Khôi phục những thành phần đã xóa trong Active
Directory
Khi tiến hành xóa 1 đối tượng bất kỳ nào đó trong Active Directory, người quản
trị phải tuyệt đối cẩn thận, vì nếu nhầm lẫn trong khâu này, hệ thống của họ sẽ bị
ảnh hưởng rất nhiều, hơn nữa những thành phần khác có liên quan có thể sẽ không
thể khôi phục được. Đối với hệ điều hành Windows 2000 Server và Windows
Server 2003 thì chúng ta có thể thực hiện được việc này qua tính
năng NTBACKUP và System State. Trong bài viết dưới đây, chúng tôi sẽ giới
thiệu với các bạn một số thao tác cơ bản có thể được áp dụng trong những tình
huống xóa nhầm dữ liệu trong Active Directory.
Active Directory “xử lý” thế nào đối với những thành phần đã bị xóa?
Khi 1 đối tượng bất kỳ bị xóa khỏi Active Directory, thì trên thực tế hoàn toàn
không phải như vậy, mà đơn giản chỉ là hành động đánh dấu để hệ thống ghi nhớ
sẽ thực hiện việc này trong những phiên làm việc tiếp theo. Về mặt kỹ
thuật, Active Directory thường sử dụng mô hình nhân rộng với chức năng chính
là “multi-master loose consistency with convergence”. Các sự thay đổi có thể được
thực hiện trên bất kỳ DC nào ở tầng forest, và những sự thay đổi đó sẽ lần lượt
được nhân rộng qua toàn bộ forest. Do vậy, các đối tượng bị xóa trong môi trường
này không đơn thuần là bị gỡ bỏ hoàn toàn khỏi hệ thống theo cách thông thường.
Các công cụ đánh dấu được sử dụng dành cho đối tượng trong AD được gọi
là tombstone. Một tombstonethực chất là 1 đối tượng với thuộc
tính IsDeleted được thiết lập thành True, và thuộc tính đó sẽ chỉ định đối tượng
vừa được xóa nhưng chưa được gỡ bỏ khỏi hệ thống, cũng giống như việc xóa file
dữ liệu thông thường. Các dịch vụ tương ứng của Directory sẽ tiến hành di
chuyển những đối tượng đã được đánh dấu tombstonenày tới bộ phận lưu
trữ Deleted Objects, chúng sẽ tiếp tục “tồn tại” cho tới khi quá trình thu thập và
xử lý file thừa chính thức xóa bỏ khỏi hệ thống. Quá trình này sẽ hoạt động 12
tiếng mỗi lần ở chế độ mặc định trên mỗi DC. Bên cạnh đó, khoảng thời gian đối
tượng tombstone tồn tại trước khi bị xóa bỏ là 60 ngày đối với Windows
2000/2003 Active Directory, hoặc là 180 ngày với Windows Server 2003
SP1 Active Directory (ở chế độ mặc định). Mặt khác, “vòng đời”
của tombstone phải được thiết lập lâu hơn so với quá trình xóa dữ liệu để đảm bảo
rằng việc áp dụng tương tự với nhiều đối tượng được tái tạo trên các DC khác.
Với các đặc điểm trên, chúng ta có thể thấy rằng thao tác xóa dữ liệu ở đây đơn
thuần là việc thay đổi thuộc tính của 1 đối tượng bất kỳ, bao gồm:
- Thiết lập IsDeleted thành True.
- Thay đổi cột WhenDeleted thành IsDeleted trong
phần TimeChanged của metadata.
- Thiết lập mức độ bảo mật của Windows NT thành 1 giá trị nhất định.
- Thay đổi Relative Distinguished Name – RDN thành 1 giá trị không thể được
thiết lập bởi ứng dụng LDAP.
- “Bỏ” tất cả các thuộc tính không cần thiết tại thời điểm này bởi Active
Directory, một số thuộc tính quan trọng dưới đây đã được mã hóa cứng để sử
dụng trong quá trình này như: Object-GUID, Object-SID, Object-Dist-Name và
USN.
Bên cạnh đó, các bạn cần phải hiểu được sự khác biệt giữa việc khôi phục 1 đối
tượng đã được xóa bỏ hoàn toàn khỏi cơ sở dữ liệu, và sự việc không tồn tại của
đối tượng đó, không chỉ là đối tượng tombstone và khôi phục tombstone như thế
nào. Việc phục hồi đối tượng tombstone bất kỳ từ cơ sở dữ liệu Active
Directorythường được gọi là reanimation – và đây chủ đề chính của bài viết
chúng ta ngày hôm nay.
Mặt khác, việc tombstone 1 đối tượng bất kỳ sẽ đồng thời bỏ qua nhiều thuộc tính
kỹ thuật, chúng ta cũng phải để ý rằng nếu lựa chọn việc xóa tài khoản người dùng
hoặc nhóm, thì cũng phải phục hồi nhóm Membership và các thuộc tính có liên
kết với nhau, chắc chắn các bạn sẽ cần phải dùng đến chung trong nhiều phiên làm
việc sau này. Tuy nhiên, 1 trong những tính năng của Active Directory đã được
bổ sung trong Windows Server 2003 Service Pack 1 là Directory Service
Backup Reminders. Và với ứng dụng Reminder này, mỗi 1 thông báo về sự việc
mới (ví dụ là ID 2089) thì hệ thống sẽ cung cấp khả năng sao lưu đối với từng
phân vùng củaDirectory mà DC lưu trữ, trong đó bao gồm phân
vùng Directory ứng dụng và Active Directory Application Mode – ADAM. Nếu
trải qua nửa “vòng đời” của tombstone mà phân vùng tương ứng chưa được sao
lưu, thì sự việc này sẽ được ghi lại trong các bản ghi của Directory Service và
tiếp tục công việc hàng ngày cho tới khi hoàn tất.
![Bài giảng Phân tích thiết kế hệ thống [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250811/vijiraiya/135x160/642_bai-giang-phan-tich-thiet-ke-he-thong.jpg)
