Khôi phục những thành phần đã xóa trong Active Directory

Quản Trị Mạng - Về mặt bản chất, Active Directory là 1 cơ sở dữ liệu “đồ sộ” theo kiến trúc phân tầng, trong đó có chứa đầy đủ thông tin về hệ thống mạng như các máy tính, server, tài khoản người dùng, nhóm người dùng... Mục đích chính của Active Directory là cung cấp và đảm bảo khả năng xác nhận của tất cả các tài khoản trong hệ thống. Và công việc “hàng ngày” của Active Directory là tạo, quản lý, di chuyển, chỉnh sửa, xóa... nhiều đối tượng khác nhau có liên quan. Và cơ sở dữ liệu của Active Directory được lưu trữ tại Domain Controller (hay còn gọi là DC), trong 1 file có tên là NTDS.DIT.

Khi tiến hành xóa 1 đối tượng bất kỳ nào đó trong Active Directory, người quản trị phải tuyệt đối cẩn thận, vì nếu nhầm lẫn trong khâu này, hệ thống của họ sẽ bị ảnh hưởng rất nhiều, hơn nữa những thành phần khác có liên quan có thể sẽ không thể khôi phục được. Đối với hệ điều hành Windows 2000 Server Windows Server 2003 thì chúng ta có thể thực hiện được việc này qua tính năng NTBACKUP System State. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số thao tác cơ bản có thể được áp dụng trong những tình huống xóa nhầm dữ liệu trong Active Directory.

Active Directory “xử lý” thế nào đối với những thành phần đã bị xóa?

Khi 1 đối tượng bất kỳ bị xóa khỏi Active Directory, thì trên thực tế hoàn toàn không phải như vậy, mà đơn giản chỉ là hành động đánh dấu để hệ thống ghi nhớ sẽ thực hiện việc này trong những phiên làm việc tiếp theo. Về mặt kỹ thuật, Active Directory thường sử dụng mô hình nhân rộng với chức năng chính là “multi-master loose consistency with convergence”. Các sự thay đổi có thể được thực hiện trên bất kỳ DC nào ở tầng forest, và những sự thay đổi đó sẽ lần lượt được nhân rộng qua toàn bộ forest. Do vậy, các đối tượng bị xóa trong môi trường này không đơn thuần là bị gỡ bỏ hoàn toàn khỏi hệ thống theo cách thông thường.

Các công cụ đánh dấu được sử dụng dành cho đối tượng trong AD được gọi là tombstone. Một tombstone thực chất là 1 đối tượng với thuộc tính IsDeleted được thiết lập thành True, và thuộc tính đó sẽ chỉ định đối tượng vừa được xóa nhưng chưa được gỡ bỏ khỏi hệ thống, cũng giống như việc xóa file dữ liệu thông thường. Các dịch vụ tương ứng của Directory sẽ tiến hành di chuyển những đối tượng đã được đánh dấu tombstone này tới bộ phận lưu trữ Deleted Objects, chúng sẽ tiếp tục “tồn tại” cho tới khi quá trình thu thập và xử lý file thừa chính thức xóa bỏ khỏi hệ thống. Quá trình này sẽ hoạt động 12 tiếng mỗi lần ở chế độ mặc định trên mỗi DC. Bên cạnh đó, khoảng thời gian đối tượng tombstone tồn tại trước khi bị xóa bỏ là 60 ngày đối với Windows 2000/2003 Active Directory, hoặc là 180 ngày với Windows Server 2003 SP1 Active Directory (ở chế độ mặc định). Mặt khác, “vòng đời” của tombstone phải được thiết lập lâu hơn so với quá trình xóa dữ liệu để đảm bảo rằng việc áp dụng tương tự với nhiều đối tượng được tái tạo trên các DC khác.

Với các đặc điểm trên, chúng ta có thể thấy rằng thao tác xóa dữ liệu ở đây đơn thuần là việc thay đổi thuộc tính của 1 đối tượng bất kỳ, bao gồm:

- Thiết lập IsDeleted thành True.

- Thay đổi cột WhenDeleted thành IsDeleted trong phần TimeChanged của metadata.

- Thiết lập mức độ bảo mật của Windows NT thành 1 giá trị nhất định.

- Thay đổi Relative Distinguished Name – RDN thành 1 giá trị không thể được thiết lập bởi ứng dụng LDAP.

- “Bỏ” tất cả các thuộc tính không cần thiết tại thời điểm này bởi Active Directory, một số thuộc tính quan trọng dưới đây đã được mã hóa cứng để sử dụng trong quá trình này như: Object-GUID, Object-SID, Object-Dist-Name và USN.

Bên cạnh đó, các bạn cần phải hiểu được sự khác biệt giữa việc khôi phục 1 đối tượng đã được xóa bỏ hoàn toàn khỏi cơ sở dữ liệu, và sự việc không tồn tại của đối tượng đó, không chỉ là đối tượng tombstone và khôi phục tombstone như thế nào. Việc phục hồi đối tượng tombstone bất kỳ từ cơ sở dữ liệu Active Directory thường được gọi là reanimation – và đây chủ đề chính của bài viết chúng ta ngày hôm nay.

Mặt khác, việc tombstone 1 đối tượng bất kỳ sẽ đồng thời bỏ qua nhiều thuộc tính kỹ thuật, chúng ta cũng phải để ý rằng nếu lựa chọn việc xóa tài khoản người dùng hoặc nhóm, thì cũng phải phục hồi nhóm Membership và các thuộc tính có liên kết với nhau, chắc chắn các bạn sẽ cần phải dùng đến chung trong nhiều phiên làm việc sau này. Tuy nhiên, 1 trong những tính năng của Active Directory đã được bổ sung trong Windows Server 2003 Service Pack 1Directory Service Backup Reminders. Và với ứng dụng Reminder này, mỗi 1 thông báo về sự việc mới (ví dụ là ID 2089) thì hệ thống sẽ cung cấp khả năng sao lưu đối với từng phân vùng của Directory DC lưu trữ, trong đó bao gồm phân vùng Directory ứng dụng và Active Directory Application Mode – ADAM. Nếu trải qua nửa “vòng đời” của tombstone mà phân vùng tương ứng chưa được sao lưu, thì sự việc này sẽ được ghi lại trong các bản ghi của Directory Service và tiếp tục công việc hàng ngày cho tới khi hoàn tất.

Phương pháp khôi phục các thành phần đã bị xóa trong Active Directory:

Trên thực tế, có 1 vài cách để chúng ta có thể thực hiện được việc này đối với Active Directory, bao gồm công cụ miễn phí hoặc trả phí. Tuy nhiên, trước khi bắt tay vào công việc chính thì các bạn hãy sao lưu toàn bộ tình trạng của hệ thống, nhằm giảm thiểu tối đa tỉ lệ rủi ro có thể xảy ra, chủ yếu là System State, bao gồm Registry, COM+ Class Registration Database, System Boot Files, các certificate từ Certificate Server (nếu đã được cài đặt), Cluster database, file NTDS.DIT và thư mục SYSVOL.

Khôi phục từ bản sao lưu trước:

Việc phục hồi dữ liệu từ bản sao lưu System State gần đây nhất không thực sự đơn giản, và trên thực tế thì đây không thực sự là quá trình khôi phục dữ liệu, mà chỉ là việc lấy lại những file đã bị xóa. Tuy nhiên, kể từ khi việc này được thực hiện bởi NTBACKUP và trình sao lưu System State có liên quan tới việc tắt DC và khởi động lại qua chế độ DS Restore Mode, thì cơ chế này sẽ là cách duy nhất để phục hồi dữ liệu mà không ảnh hưởng gì tới quá trình hoạt động của DC.

Sử dụng LDP.EXE:

Như đã đề cập tại phần trên của bài viết, các đối tượng bị xóa trong Active Directory vẫn không thực sự “biến mất” khỏi hệ thống, mà chúng chỉ được đánh dấu thành tombstone trong 1 khoảng thời gian nhất định, có thể là 60 hoặc 180 ngày tùy vào hệ điều hành đang quản lý DC.


Sử dụng ADRestore.net:

Đây là 1 công cụ được hoàn thành bởi Guy Teverovsky với tính năng dễ dàng giúp người sử dụng khôi phục lại các đối tượng AD đã bị xóa. Một số chức năng chính của tiện ích này:

- Tìm kiếm các tombstone

- Chỉ định chính xác các Domain Controller trong hệ thống

- Có thể được sử dụng với các thông tin nhận dạng thay thế

- Khôi phục User/Computer/OU/Container

- Bổ sung tính năng xem trước – Preview các thuộc tính kỹ thuật của tombstone

Một số hình ảnh về giao diện điều khiển chính của ADRestore.net:

Khôi phục những thành phần đã bị xóa trong Active Directory

Khôi phục những thành phần đã bị xóa trong Active Directory

Khôi phục những thành phần đã bị xóa trong Active Directory

Sử dụng Microsoft ADRestore:

Bên cạnh đó, các bạn có thể tham khảo và sử dụng công cụ miễn phí ADRestore của Microsoft, với giao diện điều khiển theo kiểu dòng lệnh – Command Prompt. Khi khởi động, hệ thống sẽ yêu cầu bạn chọn đối tượng thích hợp để khôi phục, sau đó chọn NO tại mỗi câu hỏi hiển thị tiếp theo.

Để thêm tùy chọn chính xác vào quá trình khôi phục này, chúng ta có thể thêm tham số vào đằng sau cấu trúc lệnh chính. Ví dụ:

adrestore -r daniel

Câu lệnh này sẽ tiến hành tìm kiếm tất cả các đối tượng với tên là daniel. Tham số -r sẽ “bắt buộc” hệ thống hiển thị câu hỏi với mỗi lần khôi phục. Bên cạnh đó, tất cả các đối tượng phù hợp với yêu cầu tìm kiếm sẽ tự động được phục hồi. Còn ở chế độ mặc định (không có tham số) thì tất cả các đối tượng tombstone sẽ được liệt kê và khôi phục.

Tuy nhiên, các bạn cần lưu ý rằng những thành phần đã bị xóa sẽ không còn là thành viên của Organizational Unit – OU cố định nào nữa. Đồng thời, việc khôi phục bằng cách này cũng sẽ xóa bỏ chức năng tự động khôi phục qua OU tương ứng, mà quá trình này sẽ phải thực hiện theo cách thủ công.

Sử dụng Quest Object Restore dành cho Active Directory:

Quest Software - một trong những ông lớn dẫn đầu trong thị trường cung cấp giải pháp quản lý ứng dụng, cơ sở dữ liệu và hệ điều hành Windows. Bên cạnh đó là công cụ với giao diện đồ họa giúp người quản trị Microsoft Active Directory dễ dàng khôi phục lại những đối tượng đã bị xóa bằng tính năng Tombstone Reanimation của Windows Server 2003. Ưu điểm khi sử dụng công cụ này là người dùng hoàn toàn có thể thực hiện qua phương pháp trực tuyến, không phải khởi động lại Domain Controller, bổ sung và hoàn thiện nhiều tính năng trong việc tìm kiếm, liệt kê và khôi phục lại đối tượng Active Directory.

Việc khôi phục một hoặc nhiều thành phần trong Active Directory có thể sẽ gây ra một vài khoảng thời gian downtime trong hệ thống. Object Restore là một ứng dụng hoàn toàn miễn phí, cho phép người dùng xem và duyệt các đối tượng tombstoned trong Active Directory và những thành phần mới bị xóa bằng Tombstone Reanimation của Microsoft trong Windows Server 2003. Khi tiến hành tải bản Freeware, key sử dụng phần mềm 6 tháng đã được tích hợp sẵn bên trong đó. Và người sử dụng sẽ phải đăng ký lại trên trang chủ của nhà sản xuất sau 6 tháng nếu muốn dùng tiếp.

Chúc các bạn thành công!

Thứ Tư, 23/11/2011 07:25
51 👨 7.040
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp