Bestäm hur skogen ska återvinnas

  • artikel
  • 08/16/2021
  • 12 minuter att läsa
    • i
    • v
    • d
    • v
    • e
    • +5
är den här sidan till hjälp?

tack.

gäller för: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 och 2012 R2, Windows Server 2008 och 2008 R2

återställa en hel Active Directory-skog innebär att du antingen återställer den från säkerhetskopiering eller installerar om Active Directory Domain Services (AD DS) på alla domänkontrollanter (DC) i skogen. Återställa skogen återställer varje domän i skogen till sitt tillstånd vid tiden för den senaste betrodda säkerhetskopian. Följaktligen kommer återställningsoperationen att resultera i förlust av åtminstone följande Active Directory-data:

  • alla objekt (t.ex. användare och datorer) som lades till efter den senaste betrodda säkerhetskopian
  • alla uppdateringar som gjordes för befintliga objekt sedan den senaste betrodda säkerhetskopian
  • alla ändringar som gjordes för antingen konfigurationspartitionen eller schemapartitionen i AD DS (t. ex. schemaändringar) sedan den senaste betrodda säkerhetskopian

för varje domän i skogen, den lösenordet för ett domänadministratörskonto måste vara känt. Företrädesvis är detta lösenordet för det inbyggda administratörskontot. Du måste också känna till dsrm-lösenordet för att utföra en systemtillståndsåterställning av en DC. I allmänhet är det en bra praxis att arkivera administratörskontot och dsrm-lösenordshistoriken på ett säkert ställe så länge säkerhetskopiorna är giltiga, det vill säga inom tombstone-livstidsperioden eller inom den borttagna objektets livstidsperiod om Active Directory-papperskorgen är aktiverad. Du kan också synkronisera dsrm-lösenordet med ett domänanvändarkonto för att göra det lättare att komma ihåg. Mer information finns i artikel 961320 i KB. Synkronisering av dsrm-kontot måste göras före skogsåtervinningen, som en del av förberedelserna.

Obs!

administratörskontot är som standard medlem i den inbyggda gruppen Administratörer, liksom grupperna domänadministratörer och företagsadministratörer. Denna grupp har full kontroll över alla DCs i domänen.

bestämma vilka säkerhetskopior som ska användas

säkerhetskopiera minst två skrivbara DCs för varje domän regelbundet så att du har flera säkerhetskopior att välja mellan. Observera att du inte kan använda säkerhetskopian av en skrivskyddad domänkontrollant (RODC) för att återställa en skrivbar DC. Vi rekommenderar att du återställer DCs genom att använda säkerhetskopior som togs några dagar innan felet inträffade. I allmänhet måste du bestämma en avvägning mellan de återställda dataens senaste och säkerhet. Att välja en nyare säkerhetskopia återställer mer användbara data, men det kan öka risken för att återinföra farliga data i den återställda skogen.

återställa säkerhetskopior av systemtillstånd beror på det ursprungliga operativsystemet och servern för säkerhetskopian. Du bör till exempel inte återställa en säkerhetskopia av systemstatus till en annan server. I det här fallet kan du se följande varning:

”den angivna säkerhetskopian är av en annan server än den nuvarande. Vi rekommenderar inte att du utför en systemtillståndsåterställning med säkerhetskopian till en alternativ server eftersom servern kan bli oanvändbar. Är du säker på att du vill använda den här säkerhetskopian för att återställa den aktuella servern?”

om du behöver återställa Active Directory till annan maskinvara, skapa fullständiga serverbackups och planera att utföra en fullständig serveråterställning.

viktigt

från och med Windows Server 2008 stöds det inte för att återställa systemstatusbackup till en ny installation av Windows Server på ny maskinvara eller samma maskinvara. Om Windows Server installeras om på samma maskinvara, som rekommenderas senare i den här guiden, kan du återställa domänkontrollanten i den här ordningen:

  1. utför en fullständig serveråterställning för att återställa operativsystemet och alla filer och applikationer.
  2. utför en återställning av systemstatus med wbadmin.exe för att markera SYSVOL som auktoritativ.

mer information finns i artikel 249694 i Microsoft KB.

om tiden för felets förekomst är okänd, undersök vidare för att identifiera säkerhetskopior som håller skogens sista säkra tillstånd. Detta tillvägagångssätt är mindre önskvärt. Därför rekommenderar vi starkt att du håller detaljerade loggar om hälsotillståndet för AD DS dagligen så att om det finns ett skogsomfattande fel kan den ungefärliga tiden för fel identifieras. Du bör också behålla en lokal kopia av säkerhetskopior för att möjliggöra snabbare återställning.

om Active Directory-papperskorgen är aktiverad är säkerhetskopieringstiden lika med deletedObjectLifetime-värdet eller tombstoneLifetime-värdet, beroende på vilket som är mindre. Mer information finns i steg-för-steg-Guide för Active Directory-papperskorgen (https://go.microsoft.com/fwlink/?LinkId=178657).

som ett alternativ kan du också använda Active Directory-databasmonteringsverktyget (Dsamain.exe) och ett LDAP-verktyg (Lightweight Directory Access Protocol), till exempel Ldp.exe-eller Active Directory-användare och datorer, för att identifiera vilken säkerhetskopia som har det sista säkra tillståndet i skogen. Active Directory – databasens monteringsverktyg, som ingår i Windows Server 2008 och senare Windows Server-operativsystem, exponerar Active Directory-data som lagras i säkerhetskopior eller ögonblicksbilder som en LDAP-server. Sedan kan du använda ett LDAP-verktyg för att bläddra i data. Detta tillvägagångssätt har fördelen att du inte behöver starta om någon DC i Directory Services Restore Mode (Dsrm) för att undersöka innehållet i säkerhetskopian av AD DS.

mer information om hur du använder Active Directory-databasens monteringsverktyg finns i steg-för-steg-guiden för Active Directory-databasens Monteringsverktyg.

du kan också använda kommandot ntdsutil snapshot för att skapa ögonblicksbilder av Active Directory-databasen. Genom att schemalägga en aktivitet för att regelbundet skapa ögonblicksbilder kan du få ytterligare kopior av Active Directory-databasen över tiden. Du kan använda dessa kopior för att bättre identifiera när det skogsomfattande felet inträffade och sedan välja den bästa säkerhetskopian att återställa. Om du vill skapa ögonblicksbilder använder du den version av ntdsutil som levereras med Windows Server 2008 eller RSAT (Remote Server Administration Tools) för Windows Vista eller senare. Målet DC kan köra någon version av Windows Server. Mer information om hur du använder kommandot ntdsutil snapshot finns i Snapshot.

att bestämma vilka domänkontrollanter som ska återställas

enkel återställningsprocessen är en viktig faktor när man bestämmer vilken domänkontrollant som ska återställas. Det rekommenderas att ha en dedikerad DC för varje domän som är den föredragna DC för en återställning. En dedikerad restore DC gör det lättare att på ett tillförlitligt sätt planera och utföra skogsåtervinningen eftersom du använder samma källkonfiguration som användes för att utföra återställningstester. Du kan Scripta återställningen och inte strida mot olika konfigurationer, till exempel om DC har Operations master-roller eller inte, eller om det är en GC-eller DNS-server eller inte.

Obs

även om det inte rekommenderas att återställa en operations master-rollinnehavare för enkelhetens skull, kan vissa organisationer välja att återställa en för andra fördelar. Till exempel återställa RID master kan hjälpa till att förhindra problem med att hantera RIDs under återhämtningen.

välj en DC som bäst uppfyller följande kriterier:

  • en DC som är skrivbar. Detta är obligatoriskt.

  • en DC som kör Windows Server 2012 som en virtuell maskin på en hypervisor som stöder VM-GenerationID. Denna DC kan användas som en källa för kloning.

  • en DC som är tillgänglig, antingen fysiskt eller på ett virtuellt nätverk, och företrädesvis ligger i ett datacenter. På så sätt kan du enkelt isolera det från nätverket under skogsåtervinning.

  • en DC som har en bra Full Server backup. En bra säkerhetskopia är en säkerhetskopia som kan återställas framgångsrikt, togs några dagar före felet och innehåller så mycket användbar data som möjligt.

  • en DC som var en DNS-server (Domain Name System) före felet. Detta sparar den tid som krävs för att installera om DNS.

  • om du också använder Windows Deployment Services väljer du en DC som inte är konfigurerad för att använda BitLocker Network Unlock. I det här fallet stöds inte BitLocker Network Unlock för att användas för den första DC som du återställer från säkerhetskopiering under en skogsåterställning.

    BitLocker Network Unlock som det enda nyckelskyddet kan inte användas på DCs där du har distribuerat Windows Deployment Services (WDS) eftersom det resulterar i ett scenario där den första DC kräver att Active Directory och WDS fungerar för att låsa upp. Men innan du återställer den första DC är Active Directory ännu inte tillgänglig för WDS, så det kan inte låsa upp.

    för att avgöra om en DC är konfigurerad att använda BitLocker Network Unlock, kontrollera att ett nätverkslåsningscertifikat identifieras i följande registernyckel:

    HKEY_LOCAL_MACHINESoftwarePoliciesmicrosoftsystemcertificatesfve_nkp

underhålla säkerhetsprocedurer när du hanterar eller återställer säkerhetskopieringsfiler som innehåller Active Directory. Den brådska som följer med skogsåtervinning kan oavsiktligt leda till att man förbiser bästa praxis för säkerhet. Mer information finns i avsnittet ”upprätta strategier för säkerhetskopiering och återställning av domänkontrollanter” i Best Practice Guide för att säkra Active Directory-installationer och den dagliga verksamheten: del II.

identifiera den aktuella skogsstrukturen och LIKSTRÖMSFUNKTIONERNA

Bestäm den aktuella skogsstrukturen genom att identifiera alla domäner i skogen. Gör en lista över alla DCs i varje domän, särskilt DCs som har säkerhetskopior och virtualiserade DCs som kan vara en källa för kloning. En lista över DCs för skogsrotdomänen är den viktigaste eftersom du kommer att återställa den här domänen först. När du har återställt skogsrotdomänen kan du få en lista över de andra domänerna, DCs och platserna i skogen med hjälp av snapin-moduler för Active Directory.

Förbered en tabell som visar funktionerna för varje DC i domänen, som visas i följande exempel. Detta hjälper dig att återgå till skogens konfiguration före fel efter återhämtning.

DC namn operativsystem FSMO GC RODC Backup DNS Server kärna VM VM-GenID
DC_1 Windows Server 2012 schema mästare, domännamns mästare Ja Nej Ja Nej Nej ja
DC_2 Windows Server 2012 ingen Ja Nej Ja Ja Ja Ja Ja
DC_3 Windows Server 2012 Infrastruktur mästare Nej Nej Nej Ja Ja Ja Ja
DC_4 Windows Server 2012 PDC emulator, RID Master Ja Nej Nej Nej Nej nej
DC_5 Windows Server 2012 ingen Nej Nej Ja Ja Nej Ja Ja
RODC_1 Windows Server 2008 R2 ingen Ja Ja Ja Ja Ja Nej
RODC_2 Windows Server 2008 ingen Ja Ja Nej Ja Ja Ja Nej

för varje domän i skogen, identifiera en enda skrivbar DC som har en betrodd säkerhetskopia av Active Directory-databasen för den domänen. Var försiktig när du väljer en säkerhetskopia för att återställa en DC. Om dagen och orsaken till felet är ungefär kända är den allmänna rekommendationen att använda en säkerhetskopia som gjordes några dagar före det datumet.

i det här exemplet finns det fyra reservkandidater: DC_1, DC_2, DC_4 och DC_5. Av dessa säkerhetskopieringskandidater återställer du bara en. Den rekommenderade DC är DC_5 av följande skäl:

  • den uppfyller kraven för att använda den som en källa för virtualiserad DC-kloning, det vill säga den kör Windows Server 2012 som en virtuell DC på en hypervisor som stöder VM-GenerationID, kör programvara som får klonas (eller som kan tas bort om den inte kan klonas). Efter återställningen kommer PDC-emulatorrollen att gripas till den servern och den kan läggas till i gruppen Cloneable Domain Controllers för domänen.
  • det kör en fullständig installation av Windows Server 2012. En DC som kör en Server Core-installation kan vara mindre bekväm som ett mål för återställning.
  • det är en DNS-server. Därför behöver DNS inte installeras om.

Obs!

eftersom DC_5 inte är en global katalogserver har den också en fördel genom att den globala katalogen inte behöver tas bort efter återställningen. Men huruvida DC också är en global katalogserver eller inte är inte en avgörande faktor eftersom alla DCs börjar med Windows Server 2012, är globala katalogservrar som standard, och att ta bort och lägga till den globala katalogen efter återställningen rekommenderas som en del av skogsåtervinningsprocessen.

Återställ skogen isolerat

det föredragna scenariot är att stänga av alla skrivbara DC innan den första återställda DC återförs till produktion. Detta säkerställer att farliga data inte replikeras tillbaka till den återvunna skogen. Det är särskilt viktigt att stänga av alla operations master Roll innehavare.

Obs

det kan finnas fall där du flyttar den första DC som du planerar att återställa för varje domän till ett isolerat nätverk samtidigt som andra DC att förbli online för att minimera driftstopp. Om du till exempel återhämtar dig från en misslyckad schemauppgradering kan du välja att behålla domänkontrollanter som körs i produktionsnätverket medan du utför återställningssteg isolerat.

om du kör virtualized DCs kan du flytta dem till ett virtuellt nätverk som är isolerat från produktionsnätverket där du ska utföra återställning. Att flytta virtualiserade DCs till ett separat nätverk ger två fördelar:

  • Återvunna DC: er förhindras från att återkomma till det problem som orsakade skogsåtervinningen eftersom de är isolerade.
  • virtualiserad DC-kloning kan utföras på det separata nätverket så att ett kritiskt antal DC kan köras och testas innan de återförs till produktionsnätet.

om du kör DCs på fysisk hårdvara, koppla bort nätverkskabeln för den första DC som du planerar att återställa i skogsrotdomänen. Om möjligt, koppla också bort nätverkskablarna på alla andra DC: er. Detta förhindrar DCs från att replikera, om de av misstag startas under skogsåtervinningsprocessen.

i en stor skog som är spridd över flera platser kan det vara svårt att garantera att alla skrivbara DC: er stängs av. Av denna anledning är återställningsstegen—som att återställa datorkontot och krbtgt-kontot, förutom metadatarensning-utformade för att säkerställa att de återställda skrivbara DCs inte replikeras med farliga skrivbara DCs (om vissa fortfarande är online i skogen).

men bara genom att ta skrivbara DCs offline kan du garantera att replikering inte sker. Därför bör du, när det är möjligt, distribuera fjärrhanteringsteknik som kan hjälpa dig att stänga av och fysiskt isolera skrivbara DCs under skogsåtervinning.

RODCs kan fortsätta att fungera medan skrivbara DCs är offline. Ingen annan DC kommer direkt att replikera några ändringar från någon RODC-speciellt inga Schema—eller Konfigurationsbehållarändringar-så att de inte utgör samma risk som skrivbara DCs under återställning. När alla skrivbara DCs är återställda och online, bör du bygga om alla RODCs.

RODCs kommer att fortsätta att tillåta åtkomst till lokala resurser som cachas på sina respektive webbplatser medan återställningsoperationerna pågår parallellt. Lokala resurser som inte är cachade på RODC kommer att ha autentiseringsbegäranden vidarebefordras till en skrivbar DC. Dessa förfrågningar kommer att misslyckas eftersom skrivbara DCs är offline. Vissa åtgärder som lösenordsändringar fungerar inte förrän du återställer skrivbara DCs.

om du använder en nav-och-talade nätverksarkitektur kan du koncentrera dig först på att återställa skrivbara DCs i navplatserna. Senare kan du bygga om RODC: erna på avlägsna platser.

  • ad Forest Recovery – förutsättningar
  • AD Forest Recovery – utforma en anpassad skogsåtervinningsplan
  • AD Forest Recovery – identifiera problemet
  • AD Forest Recovery – Bestäm hur du återställer
  • AD Forest Recovery – utför initial återhämtning
  • AD Forest Recovery – procedurer
  • ad Forest recovery – vanliga frågor
  • ad Forest Recovery – återställa en enda domän i en Multidomän skog
  • ad Forest recovery – Forest Recovery med Windows Server 2003 domänkontrollanter

Lämna ett svar

Din e-postadress kommer inte publiceras.