ustal, jak odzyskać Las

dotyczy: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 i 2012 R2, Windows Server 2008 i 2008 R2

Odzyskiwanie całego lasu Active Directory polega na przywróceniu go z kopii zapasowej lub ponownej instalacji usług domenowych Active Directory (AD DS) na każdym kontrolerze domeny (DC) w lesie. Odzyskiwanie lasu przywraca każdą domenę w lesie do stanu w momencie ostatniego zaufanego backupu. W konsekwencji operacja przywracania spowoduje utratę co najmniej następujących danych usługi Active Directory:

• wszystkie obiekty (takie jak użytkownicy i komputery), które zostały dodane po ostatniej zaufanej kopii zapasowej
• wszystkie aktualizacje, które zostały wprowadzone do istniejących obiektów od ostatniej zaufanej kopii zapasowej
• wszystkie zmiany, które zostały wprowadzone do partycji konfiguracyjnej lub partycji schematu w AD DS (takie jak zmiany schematu) od ostatniej zaufanej kopii zapasowej

dla każdej domeny w lesie, hasło konta administratora domeny musi być znane. Najlepiej jest to hasło wbudowanego konta administratora. Musisz także znać hasło DSRM, aby wykonać przywracanie stanu systemu DC. Ogólnie rzecz biorąc, dobrą praktyką jest archiwizowanie konta administratora i historii haseł DSRM w bezpiecznym miejscu tak długo, jak długo kopie zapasowe są ważne, to znaczy w okresie życia tombstone lub w okresie życia usuniętego obiektu, jeśli aktywny Kosz Active Directory jest włączony. Możesz również zsynchronizować hasło DSRM z kontem użytkownika domeny, aby ułatwić zapamiętanie. Aby uzyskać więcej informacji, zobacz artykuł KB 961320. Synchronizacja konta DSRM musi być wykonana przed odzyskaniem lasu, w ramach przygotowań.

określanie, których kopii zapasowych użyć

regularnie Twórz kopie zapasowe co najmniej dwóch DCS dla każdej domeny, dzięki czemu masz kilka kopii zapasowych do wyboru. Należy pamiętać, że nie można użyć kopii zapasowej kontrolera domeny tylko do odczytu (RODC), aby przywrócić zapisywalny DC. Zalecamy przywrócenie systemu DCs przy użyciu kopii zapasowych wykonanych kilka dni przed wystąpieniem awarii. Ogólnie rzecz biorąc, należy określić kompromis między aktualnością a bezpieczeństwem przywróconych danych. Wybór nowszej kopii zapasowej pozwala odzyskać więcej użytecznych danych, ale może zwiększyć ryzyko ponownego wprowadzenia niebezpiecznych danych do odtworzonego lasu.

przywracanie kopii zapasowych stanu systemu zależy od oryginalnego systemu operacyjnego i serwera kopii zapasowej. Na przykład nie należy przywracać kopii zapasowej stanu systemu na innym serwerze. W takim przypadku możesz zobaczyć następujące ostrzeżenie:

” określona kopia zapasowa jest innego serwera niż bieżący. Nie zalecamy odzyskiwania stanu systemu za pomocą kopii zapasowej na innym serwerze, ponieważ serwer może stać się bezużyteczny. Czy na pewno chcesz użyć tej kopii zapasowej do odzyskania bieżącego serwera?”

jeśli chcesz przywrócić Active Directory na inny sprzęt, Utwórz pełne kopie zapasowe serwera i zaplanuj pełne odzyskanie serwera.

jeśli czas wystąpienia awarii jest nieznany, zbadaj dalej, aby zidentyfikować kopie zapasowe, które utrzymują ostatni bezpieczny stan lasu. Takie podejście jest mniej pożądane. Dlatego zdecydowanie zalecamy Codzienne prowadzenie szczegółowych dzienników stanu zdrowia AD DS, aby w przypadku awarii w całym lesie można było określić przybliżony czas awarii. Należy również zachować lokalną kopię kopii zapasowych, aby umożliwić szybsze odzyskiwanie.

jeśli aktywny jest Kosz Active Directory, czas życia kopii zapasowej jest równy wartości deletedObjectLifetime lub wartości tombstoneLifetime, w zależności od tego, która wartość jest mniejsza. Aby uzyskać więcej informacji, zobacz Przewodnik po koszu Active Directory krok po kroku (https://go.microsoft.com/fwlink/?LinkId=178657).

alternatywnie możesz również użyć narzędzia do montażu bazy danych Active Directory (Dsamain.exe) i narzędzie LDAP (Lightweight Directory Access Protocol), takie jak Ldp.użytkowników i komputerów exe lub Active Directory, aby zidentyfikować, która kopia zapasowa ma ostatni bezpieczny stan lasu. Narzędzie do montażu bazy danych Active Directory, które jest zawarte w systemie Windows Server 2008 i nowszych systemach operacyjnych Windows Server, udostępnia dane Active Directory przechowywane w kopiach zapasowych lub migawkach jako serwer LDAP. Następnie możesz użyć narzędzia LDAP do przeglądania danych. To podejście ma tę zaletę, że nie wymaga ponownego uruchomienia dowolnego DC w trybie przywracania usług katalogowych (DSRM) w celu zbadania zawartości kopii zapasowej usługi AD DS.

aby uzyskać więcej informacji na temat korzystania z narzędzia do montażu bazy danych Active Directory, zobacz Narzędzie Do Montażu bazy danych Active Directory przewodnik krok po kroku.

możesz również użyć polecenia migawka Ntdsutil do tworzenia migawek bazy danych Active Directory. Poprzez zaplanowanie zadania do okresowego tworzenia migawek, można uzyskać dodatkowe kopie bazy danych Active Directory w czasie. Możesz użyć tych kopii, aby lepiej określić, kiedy wystąpiła awaria w całym lesie, a następnie wybrać najlepszą kopię zapasową do przywrócenia. Aby utworzyć migawki, użyj wersji ntdsutil dostarczanej z systemem Windows Server 2008 lub narzędziami Administracji zdalnego serwera (RSAT) dla systemu Windows Vista lub nowszego. Docelowy DC może uruchomić dowolną wersję systemu Windows Server. Aby uzyskać więcej informacji na temat używania polecenia migawka Ntdsutil, zobacz migawka.

określenie, które kontrolery domeny mają zostać przywrócone

łatwość procesu przywracania jest ważnym czynnikiem przy podejmowaniu decyzji, który kontroler domeny ma zostać przywrócony. Zaleca się posiadanie dedykowanego DC dla każdej domeny, który jest preferowanym DC dla przywracania. Dedykowany restore DC ułatwia niezawodne planowanie i wykonywanie odzyskiwania lasu, ponieważ używasz tej samej konfiguracji źródłowej, która została użyta do wykonania testów przywracania. Możesz skryptować odzyskiwanie i nie zmagać się z różnymi konfiguracjami, takimi jak to, czy DC posiada role master operations, czy nie, lub czy jest to serwer GC lub DNS, czy nie.

Wybierz DC, który najlepiej spełnia następujące kryteria:

• DC, które można zapisać. Jest to obowiązkowe.

• DC z systemem Windows Server 2012 jako maszyna wirtualna na hypervisorze obsługującym vm-GenerationID. Ten DC może być używany jako źródło do klonowania.

• DC, który jest dostępny, fizycznie lub w sieci wirtualnej, i najlepiej zlokalizowany w centrum danych. W ten sposób można łatwo odizolować go od sieci podczas rekultywacji lasu.

• DC, który ma dobrą pełną kopię zapasową serwera. Dobra kopia zapasowa to kopia zapasowa, która może zostać pomyślnie przywrócona, została wykonana na kilka dni przed awarią i zawiera jak najwięcej użytecznych danych.

• DC, który był serwerem Domain Name System (DNS) przed awarią. Oszczędza to czas potrzebny do ponownej instalacji DNS.

• Jeśli korzystasz również z usług wdrażania systemu Windows, wybierz DC, który nie jest skonfigurowany do korzystania z funkcji odblokowania sieci BitLocker. W takim przypadku BitLocker Network Unlock nie jest obsługiwany do użycia w pierwszym DC, które można przywrócić z kopii zapasowej podczas odzyskiwania lasu.

  BitLocker Network Unlock jako jedyny Key protector nie może być używany w systemach DCs, w których wdrożono usługi WDS (Windows Deployment Services), ponieważ skutkuje to scenariuszem, w którym pierwsze DC wymaga działania Active Directory i WDS w celu odblokowania. Jednak przed przywróceniem pierwszego DC Usługa Active Directory nie jest jeszcze dostępna dla WDS, więc nie można jej odblokować.

  aby określić, czy DC jest skonfigurowany do używania funkcji odblokowania sieci BitLocker, sprawdź, czy certyfikat odblokowania sieci jest identyfikowany w następującym kluczu rejestru:

  Hkey_local_machinesoftwarepoliciemicrosoftsystemcertyfikatyfve_nkp

Zachowaj procedury bezpieczeństwa podczas obsługi lub przywracania plików kopii zapasowych zawierających Active Directory. Pilna potrzeba odbudowy lasów może nieumyślnie prowadzić do pominięcia najlepszych praktyk w zakresie bezpieczeństwa. Więcej informacji można znaleźć w sekcji zatytułowanej „tworzenie strategii tworzenia kopii zapasowych i przywracania kontrolera domeny” w Przewodniku po najlepszych praktykach dotyczących zabezpieczania instalacji Active Directory i codziennych operacji: Część II.

Zidentyfikuj aktualną strukturę lasu i funkcje DC

Określ aktualną strukturę lasu, identyfikując wszystkie domeny w lesie. Zrób listę wszystkich DCs w każdej domenie, w szczególności DCs, które mają kopie zapasowe, i zwirtualizowanych DCs, które mogą być źródłem do klonowania. Lista DCs dla domeny forest root będzie najważniejsza, ponieważ najpierw odzyskasz tę domenę. Po przywróceniu domeny głównej forest można uzyskać listę innych domen, DCs i witryn w lesie za pomocą przystawek Active Directory.

przygotuj tabelę, która pokazuje funkcje każdego DC w domenie, jak pokazano w poniższym przykładzie. Pomoże to przywrócić konfigurację lasu przed awarią po odzyskaniu.

dla każdej domeny w lesie określ pojedynczy zapisywalny DC, który ma zaufaną kopię zapasową bazy danych Active Directory dla tej domeny. Zachowaj ostrożność podczas wybierania kopii zapasowej, aby przywrócić DC. Jeśli dzień i przyczyna awarii są w przybliżeniu znane, ogólnym zaleceniem jest użycie kopii zapasowej wykonanej kilka dni przed tą datą.

w tym przykładzie istnieją cztery kandydatury do tworzenia kopii zapasowych: DC_1, DC_2, DC_4 i DC_5. Spośród tych kandydatów do tworzenia kopii zapasowych przywracasz tylko jednego. Zalecanym DC jest DC_5 z następujących powodów:

• spełnia wymagania dotyczące używania go jako źródła do zwirtualizowanego klonowania DC, to znaczy uruchamia Windows Server 2012 jako wirtualny DC na hipernadzorcy, który obsługuje vm-GenerationID, uruchamia oprogramowanie, które można sklonować (lub które można usunąć, jeśli nie można sklonować). Po przywróceniu rola emulatora PDC zostanie przejęta na ten serwer i może zostać dodana do grupy kontrolerów domeny do klonowania dla domeny.
• uruchamia pełną instalację systemu Windows Server 2012. DC, który uruchamia instalację rdzenia serwera, może być mniej wygodny jako cel odzyskiwania.
• jest to serwer DNS. W związku z tym DNS nie musi być ponownie instalowany.

Odzyskiwanie lasu w izolacji

preferowanym scenariuszem jest zamknięcie wszystkich zapisywalnych DCs przed przywróceniem pierwszego przywróconego DC do produkcji. Zapewnia to, że wszelkie niebezpieczne dane nie powielają się z powrotem w odzyskanym lesie. Szczególnie ważne jest zamknięcie wszystkich posiadaczy ról głównych operacji.

jeśli używasz zwirtualizowanych DCs, możesz przenieść je do sieci wirtualnej, która jest odizolowana od sieci produkcyjnej, w której wykonasz odzyskiwanie. Przeniesienie zwirtualizowanego systemu DCs do oddzielnej sieci zapewnia dwie korzyści:

• odzyskane DCs są zabezpieczone przed ponownym wystąpieniem problemu, który spowodował odbudowę lasów, ponieważ są izolowane.
• zwirtualizowane klonowanie DC może być wykonywane w oddzielnej sieci, dzięki czemu krytyczna liczba DCs może być uruchomiona i przetestowana przed ich przywróceniem do sieci produkcyjnej.

jeśli używasz DCs na sprzęcie fizycznym, odłącz kabel sieciowy pierwszego prądu stałego, który zamierzasz przywrócić w domenie forest root. Jeśli to możliwe, odłącz również Kable sieciowe wszystkich innych DCs. Zapobiega to replikacji DCs, jeśli zostaną przypadkowo uruchomione podczas procesu odzyskiwania lasów.

w dużym lesie, który jest rozłożony w wielu miejscach, może być trudno zagwarantować, że wszystkie pisowalne DCs są wyłączone. Z tego powodu kroki odzyskiwania-takie jak resetowanie konta komputerowego i konta krbtgt, oprócz czyszczenia metadanych—mają na celu zapewnienie, że odzyskane DCS z możliwością zapisu nie replikują się z niebezpiecznymi DCS z możliwością zapisu (w przypadku, gdy niektóre z nich są nadal online w lesie).

jednak tylko wyłączając writeable DCS możesz zagwarantować, że replikacja nie nastąpi. W związku z tym, o ile to możliwe, należy wdrożyć technologię zdalnego zarządzania, która może pomóc w wyłączeniu i fizycznej izolacji zapisywalnego DCs podczas odzyskiwania lasów.

RODCs mogą nadal działać, gdy DCS do zapisu są offline. Żadne inne DC nie będzie bezpośrednio replikować żadnych zmian z jakiegokolwiek RODC-zwłaszcza, brak zmian w schemacie lub kontenerze konfiguracji-więc nie stanowią one takiego samego ryzyka jak DC do zapisu podczas odzyskiwania. Po tym, jak wszystkie możliwe do zapisania DCs zostaną odzyskane i uruchomione, powinieneś odbudować wszystkie RODCs.

RODCs będzie nadal zezwalał na dostęp do lokalnych zasobów, które są buforowane w ich odpowiednich witrynach, podczas gdy operacje odzyskiwania trwają równolegle. Lokalne zasoby, które nie są buforowane w RODC, będą miały żądania uwierzytelnienia przekazywane do zapisywalnego DC. Te żądania nie powiodą się, ponieważ DCS do zapisu są offline. Niektóre operacje, takie jak zmiana hasła, również nie będą działać, dopóki nie odzyskasz zapisywalnego DCs.

jeśli używasz architektury sieciowej hub-and-spoke, możesz najpierw skoncentrować się na odzyskiwaniu zapisywalnego DCs w witrynach hub. Później możesz odbudować rodki w odległych miejscach.

• AD forest Recovery – wymagania wstępne
• AD Forest Recovery – opracowanie niestandardowego planu odbudowy lasu
• AD Forest Recovery – zidentyfikowanie problemu
• AD Forest Recovery – określenie, jak odzyskać
• AD Forest Recovery – wykonanie wstępnego odzyskania
• AD Forest Recovery – procedury
• AD forest recovery – najczęściej zadawane pytania
• AD forest Recovery – odzyskiwanie pojedynczej domeny w wielodomenowym lesie
• AD forest Recovery – Odzyskiwanie lasu za pomocą kontrolerów domeny Windows Server 2003