Восстановление леса Active Directory — восстановление одного домена в многодоменовом лесу

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и 2012

В некоторых сценариях может потребоваться восстановить только один домен в лесу с несколькими доменами, а не полное восстановление леса. В этом разделе рассматриваются рекомендации по восстановлению одного домена и возможных стратегий.

Как и в процессе восстановления леса, вы восстанавливаете один или несколько контроллеров домена из резервной копии в домене и очищаете метаданные оставшихся контроллеров домена. Затем новые контроллеры домена добавляются, присоединяясь к новым членам, устанавливая роли AD DS и повышая их. Для задачи также можно использовать клонирование контроллера домена или установку из носителя .

Восстановление одного домена представляет собой уникальную проблему для перестроения серверов глобального каталога (GC). Например, если первый контроллер домена (DC) для домена восстанавливается из резервной копии, созданной за неделю ранее, то все остальные контроллеры домена в лесу будут иметь более актуальные данные для этого домена, чем восстановленный контроллер домена. Чтобы повторно установить согласованность данных GC, существует несколько вариантов:

• Разблокировать секцию восстановленных доменов из всех GCs в лесу, за исключением тех, которые в восстановленном домене одновременно и после завершения повторно разместить все GCs в лесу. Кроме того, убедитесь, что вы не перегружаете оставшиеся GCS. В больших средах координация этого действия может быть очень сложной.

• Выполните процесс восстановления леса, чтобы восстановить домен, а затем удалите неустранимые объекты из GCs в других доменах.

В следующих разделах приведены общие рекомендации по каждому варианту. Полный набор шагов, которые необходимо выполнить для восстановления, зависит от разных сред Active Directory.

Повторное создание учетных записей управляемых служб группы (gMSA)

Предупреждение

Если объекты корневого ключа KDS в лесу были скомпрометированы, необходимо повторно создать учетные записи gMSA в нескольких доменах, даже если сам домен не был скомпрометирован.

Проблема и решение рассматриваются в статье "Как восстановиться после атаки Золотой gMSA".

Для проверки подлинности с помощью вычисляемых учетных данных gMSA злоумышленник не должен использовать данные, собранные из украденной резервной копии контроллера домена. Замените все gMSA в доменах леса, использующих предоставленные объекты корневого ключа KDS, учетными записями gMSA с помощью нового объекта корневого ключа KDS. Процедура описана в статье "Начало работы с управляемыми учетными записями служб группы" с несколькими важными изменениями .

• Отключите все существующие учетные записи gMSA, задайте для атрибута userAccountControl значение 4098 (тип рабочей станции + отключен).

• Создайте новый объект корневого ключа KDS, как описано в разделе "Создание корневого ключа KDS служб распространения ключей".

  Внимание

  Перезапустите службу распространения ключей Майкрософт (KDSSVC) на том же контроллере домена. Это необходимо, чтобы новый объект был выбран KDSSVC. Создайте новые учетные записи gMSA, чтобы заменить существующие учетные записи на одном контроллере домена. На этом этапе измените существующую учетную запись gMSA в качестве уникальных имен субъектов-служб, которые должны быть назначены активной gMSA.

• После повторного присоединения серверов-членов к домену обновите компоненты, которые использовали gMSA с новыми учетными записями.

Чтобы обеспечить использование нового объекта корневого ключа KDS gMSA, проверка двоичные данные атрибута msDS-ManagedPasswordId имеют GUID соответствующего объекта корневого ключа KDS. Объект будет иметь CN CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6.

msDS-ManagedPasswordId в gMSA должен быть идентификатор GUID с начальным смещением 24 с первыми тремя частями GUID в байтовом переключении (красный, зеленый, синий) и остальные в обычном порядке байтов (оранжевый):

Если первый gMSA был создан с помощью нового корневого ключа KDS, все последующие создания gMSA будут ОК.

Очистка

• Удалите старые учетные записи gMSA, которые использовали старые объекты корневого ключа KDS.
• Удалите старые объекты корневого ключа KDS.

Повторное размещение всех GCs

Предупреждение

Имя входа и пароль учетной записи пользователя домена по умолчанию Администратор istrator ("RID-500") для всех доменов должны быть доступны, и учетные записи, включенные для использования в случае проблемы, которая запрещает доступ к GC для входа.

Примечание.

Чтобы разрешить вход без проверки GC, можно также настроить HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures значение 1.

Если неизвестно, получитеидентификатордомена с помощью whoami /all другой учетной записи в каждом домене или выполните следующую команду, чтобы определить RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Повторное размещение всех GCs можно сделать с помощью repadmin /unhost и repadmin /rehost команд (частью repadmin /experthelp). Вы будете repadmin выполнять команды для каждой сборки мусора в каждом домене, который не восстановлен. Необходимо убедиться, что все GCs больше не содержат копию восстановленного домена. Чтобы добиться этого, сначала не размещайте секцию домена со всех контроллеров домена во всех невосстановленных доменах леса. Так как GCs больше не содержат секцию, ее можно повторно разместить. При повторном размещении рассмотрите структуру сайта и реплика tion леса. Например, завершите повторное размещение одного контроллера домена на сайт до повторного размещения других контроллеров домена этого сайта.

Этот вариант может быть выгодным для небольшой организации, которая имеет только несколько контроллеров домена для каждого домена. Все GCs можно перестроить в пятницу вечером и, при необходимости, завершить реплика для всех секций домена только для чтения до понедельника утром. Однако если вам нужно восстановить большой домен, охватывающий сайты по всему миру, повторное размещение секции домена только для чтения на всех контроллерах GCs для других доменов может значительно повлиять на операции и, возможно, потребует времени простоя.

Проверка и удаление неустранимых объектов

На GCs всех остальных доменов в лесу вы проверка и удалите потенциально задерживающиеся объекты для секции только для чтения восстановленного домена.

Источник для очистки неустанного объекта должен быть контроллером домена в восстановленном домене. Чтобы убедиться, что исходный контроллер домена не содержит неустранимых объектов для каких-либо разделов домена, вы можете удалить глобальный каталог.

Удаление задерживающихся объектов выгодно для крупных организаций, которые не могут рисковать временем простоя, связанным с повторной размещением контекста именования домена.

Дополнительные сведения см. в разделе "Использование повторного управления" для удаления неустранимых объектов.

Следующие шаги

• Восстановление леса AD — необходимые условия
• Ad Forest Recovery — разработка пользовательского плана восстановления леса
• Восстановление леса AD— шаги по восстановлению леса
• Восстановление леса AD. Определение проблемы
• Восстановление леса AD— определение способа восстановления
• Восстановление леса AD — выполнение первоначального восстановления
• Восстановление леса AD — процедуры
• Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
• Ad Forest Recovery — восстановление одного домена в многодоменном лесу
• Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
• Восстановление леса AD — виртуализация
• Восстановление леса AD — очистка