Выполнение принудительного восстановления Active Directory

Принудительное восстановление используется, когда необходимо восстановить Active Directoгy до некоторого момента времени, а затем реплицировать дан­ные на все контроллеры домена. Рассмотрим следующий пример: John случай­но удалил подразделение Marketing и все объекты из него. Так как изменения уже были реплицированы на все контроллеры в домене, единственный способ восстановить подразделение и связанные объекты - использовать принуди­тельное восстановление. Аналогично, если служба Active Directoгy как-то по­вреждена, единственный способ полностью восстановить ее состоит в использо­вании принудительного восстановления.

   

При выполнении принудительного восстановления существует несколько важ­ных проблем, о которых надо помнить. Первая и самая значительная имеет от­ношение к паролям компьютеров и довериям Windows NT LAN Manager (NTLM). Эти пароли меняются автоматически каждые семь дней. Если вы вы­полняете принудительное восстановление Active Directory, восстановленные данные будут содержать пароли, которые использовались, когда создавалась ре­зервная копия. Если вы просмотрите журнал событий после выполнения вос­становления, вы увидите соответствующие события, или пользователи могут начать испытывать трудности при доступе к ресурсам в домене.

Пароли учетных записей компьютеров позволяют аутентифицировать их в до­мене с использованием доверительных отношений компьютеров. Если пароль компьютера изменится, компьютер не сможет проходить аутентификацию в до­мене. В этом случае вы должны сбросить пароль компьютера, щелкнув правой кнопкой на учетной записи компьютера в консоли Active Directory Users And Computers (Active Directory - пользователи и компьютеры) и выбрав в контек­стном меню пункт Reset Account (Переустановить учетную запись). Если сброс пароля не работает, вам, возможно, придется удалить учетную запись компью­тера из домена, а затем снова ее добавить.

Доверия NTLM - это доверия между доменами Active Directory и доменами Windows NT. Если пароль доверительных отношений изменится, доверитель­ные отношения между доменами могут быть нарушены. В этом случае вам надо удалить доверие, а затем пересоздать его. Другая проблема при выполнении принудительного восстановления связана с членством в группах. Проблемы с членством в группах могут возникнуть по­сле выполнения принудительного восстановления по нескольким причинам.

Первая причина - если администратор изменит членство объекта в группе на контроллере домена, который еще не получил восстановленные данные. В этом случае контроллер домена может реплицировать данные на другие контролле­ры, что вызовет временную несогласованность. Изменения, однако, не будут постоянными, так как, когда вы выполняете принудительное восстановление, последовательные номера модификации (USN) всех объектов будут увеличены на Это гарантирует, что восстановленные данные будут переписаны поверх существующих данных.

Другая проблема с членством в группах может возникнуть, если группы содер­жат учетные записи пользователей, которые еще не существуют в домене. В этом случае объекты групп будут реплицированы раньше, чем объекты поль­зователей, и учетные записи пользователей, которые еще не существуют в доме­не, будут показаны как неправильные. В результате пользовательские учетные записи будут удалены из членства в группах. Когда позднее учетные записи бу­дут реплицированы, они не будут добавлены назад в группы.

Хотя нет способа проконтролироватъ, какие объекты должны реплицироваться первыми, существует способ исправить эту проблему. Вы должны указать кон­троллеру домена реплицировать список членства группы с объектом группы. Для этого нужно создать временную учетную запись и добавить ее в каждую группу, которая содержит учетные записи, являющиеся в данный момент не­правильными. Вот как это работает: вы выполняете принудительное восстанов­ление и перезагружаете контроллер - домена. Контроллер домена начинает реп­лицировать данные на другие контроллеры домена. Когда начальный процесс репликации закончится, вы создаете временную учетную запись и добавляете ее в необходимые группы. После этого будет реплицирован список членства в группах. Если какой-либо из контроллеров домена удалил неправильные учет­ные записи из членов этих групп, учетные записи будут возвращены в группу.

Принудительное восстановление выполняется с помощью следующих дейст­вий:

1. Выполните шаги с 1 по 6 из раздела «Выполнение непринудительного вос­становления Active Directory~, но неперезагружайте компьютер после вы­полнения восстановления.

2. Выберите команду Start ~ Run (Пуск ~ Выполнить), введите cmd в поле Ореп (Открыть) и нажмите ОК.

3. В командной строке наберите ntdsut i 1. Будет запущена утилита управле­ния службами каталога (Directory Services Management).

4. В командной строке NtdsutiL введите 'ашпог i tat i ve restore. Теперь вы на­ходитесь в режиме принудительного восстановления, в котором у вас есть следующие варианты:

· вы можете выполнить принудительное восстановление всей базы данных Active Directory, набрав restore database. Если вы восстановите всю базу данных Active Directory, будет сгенерирован большой объем трафи­ка в домене и лесе. Вы должны восстанавливать всю базу данных, только если Active Directory повреждена или еще по какой-то важной причине;

· вы можете выполнить принудительное восстановление контейнера и всех связанных объектов (называемыхподдеревомл, выполнив команду rе­store subtree DN_объекта, где DN_объекта - отличительное имя восста­навливаемого контейнера. Например, если кто-то случайно удалит под­разделение Marketing в домене , вы можете восстановить это подразделение, и объекты, содержащиеся в нем, выполнив команду restore subtree ou=marketing, dc=cpandl ,dc=com;

· вы можете выполнить принудительное восстановление отдельного объек­та, набрав restore object DN_объекта, где DN_объекта - отличительное имя восстанавливаемого объекта. Например, если кто-то случайно уда­лит группу Sales из контейнера по умолчанию для пользователей и групп в домене , вы можете восстановить эту группу, выпол­нив команду restore object cn=sales, cn=users, dc=cpandl, dc=com.

5. После того как вы наберете команду для восстановления и нажмете Enter, появится диалоговое окно Authoritative Restore Confirmation (Подтверждение принудительного восстановления). Нажмите Yes (Да), если вы уверены в не­обходимости восстановления, а затем нажмите Yes (Да) для выполнения операции восстановления.

6. Выполните команду quit дважды, чтобы выйти из NtdsutiL, а затем переза­пустите сервер.

ПРИМЕЧАНИЕ

USN каждого восстанавливаемого объекта будет увеличен на 100000. Если вы восста­навливаете всю базу данных, вы не сможете изменить это поведение, которое необходи­мо для гарантии корректной репликации данных. При восстановлении поддеревьев и объектов вы можете изменить это поведение, установив другое значение при ращения версии с помощью параметра verinc. Например, если вы хотите восстановить группу Sales в домене и увеличить ее USN на 500, а не на выполните команду restore object cn=sales, cn=users, dc=cpandl, dc=com verinc 500.








Дата добавления: 2017-05-18; просмотров: 508;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.006 сек.