Выполнение принудительного восстановления Active Directory
Принудительное восстановление используется, когда необходимо восстановить Active Directoгy до некоторого момента времени, а затем реплицировать данные на все контроллеры домена. Рассмотрим следующий пример: John случайно удалил подразделение Marketing и все объекты из него. Так как изменения уже были реплицированы на все контроллеры в домене, единственный способ восстановить подразделение и связанные объекты - использовать принудительное восстановление. Аналогично, если служба Active Directoгy как-то повреждена, единственный способ полностью восстановить ее состоит в использовании принудительного восстановления.
При выполнении принудительного восстановления существует несколько важных проблем, о которых надо помнить. Первая и самая значительная имеет отношение к паролям компьютеров и довериям Windows NT LAN Manager (NTLM). Эти пароли меняются автоматически каждые семь дней. Если вы выполняете принудительное восстановление Active Directory, восстановленные данные будут содержать пароли, которые использовались, когда создавалась резервная копия. Если вы просмотрите журнал событий после выполнения восстановления, вы увидите соответствующие события, или пользователи могут начать испытывать трудности при доступе к ресурсам в домене.
Пароли учетных записей компьютеров позволяют аутентифицировать их в домене с использованием доверительных отношений компьютеров. Если пароль компьютера изменится, компьютер не сможет проходить аутентификацию в домене. В этом случае вы должны сбросить пароль компьютера, щелкнув правой кнопкой на учетной записи компьютера в консоли Active Directory Users And Computers (Active Directory - пользователи и компьютеры) и выбрав в контекстном меню пункт Reset Account (Переустановить учетную запись). Если сброс пароля не работает, вам, возможно, придется удалить учетную запись компьютера из домена, а затем снова ее добавить.
Доверия NTLM - это доверия между доменами Active Directory и доменами Windows NT. Если пароль доверительных отношений изменится, доверительные отношения между доменами могут быть нарушены. В этом случае вам надо удалить доверие, а затем пересоздать его. Другая проблема при выполнении принудительного восстановления связана с членством в группах. Проблемы с членством в группах могут возникнуть после выполнения принудительного восстановления по нескольким причинам.
Первая причина - если администратор изменит членство объекта в группе на контроллере домена, который еще не получил восстановленные данные. В этом случае контроллер домена может реплицировать данные на другие контроллеры, что вызовет временную несогласованность. Изменения, однако, не будут постоянными, так как, когда вы выполняете принудительное восстановление, последовательные номера модификации (USN) всех объектов будут увеличены на Это гарантирует, что восстановленные данные будут переписаны поверх существующих данных.
Другая проблема с членством в группах может возникнуть, если группы содержат учетные записи пользователей, которые еще не существуют в домене. В этом случае объекты групп будут реплицированы раньше, чем объекты пользователей, и учетные записи пользователей, которые еще не существуют в домене, будут показаны как неправильные. В результате пользовательские учетные записи будут удалены из членства в группах. Когда позднее учетные записи будут реплицированы, они не будут добавлены назад в группы.
Хотя нет способа проконтролироватъ, какие объекты должны реплицироваться первыми, существует способ исправить эту проблему. Вы должны указать контроллеру домена реплицировать список членства группы с объектом группы. Для этого нужно создать временную учетную запись и добавить ее в каждую группу, которая содержит учетные записи, являющиеся в данный момент неправильными. Вот как это работает: вы выполняете принудительное восстановление и перезагружаете контроллер - домена. Контроллер домена начинает реплицировать данные на другие контроллеры домена. Когда начальный процесс репликации закончится, вы создаете временную учетную запись и добавляете ее в необходимые группы. После этого будет реплицирован список членства в группах. Если какой-либо из контроллеров домена удалил неправильные учетные записи из членов этих групп, учетные записи будут возвращены в группу.
Принудительное восстановление выполняется с помощью следующих действий:
1. Выполните шаги с 1 по 6 из раздела «Выполнение непринудительного восстановления Active Directory~, но неперезагружайте компьютер после выполнения восстановления.
2. Выберите команду Start ~ Run (Пуск ~ Выполнить), введите cmd в поле Ореп (Открыть) и нажмите ОК.
3. В командной строке наберите ntdsut i 1. Будет запущена утилита управления службами каталога (Directory Services Management).
4. В командной строке NtdsutiL введите 'ашпог i tat i ve restore. Теперь вы находитесь в режиме принудительного восстановления, в котором у вас есть следующие варианты:
· вы можете выполнить принудительное восстановление всей базы данных Active Directory, набрав restore database. Если вы восстановите всю базу данных Active Directory, будет сгенерирован большой объем трафика в домене и лесе. Вы должны восстанавливать всю базу данных, только если Active Directory повреждена или еще по какой-то важной причине;
· вы можете выполнить принудительное восстановление контейнера и всех связанных объектов (называемыхподдеревомл, выполнив команду rеstore subtree DN_объекта, где DN_объекта - отличительное имя восстанавливаемого контейнера. Например, если кто-то случайно удалит подразделение Marketing в домене , вы можете восстановить это подразделение, и объекты, содержащиеся в нем, выполнив команду restore subtree ou=marketing, dc=cpandl ,dc=com;
· вы можете выполнить принудительное восстановление отдельного объекта, набрав restore object DN_объекта, где DN_объекта - отличительное имя восстанавливаемого объекта. Например, если кто-то случайно удалит группу Sales из контейнера по умолчанию для пользователей и групп в домене , вы можете восстановить эту группу, выполнив команду restore object cn=sales, cn=users, dc=cpandl, dc=com.
5. После того как вы наберете команду для восстановления и нажмете Enter, появится диалоговое окно Authoritative Restore Confirmation (Подтверждение принудительного восстановления). Нажмите Yes (Да), если вы уверены в необходимости восстановления, а затем нажмите Yes (Да) для выполнения операции восстановления.
6. Выполните команду quit дважды, чтобы выйти из NtdsutiL, а затем перезапустите сервер.
ПРИМЕЧАНИЕ
USN каждого восстанавливаемого объекта будет увеличен на 100000. Если вы восстанавливаете всю базу данных, вы не сможете изменить это поведение, которое необходимо для гарантии корректной репликации данных. При восстановлении поддеревьев и объектов вы можете изменить это поведение, установив другое значение при ращения версии с помощью параметра verinc. Например, если вы хотите восстановить группу Sales в домене и увеличить ее USN на 500, а не на выполните команду restore object cn=sales, cn=users, dc=cpandl, dc=com verinc 500.
Дата добавления: 2017-05-18; просмотров: 508;