- článek
- 08/16/2021
- 12 zápis ke čtení
-
-
i -
v -
d -
v -
e -
+5
-
platí pro: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 a 2012 R2, Windows Server 2008 a 2008 R2
obnovení celého lesa služby Active Directory zahrnuje jeho obnovení ze zálohy nebo přeinstalaci služby domény Active Directory (AD DS) na každém řadiči domény (DC) v lese. Obnova lesa obnoví každou doménu v lese do stavu v době poslední důvěryhodné zálohy. V důsledku toho bude mít operace obnovení za následek ztrátu alespoň následujících dat služby Active Directory:
- všechny objekty (jako jsou uživatelé a počítače), které byly přidány po poslední důvěryhodné záloze
- všechny aktualizace, které byly provedeny na existujících objektech od poslední důvěryhodné zálohy
- všechny změny, které byly provedeny v konfiguračním oddílu nebo v oddílu schématu v AD DS (například změny schématu) od poslední důvěryhodné zálohy
pro každou doménu v lese musí být známo heslo účtu správce domény. Výhodně se jedná o heslo vestavěného účtu správce. Musíte také znát heslo DSRM k provedení obnovení stavu systému DC. Obecně platí, že je dobré archivovat účet správce a historii hesel DSRM na bezpečném místě po dobu platnosti záloh, tj. Můžete také synchronizovat heslo DSRM s uživatelským účtem domény, aby bylo snazší zapamatovat si. Další informace naleznete v článku 961320 KB. Synchronizace účtu DSRM musí být provedena před obnovením lesa v rámci přípravy.
Poznámka
účet správce je ve výchozím nastavení členem vestavěné skupiny správců, stejně jako skupiny správců domén a podnikových správců. Tato skupina má plnou kontrolu nad všemi DC v doméně.
určení, které zálohy použít
zálohovat alespoň dva zapisovatelné DC pro každou doménu pravidelně, takže máte několik záloh z čeho vybírat. Všimněte si, že k obnovení zapisovatelného DC nelze použít zálohu řadiče domény pouze pro čtení (RODC). Doporučujeme obnovit DCs pomocí záloh, které byly pořízeny několik dní před výskytem selhání. Obecně musíte určit kompromis mezi nedávností a bezpečností obnovených dat. Výběr novější zálohy obnoví užitečnější data, ale mohlo by to zvýšit riziko opětovného zavedení nebezpečných dat do obnoveného lesa.
obnovení záloh stavu systému závisí na původním operačním systému a serveru zálohy. Například byste neměli obnovit zálohu stavu systému na jiný server. V tomto případě se může zobrazit následující varování:
“ zadaná záloha je jiného serveru než aktuální. Nedoporučujeme provádět obnovení stavu systému se zálohou na alternativní server, protože server by se mohl stát nepoužitelným. Opravdu chcete použít tuto zálohu pro obnovení aktuálního serveru?“
pokud potřebujete obnovit službu Active Directory na jiný hardware, vytvořte úplné zálohy serveru a plánujte provést úplnou obnovu serveru.
důležité
počínaje systémem Windows Server 2008 není podporováno obnovení zálohy stavu systému na novou instalaci systému Windows Server na nový hardware nebo stejný hardware. Pokud je systém Windows Server přeinstalován na stejném hardwaru, jak je doporučeno později v této příručce, můžete obnovit řadič domény v tomto pořadí:
- Chcete-li obnovit operační systém a všechny soubory a aplikace, proveďte úplné obnovení serveru.
- proveďte obnovení stavu systému pomocí wbadmin.exe za účelem označení SYSVOL jako autoritativní.
další informace naleznete v článku 249694 Microsoft KB.
není-li čas výskytu poruchy znám, prozkoumejte dále a identifikujte zálohy, které drží poslední bezpečný stav lesa. Tento přístup je méně žádoucí. Proto důrazně doporučujeme, abyste si každý den vedli podrobné záznamy o zdravotním stavu AD DS, aby bylo možné v případě selhání v celém lese určit přibližnou dobu selhání. Měli byste si také ponechat místní kopii záloh, abyste mohli rychleji obnovit.
je-li aktivován koš Active Directory, životnost zálohování se rovná hodnotě deletedObjectLifetime nebo hodnotě tombstoneLifetime, podle toho, která hodnota je menší. Pro více informací, viz Active Directory koš krok za krokem průvodce (https://go.microsoft.com/fwlink/?LinkId=178657).
jako alternativu můžete také použít nástroj pro montáž databáze Active Directory (Dsamain.exe) a nástroj Lightweight Directory Access Protocol (LDAP), jako je Ldp.exe nebo uživatelé a počítače služby Active Directory, aby zjistili, která záloha má poslední bezpečný stav lesa. Nástroj pro montáž databáze Active Directory, který je součástí operačních systémů Windows Server 2008 a novějších operačních systémů Windows Server, odhaluje data služby Active Directory uložená v zálohách nebo snímcích jako server LDAP. Poté můžete k procházení dat použít nástroj LDAP. Tento přístup má tu výhodu, že nevyžaduje restartování žádného DC V režimu obnovení adresářových služeb (DSRM), abyste prozkoumali obsah zálohy AD DS.
další informace o použití nástroje pro montáž databáze služby Active Directory naleznete v podrobném průvodci nástrojem pro montáž databáze služby Active Directory.
můžete také použít příkaz ntdsutil snapshot k vytvoření snímků databáze služby Active Directory. Naplánováním úlohy k pravidelnému vytváření snímků můžete v průběhu času získat další kopie databáze Active Directory. Tyto kopie můžete použít k lepší identifikaci, kdy došlo k selhání celého lesa, a poté vybrat nejlepší zálohu, kterou chcete obnovit. Chcete-li vytvořit snímky, použijte verzi ntdsutil, která je dodávána s Windows Server 2008 nebo Remote server Administration Tools (RSAT) pro Windows Vista nebo novější. Cílový DC může spustit libovolnou verzi systému Windows Server. Další informace o použití příkazu ntdsutil snapshot naleznete v části Snapshot.
určení, které řadiče domény Obnovit
snadnost procesu obnovení je důležitým faktorem při rozhodování, který řadič domény Obnovit. Doporučuje se mít vyhrazený DC pro každou doménu, která je přednostní DC pro obnovení. Vyhrazené obnovení DC usnadňuje spolehlivé plánování a provádění obnovy lesa, protože používáte stejnou konfiguraci zdroje, která byla použita k provádění testů obnovení. Obnovení můžete skriptovat a nepočítat s různými konfiguracemi,například zda DC drží hlavní role operací nebo ne, nebo zda se jedná o server GC nebo DNS nebo ne.
Poznámka
i když se nedoporučuje Obnovit držitele hlavní role operace v zájmu jednoduchosti, některé organizace se mohou rozhodnout Obnovit jednu z dalších výhod. Například obnovení rid master může pomoci zabránit problémům se správou rid během obnovy.
vyberte DC, který nejlépe splňuje následující kritéria:
-
DC, který je zapisovatelný. To je povinné.
-
DC se systémem Windows Server 2012 jako virtuální stroj na hypervisor, který podporuje VM-GenerationID. Tento DC lze použít jako zdroj pro klonování.
-
DC, který je přístupný, fyzicky nebo ve virtuální síti, a přednostně umístěn v datovém centru. Tímto způsobem jej můžete snadno izolovat od sítě během obnovy lesa.
-
DC, který má dobrou plnou zálohu serveru. Dobrá záloha je záloha, kterou lze úspěšně obnovit, byla pořízena několik dní před selháním a obsahuje co nejvíce užitečných dat.
-
DC, který byl před selháním serverem DNS (Domain Name System). Tím se ušetří čas potřebný k přeinstalaci DNS.
-
pokud také používáte služby nasazení systému Windows, vyberte DC, které není nakonfigurováno pro použití odemknutí sítě BitLocker. V tomto případě není BitLocker Network Unlock podporován, aby byl použit pro první DC, který obnovíte ze zálohy během obnovy lesa.
BitLocker Network Unlock jako jediný chránič klíčů nelze použít na DCs, kde jste nasadili služby Windows Deployment Services (WDS), protože to má za následek scénář, kdy první DC vyžaduje, aby služba Active Directory a WDS fungovaly, aby se odemkly. Ale než obnovíte první DC, Active Directory ještě není k dispozici pro WDS, takže se nemůže odemknout.
Chcete-li zjistit, zda je DC nakonfigurován pro použití BitLocker Network Unlock, zkontrolujte, zda je certifikát pro odemknutí sítě identifikován v následujícím klíči registru:
HKEY_LOCAL_MACHINESoftwarePoliciesmicrosoftsystemcertificatesfve_nkp
při manipulaci nebo obnově záložních souborů, které obsahují službu Active Directory, udržujte bezpečnostní postupy. Naléhavost, která doprovází obnovu lesů, může neúmyslně vést k přehlédnutí osvědčených bezpečnostních postupů. Další informace naleznete v části „stanovení strategií zálohování a obnovy řadiče domény“ v příručce osvědčených postupů pro zabezpečení instalací služby Active Directory a každodenních operací: Část II.
Identifikujte aktuální strukturu lesa a funkce DC
Určete aktuální strukturu lesa identifikací všech domén v lese. Vytvořte seznam všech DC v každé doméně, zejména DC, které mají zálohy, a virtualizované DC, které mohou být zdrojem klonování. Seznam DCs pro kořenovou doménu lesa bude nejdůležitější, protože tuto doménu nejprve obnovíte. Po obnovení kořenové domény lesa můžete získat seznam dalších domén, DCs a webů v lese pomocí modulu snap-ins služby Active Directory.
připravte tabulku, která zobrazuje funkce každého DC v doméně, jak je ukázáno v následujícím příkladu. To vám pomůže vrátit se zpět do konfigurace před selháním lesa po obnovení.
| DC name | operační systém | FSMO | GC | RODC | zálohování | DNS | jádro serveru | VM | VM-GenID | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | Schema master, domain naming master | Ano | ne | Ano | ne | ne | ne | ne | ne | ne | Ano | Ano | ||
| DC_2 | Windows Server 2012 | Žádný | Ano | ne | Ano | Ano | Ano | Ano | Ano | Ano | |||||
| DC_3 | Windows Server 2012 | Infrastructure Master | ne | ne | ne | Ano | Ano | Ano | |||||||
| DC_4 | Windows Server 2012 | PDC emulator, RID Master | Ano | ne | ne | ne | ne | ne | ne | ne | ne | ne | ne | Ano | ne |
| DC_5 | Windows Server 2012 | žádné | ne | ne | Ano | Ano | ne | Ano | Ano | ||||||
| RODC_1 | Windows Server 2008 R2 | Žádný | Ano | Ano | Ano | Ano | Ano | Ano | Ano | Ano | Ano | ||||
| RODC_2 | Windows Server 2008 | žádné | Ano | Ano | ne | Ano | Ano | Ano |
pro každou doménu v lese identifikujte jeden zapisovatelný DC, který má důvěryhodnou zálohu databáze Active Directory pro tuto doménu. Při výběru zálohy pro obnovení DC buďte opatrní. Pokud je den a příčina selhání přibližně známa, obecným doporučením je použít zálohu, která byla vytvořena několik dní před tímto datem.
v tomto příkladu jsou čtyři záložní kandidáti: DC_1, DC_2, DC_4 a DC_5. Z těchto záložních kandidátů obnovíte pouze jednoho. Doporučená hodnota DC je DC_5 z následujících důvodů:
- splňuje požadavky na jeho použití jako zdroje pro virtualizované klonování DC, to znamená, že spouští Windows Server 2012 jako virtuální DC na hypervizoru, který podporuje VM-GenerationID, spouští software, který může být klonován(nebo který může být odstraněn, pokud není možné klonovat). Po obnovení bude role emulátoru PDC zachycena na tomto serveru a může být přidána do skupiny Klonovatelných řadičů domény pro doménu.
- spustí úplnou instalaci systému Windows Server 2012. DC, který spouští instalaci jádra serveru, může být méně vhodný jako cíl pro obnovu.
- je to DNS server. DNS proto nemusí být přeinstalován.
Poznámka
protože DC_5 není globální katalogový server, má také výhodu v tom, že globální katalog nemusí být po obnovení odstraněn. Ale to, zda je DC také globálním katalogovým serverem, není rozhodujícím faktorem, protože počínaje Windows Server 2012 jsou všechny DC ve výchozím nastavení globálními katalogovými servery a odebrání a přidání globálního katalogu po obnovení se doporučuje jako součást procesu obnovy lesa v každém případě.
obnovte les izolovaně
preferovaným scénářem je vypnutí všech zapisovatelných DC před tím, než se první obnovený DC vrátí zpět do výroby. Tím je zajištěno, že se všechna nebezpečná data nebudou replikovat zpět do obnoveného lesa. Je obzvláště důležité vypnout všechny operace držitelů hlavních rolí.
Poznámka
mohou nastat případy, kdy přesunete první DC, které chcete obnovit pro každou doménu, do izolované sítě a zároveň umožníte ostatním DC zůstat online, aby se minimalizovaly prostoje systému. Pokud se například zotavujete z neúspěšného upgradu schématu, můžete se rozhodnout ponechat řadiče domény spuštěné v produkční síti, zatímco budete provádět kroky obnovy izolovaně.
pokud používáte virtualizované DC, můžete je přesunout do virtuální sítě, která je izolována od produkční sítě, kde budete provádět obnovu. Přesun virtualizovaných DC do samostatné sítě poskytuje dvě výhody:
- obnovené Dc je zabráněno opětovnému výskytu problému, který způsobil obnovu lesa, protože jsou izolovány.
- virtualizované DC klonování může být provedeno na samostatné síti, takže kritický počet DC může být spuštěn a testován před tím, než jsou přivedeny zpět do výrobní sítě.
pokud používáte DC na fyzickém hardwaru, odpojte síťový kabel prvního DC, který chcete obnovit v kořenové doméně lesa. Pokud je to možné, odpojte také síťové kabely všech ostatních DC. Tím se zabrání replikaci DCs, pokud jsou náhodně spuštěny během procesu obnovy lesa.
ve velkém lese, který je rozložen na více místech, může být obtížné zaručit, že všechny zapisovatelné DC budou vypnuty. Z tohoto důvodu jsou kroky obnovy – například resetování účtu počítače a účtu krbtgt, kromě vyčištění metadat-navrženy tak—aby zajistily, že obnovené zapisovatelné Dc se nebudou replikovat s nebezpečnými zapisovatelnými DC (V případě, že některé jsou stále online v lese).
avšak pouze tím, že zapisovatelné DCs offline můžete zaručit, že replikace nenastane. Proto, kdykoli je to možné, měli byste nasadit technologii vzdálené správy, která vám pomůže vypnout a fyzicky izolovat zapisovatelné DC během obnovy lesa.
RODC mohou nadále pracovat, zatímco zapisovatelné DC jsou offline. Žádný jiný DC nebude přímo replikovat žádné změny z jakéhokoli RODC-zejména žádné změny schématu nebo konfiguračního kontejneru-takže během obnovy nepředstavují stejné riziko jako zapisovatelné DC. Poté, co jsou všechny zapisovatelné DC obnoveny a online, měli byste znovu vytvořit všechny RODCs.
RODCs bude i nadále umožňovat přístup k místním zdrojům, které jsou ukládány do mezipaměti na příslušných webech, zatímco operace obnovy probíhají paralelně. Místní zdroje, které nejsou ukládány do mezipaměti na RODC, budou mít požadavky na ověření předány zapisovatelnému DC. Tyto požadavky se nezdaří, protože zapisovatelné DC jsou offline. Některé operace, jako jsou změny hesla, také nebudou fungovat, dokud neobnovíte zapisovatelné DCs.
pokud používáte síťovou architekturu hub-and-spoke, můžete se nejprve soustředit na obnovení zapisovatelných DC V webech hub. Později můžete rodcs znovu sestavit na vzdálených webech.
- AD Forest Recovery – předpoklady
- ad Forest Recovery – navrhování vlastního plánu obnovy lesa
- ad Forest Recovery – Identifikujte problém
- AD Forest Recovery – Určete, jak obnovit
- AD Forest Recovery – proveďte počáteční obnovu
- ad Forest Recovery – postupy
- ad Forest Recovery – Často kladené otázky
- ad Forest Recovery – Obnovení jedné domény v rámci multidomain lesa
- ad Forest Recovery – obnova lesa s řadiči domény Windows Server 2003