Восстановление Active Directory

Принудительное восстановление. Этот метод следует применять в тех случаях, когда задача состоит в том, чтобы содержащаяся в резервной копии информация об AD имела приоритет перед существующими данными (т. е. более поздними). Например, это уместно после того, как кто-то по ошибке удалил информацию, которую трудно восстановить.

Представим себе такую картину. Из домена AD случайно удалена организационная единица Marketing. Через несколько минут ошибку замечают, но репликация уже завершилась. В этой ситуации выполнение непринудительного восстановления данных на контроллере домена не поможет воссоздать организационную единицу. Когда восстановленный контроллер домена после работы в режиме Directory Services Restore Mode инициализируется вновь, система начнет обычный процесс репликации, ее партнеры по репликации обновят размещенную на восстановленном контроллере копию AD, т. е. удалят организационную единицу Marketing. В результате утраченные объекты так и не будут восстановлены. Проблема будет решена лишь в том случае, если данные из резервной копии заменят содержащиеся в более новой версии AD.

Принудительное восстановление выполняется так же, как и непринудительное, с той лишь разницей, что в процедуру включается дополнительный этап: после восстановления нужно запустить утилиту Ntdsutil и выделить тот раздел каталога, который следует восстановить принудительно. Например, чтобы восстановить организационную единицу Marketing, в командной строке нужно ввести следующие команды:

ntdsutil

Authoritative restore

Restore subtree OU=Marketing,

 DC=Win2000, DC=com

Утилита Ntdsutil «признает» команды принудительного восстановления только при работе в режиме Directory Services Restore Mode. С помощью этих команд можно восстановить любой фрагмент каталога AD. Требуется только предоставить для этого фрагмента правильное составное имя (distinguished name, DN).

Принудительное восстановление всего каталога AD можно выполнить с помощью команды Restore Database. Однако нужно иметь в виду, что пользоваться этой командой следует очень осторожно, ибо после ее применения все изменения, внесенные в каталог AD после последнего сеанса резервного копирования, будут безвозвратно утеряны.

(источник www.infocity.kiev.ua)

И так, с теорией вроде понятно…

Теперь ближе к практике.

У нас удалили каталог с учетными записями. Начальник как бы намекнул что было бы неплохо восстановить.

ПРАКТИКА:

PS C:\Users\Администратор> ntdsutil.exe
C:\Windows\system32\ntdsutil.exe: help

?                                 - Вывод этой справочной информации
Activate Instance %s              - Устанавливает "NTDS" или определенный экземпляр AD LDS в качестве активного экземпляра.
Authoritative restore             - Принудительно восстановить базу данных DIT
Change Service Account %s1 %s2   - Измените учетную запись службы AD DS/LDS на имя пользователя %s1 и пароль %s2.
                                     Используйте "NULL" для пустого пароля или "*" для ввода пароля с консоли.
Configurable Settings          - Управление настраиваемыми параметрами
DS Behavior                    - Просмотр и изменение режима работы AD DS/LDS
Files                          - Управление файлами DS/LDS-базы данных AD
Group Membership Evaluation   - Оцените идентификаторы безопасности в токене для данного пользователя или группы
Help                          - Вывод этой справочной информации
IFM                           - Создание носителя IFM
LDAP policies                 - Управление политиками протокола LDAP
LDAP Port %d                  - Настройка порта LDAP для экземпляра AD LDS.
List Instances                - Составьте список всех экземпляров AD LDS, установленных на этом компьютере.
Local Roles                   - Управление локальными ролями RODC
Metadata cleanup              - Очистка объектов ликвидированных серверов
Partition management          - Управление разделами каталогов
Popups off                    - Запретить всплывающие окна
Popups on                     - Разрешить всплывающие окна
Quit                          - Выход из программы
Roles                         - Токены владельца управления ролью NTDS
Security account management   - Управление базой данных учетных записей -
очистка повторяющихся SID
Semantic database analysis    - Проверка семантики
Set DSRM Password             - Сброс пароля администратора для режима восстановления службы каталогов
Snapshot                      - Управление снимком
SSL Port %d                   - Настройка порта SSL для экземпляра AD LDS.

C:\Windows\system32\ntdsutil.exe:

Далее

Activate Instance NTDS

Ругается…. 🙂
В отдельной консоли набираем

net stop NTDS

Соглашаемся…

Снова:

Activate Instance NTDS

Пошло 🙂

Authoritative restore

Нам нужен один каталог:

Restore subtree OU=DOM,OU=MyUsers,DC=Win2000,DC=com

Все.
выходим:
q ENTER
q ENTER

Ох, чуть не забыл:

net start NTDS

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *