Creați o copie de siguranță Active Directory
Cea mai importantă limitare a copierii de rezervă a serviciului de directoare este că Active Directory poate fi copiat numai ca parte a datelor de stare a sistemului de controler de domeniu.
Datele despre starea sistemului de controler de domeniu includ [13]:
- Baza de date Active Directory și jurnale de tranzacții;
- fișierele de sistem și fișierele de pornire protejate de Windows;
- registrul de sistem al controlorului de domeniu;
- toate informațiile zonei DNS integrate cu Active Directory;
- dosarul Sysvol;
- o bază de date de înregistrare a claselor COM +;
- baza de date a serviciului de certificare (dacă controlerul de domeniu este, de asemenea, un server de servicii de certificare);
- informații despre cluster;
- Metadirectori Microsoft Internet Information Services (IIS) (dacă IIS este instalat pe computer).
Toate aceste componente trebuie să fie copiate și restaurate în întregime din cauza integrării lor apropiate. De exemplu, dacă a fost creat un certificat pe serverul de servicii de certificare care a fost atribuit obiectului Active Directory. baza de date a serviciului de certificare (care conține înregistrarea de creare a obiectului) și obiectul Active Directory (care conține înregistrarea pe care este atribuit certificatul la obiect) trebuie salvate.
Practica comună este că toți controlorii de domeniu trebuie să participe la ciclul de rezervă obișnuit. O excepție de la această regulă poate fi făcută dacă există mai multe controlere de domeniu localizate în același birou. În acest caz, puteți efectua această procedură pentru restaurarea controlerelor de domeniu, în care va fi instalat mai întâi un nou controler de domeniu. și apoi să populeze directorul prin replicare. Cu toate acestea, chiar și în acest scenariu, ar trebui să faceți o copie de rezervă a cel puțin unor controlere de domeniu în cazul unui astfel de accident, în care toți controlorii de domeniu din birou vor fi dezactivați. În ambele cazuri, trebuie să creați copii de rezervă ale comandantului de operații.
Deși durata de viață a obiectelor-monumente impune o restricție strictă asupra frecvenței copierii, este evident că este mai bine să se creeze copii de rezervă ale controlorilor de domeniu mult mai des decât la fiecare 60 de zile. Vor apărea multe probleme dacă restaurați un controler de domeniu dintr-o copie de siguranță mai veche decât câteva zile. Deoarece recuperarea Active Directory include restaurarea tuturor informațiilor de stare ale sistemului, aceste informații vor fi restabilite la starea lor anterioară. Dacă serverul este, de asemenea, un server de servicii de certificare, toate acreditările emise înainte de crearea rezervelor nu vor fi incluse în baza de date a serviciilor de certificare. Dacă driverele au fost actualizate sau au fost instalate noi aplicații, acestea nu vor funcționa, deoarece sistemul se va întoarce la starea anterioară. Aproape toate companiile acceptă un astfel de mod de rezervă, în care unele servere sunt copiate în fiecare noapte. Controlorul de domeniu trebuie să fie inclus în acest mod de rezervă.
Procesul de recuperare
Există două motive pentru care ar putea fi necesar să restaurați fișierul Active Directory [13].
- Primul motiv va apărea atunci când baza de date devine inutilizabilă deoarece unul dintre controlerele de domeniu are un defect de hard disk sau baza de date este coruptă într-o asemenea măsură încât nu mai poate fi descărcată.
- Cel de-al doilea motiv apare atunci când, ca urmare a unei erori, cineva a șters unitatea organizațională. care conține câteva sute de conturi de utilizatori și de grup. În acest caz, este mai de dorit să restaurați informațiile decât să le reintroduceți.
Dacă intenționați să restaurați Active Directory. deoarece baza de date a unuia dintre controlerele de domeniu nu mai poate fi utilizată, atunci există următoarele două variante de proces [13].
Dacă intenționați să restaurați Active Directory. deoarece cineva a șters un număr mare de obiecte din director, trebuie să restaurați baza de date Active Directory pe unul dintre controlerele de domeniu utilizând o copie de rezervă care conține obiectele șterse. Apoi, trebuie să restabiliți permisiunile autoritare, în timpul căreia toate datele recuperate sunt marcate astfel încât să fie reproduse tuturor celorlalte controlere de domeniu, suprascriind informațiile de la distanță.
Pentru a restabili Active Directory, trebuie să arhivați datele privind starea serviciului [4]. [6]. registru, baza de date de înregistrare COM +, fișiere de boot de sistem și o bază de date de servicii de certificare (dacă este un server de servicii de certificare). Când reporniți computerul în modul Servicii de restaurare a adreselor, trebuie să vă conectați cu drepturi de administrator, utilizând numele și parola contului corect pentru contul Manager de conturi de securitate. Nu puteți utiliza un cont de administrator pentru Active Directory. Deoarece serviciile Active Directory sunt dezactivate și nu pot fi autentificate prin mijloacele lor. Pentru aceasta, se utilizează baza de date a contului SAM. parola contului SAM este specificată în timpul instalării Active Directory.
Rezultatele rezumate
- Dezvoltați o copie de rezervă consecventă și restaurați gestionarea controlorilor de domeniu.
- Extindeți controlerele de domeniu Active Directory cu redundanță hardware.
Cea mai importantă limitare a copierii de rezervă a serviciului de directoare este că Active Directory poate fi copiat numai ca parte a datelor de stare a sistemului de controler de domeniu.
Datele de stare ale sistemului de controler de domeniu includ:
- Baza de date Active Directory și jurnale de tranzacții;
- fișierele de sistem și fișierele de pornire protejate de Windows;
- registrul de sistem al controlorului de domeniu;
- toate informațiile zonei DNS integrate cu Active Directory;
- dosarul Sysvol;
- o bază de date de înregistrare a claselor COM +;
- baza de date a serviciului de certificare (dacă controlerul de domeniu este, de asemenea, un server de servicii de certificare);
- informații despre cluster;
- Metadirectori Microsoft Internet Information Services (IIS) (dacă IIS este instalat pe computer).
Toate aceste componente trebuie să fie copiate și restaurate în întregime din cauza integrării lor apropiate.
Motivele pentru care este posibil să aveți nevoie să restaurați fișierul Active Directory sunt:
- Baza de date va deveni inutilizabilă.
- Ștergerea unei unități organizaționale. care conține mai multe sute de conturi de utilizatori și de grup.
Pentru a restabili Active Directory, trebuie să arhivați datele de stare a serviciului: registru, baza de date de înregistrare COM +, fișiere de boot de sistem și baza de date a serviciilor de certificare (dacă este un server de servicii de certificare).
Articole similare
Trimiteți-le prietenilor: