На правах рукописи
Вид материала | Документы |
СодержаниеКраткие итоги Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY Ключевые слова Подготовка к отказам Хранение данных в Active Directory |
- Печатная или на правах рукописи, 21.09kb.
- Удк 796/799: 378 , 770.24kb.
- На правах рукописи, 399.58kb.
- На правах рукописи, 726.26kb.
- На правах рукописи, 1025.8kb.
- На правах рукописи, 321.8kb.
- На правах рукописи, 552.92kb.
- На правах рукописи, 514.74kb.
- На правах рукописи, 670.06kb.
- На правах рукописи, 637.26kb.
Краткие итоги
Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:
- Невозможно добавить или удалить домен.
- Невозможно создать объекты в Active Directory.
- Изменения членства в группе не вступают в силу.
- Пользователи без программного обеспечения Active Directory не могут войти в систему.
- Пользователю не удается локально войти в систему на контроллере домена.
- Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
- Сообщение об ошибке «Домен не найден», «Сервер недоступен» или «Сервер RPC недоступен».
Некоторые типичные ошибки репликации:
- Любой отказ в репликации между контроллерами домена.
- Репликация информации каталога прекратилась.
- Репликация информации каталога замедлилась, но не остановилась.
- При попытке репликации вручную получено сообщение «Отказано в доступе».
- Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).
Некоторые возможные неполадки DNS:
- Прерывание делегирования зоны.
- Неполадки, связанные с зонной передачей.
- Неполадки динамического обновления.
Некоторые типичные неполадки схемы Active Directory:
- Невозможно изменить или расширить схему.
- Невозможно добавить атрибуты в класс.
- Не удается найти или запустить оснастку «Схема Active Directory».
- Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки «Схема Active Directory».
Некоторые типичные неполадки в сведениях о доверии Active Directory:
- Клиенты не могут обратиться к ресурсам в другом домене.
- Клиентам не удается получить доступ к ресурсам домена вне леса.
- Ошибки доверия между серверами или рабочими станциями.
Некоторые типичные проблемы с разрешениями:
- Пользователь не может получить доступ к файлу или папке.
- Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
- Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.
Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY
Краткая аннотация: Дан краткий обзор процесса восстановления Active Directory, в том числе описаны предварительные действия при подготовке к отказам.
Ключевые слова: контроллер домена, резервное копирование, репликация, организационная единица.
Цель лекции
Указать необходимость спланировать подготовку к отказам для возможности восстановления Active Directory.
Служба каталога Active Directory — это наиболее критическая сетевая служба, которая развернута в сети. Если инфраструктура Active Directory будет неудачной, пользователи сети будут чрезвычайно ограничены в своей работе в сети. Почти все сетевые службы в Microsoft Windows Server 2003 выполняют аутентификацию пользователей в Active Directory, прежде чем они получат доступ к какому-либо сетевому ресурсу. Поэтому надо заранее приготовиться к предотвращению отказов и восстановлению службы.
Подготовка к отказам
Первые шаги в восстановлении системы после отказа выполняются намного раньше, чем случится сам отказ.
Подготовка включает просмотр всех элементов, составляющих нормальную сетевую инфраструктуру, а также некоторые специфичные для Active Directory вещи.
Перечисленные ниже процедуры являются критически важными [13].
- Разработать последовательное создание резервной копии и восстановить управление контроллеров домена. Первый шаг в любом плане восстановления состоит в установке соответствующих аппаратных средств и программного обеспечения для поддержки создания резервных копий контроллеров домена; после этого рекомендуется создать и протестировать план резервирования и восстановления.
- Развернуть контроллеры домена Active Directory с аппаратной избыточностью. Большинство серверов можно заказывать с некоторым уровнем аппаратной избыточности при небольшой дополнительной стоимости. Например, сервер с двойным источником питания, избыточными сетевыми картами и избыточной аппаратной системой жесткого диска должен быть стандартным оборудованием для контроллеров домена. Во многих больших компаниях аппаратная избыточность поднята на такой уровень, когда все контроллеры домена связаны с различными цепями питания и подключены к различным коммутаторам Ethernet или сетевым сегментам.
Хранение данных в Active Directory
База данных Active Directory хранится в файле по имени Ntds.dit, который по умолчанию расположен в папке %systemroot%\NTDS, содержащей также следующие файлы [13]:
- Edb.chk — файл контрольных точек, который указывает, какие транзакции из журналов регистрации были записаны в базу данных Active Directory;
- Edb.log — журнал регистрации текущих транзакций, имеющий фиксированную длину в 10 Мб;
- Edbxxxxx.log. После того как Active Directory проработала некоторое время, могут появиться один или более журналов, у которых часть имени файла, обозначенная как ххххх, представляет собой увеличивающийся шестнадцатеричный порядковый номер. Эти журналы являются предшествующими журналами; всякий раз, когда текущий журнал заполнен, он переименовывается в следующий предшествующий журнал, и создается новый журнал Edb.log. Старые журналы автоматически удаляются по мере того, как изменения, представленные в журналах, переносятся в базу данных Active Directory. Каждый из этих журналов занимает 10 Мб;
- Edbtemp.log — временный журнал, который используется тогда, когда заполнен текущий журнал (Edb.log). Новый журнал создается под именем Edbtemp.log, в нем хранятся все транзакции, а затем журнал Edb.log переименовывается в следующий предшествующий журнал. Далее журнал Edbtemp.log переименовывается в журнал Edb.log;
- Res1.log и Res2.log — резервные журналы, которые используются только в ситуации, когда на жестком диске заканчивается свободное пространство. Если текущий журнал заполнен, а сервер не может создать новый журнал, потому что на жестком диске нет свободного пространства, сервер подавит любые транзакции Active Directory, находящиеся в настоящее время в памяти, использует место для резервных журналов, а затем завершит работу Active Directory. Размер каждого из этих журналов — 10 Мб.
Каждая модификация в базе данных Active Directory называется транзакцией. Транзакция может состоять из нескольких шагов. Например, когда пользователь перемещается из одной организационной единицы (OU) в другую, в OU-адресате должен быть создан новый объект, а в OU-источнике удален старый объект. Чтобы транзакция была закончена, оба шага должны быть выполнены; если один из шагов потерпит неудачу, вся транзакция должна получить откат, чтобы никакой шаг не был засчитан. Когда все шаги в транзакции выполнены, транзакция считается законченной. Используя модель транзакций, система Windows Server 2003 гарантирует, что база данных всегда остается в согласованном состоянии.
Всякий раз, когда в базе данных Active Directory делается какое-либо изменение (например, изменяется номер телефона пользователя), оно сначала записывается в журнал транзакций. Поскольку журнал транзакций является текстовым файлом, в котором изменения записываются последовательно, то запись в журнал происходит намного быстрее, чем запись в базу данных. Поэтому использование журналов транзакций улучшает работу контроллера домена.
Как только транзакция была записана в журнал транзакций, контроллер домена загружает страницу базы данных, содержащую пользовательский объект, в память (если она еще не находится в памяти). Все изменения в базе данных Active Directory делаются в памяти контроллера домена. Контроллер домена использует максимально доступный объем памяти и хранит в памяти максимально большую часть базы данных Active Directory. Контроллер домена удаляет страницы базы данных из памяти только тогда, когда свободная память становится ограниченной или когда контроллер домена выключается. Изменения, сделанные к страницам базы данных, переписываются в базу данных только тогда, когда сервер мало используется или при его выключении.
Журналы транзакций не только улучшают работу контроллера домена, обеспечивая место для быстрой записи изменений, но и обеспечивают возможность восстановления данных в случае отказа сервера. Например, если было сделано изменение, относящееся к Active Directory, то оно записывается в журнал транзакций, а затем на страницу базы данных, находящуюся в памяти сервера. Если в этот момент сервер неожиданно выключается, то изменения не будут переданы из памяти сервера в базу данных. Когда контроллер домена будет перезапущен, он найдет в журнале все транзакции, которые еще не были переданы в базу данных. Затем эти изменения применятся к базе данных при запуске служб контроллера домена. В процессе этого восстановления используется файл контрольной точки. Файл контрольной точки является указателем на то, какие транзакции из имеющихся в журнале были переписаны в базу данных. В процессе восстановления контроллер домена читает файл контрольной точки, определяя, какие транзакции были переданы базе данных, а затем он добавляет в базу данных изменения, которые еще не были переданы. Использование журналов транзакций улучшает работу контроллеров домена и увеличивает возможность восстановления данных в случае неожиданного выключения сервера. Эти преимущества максимальны, если журнал транзакций и база данных расположены на отдельных жестких дисках.
Служба Active Directory Windows Server 2003 сконфигурирована для циркулярной (circular) регистрации, и эта конфигурация не может быть изменена. При циркулярной регистрации сохраняются только те предшествующие журналы, содержащие транзакции, которые не были переписаны в базу данных. По мере передачи информации из предшествующего журнала в базу данных журнал удаляется. Циркулярная регистрация предотвращает потерю данных в случае сбоя на жестком диске контроллера домена, когда будет восстанавливаться база данных из резервной копии. Предположим, что выполняется резервное копирование Active Directory каждую ночь, но жесткий диск контроллера домена сломался в 17:00, после того как было сделано несколько сотен изменений в базе данных в течение дня. По мере выполнения изменений предшествующие журналы транзакций удалялись, поскольку информация из них передавалась в базу данных Active Directory. Когда будет восстановлена база данных к состоянию, соответствующему резервной копии предыдущей ночи, все изменения, которые были сделаны в течение дня, будут потеряны. Единственный способ предотвратить эту потерю данных состоит в развертывании по крайней мере двух контроллеров домена, которые реплицируют информацию друг другу в течение дня. Если произойдет сбой на одном из контроллеров домена, то можно будет восстановить на нем базу данных из резервной копии, а все изменения, сделанные в течение дня, будут скопированы на восстановленный сервер.