загрузка...
загрузка...
На головну

Створення резервної копії Active Directory

Найбільш важливе з обмежень, що накладаються на створення резервної копії служби каталогу, полягає в тому, що Active Directory може копіюватися лише як частина даних системного стану контролера домену.

Дані системного стану контролера домену включають [13]:

  • базу даних Active Directory і журнали транзакцій;
  • системні файли і файли запуску, що знаходяться під захистом Windows;
  • системний реєстр контролера домену;
  • всю зонний інформацію DNS, інтегровану з Active Directory;
  • папку Sysvol;
  • базу даних реєстрації класів СОМ +;
  • базу даних служби сертифікатів (якщо контролер домену є також сервером служби сертифікатів);
  • інформацію кластерної служби;
  • метакаталогі інформаційної Інтернет-служби Microsoft (IIS) (якщо служба IIS встановлена на комп'ютері).

Всі ці компоненти повинні копіюватися і відновлюватися цілком через їх тісної інтеграції. Наприклад, якщо на сервері служби сертифікатів було створено сертифікат, який був призначений на об'єкт Active Directory, то база даних служби сертифікатів (що містить запис про створення об'єкта) і об'єкт Active Directory (містить запис про те, що сертифікат призначений на об'єкт) повинні бути збережені .

Програми резервного копіювання (backup) можуть робити різні типи резервних копій, включаючи нормальні, додаткові, диференційовані і т. Д. Створення резервної копії системного стану контролера домену завжди є нормальним копіюванням, коли всі файли, що відносяться до System State (Стан системи), копіюються і відзначаються як копіюються.

Загальна практика полягає в тому, що всі контролери домену повинні брати участь в циклі регулярного резервного копіювання. Один виняток до цього правила можна зробити, якщо є декілька контролерів домену, розташованих в одному офісі. В цьому випадку можна здійснювати таку процедуру відновлення контролерів домену, в якій спочатку буде встановлюватися новий контролер домену, а потім заповнюватися його каталог шляхом реплікації. Однак навіть у цьому сценарії слід створювати резервні копії принаймні деяких контролерів домену на випадок такої аварії, при якій будуть виведені з ладу всі контролери домену в офісі. У будь-якому випадку необхідно створити резервні копії господаря операцій.

Інша проблема, яку потрібно розглянути в зв'язку з резервним копіюванням контролера домену? - Це частота створення резервної копії. Служба Active Directory передбачає, що давність резервної копії не може перевищувати час життя об'єктів-пам'яток. За замовчуванням час життя об'єкта-пам'ятника становить 60 днів. Причина цього обмеження пов'язана з тим способом, яким Active Directory використовує об'єкти-пам'ятки. Коли об'єкт віддалений, він фактично не видаляється з каталогу до тих пір, поки не закінчиться час життя об'єкта-пам'ятника. Замість цього об'єкт маркується як об'єкт-пам'ятник, і більшість його атрибутів видаляються. Потім об'єкт-пам'ятник копіюється на всі інші контролери домену. Після закінчення часу життя об'єкта-пам'ятника він нарешті видаляється з каталогу на кожному контролері домену. Якщо відновити контролер домену з резервної копії, давність якої перевищує час життя об'єкта-пам'ятника, то в каталозі можна знайти інформацію, неузгоджену між контролерами домена. Припустимо, що користувач був видалений з каталогу через день після створення резервної копії, а відповідний об'єкт-пам'ятник залишався в каталозі 60 днів. Якби резервна копія була відновлена на контролері домену більш ніж через 60 днів, після того як об'єкт став об'єктом-пам'ятником, то на відновленому контролері домену був би цей користувальницький об'єкт, і оскільки об'єкт-пам'ятник вже не існує, то контролер домену не став би його видаляти. У такому сценарії відновлений контролер домену мав би копію об'єкта, який не існує ні в якому іншому місці. З цієї причини система резервування і програма відновлення запобігають спроби відновлення каталогу з резервної копії, що зберігається довше, ніж період видалення об'єктів-пам'яток.

Хоча час життя об'єктів-пам'яток накладає жорсткі обмеження на частоту резервного копіювання, очевидно, що створювати резервні копії контролерів домену краще набагато частіше, ніж кожні 60 днів. Виникне багато проблем, якщо відновлювати контролер домену з резервної копії, давнішої, ніж пара днів. Оскільки відновлення Active Directory включає відновлення всієї інформації про стан системи, ця інформація буде відновлена до попереднього стану. Якщо сервер є також сервером служби сертифікатів, то все посвідчення, випущені до того, як ви зробили резервну копію, не будуть включені в базу даних служби сертифікатів. Якщо були оновлені драйвери або встановлені будь-які нові додатки, вони не зможуть працювати, тому що буде зроблений відкат системного реєстру до попереднього стану. Майже всі компанії підтримують такий режим резервного копіювання, у якому деякі сервери копіюються щоночі. Контролери домену повинні включатися в такий режим резервування.

Зберігання даних в Active Directory «-- попередня | наступна --» процес відновлення
загрузка...
© om.net.ua