在我们一系列对Windows Server 2008的报道文章中,前一篇重点介绍了数据挖掘工具(Database Mounting Tool)的应用,它的功能在于装载备份的活动目录(Active Directory)文件,该备份可由微软自带的或是第三方软件提供的卷影拷贝服务(Volume Shadow Copy Service , VSS)所创建。在前文中,我们详述了数据装载工具在灾难恢复中的优点,并且列举了一些用以访问历史数据的工具。除了系统级或卷级别的备份方式,ntdsutil命令行工具中的ifm命令对目录服务数据的备份,还可以用快照方式建立起驱动器中活动目录文件的备份,需要时查看时间点进行还原。
而在本文中,我们将继续介绍Windows Server 2008域控制器引入的新特性,并一如既往地为您推荐一些使操作更为简便的第三方软件。
一、 快照功能与系统性能的平衡
对于经常使用快照的用户来说,既要使快照的功能得到尽可能的发挥,又要保证快照的应用对活动目录的性能影响降至***。因此,在使用中有以下几点需要注意:
(1) 卷页的内容和状态在快照中的保存形式是不同的;
(2) 虽说快照的大小取决于系统的变化和保存的时间,但通常来说,它一般很小,并且要求能被迅速查看;
(3) 快照的信息来源于卷页,因此它需要依赖磁盘的运行。快照工作基于copy on-write的方式会使得磁盘I/O工作量上升,这有可能会对系统的整体性能产生影响;
(4) 必需意识到,快照不能直接用于活动目录对象的存储备份工作(得用真实的系统状态和关键卷页备份)。快照的主要功能是为了使用户迅速地创建和浏览特定时间段的活动目录状态,如此一来,就可以很容易的发现特定内容的改变,从而方便用户选定最适合的还原状态。同时,这也提供了一种审计和对系统状态改变的追踪功能;
(5) 从更深一层的角度来看,快照还能快捷地抽取任一相关的历史信息用以插入到用Tombstone Reanimation功能恢复的对象信息中,或是用于对误操作的恢复。
二、快照的操作
快照的创建一般可用ntdsutil命令行工具来实现,而ntdsutil既可在控制台下直接启动,也可通过Windows Sever 2008域控制器的终端服务会话远程启动。一旦进入ntdsutil,输入Activate Instance NTDS(当然也可以把活动实例改设为AD LDS)。然后依次输入snapshot→creat命令,稍过片刻系统即提示成功生成快照集,并得到一个唯一的识别码(GUID)。为确认已创建的快照,可以执行list all来查看同一目录所有的活动快照的列表(包括创建日期和时间)。以上的步骤也可以通过下面的快照自动生成命令作为一个计划任务来实现:
ntdsutil "Activate Instance NTDS" snapshot create quit quit
生成的快照必须通过DSAMAIN.exe装载后才能访问。首先,在命令行上输入mount,后面跟着拟装载快照的系统编号或是GUID。快照的编号由字符串"$SNAP"、快照创建的时间和日期(军用格式)、目标卷三部分组成,如$SNAP_200808082008_VOLUMEC$。除了以上部分,还需要输入活动目录NTDS.DIT文件的路径全称,配合应用数据装载工具的-dbpath选项,因此如果采用默认的数据库和日志文件设置,格式变为:
$SNAP_200808082008_VOLUMEC$\Windows\NTDS\NTDS.DIT
完成对快照的浏览后,如需中止DSAMAIN.EXE和卸载快照,可以调用unmount命令,后跟欲卸载快照的系统编号或是GUID。删除无用的快照使用的是delete命令,格式上与快照的装载、卸载相一致。快照操作的语法大全可以参照Windows Server 2008技术知识库。
#P#三、操作优化的第三方软件
快照的出现大大简化了由于对活动目录的误操作引发的还原步骤,然而,实际操作中的还原步骤依旧繁多,包括Tombstone Reanimation还原功能的设置,以及属性的还原等。大量免费第三方软件的出现改变了以往的纷杂,它们使得整个操作变得行云流水般顺畅。以下就是它们中的一些著名代表。(已经商业化的第三方软件,如UMove,不在我们的介绍范围内。)
1. Snapshot Recovery Tool
1Identity公司出品的Snapshot Recovery Tool提供免费下载,它包含一个命令行式的oirecmgr.exe工具集,能够提供对象还原,并可将Database Mounting Tool装载的LDAP实例的属性参数(可以是活动目录快照,或VSS备份的NTDS.DIT文件)备份至任一Windows Server 2008域控制器下。Snapshot Recovery Tool可在Windows Server 2003 和 2008中的两种活动目录环境中运行,但要注意它不能同时对两种属性进行还原。
虽然Snapshot Recovery Tool采用.NET Framework 2.0框架,但它可在Windows XP Professional或Vista下被远程启动。在命令行中用多重-o选项指定GUID可进行任意对象文件的恢复;或是先将对象存于文本文件,用-of选项获取对象名称,并得到特定格式的属性,然后再进行恢复操作。举个例子,以下的命令(直接从域控制器USDC-NYC001的控制台运行)将对已被删除的GUID为7abadaba-daba-d000-0d15-c015dead的对象重标识,还原它的属性,并由33389端口访问活动目录快照提取出相关信息来恢复前后的链接关系,比如用户的组成员。还原过来的用户帐号的密码已经失效,在使用前需要重新设置,因此下面的命令并不能还原帐号的密码。
oirecmgr.exe -o 7abadaba-daba-d000-0d15-c015dead -sh USDC-NYC001:33389 -ol -real
2. Directory Service Comparison Tool
Directory Service Comparison Tool提供的功能与上面的相似,同样也可从网上免费下载使用,分为x86和x64两个版本,但特点在于采用了微软管理控制台的图形界面系统。要对软件进行设置,可在树形节点的菜单下选择Datasource Settings,弹出对话框后指定目标域控制器和快照服务器名称,快照可由DSAMAIN.EXE指定LDAP端口装载。控制台的窗格划分为3个部分,分别列出的是DSA装载的LDAP目录服务库的修改、添加和删除项。不过,该软件在使用功能上有一定的局限性,可能是因为设计的缺陷对活动目录快照中记录的highestCommittedUSN属性造成了影响。与Snapshot Recovery Tool一样,该软件的运行也需 要安装.NET Framework 2.0平台,还有MMC3.0,并且支持远程安装到Windows XP Professional 或 Vista 系统下。
3. Active Directory Explorer
Active Directory Explorer由Sysinternals小组(Bryce Cogswell和Mark Russinovich)开发,它独特之处在于能不依赖Windows Server 2008活动目录提供的功能而自身创建快照,并且所有版本均具备这个功能。它能登陆到域控制器获取在线活动目录环境的信息,或是读取备份和用DSAMAIN.EXE装载的兼容VSS快照。另外,它还存储任意位置的信息以便脱机浏览。总之,这种直观图形界面式的AD Explorer方便了项目的浏览,并有查询和对比功能,大大简化了用户的操作。
如果你需要大型应用环境下的更多高级功能,如自动运行、报告和记录,并且希望软件能支持除Windows Server 2008活动目录外的更多环境,可能就需要考虑一下已经商业化的第三方软件。如Quest公司的Recovery Manager for Active Directory,UTools公司的UMove for Active Directory,还有ScriptLogic的Active Administrator。
以上主要介绍了数据挖掘工具以及与之相关的活动目录快照的功能。在下一篇中,我们将对Windows Server 2008域控制器下全新的审核机制做一个深入的观察。
【编辑推荐】
