Restauracija aktivnog direktorijuma

Postoje dva razloga zašto bismo radili restauraciju aktivnog direktorijuma. Prvi razlog je neupotrebljivost baze podataka aktivnog direktorijuma koja se najčešće dešava u slučaju da Hard disk na domenskom kotroleru prestane sa radom ili u slučaju da je baza podataka uništena i ne može da se učita. Drugi razlog je kreiranje problema ljudskom greškom koji se odnose na Directory Information. Na primer, ako je neko obrisao organizacionu jedinicu koja sadrži nekoliko stotina korisničkih naloga i nekoliko stotina grupa, moraćemo da odradimo restauraciju što je mnogo lakša i brža Troubleshooting opcija od ponovnog kreiranja svih objekata koji nedostaju.

Ako odrađujemo restauraciju aktivnog direktorijuma zbog toga što je baza podataka na jednom od domenskih kontrolera beskorisna i neupotrebljiva, imamo dve opcije. Prva opcija je da uopšte ne odrađujemo restauraciju aktivnog direktorijuma na Target serveru, nego da kreiramo drugi domenski kontroler promocijom novog servera koji radi na Windows Server 2008 sistemu u domenski kontroler. Na ovaj način, restauriraćemo funkcionalnost domenskog kontrolera umesto restauracije aktivnog direktorijuma na specifičnom domenskom kontroleru. Druga opcija za popravku baze podataka aktivnog direktorijuma je popravka (Repair) servera koji ne radi kako treba i nakon popravke odraditi restauraciju baze podataka aktivnog direktorijuma na tom serveru. U ovom slučaju, trebalo bi da odradimo neautoritativnu restauraciju. Neautoritativna restauracija restaurira bazu podataka aktivnog direktorijuma na domenskom kontroleru i nakon toga sve promene koje su odrađene od poslednjeg Backup-a biće replicirane na restaurirani domenski kontroler.

Ako odrađujemo restauraciju aktivnog direktorijuma iz razloga što je neko obrisao veliki broj objekata u direktorijumu, imamo samo jedan način kojim možemo da odradimo restauraciju informacija. Odradićemo restauraciju baza podataka aktivnog direktorijuma na jednom od domenskih kontrolera koristeći Backup kopiju koja sadrži obrisane objekte. Nakon toga biće potrebno da odradimo autoritativnu restauraciju. U toku autoritativne restauracije, restaurirani podaci su markirani tako da će biti replicirani ka svim ostalim domenskim kontrolerima, i time će biti obrisana promena koja je obrisala objekte u aktivnom direktorijumu. 

Restauracija aktivnog direktorijuma kreiranjem novog domenskog kontrolera

Jedna od opcija za restauraciju domenskog kontrolera je izgradnja novog domenskog kontrolera koji će zameniti pokvareni DC. Ako jedan od domenskih kontrolera padne, možemo da izgradimo novi server na kom radi Windows Server 2008 i aktivni direktorijum ili možemo da iskoristimo već postojeći server koji bi trebalo da promovišemo u domenski kontroler. Nakon toga bi trebalo da iskoristimo normalnu replikaciju aktivnog direktorijuma da bismo popunili bazu podata aktivnog direktorijuma na novom domenskom kontroleru.

Kreiranje novog domenskog kontrolera je najbolja solucija u sledećim situacijama:

• Imamo dostupan domenski kontroler koji je dodatni kontroler pokvarenom serveru. Ovo je apsolutan zahtev. Ako nemamo još jedan domenski kontoler koji je u funkciji i koji je dostupan kao replikacioni partner, u tom slučaju jedina opcija bi nam bila da odradimo restauraciju baze podataka na novom ili na popravljanom domenskom kontroleru.
  
  
• Vreme koje je potrebno za izgradnju novog domenskog kontrolera i replikacija informacija sa drugog domenskog kontrolera je manje od vremena koje nam je potrebno za popravku pokvarenog domenskog kontrolera i restauraciju baze podataka. Ova kalkulacija direktno zavisi od veličine baze podataka aktivnog direktorijuma, zatim od brzine mrežne konekcije između domenskih kontrolera, i brzine u kojoj možemo da ponovo izgradimo (Rebuild) i restauriramo domenski kontroler. Ako imamo relativno malu bazu aktivnog direktorijuma (manju od 100mb) i drugi domenski kontroler se nalazi u istoj lokalnoj mreži (LAN), kreiranje drugog domenskog kontrolera i replikacija baze podataka će biti brži metod od metoda u kom bismo odradili popravku pokvarenog domenskog kontrolera i restauraciju baze podataka. Ako imamo veliku bazu podataka ili ako nam se jedini dostupni replikacioni partner nalazi u drugom sajtu koji je povezan preko Alow Wide Area network konekcija (WAN), popravka i restauracija pokvarenog domenskog kontrolera je obično mnogo brži metod.
  
  
• Ne možemo da popravimo pokvareni domenski kontroler. Iako je moguće odraditi restauraciju Windows Server 2008 bazu podataka aktivnog direktorijuma na server koji ima drugačiju hardversku konfiguraciju od originalnog domenskog kontrolera, ovaj proces je obično komplikovan i može da traje jako dugo. Ako ne možemo ponovo da izgradimo pokvareni server sa sličnim hardverom, izgradnja novog domenskog kontrolera je obično mnogo brži metod popravke domenskog kontrolera.

Kreiranje novog domenskog kontrolera nije dobra opcija kada moramo da uradimo određene promene da bismo podržali novi domenski kontroler. Jedan od primera je posedovanje aplikacija koje su konfigurisane da koriste specifičan domenski kontroler. Rekonfiguracija ovih aplikacija da koriste novi domenski kontroler može da traje duže od popravke i restauracije pokvarenog domenskog kontrolera. Problemi sa rekonfiguracijom aplikacija mogu se zaobići koristeći Host imena umesto IP adresa u konfiguraciji aplikacija. Rekonfiguracija DNS zapisa za Host imena je brz metod za početak korišćenja IP adresa novog domenskog kontrolera ili alternativnog domenskog kontrolera.

Da bismo izgradili dodatni domenski kontroler koji treba da zameni  pokvareni server, potrebno je koristiti postojeći server Windows Server 2008 (ili izgraditi poptpuno nov server) i promovisati ga u domenskog kontrolera. Ako je pokvareni domenski kontroler bio globalni katalog (GC) server ili ako je posedovao jednu od Operation Master uloga, moraćemo da obratimo pažnju na to i moraćemo da odradimo restauraciju ove fukcionalnosti.

Ako izaberemo metod da izgradimo novi domenski kontroler, i dalje ćemo morati da uklonimo stari domenski kontroler iz direktorijuma i iz DNS-a. Ako planiramo da iskoristimo ime pokvarenog domenskog kontrolera za novi domenski kontroler, moramo da očistimo direktorijum koristeći Ntdsutil pre startovanja Recovery procesa, Ako koristimo različito ime za novi domenski kontroler, možemo da očistimo direktorijum nakon instalacije.

Neautoritativna restauracija aktivnog direktorijuma

Ovaj tip restauracije se odrađuje u dve situacije. Kada je baza podataka aktivnog direktorijuma na serveru neupotrebljiva, tada će odrađivanje neautoritativne restauracije ponovo kreirati bazu podataka koja će biti u funkcionalnom stanju. Kada odrađujemo Full (kompletan) oporavak domenskog kontrolera, takođe koristimo neautoritativnu restauraciju aktivnog direktorijuma.

Ako smo odradili određene promene u aktivnom direktorijumu nakon poslednjeg Backupo-a, Backup traka neće sadržati te promene. Ipak, drugi domenski kontroleri u domenu će imati najnovije informacije. Ako ponovo izgrađujemo domenski kontroler jer nam je server pokvaren, domenski kontroler bi trebalo da dobije sve nove promene od svog replikacionog partnera nakon kompletnog Restore procesa. Da bi ovo moglo da se odradi moramo da odradimo neautoritativnu restauraciju.

Da bismo odradili neautoritativnu restauraciju aktivnog direktorijuma, moramo da imamo dobar Backup svih kritičnih volumena na domenskom kontroleru. Boot-ujemo kompjuter u Directory Services Restore Mode (DSRM), odradimo restauraciju System State-a koristeći Wbadmin.exe i nakon toga restartujemo Windows Server 2008 normalno. Nakon restartovanja domenskog kontrolera, on će se konektovati na svoje replikacione partnere i počeće sa ažuriranjem svoje baze podataka da bi reflektovao dve domenske informacije koje su modifikovane od poslednjeg Backup-a.

DSRM je verzija Safe Mode-a za domenske kontrolere u kom je aktivni direktorijum stopiran. Ovaj Mode je potreban da bismo mogli da izvršimo restauraciju domenskog kontrolera. Da bismo se ulogovali u DSRM, moramo da koristimo DSRM administratorski nalog koji se kreira u toku instalacije aktivnog direktorijuma. Ovaj lokalni administratorski nalog se kreira u toku instalacije aktivnog direktorijuma na domenskom kontroleru. Lozinka se podešava u roku instalacije i nije ista kao lozinka Domain administratora.

Autoritativna restauracija aktivnog direktorijuma

Autoritativna restauracija je potrebna u situacijama u kojim oporavljamo obrisane objekte. Na primer, ako neko obriše organizacionu jedinicu koja sadrži nekoliko stotina korisnika i grupa, ne želimo da naš kompjuter jednostavno odradi restart i počne sa replikacionim procesom sa svojim replikacionim partnerima. Ako ovo uradimo, domenski kontroler će dobiti informacije da je organizaciona jedinica obrisana sa njegovih replikacionih partnera i ako otvorite Active Directory User and Computers ponovo, organizaciona jedinica će biti ponovo obrisana.

U ovom scenariju moramo da iskoristimo autoritativnu restauraciju baze podataka aktivnog direktorijuma da bismo osigurali da će restauracija organizacione jedinice  biti replicirana na svim replikacionim partnerima u aktivnom direktorijumu. Kada odrađujemo autoritativnu restauraciju, odrađujemo restauraciju Backup kopije koja sadrži potrebnu organizacionu jedinicu i nakon toga prisilimo da ti restaurirani podaci budu replicirani ka svim domenskim kontrolerima. Primoravanje replikacije se odrađuje manipulacijom Update Sequence Number (USN) za restaurirane informacije. Po defoltu, kada odrađujemo autoritativnu restauraciju, USN na restauriranim objektima se povećava za 100000 tako da restaurirani objekt postaje autoritativna kopija za ceo domen.

Autoritativna restauracija može da rezultuje prekinutim poverenjem (Relationships) između domena i kompjuterskih naloga. Kada je kompjuter koji radi na Windows NT, Windows 2000, Windows XP, Windows Server 2003 dodat u domen, kreira se lozinka koja je poznata samo domenskom kontroleru i kompjuteru koji je član domena. Ipak, po defoltu, lozinka se menja na svakih 30 dana.

Kada odrađujemo autoritativnu restauraciju, ona smešta lozinke o poverenju (Trust Passwords) koje su se koristile u vreme odrađivanja Backup-a. Ako je kompjuter član domena u međuvremenu pregovarao o novoj lozinci za poverenje između domena kompjuter član domena će pasti (Fail). NT Lan Manager (NTLM) poverenje između domena aktivnog direktorijuma i Windows NT domena koristi sličan proces za održavanje poverenja, ova poverenja takođe mogu da se prekinu u slučaju restauracije stare lozinke. Poverenje između domena može da se izgradi koristeći NetDom alatku za komandnu liniju ili uklanjanjem radne stanice iz domena i zatim ponovo učlanjenje te iste radne stanice u domen.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Restauracija AD DS 1

• Restauracija AD DS 2

• Restauracija AD DS 3