Это здорово, когда у системного администратора есть время освоить и попробовать все сценарии восстановления Active Directory с помощью средств самой операционной системы. Однако в большинстве случаев этого лишнего времени нет и нужно решение, а не набор статей в msdn и нагугленных скриптов.
Какой же программный продукт выбрать для восстановления Aсtive Directory?
Для ответа на этот вопрос нужно сначала определиться со списком сценариев для восстановления.
Восстановление удаленных объектов в Active Directory, это проблема, с которой пользователи сталкивались очень часто с самого появления Active Directory. Немало времени прошло, пока Майкрософт наконец-то услышала пользователей. Сначала в Windows 2008 появилась возможность защищать объекты от случайного удаления, затем в Windows 2008 R2 появилась корзина, а в Windows 2012 она получила графический интерфейс. Теперь удаленный объект можно вернуть к жизни всего за пару кликов, и никакой специальный продукт для этого не нужен.
Если же до сих пор используются старые версии Windows или по каким-то причинам нельзя включать корзину, то для восстановления нам нужен бекап, сделанный до удаления объекта. А, если мы хотим восстанавливать все из графического интерфейса, нам нужен специализированный продукт. Есть масса бесплатных утилит и платных продуктов, которые позволяют восстанавливать удаленные объекты, однако для восстановления пароля учетной записи требовалось расширение схемы, что не всегда подходит администратору. Восстановить пароль для пары пользователей и уведомить их по телефону – это не проблема, а вот когда таких пользователей пара сотен – это может парализовать работу компании. Я знаю только один продукт, который может восстанавливать пароли без расширения схемы — Recovery Manager for AD. Сейчас этот продукт продается под шильдиком Dell, но корни его русские – продукт появился в отечественной компании Аэлита. Recovery Manager пользуется заслуженной народной любовью и его старые версии даже можно найти на торрентах.
Другой гораздо более редкий сценарий — это восстановление измененных объектов. Т. е. хотели поменять атрибут у одного пользователя, а поменяли во всей AD. Или закралась ошибка в настройках решения для синхронизации данных из HR-системы, и нежелательные изменения синхронизировались в Active Directory.
Здесь Майкрософт до сих пор не предложила удобного решения. Для поиска изменённых объектов и последующего восстановления в таком сценарии Microsoft предлагает использовать утилиту командной строки dsamain. Мы поднимаем LDAP-сервер с ранней копией Active Directory и сравниваем состояния объектов в живой AD и бекапе с помощью ADUC или Powershell-скрипта.
Как говорится, свято место пусто не бывает. На рынке немало специалированного софта для восстановления изменённых объектов. Я рекомендую посмотреть на Blackbird Recovery for Active Directory, вышеупомянутый Recovery Manager и NetWrix Active Directory Object Restore Wizard. Последний, на мой взгляд, подходит только для восстановления небольшого количества объектов. Все-таки «прокликивать» пару сотен объектов – это не очень удобно.
Продукт от Blackbird делает continuous бекап, что позволяет не терять «полезные» изменения, в отличие от большинства продуктов, где при восстановлении теряются изменения с момента последнего бекапа.
Также практически каждый уважающий себя вендор бекапного софта сделал простенький визард для восстановления объектов.
Помимо сценариев гранулярного восстановления про которые мы говорили выше, есть сценарий восстановления целого леса, которые многие вендоры обходят стороной. Мол, вероятность падения леса очень мала и вам не нужно об этом беспокоиться.
Майкрософт предлагает документ на сорока страницах с общим описанием рекомендаций по созданию плана по восстановлению леса. Однако в крупной географически распределенной компании с десятками контроллеров домена создание плана по восстановлению леса и регулярная его проверка на среде, приближенной к продакшену выливается в человеко-месяцы работы IT-отдела. Однако составив план восстановления и опробовав его, можно столкнуться с тем, что за время, потраченное на восстановление, компания уйдет на дно, особенно это актуально для банков и сотовых операторов.
Мне удалось найти только один продукт, решающий сценарий полностью автоматического восстановления леса, а также позволяющего существенно сократить сроки восстановления – Dell Recovery Manager for AD Forest Edition.
Продукт состоит из 2 частей – «обычного» Recovery Manager for AD, где мы задаем расписание бекапов и можем гранулярно восстанавливать объекты директории и Forest Recovery Console, где мы создаем план восстановления леса.
После того, как мы запускаем продукт в первый раз, он предлагает нам создать проект – электронную версию плана восстановления.
Затем мы указываем настройки подключения к AD или бекапы и продукт отображает нам список всех контроллеров домена. Нам необходимо только выбрать, как восстанавливать каждый контроллер домена, задать пароли, настройки DNS – и план восстановления готов.
Само восстановление еще проще — нажимаем Start recovery и поехали. Не нужно удаленно подключаться к контроллерам домена — все происходит полностью автоматически.
Как протестировать работу продукта в условиях приближенных к боевым?
Здесь тоже есть ответ — для этого в продукте есть специальный визард Active Directory Virtual Lab, позволяющий выбрать нужные сервера и перенести их в изолированную виртуальную среду и таким образом получить уменьшенную копию рабочей среды.
Вывод
Если вы ищите комплексное решение для защиты Active Directory – я рекомендую посмотреть на Dell Recovery Manager for Active Directory Forest Edition. Только этот продукт решает все сценарии восстановления Active Directory, начиная с аттрибутов и заканчивая целым лесом.
Делл предлагает триальную версию продукта, которую можно использовать в течении 30-дней, а также виртуальную лабораторию, где можно «потрогать продукт» и серию нескольких бесплатных вебинаров по функционалу и установке.
Какой же программный продукт выбрать для восстановления Aсtive Directory?
Для ответа на этот вопрос нужно сначала определиться со списком сценариев для восстановления.
Восстановление удаленных объектов в Active Directory, это проблема, с которой пользователи сталкивались очень часто с самого появления Active Directory. Немало времени прошло, пока Майкрософт наконец-то услышала пользователей. Сначала в Windows 2008 появилась возможность защищать объекты от случайного удаления, затем в Windows 2008 R2 появилась корзина, а в Windows 2012 она получила графический интерфейс. Теперь удаленный объект можно вернуть к жизни всего за пару кликов, и никакой специальный продукт для этого не нужен.
Если же до сих пор используются старые версии Windows или по каким-то причинам нельзя включать корзину, то для восстановления нам нужен бекап, сделанный до удаления объекта. А, если мы хотим восстанавливать все из графического интерфейса, нам нужен специализированный продукт. Есть масса бесплатных утилит и платных продуктов, которые позволяют восстанавливать удаленные объекты, однако для восстановления пароля учетной записи требовалось расширение схемы, что не всегда подходит администратору. Восстановить пароль для пары пользователей и уведомить их по телефону – это не проблема, а вот когда таких пользователей пара сотен – это может парализовать работу компании. Я знаю только один продукт, который может восстанавливать пароли без расширения схемы — Recovery Manager for AD. Сейчас этот продукт продается под шильдиком Dell, но корни его русские – продукт появился в отечественной компании Аэлита. Recovery Manager пользуется заслуженной народной любовью и его старые версии даже можно найти на торрентах.
Другой гораздо более редкий сценарий — это восстановление измененных объектов. Т. е. хотели поменять атрибут у одного пользователя, а поменяли во всей AD. Или закралась ошибка в настройках решения для синхронизации данных из HR-системы, и нежелательные изменения синхронизировались в Active Directory.
Здесь Майкрософт до сих пор не предложила удобного решения. Для поиска изменённых объектов и последующего восстановления в таком сценарии Microsoft предлагает использовать утилиту командной строки dsamain. Мы поднимаем LDAP-сервер с ранней копией Active Directory и сравниваем состояния объектов в живой AD и бекапе с помощью ADUC или Powershell-скрипта.
Как говорится, свято место пусто не бывает. На рынке немало специалированного софта для восстановления изменённых объектов. Я рекомендую посмотреть на Blackbird Recovery for Active Directory, вышеупомянутый Recovery Manager и NetWrix Active Directory Object Restore Wizard. Последний, на мой взгляд, подходит только для восстановления небольшого количества объектов. Все-таки «прокликивать» пару сотен объектов – это не очень удобно.
Продукт от Blackbird делает continuous бекап, что позволяет не терять «полезные» изменения, в отличие от большинства продуктов, где при восстановлении теряются изменения с момента последнего бекапа.
Также практически каждый уважающий себя вендор бекапного софта сделал простенький визард для восстановления объектов.
Помимо сценариев гранулярного восстановления про которые мы говорили выше, есть сценарий восстановления целого леса, которые многие вендоры обходят стороной. Мол, вероятность падения леса очень мала и вам не нужно об этом беспокоиться.
Майкрософт предлагает документ на сорока страницах с общим описанием рекомендаций по созданию плана по восстановлению леса. Однако в крупной географически распределенной компании с десятками контроллеров домена создание плана по восстановлению леса и регулярная его проверка на среде, приближенной к продакшену выливается в человеко-месяцы работы IT-отдела. Однако составив план восстановления и опробовав его, можно столкнуться с тем, что за время, потраченное на восстановление, компания уйдет на дно, особенно это актуально для банков и сотовых операторов.
Мне удалось найти только один продукт, решающий сценарий полностью автоматического восстановления леса, а также позволяющего существенно сократить сроки восстановления – Dell Recovery Manager for AD Forest Edition.
Продукт состоит из 2 частей – «обычного» Recovery Manager for AD, где мы задаем расписание бекапов и можем гранулярно восстанавливать объекты директории и Forest Recovery Console, где мы создаем план восстановления леса.
После того, как мы запускаем продукт в первый раз, он предлагает нам создать проект – электронную версию плана восстановления.
Затем мы указываем настройки подключения к AD или бекапы и продукт отображает нам список всех контроллеров домена. Нам необходимо только выбрать, как восстанавливать каждый контроллер домена, задать пароли, настройки DNS – и план восстановления готов.
Само восстановление еще проще — нажимаем Start recovery и поехали. Не нужно удаленно подключаться к контроллерам домена — все происходит полностью автоматически.
Как протестировать работу продукта в условиях приближенных к боевым?
Здесь тоже есть ответ — для этого в продукте есть специальный визард Active Directory Virtual Lab, позволяющий выбрать нужные сервера и перенести их в изолированную виртуальную среду и таким образом получить уменьшенную копию рабочей среды.
Вывод
Если вы ищите комплексное решение для защиты Active Directory – я рекомендую посмотреть на Dell Recovery Manager for Active Directory Forest Edition. Только этот продукт решает все сценарии восстановления Active Directory, начиная с аттрибутов и заканчивая целым лесом.
Делл предлагает триальную версию продукта, которую можно использовать в течении 30-дней, а также виртуальную лабораторию, где можно «потрогать продукт» и серию нескольких бесплатных вебинаров по функционалу и установке.
