Для обеспечения резервного копирования и восстановления Active Directory служит ряд стандартных технологий, методов и инструментов.
Одним из основных гарантов работоспособности любой информационной системы (в разрезе целостности и сохранности данных) является тщательно и разумно разработанный механизм резервного копирования данных и план по их восстановлению в различных ситуациях.
Рекомендуемый инструмент резервного копирования и восстановления AD – стандартный инструмент в поставке Windows 2003 – ntbackup. Для того, что сохранить текущее состояние контроллера домена, достаточно выполнять регулярную архивацию System State (состояние системы), которое включает в себя такие компоненты:
1. Файл ntds.dit – база данных AD
2. Реестр контроллера домена
3. База данных Certification Authority (служб сертификации)
4. Папка SYSVOL, хранящая сценарии входа в систему и шаблоны групповых политик домена
5. Системные файлы, необходимые для загрузки операционной системы
6. База данных регистрации классов COM+, которая содержит информацию о приложениях COM+
7. Сведения Cluster Services (служб кластеров), в том случае, если данный сервер является компонентом кластера.
Восстановление состоянии домена контроллера из архива проводится при помощи все той же утилиты ntbackup. В зависимости от того, какую цель мы ставим перед этой операцией, можно провести восстановление различного характер – Primary и Normal; соответственно основное и обычное. Обычно также именуется непринудительным.
Primary, основное – используется в том случае, когда мы преследуем цель восстановить информацию AD в рамках всего домена. Может применяться в ситуации, когда один или несколько контроллеров домена выходят из строя.
Выполняется это восстановление при помощи утилиты ntbackup, в расширенных свойствах восстановления необходимо установить атрибут пометки восстанавливаемых данных как основных для всех реплик.
Normal, обычное (непринудительное) - этот тип восстановления используется тогда, когда необходимо восстановить состояние одного контроллера-домена к предыдущему (то есть к состоянию на момент последней архивации, которая производилась во время штатной, корректной его работы). Данные на восстановленном домене будут актуализированы после первого же сеанса репликации (если, само собой, в домене наличествуют другие контроллеры домена и корректно настроена репликация). У объектов AD существует свойство USN – Update Sequence Numbers, номер последовательного восстановления. Он определяет «свежесть» информации об объекте. При репликации объект с более низким USN будет перезаписан объектом с более высоким USN (по абсолютному значению).
Кроме уже описанных видов восстановления, применимых касательно утилиты ntbackup, существует также еще один тип восстановления – принудительное (authoritative). Данную функциональность обеспечивает утилита командной строки ntdsutil. Это восстановление используется в сочетании с вышеописанными методами, когда имели место, к примеру, ошибки в администрировании AD, повлекшие за собой потерю важных данных. Скажем, был ошибочно удален объект или группа объектов на одном из контроллеров домена. Затем это изменение было среплицировано на все остальные контроллеры домена, в итоге чего организация теряет сведения, удаление которых не было легальным образом предусмотрено. Выходом может стать принудительное восстановление, которое помечает восстановленные из архива объекты как достоверные – и в дальнейшем эти объекты и их свойства реплицируются на все остальные контроллеры домена, в результате чего мы восстанавливаем удаленное доселе подразделение, объект. (Стоит помнить, что AD отслеживает удаленные объекты только в течение времени жизни их захоронения. По истечении этого срока объекты не могут быть восстановлены.)
Принудительное восстановление производится при помощи утилиты командной строки ntdsutil, причем проводится это в DSRM (Directory Services Restore Mode, режим восстановления службы каталогов). Восстановить можно как всю базу данных (команда restore database утилиты ntbackup), так и ее часть, поддерево (restore subtree). Отмеченные объекты восстановления претерпевают изменение USN – авторитативное восстановление увеличивает этот параметр. После выполнения необходимых операций по принудительному восстановлению и перезапуска контроллера домена принудительно восстановленные объекты реплицируются на остальные контроллеры домена. В остальном репликация протекает по обычному сценарию.
