- artikel
- 08/16/2021
- 12 minuten om te lezen
-
-
i -
v -
d -
v -
e -
+5
-
is van toepassing op: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 en 2012 R2, Windows Server 2008 en 2008 R2
het herstellen van een volledig Active Directory-forest houdt in dat het wordt hersteld vanaf een back-up of dat Active Directory Domain Services (AD DS) opnieuw wordt geïnstalleerd op elke domeincontroller (DC) in het forest. Herstellen van het forest herstelt elk domein in het forest in zijn status op het moment van de laatste vertrouwde back-up. Bijgevolg zal de herstelbewerking resulteren in het verlies van ten minste de volgende Active Directory-gegevens:
- alle objecten (zoals gebruikers en computers) die zijn toegevoegd na de laatste vertrouwde back-up
- alle updates die zijn gemaakt aan bestaande objecten sinds de laatste vertrouwde back-up
- alle wijzigingen die zijn aangebracht aan de configuratiepartitie of de schema-partitie in AD DS (zoals schema-wijzigingen) sinds de laatste vertrouwde back-up
voor elk domein in het forest moet het wachtwoord van een Domeinbeheeraccount bekend zijn. Bij voorkeur, Dit is het wachtwoord van de ingebouwde Administrator account. U moet ook het DSRM-wachtwoord kennen om een systeemstatusherstel van een DC uit te voeren. In het algemeen is het een goede gewoonte om het administratoraccount en de geschiedenis van het DSRM-wachtwoord op een veilige plaats te archiveren zolang de back-ups geldig zijn, dat wil zeggen binnen de levensduur van tombstone of binnen de levensduur van verwijderde objecten als Active Directory-Prullenbak is ingeschakeld. U kunt het DSRM-wachtwoord ook synchroniseren met een domeingebruikersaccount om het onthouden te vergemakkelijken. Voor meer informatie, zie KB artikel 961320. Het synchroniseren van het DSRM-account moet worden uitgevoerd voorafgaand aan het herstel van het forest, als onderdeel van de voorbereiding.
opmerking
het Administrator-account is standaard lid van de ingebouwde groep Administrators, net als de groepen Domeinadministrators en Ondernemingsadministrators. Deze groep heeft volledige controle over alle DCs in het domein.
bepalen welke back-ups
regelmatig een Back-up maken van ten minste twee beschrijfbare DCs voor elk domein, zodat u uit meerdere back-ups kunt kiezen. U kunt de reservekopie van een alleen-lezen domeincontroller (alleen-lezen domeincontroller) niet gebruiken om een beschrijfbare DC te herstellen. We raden u aan de DCs te herstellen door back-ups te gebruiken die enkele dagen voor het optreden van de fout zijn gemaakt. In het algemeen moet u een afweging maken tussen de recentheid en de veiligheid van de herstelde gegevens. Het kiezen van een recentere back-up herstelt meer nuttige gegevens, maar het kan het risico verhogen dat gevaarlijke gegevens opnieuw worden ingevoerd in het herstelde forest.
het herstellen van back-ups van de systeemstatus hangt af van het originele besturingssysteem en de server van de back-up. U moet bijvoorbeeld geen back-up van de systeemstatus naar een andere server herstellen. In dit geval kunt u de volgende waarschuwing zien:
“de opgegeven back-up is van een andere server dan de huidige. We raden niet aan om een systeemstatusherstel uit te voeren met de back-up naar een alternatieve server omdat de server onbruikbaar kan worden. Weet u zeker dat u deze back-up wilt gebruiken om de huidige server te herstellen?”
als u Active Directory naar andere hardware wilt herstellen, maak dan volledige serverback-ups en plan een volledig serverherstel uit te voeren.
belangrijk
vanaf Windows Server 2008 wordt het niet ondersteund om een back-up van de systeemstatus te herstellen naar een nieuwe installatie van Windows Server op nieuwe hardware of dezelfde hardware. Als Windows Server opnieuw is geïnstalleerd op dezelfde hardware, zoals later in deze handleiding wordt aanbevolen, kunt u de domeincontroller in deze volgorde herstellen:
- voer een volledige server te herstellen om het besturingssysteem en alle bestanden en toepassingen te herstellen.
- een systeemstatusherstel uitvoeren met wbadmin.exe om SYSVOL als gezaghebbend te markeren.
voor meer informatie, Zie Microsoft KB artikel 249694.
als het tijdstip van het optreden van de fout onbekend is, moet verder onderzoek worden verricht om back-ups te identificeren die de laatste veilige status van het forest bevatten. Deze aanpak is minder wenselijk. Daarom raden we u ten zeerste aan dagelijks gedetailleerde logboeken over de statusstatus van AD DS bij te houden, zodat, als er sprake is van een storing in het hele forest, de geschatte tijd van de storing kan worden geïdentificeerd. U moet ook een lokale kopie van back-ups te houden om sneller herstel mogelijk te maken.
als Active Directory-Prullenbak is ingeschakeld, is de levensduur van de back-up gelijk aan de deletedObjectLifetime-waarde of de tombstoneLifetime-waarde, indien deze minder is. Zie stapsgewijze handleiding voor Active Directory-Prullenbak (https://go.microsoft.com/fwlink/?LinkId=178657) voor meer informatie.
als alternatief kunt u ook de Active Directory database mounting tool (Dsamain.exe) en een LDAP-tool (Lightweight Directory Access Protocol), zoals Ldp.exe-of Active Directory-gebruikers en Computers, om te bepalen welke back-up de laatste veilige status van het forest heeft. Het hulpprogramma voor het aankoppelen van de Active Directory-database, dat is opgenomen in Windows Server 2008 en later Windows Server-besturingssystemen, toont Active Directory-gegevens die zijn opgeslagen in back-ups of snapshots als een LDAP-server. Vervolgens kunt u een LDAP-tool gebruiken om door de gegevens te bladeren. Deze aanpak heeft het voordeel dat u geen DC in DSRM (Directory Services Restore Mode) opnieuw moet opstarten om de inhoud van de back-up van AD DS te onderzoeken.
voor meer informatie over het gebruik van het Active Directory-hulpprogramma voor het aankoppelen van de database, zie de stapsgewijze handleiding voor het aankoppelen van de Active Directory-Database.
u kunt ook de opdracht ntdsutil snapshot gebruiken om snapshots van de Active Directory-database te maken. Door een taak te plannen om periodiek snapshots te maken, kunt u na verloop van tijd extra kopieën van de Active Directory-database verkrijgen. U kunt deze kopieën gebruiken om beter te bepalen wanneer de fout in het hele forest is opgetreden en vervolgens de beste back-up kiezen om te herstellen. Als u snapshots wilt maken, gebruikt u de versie van ntdsutil die wordt meegeleverd met Windows Server 2008 of de hulpprogramma ‘ s voor extern Serverbeheer (RSAT) Voor Windows Vista of hoger. Het doel DC kan elke versie van Windows Server draaien. Zie Snapshot voor meer informatie over het gebruik van de opdracht ntdsutil snapshot.
bepalen welke domeincontrollers hersteld moeten worden
gemak van het herstelproces is een belangrijke factor bij het beslissen welke domeincontroller hersteld moet worden. Het wordt aanbevolen om een dedicated DC te hebben voor elk domein dat de voorkeur heeft voor een herstel. Een speciale restore DC maakt het eenvoudiger om het forestherstel betrouwbaar te plannen en uit te voeren, omdat u dezelfde bronconfiguratie gebruikt die werd gebruikt om hersteltests uit te voeren. U kunt het herstel script, en niet kampen met verschillende configuraties, zoals of de DC houdt operations master rollen of niet, of het is een GC of DNS-server of niet.
Note
hoewel het niet wordt aanbevolen om een operations master-rolhouder te herstellen in het belang van eenvoud, kunnen sommige organisaties ervoor kiezen om er een te herstellen voor andere voordelen. Het herstellen van de RID-master kan bijvoorbeeld helpen om problemen met het beheer van RIDs tijdens het herstel te voorkomen.
Kies een DC die het best aan de volgende criteria voldoet:
-
een DC die beschrijfbaar is. Dit is verplicht.
-
een DC met Windows Server 2012 als een virtuele machine op een hypervisor die VM-GenerationID ondersteunt. Deze DC kan als bron voor het klonen worden gebruikt.
-
een DC die toegankelijk is, fysiek of op een virtueel netwerk, en bij voorkeur in een datacenter. Op deze manier kunt u het gemakkelijk isoleren van het netwerk tijdens het herstel van het bos.
-
een DC die een goede volledige server backup heeft. Een goede back-up is een back-up die met succes kan worden hersteld, werd een paar dagen voor de storing genomen, en bevat zo veel nuttige gegevens mogelijk.
-
een DC die een DNS-server (Domain Name System) was voor de storing. Dit bespaart de tijd die nodig is om DNS opnieuw te installeren.
-
als u ook Windows Deployment Services gebruikt, kiest u een DC die niet is geconfigureerd om BitLocker-Netwerkontgrendeling te gebruiken. In dit geval wordt BitLocker Network Unlock niet ondersteund om te worden gebruikt voor de eerste DC die u terugzet vanaf een back-up tijdens een forest-herstel.
BitLocker Network Unlock als enige sleutelbeschermer kan niet worden gebruikt op DCs waar u Windows Deployment Services (WDS) hebt geïmplementeerd, omdat dit resulteert in een scenario waarin Active Directory en WDS voor de eerste DC moeten werken om te ontgrendelen. Maar voordat u de eerste DC te herstellen, Active Directory is nog niet beschikbaar voor WDS, dus het kan niet ontgrendelen.
als u wilt bepalen of een DC is geconfigureerd om BitLocker-Netwerkontgrendeling te gebruiken, controleert u of een certificaat voor Netwerkontgrendeling is geïdentificeerd in de volgende registersleutel:
Hkey_local_machinesoftwarepolitiesmicrosoftsysteemcertificatenfve_nkp
onderhoud beveiligingsprocedures bij het verwerken of herstellen van back-upbestanden die Active Directory bevatten. De urgentie die gepaard gaat met bosherstel kan onbedoeld leiden tot het over het hoofd zien van best practices op het gebied van beveiliging. Zie voor meer informatie de paragraaf “strategieën voor back-up en herstel van domeincontrollers instellen” in de handleiding voor beste praktijken voor het beveiligen van Active Directory-installaties en dagelijkse activiteiten: deel II.
Identificeer de huidige forest-structuur en DC-functies
bepaal de huidige forest-structuur door alle domeinen in het forest te identificeren. Maak een lijst van alle DCs in elk domein, in het bijzonder de DCS die back-ups hebben, en gevirtualiseerde DCs die een bron voor klonen kunnen zijn. Een lijst met DCs voor het forest-hoofddomein is het belangrijkst omdat u dit domein eerst zult herstellen. Nadat u het hoofddomein van het forest hebt hersteld, kunt u met de Active Directory-modules een lijst van de andere domeinen, DCs en sites in het forest verkrijgen.
Maak een tabel die de functies van elke DC in het domein toont, zoals getoond in het volgende voorbeeld. Hiermee kunt u na het herstel terugkeren naar de configuratie van het forest die vooraf is mislukt.
| DC-naam | Operating systeem | FSMO | GC | alleen-lezen domeincontroller | Backup | DNS | Server Core – | VM | VM-GenID |
|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | Schema-master, Domain naming master | Ja | Geen | Ja | Geen | Geen | Ja | Ja |
| DC_2 | Windows Server 2012 | Geen | Ja | Geen | Ja | Ja | Geen | Ja | Ja |
| DC_3 | Windows Server 2012 | Infrastructuur-Master | Geen | Geen | Geen | Ja | Ja | Ja | Ja |
| DC_4 | Windows Server 2012 | PDC-emulator, RID-Master | Ja | Geen | Geen | Geen | Geen | Ja | Geen |
| DC_5 | Windows Server 2012 | Geen | Geen | Geen | Ja | Ja | Geen | Ja | Ja |
| RODC_1 | Windows Server 2008 R2 | Geen | Ja | Ja | Ja | Ja | Ja | Ja | Geen |
| RODC_2 | Windows Server 2008 | Geen | Ja | Ja | Geen | Ja | Ja | Ja | Geen |
Voor elk domein in het forest, het identificeren van een eenmalige beschrijfbare DC dat heeft een betrouwbare back-up van de Active Directory-database voor dat domein. Wees voorzichtig als u een back-up kiest om een DC te herstellen. Als de dag en de oorzaak van de storing ongeveer bekend zijn, is de algemene aanbeveling om een back-up te gebruiken die een paar dagen voor die datum is gemaakt.
in dit voorbeeld zijn er vier reservekandidaten: DC_1, DC_2, DC_4 en DC_5. Van deze reservekandidaten herstel je er maar één. De aanbevolen DC is DC_5 om de volgende redenen:
- het voldoet aan de vereisten om het te gebruiken als een bron voor gevirtualiseerde DC-klonen, dat wil zeggen, Het draait Windows Server 2012 als een virtuele DC op een hypervisor die VM-GenerationID ondersteunt, draait software die mag worden gekloond (of die kan worden verwijderd als het niet kan worden gekloond). Na het herstellen, de PDC emulator rol zal worden in beslag genomen om die server en het kan worden toegevoegd aan de Cloneable domeincontrollers Groep voor het domein.
- het draait een volledige installatie van Windows Server 2012. Een DC die een Server Core installatie draait kan minder handig zijn als een doel voor herstel.
- het is een DNS-server. Daarom hoeft DNS niet opnieuw te worden geïnstalleerd.
opmerking
omdat DC_5 geen globale catalogus server is, heeft het ook een voordeel dat de globale catalogus niet verwijderd hoeft te worden na het herstellen. Maar of de DC ook een globale-catalogusserver is, is geen doorslaggevende factor, omdat vanaf Windows Server 2012 Alle DCs standaard globale-catalogusservers zijn, en het verwijderen en toevoegen van de globale catalogus na het herstellen in ieder geval wordt aanbevolen als onderdeel van het forest-herstelproces.
herstel het forest in isolatie
het voorkeursscenario is om alle beschrijfbare DC ‘ s uit te schakelen voordat de eerste herstelde DC weer in productie wordt genomen. Dit zorgt ervoor dat gevaarlijke gegevens niet worden gerepliceerd naar het herstelde forest. Het is vooral belangrijk om alle operations master rolhouders uit te schakelen.
Note
er kunnen gevallen zijn waarin u de eerste DC die u van plan bent te herstellen voor elk domein naar een geïsoleerd netwerk verplaatst terwijl u andere DCs toestaat om online te blijven om de uitvaltijd van het systeem te minimaliseren. Als u bijvoorbeeld herstelt van een mislukte schema-upgrade, kunt u ervoor kiezen om domeincontrollers op het productienetwerk te laten draaien terwijl u herstelstappen geïsoleerd uitvoert.
als u gevirtualiseerde DCs uitvoert, kunt u ze verplaatsen naar een virtueel netwerk dat geïsoleerd is van het productienetwerk waar u herstel zult uitvoeren. Het verplaatsen van gevirtualiseerde DCs naar een apart netwerk biedt twee voordelen:
- herstelde DC ‘ s worden voorkomen dat het probleem dat het herstel van het bos heeft veroorzaakt, opnieuw optreedt omdat ze geïsoleerd zijn.
- gevirtualiseerde DC-klonen kan op het afzonderlijke netwerk worden uitgevoerd, zodat een kritisch aantal DC ‘ s kan worden uitgevoerd en getest voordat ze terug naar het productienetwerk worden gebracht.
als u DCS draait op fysieke hardware, koppelt u de netwerkkabel van de eerste DC die u wilt herstellen in het forest-hoofddomein. Koppel indien mogelijk ook de netwerkkabels van alle andere DCs los. Dit voorkomt dat DCs worden gerepliceerd als ze per ongeluk worden gestart tijdens het forestherstelproces.
in een groot forest dat over meerdere locaties is verspreid, kan het moeilijk zijn om te garanderen dat alle beschrijfbare DC ‘ s zijn uitgeschakeld. Daarom zijn de herstelstappen—zoals het resetten van het computeraccount en het krbtgt-account, naast het opschonen van metadata-zo ontworpen dat de herstelde beschrijfbare DCs niet worden gerepliceerd met gevaarlijke beschrijfbare DCs (voor het geval sommige nog online zijn in het forest).
echter, alleen door beschrijfbare DCs offline te zetten kunt u garanderen dat replicatie niet plaatsvindt. Daarom moet u, indien mogelijk, remote management-technologie implementeren die u kan helpen bij het afsluiten en fysiek isoleren van de beschrijfbare DCs tijdens het herstel van het forest.
RODC ’s kunnen blijven werken zolang beschrijfbare DC’ s offline zijn. Geen enkele andere DC repliceert direct wijzigingen van een alleen-lezen domeincontroller—met name geen wijzigingen in Schema ‘ s of Configuratiecontainers—zodat ze tijdens het herstel niet hetzelfde risico opleveren als beschrijfbare DCs. Nadat alle beschrijfbare DCs zijn hersteld en online, moet u alle RODCs opnieuw opbouwen.
RODC ‘ s zullen toegang blijven verlenen tot lokale bronnen die in hun respectieve sites in de cache worden opgeslagen terwijl de herstelwerkzaamheden parallel aan de gang zijn. Bij lokale bronnen die niet in de cache van de alleen-lezen domeincontroller zijn opgeslagen, worden verificatieaanvragen doorgestuurd naar een beschrijfbare DC. Deze verzoeken zullen mislukken omdat beschrijfbare DCs offline zijn. Sommige bewerkingen, zoals wachtwoordwijzigingen, zullen ook niet werken totdat u beschrijfbare DCs hebt hersteld.
als u een hub-and-spoke netwerkarchitectuur gebruikt, kunt u zich eerst concentreren op het herstellen van de beschrijfbare DCs in de hub-sites. Later kunt u de RODC ‘ s opnieuw opbouwen op externe sites.
- AD Forest Recovery – Voorwaarden
- AD Forest Recovery – het Uitwerken van een aangepaste forest recovery plan
- AD Forest Recovery – het probleem te Identificeren
- AD Forest Recovery – Bepalen hoe om te herstellen
- AD Forest Recovery – het Uitvoeren van initiële herstel
- AD Forest Recovery – Procedures
- AD Forest Recovery – veelgestelde Vragen
- AD Forest Recovery – het Herstellen van een Enkel Domein in een Forest met meerdere domeinen
- AD Forest Recovery – Forest Recovery met Windows Server 2003-Domeincontrollers