- articol
- 08/16/2021
- 12 minute de citit
-
-
i -
v -
d -
v -
e -
+5
-
se aplică la: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 și 2012 R2, Windows Server 2008 și 2008 R2
recuperarea unei întregi păduri Active Directory implică fie restaurarea acesteia din backup, fie reinstalarea Active Directory Domain Services (AD DS) pe fiecare controler de domeniu (DC) din pădure. Recuperarea pădurii restabilește fiecare domeniu din pădure la starea sa în momentul ultimei copii de rezervă de încredere. În consecință, operația de restaurare va duce la pierderea a cel puțin următoarele date Active Directory:
- toate obiectele (cum ar fi utilizatorii și computerele) care au fost adăugate după ultima copie de rezervă de încredere
- toate actualizările care au fost făcute obiectelor existente de la ultima copie de rezervă de încredere
- toate modificările care au fost făcute fie partiției de configurare, fie partiției de schemă din AD DS (cum ar fi modificările schemei) de la ultima copie de rezervă de încredere
pentru parola unui cont de administrator de domeniu trebuie să fie cunoscută. De preferință, aceasta este parola contului de Administrator încorporat. De asemenea, trebuie să cunoașteți parola DSRM pentru a efectua o restaurare a stării de sistem a unui DC. În general, este o bună practică să arhivați contul de Administrator și istoricul parolei DSRM într-un loc sigur atât timp cât copiile de rezervă sunt valabile, adică în perioada de viață a tombstone sau în perioada de viață a obiectului șters dacă Active Directory Recycle Bin este activat. De asemenea, puteți sincroniza parola DSRM cu un cont de utilizator de domeniu pentru a vă ușura amintirea. Pentru mai multe informații, a se vedea articolul KB 961320. Sincronizarea contului DSRM trebuie făcută înainte de recuperarea pădurii, ca parte a pregătirii.
notă
contul de Administrator este membru implicit al Grupului de administratori încorporați, la fel ca și grupurile de administratori de domeniu și administratori de întreprindere. Acest grup are control deplin asupra tuturor DC – urilor din domeniu.
determinarea copiilor de rezervă pe care să le utilizați
faceți o copie de rezervă a cel puțin două DC-uri înscrise pentru fiecare domeniu în mod regulat, astfel încât să aveți mai multe copii de rezervă din care să alegeți. Rețineți că nu puteți utiliza copia de rezervă a unui controler de domeniu numai în citire (RODC) pentru a restabili un DC care poate fi scris. Vă recomandăm să restaurați DCs utilizând copii de rezervă care au fost luate cu câteva zile înainte de apariția eșecului. În general, trebuie să determinați un compromis între recentitatea și siguranța datelor restaurate. Alegerea unei copii de rezervă mai recente recuperează date mai utile, dar ar putea crește riscul reintroducerii datelor periculoase în pădurea restaurată.
restaurarea copiilor de rezervă ale stării sistemului depinde de sistemul de operare original și de serverul copiei de rezervă. De exemplu, nu ar trebui să restaurați o copie de rezervă a stării sistemului pe un alt server. În acest caz, este posibil să vedeți următorul avertisment:
„copia de rezervă specificată este a unui server diferit de cel curent. Nu recomandăm efectuarea unei recuperări de stare a sistemului cu copia de rezervă pe un server alternativ, deoarece serverul ar putea deveni inutilizabil. Sunteți sigur că doriți să utilizați această copie de rezervă pentru recuperarea serverului curent?”
dacă trebuie să restaurați Active Directory pe hardware diferit, creați copii de rezervă complete pentru server și planificați să efectuați o recuperare completă a serverului.
Important
începând cu Windows Server 2008, nu este acceptat să restaurați backup-ul stării sistemului la o nouă instalare de Windows Server pe hardware nou sau același hardware. Dacă Windows Server este reinstalat pe același hardware, așa cum se recomandă mai târziu în acest ghid, atunci puteți restaura controlerul de domeniu în această ordine:
- efectuați o restaurare completă a serverului pentru a restabili sistemul de operare și toate fișierele și aplicațiile.
- efectuați o restaurare a stării sistemului folosind wbadmin.exe pentru a marca SYSVOL ca autoritate.
pentru mai multe informații, consultați articolul Microsoft KB 249694.
dacă nu se cunoaște momentul apariției defecțiunii, investigați în continuare pentru a identifica copiile de rezervă care dețin ultima stare sigură a pădurii. Această abordare este mai puțin de dorit. Prin urmare, vă recomandăm cu tărie să păstrați zilnic jurnale detaliate despre starea de sănătate a AD DS, astfel încât, dacă există o defecțiune la nivelul întregii păduri, să poată fi identificat timpul aproximativ de eșec. De asemenea, ar trebui să păstrați o copie locală a copiilor de rezervă pentru a permite recuperarea mai rapidă.
dacă Active Directory Recycle Bin este activat, durata de viață de rezervă este egală cu valoarea deletedObjectLifetime sau valoarea tombstoneLifetime, oricare dintre acestea este mai mică. Pentru mai multe informații, consultați ghidul pas cu pas al coșului de reciclare Active Directory (https://go.microsoft.com/fwlink/?LinkId=178657).
ca alternativă, puteți utiliza și instrumentul de montare a bazei de date Active Directory (Dsamain.exe) și un instrument ușor Directory Access Protocol (LDAP), cum ar fi Ldp.exe sau Active Directory utilizatori și computere, pentru a identifica care copie de rezervă are ultima stare sigură a pădurii. Instrumentul de montare a bazei de date Active Directory, care este inclus în sistemele de operare Windows Server 2008 și versiunile ulterioare Windows Server, expune datele Active Directory stocate în copii de rezervă sau instantanee ca server LDAP. Apoi, puteți utiliza un instrument LDAP pentru a răsfoi datele. Această abordare are avantajul de a nu vă cere să reporniți orice DC în Directory Services Restore Mode (DSRM) pentru a examina conținutul copiei de rezervă a AD DS.
pentru mai multe informații despre utilizarea instrumentului de montare a bazei de date Active Directory, consultați ghidul pas cu pas al instrumentului de montare a bazei de date Active Directory.
de asemenea, puteți utiliza comanda Ntdsutil snapshot pentru a crea instantanee ale bazei de date Active Directory. Programând o sarcină pentru a crea periodic instantanee, puteți obține copii suplimentare ale bazei de date Active Directory în timp. Puteți utiliza aceste copii pentru a identifica mai bine când a apărut eșecul la nivel de pădure și apoi alegeți cea mai bună copie de rezervă pentru restaurare. Pentru a crea instantanee, utilizați versiunea de ntdsutil care se livrează cu Windows Server 2008 sau cu instrumentele de administrare a serverului la distanță (RSAT) pentru Windows Vista sau o versiune ulterioară. DC țintă poate rula orice versiune de Windows Server. Pentru mai multe informații despre utilizarea comenzii Ntdsutil snapshot, consultați Snapshot.
determinarea controlerelor de domeniu pentru a restabili
ușurința procesului de restaurare este un factor important atunci când se decide ce controler de domeniu pentru a restabili. Se recomandă să aibă un DC dedicat pentru fiecare domeniu, care este DC preferat pentru o restaurare. O restaurare DC dedicată facilitează planificarea și executarea fiabilă a recuperării pădurilor, deoarece utilizați aceeași configurație sursă care a fost utilizată pentru a efectua teste de restaurare. Puteți scripta recuperarea și nu vă confruntați cu diferite configurații, cum ar fi dacă DC deține roluri principale de operațiuni sau nu sau dacă este un server GC sau DNS sau nu.
notă
deși nu este recomandat să restaurați un titular de rol principal de operațiuni în interesul simplității, unele organizații pot alege să restabilească unul pentru alte avantaje. De exemplu, restaurarea master rid poate ajuta la prevenirea problemelor cu gestionarea RIDs în timpul recuperării.
alegeți un DC care îndeplinește cel mai bine următoarele criterii:
-
un DC care poate fi scris. Acest lucru este obligatoriu.
-
un DC care rulează Windows Server 2012 ca o mașină virtuală pe un hypervisor care acceptă vm-GenerationID. Acest DC poate fi folosit ca sursă pentru clonare.
-
un DC care este accesibil, fie fizic, fie într-o rețea virtuală și, de preferință, situat într-un centru de date. În acest fel, îl puteți izola cu ușurință de rețea în timpul recuperării pădurilor.
-
un DC care are o copie de rezervă completă a serverului. O copie de rezervă bună este o copie de rezervă care poate fi restaurată cu succes, a fost luată cu câteva zile înainte de eșec și conține cât mai multe date utile.
-
un DC care a fost un server DNS (Domain Name System) înainte de eșec. Acest lucru economisește timpul necesar pentru reinstalarea DNS.
-
dacă utilizați și servicii de implementare Windows, alegeți un DC care nu este configurat să utilizeze deblocarea rețelei BitLocker. În acest caz, deblocarea rețelei BitLocker nu este acceptată pentru a fi utilizată pentru primul DC pe care îl restaurați din backup în timpul unei recuperări forestiere.
BitLocker Network Unlock ca singurul protector cheie nu poate fi utilizat pe DCs unde ați implementat Windows Deployment Services (WDS), deoarece acest lucru are ca rezultat un scenariu în care primul DC necesită Active Directory și WDS să funcționeze pentru a debloca. Dar înainte de a restabili primul DC, Active Directory nu este încă disponibil pentru WDS, deci nu se poate debloca.
pentru a determina dacă un DC este configurat să utilizeze deblocarea rețelei BitLocker, verificați dacă un certificat de deblocare a rețelei este identificat în următoarea cheie de registry:
Hkey_local_machinesoftwarepoliciimicrosoftsistemcertificatesfve_nkp
mențineți procedurile de securitate la manipularea sau restaurarea fișierelor de rezervă care includ Active Directory. Urgența care însoțește recuperarea pădurilor poate duce în mod neintenționat la ignorarea celor mai bune practici în materie de securitate. Pentru mai multe informații, consultați secțiunea intitulată „stabilirea strategiilor de Backup și restaurare a controlerului de domeniu” din Ghidul de bune practici pentru securizarea instalărilor Active Directory și a operațiunilor de zi cu zi: Partea II.
identificați structura forestieră actuală și funcțiile DC
determinați structura forestieră actuală identificând toate domeniile din pădure. Faceți o listă cu toate DCs-urile din fiecare domeniu, în special DCs-urile care au copii de rezervă și DCS virtualizate care pot fi o sursă pentru clonare. O listă de DCs pentru domeniul rădăcină de pădure va fi cea mai importantă, deoarece veți recupera mai întâi acest domeniu. După ce restaurați domeniul rădăcină de pădure, puteți obține o listă a celorlalte domenii, DCs și site-urile din pădure utilizând snap-in-uri Active Directory.
pregătiți un tabel care arată funcțiile fiecărui DC din domeniu, așa cum se arată în exemplul următor. Acest lucru vă va ajuta să reveniți la configurația pre-eșec a pădurii după recuperare.
| nume DC | sistem de Operare | FSMO | GC | RODC | Backup | DNS | Server Core | VM | vm-GenID | ||
|---|---|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | master schemă, master denumire domeniu | Da | nu | Da | nu | nu | nu | Da | da | |
| DC_2 | Windows Server 2012 | nici unul | Da | nu | Da | Da | nu | Da | Da | ||
| DC_3 | Windows Server 2012 | Master infrastructură | nu | nu | nu | Da | Da | Da | Da | Da | Da |
| DC_4 | Windows Server 2012 | emulator PDC, maestru RID | Da | nu | nu | nu | nu | nu | Da | nu | |
| DC_5 | Windows Server 2012 | nici unul | nu | nu | Da | Da | nu | Da | Da | ||
| RODC_1 | Windows Server 2008 R2 | nici unul | Da | Da | Da | Da | Da | Da | Da | Da | Da |
| RODC_2 | Windows Server 2008 | nici unul | Da | Da | nu | Da | Da | Da | Da | Da |
pentru fiecare domeniu din pădure, identificați un singur DC care poate fi scris care are o copie de rezervă de încredere a bazei de date Active Directory pentru acel domeniu. Aveți grijă când alegeți o copie de rezervă pentru a restabili un DC. Dacă ziua și cauza eșecului sunt aproximativ cunoscute, recomandarea generală este să folosiți o copie de rezervă care a fost făcută cu câteva zile înainte de acea dată.
în acest exemplu, există patru candidați de rezervă: DC_1, DC_2, DC_4 și DC_5. Dintre acești candidați de rezervă, restaurați doar unul. DC recomandat este DC_5 din următoarele motive:
- satisface cerințele pentru utilizarea acestuia ca sursă pentru clonarea DC virtualizată, adică rulează Windows Server 2012 ca DC virtual pe un hipervizor care acceptă vm-GenerationID, rulează software care este permis să fie clonat (sau care poate fi eliminat dacă nu poate fi clonat). După restaurare, rolul emulator PDC va fi confiscat la acel server și poate fi adăugat la grupul controlere de domeniu Cloneable pentru domeniu.
- se execută o instalare completă a Windows Server 2012. Un DC care rulează o instalare Server Core poate fi mai puțin convenabil ca țintă pentru recuperare.
- este un server DNS. Prin urmare, DNS nu trebuie reinstalat.
notă
deoarece DC_5 nu este un server de catalog global, are, de asemenea, un avantaj în care catalogul global nu trebuie să fie eliminate după restaurare. Dar dacă DC este sau nu un server de catalog global nu este un factor decisiv, deoarece începând cu Windows Server 2012, toate DCs sunt servere de catalog global în mod implicit și eliminarea și adăugarea catalogului global după restaurare este recomandată ca parte a procesului de recuperare a pădurilor în orice caz.
recuperarea pădurii în izolare
scenariul preferat este închiderea tuturor DC-urilor înscrise înainte ca primul DC restaurat să fie readus în producție. Acest lucru asigură că orice date periculoase nu se reproduc înapoi în pădurea recuperată. Este deosebit de important să închideți toți deținătorii de roluri principale de operațiuni.
notă
pot exista cazuri în care mutați primul DC pe care intenționați să îl recuperați pentru fiecare domeniu într-o rețea izolată, permițând în același timp altor DCs să rămână online pentru a minimiza timpul de nefuncționare al sistemului. De exemplu, dacă vă recuperați după o actualizare eșuată a schemei, puteți alege să păstrați controlerele de domeniu care rulează în rețeaua de producție în timp ce efectuați pașii de recuperare în mod izolat.
dacă rulați DCs virtualizate, le puteți muta într-o rețea virtuală izolată de rețeaua de producție unde veți efectua recuperarea. Mutarea DCs virtualizat într-o rețea separată oferă două avantaje:
- DC-urile recuperate sunt împiedicate să reapară problema care a cauzat recuperarea pădurilor, deoarece sunt izolate.
- clonarea DC virtualizată poate fi efectuată în rețeaua separată, astfel încât un număr critic de DCs să poată fi rulat și testat înainte de a fi readus în rețeaua de producție.
dacă executați DCs pe hardware fizic, deconectați cablul de rețea al primului DC pe care intenționați să îl restaurați în domeniul rădăcină forestieră. Dacă este posibil, deconectați și cablurile de rețea ale tuturor celorlalte DCs. Acest lucru împiedică replicarea DCs, dacă acestea sunt pornite accidental în timpul procesului de recuperare a pădurilor.
într-o pădure mare, care este răspândit în mai multe locații, poate fi dificil să se garanteze că toate DCs inscriptibile sunt închise. Din acest motiv, pașii de recuperare—cum ar fi resetarea contului computerului și a contului krbtgt, pe lângă curățarea metadatelor—sunt concepute pentru a se asigura că DCs-urile inscripționabile recuperate nu se reproduc cu DCS periculoase (în cazul în care unele sunt încă online în pădure).
cu toate acestea, numai prin luarea DCS scris offline puteți garanta că replicarea nu are loc. Prin urmare, ori de câte ori este posibil, ar trebui să implementați o tehnologie de gestionare la distanță care vă poate ajuta să închideți și să izolați fizic DCs care poate fi scris în timpul recuperării pădurilor.
RODCs poate continua să funcționeze în timp ce DCS inscriptibil sunt offline. Nici un alt DC va reproduce direct orice modificări de la orice RODC—mai ales, nici o schemă sau configurare container modificări—astfel încât acestea nu prezintă același risc ca DCS inscriptibil în timpul recuperării. După ce toate DCs inscriptibil sunt recuperate și on-line, ar trebui să reconstruiască toate RODCs.
RODCs va continua să permită accesul la resursele locale care sunt memorate în cache în site-urile lor respective, în timp ce operațiunile de recuperare se desfășoară în paralel. Resursele locale care nu sunt memorate în cache pe RODC vor avea cereri de autentificare transmise către un DC care poate fi scris. Aceste cereri vor eșua, deoarece DCS inscriptibil sunt offline. Unele operații, cum ar fi modificările de parolă, nu vor funcționa până când nu recuperați DCs inscriptibil.
dacă utilizați o arhitectură de rețea hub-and-spoke, vă puteți concentra mai întâi pe recuperarea DCs inscriptibil în site-urile hub. Mai târziu, puteți reconstrui RODC-urile în site-uri la distanță.
- AD Forest Recovery – premise
- AD Forest Recovery – elaborarea unui plan personalizat de recuperare a pădurilor
- AD Forest Recovery – identificarea problemei
- AD Forest Recovery – determinarea modului de recuperare
- AD Forest Recovery – efectuarea recuperării inițiale
- AD Forest Recovery – proceduri
- AD forest recovery – întrebări frecvente
- AD forest Recovery – Recuperarea unui singur domeniu într – o pădure Multidomeniu
- AD forest recovery-forest recovery cu controlere de domeniu Windows Server 2003