Ошибка операция не разрешена так как файлы ad ds lds не восстановлены

Обновлено: 06.07.2024

Процедура восстановления экземпляра служб Active Directory облегченного доступа к каталогам (AD LDS) зависит от того, существует ли экземпляр и принадлежит ли он к набору конфигурации.

Восстановление данных AD LDS в существующем экземпляре AD LDS, принадлежащем к набору конфигурации

Если экземпляр AD LDS, для которого восстанавливаются данные, запущен, остановите его.

Запустите программу архивации.

В меню Действие выберите команду Восстановить.

Следуйте указаниям мастера восстановления, чтобы указать местоположение источника данных архивации и указать определенный архив, из которого требуется восстановить данные экземпляра.

Щелкните Выберите тип восстановления, а затем - Файлы и папки и Далее.

В поле Выберите восстанавливаемые элементы найдите и выделите папку, содержащую файлы данных экземпляра. База данных и файлы журнала AD LDS по умолчанию хранятся по адресу %ProgramFiles%\Microsoft ADAM\имя_экземпляра, где имя_экземпляра - это имя экземпляра AD LDS.

В разделе Укажите параметры восстановления щелкните Исходное размещение, а затем - Переписывать существующие файлы при восстановлении файлов и нажмите кнопку Далее.

Чтобы завершить восстановление, нажмите кнопку Готово.

Завершив восстановление, закройте программу архивации.

Откройте окно командной строки.

В командной строке введите следующую команду и нажмите клавишу ВВОД.

В командной строке dsdbutil: введите следующую команду, а затем нажмите клавишу ВВОД.

activate instance имя_экземпляра

где имя_экземпляра представляет имя службы экземпляра AD LDS, для которого требуется восстановить данные.

В командной строке dsdbutil: введите следующую команду, а затем нажмите клавишу ВВОД.

authoritative restore

restore database

Выполняет принудительное восстановление всей базы данных каталога

restore object различающееся_имя

Выполняет принудительное восстановление объекта каталога, различающееся имя которого представлено параметром dn

restore subtree различающееся_имя

Выполняет принудительное восстановление поддерева каталога, отличительное имя которого представлено параметром dn

Дополнительная информация

Чтобы запустить программу архивации, нажмите кнопку Пуск, щелкните Администрирование, а затем - Архивация.

Восстановление поврежденной базы данных, препятствующей запуску экземпляра AD LDS

Если экземпляр AD LDS, для которого восстанавливаются данные, запущен, остановите его.

Запустите программу архивации.

В меню Действие выберите команду Восстановить.

В разделе Выберите тип восстановления щелкните Файлы и папки, а затем - Далее.

Чтобы завершить восстановление, нажмите кнопку Готово.

Завершив восстановление, закройте программу архивации.

Перезапустите экземпляр AD LDS.

Дополнительная информация

Для остановки и запуска экземпляра AD LDS воспользуйтесь оснасткой «Службы».

Восстановление экземпляра AD LDS, не принадлежащего к набору конфигурации

С помощью мастера установки служб Active Directory облегченного доступа к каталогам создайте экземпляр AD LDS, указав при этом те же настройки, которые были использованы при первоначальной установке AD LDS. При этом не следует создавать раздел каталога приложения во время установки.

Остановите созданный экземпляр AD LDS, как описано ниже:

Запустите программу архивации.

В меню Действие выберите команду Восстановить.

Следуйте указаниям мастера восстановления, чтобы указать местоположение источника данных архивации и выбрать определенный архив, из которого требуется восстановить данные экземпляра.

В разделе Выберите тип восстановления щелкните Файлы и папки, а затем - Далее.

Чтобы завершить восстановление, нажмите кнопку Готово.

Завершив восстановление, закройте программу архивации.

Запустите созданный экземпляр AD LDS, как описано ниже:

Дополнительная информация

Чтобы запустить программу архивации, нажмите кнопку Пуск, щелкните Администрирование, а затем - Архивация.

Восстановление экземпляра AD LDS, принадлежащего к набору конфигурации

В одном из остающихся экземпляров AD LDS в наборе конфигурации следующим образом удалите объект-сервер, представляющий экземпляр AD LDS, который требуется восстановить:

connect to server имя_компьютера:номер_порта

где имя_компьютера:номер_порта - это данные экземпляра AD LDS, к которому происходит подключение.

CN=Servers,CN=имя_сайта,CN=Sites,CN=Configuration,CN=GUID>

где имя_сайта представляет имя сайта, на котором существует объект сервера, и GUID представляет глобально уникальный идентификатор (GUID) экземпляра AD LDS.

Запустите программу архивации.

В меню Действие выберите команду Восстановить.

В разделе Выберите тип восстановления щелкните Файлы и папки, а затем - Далее.

В разделе Укажите параметры восстановления щелкните Альтернативное размещение, укажите временное местоположение восстановленных файлов, а затем нажмите кнопку Далее.

Чтобы завершить восстановление, нажмите кнопку Готово.

В командной строке введите указанный ниже текст и нажмите клавишу ВВОД:

%windir%\adam\adaminstall /adv

Следуйте инструкциям мастера установки служб Active Directory облегченного доступа к каталогам.

Дополнительная информация

Чтобы запустить программу архивации, нажмите кнопку Пуск, щелкните Администрирование, а затем - Архивация.

Несомненно, многие из Вас неоднократно сталкивались с такой проблемой – удалены учетные записи пользователей. Статей по восстановлению учетных записей много, и, наверное, самая лучшая написана Microsoft, однако им всем не хватает наглядности. Мы постараемся преодолеть этот недостаток, сведя процедуру восстановления учетных записей к простым шагам.
Как Вы знаете, восстанавливать объекты можно различными способами, каждый из которых подходит наилучшим образом в той или иной ситуации.
При этом предпочтительным является восстановление из tombstone-объектов. На это есть несколько причин:

не требуется выведение контроллера домена в автономный режим (все работают, ничего не отключено)
восстановление объектов-захоронений гораздо лучше, чем простое воссоздание новой версии удаленного объекта

Часть атрибутов удаляется вместе с удалением объекта – их уже не восстановить. Например, членство в группах безопасности.
Если вы вновь создаете объект, он всегда будет иметь новые атрибуты objectGUID и objectSid (если это участник политики безопасности, такой как пользователь). В результате любые внешние ссылки на объект, такие как ACL, необходимо будет обновлять для отражения нового идентификатора объекта. Это может стать очень большой проблемой.
Поэтому в данном посте сначала будут рассмотрены способы, использующие tombstone-объекты, и лишь в конце приведена информация по принудительному восстановлению. В конце поста будут рассмотрены возможности утилиты восстановления NetWrix Active Directory Object Restore Wizard. Информация для поста взята из документа «Восстановление объектов Active Directory: сборник сценариев», подготовленного NetWrix. Заинтересованных приглашаем под кат.

Что необходимо восстановить: пример

И решаться эта задача будет всеми возможными способами.

1. Восстановление объектов с помощью ldp.exe

Порядок действий:
1) Включаем отображение в консоли удаленных объектов (CN=Deleted Objects)
Сначала необходимо сделать так, чтобы удаленные объекты отображались (а по умолчанию контейнер CN=Deleted Objects не отображается. Используем ldp.exe в Active Directory (требует членства в Domain Admins).
1. Запускаем ldp.exe. (Пуск – Выполнить – ldp.exe)
2. В меню Options (Параметры) выбираем пункт Controls (Элементы управления)

Восстанавливаем объекты:
Рассмотрим восстановление на примере учетной записи Oleg, входящей в OU Finance_Department.

1) Запускаем ldp.exe
2) В разделе Connections (Подключение) выбираем пункт Connect (Подключить) — Bind (Привязка) Подключаемся и осуществляем привязку к серверу, на котором находится корневой домен леса среды Active Directory

3) В дереве консоли переходим в контейнер CN=Deleted Objects (прописываем также DC=acme,DC=com для взятого за пример домена)

4) Находим в оснастке в контейнере CN=Deleted Objects объект, который хотим восстановить, щелкаем правой кнопкой на него и выбираем пункт Modify (Изменить).
5) В окне Modify (Изменение) меняем следующие параметры
a. В поле Edit Entry (Изменить запись) атрибута вводим isDeleted
b. Оставляем поле Values (Значение) пустым
c. В разделе Operation (Операция) выбираем Delete (Удалить) и нажимаем клавишу Enter (ВВОД)

d. В поле Edit Entry Attribute (Изменить запись Атрибута) вводим distinguishedName
e. В поле Values (Значения) вводим первоначальное различающееся имя (DN) этого объекта Active Directory.
f. В разделе Operation (Операция) выбираем Replace (Заменить)
g. Устанавливаем флажок Extended (Расширенный), нажимаем клавишу Enter (ВВОД), а затем Run (Выполнить)

Учетная запись восстановлена, но деактивирована. Включить ее необходимо будет вручную. Также вручную необходимо восстановить членство в группах и сбросить пароль.
Те же самые действия повторяем для оставшихся объектов:
OU Finance_Department
OU Admins
Учетной записи Dmitry
Учетной записи Sergey

Необходимо проделать много действий, прежде чем объект будет восстановлен.
Все действия придется повторить для каждого из удаленных объектов.

2. Используем ADRESTORE

Восстановление объектов-захоронений с помощью LDP дело несложное. Однако неудобное и долгое. Для этих целей есть ADRESTORE, которая предназначена специально для восстановления объектов AD.

Утилита работает в двух режимах:
• Запуск без параметров. Она выведет список всех объектов-захоронений в контейнере CN=Deleted Objects домена по умолчанию. Можно добавить строку для поиска в командной строке, чтобы выбрать объекты для показа:

Выводятся все объекты в контейнере CN=Deleted Objects, которые содержат строку «Finance_Department» в атрибуте CN или OU — используется поисковый фильтр LDAP cn=*Finance_Department* и ou=*Finance_Department*. На рисунке ниже показаны результаты поиска, возвращенного программой ADRESTORE.

• Восстановление объектов
Если нужно восстановить объект-захоронение, а не только найти его, необходимо указать параметр –r вместе с дополнительной строкой, например, вот так:

Для восстановления учетных записей используем команды:

Команда предложит восстановить каждый удовлетворяющий условию объект-захоронение. Объект восстанавливается в контейнер, указанный атрибутом lastKnownParent объекта-захоронения (и никакой другой).
Эта команда предложит восстановить каждый подходящий объект-захоронение. ADRESTORE всегда восстанавливает объект в контейнер, указанный атрибутом lastKnownParent объекта-захоронения, нет никакого способа указать другой контейнер.

ADRESTORE легче использовать, чем LDP.
Утилита позволяет относительно быстро восстановить объекты, но опять-таки без необходимых атрибутов — членство в группах и пароли придется восстановить вручную. Один из самых популярных способов восстановления объектов.

3. Использование AD Recycle Bin (Windows Server 2008 R2)

В Windows Server 2008 R2 появилась корзина Active Directory Recycle Bin (AD RB), Чтобы ее активировать, необходимо, чтобы уровень леса был Windows Server 2008 R2. AD RB напоминает обыкновенную корзину Windows — случайно удаленный объект может быть быстро и со всеми атрибутами восстановлен. Причем восстановленный из AD RB объект сразу же получает и все свои атрибуты. По умолчанию время «жизни» удаленного объекта в AD RB составляет 180 дней, после этого переходит в состояние Recycle Bin Lifetime, теряет атрибуты и через некоторое время полностью удаляется.
В самом простом случае восстановление объекта происходит с помощью Powershell командлетов Get-ADObject и Restore-ADObject (в том случае, если Вы точно знаете, что именно Вам необходимо восстановить). Командлет Get-ADObject используется для извлечения удаленного объекта, который затем передается с помощью конвейера в командлет Restore-ADObject:

1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell введите следующую команду:

В данном примере
-Filter указывает, что какую информацию об объекте AD необходимо получить (в примере – об объекте с отображаемым именем пользователя “user),
-IncludeDeletedObjects означает, что поиск осуществляется по удаленным объектам
Restore-ADObject непосредственно осуществляет восстановление объекта AD.

Поиск удаленных объектов
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell вводим следующие команды для получения необходимой информации:

Получаем информацию о том, в какой OU состоял удаленный пользователь

Где User – отображаемое имя пользователя

В итоге получаем информацию о принадлежности к OU указанного пользователя (с помощью -Properties lastKnownParent)

Поиск всех удаленных объектов, которые входили в данную OU

В качестве примера берем различающееся имя OU Finance_Department, которое было получено после запуска предыдущего командлета (Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a).

Внимание! Если у Вас имеется вложенная OU, восстановление осуществляется начиная с наивысшего уровня иерархии. В данном случае таковым является OU=Finance_Department.

Восстановление объектов

1. Запускаем Модуль Active Directory для Windows PowerShell
2. Восстанавливаем подразделение Finance_Department, выполнив в командной строке следующую команду:

3. Восстанавливаем учетные записи и OU, которые являются непосредственными дочерними объектами OU Finance_Department (помните, что на этом этапе различающееся имя Finance_Department уже восстановлено в значение OU=Finance_Department,DC=acme,DC=com)

Опционально (восстановление вложенных OU)

4. Восстанавливаем учетные записи, входящие во вложенную OU (например, OU Admins, которая входит в состав OU Finance Department. Различающееся имя в нашем примере было восстановлено в значение OU=Admins,OU=Finance_Department,DC=acme,DC=com)

Подробную справку о командлетах и их параметрах вызвав командлет Get-Help, например Get-Help Get-ADObject

Итог:
Объекты будут восстановлены в первоначальный вид – со всеми атрибутами.
Однако, как мы можем видеть, данный метод довольно сложен, когда приходится работать с большим количеством объектов.
Также требуется, все сервера в лесу должны быть Windows 2008 R2.
Для восстановления объектов с атрибутами при включенной корзине AD можно использовать описанные выше инструменты LDP и AdRestore.

4. Принудительное восстановление с помощью NTDSUTIL

Стандартным способом (но, однако, не самым подходящим) является принудительное восстановление из резервной копии в режиме Directory Service Restore Mode. Он обладает серьезными недостатками: нужно перезагружать сервер, а во-вторых, восстанавливать из резервной копии состояние системы и помечать, какие объекты не будут перезаписаны процессом репликации.
Восстановление осуществляется с помощью утилиты командной строки NTDSUTIL. Утилита становится доступной после установки роли AD DS. Используя ее, можно восстановить как OU со всем содержимым, так и отдельный объект.
Работа утилиты основана на мгновенных снимках (снапшотах) Active Directory, которые делаются при помощи службы VSS.

Внимание! В ходе принудительного восстановления AD внутренний номер версии восстанавливаемых объектов увеличивается. После подключения контроллера домена к сети эти объекты будут реплицированы по всему домену, а восстановленная версия становится глобально действующей.

Внимание! Невозможно выполнить восстановление, если на контроллерах домена Server 2008 и выше остановлена служба NTDS AD.

3. Восстановите системное состояние из резервной копии, созданной до аварии.

Внимание! Не перезагружайте компьютер.

В снимке, полученном при помощи ntdsutil, присутствует как сам объект, так и его атрибуты. Образ можно монтировать и подключать в качестве виртуального LDAP-сервера, экспортирующего объекты. Запускаем ntdsutil:

Просматриваем список доступных снимков:

Монтируем командой mount c указанием номера или :

4. Запустите команду

Для восстановления подразделения Finance_Department

В итоге будет восстановлена OU Finance_Department с входящими в нее учетными записями и вложенной OU Admins
Для восстановления отдельной учетной записи, например, c отображаемым именем Oleg

Перезагрузите DC в нормальном режиме запуска операционной системы.
7. Зарегистрируйтесь на DC и откройте командную строку. Импортируйте LDIF-файл, экспортированный на шаге 5, выполнив команду

Внимание! Если в лесу содержится несколько доменов, необходимо использовать текстовый файл, экспортированный на шаге 6 для восстановления членства в локальных группах других доменов.

Итог:
Учетные записи и объекты восстановлены, однако база Active Directory была недоступна в течение определенного периода времени. Вы также зависите от наличия актуальных баз данных AD, полагаясь на данный метод восстановления.

5. NetWrix Active Directory Object Restore Wizard

Процесс восстановления объектов можно очень сильно упростить, если воспользоваться утилитой NetWrix Active Directory Object Restore Wizard.
Сразу хочется отметить, что в нашу компанию постоянно обращаются администраторы, которые удалили объекты AD и теперь хотят их восстановить. Предлагаемое нами решение – NetWrix Active Directory Object Restore Wizard — хоть и позволяет упростить процесс восстановления объектов (например, восстановить OU со всеми объектами и их атрибутами за пару кликов), однако все равно не творит чудеса – программа должна быть установлена в домене и периодически делать снимки AD. Поэтому рекомендуем после прочтения статьи все-таки поставить программу работать (есть бесплатная версия с периодом восстановления за последние 4 дня), чтобы в следующий раз не испытывать таких проблем с восстановлением объектов.
Утилита позволяет восстанавливаться удаленные объекты за пару кликов, а в том случае, если программа работала до удаления объектов в домене, то восстановление происходит со всеми атрибутами. В итоге Вы получаете возвращенные учетные записи за пару минут без серьезных сбоев в работе организации. Также следует отметить то, что программа позволяет восстанавливать удаленные почтовые ящики.

Работа с программой сводится к следующим шагам:
1. Запускается мастер NetWrix Active Directory Object Restore Wizard.

2. Выбирается режим восстановления:
• Только из tombstone-объектов (если программа не была установлена до этого в домене)
• Восстановление с использованием снапшотов (если программа была установлена и был сделан хотя бы один снапшот)

3. По результатам анализа выводится список удаленных объектов с их первоначальной иерархией и объектами

4. Выберите те OU или объекты, которые необходимо восстановить, и нажмите далее
5. В зависимости от того, была ли установлена программа раньше или нет:
• Если не была, то необходимо вручную восстановить членство в группах и пароли пользователей
• Если программа была установлена, то восстановление на этом закончено и все будет работать так, как будто ничего не произошло.

Как Вы можете видеть, восстановление объектов занимает гораздо меньше времени, нежели с использованием штатных инструментов восстановления объектов Active Directory.
Но восстановление объектов – это только одна из сторон программы. Вы также можете откатывать изменения объектов – вплоть до значения одного атрибута – программа предназначена и для этого.

Итог:
Восстановление объектов с атрибутами сводится к паре простых шагов. Возможно не только восстановить объекты, но и откатить лишь их некоторые значения.

Все эти способы восстановления приведены в «Наборе первой помощи для восстановления объектов AD», который Вы можете скачать на нашем сайте

В статье "Профилактическое обслуживание AD" я рассказал о тех мерах профилактики при работе с Active Directory (AD), которые необходимо регулярно проводить каждому администратору. В данной статье речь пойдет об инструментах, применяемых в тех случаях, когда все остальные средства не помогают.

Исправление AD с помощью Ntdsutil

Попытки восстановления базы данных каталога не всегда удачны. Например, если файл базы данных испорчен, то с помощью функции Repair утилиты Ntdsutil восстановить все объекты и атрибуты вряд ли удастся. Более того, функция Repair может еще сильнее испортить данные. Чтобы избежать повреждения экземпляров AD на других DC, перед восстановлением данных следует отключить DC от сети. И лишь убедившись, что все в порядке, можно вновь подключать машину.

1. В командной строке ввести команду

и нажать клавишу Enter.

2. В ответ на приглашение Ntdsutil ввести

Утилита отобразит категорию File Maintenance.

3. В ответ на приглашение File Maintenance нужно ввести команду

Восстановление AD

Если другие средства не помогают, может оказаться, что для восстановления функциональности контроллера домена Windows 2000 (или всей сети AD) требуется восстановить AD с резервного носителя. Процесс физического восстановления резервной копии базы данных AD на Windows 2000 DC несложен с точки зрения исполнения, но, прежде чем приступить к операции, необходимо учесть важные логические и архитектурные факторы. В сетях с несколькими Windows 2000 DC служба AD никогда не располагается только в одном месте. Это чрезвычайно важное обстоятельство влияет на процесс восстановления AD. Администратор должен ответить на следующие вопросы.

· Был ли испорчен или поврежден только экземпляр AD на локальном DC либо остальные экземпляры на других DC так же неисправны?

· Следует ли заменить все экземпляры объектов AD восстанавливаемыми данными? Если какой-либо экземпляр AD будет восстановлен в качестве основного, то возможна ли потеря изменений или преобразований в структуре (например, добавленных или удаленных организационных единиц - OU, изменений в объектах user или computer)?

· Можно ли восстановить экземпляр AD на локальном DC только для того, чтобы вернуть работоспособность DC (т. е. ограничивается ли повреждение данных только локальным экземпляром AD на этом компьютере), а затем привести данные в соответствие с экземплярами на других DC путем репликации?

Ответив на эти вопросы, можно выбрать режим восстановления AD - принудительный (authoritative) или непринудительный (nonauthoritative). Дополнительные сведения о восстановлении AD приведены в статьях, перечисленных во врезке "Литература" .

Непринудительное восстановление. Большинство операций восстановления выполняется в непринудительном режиме. Данный метод обычно применяется, если администратор считает, что проблема существует исключительно на локальном DC, и экземпляры AD на других DC исправны. В процессе непринудительного восстановления любые восстанавливаемые данные (в том числе объекты AD) сохраняют прежние номера последовательного обновления (update sequence number, USN). Этот номер применяется в процессе репликации для переноса изменений на другие DC домена.

Принудительное восстановление. Этот режим следует применять, если другие DC содержат испорченные экземпляры AD или некорректные данные. В таком случае администратор вручную выбирает экземпляр базы данных AD, который нужно восстановить. Только локальный DC следует использовать в качестве эталонного источника данных для экземпляров AD на всех других машинах. Принудительная процедура изменяет USN объектов AD. В результате значение USN каждого объекта оказывается выше, чем у любого экземпляра в базе данных AD, поэтому все восстановленные объекты будут тиражированы в экземпляры AD на других DC.

Восстановить DC можно только с помощью резервной копии данных, полученной на этой же машине; данные с другого DC использовать нельзя. Но если контроллер домена вышел из строя, то резервную копию данных можно восстановить на другом компьютере, заменяющем отказавший DC. Об этом ограничении следует помнить при подготовке плана резервного копирования. Чтобы получить полную резервную копию среды, необходимо сделать копии всех DC в сети. Кроме того, следует как можно чаще копировать самый первый DC, установленный в корневом домене леса. Как правило, на этом DC хранится уникальная информация о ролях контроллеров всего леса и другие данные, необходимые для функционирования сети.

Если для восстановления используется утилита резервного копирования Windows 2000 (ntbackup.exe), то состояние системы (в том числе AD) можно успешно восстановить лишь при следующих условиях.

· Имя сервера должно быть идентично имени сервера, на котором сделана копия.

· Символ диска, на котором расположена папка \%systemroot%, должен быть таким же, как при создании резервной копии.

· Папка \%systemroot% должна находиться в том же месте, где она была при резервном копировании (например, в каталоге C:\winnt).

Выполнение непринудительного восстановления

Если экземпляры AD на контроллерах домена, отличных от восстанавливаемого DC, исправны и содержат корректные данные, то оптимальным решением будет непринудительное восстановление. Оно заключается в простом воспроизведении объектов AD, изначально существовавших на DC. Резервную копию AD можно создать в оперативном режиме (при работающей службе каталогов) или автономно (при отключенной службе), но восстановить данные можно лишь при отключенных службах каталогов.

Чтобы восстановить AD, нужно загрузить DC в специальном режиме, называемом режимом восстановления службы каталогов - Directory Services Restore Mode. При начальной загрузке системы следует нажать клавишу F8, когда на экране появится меню Windows 2000 Boot Loader, а затем выбрать альтернативный вариант загрузки. Windows 2000 будет запущена в безопасном режиме, и для восстановления информации AD потребуется выполнить следующие действия.

1. Зарегистрироваться в качестве члена группы Administrator или Backup Operator.

2. Запустить программу резервного копирования Windows 2000 и выбрать на закладке Welcome режим Restore Wizard. Выбрав пункты File, Backup, следует установить флажок System State. К данным System State относится информация о реестре, AD и других важнейших системных компонентах.

3. Если при восстановлении данных System State альтернативное местоположение не указано, то утилита удаляет хранящиеся на компьютере данные о состоянии системы и заменяет их восстанавливаемыми данными. Если назначить иное местоположение, то AD, база данных службы сертификатов Certificate Services и базы данных COM+ Class Registration не будут восстановлены.

4. По завершении процедуры восстановления следует перезапустить DC.

Теперь DC будет принимать участие в репликации AD и получать сведения об изменениях каталога из других DC. После завершения непринудительной процедуры восстановленные данные (которые могут быть устаревшими) синхронизируются.

Непринудительный режим восстановления рекомендуется использовать, если отказал DC или испорчена вся база данных AD. При этом USN не изменяется. С помощью этого параметра AD обнаруживает и передает последние изменения на другие DC.

Чтобы свести к минимуму трафик репликации в сети, в непринудительном методе предусматривается начальная точка (с которой началось резервное копирование) репликации данных. Тиражируются только измененные данные, а не весь каталог. Без начальной точки была бы проведена репликация всех данных с других серверов. Еще один вариант восстановления AD на Windows 2000 DC -- просто переустановить Windows 2000 и настроить систему в качестве DC (с помощью dcpromo.exe). Процедура репликации AD автоматически заполнит DC текущей информацией службы каталогов.

Принудительное восстановление

В этом режиме можно вернуть DC в определенное состояние и отметить объекты AD как обязательные (authoritative) по отношению к партнерам по репликации. Например, режим принудительного восстановления необходим, если администратор по ошибке удалил организационную единицу OU, содержащую множество пользователей. В принудительном режиме можно восстановить информацию AD и сделать ее первичным источником для остальных DC домена.

В процессе принудительного восстановления изменяются USN объектов AD, восстанавливаемых на DC. В результате каждый объект имеет самый высокий номер среди всех его экземпляров AD в домене. Это, в свою очередь, приводит к тиражированию вновь созданных объектов и перезаписи всех их экземпляров, расположенных на остальных DC.

Принудительное восстановление применяется редко; после этой процедуры все объекты AD на DC могут вернуться к тому состоянию, в котором они были перед последним резервным копированием. Таким способом можно восстановить информацию, ошибочно удаленную из реплицированного набора данных. Например, если объекты AD были ошибочно удалены или изменены, их можно принудительно восстановить и тиражировать на другие DC. Если не восстановить отсутствующие объекты принудительно, то их не удастся тиражировать на другие DC в том же домене, так как отсутствующие или удаленные объекты «старше», чем объекты, существующие на DC в данный момент.

Выбрать целевые объекты для принудительного восстановления можно с помощью утилиты Ntdsutil, которая обеспечивает репликацию восстанавливаемых данных на соответствующие DC после восстановления. В Таблице 1 приведены команды принудительного восстановления Ntdsutil и дано их описание.

По определению, принудительный процесс воспроизводит на машинах-партнерах любые изменения, внесенные в текущий набор данных. Для принудительного восстановления AD на конкретном DC необходимо выполнить следующие действия.

1. Открыть окно командной строки (выбрать пункт Run меню Start, ввести «cmd» и нажать клавишу Enter).

2. Ввести команду

и нажать клавишу Enter.

3. В ответ на приглашение Ntdsutil ввести

и нажать Enter. В результате утилита Ntdsutil переходит в режим Authoritative Restore.

4. В ответ на приглашение Authoritative Restore следует ввести

5. Система запросит подтверждение режима принудительного восстановления, выбранного на этапе 4. Следует нажать Yes.

6. Щелкнув на кнопке Quit и дважды нажав Enter, нужно вернуться к командной строке.

7. Закрыть сеанс командной строки.

8. По завершении операции восстановления на предложение перезапустить сервер следует ответить No. Это ключевой момент; в противном случае после перезапуска сервера восстановление будет непринудительным, и возникает опасность наследования нежелательных данных из других экземпляров AD.

В случае принудительного восстановления AD следует обязательно восстанавливать папку Sysvol, чтобы Sysvol и AD были синхронизированы. Кроме того, следует помнить о возможности негативных последствий принудительного восстановления.

Одно из них относится к доверительным отношениям и паролям учетных записей компьютеров, которые автоматически сверяются через определенные промежутки времени (по умолчанию, через каждые семь дней, за исключением учетных записей компьютеров, которые могут быть блокированы администратором). В ходе принудительного восстановления может быть возобновлен прежний пароль для доступа к объектам AD, обслуживающим доверительные отношения и учетные записи компьютеров. В сфере доверительных отношений процесс может нарушить связь с DC из других доменов. Из-за изменения паролей учетных записей компьютеров может нарушиться связь между рабочей станцией или сервером и DC.

Принудительное восстановление. Этот метод следует применять в тех случаях, когда задача состоит в том, чтобы содержащаяся в резервной копии информация об AD имела приоритет перед существующими данными (т. е. более поздними). Например, это уместно после того, как кто-то по ошибке удалил информацию, которую трудно восстановить.

Представим себе такую картину. Из домена AD случайно удалена организационная единица Marketing. Через несколько минут ошибку замечают, но репликация уже завершилась. В этой ситуации выполнение непринудительного восстановления данных на контроллере домена не поможет воссоздать организационную единицу. Когда восстановленный контроллер домена после работы в режиме Directory Services Restore Mode инициализируется вновь, система начнет обычный процесс репликации, ее партнеры по репликации обновят размещенную на восстановленном контроллере копию AD, т. е. удалят организационную единицу Marketing. В результате утраченные объекты так и не будут восстановлены. Проблема будет решена лишь в том случае, если данные из резервной копии заменят содержащиеся в более новой версии AD.

Принудительное восстановление выполняется так же, как и непринудительное, с той лишь разницей, что в процедуру включается дополнительный этап: после восстановления нужно запустить утилиту Ntdsutil и выделить тот раздел каталога, который следует восстановить принудительно. Например, чтобы восстановить организационную единицу Marketing, в командной строке нужно ввести следующие команды:

Принудительное восстановление всего каталога AD можно выполнить с помощью команды Restore Database. Однако нужно иметь в виду, что пользоваться этой командой следует очень осторожно, ибо после ее применения все изменения, внесенные в каталог AD после последнего сеанса резервного копирования, будут безвозвратно утеряны.

У нас удалили каталог с учетными записями. Начальник как бы намекнул что было бы неплохо восстановить.

Все.
выходим:
q ENTER
q ENTER

Читайте также: