Về mặt bản chất, Active Directory là 1 cơ sở dữ liệu “đồ sộ” theo kiến trúc phân tầng, trong đó có chứa đầy đủ thông tin về hệ thống mạng như các máy tính, server, tài khoản người dùng, nhóm người dùng... Mục đích chính của Active Directory là cung cấp và đảm bảo khả năng xác nhận của tất cả các tài khoản trong hệ thống. Và công việc “hàng ngày” của Active Directory là tạo, quản lý, di chuyển, chỉnh sửa, xóa... nhiều đối tượng khác nhau có liên quan. Và cơ sở dữ liệu của Active Directory được lưu trữ tại Domain Controller (hay còn gọi là DC), trong 1 file có tên là NTDS.DIT.

Khi tiến hành xóa 1 đối tượng bất kỳ nào đó trong Active Directory, người quản trị phải tuyệt đối cẩn thận, vì nếu nhầm lẫn trong khâu này, hệ thống của họ sẽ bị ảnh hưởng rất nhiều, hơn nữa những thành phần khác có liên quan có thể sẽ không thể khôi phục được. Đối với hệ điều hành Windows 2000 Server và Windows Server 2003 thì chúng ta có thể thực hiện được việc này qua tính năng NTBACKUP và System State. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số thao tác cơ bản có thể được áp dụng trong những tình huống xóa nhầm dữ liệu trong Active Directory.

Active Directory “xử lý” thế nào đối với những thành phần đã bị xóa?

Khi 1 đối tượng bất kỳ bị xóa khỏi Active Directory, thì trên thực tế hoàn toàn không phải như vậy, mà đơn giản chỉ là hành động đánh dấu để hệ thống ghi nhớ sẽ thực hiện việc này trong những phiên làm việc tiếp theo. Về mặt kỹ thuật, Active Directory thường sử dụng mô hình nhân rộng với chức năng chính là “multi-master loose consistency with convergence”. Các sự thay đổi có thể được thực hiện trên bất kỳ DC nào ở tầng forest, và những sự thay đổi đó sẽ lần lượt được nhân rộng qua toàn bộ forest. Do vậy, các đối tượng bị xóa trong môi trường này không đơn thuần là bị gỡ bỏ hoàn toàn khỏi hệ thống theo cách thông thường.

Các công cụ đánh dấu được sử dụng dành cho đối tượng trong AD được gọi là tombstone. Một tombstone thực chất là 1 đối tượng với thuộc tính IsDeleted được thiết lập thành True, và thuộc tính đó sẽ chỉ định đối tượng vừa được xóa nhưng chưa được gỡ bỏ khỏi hệ thống, cũng giống như việc xóa file dữ liệu thông thường. Các dịch vụ tương ứng của Directory sẽ tiến hành di chuyển những đối tượng đã được đánh dấu tombstone này tới bộ phận lưu trữ Deleted Objects, chúng sẽ tiếp tục “tồn tại” cho tới khi quá trình thu thập và xử lý file thừa chính thức xóa bỏ khỏi hệ thống. Quá trình này sẽ hoạt động 12 tiếng mỗi lần ở chế độ mặc định trên mỗi DC. Bên cạnh đó, khoảng thời gian đối tượng tombstone tồn tại trước khi bị xóa bỏ là 60 ngày đối với Windows 2000/2003 Active Directory, hoặc là 180 ngày với Windows Server 2003 SP1 Active Directory (ở chế độ mặc định). Mặt khác, “vòng đời” của tombstone phải được thiết lập lâu hơn so với quá trình xóa dữ liệu để đảm bảo rằng việc áp dụng tương tự với nhiều đối tượng được tái tạo trên các DC khác.

Với các đặc điểm trên, chúng ta có thể thấy rằng thao tác xóa dữ liệu ở đây đơn thuần là việc thay đổi thuộc tính của 1 đối tượng bất kỳ, bao gồm:

 - Thiết lập IsDeleted thành True.

 - Thay đổi cột WhenDeleted thành IsDeleted trong phần TimeChanged của metadata.

 - Thiết lập mức độ bảo mật của Windows NT thành 1 giá trị nhất định.

 - Thay đổi Relative Distinguished Name – RDN thành 1 giá trị không thể được thiết lập bởi ứng dụng LDAP.

 - “Bỏ” tất cả các thuộc tính không cần thiết tại thời điểm này bởi Active Directory, một số thuộc tính quan trọng dưới đây đã được mã hóa cứng để sử dụng trong quá trình này như: Object-GUID, Object-SID, Object-Dist-Name và USN.

Bên cạnh đó, các bạn cần phải hiểu được sự khác biệt giữa việc khôi phục 1 đối tượng đã được xóa bỏ hoàn toàn khỏi cơ sở dữ liệu, và sự việc không tồn tại của đối tượng đó, không chỉ là đối tượng tombstone và khôi phục tombstone như thế nào. Việc phục hồi đối tượng tombstone bất kỳ từ cơ sở dữ liệu Active Directory thường được gọi là reanimation – và đây chủ đề chính của bài viết chúng ta ngày hôm nay.

Mặt khác, việc tombstone 1 đối tượng bất kỳ sẽ đồng thời bỏ qua nhiều thuộc tính kỹ thuật, chúng ta cũng phải để ý rằng nếu lựa chọn việc xóa tài khoản người dùng hoặc nhóm, thì cũng phải phục hồi nhóm Membership và các thuộc tính có liên kết với nhau, chắc chắn các bạn sẽ cần phải dùng đến chung trong nhiều phiên làm việc sau này. Tuy nhiên, 1 trong những tính năng của Active Directory đã được bổ sung trong Windows Server 2003 Service Pack 1 là Directory Service Backup Reminders. Và với ứng dụng Reminder này, mỗi 1 thông báo về sự việc mới (ví dụ là ID 2089) thì hệ thống sẽ cung cấp khả năng sao lưu đối với từng phân vùng của Directory mà DC lưu trữ, trong đó bao gồm phân vùng Directory ứng dụng và Active Directory Application Mode – ADAM. Nếu trải qua nửa “vòng đời” của tombstone mà phân vùng tương ứng chưa được sao lưu, thì sự việc này sẽ được ghi lại trong các bản ghi của Directory Service và tiếp tục công việc hàng ngày cho tới khi hoàn tất.

Phương pháp khôi phục các thành phần đã bị xóa trong Active Directory:

Trên thực tế, có 1 vài cách để chúng ta có thể thực hiện được việc này đối với Active Directory, bao gồm công cụ miễn phí hoặc trả phí. Tuy nhiên, trước khi bắt tay vào công việc chính thì các bạn hãy sao lưu toàn bộ tình trạng của hệ thống, nhằm giảm thiểu tối đa tỉ lệ rủi ro có thể xảy ra, chủ yếu là System State, bao gồm Registry, COM+ Class Registration Database, System Boot Files, các certificate từ Certificate Server (nếu đã được cài đặt), Cluster database, file NTDS.DIT và thư mục SYSVOL.

Khôi phục từ bản sao lưu trước:

Việc phục hồi dữ liệu từ bản sao lưu System State gần đây nhất không thực sự đơn giản, và trên thực tế thì đây không thực sự là quá trình khôi phục dữ liệu, mà chỉ là việc lấy lại những file đã bị xóa. Tuy nhiên, kể từ khi việc này được thực hiện bởi NTBACKUP và trình sao lưu System State có liên quan tới việc tắt DC và khởi động lại qua chế độ DS Restore Mode, thì cơ chế này sẽ là cách duy nhất để phục hồi dữ liệu mà không ảnh hưởng gì tới quá trình hoạt động của DC.

Sử dụng LDP.EXE:

Như đã đề cập tại phần trên của bài viết, các đối tượng bị xóa trong Active Directory vẫn không thực sự “biến mất” khỏi hệ thống, mà chúng chỉ được đánh dấu thành tombstone trong 1 khoảng thời gian nhất định, có thể là 60 hoặc 180 ngày tùy vào hệ điều hành đang quản lý DC.