Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.

В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.

Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.



Как работает корзина Active Directory


Microsoft впервые реализовала долгожданную корзину Active Directory в ОС Windows Server 2008 R2. При этом изменился жизненный цикл объектов Active Directory и порядок их удаления. Так, после удаления объекта теперь происходит вот что:

  1. Сразу после удаления объект перемещается в контейнер удаленных объектов, где он и находится до окончания времени существования удаленного объекта (по умолчанию это время равняется времени существования recycled-объекта).
    Важно! Все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами.
  2. После окончания времени существования объекта система меняет его состояние на recycled и сбрасывает большинство атрибутов. Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что теперь его невозможно восстановить.
  3. По истечении времени существования recycled-объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.

Схематично эти этапы можно изобразить так:



Включение корзины Active Directory


В настоящее время корзина по умолчанию не активирована ни в одной ОС Windows Server. Чтобы использовать ее, нужно подготовить инфраструктуру: убедиться, что все контроллеры домена работают под управлением Windows Server 2008 R2 или выше, и установить функциональный режим работы леса на Windows Server 2008 R2 или выше.

Полезно: Активацию корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) рекомендуется сначала протестировать в «песочнице». Для этого можно использовать технологию виртуальной лаборатории Veeam. Кроме контроллера домена, в виртуальной лаборатория можно запускать и другие критически важные виртуальные машины. Эта технология очень помогает при тестировании совместимости многоуровневых приложений после внесения изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.

Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:

  1. При включении корзины Active Directory все tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
  2. Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
  3. В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell. В Windows Server 2012 все действия с корзиной можно выполнить через пользовательский интерфейс, используя Центр администрирования Active Directory (ADAC).


  4. Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.

Плюсы и минусы корзины Active Directory


При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.



Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже перечислены плюсы и минусы использования корзины Active Directory.

Плюсы


  1. Универсальный способ для доменов с функциональным уровнем Windows Server 2008 R2 (и более поздних).
  2. Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач).
  3. Сохранение атрибутов объекта в течение времени его существования.
  4. Не требуется перезапуск контроллера домена.
  5. Графический интерфейс управления (ADAC) для Windows Server 2012 и выше.

Минусы


  1. Не работает для доменов с функциональным режимом работы леса Windows Server 2008 и ранее.
  2. Не подходит для восстановления измененных объектов (восстановить объект можно, только если он был удален).
  3. Восстановление возможно только в течение времени существования объекта.
  4. Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией).
  5. Не поддерживает автоматическое восстановление иерархии.

Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.

Как Veeam позволяет обойти ограничения корзины


Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о преодолении недостатков корзины. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет ограничения корзины Active Directory:

  • С его помощью все объекты Active Directory будут защищены в течение всего срока хранения резервных копий.
  • Его можно использовать для доменов с функциональным режимом работы леса Windows Server 2003 и выше.

Важно! Этот инструмент входит в состав всех редакций Veeam Backup & Replication, в том числе и в его бесплатную редакцию.

Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.

Ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее в исходное состояние.



В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.

Дополнительные ссылки


Статья на Хабре: Восстановление удаленных объектов AD из tombstone-объектов
Статья на Хабре: Восстановление контроллера домена из резервной копии с помощью Veeam
Статья на Хабре: Резервное копирование контроллеров домена с помощью Veeam
Поделиться с друзьями
-->

Комментарии (2)


  1. rd_nino
    20.03.2017 13:43

    Второй пункт в «Минусах» особенно впечатлил! Оказывается кто-то корзину AD пытается использовать как систему резервного хранения?
    Ведь явное назначение корзины — хранить удалённые, а не изменённные объекты.
    Название статьи явно не соответствует основному посылу текста «Используйте Veem для восстановления состояний объектов в AD».


  1. chipoza
    21.03.2017 13:42
    -3

    Статейку высосали из пальца, я даже удивился когда прочитал заголовок, оказывается корзине можно посвятить целую статью, но дочитав до конца всё встало на свои места. Реклама(