Цель лекции
Лекция 15. ВОССТАНОВЛЕНИЕ ACTIVE DIRECTORY
Краткие итоги
Некоторые типичные проблемы с Active Directory, с которыми можно столкнуться:
- Невозможно добавить или удалить домен.
- Невозможно создать объекты в Active Directory.
- Изменения членства в группе не вступают в силу.
- Пользователи без программного обеспечения Active Directory не могут войти в систему.
- Пользователю не удается локально войти в систему на контроллере домена.
- Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000.
- Сообщение об ошибке «Домен не найден», «Сервер недоступен» или «Сервер RPC недоступен».
Некоторые типичные ошибки репликации:
- Любой отказ в репликации между контроллерами домена.
- Репликация информации каталога прекратилась.
- Репликация информации каталога замедлилась, но не остановилась.
- При попытке репликации вручную получено сообщение «Отказано в доступе».
- Не удается подключиться к контроллеру домена под управлением Windows 2000 при помощи оснастки Active Directory Sites And Services (Сайты и службы Active Directory).
Некоторые возможные неполадки DNS:
|
|
- Прерывание делегирования зоны.
- Неполадки, связанные с зонной передачей.
- Неполадки динамического обновления.
Некоторые типичные неполадки схемы Active Directory:
- Невозможно изменить или расширить схему.
- Невозможно добавить атрибуты в класс.
- Не удается найти или запустить оснастку «Схема Active Directory».
- Не удается подключиться к контроллеру домена, работающему под управлением Windows 2000, при помощи оснастки «Схема Active Directory».
Некоторые типичные неполадки в сведениях о доверии Active Directory:
- Клиенты не могут обратиться к ресурсам в другом домене.
- Клиентам не удается получить доступ к ресурсам домена вне леса.
- Ошибки доверия между серверами или рабочими станциями.
Некоторые типичные проблемы с разрешениями:
- Пользователь не может получить доступ к файлу или папке.
- Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ.
- Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл.
Краткая аннотация: Дан краткий обзор процесса восстановления Active Directory, в том числе описаны предварительные действия при подготовке к отказам.
Ключевые слова: контроллер домена, резервное копирование, репликация, организационная единица.
Указать необходимость спланировать подготовку к отказам для возможности восстановления Active Directory.
Служба каталога Active Directory — это наиболее критическая сетевая служба, которая развернута в сети. Если инфраструктура Active Directory будет неудачной, пользователи сети будут чрезвычайно ограничены в своей работе в сети. Почти все сетевые службы в Microsoft Windows Server 2003 выполняют аутентификацию пользователей в Active Directory, прежде чем они получат доступ к какому-либо сетевому ресурсу. Поэтому надо заранее приготовиться к предотвращению отказов и восстановлению службы.
|
|
Первые шаги в восстановлении системы после отказа выполняются намного раньше, чем случится сам отказ.
Подготовка включает просмотр всех элементов, составляющих нормальную сетевую инфраструктуру, а также некоторые специфичные для Active Directory вещи.
Перечисленные ниже процедуры являются критически важными [13].
- Разработать последовательное создание резервной копии и восстановить управление контроллеров домена. Первый шаг в любом плане восстановления состоит в установке соответствующих аппаратных средств и программного обеспечения для поддержки создания резервных копий контроллеров домена; после этого рекомендуется создать и протестировать план резервирования и восстановления.
- Развернуть контроллеры домена Active Directory с аппаратной избыточностью. Большинство серверов можно заказывать с некоторым уровнем аппаратной избыточности при небольшой дополнительной стоимости. Например, сервер с двойным источником питания, избыточными сетевыми картами и избыточной аппаратной системой жесткого диска должен быть стандартным оборудованием для контроллеров домена. Во многих больших компаниях аппаратная избыточность поднята на такой уровень, когда все контроллеры домена связаны с различными цепями питания и подключены к различным коммутаторам Ethernet или сетевым сегментам.