Джил Кіркпатрік (Gil Kirkpatrick)
- NTBACKUP або архівація даних Windows Server.
- Засоби і варіанти резервного копіювання.
- Засоби і варіанти відновлення.
- Основи побудови розумної стратегії резервного копіювання Active Directory.
Відомо, що доменні служби Active Directory (ADDS) - один з компонентів, обов'язкових для функціонування інфраструктури Windows. Якщо Active Directory виходить з ладу, мережа, здебільшого, стає марною. Отже, планування резервного копіювання та відновлення Active
Directory є запорукою безпеки, безперервності бізнес-операцій і соблющенія всіх норм і вимог.
NTBACKUP і архівація даних Windows Server
Параметри групової політики
Програма NTBACKUP, яку всі знають і люблять з часів виходу Windows NT ® 3.5, пішла в минуле. Її замінила прогрмма архівації даних Windows Server. Новий засіб - це не підлатати засіб NTBACKUP; в ньому використана абсолютно інша технологія резервного копіювання, яка змушує по-новому підійти до питань резервного копіювання систем.
Але навіть при повному резервному копіюванні програма архівування даних дозволяє оптимізувати витрачання вільного простору на тих дисках, де зберігаються копії. Припустимо, ви зберегли кілька повних резервних копій на один і той же тому. На тих дисках, де зберігаються копії, програма архівування даних Windows Server використовує миттєві знімки служби тіньового копіювання, а в миттєвих знімках реєструються тільки ті блоки, які були змінені. Тим самим зменшується сумарний обсяг декількох повних резервних копій. Крім того, не доводиться проводити послідовні операції відновлення, як при роботі з різницевими резервними копіями. Хоча в миттєвому знімку зберігається інформація тільки про зміни ( «різниця» між резервними копіями), служба тіньового копіювання томів обробляє резервну копію таким чином, що система сприймає її як повну.
Однак потрібно враховувати, що перевагами служби тіньового копіювання томів можна буде скористатися тільки в разі резервного копіювання на локальний жорсткий диск. При копіюванні на диски DVD або мережеві ресурси програма архівації даних працювати зі службою тіньового копіювання не може.
Але у програми архівування даних Windows Server є і свої недоліки. Оскільки вона сприймає копіюється диск як набір томів і блоків, створити резервну копію окремих файлів можна. Ви змушені копіювати весь тім цілком. І ще одна, більш серйозна проблема: за замовчуванням можна зберегти образ резервної копії ні на одному з архівних томів (правда, тут є обхідні варіснти настройки, див. Support.microsoft.com/kb/944530). Це досить сильно відбивається на резервному копіюванні стану системи. Далі ми розглянемо це докладніше.
Установка програми архівації даних Windows Server
Повний опис процесу установки приведено тут: go.microsoft.com/fwlink/?LinkId=113146.
Компоненти програми архівування даних Windows Server
Додаток «Архівування даних Windows Server» влаштовано зовсім новим образом. Воно складається з чотирьох компонентів:
- Інтерфейс MMC (WBADMIN.MCS).
- Інтерфейс командного рядка.
- Служба резервного копіювання (WBENGINE.EXE).
- Набір командлетів Windows PowerShell.
Служба тіньового копіювання томів
Якщо не вказано інше, програма архівування також створює миттєвий знімок вихідного томи, з тим щоб служба тіньового копіювання могла відслідковувати зміни блоків, що входять в нього. Це дозволяє програмі архівації даних Windows Server створювати різницеві резервні копії на рівні блоків, для чого потрібно вважати лише змінені блоки вихідного томи. Програма явно не доводиться зчитувати і записувати цілий файл через одного зміненого біта - вона зчитує і записує тільки один блок.
Figure 1 Disable incremental backups on busy volumes (Клацніть зображення, щоб збільшити його)
Планування резервного копіювання в оснащенні MMC
Планувальник, вбудований в програму архівації даних Windows Server, насправді має на меті одне: легко спланувати свою щоденного створення резервних копій, що зберігаються на локальному жорсткому диску. Планувальник також дозволяє організувати автоматичну зміну томів, на яких зберігаються резервні копії. Якщо ви використовуєте жорсткі диски, які можна легко відключити від комп'ютера (наприклад, жорсткі диски для порту USB), програму архівування можна налаштувати таким чином, щоб після збереження копії можна було відключити диск, а на його місце поставити інший - той, на якому записана найстаріша резервна копія.
Figure 5 Specifying when daily backups should occur (Клацніть зображення, щоб збільшити його)
Figure 6 Specifying the destination disk for a scheduled backup (Клацніть зображення, щоб збільшити його)
Планування резервного копіювання з командного рядка
При плануванні резервного копіювання в установці Server Core, а також якщо потрібно просто написати сценарій для процедури архівування, можна використовувати програму командного рядка WBADMIN. Щоб створити розклад копіювання, введіть команду WBADMIN ENABLE BACKUP і вкажіть місце зберігання резервної копії, що копіюються томи і час виконання процедури:
Відновлення системи контролера домену на комп'ютері без ОС
Figure 7 The Repair your computer option is available on the installation screen (Клацніть зображення, щоб збільшити його)
Якщо в програмі установки вибрати відновлення системи, Windows запропонує вказати варіант відновлення (рис. 8). Ми виберемо варіант «Повне відновлення комп'ютера Windows», в результаті чого буде викликати серед відновлення.
Figure 8 Specifying system recovery options (Клацніть зображення, щоб збільшити його)
Після того як вказана операційна система, яку потрібно відновити (зазвичай вона всього одна), середа WinRE дозволяє вибрати резервну копію, на підставі якої буде виконуватися відновлення. За замовчуванням WinRE вибирає останню за часом створення повну резервну копію системи, але можна використовувати і іншу копію, що зберігається на локальному диску або в файловому ресурсі на іншому сервері.
Ми залишимо останню повну копію. У наступному діалоговому вікні (див. Рис. 9) програма дозволяє відформатувати диски і заново створити розділи. Це корисно в тому випадку, якщо причиною, що призвела до необхідності відновлення, був збій диска, а також якщо ви підключили нові диски до сервера.
Figure 9 You can easily format and repartition disks before they're restored (Клацніть зображення, щоб збільшити його)
Потім йде кілька діалогових вікон, в яких ви підтверджуєте вибрані параметри, після чого середу WinRE запускає процес відновлення, і сервер перезавантажується. Такий спосіб відновлення сервера на «голе» обладнання (без встановленої ОС) досить простий.
Відновлення стану системи контролера домену
В цьому випадку відбувається неповноважним відновлення. Якщо ви хочете виконати примусове відновлення каталогу SYSVOL, потрібно позначити відновлену копію SYSVOL як довірену, додавши параметр authsysvol в команду WBADMIN. Додаткові відомості по цій процедурі наведені на сторінці go.microsoft.com/fwlink/?LinkId=113152.
Створення миттєвих знімків Active Directory
Для створення миттєвого знімка доменної служби Active Directory або служби полегшеного доступу до каталогів використовується команда NTDSUTIL:
Дана послідовність команд NTDSUTIL створює миттєвий знімок у форматі служби тіньового копіювання томів, в який включаються ті томи, в яких зберігається інформаційне дерево каталогу Active Directory, журнали та каталог SYSVOL. Незважаючи на те що Active Directory все ще оновлюється, служба тіньового копіювання використовує стратегію «копіювання при записі»: це гарантує правильну обробку зроблених миттєвих знімків. Зверніть увагу, що миттєвий знімок не є повною копією інформаційного дерева каталогу. У ньому міститься лише набір блоків диска, що відносяться до інформаційного дереву каталогу, які змінилися з моменту створення попереднього знімка. Зістикувавши ці блоки з поточної копією інформаційного дерева каталогу, VSS може сформувати інформаційне дерево каталогу на момент створення знімка. На рис. 12 показано, як можна видалити старі або непотрібні знімки.
Figure 12 Видалення непотрібних миттєвих знімків
Підключення миттєвих знімків Active Directory
Щоб мати можливість користуватися зробленими миттєвими знімками, потрібно спочатку навчити службу тіньового копіювання, як зробити знімки доступними для файлової системи. Робиться це за допомогою команди ntdsutil. Вона видає список наявних миттєвих знімків і дозволяє підключити потрібний знімок (див. Рис. 13).
Figure 13 Підключення миттєвого знімка за допомогою програми ntdsutil
Якщо відкрити вказаний каталог, ви знайдете в них весь вміст копіювати томів на момент створення миттєвого знімка. Потрібно відзначити, що змонтовані миттєві знімки призначені тільки для читання; змінювати файли, що містяться в них, не можна.
Відновлення даних на підставі миттєвих знімків Active Directory
Монтування миттєвих знімків томів, що містять Active Directory, здається фокусом. Яким чином можна отримати дані Active Directory, що зберігаються в знімках? Розгадка криється в команді DSAMAIN. Це виконуваний файл, що запускає ADLDS. По суті своїй, це автономний сервер LDAP, велика частина коду якого використовується спільно з доменними службами Active Directory. Програму DSAMAIN можна використовувати для того, щоб перетворити підключення миттєві знімки в якусь подобу сервера LDAP, доступного тільки для читання і містить дані Active Directory на момент створення знімка.
Розглянемо наступну команду:
Figure 14 Connecting Active Directory users and computers to a mounted snapshot (Клацніть зображення, щоб збільшити його)
Можливість такого доступу до даних спрощує багато завдань, пов'язані з відновленням даних. Наприклад, щоб відновити віддалений об'єкт, раніше потрібно було виконати неповноважним відновлення резервної копії на наявний контролер домену, а потім - примусове відновлення віддаленого об'єкта. Якщо в тій копії, на підставі якої ви провели відновлення системи, потрібних даних не було, доводилося все починати з початку. Тепер, завдяки можливості відновлення об'єктів-поховань і використання миттєвих знімків, можете швидко знайти і відновити вилучені файли, причому навіть не потрібно відключати контролер домену.
Правда, існує кілька обмежень. Наприклад, кожен активний миттєвий знімок підвищує кількість операцій введення-виведення, пов'язаних з операціями запису в каталог, так що на виробничому контролері домену краще не активувати більше одного-двох миттєвих знімків одночасно. Крім того, чим довше знімок залишається активним, тим більше стає разностное вміст, що зберігається в службі тіньового копіювання томом, що теж впливає на продуктивність. Ну і нарешті, відновлення вилученого об'єкта - це лише перший етап вирішення проблеми. Досить імовірно, що після цього потрібно буде також відновити атрибути, пов'язані з об'єктом, наприклад вказівки на членство в тій чи іншій групі. Миттєвий знімок допоможе визначити, в які групи входив віддалений об'єкт.
Стратегія резервного копіювання та відновлення Active Directory