Archivio

Posts Tagged ‘Active Directory’

Troubleshooting, Disaster Protection & Recovery Active Directory

17 Maggio 2009

Tratto da: http://technet.microsoft.com/it-it/library/cc645506.aspx

Pianificazione delle operazioni di restore del System State in un contesto AD

Il restore del System State in un contesto AD è un’operazione delicata e importante in quanto tutti i DC sono impegnati continuamente a replicare le informazioni inerenti le partizioni tra loro condivise. Tutti i DC potenzialmente possono replicare oggetti delle partizioni Schema e Configuration, mentre solamente i DC appartenenti ad uno stesso dominio possono, e devono, replicarsi le informazioni in esso contenute.

In generale esistono quattro possibilità di restore del System State in un contesto AD:

  • Alternate location o restore in una posizione alternativa.
  • Primary restore o restore primario.
  • Normal restore o restore non-autoritativo.
  • Authoritative restore o restore non-autoritativo.

Nella scelta di una metodologia per il restore occorre tenere in considerazione i seguenti fattori:

  • Il backup del System State effettuato su un DC contiene tutte le informazioni relative alla replica di AD (e.g.: database NTDS.DIT, file di log e SysVol) da esso ospitata (oltre a informazioni sui Registry, file di boot, ecc.). Tutti gli oggetti AD contenuti in un set di backup del System State, sono caratterizzati dal timestamp e dal version number (o Update Sequence Number (USN)) relativi alla data e ora di effettuazione del backup.
  • Una operazione di backup o restore del System State coinvolge complessivamente tutto il blocco di informazioni relativo ad un computer, e non è possibile selezionare solamente alcuni componenti (se non operando un restore in alternate location, come di seguito indicato).
  • Infrastruttura logica AD: quanti altri DC esistono all’interno dello stesso dominio o di altri domini.
  • Infrastruttura fisica AD: quanti altri DC esistono nello stesso site dello stesso dominio o di altri domini.
  • Se alcuni o tutti gli oggetti AD (e.g.: l’intero database AD o solo una OU (con il relativo contenuto) o solamente un utente) ripristinati con il restore del System State devono essere “imposti” agli altri DC oppure se essi saranno soggetti alla replica degli altri DC partner dello stesso dominio o di altri domini della stessa foresta ?
attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Restore “FRS-aware” e “non-FRS-aware”

Il restore eseguito su server non DC è sempre di tipo non-FRS-aware, nel senso che il server assume di far parte di un ambiente “non replicato” (tranne che non faccia parte di un set di replica DFS) e che non esistano altre repliche su altri server. Esso pertanto è da considerarsi un restore autoritativo. Viceversa nel caso di un DC il restore è inteso sempre di tipo FRS-aware, nel senso che il DC assume di default di trovarsi in un ambiente “replicato” nel quale possono esistere altri DC ciascuno dotato di una propria replica. In tal caso il restore è di default non-autoritativo (i.e. il flag When restoring replicated data sets, mark the restored data as the primary data for all replicas non è inserito).

attenzione Attenzione !

  1. Quando si effettua il restore del System State senza specificare l’opzione “Alternate Location”, vengono sovrascritte tutte le informazioni inerenti il set di informazioni del System State sul computer sul quale avviene l’operazione di restore (compreso i registry).

Il restore del System State su un DC richiede il riavvio del computer in modalità DSRM.

Restore del System State in una posizione alternativa

Il restore in “Alternate location” del System State si effettua selezionando l’opzione “Restore file to: Alternate Location” nella scheda “Restore and Manage Media”, come indicato in figura 4. Nel caso di un domain controller Win2K3 le componenti ripristinate nella directory indicata come locazione alternativa (e.g.: C:\NtdsRestore) sono i seguenti:

  • Active Directory
  • Boot Files.
  • COM+ Class Registration Database
  • Registry.
  • SysVol.

Questo tipo di restore viene effettuato nei casi in cui è necessario recuperare, su un computer diverso da quello sul quale è stato generato il System State, solamente alcune parti (e.g.: singole GPO o parte dei registry) senza rischiare di sovrascrivere completamente i dati del System State del computer sul quale si opera, oppure in preparazione della promozione di un domain controller addizionale (i.e.: additional domain controller) in un dominio tramite il comando DCPROMO /ADV (i.e.: modalità Installa From Media (IFM)).

image 4

Figure 4: Restore del System State in una posizione alternativa (Alternate Location)

Restore primario

Il restore primario viene effettuato nel caso in cui un server o DC è l’unico all’interno di un set di replica (FRS, SysVol) oppure se intenzionalmente si vuole forzare il contenuto a tutti gli altri server dello stesso set di replica. Viene utilizzato solamente in caso di ricostruzione di una infrastruttura AD o FRS (e.g.: DFS) nella quale tutti i DC di uno stesso dominio hanno avuto dei problemi e devono essere reinstallati. Un’altra “situazione problematica” nella quale è richiesto di effettuare un restore primario è quella citata nei due seguenti articoli: Microsoft Knowledge Base 290762 “FRS: Using the BurFlags Registry Key to Reinitialize File Replication Service Replica Sets”e 292438 “Troubleshooting journal_wrap errors on Sysvol and DFS replica sets”.

Per effettuare un restore primario è necessario seguire la seguente procedura:

  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare i file da ripristinare (e.g.: System State).
  • Cliccare sul bottone Start Restore.
  • Cliccare sul bottone Advanced e selezionare la voce “When restoring replicated data sets, mark the restored data as the primary data for all replicas”.

image 5

Figure 5: Restore Primario
attenzione Attenzione !

Eseguire un restore primario solamente in caso di “disastro” e quando nessun altro membro dello stesso set di replica (o domain controller di dominio) è stato precedentemente ripristinato.

Restore normale o non-autoritativo

Il restore normale o non-autoritativo (modalità di default) del System State di un DC viene effettuato per ripristinare un DC nello stato corrispondente alla “fotografia” del suo System State, rispetto alla data e ora della sua esecuzione. Ciò vuol dire che tutti gli oggetti AD verranno ripristinati dal set di backup nel loro stato originale. Successivamente, al primo evento di replica del DC con gli eventuali partner di replica, gli oggetti e/o attributi, che nel frattempo sono stati modificati o aggiunti nelle repliche AD degli altri DC partner, verranno sovrascritti o aggiunti alla copia del database precedentemente ripristinato.

Per effettuare un restore non-autoritativo è necessario seguire la seguente procedura:

  • Riavviare il DC in modalità provvisoria e selezionare la voce “Directory Service Restore Mode (DSRM)”.
  • Eseguire il logon con l’account administrator e la password della “SAM Off-Line
  • Avviare l’utility NTBACKUP.
  • Selezionare la scheda Restore and Manage Media e selezionare il set di backup del System State da ripristinare.
  • Cliccare sul bottone Start Restore.
attenzione Attenzione !

Non modificare l’opzione “Restore files to: Original Location.

  • Confermare cliccando sul bottone OK all’interno della finestra del messaggio di sovrascrittura del System State corrente riportato in figura 6.

image 6

Figure 6: Avviso che il restore del System State sovrascriverà l’attuale System State presente sul computer
  • Confermare cliccando sul bottone OK all’interno della finestra Confirm Restore.
  • Verificare che il restore sia andato a buon fine e cliccare sul bottone Close all’interno della finestra Restore Progress.
  • Riavviare il DC (questa volta in modalità normale) cliccando sul bottone Yes all’interno della finestra Backup Utility indicata in figura 7.

image 7

Figure 7: Riavviare il DC per completare il restore non-autoritativo

Successivamente alla esecuzione di un restore non-autoritativo, al riavvio del DC, vengono effettuate le seguenti verifiche:

  • Controllo di consistenza del database.
  • Ricostruzione indici.
  • Allinenamento con lo stato del SDS AD (database AD e SysVol) corrispondente agli altri DC partner di replica.

Il restore non-autoritativo può essere utile in uno dei seguenti casi:

  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) è l’unico di un dominio/foresta: in tal caso non esiste la possibilità di replicare con nessun altro DC e quindi il System State ripristinato sarà definitivo (i.e.: in tal caso è come se fosse autoritativo).
  • Il DC danneggiato (e.g.: corruzione del database o guasto al computer) non è l’unico di un dominio/foresta: in tal caso il System State ripristinato sarà in parte (i.e.: relativamente a tutti gli oggetti modificati e/o aggiunti successivamente alla data e ora di esecuzione del backup del System State) sovrascritti dagli altri DC partner di replica.
attenzione Restore non-autoritativo in un contesto Win2K

Il restore non-autoritativo era molto utilizzato in ambiente AD Win2K in caso di reinstallazione di DC (conseguente a crash) in sedi remote ed in presenza di linee di collegamento non molto performanti. In queste condizioni per evitare la replicazione dell’intero database AD e della SysVol attraverso la rete geografica (WAN) a partire da un DC di un altro site (e.g.: sede centrale) si potevano adottare due metodi:

  • Effettuare la reinstallazione del nuovo DC direttamente in sede come un qualsiasi DC del site centrale. Successivamente, dopo aver modificato opportunamente i parametri relativi alla configurazione TCP/IP e spostato l’oggetto server dal site centrale al site della sede remota di appartenenza, rispedire il DC.
  • Effettuare un restore non-autoritativo su un nuovo server nel seguente modo:
    • Reinstallazione del computer con la stessa configurazione del precedente (i.e.: nome computer, coordinate IP,controller dischi, partizioni (tipo di file system e dimensione almeno uguale a quella del precedente sistema), ecc.).
    • Senza rieseguire la DCPROMO effettuare il restore non-autoritativo a partire da un backup valido del System State dello stesso DC.

In ambiente Win2K3 la stessa procedura presenta qualche problema per la risoluzione dei quali è necessario installare il SP1. Esiste comunque la possibilità, nel caso il DC da ripristinare non sia il primo e unico all’interno di un dominio AD Win2K3, di sfruttare la nuova opzione /ADV dell’utility DCPROMO per eseguire la promozione a DC a partire da una restore (eseguita in modalità alternate location) del System State di un altro DC (Install From Media (IFM)).

Restore-autoritativo

Il restore autoritativo di un DC viene effettuato nel caso in cui è necessario “riesumare” degli oggetti erroneamente cancellati a partire da un backup del System State avendo la garanzia che essi vengano considerati “come se fossero stati appena ricreati” ed essere forzatamente replicati verso gli altri DC replication partner.

Il restore autoritativo può essere eseguito di un singolo oggetto, di un contenitore (e.g.: una OU con il relativo contenuto) o dell’intero database AD. In quest’ultimo caso occorre prestare attenzione ai potenziali problemi che si possono determinare relativamente alla gestione delle password dei computer e delle trust tra eventuali altri domini Win2K/2K3 o WinNT. Infatti di default queste password vengono automaticamente ri-negoziate con una certa cadenza (i.e.: per i computer account ogni 5 gg) ed effettuando un restore autoritativo di tutto il contesto di dominio si rischia di ripristinarle ad un valore non più congruente con lo stato attuale. Pertanto, in caso di restore autoritativo dell’intero database AD o di porzioni del naming context (i.e.: partizione) relativo al dominio che include oggetti interessati alle suddette password è necessario procedere con il reset dei computer account e/o la ricreazione delle trust manualmente o attraverso l’utility NETDOM contenuta nei Support Tools di Win2K3.

Per effettuare un restore autoritativo è necessario seguire la seguente procedura:

  • Effettuare un restore non-autoritativo senza riavviare il DC.
  • Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
  • Al prompt di NTDSUTIL, inserire i seguenti comandi:
    • Inserire il comando Authoritative restore (o semplicemente le iniziali a r).
      • Dal prompt “Authoritative restore” inserire i seguenti comandi per marcare autoritativo l’oggetto AD da “riesumare”:restore subtree <DN-Oggetto>alla comparsa della finestra di dialogo mostrata in figura 8, confermare cliccando sul bottone Yes.

image 7

Figure 8: Restore autoritativo del System State
– Esempio 1: restore di un oggetto utente

authoritative restore: restore subtree “CN=Leone Randazzo,OU=sistemisti, DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:35.10.

Most recent database update occured at 02-22-05 11:08.46.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000001

Done.

Found 1 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 1 records.

Authoritative Restore completed successfully.

– Esempio 2: restore di una OU (e del relativo contenuto)

authoritative restore: restore subtree “OU=servers,dc= DC=learning-solutions,DC=local”

Opening DIT database… Done.

The current time is 02-22-05 12:43.59.

Most recent database update occured at 02-22-05 12:35.10.

Increasing attribute version numbers by 100000.

Counting records that need updating…

Records found: 0000000003

Done.

Found 3 records to update.

Updating records…

Records remaining: 0000000000

Done.

Successfully updated 3 records.

Authoritative Restore completed successfully.

– Esempio 3: restore dell’intero database AD (da eseguire solo in casi eccezionali e con molta cautela):

restore database

  • Ripetere l’operazione di restore subtree per tutti gli oggetti da ripristinare.
  • Inserire il comando quit per uscire dal contesto Authoritative restore.
  • Inserire il comando quit per uscire da NTDSUTIL.
  • Riavviare in modalità normale il DC.

L’effetto del comando di restore autoritativo (come si può notare dagli esempi precedenti) è di rimarcare l’oggetto indicato con un timestamp aggiornato ed avanzare il contatore USN (Update Sequence Number) ad un valore che risulti sicuramente superiore a quello di qualsiasi altro oggetto all’interno dell’infrastruttura AD (di solito viene sommato 100.000 moltiplicato per il numero dei giorni intercorsi dal backup del System State).

Al riavvio del DC in modalità normale e successivamente alla replica con eventuali altri DC partner di replica, si verifica un “authoritative merge”, nel senso che tutti gli oggetti ripristinati autoritativamente (i.e.: quelli precedentemente cancellati o modificati) verranno replicati agli altri DC, mentre eventuali nuovi oggetti creati o modificati successivamente al backup del System State ripristinato verranno replicati dagli altri DC al DC “ripristinato autoritativamente”.

E’ da notare che esistono alcune parti di AD che non possono essere ripristinate autoritativamente, tra questi:

  • Gli oggetti della partizione Schema AD non possono essere ripristinati autoritativamente.
  • Gli oggetti della partizione Configuration devono essere trattati con molta cautela in quanto il loro impattto è esteso a tutta la foresta. In ogni caso per alcuni tipi di oggetti (e.g.: connection object per la replica tra DC) non ha senso ripristinarli in quanto essi vengono ricreati automaticamente dal Knowledge Consistency Checker (KCC) come indicato nel capitolo 10 “La struttura fisica AD”.
  • Oggetti che interessano il servizio FRS solitamente contenuti in CN=File Replication Service,CN=System,DC=<DN-Dominio> e CN=NTFRS Subscriptions,CN=<Domain Controller> non devono essere ripristinati per non causare effetti collaterali con la replica gestita dal servizio FRS.
  • Gli oggetti che interessano il ruolo FSMO RID Master (e.g.: l’oggetto “RID Set” del DC RID Master e l’oggetto “RID Manager$” del contenitore System) non devono essere ripristinati per non causare effetti collaterali con la gestione dei SID degli oggetti Security Principal.
  • In ogni caso è consigliato ripristinare solo parti limitati di un qualsiasi Naming Context o Partizione.
Share

Microsoft

Backup e ripristino di Active Directory

17 Maggio 2009

Panoramica su backup e ripristino di Active Directory

Per garantire la disponibilità delle applicazioni mission critical delle risorse di rete e gli oggetti, e la continuità del business, è necessario per eseguire back up di Active Directory, se è in esecuzione nel vostro ambiente. Ciò è dovuto al fatto di Active Directory normalmente ospita i dati mission-critical, e le risorse. I backup sono tipicamente preformata per una serie di motivi, tra cui i seguenti:

  • Proteggete il vostro ambiente di rete della cancellazione accidentale di, o la modifica dei dati, e da errori di hardware: Avere un punto facilmente accessibile il backup di Active Directory potrebbe assicurare che si può recuperare qualsiasi importanti oggetti di Active Directory che sono stati eliminati per errore. Backups rivelarsi prezioso anche quando gli utenti non autorizzati intenzionalmente o cancellare o modificare i dati. Il backup sarebbe consentono di ripristinare i dati al suo stato precedente di integrità. Perché alcuni guasti hardware come hard disk danneggiati possono causare una notevole perdita di dati, il backup dei vostri dati per garantire che l’attività possa continuare a svolgere le sue funzioni mission critical quando un tale evento si verifica.
  • Conservare i dati mission-critical: Si consiglia di consultare regolarmente il backup dei dati mission-critical in modo che qualsiasi versione precedente di informazioni può essere letta, se necessario, a un certo momento nel futuro.

Perché Active Directory è in funzione il Registro, è necessario eseguire il backup dei file all’interno della directory di sistema. Questi file sono chiamati file di sistema. Sistema di dati dello stato fondamentalmente contiene le principali informazioni di configurazione in Windows 2000 e Windows Server 2003. Quali informazioni effettive è inclusa nel sistema di dati è stato determinato dal sistema operativo (OS) di configurazione. Stato del sistema in genere comprende le seguenti importanti dati, file e componenti:

  • Il Registro di sistema di Windows
  • Il contenuto della directory SYSVOL
  • I file che sono protetti dalla Protezione file di sistema di Windows
  • Di avvio e file di sistema: Ntdetect.com, Ntldr e Bootsect.dat.
  • La classe COM + Registrazione dati
  • Il database di Active Directory (Ntds.dit), compresi tutti i file di log e controllo dei file
  • Servizio cluster file
  • Certificato di servizio file
  • L’Internet Information Server (IIS) metabase

È possibile utilizzare uno dei metodi elencati di seguito per eseguire il backup di Active Directory.

  • È possibile eseguire il backup dei dati dello stato del sistema solo
  • È possibile eseguire il backup di Active Directory come parte di un backup completo del sistema
  • È possibile eseguire il backup di Active Directory come parte di un sistema di backup parziale

La migliore opzione per utilizzare quando si specificano quali dati o componenti dovrebbe essere sostenuta in Active Directory di backup, è quello di specificare un backup dei dati dello stato del sistema. Ciò garantisce che tutti i principali file di sistema sono il backup. Quando un backup completo del sistema viene eseguito, i dati dello stato del sistema viene automaticamente incluso nel processo di backup. Quando si effettua un parziale di backup, è possibile specificare che i dati dello stato del sistema dovrebbe essere incluso. Specificando manualmente i singoli file e componenti per un backup di Active Directory può essere un processo estremamente complesso. Oltre a dover essere in grado di identificare e specificare tutti i più importanti file di sistema e componenti, è necessario essere in grado di specificare quali altri importanti dati di Active Directory e dei componenti devono essere sostenute, come ad esempio la topologia di replica, le informazioni e dei Criteri di gruppo.

È possibile eseguire il backup di Active Directory utilizzando il Windows Server 2003 utilità Backup, o da linea di comando, utilizzando la Ntdsutil utilità della riga di comando. Windows Server 2003 utilità Backup include la funzione di utilizzare la copia shadow del volume per eseguire il backup di file aperti. Con le versioni precedenti di Windows, uno strumento di backup di terze parti dovevano essere utilizzati per eseguire il backup di file aperti. Il servizio Copia Shadow del volume crea una copia di sola lettura di qualsiasi file aperti. Ciò, a sua volta garantisce che questi file possono continuare ad essere letta.

In Windows 2000 Active Directory, è possibile eseguire solo uno dei seguenti metodi di ripristino:

  • Ripristino autorevole
  • Non autorevole

Quando si tratta di ripristino di Windows Server 2003 Active Directory, è possibile utilizzare uno dei seguenti metodi di ripristino:

  • Ripristino normale: In Windows 2000, questa è stata la sua non-metodo di ripristino autorevole. Un normale ripristinare le funzioni più o meno la stessa cosa di un ripristino non autorevole. Con un normale ripristino, l’utilità Backup viene eseguito sul computer, mentre in modalità ripristino servizi directory. Dopo che il controller di dominio viene riavviato, la replica si verifica con normale partner di replica.

Un normale ripristino è di solito effettuata in presenza delle seguenti condizioni:

    • Un dominio è più controller di dominio, e un solo controller di dominio è operativo. È possibile utilizzare un normale ripristino per ripristinare tutti gli altri controller di dominio nel dominio.
    • Un dominio è un unico controller di dominio, e che il controller di dominio deve essere restaurato. È anche possibile scegliere di eseguire una alternativa primario il ripristino di Active Directory.
  • Ripristino autorevole: un ripristino autorevole di Active Directory deve essere effettuata nei casi in cui un normale ripristino non sarebbe in grado di tornare di Active Directory per il corretto stato. Ad esempio, se una unità organizzativa è stata eliminata per errore, ripristinare una normale sarebbe solo il risultato in particolare l’UO di essere eliminato ancora una volta, dopo la replica. Questo è essenzialmente dovuto al partner di replica con un più elevato numero di versione per la particolare unità organizzativa. Un ripristino autorevole è un processo simile a quello di un normale ripristino, la differenza è che, dopo i dati del sistema viene ripristinato, è possibile definire alcuni oggetti di Active Directory come autorevole. Quando gli oggetti di Active Directory vengono definiti come autorevoli, i particolari degli oggetti sono i più alti numeri di versione. Ciò si traduce in questi oggetti replicati ad altri controller di dominio della copia del database di Active Directory.
  • Ripristino primario: Il principale metodo di ripristino viene utilizzato quando ciascun controller di dominio in un dominio che ospita più controller di dominio, ha bisogno di essere restaurato. Ciò significa che l’intero dominio deve essere ricostruita da Active Directory di backup. Questo metodo può anche essere utilizzato per ripristinare Active Directory per un dominio che ha un solo controller di dominio. Il principale metodo di ripristino è stato selezionato in Windows Server 2003 utilità Backup da consentire solo il principale metodo di controllo di ripristino. Ciò elimina le complessità associate precedente con le procedure di questo tipo di ripristino in Windows 2000. Il principale processo di ripristino è anche molto simile a quella effettuata per un normale ripristino di Active Directory.

Come eseguire il backup di Active Directory utilizzando il Windows Server 2003 Backup Utility

  1. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup. È inoltre possibile l’accesso di Windows Server 2003 utilità Backup facendo clic su Start, Esegui, ntbackup entrare nella finestra di dialogo Esegui, quindi fare clic su OK.
  2. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  3. Assicurarsi che l’opzione predefinita, il backup dei file e le impostazioni, è stato selezionato sulla pagina di backup o di ripristino. Fare clic su Avanti.
  4. Sulla Cosa Back Up pagina, è possibile scegliere tra le seguenti opzioni:
    • Tutte le informazioni su questo computer
    • Permettetemi di scegliere ciò che per il backup
  5. Dopo aver selezionato l’opzione fare clic su Avanti.
  6. Se il Permettetemi di scegliere ciò che l’opzione per il backup è stato precedentemente selezionato; sul oggetti Backup pagina, scegliere il file, dati o componenti che dovrebbero essere inclusi nel backup di Active Directory. Fare clic su Avanti.
  7. Nella pagina seguente, in Scegliere un posto per salvare il backup nella casella di riepilogo, immettere il percorso che il backup deve essere salvato.
  8. Fornire un nome per il file di backup nel Digitare un nome per il backup e quindi fare clic su Avanti.
  9. Fare clic su Fine per avviare immediatamente il backup di Active Directory. Questo viene eseguito il backup utilizzando le opzioni di default le impostazioni avanzate, e di solito è optato per quando si esegue un backup completo del sistema. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non Fine.
  10. Quando il tipo di backup viene visualizzata la pagina, selezionare il tipo di backup che deve essere eseguita. È possibile selezionare una delle seguenti opzioni da selezionare il tipo di backup nella casella di riepilogo.
    • Normale: Tutti i file specificati e componenti sono il backup. L’attributo di archivio è tuttavia azzerato.
    • Copia: Tutti i file specificati e componenti sono il backup. L’attributo di archivio non è stato ripristinato.
    • Incrementale: Questo tipo di backup riferimenti l’attributo di archivio, di isolare quei file che sono cambiati dal momento in cui l’ultimo è stato eseguito il backup, e poi solo il backup dei file modificati. L’attributo di archivio viene quindi eliminato per consentire il successivo processo di backup per determinare solo i file che sono stati modificati da questa corrente di backup, per il prossimo. Solo questi file sono quindi il backup nella seguente processo di backup.
    • Differenziale: Un backup differenziale anche solo il backup dei file che sono cambiati rispetto al precedente backup. La differenza tra questo tipo di backup e il tipo di backup incrementale, è che un backup differenziale non chiara l’attributo di archivio.
    • Giornaliero: The Daily riferimenti tipo di backup dei file ‘ora, e poi esegue il backup dei file che sono stati creati o modificati in particolare giorno.
  11. Controllare il backup migrato di archiviazione remota dei dati di controllo se si desidera punti di essere inclusi nel backup. Fare clic su Avanti.
  12. Sulla pagina Come Backup, è possibile scegliere tra le seguenti opzioni:
  • Verificare i dati dopo il backup: Selezionare questa opzione se si sta eseguendo il backup dei dati mission-critical.
  • Utilizza la compressione hardware, se disponibile: questa opzione deve essere attivata se è disponibile. L’opzione è disponibile solo quando l’utilità Backup riconosce un supporto di memorizzazione che supporta la compressione hardware.
  • Disattiva Copia Shadow del volume: Questa opzione viene automaticamente attivata.
  1. Fare clic su Avanti.
  2. Sulla pagina di opzioni di backup, è possibile selezionare una delle seguenti opzioni:
    • Aggiungi questo backup ai backup esistenti: Il backup verrà aggiunto a un backup esistenti.
    • Sostituisci i backup esistenti: Il backup sovrascrivere un backup esistenti.
  1. Fare clic su Avanti.
  2. Sulla Quando Backup pagina, è possibile selezionare una delle seguenti opzioni:
    • Ora: Il risultato è il backup di iniziare immediatamente.
    • Più tardi: questa opzione consente di specificare quando il backup deve essere eseguito.
  3. Se si è selezionato l’opzione Successivamente, immettere un nome per il backup nella casella Nome di lavoro. Si noterà che le impostazioni nella casella Data inizio riflettere la data e l’ora. Per modificare questa impostazione, fare clic su Imposta pianificazione.
  4. Quando la finestra di dialogo Programma di lavoro si apre, nella casella di riepilogo Pianifica attività della scheda Pianificazione, scegliere una delle seguenti opzioni per specificare quando il backup deve essere eseguito:
    • Giornaliera, settimanale, mensile, una volta, all’avvio del sistema, Al di accesso, e quando Idle

È possibile fare clic sul pulsante Avanzate per definire le date di inizio e fine, e per configurare la frequenza con cui il backup deve essere eseguito.

  1. Fare clic sulla scheda Impostazioni della finestra di dialogo Programma di Lavoro. È possibile configurare le opzioni di pianificazione elencati qui di seguito, da questa scheda.
    • Eliminare il compito, se non è programmato per eseguire di nuovo il particolare compito sarà rimosso dal operazioni pianificate oggetti se non è impostato per eseguire di nuovo.
    • Fermare il compito se si trova per; è possibile impostare il tempo (ore / minuti /) consentito per il backup da eseguire. L’impostazione predefinita è di 72 ore.
    • Solo avviare il compito se il computer è rimasto inattivo per, è possibile impostare la quantità di tempo di inattività del computer devono trascorrere, prima che il backup può essere avviato.
    • Se il computer non è rimasto inattivo a lungo, fino a tentare, questa impostazione è associata con la precedente opzione. È possibile impostare la frequenza con cui i computer devono essere continuamente controllati per determinare se la quantità sufficiente di tempo di inattività trascorso.
    • Fermare il compito se il computer cessa di essere inattivo, quando attivato, il processo di backup si arresta se un utente accede al computer.
    • Non avviare il compito se il computer è in esecuzione su batterie, se selezionata, il processo di backup non si avvia quando il computer è in esecuzione su batterie
    • Fermare il compito se batteria inizia, se selezionata, il processo di backup si arresta quando il computer passa alla modalità batteria.
    • Riattivare il computer per eseguire questo compito, se selezionata, il computer viene svegliato da una modalità di risparmio energetico per il backup di cominciare.
  2. Fare clic su OK nella finestra di dialogo Programma di Lavoro. Fare clic su Avanti.
  3. Quando la finestra di dialogo Imposta Account si apre, nella casella Esegui come, immettere i dettagli di un account che dispone di diritti sufficienti per eseguire l’operazione di backup. Inserisci la password per l’account e la password Conferma Password box.
  4. Fare clic su OK. Fare clic su Avanti.
  5. La procedura guidata visualizza prossimo informazioni sintetiche sulle impostazioni che avete specificato per il backup. Modifica le informazioni
  6. Fare clic su Fine.

Come eseguire il backup di Active Directory utilizzando la riga di comando

È possibile eseguire un backup di Active Directory dalla riga di comando utilizzando il Ntbackup utilità della riga di comando. Questa opzione è disponibile come alternativa di utilizzare l’utilità Backup.

Per utilizzare il Ntbackup utilità della riga di comando per eseguire un backup,

  1. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  2. È possibile utilizzare il seguente comando e le opzioni per eseguire il backup dei dati dello stato del sistema:
    • ntbackup backup systemstate /J ‘Backup Job’ /F ‘C:\backupfile.bkf’
      • ntbackup Ntbackup indica la riga di comando di utilità di backup
      • backup precisa che una copia di backup deve essere eseguito
      • systemstate data di sistema specifica che i dati dovrebbero essere sostenuta
      • J definisce il nome del processo di backup
      • F definisce il nome del file di backup

Come eseguire un normale ripristino di Active Directory

  1. Riavviare il computer
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino. Fare clic su Avanti.
  10. Fare clic su Fine per iniziare immediatamente un normale ripristino di Active Directory. Se si desidera configurare le impostazioni avanzate di opzione, fare clic su Avanzate, e non il pulsante Fine.
  11. Dove Quando la pagina viene visualizzata ripristino, scegliere una delle seguenti opzioni di ripristino di file nella casella di riepilogo:
    • Posizione originale, questa impostazione di default ripristina i file alla loro posizione originale.
    • Alternativo, se selezionati, è possibile specificare un percorso diverso per i file che devono essere ripristinati.
    • Singola cartella, questa opzione ripristina i file in una singola directory.
  12. Fare clic su Avanti.
  13. Fare clic su OK se viene visualizzato un messaggio, l’avvertimento che il ripristino di uno stato del sistema dati sovrascrive i dati dello stato del sistema esistente.
  14. Quando il ripristino Come apre la pagina, scegliere tra le seguenti opzioni:
    • Lasciare i file esistenti (scelta consigliata), selezionare questa opzione se non si desidera che il ripristino di sovrascrivere eventuali file esistenti.
    • Sostituire i file esistenti se sono di età superiore i file di backup, se selezionati, di età superiore ai file di backup dei file vengono sostituiti.
    • Sostituire i file esistenti; questa opzione sostituisce tutti i file esistenti con i file di backup.
  15. Fare clic su Avanti.
  16. Quando la pagina Opzioni avanzate di ripristino viene visualizzato, è possibile selezionare le seguenti opzioni:
    • Ripristinare la sicurezza settin gs; è abilitato di default. Se si disattiva questa opzione, tutti i file saranno ripristinati senza autorizzazioni.
    • Ripristino punti di congiunzione, ma non le cartelle e file di dati di riferimento, quando selezionata, il processo di ripristino è in grado di restituire informazioni su unità montate.
    • Mantieni attuali punti di montaggio del volume, quando selezionato, il montaggio sono protette esistenti sul volume.
    • Ripristinare il Registro cluster al disco quorum e su tutti gli altri nodi; se applicabile per questo controller di dominio, il quorum di cluster di database viene ripristinato.
    • Quando si ripristina replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche, questa opzione deve essere attivata se si sta eseguendo un Primary ripristino di Active Directory.
  17. Fare clic su Avanti.
  18. Fare clic su Fine per avviare il normale ripristino di Active Directory.

Come eseguire un ripristino autorevole di Active Directory

  1. Eseguire un normale ripristino di Active Directory.
  2. Quando viene chiesto di riavviare il server, fare clic su No e quindi chiudere l’utilità Backup di Windows.
  3. Fare clic sul pulsante Start, Esegui e digitare cmd nella finestra di dialogo Esegui. Fare clic su OK.
  4. Per aprire la Ntdsutil utilità della riga di comando, digitare ntdsutil.
  5. Inserisci il authoritative restore
  6. Per specificare di Active Directory, o dei componenti di Active Directory come autorevole, utilizzare uno dei seguenti metodi:
    • Enter restore database questo definisce il dominio e per tutti i contenitori di configurazione come autorevole.
    • Enter restore subtree insieme con il nome distinto di Active Directory oggetto che desideri segnalare come autorevole.
    • È possibile utilizzare l’opzione verinc con uno dei comandi di cui sopra, esplicitamente impostare il numero di versione. L’opzione è utile quando una diversa ripristino autorevole deve essere eseguito su un ripristino autorevole.
  7. Quando il ripristino autorevole conferma visualizzata la finestra di dialogo, chiedendo se il ripristino autorevole deve essere eseguito, fare clic su Sì.
  8. Inserisci quit entrare e quit di nuovo per chiudere la Ntdsutil utilità della riga di comando.
  9. Procedere al reboot del server.

Come eseguire un ripristino primario di Active Directory

  1. Riavviare il controller di dominio.
  2. Durante l’avvio, premere F8 quando richiesto, quindi selezionare Modalità di ripristino servizi directory (Windows paesi in via di sviluppo solo) dal menu Opzioni avanzate di Windows. Premere Invio.
  3. Scegliere il sistema operativo che dovrebbe essere avviato. Premere Invio.
  4. Quando la modalità prompt di accesso viene visualizzata, immettere le informazioni di account di amministratore locale, quindi fare clic su OK.
  5. Fare clic su OK quando viene visualizzato un messaggio, di consulenza che Windows è in esecuzione in modalità provvisoria.
  6. Fare clic sul pulsante Start, Tutti i programmi, Accessori, Utilità di sistema, quindi fare clic su Backup.
  7. Sulla pagina iniziale del Backup o Ripristino guidato, fare clic su Avanti.
  8. Assicurarsi che il ripristino di file e impostazioni di opzione è selezionata sulla pagina di backup o di ripristino. Fare clic su Avanti.
  9. Sulla Cosa Ripristina pagina, scegli il backup che si desidera utilizzare per il processo di ripristino primario. Fare clic su Avanti.
  10. Fare clic sul pulsante Avanzate.
  11. Sulla Dove Ripristina pagina, lasciare l’impostazione predefinita di originale, invariata, quindi fare clic su Avanti
  12. Sulla Come Ripristinare pagina, scegliere l’opzione di sostituire i file esistenti. Fare clic su Avanti.
  13. Quando le opzioni di ripristino avanzate pagina, attivare il ripristino Quando replicato insiemi di dati, il marchio di dati ripristinati come i dati primari per tutte le repliche di controllo. Puoi lasciare tutte le altre impostazioni di default sulla pagina Opzioni avanzate di ripristino invariato.
  14. Fare clic su Avanti.
  15. Fare clic su Fine per avviare il ripristino primario di Active Directory.
  16. Riavviare il server.
Share

Microsoft

Rimuovere da Active Directory un Domain Controller Off-Line

2 Maggio 2009

Puo’ capitare  che in un dominio Active Directory un Domain Controller vada in crash, e per un qualsiasi motivo si decida di non reintegrarlo o sostituirlo con un altro.

A questo punto si pone il problema di rimuovere il DC da AD, senza pero’ poter richiamare dcpromo ed effettuare il declassamento direttamente dal Domain Controller interessato (si presume che non si avvii).

A questa problematica si puo’ ovviare rimuovendo da AD i meta-data del Domain Controller ‘morto’.

La procedura e’ la seguente:

• Autenticarsi con un account avente diritti Enterprise Admins.
• Aprire una sessione Command Prompt ed eseguire il comando NTDSUTIL.
• Al prompt di NTDSUTIL, inserire il comando Metadata cleanup (o le iniziali m c).
• Dal prompt “Metadata cleanup” inserire il comando “connections”.
• Dal prompt “Connections” inserire il comando “connect to server <nomeDC>” (e.g.: connect to server ls-mi-dc-01).
• Digitare quit per uscire dal contesto “Connections”.
• Dal prompt “Metadata cleanup” inserire il comando “Select operation target”.
• Dal prompt “Select operation target” inserire il comando “List domains”.
• Identificare il numero del dominio di cui faceva parte il DC da rimuovere ed inserire il comando: select domain <NumeroDominio> (e.g.: select domain 0).
• Dal prompt “Select operation target” inserire il comando “List sites”.
• Identificare il numero del site di cui faceva parte il DC da rimuovere ed inserire il comando: select site <NumeroSite> (e.g.: select site 0).
• Dal prompt “Select operation target” inserire il comando “List servers in site”.
• Identificare il numero del server/DC da rimuovere ed inserire il comando: select server <NumeroServer> (e.g.: select server 1).
• Uscire dal contesto “Select operation target” inserendo il comando quit.
• Dal prompt “Metadata cleanup” inserire il comando “Remove selected server” e confermare l’operazione cliccando sul bottone Yes all’interno della finestra “Server Remove Confirmation Dialog”.
• Uscire dal contesto “Metadata cleanup” inserendo il comando quit.
• Digitare quit per uscire dal comando NTDSUTIL.
• Mediante lo snap-in ADSI Edit rimuovere tutte le entry relative al DC in questione dai seguenti container (corrispondenti al dominio ed al site di appartenenza del DC che sono stati utilizzati nella procedura NTDSUTIL)
OU=Domain Controllers,<DominioCheContenevaDC>.
CN=Servers,CN=<SiteCheContenevaDC>,CN=Sites,CN=Configuration,<DN-ForestRootDomain>
• Mediante lo snap-in DNS eliminare da tutte le zone (compreso la zona _msdcs.<FQDN-Dominio>) gli eventuali resource record DNS SRV, A e PTR riferiti al DC eliminato da AD.

Share

Microsoft