- Artikkel
- 08/16/2021
- 12 minutter å lese
-
-
i -
v -
d
v -
-
e -
+5
Gjelder for: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 Og 2012 R2, Windows Server 2008 Og 2008 R2
Gjenoppretting av En Hel Active Directory-skog innebærer enten å gjenopprette Den fra sikkerhetskopiering eller installere Active Directory Domain Services (AD DS) På Nytt på alle DOMENEKONTROLLERE (DC) i skogen. Gjenopprette skogen gjenoppretter hvert domene i skogen til sin tilstand på tidspunktet for den siste klarerte sikkerhetskopien. Følgelig vil gjenopprettingsoperasjonen føre til tap av minst Følgende Active Directory-data:
- alle objekter (for eksempel brukere og datamaskiner) som ble lagt til etter den siste klarerte sikkerhetskopien
- alle oppdateringer som ble gjort på eksisterende objekter siden den siste klarerte sikkerhetskopien
- Alle endringer som ble gjort på enten konfigurasjonspartisjonen eller skjemapartisjonen I AD DS (for eksempel skjemaendringer) Siden den siste klarerte sikkerhetskopien
for hvert domene i skogen, passordet til en domeneadministratorkonto må være kjent. Fortrinnsvis er dette passordet til den innebygde Administratorkontoen. Du må også kjenne dsrm-passordet for å utføre en systemstatusgjenoppretting AV EN DC. Generelt er det en god praksis å arkivere Administratorkontoen og dsrm-passordloggen på et trygt sted så lenge sikkerhetskopiene er gyldige, det vil si innenfor tombstone-levetiden eller i den slettede objektets levetid hvis Active Directory-Papirkurven er aktivert. Du kan også synkronisere dsrm passord med et domene brukerkonto for å gjøre det lettere å huske. Hvis DU vil ha mer informasjon, kan DU se KB-artikkel 961320. Synkronisering av dsrm-kontoen må gjøres i forkant av skogutvinningen, som en del av forberedelsen.
Merk
Administratorkontoen er som standard medlem av Den innebygde Administratorgruppen, og Det samme er Domeneadministratorer og Bedriftsadministratorgrupper. Denne gruppen har full kontroll over Alle DCs i domenet.
Bestemme hvilke sikkerhetskopier som skal brukes
Sikkerhetskopiere minst to skrivbare Dc-Er for hvert domene regelmessig, slik at du har flere sikkerhetskopier å velge mellom. Vær oppmerksom på at du ikke kan bruke sikkerhetskopien av en skrivebeskyttet domenekontroller (RODC) til å gjenopprette EN skrivbar DC. Vi anbefaler at du gjenoppretter DCs ved hjelp av sikkerhetskopier som ble tatt noen dager før feilen oppstod. Generelt må du bestemme en bytte mellom nyere og sikkerheten til de gjenopprettede dataene. Å velge en nyere sikkerhetskopi gjenoppretter mer nyttige data, men det kan øke risikoen for å gjeninnføre farlige data i den gjenopprettede skogen.
Gjenoppretting av sikkerhetskopier av systemstatus avhenger av det opprinnelige operativsystemet og serveren til sikkerhetskopien. Du bør for eksempel ikke gjenopprette en sikkerhetskopi av systemstatus til en annen server. I dette tilfellet kan du se følgende advarsel:
» den angitte sikkerhetskopien er av en annen server enn den nåværende. Vi anbefaler ikke å utføre en systemtilstandsgjenoppretting med sikkerhetskopien til en alternativ server fordi serveren kan bli ubrukelig. Er du sikker på at du vil bruke denne sikkerhetskopien for å gjenopprette gjeldende server?»
hvis Du trenger å gjenopprette Active Directory til annen maskinvare, kan du opprette full server backup og planlegger å utføre en full servergjenoppretting.
Viktig
Fra Og Med Windows Server 2008 støttes ikke sikkerhetskopiering av systemtilstand til en ny installasjon Av Windows Server på ny maskinvare eller samme maskinvare. Hvis Windows Server er installert på samme maskinvare, som anbefalt senere i denne veiledningen, kan du gjenopprette domenekontrolleren i denne rekkefølgen:
- Utfør en full servergjenoppretting for å gjenopprette operativsystemet og alle filer og programmer.
- Utfør en systemtilstandsgjenoppretting ved hjelp av wbadmin.exe for å markere SYSVOL som autoritativ.
hvis Du vil ha Mer informasjon, kan Du se Microsoft KB-artikkel 249694.
hvis tidspunktet for feilen er ukjent, undersøk videre for å identifisere sikkerhetskopier som holder den siste sikre tilstanden til skogen. Denne tilnærmingen er mindre ønskelig. Derfor anbefaler vi sterkt at du holder detaljerte logger om HELSETILSTANDEN TIL AD DS på daglig basis, slik at hvis det er en skogsomfattende feil, kan omtrentlig feiltid identifiseres. Du bør også beholde en lokal kopi av sikkerhetskopier for å muliggjøre raskere gjenoppretting.
hvis Active Directory-Papirkurven er aktivert, er levetiden for sikkerhetskopiering lik verdien deletedObjectLifetime eller verdien tombstoneLifetime, avhengig av hva som er minst. Hvis Du vil ha Mer informasjon, kan Du se Active Directory-Papirkurven Trinnvis Veiledning (https://go.microsoft.com/fwlink/?LinkId=178657).
som et alternativ kan Du også bruke Active Directory-databasemonteringsverktøyet (Dsamain.exe) og ET LDAP-verktøy (Lightweight Directory Access Protocol), for eksempel Ldp.exe-Eller Active Directory-Brukere og Datamaskiner, for å identifisere hvilken sikkerhetskopi som har den siste sikre tilstanden til skogen. Active Directory-databasemonteringsverktøyet, som er inkludert I windows Server 2008 og Senere windows Server-operativsystemer, viser Active Directory-data som er lagret i sikkerhetskopier eller øyeblikksbilder som EN LDAP-server. Deretter kan du bruke ET LDAP-verktøy til å bla gjennom dataene. Denne tilnærmingen har fordelen av ikke at DU må starte NOEN DC I Directory Services Restore Mode (Dsrm) for å undersøke innholdet i sikkerhetskopien AV AD DS.
hvis du vil ha mer informasjon om Hvordan Du bruker Active Directory-databasemonteringsverktøyet, kan Du se Monteringsverktøyet For Active Directory-Database Trinnvis.
du kan også bruke kommandoen ntdsutil snapshot til å lage øyeblikksbilder Av Active Directory-databasen. Ved å planlegge en oppgave med jevne mellomrom for å opprette øyeblikksbilder, kan du få flere kopier Av Active Directory-databasen over tid. Du kan bruke disse kopiene til å identifisere når feilen oppstod i skogen, og deretter velge den beste sikkerhetskopien du vil gjenopprette. Hvis du vil opprette øyeblikksbilder, bruker du versjonen av ntdsutil som leveres Med Windows Server 2008 Eller RSAT (Remote Server Administration Tools) For Windows Vista eller nyere. Målet DC kan kjøre alle versjoner Av Windows Server. Hvis du vil ha Mer informasjon om hvordan du bruker ntdsutil snapshot-kommandoen, kan Du se Snapshot.
Å Bestemme hvilke domenekontrollere som skal gjenopprettes
Enkel gjenopprettingsprosess er en viktig faktor når du bestemmer hvilken domenekontroller som skal gjenopprettes. Det anbefales a ha en dedikert DC for hvert domene som er den foretrukne DC for a gjenopprette. En dedikert restore DC gjør det enklere å planlegge og utføre skoggjenoppretting på en pålitelig måte, fordi du bruker den samme kildekonfigurasjonen som ble brukt til å utføre gjenopprettingstester. Du kan skript utvinning, og ikke stri med forskjellige konfigurasjoner, for eksempel OM DC har operasjoner hovedroller eller ikke, eller om DET er EN GC ELLER DNS-server eller ikke.
Merk
selv om det ikke anbefales å gjenopprette en hovedrolleholder for operasjoner av hensyn til enkelhet, kan enkelte organisasjoner velge å gjenopprette en for andre fordeler. For eksempel gjenopprette rid master kan bidra til å forhindre problemer med å håndtere RIDs under utvinning.
Velg EN DC som best oppfyller følgende kriterier:
-
EN DC som er skrivbar. Dette er obligatorisk.
-
EN DC kjorer Windows Server 2012 som en virtuell maskin pa en hypervisor som stotter VM-GenerationID. DENNE DC kan brukes som en kilde for kloning.
-
EN DC som er tilgjengelig, enten fysisk eller på et virtuelt nettverk, og helst plassert i et datasenter. På denne måten kan du enkelt isolere den fra nettverket under skogsgjenoppretting.
-
EN DC som har en god full server backup. En god sikkerhetskopi er en sikkerhetskopi som kan gjenopprettes, ble tatt noen dager før feilen, og inneholder så mye nyttige data som mulig.
-
EN DC som var En Dns-server (Domain Name System) før feilen. Dette sparer tiden som kreves FOR å installere DNS på nytt.
-
hvis Du også bruker Windows Deployment Services, velger DU EN DC som ikke er konfigurert Til Å bruke BitLocker Network Unlock. I Dette tilfellet Støttes Ikke BitLocker Network Unlock som skal brukes til DEN første DC du gjenoppretter fra sikkerhetskopiering under en skoggjenoppretting.
BitLocker Network Unlock som eneste nøkkelbeskytter kan ikke brukes på DCs der Du har distribuert Windows Deployment Services (WDS) fordi dette resulterer i et scenario der Den første DC krever Active Directory og WDS skal arbeide for å låse opp. Men Før du gjenoppretter DEN første DC, Er Active Directory ennå ikke tilgjengelig FOR WDS, så det kan ikke låse opp.
hvis du vil finne UT om EN DC er konfigurert til Å bruke BitLocker Network Unlock, kontrollerer du at Et Nettverk Opplåsingssertifikat er identifisert i følgende registernøkkel:
HKEY_LOCAL_MACHINESoftwarePoliciesmicrosoftsystemcertificatesfve_nkp
Oppretthold sikkerhetsprosedyrer ved håndtering eller gjenoppretting av sikkerhetskopifiler som Inkluderer Active Directory. Det haster som følger med skog utvinning kan utilsiktet føre til utsikt over sikkerhet beste praksis. Hvis du vil ha mer informasjon, kan du se delen «Etablere Sikkerhetskopierings-Og Gjenopprettingsstrategier For Domenekontroller» I Veiledning For Beste Praksis for Sikring Av Active Directory-Installasjoner Og Den Daglige Driften: DEL II.
Identifiser gjeldende skogstruktur og DC-funksjoner
Bestem gjeldende skogstruktur ved å identifisere alle domenene i skogen. Lag en liste over Alle DCs i hvert domene, spesielt DCs som har sikkerhetskopier, og virtualiserte DCs som kan være en kilde for kloning. En liste Over DCs for skogrotdomenet vil være det viktigste fordi du vil gjenopprette dette domenet først. Når du gjenoppretter skogrotdomenet, kan du få en liste over de andre domenene, Dcene og områdene i skogen ved Hjelp Av Active Directory-snapin-moduler.
Klargjør en tabell som viser funksjonene til HVER DC i domenet, som vist i eksemplet nedenfor. Dette vil hjelpe deg å gå tilbake til pre-failure konfigurasjon av skogen etter utvinning.
| DC-navn | Operativsystem | FSMO | GC | RODC | Sikkerhetskopiering | DNS | Serverkjerne | VM | VM-GenID | ||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | Skjemamester, master For domenenavngivning | Ja | Ja | Ja | Nei | Nei | Ja | Ja | ja | |||
| DC_2 | Windows Server 2012 | Ingen | Ja | Nei | Ja | Ja | Nei | Ja | Ja | ||||
| DC_3 | Windows Server 2012 | Infrastrukturmester | Nei | Nei | Nei | Ja | Ja | Ja | Ja | Ja | Ja | Ja JA | |
| DC_4 | Windows Server 2012 | PDC-emulator, RID Master | Ja | Nei | Nei | Nei | Nei | Ja | Ja | nei | |||
| DC_5 | Windows Server 2012 | Ingen | Nei | Nei | Ja | Ja | ja | Nei | Ja | Ja | |||
| RODC_1 | Windows Server 2008 R2 | Ingen | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja | Ja > NEI |
| RODC_2 | Windows Server 2008 | Ingen | Ja | Ja | Nei | Ja | Ja | Ja | Ja | Ja |
for hvert domene i skogen identifiserer du en enkelt skrivbar DC som har en klarert sikkerhetskopi Av Active Directory-databasen for dette domenet. Vær forsiktig når du velger en sikkerhetskopi for å gjenopprette EN DC. Hvis dagen og årsaken til feilen er omtrent kjent, er den generelle anbefalingen å bruke en sikkerhetskopi som ble gjort noen dager før den datoen.
i dette eksemplet er det fire reservekandidater: DC_1, DC_2, DC_4 og DC_5. Av disse backup kandidatene gjenoppretter du bare en. Den anbefalte DC ER DC_5 av følgende grunner:
- den tilfredsstiller kravene til å bruke Den som en kilde for virtualisert DC-kloning, det vil si at Den kjører Windows Server 2012 Som en virtuell DC på en hypervisor som støtter VM-GenerationID, kjører programvare som kan klones (eller som kan fjernes hvis den ikke kan klones). ETTER gjenopprettingen vil PDC-emulatorrollen bli beslaglagt til den serveren, og den kan legges til I Gruppen Klonbare Domenekontrollere for domenet.
- det kjører en full installasjon Av Windows Server 2012. EN DC som kjører En Serverkjerneinstallasjon, kan være mindre praktisk som et mål for gjenoppretting.
- DET er EN DNS-server. DNS må derfor ikke installeres på nytt.
FORDI DC_5 ikke er en global katalogserver, har den også en fordel ved at den globale katalogen ikke trenger å fjernes etter gjenopprettingen. MEN HVORVIDT DC er også en global katalogserver er ikke en avgjørende faktor fordi begynnelsen Med Windows Server 2012, alle DCs er globale katalogservere som standard, og fjerne og legge den globale katalogen etter gjenopprettingen anbefales som en del av skogen gjenopprettingsprosessen i alle fall.
Gjenopprett skogen i isolasjon
det foretrukne scenariet er å slå av alle skrivbare Dc-Er før DEN første restaurerte DC-EN bringes tilbake i produksjon. Dette sikrer at farlige data ikke replikeres tilbake i den gjenopprettede skogen. Det er spesielt viktig a stenge alle operations master rolleinnehavere.
Merk
det kan være tilfeller der du flytter DEN FØRSTE DC-EN du planlegger å gjenopprette for hvert domene til et isolert nettverk, samtidig som andre Dc-Er forblir tilkoblet for å minimere nedetid på systemet. Hvis du for eksempel gjenoppretter fra en mislykket skjemaoppgradering, kan du velge å beholde domenekontrollere som kjører på produksjonsnettverket mens du utfører gjenopprettingstrinn isolert.
hvis du kjører virtualiserte DCs, kan du flytte dem til et virtuelt nettverk som er isolert fra produksjonsnettverket der du skal utføre gjenoppretting. Flytte virtualiserte DCs til et eget nettverk gir to fordeler:
- Gjenvunnet DCs er forhindret fra reoccurrence av problemet som forårsaket skogen utvinning fordi de er isolert.
- Virtualisert DC-kloning kan utføres på det separate nettverket, slik at et kritisk antall Dc-er kan kjøres og testes før de bringes tilbake til produksjonsnettverket.
hvis Du kjører DCs på fysisk maskinvare, kobler du fra nettverkskabelen til DEN FØRSTE DC-EN du planlegger å gjenopprette i skogrotdomenet. Hvis mulig, koble også nettverkskablene til alle andre Dc-Er. Dette forhindrer At DCs replikerer, hvis de ved et uhell startes under skoggjenvinningsprosessen.
I en stor skog som er spredt over flere steder, kan det være vanskelig å garantere at alle skrivbare Dc-Er er stengt. Av denne grunn er gjenopprettingstrinnene—som å tilbakestille datamaskinkontoen og krbtgt—kontoen, i tillegg til metadataopprydding-utformet for å sikre at de gjenopprettede skrivbare Dcene ikke replikerer med farlige skrivbare DCs (hvis noen fortsatt er online i skogen).
men bare ved å ta skrivbare DCs frakoblet kan du garantere at replikering ikke forekommer. Derfor, når det er mulig, bør du distribuere fjernstyringsteknologi som kan hjelpe deg med å slå av og fysisk isolere skrivbare DCs under skoggjenoppretting.
RODCs kan fortsette å operere mens skrivbare DCs er frakoblet. Ingen ANNEN DC vil direkte replikere endringer fra NOEN RODC-spesielt ingen Skjema eller Konfigurasjonsbeholderendringer – slik at de ikke utgjør samme risiko som skrivbare DCs under gjenoppretting. Etter at alle skrivbare DCs er gjenopprettet og online, bør du gjenoppbygge Alle RODCs.
RODCs vil fortsette å gi tilgang til lokale ressurser som er bufret i sine respektive områder mens gjenopprettingsoperasjoner skjer parallelt. Lokale ressurser som ikke bufres på RODC vil ha godkjenningsforespørsler videresendt til en skrivbar DC. Disse forespørslene mislykkes fordi skrivbare DCs er frakoblet. Noen operasjoner som passordendringer vil heller ikke fungere før du gjenoppretter skrivbare DCs.
hvis du bruker en hub-and-spoke-nettverksarkitektur, kan du konsentrere deg først om å gjenopprette de skrivbare Dcene i hub-områdene. Senere kan Du gjenoppbygge RODCs i eksterne områder.
- Ad Skoggjenoppretting – Forutsetninger
- Ad Skoggjenoppretting – Utarbeide en tilpasset plan for skoggjenoppretting
- Ad Skoggjenoppretting – Identifiser problemet
- Ad Skoggjenoppretting – Bestem hvordan du gjenoppretter
- Ad Skoggjenoppretting – Utfør innledende gjenoppretting
- Ad Skoggjenoppretting – Prosedyrer
- ad forest recovery – vanlige spørsmål
- ad forest recovery – gjenopprette et enkelt domene I En Multidomain Skog
- ad forest recovery – skog utvinning Med Windows Server 2003 domenekontrollere