Delen via

Herstel van Active Directory-forest : de eerste herstelbewerking uitvoeren

Deze sectie bevat de volgende stappen:

De eerste beschrijfbare domeincontroller in elk domein herstellen

Voer vanaf een beschrijfbare domeincontroller in het foresthoofddomein de stappen in deze sectie uit om de eerste DC te herstellen. Het foresthoofddomein is belangrijk omdat het de groepen SchemaAdministratoren en Ondernemingsadministratoren opslaat. Het helpt ook bij het onderhouden van de vertrouwenshiërarchie in het forest. Daarnaast bevat het foresthoofddomein meestal de DNS-hoofdserver voor de DNS-naamruimte van het forest. Daarom bevat de Active Directory-geïntegreerde DNS-zone voor dat domein de aliasbronrecords (CNAME) voor alle andere DC's in het forest (die vereist zijn voor replicatie) en de DNS-bronrecords van de globale catalogus.

Nadat u het foresthoofddomein hebt hersteld, herhaalt u dezelfde stappen om de resterende domeinen in het forest te herstellen. U kunt meerdere domeinen tegelijkertijd herstellen. Herstel echter altijd eerst een bovenliggend domein voordat u een subdomein herstelt, om onderbrekingen in de vertrouwenshiërarchie of de DNS-naamresolutie te voorkomen.

Voor elk domein dat u herstelt, herstelt u één schrijfbare domeincontroller uit een back-up. Dit is het belangrijkste onderdeel van het herstel omdat de DC een database moet hebben die niet is beïnvloed door wat ervoor zorgt dat het forest mislukt. Het is belangrijk om een vertrouwde back-up te hebben die grondig wordt getest voordat deze in de productieomgeving wordt geïntroduceerd.

Voer vervolgens de volgende stappen uit. Procedures voor het uitvoeren van bepaalde stappen bevinden zich in AD Forest Recovery - Procedures.

  1. Als u van plan bent een fysieke server te herstellen, moet u ervoor zorgen dat de netwerkkabel van de doel-DC niet is aangesloten en daarom niet is verbonden met het productienetwerk. Voor een virtuele machine kunt u de netwerkadapter verwijderen of een netwerkadapter gebruiken die is gekoppeld aan een ander netwerk, waar u het herstelproces kunt testen terwijl deze is geïsoleerd van het productienetwerk.

  2. Omdat dit de eerste schrijfbare DC in het domein is, moet u een niet-bindende herstelbewerking van AD DS en een gezaghebbende herstelbewerking van SYSVOL uitvoeren. De herstelbewerking moet worden voltooid met behulp van een Active Directory-compatibele back-up- en hersteltoepassing, zoals Windows Server Backup (aanbevolen). Als Hyper-Visor generatie-id op de host wordt ondersteund, kunt u ook de niet-verificatieve herstelbewerking uitvoeren met behulp van een VM-momentopname.

    • Een gezaghebbende herstelbewerking van SYSVOL is vereist op de eerste herstelde domeincontroller, omdat de replicatie van de SYSVOL-map opnieuw moet worden opgestart met de nieuwe exemplaren nadat u zich van een ramp hebt hersteld. Alle volgende DC's die in het domein worden toegevoegd, moeten hun SYSVOL-map opnieuw synchroniseren met een kopie van de map die is geselecteerd om gezaghebbend te zijn.

      Waarschuwing

      Voer een gezaghebbende (of primaire) herstelbewerking van SYSVOL alleen uit voor de eerste domeincontroller die moet worden hersteld in het foresthoofddomein. Het onjuist uitvoeren van primaire herstelbewerkingen van de SYSVOL op andere DC's leidt tot replicatieconflicten van SYSVOL-gegevens. Er zijn twee opties voor het uitvoeren van een niet-verificatieve herstelbewerking van AD DS en een gezaghebbende herstelbewerking van SYSVOL:

    • Voer een volledig serverherstel uit en dwing vervolgens een gezaghebbende synchronisatie van SYSVOL af. Zie voor gedetailleerde procedures Het uitvoeren van een volledig serverherstel en Een gezaghebbende synchronisatie van door DFSR gerepliceerde SYSVOL-uitvoeren.

    • Voer een volledig serverherstel uit, gevolgd door een systeemstatusherstel. Voor deze optie moet u vooraf beide typen back-ups maken: een volledige serverback-up en een systeemstatusback-up. Zie Uitvoeren van een volledig serverherstel en Uitvoeren van een niet-geverifieerd herstel van Active Directory Domain Servicesvoor gedetailleerde procedures.

  3. Nadat u de beschrijfbare domeincontroller hebt hersteld en opnieuw hebt opgestart, controleert u of de fout geen invloed heeft op de gegevens op de domeincontroller. Als de DC-gegevens beschadigd zijn, herhaalt u stap 2 met een andere back-up.

    • Als de herstelde domeincontroller als host fungeert voor een Operations Master-rol, moet u mogelijk de volgende registervermelding toevoegen om te voorkomen dat AD DS niet beschikbaar is totdat de replicatie van een beschrijfbare directorypartitie is voltooid:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
Perform Initial Synchronizations

      Maak de vermelding met het gegevenstype REG_DWORD en een waarde van 0. Nadat het forest volledig is hersteld, kunt u de waarde van deze vermelding opnieuw instellen op 1. Hiervoor is een domeincontroller vereist die opnieuw wordt opgestart en de operations master-rollen beheert om succesvolle inkomende en uitgaande AD DS-replicatie met de bekende replicapartners te voltooien voordat deze zichzelf als domeincontroller adverteert en diensten aan clients gaat leveren. Zie Active Directory FSMO-rollenvoor meer informatie over initiële synchronisatievereisten.

  4. Ga door naar de volgende stappen nadat u de gegevens hebt hersteld en gecontroleerd en voordat u deze computer aan het productienetwerk koppelt.

  5. Als u vermoedt dat de forestbrede fout te maken heeft met netwerkinbraak of schadelijke aanvallen, stelt u de accountwachtwoorden opnieuw in voor alle beheerdersaccounts, waaronder leden van de ondernemingsadministratoren, domeinadministratoren, schemabeheerders, serveroperators, accountoperators, enzovoort. De procedure voor het voltooien van het wachtwoordherstel van het krbtgt-account is ook nodig. Het opnieuw instellen van beheerdersaccountwachtwoorden moet voltooid zijn voordat tijdens de volgende fase van het herstel van de directorystructuur extra domeincontrollers worden geïnstalleerd.

    In dit geval werkt u ook aan het vervangen van alle GMSA-wachtwoorden alsof een beheerdersaccount is overgenomen, de aanvaller mogelijk informatie heeft opgehaald waarmee ze zich kunnen verifiëren als GMSA. Zie het artikel over de gouden GMSA-aanvalvoor meer informatie.

  6. Als u vermoedt dat er inbreuk is gemaakt op gebruikersaccounts, moet u ook plannen voor het opnieuw instellen van gebruikerswachtwoorden voor alle gebruikers in het domein.

  7. Op de eerste herstelde domeincontroller in het hoofddomein van het forest neemt u alle domeinbrede en forestbrede operations-masterrollen over. Referenties van Enterprise-administrators en Schema-administrators zijn vereist om forest-brede operationele hoofdrollen over te nemen.

    In elk kinddomein moeten indien nodig de domeinbrede operations-masterrollen overgenomen worden. Hoewel u de operations-masterrollen mogelijk slechts tijdelijk op de herstelde domeincontroller behoudt, zorgt het overnemen van deze rollen ervoor dat u weet welke DC deze rollen op dit moment host in het forestherstelproces. Als onderdeel van uw post-herstelproces kunt u de operations-masterrollen indien nodig opnieuw distribueren. Zie Het overnemen van een operations-masterrolvoor meer informatie over het overnemen van operations-masterrollen. Voor aanbevelingen over waar de operations-masterrollen te plaatsen, zie Wat zijn Operations-masters?. Zie ook FSMO-plaatsing (Flexible Single-Master Operation) en optimalisatie op AD DCs.

  8. Verwijder metagegevens van alle andere schrijfbare DC's in het foresthoofddomein die u niet herstelt vanuit back-up (alle schrijfbare DC's in het domein, met uitzondering van deze eerste DC). Als u de versie van Active Directory: gebruikers en computers of Active Directory-sites en -services gebruikt die deel uitmaakt van Windows Server 2012 of hoger of RSAT voor Windows 10 of hoger, wordt het opschonen van metagegevens automatisch uitgevoerd wanneer u een DC-object verwijdert. Daarnaast worden het serverobject en het computerobject voor de verwijderde DC ook automatisch verwijderd. Zie voor meer informatie Metagegevens van verwijderde beschrijfbare DC'sen Metagegevens van AD DS-server opschonen.

    Opschonen van metagegevens voorkomt mogelijke duplicatie van NTDS-instellingenobjecten als AD DS is geïnstalleerd op een domeincontroller op een andere site. Mogelijk kan dit de Knowledge Consistency Checker (KCC) ook besparen van het proces van het maken van replicatiekoppelingen wanneer de DC's zelf mogelijk niet aanwezig zijn. Bovendien worden DNS-bronrecords voor DC Locator voor alle andere DC's in het domein verwijderd als onderdeel van het opschonen van metagegevens.

    Totdat de metagegevens van alle andere DC's in het domein zijn verwijderd, zal deze domeincontroller, indien het een RID-master was voor herstel, de RID-hoofdrol niet aannemen en daarom niet in staat zijn nieuwe RID's uit te geven. Mogelijk ziet u gebeurtenis-id 16650 in het systeemlogboek in Logboeken die deze fout aangeeft, maar u zou gebeurtenis-id 16648 moeten zien, die aangeeft dat de taak is geslaagd kort nadat u de metagegevens hebt opgeschoond.

  9. Als u DNS-zones hebt die zijn opgeslagen in AD DS, controleert u of de lokale DNS-serverservice is geïnstalleerd en wordt uitgevoerd op de domeincontroller die u hebt hersteld. Als deze domeincontroller geen DNS-server was vóór de forestfout, moet u de DNS-serverfunctie op de DC installeren en configureren of moet een DNS-server beschikbaar zijn in de herstelomgeving.

    Configureer in het foresthoofddomein de herstelde domeincontroller met een eigen IP-adres als voorkeurs-DNS-server. U kunt deze instelling configureren in de TCP/IP-eigenschappen van de LAN-adapter (Local Area Network). Dit is de eerste DNS-server in het forest. Zie Aanbevelingen voor DNS-clientinstellingen (Domain Name System)voor meer informatie.

    Configureer in elk subdomein de herstelde domeincontroller met het IP-adres van de eerste DNS-server in het rootdomein van het forest als zijn voorkeurs-DNS-server. U kunt deze instelling configureren in de TCP/IP-eigenschappen van de LAN-adapter. Zie Aanbevelingen voor DNS-clientinstellingen (Domain Name System)voor meer informatie.

    Verwijder in de _msdcs- en domein-DNS-zones NS-records van DC's die niet meer bestaan na het opschonen van metagegevens. Controleer of de SRV-records van de opgeschoonde DC's zijn verwijderd. Voer de volgende opdracht uit om het verwijderen van DNS SRV-records te versnellen:

    nltest.exe /dsderegdns:server.domain.tld

  10. Verhoog de waarde van de beschikbare RID-groep met 100.000. Zie De waarde van beschikbare RID-groepen verhogenvoor meer informatie. Als u reden hebt om te geloven dat het verhogen van de RID-groep met 100.000 onvoldoende is voor uw specifieke situatie, moet u bepalen, rekening houdend met het gemiddelde RID-verbruik voor uw omgeving, de laagste toename die nog steeds veilig is om te gebruiken. RID's zijn een eindige resource die niet onnodig moet worden gebruikt.

    Als er nieuwe beveiligingsprinciplen zijn gemaakt in het domein na de tijd van de back-up die u voor het herstellen gebruikt, hebben deze beveiligingsprinciplen mogelijk toegangsrechten voor bepaalde objecten. Deze beveiligingsprinciplen bestaan niet meer na herstel omdat het herstel is teruggezet naar de back-up; hun toegangsrechten kunnen echter nog steeds bestaan. Als de beschikbare RID-pool na een herstel niet wordt verhoogd, kunnen nieuwe gebruikersobjecten die worden aangemaakt na het herstel van het forest per ongeluk identieke beveiligings-id's (SID's) krijgen en toegang hebben tot die objecten, wat oorspronkelijk niet de bedoeling was.

    Er kan bijvoorbeeld een nieuwe werknemer zijn geweest. Het gebruikersobject bestaat niet meer na de herstelbewerking omdat het is gemaakt na de back-up die is gebruikt om het domein te herstellen. Alle toegangsrechten die aan dat gebruikersobject zijn toegewezen, kunnen echter behouden blijven na de herstelbewerking. Als de SID voor dat gebruikersobject na de herstelbewerking opnieuw wordt toegewezen aan een nieuw object, krijgt het nieuwe object deze toegangsrechten.

  11. De huidige RID-groep ongeldig maken. De huidige RID-groep is ongeldig nadat de systeemstatus is hersteld. Maar als er geen systeemstatusherstel is uitgevoerd, moet de huidige RID-pool ongeldig worden gemaakt om te voorkomen dat de herstelde DC RID's opnieuw uitgeeft uit de RID-pool die is toegewezen op het moment dat de back-up werd gemaakt. Zie De huidige RID-groep ongeldig makenvoor meer informatie.

    Notitie

    De eerste keer dat u probeert een object met een SID te maken nadat u de RID-groep ongeldig hebt gemaakt, krijgt u een foutmelding. De poging om een object te maken activeert een aanvraag voor een nieuwe RID-groep. Het opnieuw proberen van de bewerking slaagt omdat de nieuwe RID-groep wordt toegewezen.

  12. Stel het wachtwoord van het computeraccount van deze domeincontroller twee keer opnieuw in. Zie Het wachtwoord van het computeraccount van de domeincontroller opnieuw instellenvoor meer informatie.

  13. Stel het krbtgt-wachtwoord tweemaal opnieuw in. Zie Het krbtgt-wachtwoord opnieuw instellenvoor meer informatie. Omdat de krbtgt-wachtwoordgeschiedenis twee wachtwoorden is, stelt u wachtwoorden tweemaal opnieuw in om het oorspronkelijke (prefailure)-wachtwoord uit de wachtwoordgeschiedenis te verwijderen.

    Notitie

    Als het herstel van het forest een reactie is op een veiligheidsinbreuk, kunt u ook de vertrouwenswachtwoorden resetten of opnieuw instellen. Zie Een vertrouwenswachtwoord opnieuw instellen aan één kant van de vertrouwensrelatievoor meer informatie.

  14. Als het forest meerdere domeinen heeft en de herstelde domeincontroller vóór de storing een globale catalogusserver was, schakelt u het selectievakje voor de globale catalogus uit in de eigenschappen van de NTDS-instellingen om de globale catalogus uit de domeincontroller te verwijderen. De uitzondering op deze regel is het algemene geval van een forest met slechts één domein. In dit geval is het niet vereist om de globale catalogus te verwijderen. Zie De globale catalogus verwijderenvoor meer informatie.

    Door een globale catalogus te herstellen van een back-up die recenter is dan andere back-ups die worden gebruikt om DC's in andere domeinen te herstellen, kunt u achtergebleven objecten introduceren. Bekijk het volgende voorbeeld. In domein A wordt DC1 hersteld vanuit een back-up die is gemaakt op het moment T1. In domein B wordt DC2 hersteld van een globale catalogusback-up die is gemaakt op het moment T2. Stel dat T2 recenter is dan T1 en dat sommige objecten zijn gemaakt tussen T1 en T2. Nadat deze DC's zijn hersteld, bevat DC2, een globale catalogus, nieuwere gegevens voor de gedeeltelijke replica van domein A dan domein A zichzelf. DC2 bevat in dit geval achtergebleven objecten omdat deze objecten niet aanwezig zijn op DC1.

    De aanwezigheid van achtergebleven objecten kan leiden tot problemen. E-mailberichten worden bijvoorbeeld mogelijk niet bezorgd bij een gebruiker waarvan het gebruikersobject tussen domeinen is verplaatst. Nadat u de verouderde DC- of globale catalogusserver weer online hebt gebracht, worden beide exemplaren van het gebruikersobject weergegeven in de globale catalogus. Beide objecten hebben hetzelfde e-mailadres; Daarom kunnen e-mailberichten niet worden bezorgd.

    Een ander probleem is dat een gebruikersaccount dat niet meer bestaat, nog steeds wordt weergegeven in de algemene adreslijst.

    Daarnaast kan een universele groep die niet meer bestaat, nog steeds worden weergegeven in het toegangstoken van een gebruiker.

    Als u een domeincontroller hebt hersteld die een globale catalogus was( per ongeluk of omdat dit de eenzame back-up was die u hebt vertrouwd), raden we u aan het voorkomen van achtergebleven objecten te voorkomen door de globale catalogus kort nadat de herstelbewerking is voltooid uit te schakelen. Als u de globale catalogusvlag uitschakelt, verliest de computer alle gedeeltelijke replica's (partities) en relegeert zichzelf naar de standaard DC-status.

  15. Als u gMSA-accounts gebruikt, moet u deze mogelijk opnieuw maken omdat de details van het genereren van wachtwoorden mogelijk zichtbaar zijn voor een aanvaller. Zie:
    Hoe te herstellen van een aanval met Golden gMSA

    Zie AD Forest Recovery - Herstellen van één domein binnen een forest met meerdere domeinen voor stappen om de gMSA's te vervangen en ervoor te zorgen dat deze beveiligd sleutelmateriaal gebruiken.

  16. Windows Time-service configureren. Configureer in het hoofddomein van het forest de PDC-emulator om de tijd van een externe tijdbron te synchroniseren. Voor meer informatie, zie De Windows Time-service configureren op de PDC-emulator in het foresthoofddomein.

Elke herstelde beschrijfbare domeincontroller opnieuw verbinden met een gemeenschappelijk netwerk

In deze fase moet één domeincontroller zijn hersteld (en herstelstappen worden uitgevoerd) in het foresthoofddomein en in elk van de resterende domeinen. Koppel deze DC's aan een gemeenschappelijk netwerk dat is geïsoleerd van de rest van de omgeving en voer de volgende stappen uit om de foreststatus en replicatie te valideren.

Notitie

Wanneer u de fysieke DC's koppelt aan een geïsoleerd netwerk, moet u mogelijk hun IP-adressen wijzigen. Als gevolg hiervan zijn de IP-adressen van DNS-records onjuist. Omdat er geen globale catalogusserver beschikbaar is, mislukken beveiligde dynamische updates voor DNS. Virtuele DC's zijn in dit geval voordeliger omdat ze kunnen worden toegevoegd aan een nieuw virtueel netwerk zonder hun IP-adressen te wijzigen. Dit is een van de redenen waarom virtuele DC's worden aanbevolen als de eerste domeincontrollers die moeten worden hersteld tijdens het herstellen van een forest.

Status van forestreplicatie controleren

Na validatie voegt u de DC's toe aan het productienetwerk en voert u de stappen uit om de status van de forestreplicatie te controleren.

  • Om naamomzetting te herstellen, maakt u DNS-delegeringsrecords en configureert u indien nodig DNS-doorstuur en root hints.
  • Voer repadmin /replsum uit om de replicatie tussen DC's te controleren.
  • Als de herstelde DC's geen directe replicatiepartners zijn, is replicatieherstel veel sneller door er tijdelijke verbindingsobjecten tussen te maken.
  • Als u het opschonen van metagegevens wilt valideren, voert u Repadmin /viewlist \* uit voor een lijst met alle DC's in het forest. Voer Nltest /DCList:***\<domain\>* uit voor een lijst met alle DC's in het domein.
  • Als u de DC- en DNS-status wilt controleren, voert u DCDiag /v uit om fouten op alle DC's in het forest te rapporteren.

De globale catalogus toevoegen aan een domeincontroller in het foresthoofddomein

Een globale catalogus is vereist om deze en andere redenen:

  • Aanmeldingen inschakelen voor gebruikers.
  • Als u de Net Logon-service wilt inschakelen die wordt uitgevoerd op de DC's in elk onderliggend domein, kunt u records registreren en verwijderen op de DNS-server in het hoofddomein.

Hoewel het de voorkeur heeft dat de root-domeincontroller van het forest een globale catalogus is, wordt over het algemeen aanbevolen om te bepalen dat alle domeincontrollers globale catalogi zijn.

Notitie

Een domeincontroller wordt pas geadverteerd als een globale catalogusserver als deze een volledige synchronisatie van alle mappartities in het forest heeft voltooid. Daarom moet de DC worden gedwongen om te repliceren met elk van de herstelde DC's in het forest.

Controleer het gebeurtenislogboek van directoryservice in Logboeken voor gebeurtenis-id 1119, wat aangeeft dat deze DC een globale catalogusserver is of controleer of de volgende registersleutel de waarde 1 heeft:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Zie De globale catalogus toevoegenvoor meer informatie.

In deze fase zou je een stabiel forest moeten hebben, met één DC voor elk domein en één globale catalogus in het forest. U moet een nieuwe back-up maken van elk van de DC's die u zojuist hebt hersteld. U kunt nu andere DC's in het forest opnieuw implementeren door AD DS te installeren en aanvullende globale catalogusservers te configureren.

Volgende stappen