свойства и атрибуты ранее удаленного объекта. Членство в группах, пароли, параметры атрибутов и другие свойства будут иными. По этой и другим причинам рекомендуется переназначать учетные записи, а не создавать их заново прн изменении пользователями своего расположения в сети. Автоматическое переназначение записи означает, что новый пользователь получит те же права, что и предыдущий обладатель учетной записи. При повторном создании учетной записи достаточно идентифицировать все права доступа, необходимые для данной роли в сети, а при создании учетной записи выполняется намного больше операций.
Благодаря модели репликации с равноправными участниками данные, содержащиеся в каталоге, достаточно надежно сохраняются, поскольку изменение в одном месте автоматически реплшД-фуется во все остальные места. Тем не менее эта же модель репликации иногда создает проблемы. Если оператор по ошибке удалит объект, то этот объект будет удален и во всем каталоге, а чтобы восстановить его, нужна резервная копия. Однако в AD DS можно восстанавливать информацию без использования архивов, для чего и предусмотрены следующие четыре компонента.
•Новая опция защиты объекта от удаления.
•Новый компонент аудита доступа к AD DS, который записывает старые и новые значения и позволяет вернуть исходное значение после модификации свойств объекта.
•Контейнер памятника. Каждый объект, удаляемый из каталога, на определенный период времени оставляет памятник. Пока данные объекта хранятся в контейнере памятника, объект можно восстановить.
•Возможности архивации и восстановления Windows Server.
Каждый из этих компонентов обеспечивает возможности защиты и восстановления информации в базе данных каталогов.
Защита объектов AD DS
По умолчанию любой новый объект в AD DS можно защитить от удаления в процессе создания. Каждый раз эту защиту для объекта следует включать самому. При создании объектов с помощью командных файлов или в процессе миграции защита от удаления не включается, пока вы сами не назначите защиту в процессе создания. При интерактивном создании объекта защиту от удаления также необходимо назначить явным образом. Защита объекта включается и снимается на показанной на рис. 13-3 вкладке Объект (Object), которая отображается только при установке флажка Дополнительные компоненты (Advanced Features) в меню Вид (View) консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Отметим, что для таких контейнеров, как подразделения, защита включена по умолчанию, поскольку они формируют часть структуры каталогов.
После включения защиты вы уже не сможете случайно удалить объект. Кроме того, его нельзя будет перемещать из одного места в другое.
Эта опция защиты запрещает два разрешения доступа для группы Все (Everyone): Запретить удаление (Deny Delete) и Запретить удаление поддерева
Занятие 1
(Deny Delete Subtree) . Помните, что в AD DS запрет доступа заменяет все разрешения доступа. Д л я перемещения или удаления защищенного объекта необходимо сбросить ф л а ж о к защиты от случайного удаления. Данную функцию удобно использовать в организациях, где администрирование объектов делегируется персоналу технической поддержки, ее можно также включить в шаблон учетной записи.
тттлт.ч-тл
*i
<у5ртуч«*а-ы
j
Чпсмгруп
j
Р«лг»кааиЛ паролей
Удаленноеупр«,-юм*е
i
Прскгил* cryrt5 те^мкнагов
COW-»
j
'Реактор атрибутов
j
Adcfeorai Account kio
Общие | Aapec |
запкъ j Прэфмпь j Тепетемы | Органиглха
Вш&яцие звон**
Объект
|
Безопасность
|
Среда | Сеансы
Кэиоикческов ими объект».
[«yreieartti сот/Мемедкеры/Новые попь зовате/W Джон Keft-t
Класс объекта:
Пользователь
Соаазн
87.12 ДКЙ 13.07:01
Изменен
07.122О08 U WM
Номера послеязда телы-ы* обновлений »,U3N): Текущий* 1$4€7 Йгаедой: 16413
F Защитить oCvsktot спу^аЛюго у дален**
|
ОК
{ Отмена j Прю-tertra» j Ораека
.
Рис. 13-3. Защита объекта от случайного удаления в AD DS
Аудит и з м е н е н и й к а т а л о г о в
При выполнении аудита изменений каталогов в Windows Server 2008 каждый раз при модификации объектов записываются старое и новое значения атрибута. Кроме того, поскольку политика аудита в Windows Server 2008 регистрирует четыре подкатегории доступа к службе, ее можно назначать на более детальном уровне, чем в п р е д ы д у щ и х версиях Windows Server. Изменения атрибутов контролируются подкатегорией Изменения службы каталогов (Directory Service Changes). Эта политика регистрирует операции создания, модификации, перемещения и восстановления объектов. В журнале событий служб каталогов (Directory Services Event Log) каждой операции присваивается определенный ксщ.
Благодаря этому компоненту журнал событий преобразуется в систему хранения записей об изменениях каталога, позволяя поддерживать множество записей об изменениях, внесенных в каталог. Эту функцию также удобно использовать для исправления некорректно выполненных модификаций.
При модификации объекта в журнал записываются два события. В первом из них указывается старое значение, во втором — новое. Эти события используются для отмены некорректных модификаций.
6 30
б12 Непрерывность бизнес-процессов каталогов
Глава 13
Восстановление объектов Active Directory
Случайно удаленный объект Active Directory восстанавливается с помощью утилиты Ldp.exe. Для этого необходимо открыть контейнер удаленных объектов каталога (нужны учетные данные администратора домена).
1.В командной строке введите команду Ldp.exe.
2.В меню Подключение (Connection) щелкните команду Подключить (Connect),
введите полное доменное FQDN-имя, например Server10.TreyResearch.net,
и щелкните ОК.
3.В меню Подключение щелкните команду Привязка (Bind), выберите опцию
Привязать как текущего пользователя (Bind As Currently Logged On User)
и щелкните ОК.
4.В меню Параметры (Options) щелкните Элементы управления (Controls), в раскрывающемся списке Предопределенная загрузка (Load Predefined) выберите элемент Return Deleted Objects, в секции Тип элемента управления (Control Type) диалогового окна выберите тип Сервер (Server) и щелкните ОК.
5.В меню Вид (View) щелкните команду Дерево (Tree), введите базовое расширяемое имя (DN) контейнера объекта и щелкните ОК .
Например,
DN-именем контейнера в домене Trey Research я в л я е т с я
cn=deleted
Objects,dc=TreyResearch,dc=net.
6.Дважды щелкните контейнер удаленных объектов на панели дерева, чтобы развернуть его содержимое.
Помните, что утилита Ldp.exe по умолчанию возвращает только 1 ООО объектов.
7.На панели дерева локализуйте объект, который хотите восстановить, и дважды щелкните его.
На панели сведений отобразится и н ф о р м а ц и я об объекте. Например, если объектом является учетная запись пользователя, его имя начинается
са\=имя пользователя.
8.На панели дерева щелкните имя объекта правой кнопкой мыши и примените команду Изменить (Modify).
9.В поле Атрибут (Attribute) секции Изменить запись (Edit Entry) диалогового окна Изменение (Modify) введите значение isDeleted, в секции Операция (Operation) выберите тип операции Удалить (Delete) и щелкните кнопку Ввод (Enter).
10.В поле Атрибут (Attribute) секции Изменить запись (Edit Entry) диалогового окна Изменение (Modify) введите значение distinguishedName, в поле Значение (Value) введите новое DN-имя объекта, выберите тип операции Заменить (Replace) и щелкните кнопку Ввод (Enter).
Например, для восстановления учетной записи пользователя Джона Кейна
вконтейнере Кадры домена Trey Research нужно указать DN-имя сп "'Джон Кейн, ou=Ka3pw,dc=TreyResearch,dc=net.
И.В нижней части диалогового окна слева установите флажки Синхронно (Synchronous) и Расширенный (Extended), как показано на рис. 13-4, а затем щелкните кнопку Выполнить (Run).
Занятие 1
Поддержка каталогов и защита хранилища данных
6 3 1
Щттшшшжт^г:.---''тжр-.
xi
ImJSST0*
i , 5 b < C N " 0 e , e t e d Objects,DC-treyresearch,DC =cofTi
Рис. 13-4. Восстановление удаленного объекта с помощью утилиты Ldp.exe
12.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) перейдите к подразделению, в котором восстановили объект. Если консоль была открыта, с помощью соответствующей кнопки обновите содержимое подразделения.
13.Смените пароль нового восстановленного объекта, членство в группах и все остальные значения, которые нужно применить заново, а затем щелкните команду Включить (Enable).
Объект восстановлен. Эта процедура восстанавливает объект с SID-иден- тификатором исходного объекта, но без членства в группах и других атрибутов.
Утилита Object Restore For Active Directory
Итак, объекты не сразу удаляются из каталога. Вначале для них создаются памятники, а сами объекты перемещаются в особый скрытый контейнер, доступ к которому м о ж н о получить л и ш ь с помощью специальных инструментов, поскольку в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) он не отображается. Для получения доступа к контейнеру памятников и локализации объектов с целью восстановления с помощью графической консоли можно использовать утилиту Object Restore For Active Directory компании Quest Software. Эта утилита бесплатна, однако срок ее действия истекает через шесть месяцев, после чего продукт нужно удалить и установить заново. ( М ы привели эту утилиту лишь в качестве примера и не настаиваем на ее использовании.)
ПРИМЕЧАНИЕ
Где можно загрузить утилиту Object Restore For Active Directory
Утилиту Object Restore for Active Directory можно загрузить по адресу http://www.
quest.com/object-restorefor-active-directory/.
б12
Непрерывность бизнес-процессов каталогов
Глава 13
СОВЕТ К ЭКЗАМЕНУ
Отметим, что хотя утилиту Object Restore for Active Directory удобно использовать для восстановления удаленных объектов в AD DS, она не включена в темы сертификационного экзамена.
Загрузите и установите эту утилиту. Д л я установки на контроллере домена потребуются учетные данные администратора домена, а д л я установки на рабочей станции или рядовом сервере — учетные д а н н ы е локального администратора.
1.Убедитесь, что в системе установлены средства RSAT, в частности административные инструменты AD DS.
2. Загрузите утилиту Object Restore For Active Directory с веб-сайта Quest Software и сохраните ее в системной папке Д о к у м е н т ы ( D o c u m e n t s ) .
3. Извлеките компоненты из выполняемого файла .
4. После извлечения инструментов локализуйте ф а й л Object Restore For Active Directory.msi. Он должен располагаться в папке Документы . Д л я запуска установки дважды щелкните ф а й л .msi.
5. В диалоговом окне предупреждения щ е л к н и т е кнопку В ы п о л н и т ь (Run) . 6. В окне приветствия щелкните Далее (Next) .
7. Примите условия лицензионного соглашения и щ е л к н и т е Далее (Next).
8. Введите свое имя и название организации, установите ф л а ж о к Все пользователи этого компьютера (Anyone W h o Uses This C o m p u t e r ) и щелкните Далее (Next).
9. Примите расположение файлов установки по умолчанию и щелкните Далее (Next).
10. Щелкните Далее (Next), чтобы установить приложение, а затем щелкните кнопку Готово (Finish).
И. В главном меню откройте папку Все программы (All Programs), затем откройте папку Quest S o f t w a r e \ Q u e s t Object Restore For Active Directory и щелкните значок Quest Object Restore For Active Directory.
Инструмент запустится в собственной М М С - к о н с о л и .
12.В открывшейся консоли щелкните правой кнопкой мыши узел-Quest Object Restore For Active Directory и выполните команду Connect To.
13.Введите FQDN-имя домена или щелкните кнопку Browse, чтобы локализовать его. Щелкните ОК, чтобы установить подключение.
14.В дереве панели щелкните имя домена.
15.Если объекты не отображаются, щелкните кнопку Refresh.
16.Для восстановления объекта на панели сведений щелкните правой кнопкой мыши имя объекта и выполните команду Restore (рис. 13-5). После восстановления объекта щелкните ОК .
Обычно инструмент Quest Object Restore For Active Directory отображает контейнер памятников в AD DS. Поскольку все памятники всех объектов
Занятие 1
Поддержка каталогов и защита хранилища данных
5 3 3
по умолчанию х р а н я т с я
180 дней, в течение этого периода объекты
можно
восстановить в любое время. Через 180 дней памятник объекта разрушается в процессе очистки базы данных каталога. Как и в случае с утилитой Ldp.exe, данная процедура восстанавливает объект и тоже сохраняет его исходный SIDидентификатор, но не восстанавливает членство в группах и другие атрибуты. Поэтому прежде чем включить объект, необходимо его модифицировать. Тем не менее эту утилиту п р о щ е использовать, чем Ldp.exe.
» т
Console Root
* <S Quest Object Restore for Active Directory! & TreyResetrch.net
Рис. 13-5. Восстановление объектов с помощью утилиты Quest Object Restore For Active Directory
Защита каталога с помощью архивации и восстановления Windows Server
Использование специальных инструментов для получения доступа к данным
памятников в каталоге не всегда является оптимальным методом восстановле-
ния данных. Например, объекты, восстанавливаемые из контейнеров памятни-
ков, содержат не все исходные атрибуты. Поэтому, для того чтобы восстановить
объект, нужно заранее знать содержимое и атрибуты, назначенные объекту
перед удалением. При восстановлении данных из архива и их повторном на-
значении в каталоге сразу восстанавливаются все атрибуты объекта, следо-
вательно, повторно назначать такие атрибуты, как членство в группах, нет
необходимости. Таким образом экономится время, требуемое для повторного
назначения атрибутов, однако усложняется сам процесс восстановления.
\
Кроме того, в предыдущих версиях Windows Server восстановление объек-
тов в AD DS выполнялось фактически наугад, поскольку перед восстанов-
лением нельзя было просмотреть объекты внутри набора архивных данных.
Восстановить р а з н ы е наборы архивов на различных контроллерах доменов
по-прежнему нельзя и невозможно просмотреть содержащиеся в них данные.
i
В Windows Server 2008 появилась новая утилита AD DS Database mounting, ко-
торая позволяет просмотреть содержимое набора архивных данных перед вос-
становлением и сэкономить время, необходимое для восстановления объекта,
а также гарантирует восстановление корректной версии объекта.
В Active Directory выполняется несколько операций архивации и восста-
новления.
| • Архивирование всего сервера, включая его операционную систему.
• Архивирование лишь данных состояния системы (System State Data), включая информацию о конфигурации сервера и хранилище Ntds.dit.
б12 Непрерывность бизнес-процессов каталогов Глава 13
•Восстановление неполномочных данных, то есть данных, которые будут добавлены на контроллер домена и обновлены в процессе репликации с равноправными участниками, когда контроллер домена будет вновь подключен
ксети.
•Восстановление полномочных данных, то есть информации, которая будет добавлена на контроллер домена и обновит все остальные контроллеры доменов в процессе репликации с равноправными участниками, когда контроллер домена будет вновь подключен к сети.
•Установка контроллера домена с носителя I F M (Install F r o m Media). Используется копия файла Ntds.dit с еще одного контроллера домена, и таким образом снижается объем трафика репликации, необходимой для создания контроллера домена в процессе установки.
Существует несколько способов применения наборов архивных данных при работе с контроллерами доменов Windows Server 2008. Отметим, что некоторые операции в Windows Server 2008 отличаются от аналогичных операций в предыдущих версиях Windows.
• Архивация выполняется с использованием возможностей системы архивации данных Windows Server (Windows Server Backup) или соответствующей утилиты командной строки Wbadmin.exe. Оба компонента необходимо добавить на сервер Windows Server 2008. По у м о л ч а н и ю они не устанавливаются.
• Резервные копии не являются изолированными . В совокупности они со-
. держат критически важные тома. Далее приведен список томов на контроллере домена:
осистемный;
озагрузочный;
ос общим ресурсом SYSVOL;
ос базой данных AD DS;
• с журналами AD DS.
1Как и в предыдущих версиях Windows, архивацию можно выполнять автоматически и вручную.
•Резервные копии нельзя создавать на магнитных лентах или в динамических томах, а только на сетевых дисках, переносных жестких дисках,
отконфигурирйванных как основные тома, а также на D V D и CD .
•Архивировать отдельные файлы невозможно, так как система архивации Windows Server поддерживает л и ш ь полную архивацию томов.
•Если вам нужно защитить лишь данные состояния системы, воспользуйтесь утилитой командной строки Ntdsutil.exe. Д л я этого в Ntdsutil.exe необходимо применить переключатель IFM, чтобы захватить информацию в процедуру установки с носителя (Install From Media). Если установка предназначена для контроллера RODC, утилита автоматически отсечет «секреты» AD DS от данных, чтобы создать безопасный носитель установки.
Занятие 1
Поддержка каталогов и защита хранилища данных
6 3 5
•Операторы архива не могут создавать резервные копии по расписанию.
ВWindows Server 2008 этой привилегией располагают лишь члены локальной группы Администраторы (Administrators). В большинстве случаев это означает членство в группе Администраторы домена (Domain Admins) на контроллерах домена.
•В случае выхода сервера из строя для восстановления системы необходимо
использовать локальную копию среды восстановления Windows Recovery Environment ( W i n R E ) . Среду восстановления WinRE можно установить локально или загрузить с установочного носителя Windows Server 2008.
•Запустите контроллер домена как одноцелевой сервер и не добавляйте на
этот сервер н и к а к и е другие роли, за исключением DNS.
•Запускайте контроллеры домена как виртуальные машины в среде Hyper-V системы Windows Server 2008. Контроллеры доменов являются идеальными кандидатами на виртуализацию в Hyper-V, поскольку для управления входом в сеть им в основном требуются полоса пропускания сети и воз-
можности обработки. Д а ж е если домен содержит тысячи пользователей, для входа которых в сеть по утрам и выхода вечером требуются ресурсы процессоров, рекомендуется выполнить виртуализацию контроллеров домена и назначить им больше ресурсов.
•Не храните на контроллере домена другие данные, несмотря даже на то, что базу данных AD DS и журналы можно хранить в отдельных томах, если
база данных AD DS содержит очень много объектов.
•Преобразуйте установочный носитель Windows в файл ISO и обеспечьте
кнему доступ для хостов Hyper-V на случай восстановления контроллеров домена. В качестве альтернативы установите на каждом созданном контроллере домена среду восстановления WinRE. Для этого вам потребуется инструментарий WAIK (Windows Automation Installation Kit).
К СВЕДЕНИЮ
Инструментарий WAIK
Более подробную информацию об инструментарии Windows Automation Installation Kit вы найдете по адресу http://go.microsoft.com/fwlink/PLinkId~90643.
мена. Д л я этого можно выделить основной том или подключить сетевой диск.
•Обеспечьте защиту пароля режима восстановления служб каталога (Di-
rectory Services Restore Mode). Этот пароль должен использоваться для
восстановления данных на контроллере домена и для него необходимо
обеспечить защиту.
|
б12
Непрерывность бизнес-процессов каталогов
Глава 13
К СВЕДЕНИЮ
Архивация и восстановление AD DS
Более подробные сведения по данной теме содержатся в руководстве «Step-By-Step Guide for Windows Server 2008 Active Directory Domain Services Backup And Recovery» по адресу http://tech^2.microsofc.com/windowsserver2008/en/library/778ff4c7-
623d-4475-ba70-4453f9S4d4911033. mspx.
Архивация данных состояния системы
На сервере с ролью AD DS имеются следующие д а н н ы е состояния системы:
•реестр;
•база данных COM+Class Registration;
•загрузочные файлы;
• системные файлы под защитой системы W i n d o w s Resource Protection;
• база данных доменных служб Active Directory ( A D DS);
•каталог SYSVOL
При установке других ролей сервера д а н н ы е с о с т о я н и я системы будут включать первые четыре объекта из числа перечисленных, а т а к ж е следующие файлы:
•для роли Службы сертификации Active Directory (Active Directory Certificate Services) — файл базы данных AD CS;
•для компонента Кластер отказоустойчивости (Failover Cluster) — ф а й л
с информацией о службе кластера;
•для роли Веб-сервер (Web Server) — ф а й л ы к о н ф и г у р а ц и и IIS. Информация о состоянии системы играет в а ж н у ю роль, так как ее нельзя
захватить с помощью системы архивации W i n d o w s Server ( W i n d o w s Server Backup). Зато ее можно восстановить, поскольку система архивации Windows Server поддерживает три режима восстановления:
•полное восстановление сервера;
•восстановление лишь данных состояния системы;
•восстановление отдельных файлов и папок.
Каждый режим позволяет восстановить необходимую информацию . Помните, что архивы, генерируемые системой архивации Windows Server, всегда хранятся в одном файле и добавляются в виде изменений, идентифициро - ванных в исходной системе. Однако каждый раз при создании архива также генерируется новый файл каталога, который используется для локализации данных отдельной резервной копии.
СОВЕТ К ЭКЗАМЕНУ
Система архивации данных Windows Server (Windows Server Backup), архивация томов и данных состояния системы на переносной носитель являются важной темой сертификационного экзамена.
Занятие 1
Поддержка каталогов и защита хранилища данных
6 3 7
С о з д а н и е наборов д а н н ы х для у с т а н о в к и с носителя
При размещении контроллеров домена в крупных сетях для создания исходного содержимого каталога можно использовать переносной носитель — это избавляет от необходимости выполнять репликацию содержимого каталога во время у с т а н о в к и контроллеров домена и позволяет не занимать полосу пропускания . Д л я этого применяется процедура IFM (Install From Media). Чтобы создать носитель, необходимо выполнить команду Ntdsutil.exe с дополнительной командой IFM .
Интерпретатор командной строки Ntdsutil.exe можно использовать интерактивно или с помощью командной строки, которая предоставляет все опции. В табл. 13-4 описаны различные доступные опции в подкоманде IFM.
Табл. 13-4. Опции
подкоманды IFM интерпретатора Ntdsutil.exe
Тип контроллера
Опция
домена
Пишущий конт-
Create Full конечная папка
роллер домена
RODC
Create RODC конечная папка
Пишущий конт-
Create SYSVOL Full конечная_папка
роллер домена
сданными
SYSVOL
Контроллер
Create SYSVOL RODC конечная папка
RODC с данны-
ми SYSVOL
Описание
Создает носитель для стандартного контроллера домена или экземпляра AD LDS в конечной папке
Создает безопасный носитель для контроллера RODC в конечной папке Создает в конечной папке носитель для стандартного контроллера домена вместе с папкой SYSVOL Создает в конечной папке носитель для контроллера домена RODC вместе с папкой SYSVOL
Носитель д л я установки можно создать только с помощью инструмента
Ntdsutil.exe. ( Э т о средство вам понадобится для
выполнения практических
занятий.)
Полная а р х и в а ц и я с и с т е м ы
П о л н а я а р х и в а ц и я системы выполняется двумя
способами: интерактивно
и в качестве запланированного задания. В обоих случаях можно использовать графический интерфейс или командную строку. Начнем с графического интерфейса. Прежде чем создать резервные копии, необходимо установить систему архивации данных Windows Server.
Создание интерактивной полной резервной копии системы путем архивации данных W i n d o w s Server Д л я защиты данных AD DS с помощью системы архивации данных Windows Server выполните указанную далее последовательность действий. Чтобы подключиться к серверу с ядром (Server Core),
