Принудительное восстановление. Этот метод следует применять в тех случаях, когда задача состоит в том, чтобы содержащаяся в резервной копии информация об AD имела приоритет перед существующими данными (т. е. более поздними). Например, это уместно после того, как кто-то по ошибке удалил информацию, которую трудно восстановить.
Представим себе такую картину. Из домена AD случайно удалена организационная единица Marketing. Через несколько минут ошибку замечают, но репликация уже завершилась. В этой ситуации выполнение непринудительного восстановления данных на контроллере домена не поможет воссоздать организационную единицу. Когда восстановленный контроллер домена после работы в режиме Directory Services Restore Mode инициализируется вновь, система начнет обычный процесс репликации, ее партнеры по репликации обновят размещенную на восстановленном контроллере копию AD, т. е. удалят организационную единицу Marketing. В результате утраченные объекты так и не будут восстановлены. Проблема будет решена лишь в том случае, если данные из резервной копии заменят содержащиеся в более новой версии AD.
Принудительное восстановление выполняется так же, как и непринудительное, с той лишь разницей, что в процедуру включается дополнительный этап: после восстановления нужно запустить утилиту Ntdsutil и выделить тот раздел каталога, который следует восстановить принудительно. Например, чтобы восстановить организационную единицу Marketing, в командной строке нужно ввести следующие команды:
|
1 2 3 4 5 6 7 |
ntdsutil Authoritative restore Restore subtree OU=Marketing, DC=Win2000, DC=com |
Утилита Ntdsutil «признает» команды принудительного восстановления только при работе в режиме Directory Services Restore Mode. С помощью этих команд можно восстановить любой фрагмент каталога AD. Требуется только предоставить для этого фрагмента правильное составное имя (distinguished name, DN).
Принудительное восстановление всего каталога AD можно выполнить с помощью команды Restore Database. Однако нужно иметь в виду, что пользоваться этой командой следует очень осторожно, ибо после ее применения все изменения, внесенные в каталог AD после последнего сеанса резервного копирования, будут безвозвратно утеряны.
(источник www.infocity.kiev.ua)
И так, с теорией вроде понятно…
Теперь ближе к практике.
У нас удалили каталог с учетными записями. Начальник как бы намекнул что было бы неплохо восстановить.
ПРАКТИКА:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
<strong>PS C:\Users\Администратор> ntdsutil.exe C:\Windows\system32\ntdsutil.exe: help ? - Вывод этой справочной информации Activate Instance %s - Устанавливает "NTDS" или определенный экземпляр AD LDS в качестве активного экземпляра. Authoritative restore - Принудительно восстановить базу данных DIT Change Service Account %s1 %s2 - Измените учетную запись службы AD DS/LDS на имя пользователя %s1 и пароль %s2. Используйте "NULL" для пустого пароля или "*" для ввода пароля с консоли. Configurable Settings - Управление настраиваемыми параметрами DS Behavior - Просмотр и изменение режима работы AD DS/LDS Files - Управление файлами DS/LDS-базы данных AD Group Membership Evaluation - Оцените идентификаторы безопасности в токене для данного пользователя или группы Help - Вывод этой справочной информации IFM - Создание носителя IFM LDAP policies - Управление политиками протокола LDAP LDAP Port %d - Настройка порта LDAP для экземпляра AD LDS. List Instances - Составьте список всех экземпляров AD LDS, установленных на этом компьютере. Local Roles - Управление локальными ролями RODC Metadata cleanup - Очистка объектов ликвидированных серверов Partition management - Управление разделами каталогов Popups off - Запретить всплывающие окна Popups on - Разрешить всплывающие окна Quit - Выход из программы Roles - Токены владельца управления ролью NTDS Security account management - Управление базой данных учетных записей - очистка повторяющихся SID Semantic database analysis - Проверка семантики Set DSRM Password - Сброс пароля администратора для режима восстановления службы каталогов Snapshot - Управление снимком SSL Port %d - Настройка порта SSL для экземпляра AD LDS. C:\Windows\system32\ntdsutil.exe:</strong> |
Далее
|
1 |
<strong>Activate Instance NTDS</strong> |
Ругается…. 🙂
В отдельной консоли набираем
|
1 |
<strong>net stop NTDS</strong> |
Соглашаемся…
Снова:
|
1 |
<strong>Activate Instance NTDS</strong> |
Пошло 🙂
|
1 |
<strong>Authoritative restore</strong> |
Нам нужен один каталог:
|
1 |
<strong>Restore subtree OU=DOM,OU=MyUsers,DC=Win2000,DC=com</strong> |
Все.
выходим:
q ENTER
q ENTER
Ох, чуть не забыл:
|
1 |
net start NTDS |