Если вы посмотрите на свойства созданных программой архивации назначенных заданий, вы обнаружите, что каждое задание представляет собой запуск утилиты ncbackup.exe с аргументом — именем файла. Обратите внимание на размещение этого файла: оказывается, он является частью профиля пользователя. Это не слишком удачное место, потому что администратор компьютера может в любой момент удалить профиль, а вместе с ним все нужные файлы.
Разумнее переместить эти файлы в другое место вне профиля (например, в папку с: \PlanBackup). Не забудьте только предоставить пользователю, от имени которого должно запускаться назначенное задание, доступ к этой папке на чтение.
Для полноты и практического использования приведённых стратегий нужно добавить немного информации о восстановлении службы каталогов. Архивируется она как составная часть Состояния системы, которое всегда сохраняется и восстанавливается как единое целое.
Рассмотрим действия по восстановлению службы каталогов на случай, если сервер полностью вышел из строя, а затем рассмотрим восстановление Aclive Directory в среде домена с несколькими контроллерами.
Восстановление Active Directory в домене с одним контроллером (неавторизованное восстановление)
Для восстановления службы каталогов после аппаратного сбоя нам понадобится файл с архивом состояния системы на контроллере домена. Считаем, что он у нас есть. Тогда выполните следующие действия:
1.Перезагрузите СЕРВЕР в режиме восстановления службы каталогов (при запуске системы нажмите клавишу F8 и выберите этот режим). Для контроллера домена это единственный режим, в котором служба каталогов не стартует. Но под каким именем регистрироваться, если локальных учетных записей на контроллере домена не существует, а доменные недоступны, потому что домен сейчас не работает? Устанавливая домен, вы вводили пароль администратора для режима восстановления. Сейчас вам нужно зарегистрироваться под именем Администратор (Administrator) и ввести этот пароль. Если вы его забыли, то восстановить домен не удастся никак.
2. Запустите программу архивации (Пуск -> Выполнить, ntbackup) и перейдите на вкладку Восстановление и управление носителем.
3. Из списка в правой части окна выберите метку архива и установите флажок Состояние системы. Из списка Восстановить файлы в выберите «Исходное размещение». Переключатель Если файл уже существует установите в положение Всегда заменять имеющийся файл. Нажмите кнопку Восстановить. Это приведет к перезаписи текущего состояния системы.
4. После успешного восстановления вам будет предложено перезагрузить компьютер — нажмите Да. База данных Active Directory будет обновлена после перезагрузки.
Описанные действия следует выполнять в одном из двух случаев:
1. Восстановление домена с одним контроллером;
2. Полное восстановление контроллера в домене с несколькими контроллерами.
Если же в вашем домене есть несколько контроллеров, синхронизирующих данные активного каталога между собой в ходе репликации, а вы хотите откатить небольшое изменение (например, ошибочное удаление доменной учетной записи), то описанный способ действий для этого непригоден. В этом случае следует выполнить авторизованное восстановление.
Авторизованное восстановление Active Directory
Пусть у нас есть два контроллера домена. Данные доменной базы можно менять на любом из контроллеров, и в ходе последующей репликации это изменение распространяется на все остальные.
Предположим, что кто-то из администраторов по ошибке удалил доменную учётную запись пользователя. В системном журнале записано, что это случилось в понедельник в 11:25. К восстановлению учётной записи может привести только восстановление Active Directory. Вы обнаружили, что последняя архивация состояния системы на домене состоялась в воскресенье, в 23:47.
Поскольку безразлично, на каком из контроллеров домена выполнять восстановление, выбирайте тот из них, недоступность которого во время восстановления меньше повлияет на работу пользователей сети — желательно тот, который не выполняет других серверных ролей.
Что получится, если вы восстановите базу данных Active Directory неавторизованным способом? Различие между двумя доменными базами данных на серверах будет заключаться только в одной учётной записи. Процесс репликации сравнит временные отметки, чтобы определить, какое изменение распространять на другие контроллеры.
Информация о существовании учётной записи на сервере будет иметь отметку времени «Воскресенье, 23:47». Информация о не существовании учётной записи на сервере будет отмечена текущим временем (например «Понедельник, 16:20»). Поскольку эта база данных новее, через некоторое время она и будет реплицирована на , то есть учётная запись снова исчезнет из домена.
Обычно авторизованному восстановлению подлежит не вся база данных, а отдельные объекты или поддеревья — например, единственная учетная запись Shop2. После этого нужно обновить метку времени в соответствии с текущим временем.
1. Выполните первые три шага, описанные в предыдущем параграфе, а на четвертом шаге откажитесь от немедленной перезагрузки — нажмите Нет.
2 После этого запустите командную строку и введите команду ntdsutil.
3. Далее введите следующие команды (считаем, что учётная запись Shop2 находилась в контейнере Users):
Если нужно восстановить всю доменную базу данных авторизованным способом, то после запуска утилиты ntdsutil введите следующую последовательность команд:
authoritative restore restore database
В диалоговом окне нажмите на кнопку ОК и потом на кнопку Да.
