Восстановление леса Active Directory— определение способа восстановления леса
Восстановление всего леса Active Directory включает восстановление по крайней мере одного контроллера домена (DC) в каждом домене из доступной резервной копии. Восстановление леса восстанавливает каждый домен в лесу в его состояние во время последней надежной резервной копии.
Что будет потеряно
Операция восстановления приведет к потере по крайней мере следующих данных Active Directory:
- Все объекты (например, пользователи и компьютеры), которые были добавлены после последней надежной резервной копии
- Все обновления, внесенные в существующие объекты с момента последнего надежного резервного копирования
- Все изменения, внесенные в секцию конфигурации или секцию схемы в AD DS (например, изменения схемы) после последнего надежного резервного копирования
Знания о паролях
- Необходимо знать пароль учетной записи администратора домена для каждого домена в лесу. Предпочтительно, это пароль встроенной учетной записи администратора.
- Кроме того, необходимо знать пароль DSRM для восстановления состояния системы контроллера домена.
Рекомендуется архивировать учетную запись администратора и журнал паролей DSRM в безопасном месте до тех пор, пока резервные копии действительны. То есть в течение периода существования могилы или в течение периода существования удаленного объекта, если корзина Active Directory включена.
Вы также можете синхронизировать пароль DSRM с учетной записью пользователя домена, чтобы упростить запоминания. Дополнительные сведения см. в этой статье. Синхронизация учетной записи DSRM должна выполняться заранее после восстановления леса в рамках подготовки.
Примечание.
Учетная запись администратора является членом встроенной группы администраторов по умолчанию, как и группы администраторов домена и корпоративных администраторов. Эта группа имеет полный контроль над всеми контроллерами домена.
Определение используемых резервных копий
Резервное копирование по крайней мере двух записываемых контроллеров данных для каждого домена регулярно, чтобы выбрать несколько резервных копий. Выберите один или несколько контроллеров домена по мере необходимости и главный мастер операций эмулятора PDC для восстановления данных SYSVOL.
Примечание.
Резервное копирование контроллера домена только для чтения (RODC) невозможно использовать для восстановления записываемого контроллера домена. Рекомендуется восстановить контроллеры домена с помощью резервных копий, которые были приняты через несколько дней до возникновения сбоя. Как правило, необходимо определить компромисс между последними и безопасностью восстановленных данных. Выбор более последней резервной копии восстанавливает более полезные данные, но может увеличить риск повторного создания опасных данных в восстановленном лесу.
Восстановление резервных копий состояния системы зависит от исходной операционной системы и сервера резервной копии. Например, не следует восстанавливать резервную копию состояния системы на другом сервере. В этом случае может отображаться следующее предупреждение:
Предупреждение
Указанная резервная копия отличается от текущего сервера. Не рекомендуется выполнять восстановление состояния системы с резервным копированием на альтернативный сервер, так как сервер может стать непригодным для использования. Действительно ли вы хотите использовать эту резервную копию для восстановления текущего сервера?
Если необходимо восстановить Active Directory на другом оборудовании, создайте полные резервные копии сервера и запланируйте полное восстановление сервера.
Внимание
Восстановление резервного копирования состояния системы до новой установки Windows Server на новом оборудовании или том же оборудовании не поддерживается. Если Windows Server переустановлен на том же оборудовании (рекомендуется), вы можете восстановить контроллер домена в следующем порядке:
- Выполните полное восстановление сервера, чтобы восстановить операционную систему и все файлы и приложения.
- Выполните восстановление состояния системы с помощью wbadmin.exe, чтобы пометить SYSVOL как заслуживающий доверия.
Дополнительные сведения см. в статье "Восстановление установки Windows 7".
Если время сбоя неизвестно, выполните дальнейшие исследования, чтобы определить резервные копии, которые содержат последнее безопасное состояние леса.
Такой подход является менее желательным. Поэтому настоятельно рекомендуется хранить подробные журналы о состоянии работоспособности AD DS ежедневно, чтобы, если произошел сбой на уровне леса, можно определить приблизительное время сбоя. Кроме того, следует сохранить локальную копию резервных копий, чтобы ускорить восстановление.
Если корзина Active Directory включена, время существования резервного копирования равно значению deletedObjectLifetime или значению tombstoneLifetime, в зависимости от того, что меньше. Дополнительные сведения см . в пошаговом руководстве по корзине Active Directory.
Кроме того, вы можете использовать средство подключения базы данных Active Directory и средство Dsamain.exe
LDAP, например Ldp.exe
или Пользователи и компьютеры Active Directory, чтобы определить, какое резервное копирование имеет последнее безопасное состояние леса. Средство подключения базы данных Active Directory, которое входит в операционные системы Windows Server, предоставляет данные Active Directory, хранящиеся в резервных копиях или моментальных снимках в качестве сервера LDAP. Вы можете использовать средство LDAP для просмотра данных. Этот подход не требует перезапуска контроллера домена в режиме восстановления служб каталогов (DSRM) для проверки содержимого резервной копии AD DS.
Дополнительные сведения об использовании средства подключения базы данных Active Directory см. в пошаговом руководстве по установке базы данных Active Directory.
Вы также можете использовать ntdsutil snapshot
команду для создания моментальных снимков базы данных Active Directory. Запланируя задачу периодически создавать моментальные снимки, с течением времени можно получить дополнительные копии базы данных Active Directory. Эти копии можно использовать, чтобы лучше определить, когда произошел сбой на уровне леса, а затем выбрать лучшее резервное копирование для восстановления. Чтобы создать моментальные снимки, используйте ntdsutil
средства удаленного администрирования сервера (RSAT).
Целевой контроллер домена может запускать любую версию Windows Server. Дополнительные сведения об использовании ntdsutil snapshot
команды см. в разделе "Моментальный снимок".
Определите, какие контроллеры домена необходимо восстановить
Простота процесса восстановления является важным фактором при принятии решения о том, какой контроллер домена необходимо восстановить. Рекомендуется использовать выделенный контроллер домена для каждого домена, который является предпочтительным контроллером домена для восстановления. Выделенный контроллер домена восстановления упрощает надежное планирование и выполнение восстановления леса, так как используется та же исходная конфигурация, которая использовалась для выполнения тестов восстановления. Вы можете выполнить скрипт восстановления и избежать конфликтов с различными конфигурациями, например, содержит ли контроллер домена роли главного контроллера операций или является ли он GC или DNS-сервером.
Примечание.
Восстановление владельца главного роли операций в интересах простоты не рекомендуется, так как вы всегда захватываете все роли. Существует случай восстановления SYSVOL с помощью резервной копии, взятой из мастера операций эмулятора PDC, так как обычно PDC имеет лучшую копию данных SYSVOL.
Хорошая резервная копия — это резервная копия, которая может быть успешно восстановлена, была выполнена несколько дней до сбоя и содержит максимально полезные данные. Выберите контроллер домена, который лучше всего соответствует следующим критериям:
Контроллер домена, доступный для записи. Это обязательно.
Контроллер домена под управлением Windows Server 2012 или более поздней версии в качестве виртуальной машины на гипервизоре, поддерживающем VM-GenerationID. Этот контроллер домена можно использовать в качестве источника для клонирования. Как правило, используйте контроллер домена с хорошей резервной копией, которая имеет самую текущую ОС.
Контроллер домена, доступный физически или в виртуальной сети, и предпочтительно расположенный в центре обработки данных. Таким образом, вы можете легко изолировать его от сети во время восстановления леса.
Контроллер домена, имеющий хорошую полную резервную копию сервера.
Контроллер домена под управлением роли системы доменных имен (DNS) и размещения зоны леса и домена.
Контроллер домена, настроенный как глобальный каталог (GC).
Контроллер домена, не соответствующий использованию разблокировки сети BitLocker, если вы используете службы развертывания Windows. Использование разблокировки сети BitLocker для первого контроллера домена, который вы восстанавливаете из резервной копии во время восстановления леса, не поддерживается. На контроллерах домена, где вы развернули службы развертывания Windows (WDS),BitLocker Network Unlock в качестве единственного средства защиты ключей нельзя использовать, так как для разблокировки первого контроллера домена потребуется Active Directory и WDS. Перед восстановлением первого контроллера домена Active Directory еще недоступен для WDS, поэтому он не может разблокировать.
Чтобы определить, настроен ли контроллер домена для использования сетевой разблокировки BitLocker, убедитесь, что сертификат сетевой разблокировки определен в следующем разделе реестра:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Внимание
Сохраняйте процедуры безопасности при обработке или восстановлении файлов резервной копии, включающих Active Directory. Срочность, которая сопровождает восстановление леса, может непреднамеренно привести к просмотру рекомендаций по обеспечению безопасности.
Определение текущей структуры леса и функций контроллера домена
Определите текущую структуру леса, определив все домены в лесу. Создайте список всех контроллеров домена в каждом домене, в частности контроллеры домена с резервными копиями и виртуализированные контроллеры домена, которые могут быть источником для клонирования.
Список контроллеров домена для корневого домена леса является самым важным, так как сначала вы восстановите этот домен. После восстановления корневого домена леса можно получить список других доменов, контроллеров домена и сайтов в лесу с помощью оснастки Active Directory.
Для каждого домена в лесу определите один записываемый контроллер домена с доверенным резервным копированием базы данных Active Directory для этого домена. Используйте осторожность при выборе резервной копии для восстановления контроллера домена. Если день и причина сбоя известны, общая рекомендация заключается в выявлении и использовании безопасной резервной копии, которая была сделана несколько дней до этой даты.
Подготовьте таблицу с функциями каждого контроллера домена в домене, как показано в следующем примере. Это поможет вернуться к конфигурации перед сбоем леса после восстановления.
Имя контроллера домена | Операционная система | FSMO | GC | RODC | Azure Backup | DNS | Server Core | Виртуальная машина |
---|---|---|---|---|---|---|---|---|
DC_1 | Windows Server 2019 | Мастер схемы, главный мастер именования доменов | Да | No | Да | No | No | Да |
DC_2 | Windows Server 2019 | нет | Да | No | Да | Да | No | Да |
DC_3 | Windows Server 2022 | Хозяин инфраструктуры | No | No | No | Да | Да | Да |
DC_4 | Windows Server 2022 | Эмулятор PDC, master RID | Да | No | No | No | No | Да |
DC_5 | Windows Server 2022 | нет | No | No | Да | Да | No | Да |
RODC_1 | Windows Server 2016 | нет | Да | Да | Да | Да | Да | Да |
RODC_2 | Windows Server 2022 | нет | Да | Да | No | Да | Да | Да |
В этом примере существует четыре кандидата резервного копирования: DC_1, DC_2, DC_4 и DC_5. Из этих кандидатов резервного копирования восстанавливается только один. Рекомендуемый контроллер домена DC_5 по следующим причинам:
- Это хороший источник для клонирования виртуализированного контроллера домена, так как он запускает Windows Server 2022 в качестве виртуального контроллера домена и запускает программное обеспечение, которое разрешено клонировать (или может быть удалено, если оно не может быть клонировано). После восстановления роль эмулятора PDC будет захвачена на этот сервер и ее можно добавить в группу клонируемых контроллеров домена для домена.
- Она выполняет полную установку Windows Server 2022. Контроллер домена, на котором выполняется установка основных серверных компонентов, может быть менее удобным в качестве целевого объекта для восстановления. Это может не быть фактором, если вы хорошо управляете Серверами Windows с помощью интерфейса командной строки.
- Это DNS-сервер.
Примечание.
Так как DC_5 не является глобальным сервером каталога, он имеет небольшое преимущество в том, что глобальный каталог не должен быть удален после восстановления. Однако необходимо начать восстановление с учетной записью администратора по умолчанию с помощью rid 500 или использовать значение реестра ignoregcfailures:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
Другие факторы обычно более важны, чем дополнительный шаг удаления роли GC. DC_3 или DC_4 также являются хорошим выбором, так как роли главных операций, которые они имеют, не являются проблемой. Рассмотрим варианты и выберите в зависимости от фактической ситуации восстановления. Обычно можно планировать и тестировать, восстанавливая резервную копию мастера операций PDC, но если эта резервная копия не работает, например из-за неправильного времени, выберите резервную копию из GC одного домена.
Восстановление леса в изоляции
Предпочтительный сценарий — завершить работу всех записываемых контроллеров домена до возвращения первого восстановленного контроллера домена в рабочую среду. Это гарантирует, что любые опасные данные не реплицируются обратно в восстановленный лес. Особенно важно завершить работу всех владельцев главных ролей операций.
Примечание.
В некоторых случаях вы перемещаете первый контроллер домена, который планируется восстановить для каждого домена в изолированную сеть, позволяя другим контроллерам домена оставаться в сети, чтобы свести к минимуму время простоя системы. Например, при восстановлении после обновления схемы сбоем можно сохранить контроллеры домена в рабочей сети при выполнении действий по восстановлению в изоляции.
Виртуализированные контроллеры домена
Если вы используете виртуализированные контроллеры домена, их можно переместить в виртуальную сеть, изолированную от рабочей сети, где будет выполняться восстановление. Перемещение виртуализированных контроллеров домена в отдельную сеть обеспечивает два преимущества:
- Восстановленные контроллеры домена не позволяют воспроизвести проблему, которая вызвала восстановление леса.
- Виртуализированное клонирование контроллера домена можно выполнить в изолированной сети, чтобы критически важное количество контроллеров домена можно было запускать и тестировать до их возвращения в рабочую сеть.
Физические контроллеры домена
Если вы используете контроллеры домена на физическом оборудовании, отключите сетевой кабель первого контроллера домена, который планируется восстановить в корневом домене леса. По возможности отключите сетевые кабели всех остальных контроллеров домена. Это предотвращает репликацию контроллеров домена, если они случайно запущены во время процесса восстановления леса.
Большие леса
В большом лесу, распределенном по нескольким расположениям, может быть трудно гарантировать, что все записываемые контроллеры домена завершаются. По этой причине шаги восстановления, такие как сброс учетной записи компьютера и учетная запись krbtgt, в дополнение к очистке метаданных, предназначены для обеспечения того, чтобы восстановленные компьютеры, доступные для записи, не реплицировались с опасными записываемыми контроллерами домена (в случае, если некоторые все еще находятся в лесу).
Однако только при использовании автономных контроллеров домена, доступных для записи, можно гарантировать, что репликация не происходит. Поэтому каждый раз, когда это возможно, следует развернуть технологию удаленного управления, которая поможет вам завершить работу и физически изолировать записываемые контроллеры домена во время восстановления леса.
КОНТРОЛЛЕРЫ контроллеров домена
Контроллеры домена могут продолжать работать, пока доступные для записи контроллеры домена находятся в автономном режиме. Ни один другой контроллер домена не будет напрямую реплицировать любые изменения из любого контроллера домена RODC ( особенно без изменений схемы или контейнера конфигурации), поэтому они не представляют такой же риск, что и записываемые контроллеры домена во время восстановления. После восстановления всех записываемых контроллеров домена и в сети необходимо перестроить все контроллеры домена.
Контроллеры домена будут продолжать разрешать доступ к локальным ресурсам, кэшируемым на соответствующих сайтах, пока операции восстановления выполняются параллельно. Локальные ресурсы, которые не кэшируются в RODC, будут отправлять запросы проверки подлинности на записываемый контроллер домена. Эти запросы завершаются ошибкой, так как доступные для записи контроллеры домена находятся в автономном режиме. Некоторые операции, такие как изменения паролей, также не будут работать, пока не восстановите записываемые контроллеры домена.
Если вы используете сетевую архитектуру концентратора и периферийной сети, сначала можно сосредоточиться на восстановлении записываемых контроллеров домена на центральных сайтах. Позже вы можете перестроить контроллеры домена на удаленных сайтах.
Скомпрометированная база данных AD
Если база данных AD для записываемого контроллера домена скомпрометирована, новый корневой ключ KDS должен быть создан после восстановления, а все управляемые группы учетные записи служб (gMSA) должны быть повторно созданы в зависимости от сценария compromission. Сведения описаны здесь: как восстановиться после атаки Golden gMSA.
Следующие шаги
- Восстановление леса AD — необходимые условия
- Ad Forest Recovery — разработка пользовательского плана восстановления леса
- Восстановление леса AD— шаги по восстановлению леса
- Восстановление леса AD. Определение проблемы
- Восстановление леса AD— определение способа восстановления
- Восстановление леса AD — выполнение первоначального восстановления
- Восстановление леса AD — процедуры
- Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
- Ad Forest Recovery — восстановление одного домена в многодоменном лесу
- Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
- Восстановление леса AD — виртуализация
- Восстановление леса AD — очистка