Резервирование и восстановление объектов Active Directory в Windows Server 2008/2008R2 Ч.4

Продолжение, начало

Восстанавливаем атрибуты объектов

В снимке, полученном при помощи «ntdsutil» есть сам объект и его атрибуты. Сам образ можно монтировать и подключать в качестве виртуального LDAP сервера экспортирующего объекты. Вызываем ntdsutil:

> ntdsutil
ntdsutil: snapshot

Смотрим список доступных снимков:

снимок: list all
 
 1: 2009/04/22:23:18 {8378f4fe-94c2-4479-b0e6-ab46b2d88225}
 2:   C: {732fdf7f-9133-4e62-a7e2-2362227a8c8e}
 
 3: 2009/04/23:00:19 {6f7aca49-8959-4bdf-a668-6172d28ddde6}
 4:   C: {cd17412a-387b-47d1-9d67-1972f49d6706}

Монтируем командой mount c указанием номера или {ID}:

снимок: mount 4
Снимок {cd17412a-387b-47d1-9d67-1972f49d6706} установлен как C:\$SNAP_2009042300
19_VOLUMEC$\

Снимок смонтирован. Теперь можно перейти при помощи Проводника в указанный каталог и просмотреть, что находится внутри.

Две консоли подключенные к AD и виртуальному LDAP серверу

Две консоли подключенные к AD и виртуальному LDAP серверу


Выходим из «ntdsutil» введя дважды «quit», образ по прежнему будет смонтирован. Теперь используя утилиту «dsamain» создаем виртуальный LDAP-сервер, указав в качестве параметра путь к файлу ntds.dit который находится в смонтированном снимке. В качестве порта LDAP сервера я выбрал 10000:

> dsamain -dbpath C:\$SNAP_200904230019_VOLUMEC$\Windows\NT
DS\ntds.dit -ldapPort 10000
EVENTLOG (Informational): NTDS General / Управление службой : 1000
Завершен запуск доменных служб Active Directory (Майкрософт) версии 6.0.6001.180
00

Можно подключиться к виртуальному LDAP серверу при помощи консоли «Active Directory – пользователи и компьютеры», указав в качестве параметра номер порта 10000 и просмотреть находящиеся внутри объекты.
Экспортируем параметры нужного объекта в ldf файл, подробнее об ldifde написано в KB237677
Использование средства LDIFDE для импорта и экспорта объектов каталогов в Active Directory
.

> ldifde -r "(name=user)" -f export.ldf -t 10000
Установка связи с "testcomp.domain.ru"
Вход от имени текущего пользователя с помощью SSPI
Экспорт каталога в файл export.ldf
Поиск элементов...
Записываются элементы.
1 элементов экспортировано

В полученном ldf файле следует изменить параметр «changetype: add» на «changetype: modify«, и затем новый файл импортировать в каталог:

> ldifde -i -z -f import.ldf

Созданный ldf файл необходимо подправить

Созданный ldf файл необходимо подправить


Есть и другие варианты импорта/экспорта, с использование DSGET/DSMOD, PowerShell и так далее.

> dsget user cn=user,ou=ou1,dc=domain,ds=ru -s localhost:10000 -memberof  |  dsmod group -c -addmbr cn=user,ou=ou1,dc=domain,ds=ru

Другой метод основан на том, что каждый объект Active Directory имеет номер версии. При различии номеров версии на двух контролерах домена, новым и правильным считается тот объект, у которого номер версии выше. Это и использует механизм “принудительного восстановления” (authoritative restore), когда восстановленному при помощи “ntdsutil” объекту присваивается номер выше, и он принимается AD как новый. Для работы механизма принудительного восстановления, сервер также перегружается в DSRM.

> ntdsutil "authoritative restore" "restore object cn=user,ou=group,dc=domain,dc=ru" q q

Аналогично восстанавливается подразделение:

> ntdsutil "authoritative restore" "restore subtree ou=group,dc=domain,dc=ru" q q
Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии
Оставить комментарий

(required)

(required)