在我們一系列對Windows Server 的報道文章中前一篇重點介紹了數據挖掘工具(Database Mounting Tool)的應用它的功能在於裝載備份的活動目錄(Active Directory)文件該備份可由微軟自帶的或是第三方軟件提供的卷影拷貝服務(Volume Shadow Copy Service VSS)所創建在前文中我們詳述了數據裝載工具在災難恢復中的優點並且列舉了一些用以訪問歷史數據的工具除了系統級或卷級別的備份方式ntdsutil命令行工具中的ifm命令對目錄服務數據的備份還可以用快照方式建立起驅動器中活動目錄文件的備份需要時查看時間點進行還原
而在本文中我們將繼續介紹Windows Server 域控制器引入的新特性並一如既往地為您推薦一些使操作更為簡便的第三方軟件
一 快照功能與系統性能的平衡
對於經常使用快照的用戶來說既要使快照的功能得到盡可能的發揮又要保證快照的應用對活動目錄的性能影響降至最低因此在使用中有以下幾點需要注意
() 卷頁的內容和狀態在快照中的保存形式是不同的
() 雖說快照的大小取決於系統的變化和保存的時間但通常來說它一般很小並且要求能被迅速查看
() 快照的信息來源於卷頁因此它需要依賴磁盤的運行快照工作基於copy onwrite的方式會使得磁盤I/O工作量上升這有可能會對系統的整體性能產生影響
() 必需意識到快照不能直接用於活動目錄對象的存儲備份工作(得用真實的系統狀態和關鍵卷頁備份)快照的主要功能是為了使用戶迅速地創建和浏覽特定時間段的活動目錄狀態如此一來就可以很容易的發現特定內容的改變從而方便用戶選定最適合的還原狀態同時這也提供了一種審計和對系統狀態改變的追蹤功能
() 從更深一層的角度來看快照還能快捷地抽取任一相關的歷史信息用以插入到用Tombstone Reanimation功能恢復的對象信息中或是用於對誤操作的恢復
二快照的操作
快照的創建一般可用ntdsutil命令行工具來實現而ntdsutil既可在控制台下直接啟動也可通過Windows Sever 域控制器的終端服務會話遠程啟動一旦進入ntdsutil輸入Activate Instance NTDS(當然也可以把活動實例改設為AD LDS)然後依次輸入snapshot→creat命令稍過片刻系統即提示成功生成快照集並得到一個唯一的識別碼(GUID)為確認已創建的快照可以執行list all來查看同一目錄所有的活動快照的列表(包括創建日期和時間)以上的步驟也可以通過下面的快照自動生成命令作為一個計劃任務來實現
ntdsutil Activate Instance NTDS snapshot create quit quit
生成的快照必須通過DSAMAINexe裝載後才能訪問首先在命令行上輸入mount後面跟著擬裝載快照的系統編號或是GUID快照的編號由字符串$SNAP快照創建的時間和日期(軍用格式)目標卷三部分組成如$SNAP__VOLUMEC$除了以上部分還需要輸入活動目錄NTDSDIT文件的路徑全稱配合應用數據裝載工具的dbpath選項因此如果采用默認的數據庫和日志文件設置格式變為
$SNAP__VOLUMEC$\Windows\NTDS\NTDSDIT
完成對快照的浏覽後如需中止DSAMAINEXE和卸載快照可以調用unmount命令後跟欲卸載快照的系統編號或是GUID刪除無用的快照使用的是delete命令格式上與快照的裝載卸載相一致快照操作的語法大全可以參照Windows Server 技術知識庫
三操作優化的第三方軟件
快照的出現大大簡化了由於對活動目錄的誤操作引發的還原步驟然而實際操作中的還原步驟依舊繁多包括Tombstone Reanimation還原功能的設置以及屬性的還原等大量免費第三方軟件的出現改變了以往的紛雜它們使得整個操作變得行雲流水般順暢以下就是它們中的一些著名代表(已經商業化的第三方軟件如UMove不在我們的介紹范圍內)
. Snapshot Recovery Tool
Identity公司出品的Snapshot Recovery Tool提供免費下載它包含一個命令行式的oirecmgrexe工具集能夠提供對象還原並可將Database Mounting Tool裝載的LDAP實例的屬性參數(可以是活動目錄快照或VSS備份的NTDSDIT文件)備份至任一Windows Server 域控制器下Snapshot Recovery Tool可在Windows Server 和 中的兩種活動目錄環境中運行但要注意它不能同時對兩種屬性進行還原
雖然Snapshot Recovery Tool采用NET Framework 框架但它可在Windows XP Professional或Vista下被遠程啟動在命令行中用多重o選項指定GUID可進行任意對象文件的恢復或是先將對象存於文本文件用of選項獲取對象名稱並得到特定格式的屬性然後再進行恢復操作舉個例子以下的命令(直接從域控制器USDCNYC的控制台運行)將對已被刪除的GUID為abadabadabaddcdead的對象重標識還原它的屬性並由端口訪問活動目錄快照提取出相關信息來恢復前後的鏈接關系比如用戶的組成員還原過來的用戶帳號的密碼已經失效在使用前需要重新設置因此下面的命令並不能還原帳號的密碼
oirecmgrexe o abadabadabaddcdead sh USDCNYC: ol real
. Directory Service Comparison Tool
Directory Service Comparison Tool提供的功能與上面的相似同樣也可從網上免費下載使用分為x和x兩個版本但特點在於采用了微軟管理控制台的圖形界面系統要對軟件進行設置可在樹形節點的菜單下選擇Datasource Settings彈出對話框後指定目標域控制器和快照服務器名稱快照可由DSAMAINEXE指定LDAP端口裝載控制台的窗格劃分為個部分分別列出的是DSA裝載的LDAP目錄服務庫的修改添加和刪除項不過該軟件在使用功能上有一定的局限性可能是因為設計的缺陷對活動目錄快照中記錄的highestCommittedUSN屬性造成了影響與Snapshot Recovery Tool一樣該軟件的運行也需 要安裝NET Framework 平台還有MMC並且支持遠程安裝到Windows XP Professional 或 Vista 系統下
. Active Directory Explorer
Active Directory Explorer由Sysinternals小組(Bryce Cogswell和Mark Russinovich)開發它獨特之處在於能不依賴Windows Server 活動目錄提供的功能而自身創建快照並且所有版本均具備這個功能它能登陸到域控制器獲取在線活動目錄環境的信息或是讀取備份和用DSAMAINEXE裝載的兼容VSS快照另外它還存儲任意位置的信息以便脫機浏覽總之這種直觀圖形界面式的AD Explorer方便了項目的浏覽並有查詢和對比功能大大簡化了用戶的操作
如果你需要大型應用環境下的更多高級功能如自動運行報告和記錄並且希望軟件能支持除Windows Server 活動目錄外的更多環境可能就需要考慮一下已經商業化的第三方軟件如Quest公司的Recovery Manager for Active DirectoryUTools公司的UMove for Active Directory還有ScriptLogic的Active Administrator
以上主要介紹了數據挖掘工具以及與之相關的活動目錄快照的功能在下一篇中我們將對Windows Server 域控制器下全新的審核機制做一個深入的觀察
相關系列文章Windows 目錄服務與數據挖掘工具
From:http://tw.wingwit.com/Article/os/xtgl/201311/8962.html
