Помните, как, осваивая систему Windows 95, вы познакомились с компонентом Recycle Bin — мусорной корзиной? Мы так давно пользуемся этим инструментом, что уже и не вспоминаем, как тяжело нам приходилось до его появления. Не вспоминаем до тех пор, пока случайно не удалим что-нибудь из каталога Active Directory (AD). Концепция AD Recycle Bin была реализована в системе Windows Server 2003. К сожалению, никому в Редмонде не пришло в голову написать графический интерфейс для этого нового средства. В результате было создано несколько бесплатных инструментов, обеспечивающих восстановление удаленных объектов, и пользователи получили возможность спасать положение (а может быть, и карьеру). Среди этих продуктов стоит отметить написанную Марком Русиновичем программу AdRestore, компактное средство на 42 Кбайт для восстановления удаленных объектов AD (более подробная информация об этой и двух других программах содержится во врезке «Три бесплатные программы для восстановления Active Directory»). К сожалению, с помощью перечисленных средств можно восстановить только собственно объект, но не его индивидуальные атрибуты.
В версии Windows Server 2008 R2 исходный вариант AD Recycle Bin был доработан, но по широте возможностей корзина все еще уступает двум продуктам нынешнего обзора. Перед тем как рассматривать функции этих продуктов, я хотел бы отметить, что в идеале такие инциденты, как непреднамеренное удаление объектов, вообще не должны иметь место. Когда структура организационных единиц (organizational unit, OU) с делегированием полномочий доступа спроектирована надлежащим образом, обслуживающие настольные системы техники и младшие администраторы не имеют возможности удалять объекты AD (им следует предоставлять разрешение на отключение объектов, но не на их удаление).
И все-таки даже в сетях, содержащихся в идеальном состоянии, следует предусматривать механизмы защиты на случай роковой оплошности или катастрофы. Посмотрим, чем эти два продукта могут помочь в подобных ситуациях. Одно из них можно уподобить недорогому, но очень качественному автомобилю Chevrolet, а другое — гораздо более дорогостоящей модели Cadillac.
NetWrix Active Directory Change Reporter
NetWrix Active Directory Change Reporter дает возможность быстро восстанавливать удаленные или модифицированные объекты в службах AD любой версии (Windows 2000 Server или более новых). В программе реализована добротная функция подготовки отчетов, которая отслеживает все изменения в AD, произошедшие за последние 24 часа.
Для установки продукта нужно запустить простой 8‑мегабайтный файл (предварительно должны быть установлены компоненты, необходимые для функционирования NetWrix Active Directory Change Reporter, а именно, IIS и .NET 2.0). Далее пользователь принимает условия лицензионного соглашения, выбирает место расположения файлов программы, после чего установка завершается за несколько секунд. По окончании установки на экране появляется диалоговое окно, в котором пользователю предлагается на выбор выполнить настройку позднее, или принять базовую конфигурацию, или, наконец, принять конфигурацию с полным набором функций. Я остановил свой выбор на базовой конфигурации, рекомендованной в Quick Start Guide.
Введя данные по лицензии, я с помощью Quick Start Guide задал остальные установки, такие как долгосрочное архивирование удаленных объектов AD, сервер SMTP, а также учетные записи электронной почты, на которые нужно направлять отчеты по AD. Тот же мастер проводит пользователя через все этапы настройки дополнительных параметров процедуры подготовки отчета (SQL Server Reporting Services) и составления графика представления отчетов. Лицензирование настраивается с помощью серийных ключей.
Через диалоговое окно я получил извещение о том, что для свойства «время жизни до полного удаления» установлено значение 180 дней и что рекомендуется увеличить его до 744, дабы обеспечить возможность восстановления удаленных объектов. Для этого требовалось нажать кнопку Yes.
Естественно, по завершении простой процедуры установки я попытался удалить какой-нибудь объект — хотелось выяснить, удастся ли восстановить его. Я создал новую учетную запись пользователя с именем Eric и быстро удалил ее. Далее, как показано на экране 1, я открыл окно мастера NetWrix AD Object Restore Wizard, который быстро провел меня через все этапы восстановления объекта. Но процесс восстановления был неполным, поскольку, подобно некоторым бесплатно распространяемым средствам, например утилите AdRestore, данный продукт восстановил только объект; его свойства (фамилия, описание, офис) восстановлены не были.
Для полного восстановления объекта (включая индивидуальные свойства внутри него) необходимо заранее сделать моментальный снимок базы данных каталога. Эта процедура выполняется по расписанию раз в сутки, но можно запустить ее вручную с помощью программы Windows Scheduled Tasks. Располагая моментальным снимком, можно восстановить не только объект, но и все его атрибуты.
Также надо отметить, что продукт NetWrix оснащен очень мощным средством подготовки отчетов; оно отслеживает все изменения, вносимые в объекты, которые помещены в AD. Можно выбирать, например, такие виды отчетов: All AD Changes by Date (все изменения в AD, отсортированные по датам), All AD Changes by Object Type (все изменения в AD, отсортированные по типам объектов) и All AD Changes by User (все изменения в AD, отсортированные по пользователям). Имеется 38 заранее заготовленных отчетов, в которых содержатся представления каталога AD, остро необходимые многим администраторам. В дополнение к этому другие 33 отчета отслеживают изменения в Microsoft Exchange Server и групповых политиках. Если же эти отчеты не содержат нужной вам информации, можно еще глубже проникнуть в данные с помощью службы SQL Server Reporting Services. Обратите внимание на то, что Windows 2000 не отслеживает изменения содержимого поля Who Changed в AD. Если ваш домен AD настроен на уровень функциональности Windows 2000, отсутствие данной информации вы ощутите на себе.
Программа Netwrix AD Object Restore оснащена впечатляющим набором функциональных возможностей при весьма умеренной цене. Если вам требуется более мощный инструмент, чем предлагаемые Microsoft встроенные функции, но вы не хотите много платить за него, можно остановить свой выбор на AD Object Restore.
Quest Recovery Manager for Active Directory
Диспетчер Quest Recovery Manager for Active Directory — это средство для восстановления служб каталога уровня предприятия. Продукт не только фиксирует отметки на полное удаление и выполняет отмену изменений. Он может восстанавливать целые контроллеры доменов, причем даже на отличном от исходного оборудовании.
На установку Recovery Manager уходит значительно больше времени и сил, нежели на установку NetWrix. Кроме того, для функционирования Recovery Manager в системе должно быть предварительно установлено изрядное число программных компонентов: Microsoft SQL Server 2008 Native Client, Microsoft.NET Framework 3.5 SP1, SQL Server Compact 3.5 SP1, SQL Server System CLR Types, SQL Server 2008 Management Objects и Windows PowerShell 1.0. Впрочем, все упомянутые компоненты входят в комплект поставки и устанавливаются автоматически. В процессе установки необходимо один раз перезагрузить систему, но после этого процесс немедленно возобновляется в том месте, где он был прерван. Лицензии на использование продукта содержатся в специальном лицензионном файле.
Более продолжительная процедура установки Recovery Manager всего лишь отражает тот факт, что данный продукт намного больше по объему и оснащен гораздо более широкими возможностями. Это становится очевидным при первом запуске Recovery Manager — на экране появляется пять значков, обозначенных в соответствии с выполняемым заданием: Back Up Active Directory, Restore AD Objects, Restore AD LDS (ADAM) Objects, Restore Group Policy, Restore Active Directory.
Я без проволочек приступил к делу и осуществил резервное копирование AD. Пользователь может резервировать каждый контроллер домена по отдельности, заданный контейнер в AD, каталог ADAM или конкретные системы, указанные в текстовом файле. Резервное копирование может выполняться немедленно или планироваться на определенное время. Наконец, вы можете указать коллекцию компьютеров, где будут размещаться контроллеры доменов. Это имеет смысл, если вы хотите зарезервировать контроллеры доменов в заданном сайте AD и сохранить резервные копии в центральном хранилище внутри того же сайта.
Настроив процедуру резервного копирования и указав время ее выполнения, вы можете подождать, пока наступит это время, или запустить процедуру вручную с помощью Scheduled Tasks. Чтобы проверить эту функцию, я создал несколько учетных записей пользователей, вручную запустил процедуру резервного копирования (если домен небольшой, она выполняется за несколько секунд) и затем удалил учетную запись пользователя. В окне программы Active Directory Users and Computers я заметил новый контейнер Deleted Objects в верхней части дерева. Если выделить этот контейнер, на экране будут отображены все удаленные объекты. Я щелкнул правой кнопкой мыши на имени удаленной учетной записи и в открывшемся меню выбрал пункт Recover Deleted Objects.
Не выходя из этого мастера, вы можете воспользоваться встроенной мусорной корзиной и просто отменить удаление объекта; однако, как вы знаете, в результате будет восстановлен объект, но не его атрибуты. Поэтому я поступил иначе: выбрал пункт Restore Objects from the Selected backup, показанный на экране 2.
Далее мне нужно было выбрать либо метод без использования агента, либо метод на базе агента. В руководстве по развертыванию Recovery Manager подробно описываются как достоинства, так и недостатки каждого из этих методов. Коротко говоря, метод без использования агента предполагает применение протокола LDAP (что в меньшей степени меняет режим работы программы, нежели установка клиента), но требует, чтобы пользователь расширил схему AD, если задача состоит в том, чтобы восстановить журнал идентификаторов безопасности или пароли пользователей. Если вы хотите узнать, почему журнал идентификаторов безопасности может иметь большое значение, прочтите мою статью о миграции AD после слияния компаний «Планируем объединение Active Directory. Часть 1», опубликованную в «Windows IT Pro/RE» № 11 за 2009 год. Метод восстановления на базе агента не требует модификации схемы и обеспечивает более высокое быстродействие, чем метод с использованием LDAP. Если вы выберете метод на базе агента, имейте в виду, что агент устанавливается на контроллере домена в ходе восстановления и автоматически удаляется по завершении этого процесса.
Уже через несколько секунд удаленная учетная запись была восстановлена вместе со всеми ее индивидуальными атрибутами. Внимание: если вы решите расширять схему для обеспечения восстановления паролей и журнала идентификаторов безопасности без применения агента, можете воспользоваться входящей в комплект поставки простой графической утилитой Password and SIDHistory Schema Configuration. Еще одно отдельное приложение из комплекта поставки Recovery Manager — это мастер Clone Wizard. Если вам когда-либо доводилось восстанавливать AD после сбоя на отличном от исходного оборудовании (или клонировать среду для исследования в лаборатории), это средство вам понравится.
Recovery Manager — исключительно надежное решение, обеспечивающее восстановление всех компонентов службы каталогов — от целого домена до индивидуального объекта. Оно стоит дороже, чем продукт NetWrix, но располагает множеством дополнительных возможностей, таких как средства взаимодействия с узлами AD, клонирование контроллеров доменов, резервирование групповых политик и прямая интеграция с инструментом Active Directory Users and Computers.
Chevrolet или Cadillac?
Когда мы публикуем обзор с рецензиями на несколько продуктов, как правило, выбирается абсолютный победитель, и он удостаивается отличия «Редакция советует». Но этот метод применим только в случае сравнения подобного с подобным. Между тем продукты, о которых речь шла выше, относятся к различным категориям.
Решение NetWrix Active Directory Change Reporter оснащено превосходной функцией отмены изменений, предназначенной для восстановления удаленных объектов AD. По своим возможностям оно, безусловно, превосходит средства, встроенные в AD. Благодаря модулю подготовки отчетов и весьма низкой стоимости в расчете на активного пользователя этот продукт — естественный выбор для компаний, ограниченных в средствах и эксплуатирующих сравнительно несложные сети. Если ваша служба AD не отличается особой сложностью, подумайте о приобретении модели Chevrolet.
Что же касается диспетчера Quest Recovery Manager for Active Directory, то это настоящий Cadillac, ориентированный на использование в крупных организациях. Его относительно высокая цена, возможно, отпугнет некоторых покупателей, но перед тем, как исключить этот продукт из списка, подумайте о стоимости и «факторе прерывания» в случае сбоя в работе AD. Не исключено, что после этого дополнительные расходы на приобретение Recovery Manager не покажутся вам столь значительными.
Поддержка обоих продуктов осуществляется через сайты с базами знаний. Возможна и поддержка по телефону. Итак, выбор за вами: простое и недорогое решение или очень надежное, но по более высокой цене. В любом случае вы не прогадаете.
Три бесплатные программы для восстановления
Active DirectoriВы все еще хотите получить доступ к корзине объектов, отмеченных для полного удаления, реализованной в версии Windows Server 2003 и более новых, но дополнительные функции вам не нужны? Попробуйте применить бесплатное решение. Если вы ничего не знали о корзине Active Directory или об этих инструментах, запускайте свою лабораторию с виртуальными машинами и проверьте их в деле. По меркам бесплатно распространяемых утилит они весьма неплохи.
AdRestore v1.1. Это решение Microsoft, созданное Марком Русиновичем. Его можно найти по адресу technet.microsoft.com/en-us/sysinternals/bb963906.aspx. Как известно, Марк написал множество полезных бесплатных утилит, таких как psexec, regmon, filemon и, конечно, известный хранитель экрана BSOD. Облегченная утилита командной строки AdResore весьма проста в использовании. Запустив файл adrestore.exe, вы увидите все объекты, доступные для восстановления. После этого восстанавливайте файлы, выполняя команду adrestore.exe’r.
Quest Software Object Restore for Active Directory. По своей функциональности этот продукт весьма близок к написанной Марком программе AdRestore, но он оснащен графическим интерфейсом пользователя, а значит — более удобен в работе с точки зрения некоторых администраторов. Этот продукт можно загрузить по адресу www.quest.com/object-restore-for-active-directory. Испытав оба продукта, я пришел к выводу, что они практически идентичны.
Quest Software Active Directory Recycle Bin PowerPack. Это средство расширяет возможности консоли администрирования PowerGUI от компании Quest. Найти его можно по адресу www.powergui.org/entry.jspa? externalID= 2461&categoryID=21. Прежде всего необходимо загрузить как PowerPack, так и PowerGUI. Установите PowerGUI и далее импортируйте PowerPack. В этом решении мне особенно понравилась такая деталь: оно проверяет, активирована ли функция Windows Server 2008 R2 Recycle Bin, и затем предлагает ее активировать. Отмечу, что это действие необратимое и не сводится к простому щелчку мышью. Поэтому, перед тем как активировать функцию, тщательно взвесьте все «за» и «против». Более подробную информацию можно найти по адресу technet.microsoft.com/en-us/library/dd391916 (WS.10).aspx.
ЗА: простой и недорогой продукт. Обеспечивает несколько более надежную, чем бесплатные утилиты, защиту от неосторожного и неумелого обращения. Превосходные стандартные отчеты дают представление о том, что происходит в вашем домене AD.
ПРОТИВ: полное восстановление объектов AD не предусмотрено.
ОЦЕНКА: 4 / 5
ЦЕНА: от 3 до 4,5 долл. (в зависимости от числа пользователей). Версия AD Object Restore без функции подготовки отчетов поставляется по цене от 1,00 до 1,50 долл. в зависимости от числа пользователей. Имеется также бесплатная версия с ограниченным набором функций.
РЕКОМЕНДАЦИЯ: если вам требуются средства подготовки отчетов о состоянии AD и более высокий, нежели у бесплатно распространяемых продуктов, уровень защиты, но вы не располагаете достаточными средствами, вам следует в первую очередь рассмотреть вопрос о приобретении NetWrix.
КОНТАКТНАЯ ИНФОРМАЦИЯ: NetWrix, www.netwrix.com
Quest Recovery Manager for Active Directory
ЗА: средство резервного копирования и восстановления содержимого AD уровня предприятия; превосходный инструмент Clone дает возможность с легкостью выполнять тестирование и восстанавливать данные после сбоя.
ПРОТИВ: высокая цена; многим небольшим предприятиям, пожалуй, больше подойдет не столь «навороченное» решение.
ОЦЕНКА: 4 / 5
ЦЕНА: 10 долл. в расчете на активного пользователя; возможны скидки.
РЕКОМЕНДАЦИЯ: если вы устали задавать себе вопрос «А смогу ли я восстановить инфраструктуру AD в случае сбоя?», вам не обойтись без этого средства.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, www.quest.com