Восстановление удаленных объектов виртуализованной Active Directory из tombstone-объектов

от автора

Продолжаем публиковать статьи, посвященные резервному копированию и восстановлению после сбоев виртуализованной Active Directory. В предыдущей статье речь шла о восстановлении контроллера домена целиком. Однако системным администраторам гораздо чаще приходится сталкиваться с запросами на восстановление отдельных объектов Active Directory. Поэтому сегодня мы рассмотрим восстановление из tombstone объектов виртуализованной Active Directory в системах с функциональным режимом работы леса не выше Windows Server 2008. В принципе, сейчас они встречаются довольно редко, но где-то наверняка еще используются. О более новых системах и таких возможностях, как корзина Active Directory, будет рассказано в следующей статье.

Жизненный цикл объекта Active Directory

Итак, почему же так важно понимать, как функционируют системы более ранних версий? Потому что современная логика и привычная функциональность в этих случаях неприменимы. До появления Windows Server 2008 R2 жизненный цикл объектов Active Directory выглядел следующим образом:

image

Удаление объекта Active Directory не приводит к его физическому удалению – а происходит вот что:

  1. Active Directory скрывает удаленный объект, меняя значение атрибута isDeleted на TRUE.
  2. Затем большинство атрибутов объекта сбрасывается, а сам объект переименовывается и перемещается в специальный контейнер (CN=Deleted Objects). С этого момента объект получает статус «tombstone», и стандартные средства Active Directory не знают о его существовании.
  3. В этом специальном состоянии объект находится в течение установленного периода (60 дней в Windows Server 2000/2003 и 180 дней в Windows 2003 SP1/2008). Это делается, чтобы гарантировать успешное выполнение репликации данных в системе.
  4. По окончании отведенного времени существования в состоянии «tombstone» осуществляется вызов специального процесса (так называемый сборщик мусора), который физически удаляет объект из базы данных.

И вот здесь возникает вопрос: если «tombstone» объект не удаляется физически в течение некоторого времени, нельзя ли его восстановить? Коротко говоря — можно. Хотя такой механизм удаления объектов не был предназначен для использования в качестве временной корзины, а удаленные объекты не предполагалось восстанавливать, технически это возможно. Далее я расскажу, как это можно сделать.

Восстановление объектов Active Directory с помощью утилиты LDP

LDP (LDP.exe) —проверенная временем программа, созданная разработчиками Active Directory. Выглядит она довольно просто, но у нее много возможностей, которые позволяют полностью управлять объектами Active Directory. Недостаток ее в том, что на освоение функционала программы нужно потратить довольно много времени, а интерфейс не слишком современен и понятен.
Примечание: Эта статья не является полноценным руководством по программе LDP. Чтобы научиться работе с программой, рекомендую воспользоваться руководством по LDP.

Итак, чтобы восстановить «tombstone» объект с помощью LDP, необходимо сделать следующее:

  1. Запустите программу (Start — Run — ldp)
  2. Подключите ее к контроллеру домена (Connection – Connect..). Используйте для подключения данные соответствующей учетной записи (администратора предприятия или домена). (Connection – Bind..)
  3. Найдите нужный объект в контейнере удаленных объектов. Вам потребуется научиться использовать различные настройки поиска и фильтра (Browse – Search).
  4. В диалоговом окне «Controls» (элементы управления) выберите вариант «return deleted objects» (выводить удаленные объекты) и нажмите кнопку «check in» (добавить), чтобы добавить идентификатор объекта для этого варианта в список Active Control (активные элементы управления).
  5. Затем сохраните настройки и выполните запрос, чтобы найти удаленный объект.
  6. Восстановите «tombstone» объект, используя мастер (Browse – Modify), чтобы найти объект по параметру distinguishedName (DN) и удалить значение isDeleted с одновременным переименованием объекта.
  7. В результате объект будет восстановлен, и его можно будет увидеть через инструмент просмотра пользователей и компьютеров Active Directory.

На рисунке ниже показан типовой пример поиска, который я выполнил, чтобы найти tombstone-объекты в моем тестовом домене:

image

В дополнение к сказанному выше следует помнить некоторые особенности такого восстановления tombstone-объектов. Так, некоторые атрибуты (например, членство в группах), удаленные при первоначальном удалении, не будут восстановлены, что потенциально может создать вам проблемы.

Использование Veeam Explorer для Microsoft Active Directory

В качестве альтернативного способа можно использовать решения Veeam, в частности, Veeam Explorer для Active Directory. Эта программа позволит вам выполнять восстановление гораздо проще и быстрее. При этом она решает многие проблемы восстановления tombstone-объектов — например, потерю пароля учетной записи и многих важных атрибутов, таких как имя и фамилия пользователя. Однако такой вариант восстановления годится не для всех сценариев — сначала надо провести предварительную подготовку. А именно: для использования Veeam Explorer для Active Directory у вас должна быть резервная копия контроллера домена, где был удален объект. На сегодня мы рассматриваем виртуализованный контроллер, чья резервная копия была создана с помощью Veeam Backup & Replication.

Итак, если вам посчастливилось быть администратором виртуального контроллера домена с функциональным режимом работы леса доменов Windows Server 2003 или Windows Server 2008, можно использовать следующую процедуру:

  1. Убедитесь, что у вас есть резервная копия контроллера домена и что при ее создании была включена обработка данных с учетом состояния приложений (о том, почему это важно, говорилось в первой статье серии) – то есть у задания бэкапа была выбрана опция Guest Processing > Enable application-aware processing.image

  2. Если вам нужно восстановить удаленный объект, перейдите к резервной копии контроллера домена, кликните правой кнопкой и выберите Restore application items > Microsoft Active Directory objects… (объекты Microsoft Active Directory), чтобы начать восстановление и запустить Veeam Explorer для Active Directory.image

  3. Найдите нужный контейнер и включите опции Compare all objects (сравнить все объекты) и Show changed objects only (показывать только измененные объекты). Таким образом вы настроите предварительную фильтрацию: Veeam Explorer сравнит данные в резервной копии с текущим состоянием DC и отобразит только измененные объекты. Просмотрите состояние объектов и найдите те, у которых оно обозначено как Tombstone.image

  4. Нужный объект (объекты) можно восстановить в рабочую среду или экспортировать как файл .lde.image

  5. При восстановлении учетной записи пользователя на одном из шагов мастера вам будет предложено указать параметры восстановления пароля (Specify password restore options). Вы можете выбрать один из следующих вариантов:
    • восстановить учетную запись со старым паролем (Restore password)
    • задать новый пароль вручную (Set password to)
    • выполнить восстановление без пароля (Do not restore password)

Восстановление старого пароля позволит снизить нагрузку на администратора и сделать процесс восстановления учетной записи полностью незаметным для пользователя. Представьте себе, что ночью в результате сбоя исчезло целое подразделение (OU) с сотнями пользователей, и его нужно восстановить. Утром при входе в систему всем сотрудникам будет предложено сменить пароль, и они, разумеется, начнут задавать вопросы. Естественно, если есть возможность, лучше такой ситуации избежать.

image

С учетом сказанного выше, понятно, что Veeam Explorer для Microsoft Active Directory предлагает относительно простой способ восстановления tombstone-объектов Active Directory. Если вы работаете в подходящей системе, рекомендую обратить внимание на этот продукт.

На сегодня, пожалуй, всё. В следующей статье серии сравним возможности корзины Active Directory с другими способами восстановления объектов.

Полезные ссылки:

ссылка на оригинал статьи https://habrahabr.ru/post/317174/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *