Защита Windows 2000 Active Directory (часть 4) — восстановление

В этой статье я сосредоточусь на том, насколько важно восстановление активного каталога по сравнению с его безопасным запуском. Наличие невосстанавливаемой резервной копии имеет катастрофические последствия, особенно если ваша AD была повреждена злоумышленником или новым вирусом, нацеленным на AD. Нет смысла копаться и вкладывать тысячи долларов в стратегию резервного копирования, если вы не можете восстановить.

Самая важная часть вашей стратегии резервного копирования должна быть сосредоточена на восстановлении и должна начинаться с того, что вы можете восстановить, а не выпекать. Неприлично работать в обратном направлении, начиная с точки, где у вас есть рабочая среда, а затем пытаться воспроизвести ее в другой среде. Затем вы быстро определите, что вам нужно восстановить, и, используя этот подход, вы поймете, что вам нужно сделать резервной копией.

Часть 1 Часть 2 Часть 3

Восстановление Active Directory

Существует два метода восстановления Active Directory.

1. Репликация восстанавливает. Переустановка вышедшего из строя контроллера домена Windows 2000, что позволяет другим контроллерам домена заполнить Active Directory посредством обычного процесса репликации. Это не лучшая стратегия восстановления, так как весь сайт может выйти из строя.
2. Восстановление Active Directory с резервного носителя. Использование резервного копирования состояния системы. Это восстанавливает AD в состояние, в котором оно было во время последнего резервного копирования.

Восстановление репликации.

Сценарий: у вас есть система Active Directory, работающая с более чем тремя контроллерами домена. Один из контроллеров домена испытывает проблемы и не работает должным образом, а позже в тот же день прекращает обслуживание. Другие контроллеры домена все еще в такт и работают нормально.

1. Переформатируйте неисправный контроллер домена и переустановите на него Windows 2000. Позвольте оставшимся контроллерам домена Windows 2000 заполнить базу данных на только что переустановленном сервере посредством репликации.

2. После добавления нового сервера Windows 2000 AD в домен нажмите «Пуск», затем «Программы», «Администрирование», затем «Сайты и службы Active Directory» на существующем контроллере домена. Удалите все ссылки на сломанный контроллер домена.

Рисунок 1a:

Восстановление резервной копии.

Если вы часто выполняете резервное копирование, вы с меньшей вероятностью потеряете данные. Восстановление данных из резервной копии должно выполняться регулярно по расписанию, и в зависимости от конфиденциальности данных вы должны восстанавливать их очень часто. При восстановлении из резервной копии Active Directory будет восстановлена до состояния, в котором она находилась на момент последней резервной копии.

Существует два режима восстановления данных состояния системы AD с резервной ленты.

1. авторитетное восстановление
2. неавторитетное восстановление.

Восстановление по умолчанию , другие контроллеры домена могут перезаписывать части восстановленных данных более новыми данными. является иерархическим по отношению к данным, хранящимся на всех других контроллерах домена. Первичное восстановление используется при восстановлении информации Active Directory на автономном контроллере домена или на первом из нескольких контроллеров домена.

Восстановление операционной системы.

При восстановлении сбойной операционной системы убедитесь, что вы максимально точно имитируете предыдущую систему. Используйте тот же IP-адрес и разделы, что и ранее, и убедитесь, что системный и загрузочный разделы находятся на тех же дисках и разделах, что и ранее.

Первичное восстановление.

Этот тип восстановления следует использовать только для восстановления домена из резервной копии, когда все контроллеры домена потеряны. Первичное восстановление следует инициировать на первом контроллере домена, а неавторизованное восстановление — на всех остальных контроллерах домена.

Неавторизованное восстановление

При неавторизованном восстановлении восстанавливаемые данные включают объекты Active Directory с исходными порядковыми номерами обновлений. Следует соблюдать осторожность, так как любые данные, восстановленные неавторизованным образом, будут отображаться в системе репликации Active Directory как устаревшие, данные не будут реплицированы на другие контроллеры домена. Восстановленные данные могут быть перезаписаны более новыми данными на контроллерах домена, которые еще не были восстановлены.

1. Неавторизованное восстановление требует, чтобы база данных служб каталогов была отключена.
2. Active Directory необходимо перевести в режим восстановления служб каталогов, перезагрузив сервер и нажав F8 на экране выбора ОС, затем выберите параметры диагностики и восстановления, а затем выберите Восстановление служб каталогов.
3. Войдите в систему с правами локального администратора локально.
4. Начните восстановление Active Directory, нажав «Пуск», затем «Выполнить» и введите «ntbackup» в командной строке. Программа резервного копирования win 2000 должна загрузиться.
5. Выберите «Инструменты», затем «Мастер восстановления» и запустите восстановление.

Примечание. Windows 2000 запрещает восстановление состояния системы, если данные старше срока жизни захоронения по умолчанию (по умолчанию 60 дней). После восстановления перезагрузите сервер, чтобы начать нормальную репликацию. Проверка согласованности может быть выполнена для проверки целостности Active Directory и переиндексации файлов. Восстановление активного каталога состоит из восстановления базы данных до того момента, когда была сделана последняя успешная резервная копия, а затем пришло время реплицировать каталог на вновь восстановленный DSA, реплицирующий обновления после резервного копирования с других DSA в домене/предприятии.

Авторитетное восстановление

Полномочное восстановление следует использовать для восстановления всего активного каталога или определенной части активного каталога. Перед перезапуском контроллера домена запустите утилиту Ntdsutil после восстановления данных о состоянии системы при использовании принудительного восстановления на соответствующем контроллере домена. Ntdsutil помечает объекты Active Directory для принудительного восстановления, гарантируя, что любые восстановленные реплицированные данные будут правильно реплицированы или распределены по контроллерам домена вашей компании. Восстановление данных о состоянии системы без указания альтернативного места для восстановления данных приведет к удалению данных о состоянии системы, которые в данный момент находятся на контроллере домена, на который выполняется восстановление. При восстановлении состояния системы на контроллере домена запустите компьютер в режиме восстановления службы каталогов. Это позволит восстановить каталог SYSVOL и Active Directory.

1. Перейдите к службам каталогов и выберите режим восстановления.
2. Войдите в систему с правами локального администратора.

3. Теперь нажмите «Пуск», затем нажмите «Выполнить», введите ntdsutil и нажмите «ОК».

Резюме:

В этой статье я подчеркнул тот факт, что восстановление активного каталога следует рассматривать как очень важное дело. Многие организации осознают важность возможности восстановления данных из резервной копии, но недостаточно практикуют этот ритуал. Настоятельно рекомендуется, чтобы чем более конфиденциальными были резервные копии данных, тем выше частота восстановления. Используя эту стратегию, можно быть уверенным, что в случае аварии вы будете готовы привести организацию в рабочее состояние, обеспечив безопасность Windows и целостность данных.

Часть 1 Часть 2 Часть 3