az erdő helyreállításának meghatározása

vonatkozik: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 és 2012 R2, Windows Server 2008 és 2008 R2

A teljes Active Directory-erdő helyreállítása magában foglalja annak biztonsági mentésből történő visszaállítását vagy az Active Directory tartományi szolgáltatások (AD DS) újratelepítését az erdő minden tartományvezérlőjére. Az erdő helyreállítása visszaállítja az erdő minden tartományát az utolsó megbízható biztonsági mentés idején. Következésképpen a visszaállítási művelet legalább a következő Active Directory-adatok elvesztését eredményezi:

• az utolsó megbízható biztonsági mentés után hozzáadott összes objektum (például felhasználók és számítógépek)
• az utolsó megbízható biztonsági mentés óta a meglévő objektumokon végrehajtott összes frissítés
• az AD DS konfigurációs partícióján vagy sémapartícióján végrehajtott összes módosítás (például sémamódosítás) az utolsó megbízható biztonsági mentés óta

az erdő minden tartományában a konfigurációs partíción vagy a sémapartíción végrehajtott összes módosítás (például sémamódosítás) a domain adminisztrátori fiókjának jelszavát ismerni kell. Előnyösen ez a beépített rendszergazdai fiók jelszava. A DC rendszer állapotának visszaállításához ismernie kell a DSRM jelszót is. Általában jó gyakorlat az Adminisztrátori fiók és a DSRM jelszó előzményeinek biztonságos helyen történő archiválása mindaddig, amíg a biztonsági mentések érvényesek, azaz a tombstone élettartamán belül vagy a törölt objektum élettartamán belül, ha az Active Directory Lomtár engedélyezve van. A DSRM jelszót szinkronizálhatja egy tartományi felhasználói fiókkal is, hogy könnyebben megjegyezhető legyen. További információ a KB 961320. cikkében található. A DSRM-fiók szinkronizálását az erdő helyreállítása előtt, az előkészítés részeként kell elvégezni.

a használni kívánt biztonsági mentések meghatározása

rendszeresen készítsen biztonsági másolatot legalább két írható DCs-ről minden domainhez, így több biztonsági másolat közül választhat. Ne feledje, hogy nem használhatja a csak olvasható tartományvezérlő (RODC) biztonsági mentését írható DC visszaállításához. Javasoljuk, hogy a hiba bekövetkezése előtt néhány nappal készített biztonsági mentésekkel állítsa vissza a DCs-t. Általában meg kell határoznia a kompromisszumot a visszaállított adatok frissessége és biztonsága között. Egy újabb biztonsági mentés kiválasztása hasznosabb adatokat állít vissza, de növelheti a veszélyes adatok visszaállításának kockázatát a visszaállított erdőbe.

A rendszerállapot-biztonsági mentések visszaállítása a biztonsági mentés eredeti operációs rendszerétől és szerverétől függ. Például nem szabad visszaállítani a rendszerállapot biztonsági mentését egy másik kiszolgálóra. Ebben az esetben a következő figyelmeztetés jelenhet meg:

“a megadott biztonsági mentés a jelenlegitől eltérő szerverről készült. Nem javasoljuk a rendszerállapot helyreállítását a biztonsági mentéssel egy másik kiszolgálóra, mert a kiszolgáló használhatatlanná válhat. Biztos benne, hogy ezt a biztonsági másolatot szeretné használni az aktuális szerver helyreállításához?”

ha vissza kell állítania az Active Directory-t különböző hardverekre, készítsen teljes biztonsági mentést a kiszolgálóról, és tervezze meg a kiszolgáló teljes helyreállítását.

ha a hiba előfordulásának ideje nem ismert, vizsgálja meg tovább az erdő utolsó biztonságos állapotát tároló biztonsági mentések azonosítását. Ez a megközelítés kevésbé kívánatos. Ezért nyomatékosan javasoljuk, hogy napi rendszerességgel vezessen részletes naplókat az AD DS egészségi állapotáról, hogy az egész erdőre kiterjedő meghibásodás esetén a meghibásodás hozzávetőleges ideje azonosítható legyen. A gyorsabb helyreállítás érdekében a biztonsági másolatok helyi példányát is meg kell őriznie.

ha az Active Directory Lomtár engedélyezve van, a biztonsági mentés élettartama megegyezik a deletedobjectlifetime vagy a tombstoneLifetime értékkel, amelyik kisebb. További információ: Active Directory Lomtár lépésről lépésre (https://go.microsoft.com/fwlink/?LinkId=178657).

alternatívaként használhatja az Active Directory adatbázis-rögzítő eszközt (Dsamain.exe) és egy Lightweight Directory Access Protocol (LDAP) eszköz, mint például az Ldp.exe vagy Active Directory felhasználók és számítógépek, hogy melyik biztonsági mentés rendelkezik az erdő utolsó biztonságos állapotával. Az Active Directory adatbázis-rögzítő eszköz, amely a Windows Server 2008 és újabb Windows Server operációs rendszerekben található, az Active Directory biztonsági mentésekben vagy pillanatképekben LDAP-kiszolgálóként tárolt adatait tárolja fel. Ezután LDAP eszközzel böngészhet az adatok között. Ennek a megközelítésnek az az előnye, hogy nem követeli meg a DC újraindítását a Címtárszolgáltatások visszaállítási módjában (DSRM) az AD DS biztonsági másolatának tartalmának vizsgálatához.

az Active Directory adatbázis-rögzítő eszköz használatáról további információt az Active Directory adatbázis-rögzítő eszköz lépésről lépésre című útmutatójában talál.

az Ntdsutil snapshot paranccsal pillanatfelvételeket is készíthet az Active Directory adatbázisból. Ha ütemez egy feladatot pillanatképek rendszeres létrehozására, idővel további példányokat szerezhet be az Active Directory-adatbázisból. Ezekkel a másolatokkal jobban beazonosíthatja, mikor történt az egész erdőre kiterjedő hiba, majd kiválaszthatja a legjobb biztonsági másolatot a visszaállításhoz. Pillanatképek készítéséhez használja az ntdsutil Windows Server 2008 vagy a Remote Server Administration Tools (rsat) Windows Vista vagy újabb verziójú verzióját. A cél DC A Windows Server bármely verzióját futtathatja. Az ntdsutil pillanatkép paranccsal kapcsolatos további információkért lásd: Pillanatkép.

a visszaállítandó tartományvezérlők meghatározása

A visszaállítási folyamat egyszerűsége fontos tényező a visszaállítandó tartományvezérlők meghatározásakor. Javasoljuk, hogy egy dedikált DC minden tartományban, amely az előnyben részesített DC egy visszaállítási. A dedikált visszaállítási DC megkönnyíti az erdő helyreállításának megbízható megtervezését és végrehajtását, mivel ugyanazt a forráskonfigurációt használja, mint amelyet a visszaállítási tesztek elvégzéséhez használtak. A helyreállítást szkriptelheti, és nem küzdhet különböző konfigurációkkal, például azzal, hogy a DC rendelkezik-e műveleti fő szerepkörökkel vagy sem, vagy hogy GC vagy DNS-kiszolgáló-e vagy sem.

válasszon egy DC-t, amely a legjobban megfelel az alábbi kritériumoknak:

• egy DC, ami írható. Ez kötelező.

• A DC fut a Windows Server 2012, mint egy virtuális gép egy hypervisor, amely támogatja a VM-GenerationID. Ez a DC lehet használni, mint egy forrás klónozás.

• olyan DC, amely fizikailag vagy virtuális hálózaton elérhető, és lehetőleg egy adatközpontban található. Így az erdő helyreállítása során könnyen elkülönítheti a hálózattól.

• egy DC, amely jó teljes szerver biztonsági mentéssel rendelkezik. A jó biztonsági mentés olyan biztonsági mentés, amely sikeresen visszaállítható, néhány nappal a hiba előtt készült, és a lehető legtöbb hasznos adatot tartalmazza.

• A DC, hogy volt egy Domain Name System (DNS) szerver a hiba előtt. Ez megtakarítja a DNS újratelepítéséhez szükséges időt.

• Ha Windows telepítési szolgáltatásokat is használ, válasszon olyan DC-t, amely nincs beállítva a BitLocker hálózati feloldás használatára. Ebben az esetben a BitLocker Network Unlock nem használható az erdő helyreállítása során a biztonsági mentésből visszaállított első DC-hez.

  a BitLocker Network Unlock mint egyetlen kulcsvédő nem használható olyan DCs-en, ahol telepítette a Windows Deployment Services (WDS) szolgáltatást, mert ez azt eredményezi, hogy az első DC feloldásához az Active Directorynak és a WDS-nek működnie kell a feloldáshoz. De mielőtt visszaállítaná az első DC-t, az Active Directory még nem érhető el a WDS számára, így nem tudja feloldani.

  annak megállapításához, hogy egy DC konfigurálva van-e a BitLocker hálózati feloldás használatára, ellenőrizze, hogy van-e hálózati feloldási tanúsítvány a következő beállításkulcsban:

  Hkey_local_machinesoftwarepoliciesmicrosoftsystembizonyítványokfve_nkp

biztonsági eljárások fenntartása az Active Directory-t tartalmazó biztonsági mentési fájlok kezelésekor vagy visszaállításakor. Az erdő-helyreállítást kísérő sürgősség akaratlanul is a biztonsági bevált gyakorlatok figyelmen kívül hagyásához vezethet. További információért lásd a “tartományvezérlő biztonsági mentési és visszaállítási stratégiáinak létrehozása” című részt az Active Directory-telepítések és a napi műveletek biztosításának legjobb gyakorlati útmutatójában: II.rész.

az aktuális erdőszerkezet és DC függvények azonosítása

határozza meg az aktuális erdőszerkezetet az erdő összes tartományának azonosításával. Készítsen listát az egyes tartományok összes DCs-jéről, különösen azokról a DCs-kről, amelyek biztonsági mentéssel rendelkeznek, valamint a virtualizált DCs-ről, amelyek a klónozás forrása lehetnek. Az erdő gyökértartományának DCs-listája lesz a legfontosabb, mert először ezt a domaint állítja helyre. Az erdő gyökértartományának visszaállítása után az Active Directory beépülő modulokkal megszerezheti az erdő többi tartományának, DCs-jének és webhelyeinek listáját.

készítsen egy táblázatot, amely bemutatja a tartomány egyes DC-jeinek funkcióit, amint az a következő példában látható. Ez segít visszatérni az erdő meghibásodás előtti konfigurációjához a helyreállítás után.

az erdő minden tartományához azonosítson egyetlen írható DC-t, amely megbízható biztonsági másolatot tartalmaz az adott tartomány Active Directory-adatbázisáról. Legyen óvatos, ha biztonsági másolatot választ a DC visszaállításához. Ha a hiba napja és oka megközelítőleg ismert, az általános ajánlás az, hogy néhány nappal az adott dátum előtt készített biztonsági másolatot használjon.

ebben a példában négy tartalék jelölt van: DC_1, DC_2, DC_4 és DC_5. Ezek közül a tartalék jelöltek közül csak egyet állít vissza. Az ajánlott DC dc_5 a következő okok miatt:

• megfelel a virtualizált DC klónozás forrásaként való használatának követelményeinek, vagyis a Windows Server 2012-t virtuális DC-ként futtatja egy olyan hipervizoron, amely támogatja a VM-GenerationID-t, olyan szoftvert futtat, amely klónozható (vagy eltávolítható, ha nem képes klónozni). A visszaállítás után a PDC emulátor szerep lekötésre kerül a kiszolgálóra, és hozzáadható a tartomány klónozható tartományvezérlői csoportjához.
• a Windows Server 2012 teljes telepítését futtatja. A Kiszolgálómag-telepítést futtató DC kevésbé kényelmes lehet a helyreállítás célpontjaként.
• ez egy DNS-kiszolgáló. Ezért a DNS-t nem kell újratelepíteni.

az erdő helyreállítása elszigetelten

az előnyben részesített forgatókönyv az összes írható DC leállítása, mielőtt az első helyreállított DC-t visszahozzák a termelésbe. Ez biztosítja, hogy a veszélyes adatok ne replikálódjanak vissza a visszanyert erdőbe. Különösen fontos az összes műveleti fő szerepkörtulajdonos leállítása.

ha virtualizált DCs-t futtat, áthelyezheti azokat egy virtuális hálózatra, amely el van választva attól a termelési hálózattól, ahol a helyreállítást végrehajtja. A virtualizált DC-k külön hálózatra történő áthelyezése két előnnyel jár:

• a helyreállított DC-k megakadályozzák az erdő helyreállítását okozó probléma újbóli megjelenését, mert elszigeteltek.
• virtualizált DC klónozás végezhető el a külön hálózaton, így kritikus számú DC futtatható és tesztelhető, mielőtt visszahoznák őket a termelési hálózatba.

ha fizikai hardveren futtatja a DCs-t, húzza ki az erdő gyökértartományában visszaállítani kívánt első DC hálózati kábelét. Ha lehetséges, húzza ki az összes többi DC hálózati kábelét is. Ez megakadályozza a DC-k replikálódását, ha véletlenül elindulnak az erdő helyreállítási folyamata során.

egy nagy erdőben, amely több helyen terjed, nehéz lehet garantálni, hogy minden írható DC leáll. Ezért a helyreállítási lépések—például a számítógépes fiók és a KRBTGT fiók visszaállítása a metaadatok tisztítása mellett-úgy vannak kialakítva, hogy biztosítsák, hogy a helyreállított írható DC-k ne replikálódjanak veszélyes írható DC-kkel (abban az esetben, ha egyesek még mindig online vannak az erdőben).

azonban csak az írható DCs offline használatával garantálhatja, hogy a replikáció nem történik meg. Ezért, amikor csak lehetséges, telepítenie kell a távoli felügyeleti technológiát, amely segíthet az írható DCs leállításában és fizikai elkülönítésében az erdő helyreállítása során.

A RODC-k továbbra is működhetnek, amíg az írható DC-k offline állapotban vannak. Egyetlen más DC sem fogja közvetlenül megismételni a RODC változásait-különösen, nincs séma vagy konfigurációs tároló módosítása—, így nem jelentenek ugyanolyan kockázatot, mint az írható DC-k a helyreállítás során. Miután az összes írható DCs helyreállt és online, újra kell építenie az összes RODC-t.

A RODC-k továbbra is lehetővé teszik a hozzáférést a saját webhelyükön tárolt helyi erőforrásokhoz, miközben a helyreállítási műveletek párhuzamosan zajlanak. Azok a helyi erőforrások, amelyek nincsenek Gyorsítótárazva az RODC-n, hitelesítési kérelmeket továbbítanak egy írható DC-hez. Ezek a kérések meghiúsulnak, mert az írható DC-k offline állapotban vannak. Egyes műveletek, például a jelszó megváltoztatása, addig sem működnek, amíg vissza nem állítja az írható DCs-t.

ha hub-and-spoke hálózati architektúrát használ, akkor először az írható DCs helyreállítására koncentrálhat a hub webhelyein. Később újjáépítheti a RODC-ket távoli webhelyeken.

• AD erdő helyreállítása – előfeltételek
• AD erdő helyreállítása – egyéni erdő helyreállítási terv kidolgozása
• AD erdő helyreállítása – a probléma azonosítása
• AD erdő helyreállítása – határozza meg, hogyan lehet helyreállítani
• AD erdő helyreállítása – végezze el a kezdeti helyreállítást
• AD erdő helyreállítása – eljárások
• ad erdő helyreállítása – gyakran ismételt kérdések
• ad erdő helyreállítása – egyetlen tartomány helyreállítása több Domaines erdőben
• ad erdő helyreállítása – erdő helyreállítása Windows Server 2003 tartományvezérlőkkel