Все публикации серии:

Часть 1 — Бэкап контроллера домена
Часть 2 — Восстановление контроллера домена
Часть 3 — Восстановление удаленных (tombstone) объектов Active Directory
Часть 4 — Использование корзины Active Directory

 

Это третья статья из серии, посвященной защите Active Directory (AD) с помощью Veeam. В предыдущей статье речь шла о восстановлении контроллера домена целиком. Однако мне кажется, что это не самая распространенная операция при работе с Active Directory — гораздо чаще системным администраторам приходится сталкиваться с другими задачами. Самый распространенный запрос, по моему мнению, заключается в изменении объектов Active Directory.

Поэтому сегодня мне хотелось бы обсудить восстановление объектов Active Directory, а именно восстановление удаленных (tombstone) объектов Active Directory в старых системах с функциональным режимом работы леса не выше Windows Server 2008. К счастью, последние сейчас встречаются очень редко, но я не удивлюсь, что где-то они еще используются. О более новых системах и таких возможностях, как корзина Active Directory, будет рассказано в следующей статье.

Жизненный цикл объекта Active Directory

Итак, почему же так важно понимать, как функционируют старые системы? Потому что современная логика и привычная функциональность в этих случаях неприменимы. До появления Windows Server 2008 R2 жизненный цикл объектов Active Directory выглядел следующим образом:

AD object lifecycle

Рис. 1. Жизненный цикл объекта AD

Удаление объекта Active Directory не приводит к его физическому удалению. Как вы, возможно, знаете, Active Directory скрывает удаленный объект, меняя значение атрибута isDeleted на TRUE. Затем большинство атрибутов объекта сбрасывается, а сам объект переименовывается и перемещается в специальный контейнер (CN=Deleted Objects). С этого момента объект получает статус «tombstone», и стандартные средства Active Directory не знают о его существовании. В этом специальном состоянии объект находится в течение установленного периода (60 дней в Windows Server 2000/2003 и 180 дней в Windows 2003 SP1/2008). Это делается, чтобы гарантировать успешное выполнение репликации данных в системе. По окончании отведенного времени существования в состоянии «tombstone» осуществляется вызов специального процесса (так называемый сборщик мусора), который физически удаляет объект из базы данных.

И вот здесь возникает вопрос: если «tombstone» объект не удаляется физически в течение некоторого времени, нельзя ли его восстановить? Коротко говоря — можно. Хотя такой механизм удаления объектов не был предназначен для использования в качестве временной корзины, а удаленные объекты не предполагалось восстанавливать, технически это возможно. Далее я расскажу, как это можно сделать.

Восстановление объектов AD с помощью утилиты LDP

LDP (LDP.exe) — старая и надежная программа, созданная разработчиками Active Directory. Выглядит она довольно просто, но у нее много возможностей, которые позволяют полностью управлять объектами Active Directory. Недостаток ее в том, что на освоение функционала программы нужно потратить довольно много времени, а интерфейс не слишком современен и понятен.

Чтобы восстановить «tombstone» объект с помощью LDP, необходимо сделать следующее:

  • Запустите программу (Пуск – Выполнить – ldp)
  • Подключите ее к контроллеру домена (Connection – Connect..)
  • Используйте для подключения данные соответствующей учетной записи (администратора предприятия или домена). (Connection – Bind..)
  • Найдите нужный объект (Browse – Search) в контейнере удаленных объектов. Вам потребуется научиться использовать различные настройки поиска и фильтра (см. рис. ). В диалоговом окне «Controls» (элементы управления) выберите вариант «return deleted objects» (Выводить удаленные объекты) и нажмите кнопку «check in» (добавить), чтобы добавить идентификатор объекта для этого варианта в список Active Control (активные элементы управления). Затем сохраните настройки и выполните запрос, чтобы найти удаленный объект
  • Восстановите «tombstone» объект, используя мастер (Browse – Modify), чтобы найти объект по параметру distinguishedName (DN) и удалить значение isDeleted с одновременным переименованием объекта. В результате объект будет восстановлен, и его можно будет увидеть через инструмент просмотра пользователей и компьютеров Active Directory.

На рисунке ниже показан типовой пример поиска, который я выполнил, чтобы найти tombstone-объекты в моем тестовом домене:

Searching tombstones with LDP

Рис. 2. Поиск «tombstone» объектов с помощью программы LDP.

Эта статья не является полноценным руководством по программе LDP. Чтобы научиться с ней работе с программой, рекомендую воспользоваться руководством по LDP.

В дополнение к сказанному выше, следует помнить некоторые особенности такого восстановления tombstone-объектов. Так, некоторые атрибуты (например, членство в группах), удаленные при первоначальном удалении, не будут восстановлены, что потенциально может создать вам проблемы.

Использование Veeam Explorer для Microsoft Active Directory

В качестве альтернативного способа можно использовать решения Veeam, в частности, Veeam Explorer для Active Directory. Эта программа позволит вам выполнять восстановление гораздо проще и быстрее. При этом она решает многие проблемы восстановления tombstone-объектов — например, потерю пароля учетной записи и многих важных атрибутов, таких как имя и фамилия пользователя.

Конечно, для использования Veeam Explorer для Active Directory у вас должна быть резервная копия контроллера домена, где был удален объект. Также контроллер домена должен быть виртуализован, чтобы можно было создать его резервную копию с помощью Veeam Backup & Replication. Поэтому такой вариант восстановления годится не для всех сценариев — сначала надо провести предварительную подготовку. Однако если вам посчастливилось быть администратором виртуального контроллера домена с функциональным режимом работы леса доменов Windows Server 2003 или Windows Server 2008, внимательно прочитайте изложенную ниже информацию, она может оказаться полезной.

1. Убедитесь, что у вас есть резервная копия контроллера домена и что при ее создании была включена обработка данных с учетом состояния приложений (о том, почему это важно, говорилось в первой статье серии)

VBR-Editing Backup Job

Рис. 3. Veeam Backup & Replication, настройка задания резервного копирования

2. Если вам нужно восстановить удаленный объект, перейдите к резервной копии контроллера домена и выберите «Microsoft Active Directory objects…» (объекты Microsoft Active Directory), чтобы начать восстановление и запустить Veeam Explorer для Active Directory.

VEAD

Рис. 4. Запуск Veeam Explorer для Microsoft Active Directory

3. Найдите нужный контейнер и включите параметры «compare all objects» (сравнить все объекты) и «show changed objects only» (показывать только измененные объекты). Таким образом вы настроите предварительную фильтрацию: Veeam Explorer сравнит данные в резервной копии с текущим состоянием DC и отобразит только измененные объекты. Просмотрите состояние объектов и найдите те, у которых оно обозначено как «tombstone».

VEAD objects comparison

Рис. 5. Veeam Explorer для Active Directory, сравнение объектов

4. Нужный объект (объекты) можно восстановить в рабочую среду или экспортировать как файл .lde.

VEAD granular restore

Рис. 6. Veeam Explorer для Active Directory, возможности восстановления отдельных объектов

5. Примечание: при восстановлении учетной записи пользователя вам будет предложено указать параметры восстановления пароля (specify password restore options ). Вы можете выбрать один из следующих вариантов: восстановить учетную запись со старым паролем, задать новый пароль вручную или вообще восстановление без пароля. Восстановление старого пароля позволит снизить нагрузку на администратора и сохранить факт удаления учетной записи в секрете. Представьте себе, что ночью в результате сбоя исчезло целое подразделение (OU) с сотнями пользователей, и его нужно восстановить. Утром при входе в систему всем сотрудникам будет предложено сменить пароль, и они, разумеется, начнут задавать вопросы. Естественно, если есть возможность, лучше такой ситуации избежать.

Рис. 7. Veeam Explorer для Active Directory, выбор варианта восстановления пароля

С учетом сказанного выше, понятно, что Veeam Explorer для Microsoft Active Directory предлагает относительно простой способ восстановления tombstone-объектов Active Directory. Если вы работаете в подходящей системе, рекомендую обратить внимание на этот продукт.

В дополнение, не забывайте, что Veeam Explorer для Microsoft Active Directory — это лишь одна из множества возможностей Veeam Backup & Replication. Приобретая этот продукт, вы получаете гораздо больше, чем просто восстановление объектов Active Directory.

В следующей статье я сравню возможности корзины Active Directory и другие способы восстановления объектов.

Также вас может заинтересовать:

GD Star Rating
loading...