Как восстановить Windows Server 2003 Active Directory

http://itew.ru/2009/06/27/593

В семействе продуктов Windows Server 2003 вы можете восстановить базу Active Directory, если она была повреждена или уничтожена из-за сбоев в программном обеспечении или сервере. Вы должны восстанавливать Active Directory, когда объекты в ней были изменены или удалены.

Примечание: Есть альтернативный способ восстановления удаленных объектов Active Directory, которые находятся в так называемом состоянии «tombstone». Такие объекты скрыты из графического интерфейса и ожидают очистки процессом, который называется «сборка мусора» (garbage collection). Подробно об этой процедуре рассказано в этой статье Восстановление удаленных элементов в Active Directory.

Вы можете использовать один из трех методов восстановления Active Directory из бекапа: Primary Restore, Normal Restore (т.е. Non Authoritative), и Authoritative Restore.

 

Primary Restore: Этот метод восстанавливает первый контроллер домена в домене, когда нет другой возможности восстановить домен. Производить Primary Restore можно только в случае, если все остальные контроллеры домена потеряны и вы хотите восстановить домен из бекапа. На локальном компьютере операцию восстановления Primary Restore могут провести только члены группы Administrators, в домене, только члены группы Domain Admins.

Normal Restore: Этот метод восстановления приводит Active Directory в состояние до бекапа, а затем обновляет изменениями с других контроллеров через стандартную репликацию контроллеров домена. Применяйте Normal Restore для домена с одним контроллером, чтобы вернуть его в последнее рабочее состояние.

Authoritative Restore: Используйте этот метод совместно с Normal Restore. Authoritative Restore позволяет помечать определенные восстановленные элементы, как новые, что предотвращает их изменение при репликации наоборот, они реплицируются на остальные контроллеры домена. Выполняйте Authoritative Restore при восстановлении отдельных объектов в домене, имеющем несколько контроллеров домена. При восстановлении методом Authoritative Restore вы потеряете все изменения данного объекта, которые были сделаны после бекапа. Для восстановления таким методом вы должны использовать утилиту командной строки NTDSUTIL. C помощью этой утилиты вы сможете пометить объекты Active Directory как «достоверные» (authoritative), чтобы они получили более высокую версию изменения, чем на остальных контроллерах домена и небыли изменены при репликации.

Например, если Вы неосторожно удалили или изменили объекты в Active Directory и после этого эти изменения были прореплицированы на другие контроллеры домена, вы должны применять метод Authoritative Restore, для того чтобы восстановленные элементы прореплицировались на другие контроллеры домена. Если вы не применяли метод Authoritative Restore при восстановлении объектов, они никогда не будут прореплицированы на другие контроллеры домена, потому что для них они будут казаться устаревшими. Использование утилиты NTDSUTIL для пометки данных как «достоверные» (authoritative), гарантирует, что они будут прореплицированны на другие контроллеры домена.

С другой стороны, если у вас несколько контроллеров домена и на одном из них сломался диск или база Active Directory, вы можете просто восстановить данные, без использования NTDSUTIL. После перезагрузки, контроллер домена прореплизирует все изменения с других контроллеров.