На правах рукописи

Вид материала

Документы

Содержание Краткие итоги Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY Ключевые слова Подготовка к отказам Хранение данных в Active Directory

Подобный материал:

• Печатная или на правах рукописи, 21.09kb.
• Удк 796/799: 378                                                                           , 770.24kb.
• На правах рукописи, 399.58kb.
• На правах рукописи, 726.26kb.
• На правах рукописи, 1025.8kb.
• На правах рукописи, 321.8kb.
• На правах рукописи, 552.92kb.
• На правах рукописи, 514.74kb.
• На правах рукописи, 670.06kb.
• На правах рукописи, 637.26kb.

Краткие итоги

Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:

• Невозможно добавить или удалить домен.
  
• Невозможно создать объекты в Active Directory.
  
• Изменения членства в группе не вступают в силу.
  
• Пользователи без программного обеспечения Active Directory не могут войти в систему.
  
• Пользователю не удается локально войти в систему на контроллере домена.
  
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
  
• Сообщение об ошибке «Домен не найден», «Сервер недоступен» или «Сервер RPC недоступен».
  

Некоторые типичные ошибки репликации:

• Любой отказ в репликации между контроллерами домена.
  
• Репликация информации каталога прекратилась.
  
• Репликация информации каталога замедлилась, но не остановилась.
  
• При попытке репликации вручную получено сообщение «Отказано в доступе».
  
• Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).
  

Некоторые возможные неполадки DNS:

• Прерывание делегирования зоны.
  
• Неполадки, связанные с зонной передачей.
  
• Неполадки динамического обновления.
  

Некоторые типичные неполадки схемы Active Directory:

• Невозможно изменить или расширить схему.
  
• Невозможно добавить атрибуты в класс.
  
• Не удается найти или запустить оснастку «Схема Active Directory».
  
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки «Схема Active Directory».
  

Некоторые типичные неполадки в сведениях о доверии Active Directory:

• Клиенты не могут обратиться к ресурсам в другом домене.
  
• Клиентам не удается получить доступ к ресурсам домена вне леса.
  
• Ошибки доверия между серверами или рабочими станциями.
  

Некоторые типичные проблемы с разрешениями:

• Пользователь не может получить доступ к файлу или папке.
  
• Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
  
• Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.
  

Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY

Краткая аннотация: Дан краткий обзор процесса восстановления Active Directory, в том числе описаны предварительные действия при подготовке к отказам.

Ключевые слова: контроллер домена, резервное копирование, репликация, организационная единица.


Цель лекции

Указать необходимость спланировать подготовку к отказам для возможности восстановления Active Directory.


Служба каталога Active Directory — это наиболее критическая сетевая служба, которая развернута в сети. Если инфраструктура Active Directory будет неудачной, пользователи сети будут чрезвычайно ограничены в своей работе в сети. Почти все сетевые службы в Microsoft Windows Server 2003 выполняют аутентификацию пользователей в Active Directory, прежде чем они получат доступ к какому-либо сетевому ресурсу. Поэтому надо заранее приготовиться к предотвращению отказов и восстановлению службы.

Подготовка к отказам

Первые шаги в восстановлении системы после отказа выполняются намного раньше, чем случится сам отказ.

Подготовка включает просмотр всех элементов, составляющих нормальную сетевую инфраструктуру, а также некоторые специфичные для Active Directory вещи.

Перечисленные ниже процедуры являются критически важными [13].

• Разработать последовательное создание резервной копии и восстановить управление контроллеров домена. Первый шаг в любом плане восстановления состоит в установке соответствующих аппаратных средств и программного обеспечения для поддержки создания резервных копий контроллеров домена; после этого рекомендуется создать и протестировать план резервирования и восстановления.
  
• Развернуть контроллеры домена Active Directory с аппаратной избыточностью. Большинство серверов можно заказывать с некоторым уровнем аппаратной избыточности при небольшой дополнительной стоимости. Например, сервер с двойным источником питания, избыточными сетевыми картами и избыточной аппаратной системой жесткого диска должен быть стандартным оборудованием для контроллеров домена. Во многих больших компаниях аппаратная избыточность поднята на такой уровень, когда все контроллеры домена связаны с различными цепями питания и подключены к различным коммутаторам Ethernet или сетевым сегментам.
  

Хранение данных в Active Directory

База данных Active Directory хранится в файле по имени Ntds.dit, который по умолчанию расположен в папке %systemroot%\NTDS, содержащей также следующие файлы [13]:

• Edb.chk — файл контрольных точек, который указывает, какие транзакции из журналов регистрации были записаны в базу данных Active Directory;
  
• Edb.log — журнал регистрации текущих транзакций, имеющий фиксированную длину в 10 Мб;
  
• Edbxxxxx.log. После того как Active Directory проработала некоторое время, могут появиться один или более журналов, у которых часть имени файла, обозначенная как ххххх, представляет собой увеличивающийся шестнадцатеричный порядковый номер. Эти журналы являются предшествующими журналами; всякий раз, когда текущий журнал заполнен, он переименовывается в следующий предшествующий журнал, и создается новый журнал Edb.log. Старые журналы автоматически удаляются по мере того, как изменения, представленные в журналах, переносятся в базу данных Active Directory. Каждый из этих журналов занимает 10 Мб;
  
• Edbtemp.log — временный журнал, который используется тогда, когда заполнен текущий журнал (Edb.log). Новый журнал создается под именем Edbtemp.log, в нем хранятся все транзакции, а затем журнал Edb.log переименовывается в следующий предшествующий журнал. Далее журнал Edbtemp.log переименовывается в журнал Edb.log;
  
• Res1.log и Res2.log — резервные журналы, которые используются только в ситуации, когда на жестком диске заканчивается свободное пространство. Если текущий журнал заполнен, а сервер не может создать новый журнал, потому что на жестком диске нет свободного пространства, сервер подавит любые транзакции Active Directory, находящиеся в настоящее время в памяти, использует место для резервных журналов, а затем завершит работу Active Directory. Размер каждого из этих журналов — 10 Мб.
  

Каждая модификация в базе данных Active Directory называется транзакцией. Транзакция может состоять из нескольких шагов. Например, когда пользователь перемещается из одной организационной единицы (OU) в другую, в OU-адресате должен быть создан новый объект, а в OU-источнике удален старый объект. Чтобы транзакция была закончена, оба шага должны быть выполнены; если один из шагов потерпит неудачу, вся транзакция должна получить откат, чтобы никакой шаг не был засчитан. Когда все шаги в транзакции выполнены, транзакция считается законченной. Используя модель транзакций, система Windows Server 2003 гарантирует, что база данных всегда остается в согласованном состоянии.

Всякий раз, когда в базе данных Active Directory делается какое-либо изменение (например, изменяется номер телефона пользователя), оно сначала записывается в журнал транзакций. Поскольку журнал транзакций является текстовым файлом, в котором изменения записываются последовательно, то запись в журнал происходит намного быстрее, чем запись в базу данных. Поэтому использование журналов транзакций улучшает работу контроллера домена.

Как только транзакция была записана в журнал транзакций, контроллер домена загружает страницу базы данных, содержащую пользовательский объект, в память (если она еще не находится в памяти). Все изменения в базе данных Active Directory делаются в памяти контроллера домена. Контроллер домена использует максимально доступный объем памяти и хранит в памяти максимально большую часть базы данных Active Directory. Контроллер домена удаляет страницы базы данных из памяти только тогда, когда свободная память становится ограниченной или когда контроллер домена выключается. Изменения, сделанные к страницам базы данных, переписываются в базу данных только тогда, когда сервер мало используется или при его выключении.

Журналы транзакций не только улучшают работу контроллера домена, обеспечивая место для быстрой записи изменений, но и обеспечивают возможность восстановления данных в случае отказа сервера. Например, если было сделано изменение, относящееся к Active Directory, то оно записывается в журнал транзакций, а затем на страницу базы данных, находящуюся в памяти сервера. Если в этот момент сервер неожиданно выключается, то изменения не будут переданы из памяти сервера в базу данных. Когда контроллер домена будет перезапущен, он найдет в журнале все транзакции, которые еще не были переданы в базу данных. Затем эти изменения применятся к базе данных при запуске служб контроллера домена. В процессе этого восстановления используется файл контрольной точки. Файл контрольной точки является указателем на то, какие транзакции из имеющихся в журнале были переписаны в базу данных. В процессе восстановления контроллер домена читает файл контрольной точки, определяя, какие транзакции были переданы базе данных, а затем он добавляет в базу данных изменения, которые еще не были переданы. Использование журналов транзакций улучшает работу контроллеров домена и увеличивает возможность восстановления данных в случае неожиданного выключения сервера. Эти преимущества максимальны, если журнал транзакций и база данных расположены на отдельных жестких дисках.

Служба Active Directory Windows Server 2003 сконфигурирована для циркулярной (circular) регистрации, и эта конфигурация не может быть изменена. При циркулярной регистрации сохраняются только те предшествующие журналы, содержащие транзакции, которые не были переписаны в базу данных. По мере передачи информации из предшествующего журнала в базу данных журнал удаляется. Циркулярная регистрация предотвращает потерю данных в случае сбоя на жестком диске контроллера домена, когда будет восстанавливаться база данных из резервной копии. Предположим, что выполняется резервное копирование Active Directory каждую ночь, но жесткий диск контроллера домена сломался в 17:00, после того как было сделано несколько сотен изменений в базе данных в течение дня. По мере выполнения изменений предшествующие журналы транзакций удалялись, поскольку информация из них передавалась в базу данных Active Directory. Когда будет восстановлена база данных к состоянию, соответствующему резервной копии предыдущей ночи, все изменения, которые были сделаны в течение дня, будут потеряны. Единственный способ предотвратить эту потерю данных состоит в развертывании по крайней мере двух контроллеров домена, которые реплицируют информацию друг другу в течение дня. Если произойдет сбой на одном из контроллеров домена, то можно будет восстановить на нем базу данных из резервной копии, а все изменения, сделанные в течение дня, будут скопированы на восстановленный сервер.