Khôi phục những thành phần đã xóa trong Active Directory

Khi tiến hành xóa 1 đối tượng bất kỳ nào đó trong Active Directory, người quản trị phải tuyệt đối cẩn thận, vì nếu nhầm lẫn trong khâu này, hệ thống của họ sẽ bị ảnh hưởng rất nhiều, hơn nữa những thành phần khác có liên quan có thể sẽ không thể khôi phục được. Đối với hệ điều hành Windows 2000 Server và Windows Server 2003 thì chúng ta có thể thực hiện được việc này qua tính năng NTBACKUP và System State. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số...
Nội dung trích xuất từ tài liệu:
Khôi phục những thành phần đã xóa trong Active Directory Khôi phục những thành phần đã xóa trong Active DirectoryKhi tiến hành xóa 1 đối tượng bất kỳ nào đó trong Active Directory, người quảntrị phải tuyệt đối cẩn thận, vì nếu nhầm lẫn trong khâu này, hệ thống của họ sẽ bịảnh hưởng rất nhiều, hơn nữa những thành phần khác có liên quan có thể sẽ khôngthể khôi phục được. Đối với hệ điều hành Windows 2000 Server và WindowsServer 2003 thì chúng ta có thể thực hiện được việc này qua tínhnăng NTBACKUP và System State. Trong bài viết dưới đây, chúng tôi sẽ giớithiệu với các bạn một số thao tác cơ bản có thể được áp dụng trong những tìnhhuống xóa nhầm dữ liệu trong Active Directory.Active Directory “xử lý” thế nào đối với những thành phần đã bị xóa?Khi 1 đối tượng bất kỳ bị xóa khỏi Active Directory, thì trên thực tế hoàn toànkhông phải như vậy, mà đơn giản chỉ là hành động đánh dấu để hệ thống ghi nhớsẽ thực hiện việc này trong những phiên làm việc tiếp theo. Về mặt kỹthuật, Active Directory thường sử dụng mô hình nhân rộng với chức năng chínhlà “multi-master loose consistency with convergence”. Các sự thay đổi có thể đượcthực hiện trên bất kỳ DC nào ở tầng forest, và những sự thay đổi đó sẽ lần lượtđược nhân rộng qua toàn bộ forest. Do vậy, các đối tượng bị xóa trong môi trườngnày không đơn thuần là bị gỡ bỏ hoàn toàn khỏi hệ thống theo cách thông thường.Các công cụ đánh dấu được sử dụng dành cho đối tượng trong AD được gọilà tombstone. Một tombstonethực chất là 1 đối tượng với thuộctính IsDeleted được thiết lập thành True, và thuộc tính đó sẽ chỉ định đối tượngvừa được xóa nhưng chưa được gỡ bỏ khỏi hệ thống, cũng giống như việc xóa filedữ liệu thông thường. Các dịch vụ tương ứng của Directory sẽ tiến hành dichuyển những đối tượng đã được đánh dấu tombstonenày tới bộ phận lưutrữ Deleted Objects, chúng sẽ tiếp tục “tồn tại” cho tới khi quá trình thu thập vàxử lý file thừa chính thức xóa bỏ khỏi hệ thống. Quá trình này sẽ hoạt động 12tiếng mỗi lần ở chế độ mặc định trên mỗi DC. Bên cạnh đó, khoảng thời gian đốitượng tombstone tồn tại trước khi bị xóa bỏ là 60 ngày đối với Windows2000/2003 Active Directory, hoặc là 180 ngày với Windows Server 2003SP1 Active Directory (ở chế độ mặc định). Mặt khác, “vòng đời”của tombstone phải được thiết lập lâu hơn so với quá trình xóa dữ liệu để đảm bảorằng việc áp dụng tương tự với nhiều đối tượng được tái tạo trên các DC khác.Với các đặc điểm trên, chúng ta có thể thấy rằng thao tác xóa dữ liệu ở đây đơnthuần là việc thay đổi thuộc tính của 1 đối tượng bất kỳ, bao gồm:- Thiết lập IsDeleted thành True.- Thay đổi cột WhenDeleted thành IsDeleted trongphần TimeChanged của metadata.- Thiết lập mức độ bảo mật của Windows NT thành 1 giá trị nhất định.- Thay đổi Relative Distinguished Name – RDN thành 1 giá trị không thể đượcthiết lập bởi ứng dụng LDAP.- “Bỏ” tất cả các thuộc tính không cần thiết tại thời điểm này bởi ActiveDirectory, một số thuộc tính quan trọng dưới đây đã được mã hóa cứng để sửdụng trong quá trình này như: Object-GUID, Object-SID, Object-Dist-Name vàUSN.Bên cạnh đó, các bạn cần phải hiểu được sự khác biệt giữa việc khôi phục 1 đốitượng đã được xóa bỏ hoàn toàn khỏi cơ sở dữ liệu, và sự việc không tồn tại củađối tượng đó, không chỉ là đối tượng tombstone và khôi phục tombstone như thếnào. Việc phục hồi đối tượng tombstone bất kỳ từ cơ sở dữ liệu ActiveDirectorythường được gọi là reanimation – và đây chủ đề chính của bài viếtchúng ta ngày hôm nay.Mặt khác, việc tombstone 1 đối tượng bất kỳ sẽ đồng thời bỏ qua nhiều thuộc tínhkỹ thuật, chúng ta cũng phải để ý rằng nếu lựa chọn việc xóa tài khoản người dùnghoặc nhóm, thì cũng phải phục hồi nhóm Membership và các thuộc tính có liênkết với nhau, chắc chắn các bạn sẽ cần phải dùng đến chung trong nhiều phiên làmviệc sau này. Tuy nhiên, 1 trong những tính năng của Active Directory đã đượcbổ sung trong Windows Server 2003 Service Pack 1 là Directory ServiceBackup Reminders. Và với ứng dụng Reminder này, mỗi 1 thông báo về sự việcmới (ví dụ là ID 2089) thì hệ thống sẽ cung cấp khả năng sao lưu đối với từngphân vùng củaDirectory mà DC lưu trữ, trong đó bao gồm phânvùng Directory ứng dụng và Active Directory Application Mode – ADAM. Nếutrải qua nửa “vòng đời” của tombstone mà phân vùng tương ứng chưa được saolưu, thì sự việc này sẽ được ghi lại trong các bản ghi của Directory Service vàtiếp tục công việc hàng ngày cho tới khi hoàn tất. ...