Продолжаем публиковать статьи, посвященные резервному копированию и восстановлению после сбоев виртуализованной Active Directory. В предыдущей статье речь шла о восстановлении контроллера домена целиком. Однако системным администраторам гораздо чаще приходится сталкиваться с запросами на восстановление отдельных объектов Active Directory. Поэтому сегодня мы рассмотрим восстановление из tombstone объектов виртуализованной Active Directory в системах с функциональным режимом работы леса не выше Windows Server 2008. В принципе, сейчас они встречаются довольно редко, но где-то наверняка еще используются. О более новых системах и таких возможностях, как корзина Active Directory, будет рассказано в следующей статье.
Жизненный цикл объекта Active Directory
Итак, почему же так важно понимать, как функционируют системы более ранних версий? Потому что современная логика и привычная функциональность в этих случаях неприменимы. До появления Windows Server 2008 R2 жизненный цикл объектов Active Directory выглядел следующим образом:
Удаление объекта Active Directory не приводит к его физическому удалению – а происходит вот что:
- Active Directory скрывает удаленный объект, меняя значение атрибута isDeleted на TRUE.
- Затем большинство атрибутов объекта сбрасывается, а сам объект переименовывается и перемещается в специальный контейнер (CN=Deleted Objects). С этого момента объект получает статус «tombstone», и стандартные средства Active Directory не знают о его существовании.
- В этом специальном состоянии объект находится в течение установленного периода (60 дней в Windows Server 2000/2003 и 180 дней в Windows 2003 SP1/2008). Это делается, чтобы гарантировать успешное выполнение репликации данных в системе.
- По окончании отведенного времени существования в состоянии «tombstone» осуществляется вызов специального процесса (так называемый сборщик мусора), который физически удаляет объект из базы данных.
И вот здесь возникает вопрос: если «tombstone» объект не удаляется физически в течение некоторого времени, нельзя ли его восстановить? Коротко говоря — можно. Хотя такой механизм удаления объектов не был предназначен для использования в качестве временной корзины, а удаленные объекты не предполагалось восстанавливать, технически это возможно. Далее я расскажу, как это можно сделать.
Восстановление объектов Active Directory с помощью утилиты LDP
LDP (LDP.exe) —проверенная временем программа, созданная разработчиками Active Directory. Выглядит она довольно просто, но у нее много возможностей, которые позволяют полностью управлять объектами Active Directory. Недостаток ее в том, что на освоение функционала программы нужно потратить довольно много времени, а интерфейс не слишком современен и понятен.
Примечание: Эта статья не является полноценным руководством по программе LDP. Чтобы научиться работе с программой, рекомендую воспользоваться руководством по LDP.
Итак, чтобы восстановить «tombstone» объект с помощью LDP, необходимо сделать следующее:
- Запустите программу (Start — Run — ldp)
- Подключите ее к контроллеру домена (Connection – Connect..). Используйте для подключения данные соответствующей учетной записи (администратора предприятия или домена). (Connection – Bind..)
- Найдите нужный объект в контейнере удаленных объектов. Вам потребуется научиться использовать различные настройки поиска и фильтра (Browse – Search).
- В диалоговом окне «Controls» (элементы управления) выберите вариант «return deleted objects» (выводить удаленные объекты) и нажмите кнопку «check in» (добавить), чтобы добавить идентификатор объекта для этого варианта в список Active Control (активные элементы управления).
- Затем сохраните настройки и выполните запрос, чтобы найти удаленный объект.
- Восстановите «tombstone» объект, используя мастер (Browse – Modify), чтобы найти объект по параметру distinguishedName (DN) и удалить значение isDeleted с одновременным переименованием объекта.
- В результате объект будет восстановлен, и его можно будет увидеть через инструмент просмотра пользователей и компьютеров Active Directory.
На рисунке ниже показан типовой пример поиска, который я выполнил, чтобы найти tombstone-объекты в моем тестовом домене:
В дополнение к сказанному выше следует помнить некоторые особенности такого восстановления tombstone-объектов. Так, некоторые атрибуты (например, членство в группах), удаленные при первоначальном удалении, не будут восстановлены, что потенциально может создать вам проблемы.
Использование Veeam Explorer для Microsoft Active Directory
В качестве альтернативного способа можно использовать решения Veeam, в частности, Veeam Explorer для Active Directory. Эта программа позволит вам выполнять восстановление гораздо проще и быстрее. При этом она решает многие проблемы восстановления tombstone-объектов — например, потерю пароля учетной записи и многих важных атрибутов, таких как имя и фамилия пользователя. Однако такой вариант восстановления годится не для всех сценариев — сначала надо провести предварительную подготовку. А именно: для использования Veeam Explorer для Active Directory у вас должна быть резервная копия контроллера домена, где был удален объект. На сегодня мы рассматриваем виртуализованный контроллер, чья резервная копия была создана с помощью Veeam Backup & Replication.
Итак, если вам посчастливилось быть администратором виртуального контроллера домена с функциональным режимом работы леса доменов Windows Server 2003 или Windows Server 2008, можно использовать следующую процедуру:
- Убедитесь, что у вас есть резервная копия контроллера домена и что при ее создании была включена обработка данных с учетом состояния приложений (о том, почему это важно, говорилось в первой статье серии) – то есть у задания бэкапа была выбрана опция Guest Processing > Enable application-aware processing.
- Если вам нужно восстановить удаленный объект, перейдите к резервной копии контроллера домена, кликните правой кнопкой и выберите Restore application items > Microsoft Active Directory objects… (объекты Microsoft Active Directory), чтобы начать восстановление и запустить Veeam Explorer для Active Directory.
- Найдите нужный контейнер и включите опции Compare all objects (сравнить все объекты) и Show changed objects only (показывать только измененные объекты). Таким образом вы настроите предварительную фильтрацию: Veeam Explorer сравнит данные в резервной копии с текущим состоянием DC и отобразит только измененные объекты. Просмотрите состояние объектов и найдите те, у которых оно обозначено как Tombstone.
- Нужный объект (объекты) можно восстановить в рабочую среду или экспортировать как файл .lde.
- При восстановлении учетной записи пользователя на одном из шагов мастера вам будет предложено указать параметры восстановления пароля (Specify password restore options). Вы можете выбрать один из следующих вариантов:
- восстановить учетную запись со старым паролем (Restore password)
- задать новый пароль вручную (Set password to)
- выполнить восстановление без пароля (Do not restore password)
Восстановление старого пароля позволит снизить нагрузку на администратора и сделать процесс восстановления учетной записи полностью незаметным для пользователя. Представьте себе, что ночью в результате сбоя исчезло целое подразделение (OU) с сотнями пользователей, и его нужно восстановить. Утром при входе в систему всем сотрудникам будет предложено сменить пароль, и они, разумеется, начнут задавать вопросы. Естественно, если есть возможность, лучше такой ситуации избежать.
С учетом сказанного выше, понятно, что Veeam Explorer для Microsoft Active Directory предлагает относительно простой способ восстановления tombstone-объектов Active Directory. Если вы работаете в подходящей системе, рекомендую обратить внимание на этот продукт.
На сегодня, пожалуй, всё. В следующей статье серии сравним возможности корзины Active Directory с другими способами восстановления объектов.