Obnovte Active Directory ze zálohy

V tomto článku si ukážeme, jak obnovit řadič domény Active Directory ze zálohy stavu systému vytvořené dříve (viz Zálohování služby Active Directory) a zvážit typy a principy obnovy DC v AD.

Obsah:

  • Obnovení řadiče domény AD pomocí replikace
  • Typy obnovy služby Active Directory: Autorizované a neúplné
  • Obnovení řadiče domény AD ze zálohy stavu systému
  • Obnovení jednotlivých objektů v AD

Předpokládejme, že máte selhaný řadič domény AD a chcete jej obnovit z dříve vytvořené zálohy. Než budete pokračovat s obnovou DC, musíte pochopit, který scénář obnovy řadiče domény musíte použít. Záleží na tom, zda máte v síti další řadiče domény a zda je poškozena databáze Active Directory..

Obnovení řadiče domény AD pomocí replikace

Obnovení DC pomocí replikace není úplně proces obnovení DC ze zálohy. Tento scénář lze použít, pokud máte v síti několik dalších řadičů domény a všechny jsou funkční. Tento scénář zahrnuje instalaci nového serveru a jeho upgrade na nový řadič domény na stejném webu. Starý řadič musí být z AD odstraněn.

Toto je nejjednodušší způsob, jak zajistit, abyste neprováděli trvalé změny AD. V tomto scénáři bude databáze ntds.dit, GPO a obsah složky SYSVOL automaticky replikována do nového řadiče domény s tím, že zbývající domény zůstanou online..

Pokud je velikost databáze ADDS malá a další DC je přístupné prostřednictvím vysokorychlostního kanálu, je to mnohem rychlejší než obnovení DC ze zálohy.

Typy obnovy služby Active Directory: Autorizované a neúplné

Existují dva typy obnovy služby Active Directory DS ze zálohy, které musíte před zahájením obnovy jasně pochopit:

  • Autoritativní obnovení (autoritativní nebo autoritativní zotavení) - po obnovení objektů AD se provede replikace z obnoveného řadiče domény na všechny ostatní řadiče v doméně. Tento typ zotavení se používá ve scénářích, kdy jeden DC nebo všechny DC padly současně (například v důsledku útoku šifrovače nebo viru), nebo když byla poškozená databáze NTDS.DIT ​​replikována napříč doménou. V tomto režimu mají všechny obnovené AD objekty hodnotu USN (Update Sequence Number) zvýšenou o 100 000. Obnovené objekty budou tedy všechny DC vnímány jako novější a budou replikovány doménou. Metoda autoritativní obnovy musí být použita velmi opatrně !!! Při autoritativní obnově ztratíte většinu změn v AD, ke kterým došlo od zálohy (členství ve skupinách AD, atributy Exchange atd.).
  • Neautoritativní obnovení (neúplné nebo neautoritativní zotavení) - po obnovení základny AD tento řadič sdělí ostatním řadičům domény, že byl obnoven ze zálohy a potřebuje nejnovější změny v AD (pro DC se vytvoří nové ID DSA Invocation ID). Tuto metodu obnovy lze použít na vzdálených webech, pokud je obtížné okamžitě replikovat velkou databázi AD přes pomalý kanál WAN; nebo když server obsahoval důležitá data nebo aplikace.

Obnovení řadiče domény AD ze zálohy stavu systému

Předpokládejme tedy, že máte ve své doméně pouze jeden řadič domény. Z nějakého důvodu selhal fyzický server, na kterém je spuštěn.

Máte relativně poslední zálohu stavu systému starého řadiče domény a chcete obnovit nový adresář služby Active Directory na novém serveru v režimu autoritativní obnovy.

Chcete-li obnovit, musíte na nový server nainstalovat stejnou verzi systému Windows Server, která byla nainstalována v selhání řadiče domény. V čistém OS na novém serveru musíte roli nainstalovat ADDS (bez konfigurace) a komponenty Zálohování serveru Windows.

Chcete-li obnovit adresář Actve, musíte zavést server v režimu obnovy adresářových služeb DSRM (Režim obnovení adresářových služeb). Chcete-li to provést, spusťte msconfig a příspěvku Boot vyberte Bezpečné spuštění -> Oprava služby Active Directory.

Restartujte server. Měl by se spustit v režimu DSRM. Spusťte zálohu systému Windows Server (wbadmin) a vyberte v pravé nabídce Obnovit.

V průvodci zotavením vyberte, zda je záloha uložena na jiném místě (záloha uložená na jiném místě).

Vyberte jednotku, na které se nachází záloha starého řadiče AD, nebo určete cestu k UNC.

Aby WSB viděl zálohu na disku, musíte do kořenového adresáře disku umístit adresář WindowsImageBackup se zálohou. Zálohy na disku můžete zkontrolovat pomocí příkazu:

wbadmin get version -backupTarget: D:

Vyberte datum, kdy chcete zálohu obnovit.

Označte, že obnovujete stav systému.

Vyberte „Původní umístění“ pro obnovení a nezapomeňte zkontrolovat „Proveďte autoritativní obnovení souborů služby Active Directory).

Systém zobrazí varování, že tato záloha je jiný server a že při obnovení na jiný server se nemusí spustit. Pokračujte.

Souhlasím s dalším upozorněním:

Záloha systému Windows Poznámka: Tato možnost obnovení způsobí, že replikovaný obsah na místním serveru bude po obnovení synchronizován. To může způsobit problémy s latencí nebo výpadkem.


Poté bude zahájen proces obnovy řadiče domény AD na novém serveru. Po dokončení bude server vyžadovat restart (název nového serveru bude ze zálohy změněn na název DC).

Spuštění serveru v normálním režimu (vypněte spouštění v režimu DSRM)

Přihlaste se k serveru pod účtem s právy správce domény.

Když jsem poprvé spustil konzolu ADUC, došlo k chybě:

Informace o názvech doménových služeb Active Directory nelze najít z následujícího důvodu: Server není funkční.

Na serveru však nejsou žádné síťové složky SYSVOL a NETLOGON. Chcete-li chybu opravit:

  1. Spustit regedit.exe;
  2. Přejít na větev HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters
  3. Změňte hodnotu parametru SysvolReady z 0 na 1;
  4. Poté restartujte službu NetLogon: net stop netlogon a net start netlogon

Zkuste znovu otevřít konzolu ADUC. Měli byste vidět strukturu vaší domény.

Úspěšně jste tedy v režimu obnovili řadič domény AD Autoritativní obnovení. Nyní budou všechny objekty ve službě Active Directory automaticky replikovány na další řadiče domény.

Pokud vám zbývá jen jeden řadič domény, zkontrolujte, zda je pánem všech 5 rolí FSMO a v případě potřeby je zachyťte.

Obnovení jednotlivých objektů v AD

Pokud potřebujete obnovit jednotlivé objekty v AD, použijte Koš Active Directory. Pokud doba pohřbu již vypršela nebo není aktivní ActiveDirectory RecycleBin, můžete obnovit jednotlivé AD objekty v autoritativním režimu obnovy.

Stručně, postup je následující:

  1. Stáhněte si DC v režimu DSRM;
  2. Seznam dostupných záloh: wbadmin získat verze
  3. Spusťte obnovení vybrané zálohy: wbadmin start systemstaterecovery -version: [your_version]
  4. Potvrdit zotavení DC (v neautoritivním režimu);
  5. Po restartu spusťte: ntdsutil
  6. aktivovat instance ntds
  7. autoritativní obnovení

Zadejte úplnou cestu k obnovovanému objektu. Můžete obnovit celou OU:

obnovit podstrom "OU = Users, DC = winitpro, DC = ru"

Nebo jeden objekt:

obnovit objekt „cn = Test, OU = Users, DC = winitpro, DC = ru“

Tento příkaz zakáže replikaci zadaných objektů (cest) z jiných řadičů domény a zvýší USN objektu o 100 000.

Ukončit ntdsutil: přestaň

Spusťte server v normálním režimu a ověřte, zda byl odstraněný objekt obnoven.