Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Восстановление целого леса Active Directory включает восстановление по крайней мере одного контроллера домена (DC) в каждом домене из резервной копии. Восстановление леса возвращает каждый домен в лесу в прежнее состояние, соответствующее моменту последней надежной резервной копии.
Что будет потеряно
Операция восстановления приведет к потере по крайней мере следующих данных Active Directory:
- Все объекты (например, пользователи и компьютеры), которые были добавлены после последней надежной резервной копии
- Все обновления, внесенные в существующие объекты с момента последнего надежного резервного копирования
- Все изменения, внесенные в секцию конфигурации или секцию схемы в AD DS (например, изменения схемы) после последнего надежного резервного копирования
Password knowledge
- Необходимо знать пароль учетной записи администратора домена для каждого домена в лесу. Предпочтительно, это пароль встроенной учетной записи администратора.
- Кроме того, необходимо знать пароль DSRM для восстановления состояния системы контроллера домена.
Рекомендуется архивировать учетную запись администратора и журнал паролей DSRM в безопасном месте до тех пор, пока резервные копии действительны. То есть в течение периода существования могилы или в течение периода существования удаленного объекта, если корзина Active Directory включена.
Вы также можете синхронизировать пароль DSRM с учетной записью пользователя домена, чтобы упростить запоминания. For more information, see this article. Синхронизация учетной записи DSRM должна выполняться заранее до восстановления леса в качестве части подготовки.
Note
Учетная запись администратора является членом встроенной группы администраторов по умолчанию, как и группы администраторов домена и корпоративных администраторов. Эта группа имеет полный контроль над всеми контроллерами домена.
Определение используемых резервных копий
Регулярно выполняйте резервное копирование по крайней мере двух контроллеров домена с доступной записью для каждого домена, чтобы иметь возможность выбора из нескольких резервных копий. Выберите один или несколько контроллеров домена по мере необходимости и главный мастер операций эмулятора PDC для восстановления данных SYSVOL.
Note
Резервное копирование контроллера домена только для чтения (RODC) невозможно использовать для того, чтобы восстановить записываемый контроллер домена. Мы рекомендуем восстановить контроллеры домена, используя резервные копии, сделанные за несколько дней до возникновения неполадки. Как правило, необходимо определить компромисс между актуальностью и безопасностью восстановленных данных. Выбор более последней резервной копии восстанавливает более полезные данные, но может увеличить риск повторного создания опасных данных в восстановленном лесу.
Восстановление резервных копий состояния системы зависит от исходной операционной системы и сервера резервной копии. Например, не следует восстанавливать резервную копию состояния системы на другом сервере. В этом случае может отображаться следующее предупреждение:
Warning
Указанная резервная копия отличается от текущего сервера. Не рекомендуется выполнять восстановление состояния системы с резервным копированием на альтернативный сервер, так как сервер может стать непригодным для использования. Действительно ли вы хотите использовать эту резервную копию для восстановления текущего сервера?
Если необходимо восстановить Active Directory на другом оборудовании, создайте полные резервные копии сервера и запланируйте полное восстановление сервера.
Important
Восстановление резервного копирования состояния системы до новой установки Windows Server на новом оборудовании или том же оборудовании не поддерживается. Если Windows Server переустановлен на том же оборудовании (рекомендуется), вы можете восстановить контроллер домена в следующем порядке:
- Выполните полное восстановление сервера, чтобы восстановить операционную систему и все файлы и приложения.
- Выполните восстановление состояния системы с помощью wbadmin.exe, чтобы пометить SYSVOL как заслуживающий доверия.
Дополнительные сведения см. в статье "Восстановление установки Windows 7".
Если время сбоя неизвестно, выполните дальнейшие исследования, чтобы определить резервные копии, которые содержат последнее безопасное состояние леса.
Такой подход является менее желательным. Поэтому мы настоятельно рекомендуем ежедневно хранить детализированные журналы о состоянии работоспособности и здоровья AD DS, чтобы, если произошёл катастрофический сбой в масштабе всего леса, можно было определить приблизительное время сбоя. Кроме того, следует сохранить локальную копию резервных копий, чтобы ускорить восстановление.
If Active Directory Recycle Bin is enabled, the backup lifetime is equal to the deletedObjectLifetime value or the tombstoneLifetime value, whichever is less. Дополнительные сведения см . в пошаговом руководстве по корзине Active Directory.
Кроме того, вы можете использовать средство подключения базы данных Active Directory и средство Dsamain.exe LDAP, например Ldp.exe или Пользователи и компьютеры Active Directory, чтобы определить, какое резервное копирование имеет последнее безопасное состояние леса. Средство подключения базы данных Active Directory, которое входит в операционные системы Windows Server, предоставляет данные Active Directory, хранящиеся в резервных копиях или моментальных снимках в качестве сервера LDAP. Вы можете использовать средство LDAP для просмотра данных. Этот подход не требует перезапуска контроллера домена в режиме восстановления служб каталогов (DSRM) для проверки содержимого резервной копии AD DS.
Дополнительные сведения об использовании средства подключения базы данных Active Directory см. в пошаговом руководстве по установке базы данных Active Directory.
Вы также можете использовать ntdsutil snapshot команду для создания моментальных снимков базы данных Active Directory. Запланируя задачу периодически создавать моментальные снимки, с течением времени можно получить дополнительные копии базы данных Active Directory. Эти копии можно использовать, чтобы лучше определить, когда произошел сбой на уровне леса, а затем выбрать лучшее резервное копирование для восстановления. Чтобы создать моментальные снимки, используйте ntdsutil средства удаленного администрирования сервера (RSAT).
Целевой контроллер домена может запускать любую версию Windows Server. For more information about using the ntdsutil snapshot command, see Snapshot.
Определите, какие контроллеры домена необходимо восстановить
Простота процесса восстановления является важным фактором при принятии решения о том, какой контроллер домена необходимо восстановить. Рекомендуется использовать выделенный контроллер домена для каждого домена, который является предпочтительным для восстановления. Выделенный контроллер домена восстановления упрощает надежное планирование и выполнение восстановления леса, так как используется та же исходная конфигурация, которая использовалась для выполнения тестов восстановления. Вы можете создать сценарий восстановления и избежать работы с различными конфигурациями, например, содержит ли ЦОД роли главного контроллера операций, или является ли он сервером глобального каталога или DNS-сервером.
Note
Восстановление владельца роли операционного мастера не рекомендуется в интересах простоты, так как вы всегда переносите все роли. Существует случай восстановления SYSVOL с помощью резервной копии, взятой из мастера операций эмулятора PDC, так как обычно PDC имеет лучшую копию данных SYSVOL.
Хорошая резервная копия — это резервная копия, которая может быть успешно восстановлена, была выполнена несколько дней до сбоя и содержит максимально полезные данные. Выберите контроллер домена, который лучше всего соответствует следующим критериям:
DC, доступный для записи. Это обязательно.
Контроллер домена под управлением Windows Server 2012 или более поздней версии в качестве виртуальной машины на гипервизоре, поддерживающем VM-GenerationID. Этот КД можно использовать в качестве источника для клонирования. Как правило, используйте контроллер домена с хорошей резервной копией и самой новой ОС.
Контроллер домена, доступный физически или в виртуальной сети, и предпочтительно расположенный в центре обработки данных. Таким образом, вы можете легко изолировать его от сети во время восстановления леса.
Контроллер домена, имеющий хорошую полную резервную копию сервера.
Контроллер домена, выполняющий роль системы доменных имен (DNS) и размещающий зоны леса и доменов.
Контроллер домена, настроенный как глобальный каталог (GC).
A DC that isn't configured to use BitLocker Network Unlock, if you use Windows Deployment Services. Использование разблокировки сети BitLocker для первого контроллера домена, который вы восстанавливаете из резервной копии во время восстановления леса, не поддерживается. On DCs where you have deployed Windows Deployment Services (WDS),,BitLocker Network Unlock as the only key protector can't be used because the first DC would require Active Directory and WDS to be working in order to unlock. Перед восстановлением первого контроллера домена, Active Directory еще недоступен для WDS, поэтому контроллер не может быть разблокирован.
Чтобы определить, настроен ли контроллер домена для использования функции сетевой разблокировки BitLocker, убедитесь, что сертификат сетевой разблокировки указан в следующем ключе реестра:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Important
Сохраняйте процедуры безопасности при обработке или восстановлении файлов резервной копии, включающих Active Directory. Неотложность, которая сопровождает восстановление леса, может непреднамеренно привести к игнорированию передовых практик безопасности.
Определите текущую структуру леса и функции контроллера домена
Определите текущую структуру леса, определив все домены в лесу. Создайте список всех контроллеров домена в каждом домене, в частности контроллеры домена с резервными копиями и виртуализированные контроллеры домена, которые могут быть источником для клонирования.
Список контроллеров домена для корневого домена леса является самым важным, так как сначала вы восстановите этот домен. После восстановления корневого домена леса можно получить список других доменов, контроллеров домена и сайтов в лесу с помощью оснастки Active Directory.
Для каждого домена в лесу определите один записываемый контроллер домена с доверенным резервным копированием базы данных Active Directory для этого домена. Используйте осторожность при выборе резервной копии для восстановления контроллера домена. Если день и причина сбоя известны, общая рекомендация заключается в выявлении и использовании безопасной резервной копии, которая была сделана несколько дней до этой даты.
Подготовьте таблицу с функциями каждого DC в домене, как показано в следующем примере. Это поможет вам вернуться к конфигурации леса до сбоя после восстановления системы.
| DC name | Operating system | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2019 | Мастер схемы, главный мастер именования доменов | Yes | No | Yes | No | No | Yes |
| DC_2 | Windows Server 2019 | None | Yes | No | Yes | Yes | No | Yes |
| DC_3 | Windows Server 2022 | Infrastructure Master | No | No | No | Yes | Yes | Yes |
| DC_4 | Windows Server 2022 | Эмулятор PDC, мастер RID | Yes | No | No | No | No | Yes |
| DC_5 | Windows Server 2022 | None | No | No | Yes | Yes | No | Yes |
| RODC_1 | Windows Server 2016 | None | Yes | Yes | Yes | Yes | Yes | Yes |
| RODC_2 | Windows Server 2022 | None | Yes | Yes | No | Yes | Yes | Yes |
В этом примере существует четыре кандидата резервного копирования: DC_1, DC_2, DC_4 и DC_5. Вы восстанавливаете только одного из этих кандидатов на резервное копирование. Рекомендуется использовать контроллер домена DC_5 по следующим причинам:
- Это хороший источник для клонирования виртуализированного контроллера домена, так как он запускает Windows Server 2022 в качестве виртуального контроллера домена и запускает программное обеспечение, которое разрешено клонировать (или может быть удалено, если оно не может быть клонировано). После восстановления роль эмулятора PDC будет передана на этот сервер, и ее можно добавить в группу клонируемых контроллеров домена.
- Она выполняет полную установку Windows Server 2022. Контроллер домена, на котором выполняется установка Server Core, может быть менее удобен в качестве цели для восстановления. Это может не быть фактором, если вы хорошо управляете Серверами Windows с помощью интерфейса командной строки.
- Это DNS-сервер.
Note
Так как DC_5 не является глобальным сервером каталога, он имеет небольшое преимущество в том, что глобальный каталог не должен быть удален после восстановления. However you would need to start recovery with the default Administrator account with Rid 500 or use registry value ignoregcfailures:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
Другие факторы обычно более важны, чем дополнительный шаг удаления роли GC. DC_3 или DC_4 также являются хорошим выбором, так как роли мастера операций, которые они имеют, не являются проблемой. Рассмотрим варианты и выберите в зависимости от фактической ситуации восстановления. Обычно можно планировать и тестировать, восстанавливая резервную копию мастера операций PDC, но если эта резервная копия не работает, например из-за того, что она сделана в неправильное время, выберите резервную копию из GC (Глобальный каталог) того же домена.
Восстановление леса в изоляции
Предпочтительный сценарий — отключить все записываемые контроллеры домена до возвращения первого восстановленного контроллера домена в эксплуатацию. Это гарантирует, что любые опасные данные не реплицируются обратно в восстановленный лес. Особенно важно завершить работу всех владельцев главных ролей операций.
Note
В некоторых случаях вы перемещаете первый контроллер домена, который планируется восстановить для каждого домена в изолированную сеть, позволяя другим контроллерам домена оставаться в сети, чтобы свести к минимуму время простоя системы. Например, если вы восстанавливаетесь после неудачного обновления схемы, вы можете оставить контроллеры домена работающими в производственной сети, выполняя восстановительные работы в изоляции.
Virtualized DCs
Если вы используете виртуализированные DCs, их можно переместить в виртуальную сеть, изолированную от рабочей сети, где будет проводиться восстановление. Перемещение виртуализированных контроллеров домена в отдельную сеть обеспечивает два преимущества:
- Восстановленные контроллеры домена предотвращают воспроизведение проблемы, которая привела к восстановлению леса.
- Виртуализированное клонирование контроллера домена можно выполнить в изолированной сети, чтобы критически важное количество контроллеров домена можно было запускать и тестировать до их возвращения в рабочую сеть.
Physical DCs
Если вы используете доменные контроллеры на физическом оборудовании, отключите сетевой кабель первого доменного контроллера, который вы планируете восстановить в корневом домене леса. Если возможно, отключите также сетевые кабели всех других контроллеров домена. Это предотвращает репликацию контроллеров домена (DCs), если их случайно запускают во время процесса восстановления леса.
Large forests
В большом лесу, распределенном по нескольким местоположениям, может быть трудно гарантировать, что все записываемые контроллеры домена отключены. По этой причине шаги восстановления, такие как сброс учетной записи компьютера и учетная запись krbtgt, в дополнение к очистке метаданных, предназначены для обеспечения того, чтобы восстановленные компьютеры, доступные для записи, не реплицировались с опасными записываемыми контроллерами домена (в случае, если некоторые все еще находятся в лесу).
Однако только отключив доступные для записи контроллеры домена, можно гарантировать, что репликация не происходит. Поэтому, когда это возможно, следует развернуть технологии удаленного управления, которые помогут вам отключить и физически изолировать контроллеры домена, допускающие запись, во время восстановления леса.
RODCs
Контроллеры домена только для чтения (RODC) могут продолжать работать, пока доступные для записи контроллеры домена находятся в автономном режиме. Ни один другой контроллер домена не будет напрямую реплицировать любые изменения из любого контроллера домена RODC ( особенно без изменений схемы или контейнера конфигурации), поэтому они не представляют такой же риск, что и записываемые контроллеры домена во время восстановления. После восстановления всех записываемых контроллеров домена и в сети необходимо перестроить все контроллеры домена.
Контроллеры домена будут продолжать разрешать доступ к локальным ресурсам, кэшируемым на соответствующих сайтах, пока операции восстановления выполняются параллельно. Локальные ресурсы, которые не кэшируются в RODC, будут отправлять запросы проверки подлинности на записываемый контроллер домена. Эти запросы завершаются ошибкой, так как доступные для записи контроллеры домена находятся в автономном режиме. Некоторые операции, такие как изменение паролей, также не будут работать, пока не восстановите доменные контроллеры, допускающие запись.
Если вы используете архитектуру сети "хаб и спица", следует сначала сосредоточиться на восстановлении записываемых контроллеров домена в центральных узлах. Позже вы можете перестроить контроллеры домена, доступные только для чтения (RODC), на удаленных сайтах.
Скомпрометированная база данных AD
Если база данных AD для записываемого контроллера домена скомпрометирована, новый корневой ключ KDS должен быть создан после восстановления, а все управляемые учетные записи служб групп (gMSA) должны быть воссозданы в зависимости от сценария компрометации. Сведения описаны здесь: Как восстановиться после атаки Golden gMSA.
Next steps
- Восстановление леса AD — необходимые условия
- Ad Forest Recovery — разработка пользовательского плана восстановления леса
- Восстановление леса AD— шаги по восстановлению леса
- Восстановление леса AD. Диагностика проблемы
- Восстановление леса AD— определение способа восстановления
- Восстановление леса AD — выполнение первоначального восстановления
- Восстановление леса AD — Процедуры
- Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
- Ad Forest Recovery — восстановление одного домена в многодоменном лесу
- Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
- Восстановление леса AD — виртуализация
- Восстановление леса AD — очистка