Разработка сайта для Вашего бизнеса. Веб дизайн. Дизайн логотипа, фирменного стиля, рекламная фотография . Комплексный рекламный креатив.

Ralex. We do the work.
На рынке с 1999го года. Средняя ценовая категория. Ориентация на эффективность решений.
Ознакомтесь с нашим портфолио
Узнайте больше о услугах
Свяжитесь с нами:
E-mail: [email protected]
Tel: (044) 587 - 84 - 78
Custom web design & дизайн и разработка сайта "под ключ"
Креативный, эффективный дизайн. Система управления сайтом (СУС).
Custom flexible разработка систем электронной коммерции
Система e-commerce разрабатывается под индивидуальные потребности. Гибкая функциональность.
Search Engine Optimzation & оптимизация под поисковые системы (SEO)
Постоянная оптимизация и мониторинг сайта в поисковых системах. Достигаем результата быстро и эффективно
Custom logo design & дизайн логотипа и фирменного стиля
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.
профессиональная рекламная фотография
креативно, смело, качественно
Custom logo design & рекламный креатив. дизайн рекламы
Многолетний опыт. Огромное портфолио. Уникальное предложение и цена.

Відновлення видалених об'єктів Active Directory

  1. Життєвий цикл об'єкта Active Directory
  2. Відновлення об'єктів AD за допомогою утиліти LDP
  3. Використання Veeam Explorer для Microsoft Active Directory
  4. Також вас може зацікавити:

Наша взаимовыгодная связь https://banwar.org/

Всі публікації серії:

Це третя стаття з серії, присвяченій захисту Active Directory (AD) за допомогою Veeam. В попередній статті йшлося про відновлення контролера домену цілком. Однак мені здається, що це не найпоширеніша операція при роботі з Active Directory - набагато частіше системним адміністраторам доводиться стикатися з іншими завданнями. Найпоширеніший запит, на мою думку, полягає в зміні об'єктів Active Directory.

Тому сьогодні мені хотілося б обговорити відновлення об'єктів Active Directory, а саме відновлення видалених (tombstone) об'єктів Active Directory в старих системах з функціональним режимом роботи лісу не вище Windows Server 2008. На щастя, останні зараз зустрічаються дуже рідко, але я не здивуюся, що десь вони ще використовуються. Про новіших системах і такі можливості, як корзина Active Directory, буде розказано в наступній статті.

Життєвий цикл об'єкта Active Directory

Отже, чому ж так важливо розуміти, як функціонують старі системи? Тому що сучасна логіка і звична функціональність в цих випадках застосовуються. До появи Windows Server 2008 R2 життєвий цикл об'єктів Active Directory виглядав наступним чином:

Мал. 1. Життєвий цикл об'єкта AD

Видалення об'єкта Active Directory не призводить до його фізичного видалення. Як ви, можливо, знаєте, Active Directory приховує віддалений об'єкт, змінюючи значення атрибуту isDeleted на TRUE. Потім більшість атрибутів об'єкта скидається, а сам об'єкт перейменовується і переміщається в спеціальний контейнер (CN = Deleted Objects). З цього моменту об'єкт отримує статус «tombstone», і стандартні засоби Active Directory не знають про його існування. У цьому спеціальному стані об'єкт знаходиться протягом встановленого періоду (60 днів в Windows Server 2000/2003 і 180 днів в Windows 2003 SP1 / 2008). Це робиться, щоб гарантувати успішне виконання реплікації даних в системі. Після закінчення відведеного часу існування в стані «tombstone» здійснюється виклик спеціального процесу (так званий збирач сміття), який фізично видаляє об'єкт з бази даних.

І ось тут виникає питання: якщо «tombstone» об'єкт не видаляється фізично протягом деякого часу, чи не можна його відновити? Коротко кажучи - можна. Хоча такий механізм видалення об'єктів не був призначений для використання в якості тимчасової кошика, а віддалені об'єкти не передбачалося відновлювати, технічно це можливо. Далі я розповім, як це можна зробити.

Відновлення об'єктів AD за допомогою утиліти LDP

LDP (LDP.exe) - стара і надійна програма, створена розробниками Active Directory. Виглядає вона досить просто, але у неї багато можливостей, які дозволяють повністю управляти об'єктами Active Directory. Недолік її в тому, що на освоєння функціоналу програми потрібно витратити досить багато часу, а інтерфейс не дуже сучасний і зрозумілий.

Щоб відновити «tombstone» об'єкт за допомогою LDP, необхідно зробити наступне:

  • Запустіть програму (Пуск - Виконати - ldp)
  • Підключіть її до контролера домену (Connection - Connect ..)
  • Використовуйте для підключення дані відповідної облікового запису (адміністратора підприємства або домену). (Connection - Bind ..)
  • Знайдіть потрібний об'єкт (Browse - Search) в контейнері віддалених об'єктів. Вам буде потрібно навчитися використовувати різні настройки пошуку і фільтра (див. Рис.). У діалоговому вікні «Controls» (елементи управління) виберіть варіант «return deleted objects» (Виводити віддалені об'єкти) і натисніть кнопку «check in» (додати), щоб додати ідентифікатор об'єкта для цього варіанту в список Active Control (активні елементи управління). Потім збережіть налаштування і виконайте запит, щоб знайти віддалений об'єкт
  • Відновіть «tombstone» об'єкт, використовуючи майстер (Browse - Modify), щоб знайти об'єкт по параметру distinguishedName (DN) і видалити значення isDeleted з одночасним перейменуванням об'єкту. В результаті об'єкт буде відновлений, і його можна буде побачити через інструмент перегляду користувачів і комп'ютерів Active Directory.

На малюнку нижче показаний типовий приклад пошуку, який я виконав, щоб знайти tombstone-об'єкти в моєму тестовому домені:

Мал. 2. Пошук «tombstone» об'єктів за допомогою програми LDP.

Ця стаття не є повноцінним керівництвом по програмі LDP. Щоб навчитися з нею роботі з програмою, рекомендую скористатися посібником з LDP .

На додаток до сказаного вище, слід пам'ятати деякі особливості такого відновлення tombstone-об'єктів. Так, деякі атрибути (наприклад, членство в групах), віддалені при первісному видаленні, не будуть відновлені, що потенційно може створити вам проблеми.

Використання Veeam Explorer для Microsoft Active Directory

В якості альтернативного способу можна використовувати рішення Veeam, зокрема, Veeam Explorer для Active Directory . Ця програма дозволить вам виконувати відновлення набагато простіше і швидше. При цьому вона вирішує багато проблем відновлення tombstone-об'єктів - наприклад, втрату пароля облікового запису та багатьох важливих атрибутів, таких як ім'я та прізвище користувача.

Звичайно, для використання Veeam Explorer для Active Directory у вас повинна бути резервна копія контролера домену, де був видалений об'єкт. Також контролер домену повинен бути віртуалізованних, щоб можна було створити його резервну копію за допомогою Veeam Backup & Replication. Тому такий варіант відновлення годиться не для всіх сценаріїв - спочатку треба провести попередню підготовку. Однак якщо вам пощастило бути адміністратором віртуального контролера домену з функціональним режимом роботи лісу доменів Windows Server 2003 або Windows Server 2008, уважно прочитайте викладену нижче інформацію, вона може виявитися корисною.

1. Переконайтеся, що у вас є резервна копія контролера домену та що при її створенні була включена обробка даних з урахуванням стану додатків (про те, чому це важливо, говорилося в першій статті серії)

Мал. 3. Veeam Backup & Replication, настройка завдання резервного копіювання

2. Якщо вам потрібно відновити віддалений об'єкт, перейдіть до резервної копії контролера домену та виберіть «Microsoft Active Directory objects ...» (об'єкти Microsoft Active Directory), щоб почати відновлення і запустити Veeam Explorer для Active Directory.

» (об'єкти Microsoft Active Directory), щоб почати відновлення і запустити Veeam Explorer для Active Directory

Мал. 4. Запуск Veeam Explorer для Microsoft Active Directory

3. Знайдіть потрібний контейнер і включіть параметри «compare all objects» (порівняти всі об'єкти) і «show changed objects only» (показувати лише змінені об'єкти). Таким чином ви налаштуєте попередню фільтрацію: Veeam Explorer порівняє дані в резервної копії з поточним станом DC і відобразить тільки змінені об'єкти. Перегляньте стан об'єктів і знайдіть ті, у яких воно позначене як «tombstone».

Мал. 5. Veeam Explorer для Active Directory, порівняння об'єктів

4. Потрібний об'єкт (об'єкти) можна відновити в робоче середовище або експортувати як файл .lde.

lde

Мал. 6. Veeam Explorer для Active Directory, можливості відновлення окремих об'єктів

5. Примітка: при відновленні облікового запису користувача вам буде запропоновано вказати параметри відновлення пароля (specify password restore options). Ви можете вибрати один з наступних варіантів: відновити обліковий запис зі старим паролем, задати новий пароль вручну або взагалі відновлення без пароля. Відновлення старого пароля дозволить знизити навантаження на адміністратора і зберегти факт видалення облікового запису в секреті. Уявіть собі, що вночі в результаті збою зникло ціле підрозділ (OU) з сотнями користувачів, і його потрібно відновити. Вранці при вході в систему всім співробітникам буде запропоновано змінити пароль, і вони, зрозуміло, почнуть ставити запитання. Природно, якщо є можливість, краще такій ситуації уникнути.

Мал. 7. Veeam Explorer для Active Directory, вибір варіанту відновлення пароля

З урахуванням сказаного вище, зрозуміло, що Veeam Explorer для Microsoft Active Directory пропонує відносно простий спосіб відновлення tombstone-об'єктів Active Directory. Якщо ви працюєте в підходящої системі, рекомендую звернути увагу на цей продукт.

На додаток, не забувайте, що Veeam Explorer для Microsoft Active Directory - це лише одна з безлічі можливостей Veeam Backup & Replication. Купуючи цей продукт, ви отримуєте набагато більше, ніж просто відновлення об'єктів Active Directory.

У наступній статті я порівняю можливості кошика Active Directory і інші способи відновлення об'єктів.

Також вас може зацікавити:

GD Star Rating
a WordPress rating system

І ось тут виникає питання: якщо «tombstone» об'єкт не видаляється фізично протягом деякого часу, чи не можна його відновити?
Категории
  • Биология
  • Математика
  • Краеведению
  • Лечебная
  • Наука
  • Физике
  • Природоведение
  • Информатика
  • Новости

  • Новости
    https://banwar.org/
    Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.


    Наши клиенты
    Клиенты

    Быстрая связь

    Тел.: (044) 587-84-78
    E-mail: [email protected]

    Имя:
    E-mail:
    Телефон:
    Вопрос\Комментарий: