|
|
Az Active Directory mentése és helyreállítása
|
|
|
Active Directory-ra épült hálózatunk legfontosabb elemei az Active Directory-t alkotó fájlok. Ezek bármilyen sérülése esetén lehet, hogy hetekig fog tartani az eredeti állapot visszaállítása, ha nincs róluk biztonsági másolat. Cikkünkben bemutatjuk a Windows 2000 Server beépített lehetőségeit a címtár mentésére és visszaállítására, fájlreplikációs szolgáltatással és anélkül is.
A kiszolgáló biztonsági másolatának elkészítéséhez több programot is igénybe vehetünk. Akár azt is megtehetjük, hogy a teljes merevlemez tartalmát egy image fájlba mentjük, egy ezt megvalósító programmal (pl.: Norton Ghost) vagy egyéb más gyártó által készített biztonsági másolat készítő programot használunk. A Windows 2000 beépített backup alkalmazása is képes maradéktalanul elvégezni az Active Directory (AD) mentését. Mi ez utóbbin keresztül mutatjuk be a biztonsági másolat készítést.
Az AD mentése:
Kattintsunk a Start > Programok > Kellékek > Rendszereszközök > Biztonsági másolat menüpontjára vagy a "Futtatás" ablakban írjuk be: ntbackup. A megjelenő "Biztonsági másolat" ablakban kattintsunk a "Biztonsági másolat" fülre és jelöljük meg a "Rendszer állapota" előtti jelölőnégyzetet. Ha rákattintunk a "Biztonsági másolat" feliratra is, akkor láthatjuk a jobb oldali listában, hogy milyen összetevők kerülnek mentésre. Köztük van az AD is. A kijelöléseket nem tudjuk megváltoztatni, az AD-hoz szorosan nem kötődő objektumok is mentésre kerülnek. Ezután kattintsunk az "Indítás" gombra és fejezzük be a másolat készítést. Az AD és a Biztonsági másolat készítő együttműködésének köszönhetően, ha a másolás közben történne valamilyen változás a címtárban, akkor un. Patch fájlok keletkeznek (*.pat), amelyek tartalmazzák az állapotváltozást és szintén bekerülnek a biztonsági másolatba. Visszatöltésnél a rendszer lekezeli ezt az állapotot és felvezeti az AD-ba a szükséges változtatásokat. A másolat készítés ütemezhető, megvalósítható periódikusan naponta, hetente, havonta, rendszerindításkor vagy egy bizonyos üresjárati idő elteltével stb. Célszerű valamilyen ütemezési periódust beállítani, hogy ne nekünk kelljen foglalkozni ezzel is és legyen mindig legalább egy biztonsági másolatunk. Ezt a fent említett "Indítás" gomb lenyomása után megjelenő ablak "Ütemezés" gombjára kattintva állíthatjuk be.
Az AD visszaállítása:
A visszaállítás folyamata már több feltételhez kötött, mint a mentésé. Először is nem indítható el működő AD alatt. A szerver újraindítása után a Windows 2000 rendszerindító menüjében nyomjuk le az F8 billentyűt és a megjelenő menüből válasszuk ki a "Címtárszolgáltatások visszaállítása (Windows 2000 tartományvezérlők)" sort. Ezután az operációs rendszer csökkentett módban indul el, működő AD nélkül. Indítsuk ismét el a "Biztonsági másolat" programot, kattintsunk a "Visszaállítás" fülre, jelöljük ki a listából a visszaállítandó állapotot, majd kattintsunk a "Visszaállítás indítása" gombra. A visszaállítást a fájlok eredeti helyére kell elvégezni felülírva a meglévőket. Ha a tartományunkban egy tartományvezérlő van (nincs fájlreplikáció), akkor tulajdonképpen végeztünk is. Az utolsó mentést követő címtári adatváltozások el fognak veszni, de a címtár ismét működőképessé válik.
Több tartományvezérlővel és fájlreplikációs szolgáltatással működő tartomány esetén két lehetőség közül kell választanunk:
Authoritative restore:
Ha a visszaállítás után azt szeretnénk, hogy a többi tartományvezérlő vegye át ezeket az adatokat, akkor az NTDSUTIL parancssori programra lesz szükségünk. Indítsuk el és egy interaktív üzemmódba kerülünk, ahol mindig a HELP paranccsal kérhetünk segítséget a használható utasításokról. Írjuk be:
Az NTDSUTIL átvált visszaállító módba.
Az egész AD adatbázis visszaállításához írjuk be:
A címtárfa egy ágát is visszaállíthatjuk. Tegyük fel, hogy "penzugy.vallalat.hu" és "raktar.vallalat.hu" egységekből áll a címtárunk és csak a "penzugy.vallalat.hu" egységet akarjuk visszaállítani. Ehhez a következőt kell beírni:
restore subtree dc=penzugy,dc=vallalat,dc=hu
A fenti műveletekkel biztosítottuk azt, hogy a fájlreplikációs szolgáltatás nem írja felül a visszaállított adatokat, hanem pont ellenkezőleg: innen lesznek a többi tartományvezérlőre átvezetve a változások.
Nézzünk egy gyakorlati példát: Rendszergazda kollégánk véletlenül letörölt 50 db felhasználót és ez az információ a replikáció útján eljutott a többi tartományvezérlőre is. Elővesszük a tegnapi biztonsági másolatot és visszaállítjuk a tegnapi állapotot. Igen, de a törlési információ frissebb mint a mentés, így hiába jelenik meg ismét az 50 felhasználó, most a replikáció fogja letörölni őket. Ha viszont a fenti módszert alkalmazzuk a biztonsági másolaton, akkor a többi tartományvezérlő fogja átvenni ezt az állapotot.
Non-Authoritative restore:
Gyakorlatilag semmit nem kell tennünk, ez csak a authoritative restore folyamat logikai kiegészítése. Amennyiben a fenti lépéseket nem végezzük el, a fájlreplikációs szolgáltatás felül fogja írni a biztonsági másolat adatait. Olyan esetekben alkalmazható, amikor replikációval nem lehet kijavítani az AD sérüléseit. Ezért jó, hogy nem csak az AD adatbázis lett lementve, hanem a rendszerfájlok is.
|
Könyv
Ez a cikk megtalálható ebben a könyvben:
Windows Software Offline 2001 évkönyv 53. oldal
Felhasználási feltételek
A Software Online szoftverfejlesztői magazin mindegyik cikke, minden megjelent képe, és egyéb publikált anyaga szerzői jog védelme alatt áll! Bármilyen formában történő másodlagos terjesztésük, közzétételük vagy felhasználásuk kizárólag a kiadó előzetes írásbeli engedélyével történhet!
|