在我们一系列对Windows Server 的报道文章中前一篇重点介绍了数据挖掘工具(Database Mounting Tool)的应用它的功能在于装载备份的活动目录(Active Directory)文件该备份可由微软自带的或是第三方软件提供的卷影拷贝服务(Volume Shadow Copy Service VSS)所创建在前文中我们详述了数据装载工具在灾难恢复中的优点并且列举了一些用以访问历史数据的工具除了系统级或卷级别的备份方式ntdsutil命令行工具中的ifm命令对目录服务数据的备份还可以用快照方式建立起驱动器中活动目录文件的备份需要时查看时间点进行还原
而在本文中我们将继续介绍Windows Server 域控制器引入的新特性并一如既往地为您推荐一些使操作更为简便的第三方软件
一 快照功能与系统性能的平衡
对于经常使用快照的用户来说既要使快照的功能得到尽可能的发挥又要保证快照的应用对活动目录的性能影响降至最低因此在使用中有以下几点需要注意
() 卷页的内容和状态在快照中的保存形式是不同的
() 虽说快照的大小取决于系统的变化和保存的时间但通常来说它一般很小并且要求能被迅速查看
() 快照的信息来源于卷页因此它需要依赖磁盘的运行快照工作基于copy onwrite的方式会使得磁盘I/O工作量上升这有可能会对系统的整体性能产生影响
() 必需意识到快照不能直接用于活动目录对象的存储备份工作(得用真实的系统状态和关键卷页备份)快照的主要功能是为了使用户迅速地创建和浏览特定时间段的活动目录状态如此一来就可以很容易的发现特定内容的改变从而方便用户选定最适合的还原状态同时这也提供了一种审计和对系统状态改变的追蹤功能
() 从更深一层的角度来看快照还能快捷地抽取任一相关的历史信息用以插入到用Tombstone Reanimation功能恢复的对象信息中或是用于对误操作的恢复
二快照的操作
快照的创建一般可用ntdsutil命令行工具来实现而ntdsutil既可在控制台下直接启动也可通过Windows Sever 域控制器的终端服务会话远程启动一旦进入ntdsutil输入Activate Instance NTDS(当然也可以把活动实例改设为AD LDS)然后依次输入snapshot→creat命令稍过片刻系统即提示成功生成快照集并得到一个唯一的识别码(GUID)为确认已创建的快照可以执行list all来查看同一目录所有的活动快照的列表(包括创建日期和时间)以上的步骤也可以通过下面的快照自动生成命令作为一个计划任务来实现
ntdsutil Activate Instance NTDS snapshot create quit quit
生成的快照必须通过DSAMAINexe装载后才能访问首先在命令行上输入mount后面跟着拟装载快照的系统编号或是GUID快照的编号由字符串$SNAP快照创建的时间和日期(军用格式)目标卷三部分组成如$SNAP__VOLUMEC$除了以上部分还需要输入活动目录NTDSDIT文件的路径全称配合应用数据装载工具的dbpath选项因此如果采用默认的数据库和日志文件设置格式变为
$SNAP__VOLUMEC$\Windows\NTDS\NTDSDIT
完成对快照的浏览后如需中止DSAMAINEXE和卸载快照可以调用unmount命令后跟欲卸载快照的系统编号或是GUID删除无用的快照使用的是delete命令格式上与快照的装载卸载相一致快照操作的语法大全可以参照Windows Server 技术知识库
三操作优化的第三方软件
快照的出现大大简化了由于对活动目录的误操作引发的还原步骤然而实际操作中的还原步骤依旧繁多包括Tombstone Reanimation还原功能的设置以及属性的还原等大量免费第三方软件的出现改变了以往的纷杂它们使得整个操作变得行云流水般顺畅以下就是它们中的一些着名代表(已经商业化的第三方软件如UMove不在我们的介绍范围内)
. Snapshot Recovery Tool
Identity公司出品的Snapshot Recovery Tool提供免费下载它包含一个命令行式的oirecmgrexe工具集能够提供对象还原并可将Database Mounting Tool装载的LDAP实例的属性参数(可以是活动目录快照或VSS备份的NTDSDIT文件)备份至任一Windows Server 域控制器下Snapshot Recovery Tool可在Windows Server 和 中的两种活动目录环境中运行但要注意它不能同时对两种属性进行还原
虽然Snapshot Recovery Tool采用NET Framework 框架但它可在Windows XP Professional或Vista下被远程启动在命令行中用多重o选项指定GUID可进行任意对象文件的恢复或是先将对象存于文本文件用of选项获取对象名称并得到特定格式的属性然后再进行恢复操作举个例子以下的命令(直接从域控制器USDCNYC的控制台运行)将对已被删除的GUID为abadabadabaddcdead的对象重标识还原它的属性并由端口访问活动目录快照提取出相关信息来恢复前后的链接关系比如用户的组成员还原过来的用户帐号的密码已经失效在使用前需要重新设置因此下面的命令并不能还原帐号的密码
oirecmgrexe o abadabadabaddcdead sh USDCNYC: ol real
. Directory Service Comparison Tool
Directory Service Comparison Tool提供的功能与上面的相似同样也可从网上免费下载使用分为x和x两个版本但特点在于采用了微软管理控制台的图形界面系统要对软件进行设置可在树形节点的菜单下选择Datasource Settings弹出对话框后指定目标域控制器和快照服务器名称快照可由DSAMAINEXE指定LDAP端口装载控制台的窗格划分为个部分分别列出的是DSA装载的LDAP目录服务库的修改添加和删除项不过该软件在使用功能上有一定的局限性可能是因为设计的缺陷对活动目录快照中记录的highestCommittedUSN属性造成了影响与Snapshot Recovery Tool一样该软件的运行也需 要安装NET Framework 平台还有MMC并且支持远程安装到Windows XP Professional 或 Vista 系统下
. Active Directory Explorer
Active Directory Explorer由Sysinternals小组(Bryce Cogswell和Mark Russinovich)开发它独特之处在于能不依赖Windows Server 活动目录提供的功能而自身创建快照并且所有版本均具备这个功能它能登陆到域控制器获取在线活动目录环境的信息或是读取备份和用DSAMAINEXE装载的兼容VSS快照另外它还存储任意位置的信息以便脱机浏览总之这种直观图形界面式的AD Explorer方便了项目的浏览并有查询和对比功能大大简化了用户的操作
如果你需要大型应用环境下的更多高级功能如自动运行报告和记录并且希望软件能支持除Windows Server 活动目录外的更多环境可能就需要考虑一下已经商业化的第三方软件如Quest公司的Recovery Manager for Active DirectoryUTools公司的UMove for Active Directory还有ScriptLogic的Active Administrator
以上主要介绍了数据挖掘工具以及与之相关的活动目录快照的功能在下一篇中我们将对Windows Server 域控制器下全新的审核机制做一个深入的观察
相关系列文章Windows目录服务与数据挖掘工具
