О новых возможностях служб каталогов Windows Server 2008 говорят и пишут много, в том числе о контроллерах домена только для чтения (RODC), подробных политиках паролей (FGPP) и расширенном аудите. Но порой самые существенные улучшения в новой операционной системе происходят от изменений, кажущихся на первый взгляд незначительными. Хотя к каждому экземпляру Active Directory (AD) предъявляются некоторые общие требования (например, безопасность, администрирование, резервное копирование), для достижения этих целей используется почти столько способов, сколько существует экземпляров AD.
Улучшения, внесенные разработчиками Server 2008 в Ntdsutil, утилиту командной строки, используемую администраторами для обслуживания AD, не столь широко известны, но их ценность не меньше, чем многих активно рекламируемых функций. В Server 2008 появилось шесть новых функций Ntdsutil различной степени важности: Snapshot, Activate Instance, DS Behavior, Local Roles, Partition Management и Install from Media (IFM). В данной статье я подробно расскажу о каждом компоненте и о том, чем он может быть полезен в той или иной ситуации.
Snaphot
Snapshot (или Active Directory Database Mounting Tool) представляет собой команду Ntdsutil для получения моментального снимка базы данных AD вместе со всеми объектами и атрибутами. Моментальные снимки в сочетании с восстановлением «помеченных на удаление» можно использовать для быстрого восстановления удаленных объектов AD и их атрибутов. Раньше если важный объект AD, такой как организационная единица (OU), оказывался случайно удаленным, администратору приходилось выполнять принудительное восстановление. Для этого требовалось перевести производственный контроллер домена (DC) в автономный режим, подключить резервную копию на магнитной ленте или диске, выполнить непринудительное восстановление с резервной копии, выбрать восстанавливаемые объекты с помощью команды принудительного восстановления Ntdsutil и перезагрузить DC. Кроме того, иногда требовалось восстановить членство в группе. Весь процесс отнимал очень много времени.
Восстановление «помеченных на удаление» (tombstone), впервые примененное в Windows Server 2003, — способ вернуть удаленный объект из контейнера DeletedObjects в первоначальное местонахождение. Но удаленный объект (или «помеченный на удаление») лишается большинства значений атрибутов, поэтому восстановление не приносит особой пользы до тех пор, пока атрибутам не возвращены их значения. Например, если объект пользователя удален, а затем восстановлен, то атрибуты MemberOf и password окажутся пустыми.
Системные администраторы и поставщики реализовали различные методы сохранения этих данных и сопоставления их удаленному объекту, чтобы ускорить процесс восстановления. При удалении объектов пользователя пароль также отбрасывается, что может привести к серьезным затруднениям, если потребуется восстановить много пользовательских объектов и сформировать новые пароли. Можно использовать разряд 3 (0x00000008) атрибута SearchFlags объекта attributeSchema, чтобы указать атрибуты, сохраняемые в объекте «помеченный на удаление» (в том числе пароль). Дополнительные сведения о восстановлении объектов, помеченных на удаление, можно найти в статье TechNet «Reanimating Active Directory Tombstone Objects» по адресу www.microsoft.com/technet/technetmag/issues/2007/09/Tombstones/default.aspx. Моментальный снимок содержит все объекты и атрибуты каталога на момент выполнения снимка, поэтому, имея моментальный снимок каталога до удаления объекта, можно увидеть и извлечь все его атрибуты, а затем применить их к восстановленному объекту. Моментальный снимок могут сделать члены группы Enterprise Admins или Domain Admins.
Предположим, что администратор случайно удалил объект пользователя для генерального директора. Атрибут SearchFlags был предусмотрительно изменен, чтобы сохранить пароль удаленного объекта, поэтому с помощью бесплатной программы восстановления «помеченных на удаление», такой как AD Tombstone Reanimation компании SDM Software (www.sdmsoftware.com/freeware), можно вернуть удаленный объект в первоначальное местонахождение. Затем нужно подключить соответствующий моментальный снимок, следуя указаниям в статье TechNet «Active Directory Domain Services Database Mounting Tool (Snapshot Viewer or Snapshot Browser) Step-by-Step Guide» по адресу technet.microsoft.com/en-us/library/cc753609.aspx, и извлечь важные атрибуты объекта с помощью такой утилиты, как AdMod компании Joeware (www.joeware.net/freetools/tools/admod). Готово! Случайно удаленный объект удалось восстановить, не прибегая к принудительному восстановлению. Естественно, этот процесс можно автоматизировать. В блоге Даррена Мар-Элиа «PowerShell Script to leverage AD Tombstone cmdlets» содержится ссылка на сценарий PowerShell для этой задачи, подготовленный Гвидо Грилленмейером (sdmsoftware.com/blog/2008/06/10/powershell-script-toleverage-ad-tombstone-cmdlets).
Получить моментальный снимок просто. Пользователю с административными правами следует открыть командную строку на DC и запустить Ntdsutil. Введите команду
activate instance ntds
чтобы выбрать экземпляр каталога для моментального снимка. Введите команду
create
чтобы получить моментальный снимок, как показано на экране 1.
DS Behavior
DS Behavior обеспечивает дополнительный уровень безопасности в Server 2008. По умолчанию службы Server 2008 Active Directory Domain Services (AD DS) не позволяют выполнять операции с паролем через незащищенное соединение. Благодаря DS Behavior можно обойти это ограничение с помощью команды
allow passwd op on unsecured connection
Несмотря на доступность данного варианта, как правило, предпочтительнее сохранить обычный уровень безопасности.
Local Roles
Функция Local Roles используется для локального определения членства в группах на контроллерах домена только для чтения (RODC). Контроллеры RODC обеспечивают истинное отделение административной роли, так как пользователям можно предоставить частично повышенные права (например, Administrators, Server Operators) на RODC, но ни в каком ином месте домена. Например, чтобы добавить JaneBranchOfficeAdmin к локальной группе Administrators контроллера RODC, запустите Ntdsutil из командной строки на RODC. Введите
local roles
Из меню локальных ролей введите
add JaneBranchOfficeAdmin Administrators
чтобы добавить Jane к роли локальных администраторов.
Partition Management
С помощью Partition Management можно создавать, перечислять, удалять и назначать задержку уведомлений о репликации для разделов приложений в домене или лесе AD. Разделы приложений также именуются недоменными контекстами именования — NDNC. Можно также перечислить DC, которые являются репликами, поддерживающими раздел приложения. Наконец, с помощью Partition Management можно управлять разделами в AD LDS.
Install from Media
IFM — дополнительный режим мастера создания контроллера домена DCPROMO (хотя термины IFM и Install From Media не встречаются в мастере нигде). С помощью IFM администраторы могут ввести новый DC в домен, используя резервную копию состояния системы для загрузки необходимых разделов каталогов в базу данных DC вместо того, чтобы делать это по сети. Если база данных большая, таким образом можно сэкономить много времени по сравнению с традиционным созданием контроллера по сети. Дополнительные сведения об использовании IFM для создания контроллеров доменов можно найти в статье Microsoft «How to use the Install from Media feature to promote Windows 2003-based domain controllers» по адресу support.microsoft.com/kb/311078.
Функция IFM появилась в Windows 2003, но стала частью Ntdsutil лишь в Server 2008. Компания Microsoft добавила IFM в Ntdsutil, проектируя компонент Windows Server Backup для замены старой утилиты NTBackup, применявшейся еще в Windows NT 3.5. Однако набор функций Windows Server Backup иной, нежели в NTBackup; администраторы, которым приходилось выполнять резервное копирование состояния системы на дисках, обнаружат, что Windows Server Backup требуется для этого больше времени и места. Резервная копия состояния системы Server 2008 также содержит системные файлы, защищенные с использованием Windows File Protection (WFP), наряду с базой данных AD и SYSVOL.
Изменение функциональности в Windows Server Backup и дополнительные требования RODC вынудили группу разработчиков Directory Services обеспечить возможность резервного копирования достаточной части DC (собственно базы данных и двух кустов реестра) для установки нового DC Server 2008 с носителя, а не через сеть. IFM обеспечивает именно это. Кроме того, IFM проще и быстрее, чем метод Windows 2003, так как не требуется выполнять резервное копирование, а затем восстановление из полученной резервной копии, чтобы получить необходимые файлы. Я лично был свидетелем невероятного сокращения времени DCPROMO с 19 часов (репликация по сети) до 10 минут (IFM).
В IFM существует четыре варианта: create full <имя резервной копии>, create SYSVOL full <имя резервной копии>, create RODC <имя резервной копии> и create SYSVOL RODC backup <имя резервной копии>. Эти команды, логически разделенные на две пары, выполняют две функции. «Полные» (full) варианты создают установочные носители для развертывания полноценного DC, а варианты RODC создают носители для контроллеров домена только для чтения. Различие в том, что в целях безопасности в вариантах RODC база данных AD отмечается как доступная только для чтения и очищаются атрибуты пароля. Если носитель IFM попадет в руки злоумышленника, то опасность будет не меньше, чем при овладении всем DC. При использовании варианта RODC безопасность IFM-носителя такая же, как у самого RODC. Если используется режим SYSVOL, то в набор включается содержимое общей папки SYSVOL. При таком методе увеличивается размер набора файлов, перемещаемого на будущий DC, но SYSVOL не требуется реплицировать через сеть.
IFM легко использовать в сценариях; можно задавать последовательность команд Ntdsutil в командной строке или в сценарии. В следующем примере создается полная резервная копия IFM, без SYSVOL, в папке с именем backup:
ntdsutil "active instance ntds" ifm "create full backup" quit quit
Результат выполнения команды приведен на экране 2. Заменить «test» на переменную несложно.
Использовать IFM для создания контроллеров домена удобно, но главное достоинство команды в быстром восстановлении DC после отказа в производственной обстановке. Чаще всего реальные отказы связаны с операционной системой, а не AD. В таком случае необходимо восстановить как операционную систему, так и базу данных AD. В Server 2008 применяется три метода для восстановления операционной системы и базы данных AD. Традиционный метод заключается в восстановлении системы с накопителей. В Server 2008 нет встроенной функции для этого метода, но можно задействовать сторонний продукт. Можно также использовать Windows Server Backup для восстановления с применением Windows Complete PC Backup. Из-за отказа ОС восстановить состояние системы не удастся. Наконец, можно пропустить процесс восстановления и просто перестроить и заново развернуть DC.
В случае отказа DC самое важное — как можно быстрее восстановить работоспособность DC. Вторая задача — определить причину отказа. Если требуется быстро восстановить работоспособность, восстановление с магнитной ленты может занять слишком много времени: необходимо повторно установить операционную систему, запустить программу резервного копирования, восстановить систему и перезагрузиться. Восстановление с помощью Windows Complete PC Backup гораздо быстрее: достаточно загрузиться с установочного компакт-диска Server 2008, выбрать режим Repair my computer и восстановить все тома, содержащие важные системные данные. Однако этот процесс может быть длительным, если база данных AD и файлы журналов распределены по разным разделам. Кроме того, набор резервных копий должен быть доступен на локальном разделе или жестком диске USB. Если набор находится на локальном разделе, этот раздел должен быть выделен для Windows Server Backup, так как программа переформатирует и полностью использует раздел. При обновлении контроллеров домена до уровня Server 2008 придется потратить некоторые усилия на планирование и изменение разделов, но в целом процесс несложен, так как размеры современных жестких дисков превышают любые потребности DC.
Рекомендуется третий подход: пропустите процесс восстановления и просто удалите и восстановите операционную систему на сервере, а затем присвойте ему статус DC с использованием метода IFM. Это самый быстрый способ восстановить DC после отказа. Процесс состоит из следующих этапов.
- Регулярно получайте резервные копии IFM локальной базы данных DC и направляйте их в раздел, не содержащий критических системных данных.
- В центре данных с DC держите наготове компакт-диск для автоматической установки. Дополнительные сведения об автоматической установке Windows 2003 и Server 2008 можно найти в статьях TechNet «How Unattended Installation Works» по адресу technet.microsoft.com/en-us/library/cc786944(WS.10).aspx и «Lite-Touch, High Volume Deployment» по адресу technet.microsoft.com/en-us/library/dd919179(WS.10).aspx.
- DC должен быть выделен для своей роли (за исключением службы DNS, интегрированной с AD).
-
Если происходит отказ или возникают иные проблемы с операционной системой на DC, устранение которых занимает более 15 минут, то:
a) Необходимо вставить компакт-диск и выполнить автоматическую установку операционной системы. Это может занять от 15 до 30 минут.
б) Пока идет переустановка, дежурный администратор DC должен выполнить чистку метаданных DC в AD. В процессе чистки метаданных удаляются данные AD, относящиеся к отказавшему DC, используемому в репликации. Когда роль DC понижается обычным способом, эта информация удаляется как часть процесса понижения. Но неисправный DC не проходит обычную процедуру, и эту информацию приходится удалять вручную. В Windows 2003 для очистки метаданных используется утилита Ntdsutil, как описано в статье TechNet «Clean up server metadata» по адресу technet.microsoft.com/en-us/library/cc736378(WS.10).aspx. В Server 2008 и Server 2008 R2 процедура упрощена; в статье TechNet «Clean Up Server Data (Windows Server 2008)» по адресу technet.microsoft.com/en-us/library/cc816907%28WS.10%29.aspx объясняется процесс использования оснасток Active Directory Users and Computers и Active Directory Sites and Services.
в) После завершения переустановки и настройки выполните развертывание IFM контроллера домена, указав резервные копии IFM в резервном разделе. Вся операция должна занимать не более 15 минут.
Новые возможности восстановления
Утилита Ntdsutil в составе Server 2008 дополнена несколькими новыми компонентами. Обратите внимание не только на их функции, но и на новые возможности восстановления, основу которых они обеспечивают. Даже небольшие улучшения AD могут принести огромную пользу.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP