- artikel
- 08/16/2021
- 12 minutter at læse
-
- i
- v
- d
- v
- e
-
+5
gælder for: Vinduer Server 2022, vinduer Server 2019, vinduer Server 2016, vinduer Server 2012 og 2012 R2, vinduer Server 2008 og 2008 R2
Gendannelse af en hel Active Directory-skov involverer enten gendannelse af den fra backup eller geninstallation af Active Directory Domain Services (AD DS) på hver domænecontroller (DC) i skoven. Gendannelse af skoven gendanner hvert domæne i skoven til sin tilstand på tidspunktet for den sidste betroede sikkerhedskopi. Derfor vil gendannelsesoperationen resultere i tab af mindst følgende Active Directory-data:
- alle objekter (såsom brugere og computere), der blev tilføjet efter den sidste pålidelige sikkerhedskopi
- alle opdateringer, der blev foretaget til eksisterende objekter siden den sidste pålidelige sikkerhedskopi
- alle ændringer, der blev foretaget i enten konfigurationspartitionen eller skemapartitionen i AD DS (såsom skemaændringer) siden den sidste pålidelige sikkerhedskopi
for hvert domæne i skoven, er det nødvendigt at adgangskode til en domæneadministratorkonto skal være kendt. Fortrinsvis er dette adgangskoden til den indbyggede administratorkonto. Du skal også kende dsrm-adgangskoden for at udføre en systemtilstand gendannelse af en DC. Generelt er det en god praksis at arkivere administratorkontoen og dsrm-adgangskodehistorikken på et sikkert sted, så længe sikkerhedskopierne er gyldige, det vil sige inden for tombstone-levetidsperioden eller inden for den slettede objektlevetidsperiode, hvis Active Directory-papirkurven er aktiveret. Du kan også synkronisere dsrm-adgangskoden med en domænebrugerkonto for at gøre det lettere at huske. For mere information, se KB artikel 961320. Synkronisering af dsrm-kontoen skal ske inden skovgenoprettelsen som en del af forberedelsen.
Bemærk
administratorkontoen er som standard medlem af den indbyggede administratorgruppe, ligesom grupperne domæneadministratorer og Virksomhedsadministratorer. Denne gruppe har fuld kontrol over alle DCs i domænet.
bestemmelse af, hvilke sikkerhedskopier der skal bruges
sikkerhedskopier mindst to Skrivbare DC ‘ er for hvert domæne regelmæssigt, så du har flere sikkerhedskopier at vælge imellem. Bemærk, at du ikke kan bruge sikkerhedskopien af en skrivebeskyttet domænecontroller (RODC) til at gendanne en skrivbar DC. Vi anbefaler, at du gendanner DCs ved hjælp af sikkerhedskopier, der blev taget et par dage før fejlen opstod. Generelt skal du bestemme en afvejning mellem den seneste og sikkerheden af de gendannede data. At vælge en nyere backup genopretter mere nyttige data, men det kan øge risikoen for at genindføre farlige data i den restaurerede skov.
Gendannelse af sikkerhedskopier af systemtilstand afhænger af det originale operativsystem og serveren til sikkerhedskopien. For eksempel bør du ikke gendanne en systemtilstandsbackup til en anden server. I dette tilfælde kan du muligvis se følgende advarsel:
“den angivne sikkerhedskopi er af en anden server end den nuværende. Vi anbefaler ikke at udføre en system State recovery med sikkerhedskopien til en alternativ server, fordi serveren kan blive ubrugelig. Er du sikker på, at du vil bruge denne sikkerhedskopi til at gendanne den aktuelle server?”
hvis du har brug for at gendanne Active Directory til andet udstyr, skal du oprette fulde serverbackups og planlægge at udføre en fuld servergendannelse.
vigtigt
begyndende med vinduer Server 2008 understøttes det ikke at gendanne system state backup til en ny installation af vinduer Server på nyt udstyr eller det samme udstyr. Hvis du geninstallerer det samme udstyr som anbefalet senere i denne vejledning, kan du gendanne domænecontrolleren i denne rækkefølge:
- udfør en fuld servergendannelse for at gendanne operativsystemet og alle filer og applikationer.
- udfør en systemtilstand gendannelse ved hjælp af hbadmin.for at markere SYSVOL som autoritativ.
For mere information, se Microsoft KB artikel 249694.
hvis tidspunktet for forekomsten af fejlen er ukendt, skal du undersøge yderligere for at identificere sikkerhedskopier, der holder den sidste sikre tilstand i skoven. Denne tilgang er mindre ønskelig. Derfor anbefaler vi kraftigt, at du dagligt opbevarer detaljerede logfiler om AD DS helbredstilstand, så hvis der er en skovdækkende fiasko, kan den omtrentlige tid for fiasko identificeres. Du bør også opbevare en lokal kopi af sikkerhedskopier for at muliggøre hurtigere gendannelse.
hvis papirkurven i Active Directory er aktiveret, er sikkerhedskopiens levetid lig med værdien deletedObjectLifetime eller værdien tombstoneLifetime, alt efter hvad der er mindre. For mere information, se Active Directory Papirkurv trin-for-trin Guide (https://go.microsoft.com/fwlink/?LinkId=178657).
som et alternativ kan du også bruge værktøjet til montering af Active Directory-database (Dsamain.LDAP-værktøj (let Biblioteksadgangsprotokol), f.eks. Ldp.Active Directory-brugere og computere for at identificere, hvilken sikkerhedskopi der har den sidste sikre tilstand i skoven. Active Directory-databasemonteringsværktøjet, som er inkluderet i Server 2008 og senere operativsystemer, udsætter Active Directory-data, der er gemt i sikkerhedskopier eller snapshots som en LDAP-server. Derefter kan du bruge et LDAP-værktøj til at gennemse dataene. Denne tilgang har den fordel, at du ikke kræver, at du genstarter nogen DC i Directory Services Restore Mode (DSRM) for at undersøge indholdet af sikkerhedskopien af AD DS.
du kan finde flere oplysninger om brug af værktøjet til montering af Active Directory-database i trinvis vejledning til montering af Active Directory-Database.
du kan også bruge kommandoen ntdsutil snapshot til at oprette snapshots af Active Directory-databasen. Ved at planlægge en opgave til periodisk at oprette snapshots, kan du få yderligere kopier af Active Directory-databasen over tid. Du kan bruge disse kopier til bedre at identificere, hvornår den skovdækkende fejl opstod, og vælg derefter den bedste sikkerhedskopi, der skal gendannes. Hvis du vil oprette snapshots, skal du bruge den version af ntdsutil, der leveres med server Server 2008 eller Remote Server Administration Tools (RSAT) til Vista eller nyere. Målet DC kan køre enhver version af vinduer Server. Du kan finde flere oplysninger om brug af kommandoen ntdsutil snapshot i Snapshot.
bestemmelse af, hvilke domænecontrollere der skal gendannes
let gendannelsesprocessen er en vigtig faktor, når man beslutter, hvilken domænecontroller der skal gendannes. Det anbefales at have en dedikeret DC for hvert domæne, der er den foretrukne DC for en gendannelse. En dedikeret restore DC gør det lettere at planlægge og udføre skovgenoprettelsen pålideligt, fordi du bruger den samme kildekonfiguration, der blev brugt til at udføre gendannelsestest. Du kan scriptere gendannelsen og ikke kæmpe med forskellige konfigurationer, såsom om DC har operations master roller eller ej, eller om det er en GC-eller DNS-server eller ej.
Bemærk
selvom det ikke anbefales at gendanne en operations master-rolleholder af hensyn til enkelheden, kan nogle organisationer vælge at gendanne en til andre fordele. For eksempel kan gendannelse af RID master hjælpe med at forhindre problemer med at styre RIDs under gendannelsen.
vælg en DC, der bedst opfylder følgende kriterier:
-
en DC, der kan skrives. Dette er obligatorisk.
-
en DC kører vinduer Server 2012 som en virtuel maskine på en hypervisor, der understøtter VM-GenerationID. Denne DC kan bruges som kilde til kloning.
-
en DC, der er tilgængelig, enten fysisk eller på et virtuelt netværk, og helst placeret i et datacenter. På denne måde kan du nemt isolere det fra netværket under skovgenopretning.
-
en DC, der har en god fuld server backup. En god sikkerhedskopi er en sikkerhedskopi, der kan gendannes med succes, blev taget et par dage før fejlen og indeholder så mange nyttige data som muligt.
-
en DC, der var en DNS-server (Domain Name System) før fejlen. Dette sparer den tid, der kræves for at geninstallere DNS.
-
hvis du også bruger installationstjenester, skal du vælge en DC, der ikke er konfigureret til at bruge BitLocker-Netværkslåsning. I dette tilfælde understøttes BitLocker-Netværkslåsning ikke til at blive brugt til den første DC, som du gendanner fra backup under en skovgendannelse.
BitLocker-Netværkslåsning som den eneste nøglebeskytter kan ikke bruges på DC ‘er, hvor du har installeret Microsoft-Udrulningstjenester, fordi dette resulterer i et scenario, hvor den første DC kræver, at Active Directory og SD’ er fungerer for at låse op. Men før du gendanner den første DC, er Active Directory endnu ikke tilgængelig for Active Directory, så den kan ikke låses op.
for at afgøre, om en DC er konfigureret til at bruge BitLocker-Netværkslåsning, skal du kontrollere, at et Netværkslåsningscertifikat er identificeret i følgende registreringsdatabasenøgle:
Hkey_local_maskinermikrosoftsystemcertifikaterfve_nkp
Oprethold sikkerhedsprocedurer, når du håndterer eller gendanner Sikkerhedskopifiler, der inkluderer Active Directory. Det haster, der ledsager skovgenopretning, kan utilsigtet føre til at overse bedste praksis for sikkerhed. For mere information, se afsnittet med titlen” oprettelse af strategier til sikkerhedskopiering og gendannelse af domænecontroller ” i Best Practice Guide til sikring af Active Directory-installationer og den daglige drift: Del II.
Identificer den aktuelle skovstruktur og DC-funktioner
Bestem den aktuelle skovstruktur ved at identificere alle domæner i skoven. Lav en liste over alle DCs i hvert domæne, især DCs, der har sikkerhedskopier, og virtualiserede DCs, som kan være en kilde til kloning. En liste over DC ‘ er til forest root-domænet vil være det vigtigste, fordi du først gendanner dette domæne. Når du har gendannet forest root-domænet, kan du få en liste over de andre domæner, DC ‘ er og lokaliteterne i skoven ved hjælp af Active Directory snap-ins.
Forbered en tabel, der viser funktionerne for hver DC i domænet, som vist i det følgende eksempel. Dette hjælper dig med at vende tilbage til skovens konfiguration før fiasko efter genopretning.
DC navn | operativsystem | FSMO | GC | RODC | Backup | DNS | Server Core | VM | VM-GenID | ||
---|---|---|---|---|---|---|---|---|---|---|---|
DC_1 | vinduer Server 2012 | Schema master, Domain naming master | Ja | Ja | Ja | Nej | Nej | Ja | ja | ||
DC_2 | vinduer Server 2012 | ingen | Ja | Nej | Ja | Ja | Nej | Ja | Ja | ||
DC_3 | vinduer Server 2012 | Infrastrukturmester | Nej | Nej | Nej | Ja | Ja | Ja | Ja | Ja | Ja |
DC_4 | vinduer Server 2012 | PDC emulator, RID Master | Ja | Nej | Nej | Nej | Nej | Ja | nej | ||
DC_5 | vinduer Server 2012 | ingen | Nej | Nej | Ja | Ja | Ja | Nej | Ja | Ja | |
RODC_1 | vinduer Server 2008 R2 | ingen | Ja | Ja | Ja | Ja | Ja | Ja | Nej | ||
RODC_2 | vinduer Server 2008 | ingen | Ja | Nej | Ja | Ja | Ja | Nej |
for hvert domæne i skoven skal du identificere en enkelt skrivbar DC, der har en pålidelig sikkerhedskopi af Active Directory-databasen for det domæne. Vær forsigtig, når du vælger en sikkerhedskopi for at gendanne en DC. Hvis dagen og årsagen til fejlen er omtrent kendt, er den generelle anbefaling at bruge en sikkerhedskopi, der blev foretaget et par dage før denne dato.
i dette eksempel er der fire backupkandidater: DC_1, DC_2, DC_4 og DC_5. Af disse backupkandidater gendanner du kun en. Den anbefalede DC er DC_5 af følgende grunde:
- det opfylder kravene til at bruge det som en kilde til virtualiseret DC-kloning, det vil sige, det kører vinduer Server 2012 som en virtuel DC på en hypervisor, der understøtter VM-GenerationID, kører programmer, der må klones (eller som kan fjernes, hvis det ikke kan klones). Efter gendannelsen beslaglægges PDC-emulatorrollen til den server, og den kan føjes til gruppen Kloneable Domain Controllers for domænet.
- det kører en fuld installation af vinduer Server 2012. En DC, der kører en Serverkerneinstallation, kan være mindre praktisk som et mål for gendannelse.
- det er en DNS-server. Derfor behøver DNS ikke geninstalleres.
Bemærk
da DC_5 ikke er en global katalogserver, har den også en fordel, at det globale katalog ikke behøver at blive fjernet efter gendannelsen. Men hvorvidt DC er også en global katalog server er ikke en afgørende faktor, fordi der begynder med vinduer Server 2012, alle DC ‘ er er globale katalog servere som standard, og fjerne og tilføje den globale katalog efter gendannelsen anbefales som en del af skoven opsving proces i alle tilfælde.
Gendan skoven isoleret
det foretrukne scenario er at lukke alle Skrivbare DC ‘ er, før den første gendannede DC bringes tilbage i produktion. Dette sikrer, at farlige data ikke replikeres tilbage i den genvundne skov. Det er især vigtigt at lukke alle operations master Roll indehavere.
Bemærk
der kan være tilfælde, hvor du flytter den første DC, som du planlægger at gendanne for hvert domæne, til et isoleret netværk, samtidig med at andre DC ‘ er kan forblive online for at minimere systemets nedetid. Hvis du f.eks. er ved at komme dig efter en mislykket skemaopgradering, kan du vælge at holde domænecontrollere kørende på produktionsnetværket, mens du udfører gendannelsestrin isoleret.
hvis du kører virtualiserede DCs, kan du flytte dem til et virtuelt netværk, der er isoleret fra produktionsnetværket, hvor du vil udføre gendannelse. Flytning af virtualiserede DCs til et separat netværk giver to fordele:
- gendannede DC ‘ er forhindres i at gentage det problem, der forårsagede skovgenopretningen, fordi de er isoleret.
- virtualiseret DC-kloning kan udføres på det separate netværk, så et kritisk antal DC ‘ er kan køre og testes, før de bringes tilbage til produktionsnetværket.
hvis du kører DCs på fysisk udstyr, skal du afbryde netværkskablet til den første DC, som du planlægger at gendanne i forest root-domænet. Hvis det er muligt, skal du også afbryde netværkskablerne til alle andre DC ‘ er. Dette forhindrer DCs i at replikere, hvis de ved et uheld startes under skovgenvindingsprocessen.
i en stor skov, der er spredt over flere steder, kan det være svært at garantere, at alle Skrivbare DC ‘ er lukkes ned. Af denne grund er gendannelsestrinnene—såsom nulstilling af computerkontoen og krbtgt—kontoen ud over metadataoprydning-designet til at sikre, at de gendannede skrivbare DC ‘er ikke replikeres med farlige Skrivbare DC’ er (hvis nogle stadig er online i skoven).
men kun ved at tage skrivbare DCs offline kan du garantere, at replikation ikke forekommer. Derfor bør du, når det er muligt, implementere fjernstyringsteknologi, der kan hjælpe dig med at lukke ned og fysisk isolere de skrivbare DC ‘ er under skovgenopretning.
RODC ‘er kan fortsætte med at fungere, mens DC’ er, der kan skrives, er offline. Ingen anden DC vil direkte replikere ændringer fra nogen RODC—især, ingen skema eller Konfigurationsbeholderændringer—så de ikke udgør den samme risiko som skrivbare DC ‘ er under gendannelse. Når alle de skrivbare DC ‘er er gendannet og online, skal du genopbygge alle RODC’ er.
RODC ‘ er vil fortsat give adgang til lokale ressourcer, der cachelagres på deres respektive steder, mens gendannelsesoperationerne foregår parallelt. Lokale ressourcer, der ikke er cachelagret på RODC, vil have godkendelsesanmodninger videresendt til en skrivbar DC. Disse anmodninger mislykkes, fordi skrivbare DC ‘ er er offline. Nogle handlinger såsom adgangskodeændringer fungerer heller ikke, før du gendanner Skrivbare DC ‘ er.
hvis du bruger en hub-and-spoke netværksarkitektur, kan du først koncentrere dig om at gendanne de skrivbare DC ‘ er på hubstederne. Senere kan du genopbygge RODC ‘ erne på fjerntliggende steder.
- ad Skovgenopretning – forudsætninger
- ad Skovgenopretning – udformning af en brugerdefineret skovgenopretningsplan
- ad Skovgenopretning – Identificer problemet
- ad Skovgenopretning – Bestem, hvordan du gendanner
- ad Skovgenopretning – Udfør indledende opsving
- AD Skovgenopretning – procedurer
- ad forest recovery – ofte stillede spørgsmål
- ad forest recovery – gendannelse af et enkelt domæne inden for en Multidomæne Skov
- ad forest recovery – forest recovery med vinduer Server 2003 domænecontrollere