:::: MENU ::::

Záloha a obnova databáze AD DS

20.10.2009    |    komentáře   komentářů: 0

Důležitou součástí udržování správného chodu domény je určitě zálohování, aby se zajistilo, že v případě havárie můžete obnovit ztracená nebo poškozená data AD DS.

maintainingAD_backup_introduction

Samotné zálohování je v systému Windows Server 2008 z velké části přepracované. Záloha je prováděna na bitové úrovni a zálohuje se vždy celý volume disku, a to jak boot volume, tak system volume.
Pro zálohování je možné použít Windows Server Backup konzoli, nebo command-line nástroj Wbadmin.exe. Oba nástroje je nutné před použitím nainstalovat, a to pomocí přidání funkce v Server managementu. Pro Wbadmin.exe je nutné mít nainstalovaný i PowerShel.

Zálohování System State

Součásti System State, které je nutné na serveru zálohovat, závisí na nainstalovaných rolích serveru.
System State obsahuje minimálně tyto údaje:

  • Registry
  • COM+ Class Registration database
  • Boot files, as described earlier in this topic
  • Active Directory Certificate Services database
  • AD DS database
  • SYSVOL directory
  • Cluster service information
  • Microsoft Internet Information Services (IIS) metadirectory
  • System files that are under Windows Resource Protection

Již není možné zálohovat pouze System state, ale záloha obsahuje vždy celý volume disku, pouze pomocí nástroje Wbadmin.exe je možné provést obnovu pouze system state, ale záloha je opět celý volume disku.

Zálohování pomocí Windows Server Backup

alt

 

Pro zálohování je možné použít Windows Server Backup konzoli, kterou je nutné před použitím nainstalovat, a to pomocí přidání funkce v Server managementu.

Nové funkce Windows Server Backup:

  • rychlejší zálohování, které využívá VSS (Volume Shadow Copy Service)
  • jednoduchá obnova, která umožnuje obnovení třeba jediného souboru
  • snadnější oprava operačního systému za použití nových nástrojů
  • vzdálená správa pomocí MMC konzole
  • hlídání volného místa u plánovaných záloh
  • podpora command-line příkazů

Typy záloh:

  • manuální (pomocí Windows Server Backup, nebo nástroje Wbadmin.exe)
  • naplánovaná (pomocí Windows Server Backup, nebo nástroje Wbadmin.exe)

Při vytváření zálohy je nutné se vyvarovat uložení zálohy na critical volumes, která by mohla být poškozena, jelikož při vytváření zálohy je cílový drive reformátovaný jako hosts.

Zálohování je možné provádět na:

  • disky
  • sdílené adresáře
  • DVD/CD
  • USB disky

Zálohování na pásky již není podporováno!

Možnosti obnovy AD DS

alt

V systému Windows Server 2008 máte několik možností pro obnovu AD DS. Možnost, kterou vyberete, závisí na scénáři havárie, kterou je třeba řešit.

Windows Server 2008 umožňuje následující možnosti pro obnovení AD DS:

Možnost obnovy

Popis
Normální obnova
(Normal restore)		 Normální (neautoritativní) obnovení adresářové služby vrátí systém do stavu v době, kdy byla záloha vytvořena. Údaje pak jsou dále aktualizovány prostřednictvím běžného procesu replikace. Proveďte normální obnovení pouze tehdy, pokud ostatní řadiče domény neobsahují chyby, které by se pomocí replikace opět dostali na obnovený DC.
Autoritativní obnova
(Authoritative restore)		 Autoritativní obnova poskytuje metodu k navrácení objektů a kontejnerů, které byly odstraněny z AD DS. Pokud chcete provést autoritativní obnovení, provedete normální obnovení bez připojení do sítě a pomocí Wbadmin.exe Určíte, zda je celá obnova AD DS autoritativní nebo jen konkrétní OU či objekt. Označení celé obnovy jako autoritativní se dělá v případě, pokud je poškozena integrita AD DS, která se pomocí replikace rozšířila na všechny DC. Označení jen některého objektu jako autoritativní se dělá v případě, že jste smazali některý objekt (např. OU) a chtete zajistit, že při replikaci obnovený server převezme aktualizace od ostatních DC a sám jim předá pro replikaci autoritativní záznam např. OU pro obnovení.
Obnova celého serveru
(Full Server restore)		 Obnova celého serveru se používá v případě pokud nelze problém odstranit pomocí obnovy doménového řadiče. Během této obnovy jsou přeformátovány všechny pevné disky serveru dle zálohy. Použijte toto nastavení pokud obnovujete server na novém HW, neb všechny předchozí možnosti obnovy selhaly
Obnova do jiného umístění
(Alternative Location restore)		 Tato možnost se používá v případě instalace nového doménového řadiče

 

Normální obnova (Nonauthoritative AD DS Restore)

alt

 

Pro normální (neautoritativní) obnovu je potřeba server restartovat do módu DSRM (Directory Services Restore Mode).

Možnosti restartování do módu DSRM:

1) pomocí klávesy F8 při bootování serveru
2) pomocí utility Bcdedit.exe a zadáním příkazu bcdedit /set safeboot dsrepair, který zajistí po restartu nabootování do DSRM a po dokončení obnovy příkazem bcdedit /deletevalue safeboot dsrepair zajistíte nabootování do normálního stavu.

Autoritativní obnova (Authoritative AD DS Restore)

alt

 

Autoritativní obnova nám umožnuje určit, jaké z obnovených dat se stanou pro další replikace autoritativní (replikují se na ostatní DC, kde v případě konfliktu data přepíší), a tak v AD DS prostředí můžeme obnovit smazané objekty nebo opravit nekonzistetnost databáze, které se pomocí replikací rozšířily na celé prostředí.
Při autoritativní obnově postupujeme jako u Normální obnovy, jen po dokončení Normální obnovy spustíme nástroj ntdsutil.exe, pomocí něj nastavíme, jaké z obnovených dat jsou autoritativní.

Pro spuštění nástroje ntdsutil.exe je ho zapotřebí doinstalovat pomocí management serveru. Dále je požadován PowerShel.

Co jsou Database Mounting tool (Dsamain.exe)

alt
Database Mounting tool (Dsamain.exe) umožňují administrátorům vytvářet snapshots databáze AD DS a zpětně je poté prohlížet. Díky tomu můžete později tyto Snapshoty použít k prohlížení (ne obnově) smazaných účtů a předchozího stavu AD DS.

Obnovení smazaných objektů bez použití zálohy (Reanimating Tombstoned AD DS Objects)

alt
Všechny objekty, které v prostředí AD DS smažete, jsou po dobu 180 dnů označeny jako tombstone a jejich atribut isDeleted je nastaven na True. Takto nastavené objekty udržuji pouze kritické údaje o sobě jako (SID, ObjectGUID, LastKnownParent, SAMAccountName).

Tyto objekty je stále možné do 180 dnů obnovit a to pomocí LDAP nástrojů a změnou atributu isDeleted na False.

U Windows Server 2008 R2  je doba prodloužena na 360 dnů a to 180 dnů v „doménovém koši“ a 180 dnů změnou objektu na tombstone. Výhoda doménového koše je pak snadná obnova objektů a zachování všech atributů.

Komentáře