Главная Windows, Новое Восстановление контроллера домена Active Directory в Windows Server 2008 (Часть 1)
  • Восстановление контроллера домена Active Directory в Windows Server 2008 (Часть 1)

    ad   В предыдущей статье я рассказывал, как правильно восстанавливать удаленные объекты Active Directory. Сейчас хотелось бы поговорить о полном восстановлении контроллера домена Active Directory, ведь зачастую проблемы системных администраторов гораздо более сложные, чем потеря одного объекта. Угрозу стабильности может представлять вирусная активность, испортившая реестр на контроллере, вышедший из строя жесткий диск, на котором хранились системные файлы, полная или частичная потеря папки SYSVOL c групповыми политиками. Этот страшный список можно продолжать.

    Поскольку на дворе 2009 год речь пойдет о контроллерах домена под управлением Windows Server 2008, благо восстановление предыдущей версии ОС описано неоднократно. Начнем.

    Первое, что бы должны хорошо уяснить, знакомой утилиты NTbackup уже нет, на смену ей пришло новое решение ” Система архивации данных Windows Server “. Это именно новое решение, а не обновленный NTbackup. Также с Windows Server 2008 поставляется новая утилита командной строки Wbadmin.exe, она расширяет и дополняет возможности графической “Системы архивации данных Windows Server “.

    Для достижения полного понимания, описывать систему восстановления я буду на примерах типовых организации.

    Организация первая: Один сервер.

    Довольно распространенное явление. Фирма имеет небольшое количество компьютеров, как правило, до 30-40 и в сети присутствует единственный сервер под управлением ос Windows Server 2008. Он же и является контроллером домена Active Directory, вдобавок несет на себе роль файлового сервера и возможно некоторые сетевые приложения. Да у Microsoft есть рекомендации говорящие о том, что любая организация Active Directory должна иметь как минимум два контроллера домена и сам контроллер не должен иметь дополнительных ролей. Но будем смотреть правде в глаза, в малом бизнесе фирм с одним сервером очень и очень много. Как же будет выглядеть система восстановления в такой ситуации?

    Прежде все давайте сразу определимся. Наш сервер должен иметь минимум два раздела на жестком диске, а в идеале два раздела на RAID массиве. Объясню почему, “Система архивации данных Windows Server ” осуществляет резервное копирование только разделов (есть одно исключение, но о нем позже), выбрать резервное копирование одной или нескольких папок мы не можем.

    Поэтому:

    1) Раздел 1 будет содержать – Операционную систему Windows с реестром, файлы загрузки, включая файл Bootmgr, базу данных Active Directory (Ntds.dit), журналы базы данных Active Directory и папку SYSVOL с групповым политиками.

    2) Раздел 2. Второй раздел будет использоваться под хранение резервных копий.

    Примечание: У нас есть возможность создавать резервные копии на:

    а) Раздел жесткого диска (то, что я и предлагаю)

    б) На сетевом ресурсе,

    в) DVD-дисках.

    Microsoft рекомендует хранить резервную копию на внутреннем или внешнем жестком диске.

    Будем считать, что наш сервер был установлен, следуя вышестоящей рекомендации.

    Теперь давайте посмотрим, как застраховаться от непредвиденного “падения” сервера. Используем Windows Complete PC Restore.

    1. Для начала необходимо установить программу “Система архивации данных Windows Server “. К сожалению, в борьбе за минимальный набор устанавливаемых По-умолчанию компонентов система архивации проиграла и изначально не стоит. Я считаю это правильным решением, те, кому она нужна, ее установят, а люди, использующие сторонние решения, сэкономят немного ресурсов. Установка идет по классическому сценарию для Windows 2008 через “Диспетчер Сервера”

    image

    Рис. 1 Установка системы архивации

    2. После установки системы архивации нам необходимо настроить расписание задачи, которая будет делать архивную копию нашего Раздела 1 (Напоминаю на нем находится Windows Server 2008 и Active Directory ). Я предлагаю делать такой архив раз в неделю в воскресенье, дальше вы поймете почему. Для этого запускаем оснастку “Системы архивации данных Windows Server ” и запустить расписание архивации.

    Важно: Данный архив можно будет использовать для восстановления на новых жестких дисках.  А также на другом идентичном оборудовании.

    image

    Рис.2 Запуск расписания Архивации

    После этого пропустить приветствие и нажать “Далее”. Перед нами встанет выбор, как осуществлять резервное копирование (Весь сервер или настраиваемый). Поскольку в наш архив должен попадать только Раздел 1, мы выбираем “Настраиваемый”.

    image

    Рис.3 Выбор конфигурации архивации.

    После открывается список разделов нашего сервера на котором мы должны снять “галочки” на всех разделах кроме того который содержит нашу систему. (В статье он называется Раздел 1)

    image

    Рис. 3 Выбор разделов.

    Выбрав, что бы будем архивировать, переходим к настройке расписания. Из данного окна тонко настроить расписание задачи мы не сможем, поэтому выбиваем время Ежедневно 21:00. В дальнейшем мы изменим это расписание.

    image

    Рис.4 Расписание.

    image

    Рис. 5 Выбор места хранения резервной копии

    На пятом рисунку показано окно, где вам необходимо выбрать место хранения архива. Я выбираю единственный доступный раздел. После чего запускается процесс форматирования. По окончанию которого вам раздел пропадет из зоны видимости, т.к буква диска него будет удалена. От лишних глаз он будет убран, а вы всегда сможете его найти через оснастку “Управление дисками”

    image

    Рис. 6. В Процессе форматирования.

    После окончания процесса вам придется несколько раз нажать “Далее”. Я не показываю эти окна, поскольку ничего важного на них не выбирается. Просто оставьте все на параметрах По-умолчанию. Настройка резервного копирования завершена. Остается подправить расписание запуска задачи. Для этого открываем “Планировщик Заданий” в Панели управления и находим нашу задачу.

    image

    Рис. 7 Планировщик Заданий

    Теперь заходим в свойства задачи и меняем расписание. Нам нужно сделать запуск задачи “Ежевоскресной”

    image

    Рис. 8 Измененное расписание

    Подведем итог. Теперь каждое воскресенье в 21:00 на отдельный раздел жесткого диска будет делаться резервная копия нашего “Раздела 1” содержащего системные файлы и базу Active Directory. В случае падения вашего сервера вы всегда сможете его восстановить. Это и есть Windows Complete PC Restore. Только не забывайте, время от времени переносить архивы для хранения за пределы вашего сервера и серверной, дабы не остаться в случае пожара или других крупных неприятностей без сервера и архива одновременно.

    Перейдем к этапу восстановления.

    Запустить восстановление сервера, мы можем несколькими путями, самый простой взять установочный диск Windows Server 2008 и загрузиться с него. На этапе приглашения к установке, необходимо выбрать “Восстановление системы”. После чего будет запущена среда “Windows RE” .

    image

    Рис. 9 Запуск процесса восстановления.

    Далее, мастер находит уже установленные ОС на наших дисках и спрашивает, какую из них мы будет восстанавливать. Как видно по рисунку, на этом этапе также можно подгрузить драйвера для ваших жестких дисков, естественно, если в этом есть необходимость.

    image

    Рис.10 Выбор ОС

    image

    Рис.11 Запуск Windows Complete PC Restore.

    Остается запустить “Восстановление архива Windows Complete PC Restore “. После запуска он предложит нам самую свежую копию архива. Если вы не планируете использовать последний архив, выберите “Восстановить другой архив”. У меня такая задача не стоит, и я выбираю последний доступный.

    image

    Рис.12 Этап выбора архива.

    Далее следует пара окон, которые мы оставляем неизменными. По завершению мастера запускается процесс восстановления, продолжительность которого сильно зависит от скорости оборудования и размера нашего раздела.

    image

    Рис.13 Процесс восстановления.

    После окончания восстановления компьютер уйдет в перезагрузку. И следующий запуск вашего сервера уже произойдет в восстановленном состоянии. Поскольку восстановление системы происходит путем перезатирания раздела, я бы рекомендовал отделить раздел с пользовательскими файлами и приложениями. При раздельном хранении системы и пользовательских файлов, мы можем спокойно восстанавливать сервер, не боясь вернуть важные документы в состояние недельной давности.

    Некоторые из вас могут сказать “Все это здорово, но как быть в ситуации, если сервер сломался в пятницу, а ближайшая копия пятидневной давности. Что будет с новыми пользователями созданными в течении недели? и.т.д”

    Естественно при такой схеме восстановления они пропадут. Можно конечно делать архив нашего раздела ежедневно, но тут встает следующая проблема. А если необходимо восстановить только базу Active Directory и состояние системы, не трогая при этом остальные наши файлы на системном разделе?

    Это конечно личное дело каждого, но на текущий момент мне кажется правильным следующее:

    1.Если ваш системный раздел содержит только операционною систему и базу Active Directory c системными файлами, то создание ежедневной копии системного раздела является оптимальным.

    2. Если же у вас на системном диске находятся папки общего доступа, файлы пользователей и дополнительные приложения правильнее будет ежевоскресно создавать архив системного раздела, а каждый рабочий день создавать архив состояния системы. Если файлы хранящиеся на системном разделе представляют высокую важность, то я думаю будет необходимо выделить под них отдельный раздел и осуществлять его ежедневной резервной копирование отдельным заданием.

    Архив состояния системы. Тут главное не путать архив раздела и состояние системы. Состояние системы это архив самых важных для операционной системы вещей.

    В нашей ситуации в него попадут:

    • Системный реестр
    • База данных регистрации класса COM+
    • Файлы загрузки
    • База данных доменных служб Active Directory
    • Папка SYSVOL
    • Системные файлы, защищенные с помощью средства защиты ресурсов Windows

    Соответственно используя этот набор вы можете восстановить ваш сервер, если произошло повреждение вышеперечисленного. А также выполнить восстановление базы Active Directory в актуальное состояние. Но при полностью уничтоженном сервере только “Состояния системы” будет явно недостаточно. Как минимум потому, что “Состояния системы” контроллера можно восстановить только через “Режим восстановления службы каталогов”, т.е сервер должен в нем загрузиться.

    При этом хотелось бы заметить, что Архив состояния системы со времен Windows 2003 сильно изменился. Если в Windows 2003 он весил порядка 600-700 мегабайт, то создав его в Windows 2008, вы будете сильно удивлены размером в 9 гигабайт. Это происходит за счет включения в архив дополнительных файлов системы. Разница в размерах между архивом раздела и архивом состояния системы  будет видна, если у вас на системном диске хранятся какие-то дополнительные файлы.

    Осуществить создание состояния системы можно только из командной строки используя утилиту Wbadmin.exe

    Синтаксис будет следующий:

    wbadmin.exe start systemstatebackupbackupTarget:Z:

    В конце команды задается буква диска на котором будет создан архив состояния системы. Выполнять эту команду ежедневно удовольствие ниже среднего, поэтому я думаю будет вполне логично создать пакетный файл который будет выполняться по заданному расписанию. (С понедельника по пятницу)

    По-умолчанию невозможно сохранять состояние системы на системный раздел, если по какой-то таинственной причине вам это необходимо, создайте следующий ключ в реестре.

    Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wbengine\SystemStateBackup\
    Ключ: Name: AllowSSBToAnyVolume
    Data type: DWORD
    Value data: 1

    image

    Рис.14 Создание состояния системы

    Теперь когда у нас каждое воскресенье создается архив с системным диском и каждый рабочий день делается состояние системы, возможно два сценария восстановления.

    Сценарий первый. У нас полностью вышел из строя системный раздел и операционная система не загружается. Для восстановления нам придется пройтись по описанной выше процедуре и вернуть наш раздел с системой в рабочее состояние. Естественно для этого будет использоваться загрузочный дистрибутивный диск Windows Server 2008 и последний воскресный архив. Когда этот этап восстановления окончится, будет необходимо перезагрузиться в особый режим работы контроллера домена под название “Режим восстановления службы каталогов”.

    В этом режиме служба Active Directory Domain Services основлена и мы сможем воспользовавшись архивом со свежим состоянием системы обновить базу AD до актуального. (например пятничного).

    Сценарий второй. Наш сервер работает отлично, но по какой-то трагической случайности, были испорчены несколько веток реестра и вдобавок большая часть объектов Active Directory была удалена. Будем считать это атакой злостного хакера-инсайдера. Вродебы “пробоина” не смертельна и сервер все еще в строю, но нам бы конечно хотелось убрать последствия атаки. В этой ситуации состояния системы будет вполне достаточно. Именно этот сценарий я и рассмотрю подробней. Поскольку вы будете знать как восстанавливается состояние системы, выполнить возврат к жизни по первому сценарию самостоятельно у вас труда не составит.

    Для начала перезагружаем наш контроллер домена в режим восстановления службы каталога (DSRM), при этом помним, что для входа на контроллер домена в этом режиме нам нужно знать пароль администратора DSRM режима. (Вы задавали его при поднятии контроллера домена). Для выбора этого режима при запуске компьютера жмем “F8

    image

    Рис.15 Загрузка в DSRM

    Загрузившись в режиме DSRM, открываем командную строку. Сейчас нам нужно посмотреть список резервных копий и выбрать актуальное состояние системы. Для вывода списка вводим команду:

    wbadmin.exe get versions

    Найдя нужное состояние системы копируем “Идентификатор версии”. В моей ситуации он выглядит как “04/05/2009-13:49“. Идентификатором является дата и время создания архива. (Рис.16)

    image

    Рис.16 Поиск нужного архива состояния системы.

    Теперь мы готовы запустить восстановление состояния системы.

    Выполняем команду: wbadmin start systemstaterecovery -version: 04/05/2009-13:49

    image

    Рис.17 Процесс восстановления состояния системы.

    После запуска команды остается набраться терпения и дождаться окончания процесса. Закончив восстановление необходимо перезагрузиться в обычном режиме и проверить работоспособность сервера. Обратите внимание, что после восстановления системы, дополнительные папки созданные вами на системном диске, остались нетронутые.

    А теперь давайте подведем итоги:

    Мы рассмотрели процесс восстановления контроллера домена Active Directory на базе Windows Server 2008 в ситуации когда этот контроллер единственный в сети.

    Для того чтобы спать спокойно, вам будет необходимо:

    1. Выделить раздел жесткого диска под резервные копии.

    2. Создать расписание создания архива раздела с установленной системой. (Выполнение еженедельно)

    3. Создать пакетный файл с командой “wbadmin.exe start systemstatebackupи запускать его с помощью планировщика ежедневно. (Кроме дня, когда запускается создание архива системного раздела)

    4. Держать под рукой дистрибутивный диск с Windows Server 2008.

    5. Помнить пароль администратора “Режима восстановления службы каталогов”

    И еще самое важное, помните, процесс восстановления должен быть отлажен до совершенства. Естественно на тестовом сервере а не на боевом. В ситуации когда сервер не работает вы должны хладнокровно следовать инструкции, которая уже не однократно была проверена.

    На этом первая часть статьи по восстановлению контроллеров домена заканчивается. Процесс восстановления при нескольких контроллерах домена будет описан во второй части.

    Рудь Илья

    MCSE/MCT

    me@rudilya.ru

    • Рубрика: Windows,Новое
    • Автор: Илья Рудь
    • Дата: Monday 06 Apr 2009

Комментарии

  1. Познавательная статья, хотелось бы её в Pdf

  2. Сегодня вечером сделаю, завтра утром сможете скачать в PDF.

  3. спасибо

  4. […] жесткие дискиИспользование в работе «GP Preferences»Восстановление контроллера домена Active Directory в Windows Server …Управление обновлениями в System Center Configuration Manager 2007 […]

  5. Насколько я знаю, в Server 2008 службы Active Directory можно останавливать в процессе работы. В чем смысл загрузки в DSRM и почему нельзя просто погасить службы и восстановить?

  6. Остановить службу NTDS можно. Но как востановить Active Directory при остановленной службе, я в документации не встречал. А до экспериментов руки не дошли. Если вы поделитесь ссылкой на докуметацию, где есть описание процесса, я с удовольствие вышущу 3-ю часть статьи)

  7. Подскажите пож-то, насколько я понял если архивы осздавать хотя бы раз в неделю, место все равно рано или поздно закончиться на том томе куда это все сливаеться, так вот каким образом происходит последующая архивация? Затиранием самой старой копии???

    А если необходимо иметь сосотояние системы скажем 3 месячной давности-на всякий случай, а данная копия будет иже перезаписана…(ну наверно в этом случае нужно, в ручную все таки лучше делать такие долго живущие копии и на другой диск-)))) правельно?)

  8. Да и третий вопрос-востановление раздела целиком из сетевой папке возможно на чмстое железо? почему -то у меня при попытке указать сетевой путь и ввода пароля для доступа в папку (она разшарина) ругаеться НЕ НАЙДЕН СЕТЕВОЙ РУТЬ((((

  9. По первому вопросу, естественно backup лучше хранить на другой сервере, а там писать на стриммер.

    По второму вопросу почитайте: http://blogs.technet.com/askcore/archive/2009/02/04/windows-server-backup-2008-restore-from-network-location.aspx

  10. А что касаеться затирания-я прав? Или простовыдаеться ошибка, что нет места?

  11. Выдаст ошибку что нет места. Но лучше проверьте в тестовом варианте.

  12. Спасибо за помощь)

  13. Спасибо.

    Я все это дело развернул на Virtual PC, как мне указать драйвер…я что то совсем никак не могу найти откуда его выдернуть(…

  14. Я в Live-месенджере irud@live.ru

  15. Отзыв от Ilya Rud — 23 Февраль 2010 в 13:13

    Выдаст ошибку что нет места. Но лучше проверьте в тестовом варианте.

    А как очестить диск от старых ненужных копий?

  16. выдает такую ошибку, подскажите что делать плиз…
    http://data.photo.sibnet.ru/upload/imgbig/127236159798.jpg

  17. вот что еще выдает в журале файловых служб
    http://data.photo.sibnet.ru/upload/imgbig/127242289887.jpg
    http://data.photo.sibnet.ru/upload/imgbig/127242290076.jpg

  18. http://technet.microsoft.com/en-us/library/cc734254(WS.10).aspx

    Я думаю по ссылке вы ответ найдете.

  19. Настроил бэкап по расписанию на отдельный жесткий диск. Windows диск отформатировал и сказал, что его не будет видно в проводнике. Через управление дисками тоже зайти нельзя. Как получить доступ к бэкапу, чтобы перенести копии на другой сервер/стример?

  20. Управление дисками не дает ему назначить букву?

  21. Дает. Все получилось.

  22. >Обратите внимание, что после восстановления системы, дополнительные папки созданные вами на системном диске, остались нетронутые.
    Вы статью просто без редактирования урезали? 😉

  23. Я не пойму о чем вы.

  24. Пытался перенести Windows Server 2008 R2 на другой системник:
    1. При загрузке с установочного диска и выборе пункта “Восcтановление образа системы” сообщает, что “Windows не удается найти образ системы на этом компьютере”. Подсовывал ему копию и со съемного винта, и с DVD-дисков – все бесполезно, он ее не находит.
    2. При загрузке с установочного диска и запуске из командной строки wbadmin start recovery (здесь необходимо указать свои ключи -targetBackup, -targetRecovery) копия на съемном винте прекрасно обнаружилась и восстановилась на системный раздел.
    3. После завершения восстановления и последующей перезагрузки компьютер сообщил, что “Не удалось запустить Windows, возможно это произошло из-за недавнего изменения конфигурации оборудования”.
    Возможно ли вообще этой утилитой развернуть копию на другом железе?

  25. Добрый день, драйвера установленные в системе для старой машины, могут вызывать конфликты при попытке запустить систему на новой машине. Если такой конфликт произошел, как в вашем случае, то вы вряд ли сможете развернуть полный образ системы. Тем не менее вы можете попробовать развернуть систем стэйт и отдельные приложения и файл.
    Если у вас есть необходимость, создать образ, который вы будете разворачивать на разном железе, используйте sysprep перед бэкапом. Но это имеет смысл только при разовом бэкапе, например, вы готовите образ под заливку.

  26. Здравствуйте! Спасибо за статью, очень познавательно. Беру её за основу, для тестирования 🙂 Вот в процессе тестирования восстановления, у меня возникли вопросы. На сервере 3 диска: диск С: с системой, S: – для “Состояния системы” и последний – для backup’а (в системе не виден). Выполнил несколько backup’ов и backup’ов состояния системы, после специально удалил множество веток реестра, после чего сервер завис, после принудительной перезагрузки, запуститься он не смог 🙂 Выполнил восстановление через установочный диск, восстановился с ошибкой 0xc0000142, но после принудительного выключения и включения, успешно работает. Но вот диску, который был для backup’ов, присвоилась буква D: – удалил её. Теперь автоматическая архивация у меня не выполняется, проблема с диском:

    “Операция архивации завершилась с ошибкой, поскольку не удалось найти местоположение хранения архивов. Убедитесь, что местоположение хранения подключено и доступно, а затем повторите операцию архивации.”

    При повторной настройке архивации через GUI, на этапе выбора диска для архивации (“Подтверждение операций”), места назначения диска – имя – “(Диск отключен)”. Но диск есть и функционирует.
    Так же, команда wbadmin get versions отображает эти копии, но НЕ отображает состояния системы, что находятся на диске S:, хотя раньше отображалось. Состояниями системы успешно можно воспользоваться через GUI, но как быть, если версия Core…
    1. Как заставить систему снова производить резервное копирование?
    2. Как вернуть отображения “Состояние системы”, при выполнении wbadmin get versions?
    Спасибо за внимание.

  27. эх…пдф-версию статьи куда дели(

  28. Их уже 100 лет нет.

  29. Спасибо, за статью !

    Вопрос, на DC Win 2008 R2 , если уже выполняется Full Backup (system state, Bare metal recovery, System Reserved, Local disc C:) раздела средставми Windows Server Backup

    Нужно ли выполнять ниже пункт ? Будут ли проблемы с восстановлением ?

    “3. Создать пакетный файл с командой “wbadmin.exe start systemstatebackup” и запускать его с помощью планировщика ежедневно. (Кроме дня, когда запускается создание архива системного раздела) “