Головна
Телевізори
Active Directory: копіювання та відновлення. Відновлення Active Directory З вищесказаного можна зробити висновок

Active Directory: копіювання та відновлення. Відновлення Active Directory З вищесказаного можна зробити висновок

  • базу даних Active Directory та журнали транзакцій;
  • системні файли та файли запуску, що знаходяться під захистом Windows;
  • системний реєстр контролера домену;
  • всю зонну інформацію DNS, інтегровану з Active Directory;
  • папку Sysvol;
  • базу даних реєстрації класів СОМ +;
  • базу даних служби сертифікатів (якщо контролер доменує сервером служби сертифікатів);
  • інформацію кластерної служби;
  • метакаталоги інформаційної Інтернет-служби Microsoft (IIS) (якщо служба IIS інстальовано на комп'ютері).

Всі ці компоненти повинні копіюватися і відновлюватися повністю через їх тісну інтеграцію. Наприклад, якщо на сервері служби сертифікатів було створено сертифікат, призначений на об'єкт Active Directory , то база даних служби сертифікатів (що містить запис про створення об'єкта) та об'єкт Active Directory (що містить запис про те, що сертифікат призначений на об'єкт ) повинні бути збережені .

Програми резервного копіювання (backup) можуть виконувати різні типи резервних копій, включаючи нормальні, додаткові, диференційовані тощо. Резервне копіювання системного стану контролера домену завжди є нормальним копіюванням, коли всі файли, що належать до System State ( Стан системи), копіюються та відзначаються як копіювані.

Загальна практика у тому, що це контролери домену повинні брати участь у циклі регулярного резервного копіювання. Один виняток цього правила можна зробити, якщо є кілька контролерів домену, розташованих в одному офісі. І тут можна здійснювати таку процедуру відновлення контролерів домену, у якій спочатку встановлюватиметься новий контролер домену, а потім заповнювати його каталог шляхом реплікації. Однак навіть у цьому сценарії слід створювати резервні копії принаймні деяких контролерів домену на випадок такої аварії, коли будуть виведені з ладу всі контролери домену в офісі. У будь-якому разі необхідно створити резервні копії господаря операцій.

Інша проблема, яку потрібно розглянути у зв'язку з резервним копіюванням контролера домену, - це частота створення резервної копії. Служба Active Directory передбачає, що давність резервної копії неспроможна перевищувати час життя об'єктів-пам'ятників. За замовчуванням життя об'єкта-пам'ятника становить 60 днів. Причина цього обмеження пов'язана з тим, як Active Directory використовує об'єкти-пам'ятники. Коли об'єкт видалено, він фактично не видаляється з каталогу доти, доки закінчиться час життя об'єкта-пам'ятника. Натомість об'єкт маркується як об'єкт-пам'ятник, і більшість його атрибутів видаляються. Потім об'єкт-пам'ятка копіюється на інші контролери домену. Після закінчення життя об'єкта-пам'ятника він нарешті видаляється з каталогу кожному контролері домену. Якщо відновити контролер доменуіз резервної копії, давність якої перевищує час життя об'єкта-пам'ятника, то в каталозі можна виявити інформацію, неузгоджену між контролерами домену. Припустимо, що користувач був видалений з каталогу через день після створення резервної копії, а відповідний об'єкт-пам'ятник залишався в каталозі 60 днів. Якби резервна копія була відновлена ​​на контролері домену більш ніж через 60 днів, після того, як об'єкт став об'єктом-пам'ятником, то на відновленому контролері домену був би цей об'єкт користувача, і оскільки об'єкт-пам'ятник більше не існує, то контролер доменуне став би його видаляти. У такому сценарії відновлено контролер доменумав би копію об'єкта, який не існує в жодному іншому каталозі. З цієї причини система резервування та програма відновлення запобігають спробам відновлення каталогу з резервної копії, що зберігається довше, ніж період видалення об'єктів-пам'ятників.

Хоча час життя об'єктів-пам'ятників накладає жорстке обмеження частоту резервного копіювання, очевидно, що створювати резервні копії контролерів домену краще набагато частіше, ніж кожні 60 днів. Виникне багато проблем, якщо відновлювати контролер доменуз резервної копії, давнішої, ніж кілька днів. Оскільки відновлення Active Directory включає відновлення всієї інформації про стан системи, цю інформацію буде відновлено до попереднього стану. Якщо сервер також є сервером служби сертифікатів, всі посвідчення, випущені до створення резервної копії, не будуть включені до бази даних служби сертифікатів. Якщо були оновлені драйвери або встановлені нові програми, вони не зможуть працювати, тому що буде здійснено відкат системного реєстру до попереднього стану. Майже всі компанії підтримують такий режим резервного копіювання, де деякі сервери копіюються щоночі. Контролери домену повинні включатися до режиму резервування.

Процес відновлення

Існують дві причини, через які, можливо, доведеться відновлювати Active Directory [13].

  • Перша причина виникне, коли база даних стане непридатною для використання, тому що на одному з контролерів домену сталася відмова в роботі жорсткогодиска або база даних зіпсована настільки, що її більше не вдається завантажити.
  • Друга причина виникне, коли внаслідок помилки хтось видалив організаційну одиницю, що містить кілька сотень облікових записів користувачів та груп. І тут бажано відновити інформацію, ніж вводити її повторно.

Якщо планується відновлювати Active Directory , тому що базу даних на одному з контролерів домену більше не можна використовувати, є наступні два варіанти процесу [ 13 ] .

  • Перший варіант полягає в тому, щоб взагалі не відновлювати Active Directory на сервері, що відмовив, а створити ще один контролер домену, призначивши інший сервер, на якому виконується Windows Server 2003, контролером домену. У такий спосіб будуть відновлені функціональні можливостіконтролера домену, а не служба Active Directory на певному контролері домену.
  • Другий варіант полягає у відновленні сервера, що відмовив, і подальшому відновленні бази даних Active Directory на цьому сервері. У цьому випадку буде виконано відновлення за відсутності повноважень (non-authoritative). При такому відновленні база даних Active Directory відновлюється на контролері домену, а потім усі зміни, зроблені до Active Directory після створення резервної копії, реплікуються на відновлений контролер домену.

Якщо планується відновлювати Active Directory , тому що хтось видалив велику кількість об'єктів з каталогу, необхідно відновити базу даних Active Directory на одному з контролерів домену, використовуючи резервну копіюяка містить віддалені об'єкти. Потім потрібно зробити відновлення за наявності повноважень ( authoritative ), у якого всі відновлені дані відзначаються те щоб вони реплікувалися на всі інші контролери домену, перезаписуючи віддалену інформацію.

Для відновлення Active Directory необхідно архівувати дані стану служби [4], [6]: реєстр, базу даних реєстрації СОМ+, системні завантажувальні файли та базу даних служб сертифікації (якщо це сервер служб сертифікації). При перезавантаженні комп'ютера в режимі відновлення служб каталогів необхідно увійти в систему з адміністраторськими правами, використовуючи правильні ім'я та пароль облікового запису Security Accounts Manager . При цьому не можна використовувати обліковий запис адміністратора Active Directory , оскільки служби Active Directory вимкнуто і не можна їх засобами перевірити справжність облікового запису. Для цього застосовується база даних облікових записів

Будь-який користувач операційної системи Windows XP може рано чи пізно зіткнутися з тим, що зображення на робочому столі зміниться повідомленням про помилку Active Desctop. Взагалі, це дуже цікава функція, яка дозволяє розміщувати на робочому столі зведення новин, наприклад, котирування валют, тобто різні динамічні елементи. Але тільки користуються цим одиниці, а глючить дуже і дуже часто. Та ще й віруси її "люблять".

Спроба натиснути кнопку "відновити робочий стіл active desktop"при цьому часто або нічого не видає, або викидає таку помилку:

Для вирішення такої проблеми насамперед перевірте системний диск C:\ декількома антивірусними програмамита перезавантажтеся. Тільки після цього можна йти далі.

Як відновити робочий стіл?

Для відновлення Active Desctop є кілька шляхів. Найправильніший шлях – за допомогою виправлення у реєстрі Windows. Для цього запускаємо редактор реєстру. Зробити це можна, натиснувши кнопку «Пуск» і вибравши пункт меню «Виконати»:

У рядку «Відкрити» пишемо команду та натискаємо кнопку ОК. Відкриється редактор реєстру Windows. У ньому треба знайти гілку

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components

Зробити це можна двома шляхами. Перший - просто по черзі відкриваючи гілки відповідно до зазначеного порядку. Другий - через пошук по F3 ввівши як критерій пошуку слово "Components". Там нас цікавить параметр DeskHtmlVersion:

Клікаємо по ньому двічі, щоб змінити. Змінюємо значення цього параметра на нуль - 0 і натискаємо кнопку "ОК". Закриваємо редактор реєстру, перезавантажуємося та перевіряємо – помилка відновлення робочого столу має усунутись.

Якщо Ви панічно боїтеся лізти в параметри реєстру Windows XP, боячись там чогось напортачити (що теж не має сенсу), то можна зробити «хід конем». Вам треба створити нового локального користувача Windowsчерез Панель Управління та зайти в систему під ним. Ви можете видалити старого користувача. Великий мінус такого способу полягає в тому, що ви втратите всі налаштування старого облікового запису.
Але прибрати помилку active desktop та відновити робітник стіл Windows XP це допоможе.

Сергій Яремчук

Резервування та відновлення об'єктів
Active Directory у Windows Server 2008/2008 R2

Служба Active Directory є стандартом корпоративних мережах, що працюють під керуванням Windows. Забезпечуючи адміністратора ефективними інструментами, зовні проста у використанні, вона є досить складною за своєю структурою і складом. До того ж ніхто не застрахований від збоїв у роботі операційної системи, програм, відмови "заліза" або помилки людини. Тому потрібно бути завжди готовим до того, що доведеться вжити заходів щодо відновлення роботи в цілому або окремих елементів.

Про необхідність резервного копіювання

В кожній нової версії Windows Server з'являються нові інструменти, що спрощують і автоматизують процес управління, з якими може впоратися навіть адміністратор-початківець. Однією з найпоширеніших думок серед таких «фахівців» є взагалі відмова від резервування контролерів доменів. Аргумент простий. В організаціях середнього та великого розмірів використовується кілька контролерів доменів, це аксіома. Імовірність того, що одного дня вийдуть з ладу всі, практично дорівнює нулю. Якщо тільки їх не винесуть за постановою прокурора або скориставшись помилкою в організації охорони, але цей випадок, погодьтеся, надзвичайний. Тому якщо виходить з ладу один контролер домену, решта працюють у штатному режимі, а йому на заміну готується новий сервер. Частково вони мають рацію, але резервування хоча б двох контролерів (на випадок помилки), що мають ролі FSMO (Flexible single-master operations, операції з одним виконавцем), все ж таки обов'язково. Так рекомендують Microsoft і здоровий глузд. Причому є ще один головний аргумент на користь резервування. Простота управління призводить до зростання відсотка помилок. Видалити об'єкт Active Directory випадково досить просто. І необов'язково це може бути умисне дію, це може статися, наприклад, внаслідок помилки під час виконання скрипта. І щоб відновити всі налаштування, потрібно докласти певних зусиль.

Якщо помилка виявлена ​​не відразу і зміна вже реплікувалася на інші контролери, у цій ситуації вам знадобиться резервна копія. Я вже не говорю про невеликі організації з одним контролером домену.

Документом, що показує можливості з резервування та відновлення даних у Windows Server 2008, є стаття Джила Кіркпатріка (Gil Kirkpatrick) «Резервне копіювання та відновлення Active Directory у Windows Server 2008» в , яку і рекомендую до прочитання. Але якщо питання резервування розписані повністю, то відновлення показано, на мій погляд, дещо поверхово і не дає повної картини. Ця стаття, власне, і з'явилася з нотаток, складених на той крайній випадок.

Система архівації даних Windows Server

У Windows Server 2008 на заміну NT Backup прийшов абсолютно новий компонент "Система архівації даних Windows Server" (Windows Server Backup, WBS), заснований на VSS (Volume Shadow Copy Service, сервіс тіньового копіювання тома). WBS – досить потужний додаток, що дозволяє відновлювати систему, в тому числі і на інший комп'ютер, що підтримує деякі сервіси, у списку яких значиться AD.

Встановити WBS просто, лише активувати компонент «Можливості системи архівації даних у Windows Server» плюс підпункт «Система архівації даних Windows Server». Останній включає MMC-консоль управління та новий засіб командного рядка Wbadmin. Додатково доступний пункт "Програми командного рядка", який включає сценарії PowerShell, які дозволяють створювати та керувати резервними копіями.

В командному рядкуустановка виглядає ще простіше:

> servermanagercmd -install Backup-Features

Або в Server Core:

> ocsetup WindowsServerBackup

Керувати резервуванням можна з MMC-консолі або командного рядка. Так, щоб створити резервну копію критичних томів, слід запровадити:

> wbadmin Start Backup -backupTarget:E: -allCritical

З повною копією, гадаю, все зрозуміло. У контексті статті нас цікавить резервне копіювання стану системи за допомогою параметра SystemStateBackup. До речі, по-перше збірках Windows Server 2008 цієї функції не було, а через MMC вона недоступна:

> wbadmin Start SystemStateBackup -backupTarget:E:

У цьому випадку проводиться пофайлове копіювання стану системи та деяких сервісів, серед яких є AD. Найзручніше в цьому випадку, що кожного разу доводиться створювати повну копію (свіжовстановлена ​​система приблизно 7 Гб), а процес відбувається дещо повільніше, ніж звичайне резервування. Проте відновити таку копію можна на інший комп'ютер з ідентичною конфігурацією.

У команді копіювання виконується на інший том. Але в KB944530 розказано, як дозволити можливість резервного копіювання на будь-який том. Для цього потрібно додати параметр типу DWORD з ім'ям AllowSSBTo AnyVolume та значенням 1 у гілку реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup.

З резервуванням тут проблем не виникає, все просто і зрозуміло, труднощі починаються, коли необхідно відновити працездатність AD або випадково віддалених об'єктів. Використання SystemState-копій дозволяє уникнути відновлення всієї системи, а просто повернути попередній стан служб AD. Графічна консоль, призначена для відновлення даних, копій SystemState не бачить (перебувають на диску в іншому каталозі SystemStateBackup). Якщо спробувати запустити процес відновлення в робочої системи, отримуємо повідомлення про те, що оскільки архів містить службу доменів Active Directory, операцію необхідно проводити в режимі відновлення служби каталогів (Directory Services Restore Mode, DSRM). Це один з мінусів, тому що контролер домену в цей час буде недоступним.

Новий механізм завантаження BCD, що з'явився в Windows, починаючи з Vista, в якому прибраний старий добрий boot.ini, змушує нас зробити ще ряд дій, щоб потрапити до DSRM. У складі ОС є спеціальна утиліта, призначена для редагування параметрів завантажувача (в Інтернеті можна знайти графічні утилітиале я вважаю їм не місце на сервері). Створюємо нову копіюзапису:

> bcdedit /copy (default) /d "Directory Service Repair Mode"

Після закінчення перевіряємо:

> bcdedit /enum

У списку має з'явитися новий пункт.

Перезавантажуємося, вибираємо пункт Directory Service Repair Mode і натиснувши , відзначаємо "Режим відновлення служби каталогів". Зверніть увагу, що в цьому режимі слід використовувати дані адміністратора для входу локальної системи, а чи не доменний обліковий запис.

> wbadmin get versions

І відновлюємо, використавши як параметр отриманий ідентифікатор версії:

> wbadmin start systemstaterecovery –version:05/21/2009-21:02

Якщо відновлення проводиться з локального диска, параметр BackupTarget, що показує wbadmin де взяти резервну копію, вказувати необов'язково. Якщо копія знаходиться на мережному ресурсі, її прописуємо так:

BackupTarget:\\computer\backup -machine:server-ad

Незважаючи на попередження про те, що:

Відновлення служби каталогів зазвичай відбувається без проблем. Після перезавантаження зустрічаємо повідомлення про те, що розпочата операція з відновлення успішно завершена.

Перейшовши в консоль управління Active Directory, виявляємо, що все знаходиться на своїх місцях... крім нових об'єктів, створених вже після того, як було здійснено резервування. У принципі, такого результату очікуємо. А для відновлення окремих об'єктів є зовсім інший шлях (навіть дещо).

Примусове відновлення об'єктів за допомогою NTDSUTIL

До складу Windows Server входить утиліта командного рядка NTDSUTIL, призначена для обслуговування, керування та контролю Active Directory Domain Services (AD DS) та Active Directory Lightweight Directory Services (AD LDS). У системі утиліта стає доступною після встановлення ролі AD DS. У Windows Server 2008 її функціональність дещо змінилася. Так, у Windows Server 2003 з її допомогою можна було відновити всю базу даних, але в 2008 з цим чудово справляється wbadmin, напевно, тому її можливості відновлення трохи підкоротили. Тепер, використовуючи NTDSUTIL, можна відновити організаційний підрозділ з усім вмістом та окремий об'єкт.

Її робота ґрунтується на миттєвих знімках Active Directory, зроблених за допомогою служби VSS. Знімок є компактною резервною копією працюючої служби Active Directory з усіма каталогами та файлами. Створення такої копії, на відміну від SystemState, відбувається дуже швидко і займає кілька секунд.

> ntdsutil

Переходимо в контекст snapshot:

ntdsutil: snapshot

Запускаємо команду створення знімка (коротка форма - ac i ntds):

знімок: activate instance ntds

знімок: create

Через деякий час отримуємо інформацію про створений знімок, виходимо:

знімок: quit

ntdsutil: quit

Тепер, щоб відновити базу Active Directory, достатньо ввести ntdsutil files repair в командному рядку режиму DSRM, але нас цікавить окремий об'єкт.

Переглянути список віддалених об'єктів можна за допомогою LDP.exe, скориставшись командлетами PowerShell Get-ADObject та Restore-ADObject (є й інші варіанти).

У LDP, наприклад, слід підключити до сервера, вибрати "Параметри (Options) -> Елементи керування (Controls)" і в розкривному списку "Наперед визначене завантаження" (Load Predefined) встановити параметр Return deleted objects. Потім переходимо до «Вид -> Дерево», вибираємо контекст домену. У результаті дереві справа з'явиться об'єкт CN=Deleted Object, де й знаходимо всі видалені об'єкти.

Тепер важливе – при видаленні об'єкт втрачає більшу і важливу частину своїх властивостей (зокрема, пароль, managedBy, memberOf), тому після його відновлення він буде не зовсім у тому вигляді, як нам хотілося. Все це добре видно в LDP. Але тут є кілька варіантів:

  • збільшити кількість атрибутів, які не будуть затерті при видаленні об'єкта у сховищі віддалених об'єктів;
  • відновити об'єкт та повернути йому атрибути;
  • та найкращий – заблокувати об'єкт від випадкового видалення.

Відновити віддалений об'єкт можна кількома способами. Найзручніший – утиліта AdRestore Марка Руссиновича (Mark Russinovich). Завантажуємо та вводимо:

> adrestore -r user

Отримуємо об'єкт із частиною атрибутів.

Інші методи розписані в KB840001, вони не такі прості, тому зупинятись на них не буду.

Відновлюємо атрибути об'єктів

У знімку, отриманому за допомогою ntdsutil, є об'єкт та його атрибути. Образ можна монтувати та підключати як віртуальний LDAP-сервер, що експортує об'єкти. Викликаємо ntdsutil:

> ntdsutil

ntdsutil: snapshot

Дивимося список доступних знімків:

знімок: list all

Знімок змонтовано. Тепер можна перейти за допомогою Провідника у вказаний каталог та переглянути, що знаходиться всередині. Виходимо з ntdsutil, ввівши двічі quit, образ, як і раніше, буде змонтований. Тепер, використовуючи утиліту dsamain, створюємо віртуальний LDAP-сервер, вказавши як параметр шлях до файлу ntds.dit, який знаходиться у змонтованому знімку. Як порт LDAP-сервера я вибрав 10000:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT DS\ntds.dit -ldapPort 10000

Завершено запуск доменних служб Active Directory (Майкрософт) версії 6.0.6001.18000

Можна підключитися до віртуального LDAP-серверу за допомогою консолі «Active Directory – користувачі та комп'ютери», вказавши як параметр номер порту 10000, і переглянути об'єкти, що знаходяться всередині.

Експортуємо параметри потрібного об'єкта в ldf-файл, докладніше про ldifde написано в KB237677.

> ldifde -r "(name=user)" -f export.ldf -t 10000

В отриманому файлі ldf слід змінити параметр changetype: add на changetype: modify і потім новий файл імпортувати в каталог:

> ldifde -i -z -f import.ldf

Є й інші варіанти імпорту/експорту з використанням DSGET/DSMOD, PowerShell тощо.

> dsget user cn = user, ou = ou1, dc = domain, ds = ru -s localhost:10000 -memberof | dsmod group -c -addmbr cn=user,ou=ou1,dc=domain,ds=ru

Інший метод ґрунтується на тому, що кожен об'єкт Active Directory має номер версії. При відмінності номерів версії на двох контролерах домену новим і правильним вважається об'єкт, у якого номер версії вище. Це і використовує механізм. примусового відновлення» (authoritative restore), коли відновленому за допомогою ntdsutil об'єкту надається номер вище і він приймається AD як новий. Для роботи примусового відновлення сервер також перезавантажується в DSRM.

> ntdsutil "authoritative restore" "restore object cn=user,ou=group,dc=domain,dc=ru" q q

Аналогічно відновлюється підрозділ:

> ntdsutil "authoritative restore" "restore subtree ou=group,dc=domain,dc=ru" q q

Захист об'єктів від видалення

Почну з того, що разом з Windows Server 2008 R2 адміністратори отримали ще один функціональний рівень домену, і такий сервер може бути налаштований в одному з чотирьох рівнів – Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Його можна вказати на етапі установки за допомогою dcpromo або підвищити, якщо вибрано менший рівень, використовуючи меню Reise the domain (forest) функціональний рівеньв Active Directory Admin Center,про яке трохи далі. Причому можлива і зворотна операція – зниження функціонального рівня домену та лісу, якщо вони знаходяться на рівні Windows Server 2008 R2, його можна повернути на рівень Windows Server 2008, нижче – на 2003 чи 2000 – не можна. Більшість нових можливостей буде доступна тільки в тому випадку, якщо домен знаходиться на рівні R2. Так, починаючи з Windows Server 2008 як об'єкт з'явився додатковий пункт, що дозволяє його захистити від випадкового видалення. Точніше, він був і раніше, але тут його вже не доводиться шукати.

У Windows Server 2008 він доступний під час створення підрозділу (OU, Organizational Unit) і називається «Захистити об'єкт (контейнер) від випадкового видалення» (Protect object from accidental deletion). Такий прапорець з'являється лише під час створення нового OU. Для вже наявних OU, а також новостворених груп, комп'ютерів та облікових записів його можна активувати у вкладці "Об'єкт" вікна властивостей (видно при активному "Вид -> Додаткові компоненти (Advanced)").

В R2 необхідний пункт Protect from accidental deletion є у властивостях окремого облікового запису, комп'ютера, групи та підрозділи, на самому видному місці. Достатньо встановити тут прапорець і при спробі видалити об'єкт, адміністратор отримує попередження про неможливість зробити необхідну операцію. При цьому потрібно пам'ятати, що прапорець захищає від видалення лише об'єкт, в якому він встановлений. Тобто, якщо він активований для групи, на окремі елементи, що входять до її складу, ця установка ніяк не поширюється. Тобто, як і раніше, можна буде видалити будь-який об'єкт усередині, якщо він не захищений персональним прапорцем. Дещо інша ситуація при видаленні незахищеного OU. Якщо в його складі немає захищених об'єктів, OU буде повністю вилучено. Але якщо такі об'єкти є, то слід встановити у вікні прапорець «Використовувати елемент управління сервера «Видалити піддерево» (Use delete subtree server control). Інакше замість видалення самого OU з усіма елементами буде фактично зроблена спроба очищення OU від об'єктів, які не мають захисту. Причому, як показують експерименти, очищення це буде неповним, оскільки, зіткнувшись із першим захищеним об'єктом, програма припиняє роботу, видавши попередження. Це і для Windows Server 2008, і для R2 RC.

Об'єкт захищений від випадкового видалення

Active Directory Recycle Bin

У Windows Server 2008 R2 з'явилася нова функція Active Directory Recycle Bin (AD RB), що автоматично активується, коли домен знаходиться на рівні Windows Server 2008 R2. По своїй суті вона схожа з кошиком, що використовується в Windows, в яку поміщаються видалені файли, і випадково віддалений об'єкт може бути швидко та без проблем відновлено. Причому відновлений з AD RB об'єкт одразу отримує і всі свої аттрибути. За умовчанням час "життя" віддаленого об'єкта в AD RB становить 180 днів, після цього переходить у стан Recycle Bin Lifetime, втрачає атрибути і через деякий час повністю видаляється. Змінити ці значення можна за допомогою msDS-deletedObjectLifetime. Якщо під час встановлення AD був вибраний рівень нижче R2, а потім був піднятий командою:

PS C:\> Set-ADForestMode –Identity domain.ru -ForestMode Windows2008R2Forest

то AD RB слід активувати окремо. Для цього використовується командлет Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature -Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service, /

CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=ru' –Scope Forest –Target ‘domain.ru’

Відновити віддалений об'єкт тепер дуже просто:

PS C:\> Get-ADObject -Filter (displayName -eq "user") -IncludeDeletedObjects | Restore-ADObject

Командлети Get-ADObject та Restore-ADObject мають велику кількість параметрів, наприклад, дозволяючи знайти OU, до якої належала віддалена обліковий запис, а потім відновити весь OU. У документі Restore a Deleted Active Directory Objectвсе дуже докладно викладено.

Висновок

Незважаючи на можливості нових серверних ОС від Microsoft, резервне копіювання контролерів Active Directory має проводитися планомірно та постійно, без цього неможливе відновлення окремих об'єктів або OU. Причому, крім Windows Server Backup, слід створювати знімки за допомогою ntdsutil. Процес резервування спрощується, а обсяг даних зменшується, якщо контролер домену не виконує інших функцій.

  1. Джил Кіркпатрік. Резервне копіювання та відновлення Active Directory у Windows Server 2008 – http://technet.microsoft.com/ru-ru/magazine/cc462796.aspx.
  2. Стаття KB944530. Error message when you try to perform a system state backup in Windows Server 2008 – http://support.microsoft.com/kb/944530 .
  3. Утиліта AdRestore - http://technet.microsoft.com/ru-ru/sysinternals/bb963906.aspx.
  4. Документ KB840001. How to restore deleted user accounts and their group memberships in Active Directory – http://support.microsoft.com/kb/840001 .
  5. Документ KB237677. "Використання засобу LDIFDE для імпорту та експорту об'єктів каталогів в Active Directory" - http://support.microsoft.com/kb/237677/ua .
  6. Сторінка, присвячена Windows Server 2008 R2 - http://www.microsoft.com/windowsserver2008/ru/ru/default.aspx.
  7. Документ Step 2: Restore a Deleted Active Directory Object –http://technet.microsoft.com/en-us/library/dd379509.aspx .

Даних з підтримкою більшості популярних файлових систем(FAT12, FAT16, FAT32, NTFS, NTFS5, NTFS + EFS). Працює з жорсткими дисками: IDE, ATA, SCSI, флешками , картами пам'ятіі дискетами, а також RAID-масивами, що особливо важливо для системних адміністраторів. Але й простому користувачеві відновити видалені або пошкоджені файли не важко.

Програма може розпізнати 28 типів файлів по закладеним сигнатурам. Це можуть бути документи, фотографії чи зображення, музика, відео, архіви тощо. Для фотографів професіоналів та любителів є можливість пошуку RAW-фотографій використовуваних виробником їх фотоапарата (Leica, Canon, Nikon, Sony тощо), що звузить пошук та зменшить час відновлення знімків.

Два варіанти відновлення: QuickScan (швидкий) і SuperScan (повільний), а також фільтр пошуку, у тому числі в частині імені файлу допоможе скоротити термін пошуку та відновлення потрібних файлів. У будь-якому випадку алгоритми програми дозволяють швидко відновлювати дані навіть з HDD великих обсягів, що часто недосяжно для конкуруючих утиліт.

Інтерфейс програми буде зрозумілий навіть недосвідченому користувачеві, але навіть у досвідчених, що зіткнулися вперше з відновленням інформації, можуть виникнути питання і складності. Ми написали інструкцію з використання Active File Recovery, яка допоможе пройти процес відновлення від запуску програми до радості після того, як повернете втрачені дані.

Інструкція з використання File Recovery

Для наочного приклади ми взяли чотири файли: відео (mp4), аудіо (mp3), документ Word(doc) та картинку (jpg). Скинули ці файли на карту пам'яті MicroSDта відформатували її. Тепер спробуємо відновити ці файли після форматування та переконаємось у працездатності програми.

Зображення №1: Файли для відновлення

Зображення №2: Форматування картки пам'яті

Розпакувавши архів із програмою, запускаємо файл « FileRecovery.exe». Відкрилося стартове вікно для ОС Windows (Див. № 4), де ми бачимо всі підключені пристрої для зберігання даних, серед яких є відформатована нами картка пам'яті (ChipBnk Flash Disk). Вибираємо її та натискаємо «SuperSkan» для більш точного повільного сканування картки пам'яті.

Зображення №4: Вибираємо пристрій для сканування

Відкриється маленьке вікно з параметрами сканування. У ньому можна встановити пошук віддалених розділів, якщо такі були, а нижче вибрати типи файлів, які програма шукатиме по сигнатурах. Якщо вам потрібно знайти і відновити все, що було на накопичувачі до форматування або видалення, то просто залиште "All (Slow)", але пам'ятайте, що сканування займе значно більше часу.

Зображення №5: Налаштування сканування

Якщо ви точно знаєте, які типи файлів вам потрібно відновити, вибирайте «Some» і натисніть «Select…». Поставивши галочки тільки біля розширень файлів, що нас цікавлять, ми скоротимо час пошуку. У нашому випадку я вказав чотири типи файлів.

Зображення №6: Вибір типу файлів

Тепер тиснемо "ОК" та "Start". Процес сканування запущено, і ми бачимо прогрес наочно у нижньому лівому кутку у відсотках.

Зображення №7: Процес сканування

Після завершення сканування в лівій частині програми під усіма пристроями з'явиться папка SuperScan з датою та часом. Відкриваємо її і праворуч бачимо типи файлів, знайдені програмою. Вибираємо їх і натискаємо нагорі значок з написом «Recover». Для відновлення файлів нам запропонують вказати місце, куди вони будуть збережені. Після вибору місця збереження натискаємо Recover, що запустить процес відновлення.

Зображення №8: Відновлення даних

Після того як відновлення данихзакінчено заходимо до папки, яку вказали, де і збережені наші файли, кожен у своєму розділі. Перевіряємо працездатність та радіємо! Єдиний мінус у тому, що програма не змогла відновити назви файлів після форматування, але так не завжди.

Телевізори

Вам також може сподобатися