Подготовка к отказам

Цель лекции

Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY

Краткие итоги

Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:

• Невозможно добавить или удалить домен.
• Невозможно создать объекты в Active Directory.
• Изменения членства в группе не вступают в силу.
• Пользователи без программного обеспечения Active Directory не могут войти в систему.
• Пользователю не удается локально войти в систему на контроллере домена.
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
• Сообщение об ошибке «Домен не найден», «Сервер недоступен» или «Сервер RPC недоступен».

Некоторые типичные ошибки репликации:

• Любой отказ в репликации между контроллерами домена.
• Репликация информации каталога прекратилась.
• Репликация информации каталога замедлилась, но не остановилась.
• При попытке репликации вручную получено сообщение «Отказано в доступе».
• Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).

Некоторые возможные неполадки DNS:

• Прерывание делегирования зоны.
• Неполадки, связанные с зонной передачей.
• Неполадки динамического обновления.

Некоторые типичные неполадки схемы Active Directory:

• Невозможно изменить или расширить схему.
• Невозможно добавить атрибуты в класс.
• Не удается найти или запустить оснастку «Схема Active Directory».
• Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки «Схема Active Directory».

Некоторые типичные неполадки в сведениях о доверии Active Directory:

• Клиенты не могут обратиться к ресурсам в другом домене.
• Клиентам не удается получить доступ к ресурсам домена вне леса.
• Ошибки доверия между серверами или рабочими станциями.

Некоторые типичные проблемы с разрешениями:

• Пользователь не может получить доступ к файлу или папке.
• Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
• Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.

Краткая аннотация: Дан краткий обзор процесса восстановления Active Directory, в том числе описаны предварительные действия при подготовке к отказам.

Ключевые слова: контроллер домена, резервное копирование, репликация, организационная единица.

Указать необходимость спланировать подготовку к отказам для возможности восстановления Active Directory.

Служба каталога Active Directory — это наиболее критическая сетевая служба, которая развернута в сети. Если инфраструктура Active Directory будет неудачной, пользователи сети будут чрезвычайно ограничены в своей работе в сети. Почти все сетевые службы в Microsoft Windows Server 2003 выполняют аутентификацию пользователей в Active Directory, прежде чем они получат доступ к какому-либо сетевому ресурсу. Поэтому надо заранее приготовиться к предотвращению отказов и восстановлению службы.

Первые шаги в восстановлении системы после отказа выполняются намного раньше, чем случится сам отказ.

Подготовка включает просмотр всех элементов, составляющих нормальную сетевую инфраструктуру, а также некоторые специфичные для Active Directory вещи.

Перечисленные ниже процедуры являются критически важными [13].

• Разработать последовательное создание резервной копии и восстановить управление контроллеров домена. Первый шаг в любом плане восстановления состоит в установке соответствующих аппаратных средств и программного обеспечения для поддержки создания резервных копий контроллеров домена; после этого рекомендуется создать и протестировать план резервирования и восстановления.
• Развернуть контроллеры домена Active Directory с аппаратной избыточностью. Большинство серверов можно заказывать с некоторым уровнем аппаратной избыточности при небольшой дополнительной стоимости. Например, сервер с двойным источником питания, избыточными сетевыми картами и избыточной аппаратной системой жесткого диска должен быть стандартным оборудованием для контроллеров домена. Во многих больших компаниях аппаратная избыточность поднята на такой уровень, когда все контроллеры домена связаны с различными цепями питания и подключены к различным коммутаторам Ethernet или сетевым сегментам.