Кошче за Active Directory: Най-добри практики

Продължаваме да публикуваме поредица от статии, посветени на възстановяването на обекти на Active Directory и инструментите, използвани за това.

В предишната статия разгледахме случаите, когато администраторите трябва да работят с контролери на домейни, при които Active Directory е зададен на Windows Server 2003 или Windows Server 2008 горски функционален режим. Както си спомняте, преминахме подробно стъпките, необходими за възстановяване на надгробни обекти използване на помощната програма LDP и Veeam Explorer за Microsoft Active Directory.

Днес ще преминем към по-модерни системи, които позволяват използването на функцията за кошче на Active Directory. За подробности, моля, вижте котката.

Как работи кошчето на Active Directory

Microsoft е пионер в дългоочакваната кошница за Active Directory в Windows Server 2008 R2. Това промени жизнения цикъл на обекти на Active Directory и процедурата за изтриването им. И така, след изтриване на обект, сега се случва:

1. Веднага след изтриването обектът се премества в контейнера с изтрити обекти, където остава до края на живота си дистанционно обект (по подразбиране това време е равно на живота рециклирани-обект).
   Важно! Всички свързани и несвързани атрибути на обект се съхраняват в системата за едно и също време. Това означава, че през посочения период обектът може да бъде възстановен заедно с всичките му атрибути.
2. След края на живота на обекта системата променя състоянието си на рециклирани и нулира повечето атрибути. Обектът става подобен на изтрития (надгробен камък) в Windows Server 2003 и Windows Server 2008. Единствената разлика е, че сега тя не може да бъде възстановена.
3. След изтичане рециклирани-обект (по подразбиране 180 дни) той автоматично се премахва от събирача на боклук.

Тези етапи могат да бъдат схематично изобразени, както следва:

Активиране на кошчето за Active Directory

Понастоящем кошчето не се активира по подразбиране в никоя операционна система Windows Server. За да го използвате, трябва да подготвите инфраструктурата: уверете се, че всички контролери на домейни работят с Windows Server 2008 R2 или по-нова версия и задайте функционалното ниво на гората на Windows Server 2008 R2 или по-нова.

Полезен: Активирането на кошчето за Active Directory, както и всякакви други значителни промени в настройките на Active Directory (или друга производствена система), се препоръчва за първо тестване в пясъчника. За да направите това, можете да използвате технологията за виртуална лаборатория на Veeam. В допълнение към контролера на домейна във виртуалната лаборатория могат да се изпълняват и други критични за мисията виртуални машини. Тази технология е много полезна при тестване на съвместимостта на многостепенни приложения след направени промени. В зависимост от конфигурацията, виртуалната лаборатория може да се стартира от резервни копия, реплики или дори хардуерни снимки. Това ще избегне неприятни изненади при промяна на настройките на производствената среда.

Преди да започнете да използвате кошчето на Active Directory, помислете за следното:

1. Когато кошчето на Active Directory е активирано, всички надгробен камък-обектите ще се превърнат в рециклирани-обекти и след това ще бъде невъзможно да ги възстановите.
2. Възстановяването на множество зависими обекти може да бъде трудно, защото трябва да се извърши в определен ред, започвайки от горната част на йерархията.
3. В Windows Server 2008 R2 всички операции с кошчето се извършват с помощта на кратки команди PowerShell. В Windows Server 2012 всички операции по кошчето могат да се извършват чрез потребителския интерфейс с помощта на Административния център на Active Directory (ADAC).

Кошчето няма нищо общо с архивирането на Active Directory и няма да ви позволи да възстановите цял домейн контролер, ако е повреден.

Плюсове и минуси на кошчето за Active Directory

Въпреки че на пръв поглед възстановяването на отделни обекти, използващи тази функция, е много по-лесно от използването на помощната програма LDP или „авторитетното“ възстановяване на домейн контролера, има някои подводни камъни, които трябва да имате предвид. Следват плюсовете и минусите на използването на кошчето за Active Directory.

1. Общ метод за домейни с функционално ниво на Windows Server 2008 R2 (и по-нови).
2. Дълъг живот на обекта (по подразбиране 180 дни - достатъчен период за решаване на повечето проблеми).
3. Устойчивост на атрибутите на даден обект по време на неговия живот.
4. Не се изисква рестартиране на домейн контролер.
5. Графичен интерфейс за управление (ADAC) за Windows Server 2012 и по-нови версии.

1. Не работи за домейни с функционално ниво на Windows Server 2008 гора и по-рано.
2. Не е подходящ за възстановяване на модифицирани обекти (можете да възстановите обект само ако е бил изтрит).
3. Възстановяването е възможно само по време на живота на обекта.
4. Не осигурява защита срещу проблеми със самия контролер на домейна (не може да се сравни с резервно копие).
5. Не поддържа автоматично поправяне на йерархия.

Тук е особено важен вторият момент. Ами ако обектът не е бил изтрит, а е бил случайно променен и грешката е била открита много по-късно? За съжаление кошчето не може да помогне тук и за този проблем се изисква различно решение.

Как Veeam избягва ограниченията за колички

Разбира се, за повечето от вас недостатъците на кошницата няма да са причина да я откажете. Онези, които искат едно гише за всички задачи, трябва да помислят за преодоляване на недостатъците на кошницата. И тук Veeam влиза в игра с обсъждания по-рано Veeam Explorer за Active Directory. Този инструмент премахва напълно ограниченията на кошчето за Active Directory:

• С негова помощ всички обекти на Active Directory ще бъдат защитени през целия период на съхранение на архивите.
• Може да се използва за домейни с функционално функционално ниво на Windows Server 2003 гора и по-високо.

Важно! Този инструмент е включен във всички издания на Veeam Backup & Replication, включително неговото безплатно издание.

Използвайки заедно Veeam Backup & Replication и Veeam Explorer за Active Directory, можете незабавно да възстановите цял домейн контролер или да възстановите отделни обекти на Active Directory: организационни единици (OU), компютърни и потребителски акаунти заедно с пароли, GPO, DNS записи и др. Освен това, като стартирате Explorer, можете лесно да сравнявате обектите в архива с текущите обекти в производствената среда и да откривате разлики, както и да идентифицирате променените атрибути.

По-долу е даден пример за ситуация, при която администратор е открил промяна в атрибутите на потребителски акаунт и трябва да го възстанови в първоначалното си състояние.

Във всеки случай, ако предварително се погрижите за последиците от възможни откази на Active Directory и тествате различни инструменти за решаване на този проблем, можете да спите спокойно в бъдеще.

• Кошче за Active Directory в Windows Server 2012, Windows за системни администратори
• Кошче за Active Directory в Windows Server 2012, Windows IT Pro
• Компенсация за ползване на личен автомобил счетоводство и данъчно облагане
• ЗНАЕТЕ ИНТУИТ, Лекция, Показване на XML документи с използване на каскадни таблици със стилове
• LLC и JSC вече могат да отказват да използват пломби как да го направят и в какви документи

---