ссылки к нерабочему контроллеру домена.
Рисунок 1a: Диаграмма выше показывает, где должны быть произведены изменения.
Восстановление резервной копии.
Чем чаще вы делали резервные копии, тем меньше данных вы потеряете при восстановлении. Восстановление данных из резервной копии должно выполняться на регулярной спланированной основе, и в зависимости от чувствительности данных, вы должны очень часто производить восстановление. При восстановлении из резервной копии Active Directory будет переустановлена в состояние, предшествующее последней резервной копии.
При восстановлении состояния системы AD из резервной копии существует два способа
1. официальное восстановление
2. неофициальное восстановление.
По умолчанию используется неофициальное восстановление, другие контроллеры домена имеют возможность перетирать часть сохраненной информации более новыми данными. Официальные восстановления – это иерархическая структура данных, хранящихся на других контроллерах домена. Первичное восстановление используется при восстановлении информации Active Directory на отдельно стоящий контроллер домена или на первый из нескольких контроллеров домена.
Восстановление операционной системы.
При восстановлении операционной системы, убедитесь, что вы максимально похоже имитируете предыдущую систему. Используйте то же имя, IP адрес и разделы, какие использовались на предыдущей системе, а также убедитесь, что системные и загрузочные разделы располагаются на тех же самых дисках и разделах.
Первичное восстановление.
Этот тип восстановления используется лишь в случае, когда все контроллеры домена были потеряны, и требуется полностью перестроить домен. Первичное восстановление запускается на первом контроллере домена, а на остальных контроллерах домена производится неофициальное восстановление.
При неофициальном восстановлении восстанавливаемые данные включают объекты Active Directory с оригинальной последовательностью номеров обновлений. Восстанавливаемые данные рискуют быть переписаны более новыми данными на контроллере домена, который еще должен быть восстановлен.
Примечание: Windows 2000 запрещает восстановление системного состояния, если данные старше жизни времени (по умолчанию 60 дней).
Официальное восстановление используется для восстановления всей active directory или определенной части active directory. Перед перезагрузкой контроллера домена запустите утилиту Ntdsutil, после того как вы восстановили данные системного состояния при использовании официального восстановления на соответствующем контроллере домена. Ntdsutil помечает объекты Active Directory для официального восстановления, гарантирую, что любые копируемые данные будут правильно восстановлены и распределены по всем контроллерам домена вашей компании. Восстановление данных состояния системы, без указания альтернативного размещения для восстанавливаемых данных, перетрет данные состояния системы, которые находятся на восстанавливаемом контроллере домена. При восстановлении состояния системы на контроллере домена запустите компьютер в режиме восстановления службы директорий (directory services restore mode). Это подключит восстановление директории SYSVOL и Active Directory.
2. Войдите от имени локального администратора.
1. Перейдите Directory Services и выберите Restore Mode.
3. Теперь нажмите Start, затем Run и наберите ntdsutil, а затем нажмите ok
В этой статье я осветил тот факт, что восстановление active directory – это очень важная задача. Многие организации понимают важность способности восстановления данных из резервных копий, однако, немногие достаточно часто практикуют этот ритуал. Я настоятельно рекомендую, чем более чувствительны данные, для которых выполняется резервное копирование, тем чаще необходимо практиковать их восстановление. Применяя эту стратегию, вы гарантируете, что в случае возникновения непредвиденных обстоятельств, ваша организация будет быстро приведена в работоспособное состояние, гарантируя безопасность windows security и целостность данных.
Источник www.windowsecurity.com
Tags: quote, replication
