- Включення кошика Active Directory
- Плюси і мінуси кошика Active Directory
- Як Veeam дозволяє обійти обмеження кошика
- Також вас може зацікавити:
Наша взаимовыгодная связь https://banwar.org/
Всі публікації серії:
Ця стаття є четвертою у серії, присвяченій відновленню об'єктів Active Directory і необхідним для відновлення інструментів.
В попередній статті я розбирав випадки, коли адміністраторам доводиться працювати з контролерами домену, де в Active Directory встановлений режим роботи лісу Windows Server 2003 або Windows Server 2008. Я описав кроки, які необхідно зробити для відновлення tombstone-об'єктів за допомогою утиліт LDP і Veeam Explorer для Microsoft Active Directory.
Сьогодні я перейду до більш сучасним системам, які дозволяють використовувати функцію кошика Active Directory.
В ОС Windows Server 2008 R2 корпорація Microsoft вперше реалізувала довгоочікувану кошик Active Directory. При цьому збільшилася стандартний час існування об'єкта Active Directory і змінився порядок видалення об'єктів. З появою цієї функції об'єкт відразу після видалення переміщається в контейнер віддалених об'єктів, де і знаходиться до закінчення часу існування віддаленого об'єкта (воно за замовчуванням дорівнює часу існування переробленого (recycled) об'єкта). І що найважливіше, все зв'язані і незв'язані атрибути об'єкта зберігаються в системі протягом того ж часу. Це означає, що протягом зазначеного періоду об'єкт можна відновити разом з усіма атрибутами.
Після закінчення часу існування об'єкта система змінює його стан на «перероблений» (recycled) і скидає більшість атрибутів. Об'єкт стає аналогічний віддаленого (tombstone) в Windows Server 2003 і Windows Server 2008. Єдина різниця полягає в тому, що перероблений об'єкт неможливо відновити. Після закінчення часу існування переробленого об'єкта (за замовчуванням 180 днів) його автоматично видаляє збирач сміття.
Мал. 1. Життєвий цикл об'єкта Active Directory при включеній кошику Active Directory
Включення кошика Active Directory
В даний час кошик не включається за замовчуванням в жодній ОС Windows Server. Щоб використовувати цей інструмент, потрібно підготувати інфраструктуру, переконатися, що всі контролери домену в лісі працюють під управлінням Windows Server 2008 R2 або вище, і встановити режим роботи лісу на Windows 2008 R2 або вище.
ПРИМІТКА. Включення кошика Active Directory, як і будь-які інші істотні зміни налаштувань Active Directory (або іншої виробничої системи) може викликати труднощі. Щоб попередньо протестувати оновлення схеми або інші зміни, які можуть вплинути на роботу виробничого середовища, можна використовувати технологію віртуальної лабораторії Veeam . Крім того, віртуальна лабораторія може включати і інші критично важливі віртуальні машини, щоб на них теж можна було внести зміни і протестувати сумісність багаторівневих додатків після внесення таких змін. Залежно від конфігурації, віртуальну лабораторію можна запустити з резервних копій, реплік або навіть апаратних знімків. Це дозволить уникнути неприємних сюрпризів при зміні налаштувань виробничого середовища.
Перш ніж почати використовувати кошик Active Directory, необхідно врахувати наступне:
- При включенні кошика Active Directory всі tombstone-об'єкти перетворяться в перероблені (recycled), і відновити їх після цього буде вже неможливо.
- Відновлення кількох залежних об'єктів може викликати труднощі, оскільки його необхідно виконувати в строго визначеному порядку, починаючи з верхніх рівнів ієрархії.
- У Windows Server 2008 R2 всі операції з кошиком виконуються за допомогою командлетів PowerShell, GUI відсутня. У Windows Server 2012 і вище з'явився Центр адміністрування Active Directory (Active Directory Administration Center, ADAC), де всі дії з кошиком можна виконати через призначений для користувача інтерфейс.
- Кошик не має нічого спільного з резервних копій Active Directory і не дозволить відновити контролер домену цілком, якщо він пошкоджений.
Рис. 2. Включення кошика Active Directory в Windows Server 2012 через ADAC
Плюси і мінуси кошика Active Directory
При включенні кошика Active Directory ви побачите в Центрі адміністрування Active Directory новий контейнер віддалених об'єктів Deleted Objects. В цьому контейнері ви знайдете всі видалені, але не перероблені об'єкти, зможете переглянути їх властивості та відновити їх у вихідне або будь-яке інше місце за власним вибором.
Мал. 3. Перегляд контейнера віддалених об'єктів Deleted Objects в кошику Active Directory
Хоча на перший погляд відновлювати окремі об'єкти за допомогою цієї функції набагато простіше, ніж за допомогою утиліти LDP або «authoritative» -Відновлення контролера домену, необхідно пам'ятати про деякі підводні камені. Нижче я перерахую плюси і мінуси використання кошика Active Directory.
«За»:
- Універсальний спосіб для доменів Windows Server 2008 R2 (і більш пізніх)
- Тривалий час існування об'єкта (за замовчуванням 180 днів - достатній термін для вирішення більшості завдань)
- Атрибути об'єкта зберігаються протягом часу його існування
- Не потрібно перезапуск контролера домену
- GUI для Windows Server 2012 і вище
«Проти»:
- Чи не працює для доменів з режимом роботи лісу Windows Server 2008 і раніше
- Чи не працює для змінених об'єктів (відновити об'єкт можна, тільки якщо він був видалений, але не змінений)
- Відновлення можливо тільки протягом часу існування об'єкта
- Чи не забезпечує захист від проблем з самим контролером домену (не може зрівнятися з резервною копією)
- Не підтримує автоматичне відновлення ієрархії
Другий пункт тут особливо важливий. Що робити, якщо об'єкт був не видалений, а випадково змінений, і помилка виявилася помітно пізніше? На жаль, корзина тут не допоможе, і для цієї проблеми потрібно інше рішення.
Як Veeam дозволяє обійти обмеження кошика
Звичайно, для більшості з вас мінуси кошика не стануть причиною відмовитися від неї. Однак ті, хто хоче отримати універсальне рішення для всіх завдань, повинні задуматися про якомусь іншому варіанті. І тут на сцену виходить Veeam з уже обговорювалося раніше Veeam Explorer для Active Directory . Цей інструмент повністю усуває всі обмеження, які має корзина Active Directory. За допомогою цієї утиліти всі об'єкти Active Directory будуть захищені протягом усього терміну зберігання резервних копій. Її можна використовувати з контролерами домену з режимом роботи лісу Windows Server 2003 і вище. Найголовніше, що вона входить до складу Veeam Backup & Replication, в тому числі і в безкоштовну редакцію .
Використовуючи спільно Veeam Backup & Replication і Veeam Explorer для Active Directory, ви можете миттєво відновити контролер домену цілком або відновити окремі об'єкти Active Directory: підрозділи (OU), облікові записи комп'ютерів і користувачів разом з паролями, об'єкти групових політик, записи DNS і т. д. Крім того, запустивши Explorer, ви можете легко порівняти об'єкти в резервної копії з поточними об'єктами в виробниче середовище і виявити відмінності, а також виявити змінені атрибути.
На малюнку нижче наведений приклад ситуації, коли адміністратор виявив зміна атрибутів облікового запису користувача і повинен відновити її початковий стан.
Мал. 4. Відновлення змінених об'єктів Active Directory
У будь-якому випадку, якщо ви заздалегідь подбаєте про усунення наслідків можливих збоїв Active Directory і протестіруете різні інструменти для вирішення цього завдання, в подальшому ви зможете спати спокійно.
Сподіваюся, ця серія статей змусила вас задуматися про те, як поліпшити стратегію захисту Active Directory. Запрошую вас до подальшого обговорення цієї теми в коментарях.
Також вас може зацікавити:
GD Star Rating
a WordPress rating system
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
