执行初始恢复

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

此部分包括下列步骤:

还原每个域中的第一个可写域控制器

从林根域中的可写 DC 开始,完成本部分中的步骤以还原第一个 DC。 林根域很重要,因为它存储架构管理员和企业管理员组。 它还有助于维护林中的信任层次结构。 此外,林根域通常保留林 DNS 命名空间的 DNS 根服务器。 因此,该域的 Active Directory 集成 DNS 区域包含林 (中所有其他 DC 的别名 (CNAME) 资源记录,这些记录是复制) 和全局目录 DNS 资源记录所必需的。

恢复林根域后,重复相同的步骤以恢复林中的剩余域。 可以同时恢复多个域;但是,在恢复子域之前,请始终恢复父域,以防止信任层次结构或 DNS 名称解析中的任何中断。

对于恢复的每个域,仅从备份还原一个可写 DC。 这是恢复最重要的部分,因为 DC 必须有一个数据库,该数据库不受任何导致林失败的影响。 请务必在将受信任的备份引入生产环境之前对其进行彻底测试。

然后,执行以下步骤。 执行某些步骤的过程在 AD 林恢复 - 过程

  1. 如果计划还原物理服务器,请确保目标 DC 的网络电缆未连接,因此未连接到生产网络。 对于虚拟机,可以删除网络适配器或使用附加到另一个网络的网络适配器,可以在与生产网络隔离时测试恢复过程。

  2. 因为这是域中的第一个可写 DC,因此必须对 AD DS 执行非授权还原和 SYSVOL 的权威还原。 必须使用 Active Directory 感知备份和还原应用程序(例如 Windows Server 备份 ()来完成还原操作,因为不应使用不受支持的方法(例如还原 VM 快照) )还原 DC。

    • 需要对 SYSVOL 进行权威还原,因为从灾难中恢复后必须启动 SYSVOL 复制文件夹的复制。 在域中添加的所有后续 DC 都必须使用已选择为权威的文件夹副本重新同步其 SYSVOL 文件夹,然后才能播发该文件夹。

    注意

    仅在林根域中还原第一个 DC 时,才对 SYSVOL 执行权威 (或主要) 还原操作。 在其他 DC 上错误地执行 SYSVOL 的主还原操作会导致 SYSVOL 数据的复制冲突。

  3. 还原并重启可写 DC 后,请验证失败是否不会影响 DC 上的数据。 如果 DC 数据已损坏,则使用不同的备份重复步骤 2。

    • 如果还原的域控制器托管操作主角色,可能需要添加以下注册表项,以避免 AD DS 不可用,直到它完成可写目录分区的复制:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl 执行初始同步

      使用数据类型 REG_DWORD 和值 0 创建条目。 完全恢复林后,可以将此条目的值重置为 1,这要求重启和保留操作主角色的操作主角色,以便在将自身播发为域控制器并开始向客户端提供服务之前,与其已知副本伙伴成功进行 AD DS 入站和出站复制。 有关初始同步要求的详细信息,请参阅 Azure AD 域服务中的同步工作原理

      只有在还原并验证数据以及将此计算机加入生产网络之前,才能继续执行后续步骤。

  4. 如果怀疑林范围的故障与网络入侵或恶意攻击有关,请重置所有管理帐户的帐户密码,包括企业管理员、域管理员、架构管理员、服务器操作员、帐户操作员组等。 在林恢复的下一阶段安装其他域控制器之前,应完成管理帐户密码重置。

  5. 在林根域中的第一个还原 DC 上,抓住所有域范围和林范围的操作主角色。 需要企业管理员和架构管理员凭据才能抓住林范围的操作主角色。

    在每个子域中,抓住域范围的操作主角色。 尽管你可能只暂时保留还原的 DC 上的操作主角色,但抓住这些角色可确保你在林恢复过程中此时托管哪些 DC。 作为恢复后过程的一部分,可以根据需要重新分发操作主角色。 有关抓住操作主角色的详细信息,请参阅 “获取操作主角色”。 有关放置操作主角色的位置的建议,请参阅 什么是 Operations Masters?

  6. 清理林根域中所有其他可写 DC 的元数据,这些 DC 不会从备份还原 (域中除此第一个 DC) 之外的所有可写 DC。 如果使用 Windows Server 2008 或更高版本或 RSAT for Windows Vista 或更高版本随附的 Active Directory 用户和计算机或 Active Directory 站点和服务的版本,则删除 DC 对象时,会自动执行元数据清理。 此外,已删除 DC 的服务器对象和计算机对象也会自动删除。 有关详细信息,请参阅 清理已删除可写 DC 的元数据

    如果 AD DS 安装在其他站点中的 DC 上,清理元数据可防止重复 NTDS 设置对象。 这可能还会保存知识一致性检查器 (KCC) 创建复制链接的过程(如果 DC 本身可能不存在)。 此外,作为元数据清理的一部分,域中所有其他 DC 的 DC 定位符 DNS 资源记录将从 DNS 中删除。

    在删除域中所有其他 DC 的元数据之前,如果此 DC 在恢复前为 RID 主数据库,则不会承担 RID 主角色,因此无法发出新的 RID。 系统日志中的事件 ID 16650 可能会在事件查看器中看到指示此失败的事件 ID,但应在清理元数据后看到事件 ID 16648,指示成功。

  7. 如果 DNS 区域存储在 AD DS 中,请确保在本地 DNS 服务器服务已安装并在已还原的 DC 上运行。 如果此 DC 不是林故障前的 DNS 服务器,则必须安装和配置 DNS 服务器。

    注意

    如果还原的 DC 运行 Windows Server 2008,则需要在知识库文章中安装修补程序 975654 或暂时将服务器连接到隔离网络才能安装 DNS 服务器。 任何其他版本的 Windows Server 都不需要修补程序。

    在林根域中,使用其自己的 IP 地址 (或环回地址(例如 127.0.0.1) )配置还原的 DC 作为其首选 DNS 服务器。 可以在局域网 (LAN) 适配器的 TCP/IP 属性中配置此设置。 这是林中的第一个 DNS 服务器。 有关详细信息,请参阅 配置 TCP/IP 以使用 DNS

    在每个子域中,使用林根域中第一个 DNS 服务器的 IP 地址配置还原的 DC 作为其首选 DNS 服务器。 可以在 LAN 适配器的 TCP/IP 属性中配置此设置。 有关详细信息,请参阅 配置 TCP/IP 以使用 DNS

    在_msdcs和域 DNS 区域中,删除元数据清理后不再存在的 DC 的 NS 记录。 检查是否已删除已清理 DC 的 SRV 记录。 若要帮助加快 DNS SRV 记录删除速度,请运行:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. 将可用 RID 池的值提高 100,000。 有关详细信息,请参阅 提高可用 RID 池的值。 如果你有理由认为将 RID 池提高 100,000 个不足以满足特定情况,则应确定仍安全使用的最低增长。 RID 是一种有限资源,不应用尽。

    如果在备份用于还原的备份后在域中创建了新的安全主体,则这些安全主体可能对某些对象具有访问权限。 恢复后不再存在这些安全主体,因为恢复已还原到备份;但是,其访问权限可能仍然存在。 如果在还原后未引发可用 RID 池,则林恢复后创建的新用户对象可能会获得相同的安全 ID (SID) ,并且可能有权访问最初未打算访问这些对象。

    为了说明,请考虑简介中提到的名为 Amy 的新员工的示例。 还原操作后,Amy 的用户对象不再存在,因为它是在用于还原域的备份之后创建的。 但是,分配给该用户对象的任何访问权限可能会在还原操作后保留。 如果在还原操作后将该用户对象的 SID 重新分配给新对象,则新对象将获取这些访问权限。

  9. 使当前 RID 池失效。 系统状态还原后,当前 RID 池将失效。 但是,如果未执行系统状态还原,则当前 RID 池需要失效,以防止还原的 DC 从创建备份时分配的 RID 池重新颁发 RID。 有关详细信息,请参阅 使当前 RID 池失效

    注意

    首次尝试在使 RID 池失效后使用 SID 创建对象,将收到错误。 尝试创建对象会触发对新 RID 池的请求。 重试操作会成功,因为将分配新的 RID 池。

  10. 重置此 DC 的计算机帐户密码两次。 有关详细信息,请参阅 重置域控制器的计算机帐户密码

  11. 重置 krbtgt 密码两次。 有关详细信息,请参阅 重置 krbtgt 密码

    由于 krbtgt 密码历史记录为两个密码,因此重置密码两次,以便从密码历史记录中删除原始 (预) 密码。

    注意

    如果林恢复响应安全漏洞,则还可以重置信任密码。 有关详细信息,请参阅 在信任的一端重置信任密码

  12. 如果林具有多个域,并且还原的 DC 在失败之前是全局目录服务器,请清除 NTDS 设置属性中的 “全局目录 ”复选框,以便从 DC 中删除全局目录。 此规则的例外是仅包含一个域的林的常见情况。 在这种情况下,不需要删除全局目录。 有关详细信息,请参阅 删除全局目录

    通过从最近用于还原其他域中 DC 的备份还原全局目录,可能会引入挥之不去的对象。 请考虑以下示例。 在域 A 中,DC1 是从 T1 时间创建的备份还原的。 在域 B 中,DC2 是从 T2 时间拍摄的全局目录备份还原的。 假设 T2 比 T1 最近,在 T1 和 T2 之间创建了一些对象。 还原这些 DC 后,DC2(即全局目录)保存域 A 部分副本的较新数据,而不是域 A 保留本身。 在这种情况下,DC2 保留挥之不去的对象,因为这些对象不在 DC1 上。

    存在挥之不去的对象可能会导致问题。 例如,电子邮件可能不会传递到用户对象在域之间移动的用户。 将过时的 DC 或全局目录服务器重新联机后,用户对象的两个实例将显示在全局目录中。 这两个对象具有相同的电子邮件地址;因此,无法传递电子邮件。

    第二个问题是,不再存在的用户帐户可能仍显示在全局地址列表中。 第三个问题是,不再存在的通用组可能仍出现在用户的访问令牌中。

    如果确实还原了作为全局目录的 DC(无意中或因为这是你信任的单独备份),我们建议你通过在还原操作完成后不久禁用全局目录来防止出现徘徊对象。 禁用全局目录标志将导致计算机丢失其所有部分副本 (分区) ,并将自身降级为常规 DC 状态。

  13. 配置 Windows 时间服务。 在林根域中,将 PDC 模拟器配置为从外部时间源同步时间。 有关详细信息,请参阅 在林根域中的 PDC 模拟器上配置 Windows 时间服务

将每个还原的可写域控制器重新连接到公用网络

在此阶段,应有一个 DC 还原 (和恢复步骤在林根域和每个剩余域中执行) 。 将这些 DC 加入与环境其余部分隔离的公用网络,并完成以下步骤,以验证林运行状况和复制。

注意

将物理 DC 加入隔离网络时,可能需要更改其 IP 地址。 因此,DNS 记录的 IP 地址将不正确。 由于全局目录服务器不可用,因此 DNS 的安全动态更新将失败。 在这种情况下,虚拟 DC 更有利,因为它们可以加入新虚拟网络,而无需更改其 IP 地址。 这是建议虚拟 DC 作为在林恢复期间还原的第一个域控制器的原因之一。

验证后,将 DC 加入生产网络并完成验证林复制运行状况的步骤。

  • 若要修复名称解析,请创建 DNS 委派记录,并根据需要配置 DNS 转发和根提示。 运行 repadmin /replsum 以检查 DC 之间的复制。
  • 如果还原的 DC 不是直接复制合作伙伴,则通过创建临时连接对象来加快复制恢复速度。
  • 若要验证元数据清理,请对林中的所有 DC 的列表运行 Repadmin /viewlist \* 。 为域中所有 DC 的列表运行 Nltest /DCList:<domain>
  • 若要检查 DC 和 DNS 运行状况,请运行 DCDiag /v 报告林中所有 DC 的错误。

将全局目录添加到林根域中的域控制器

出于以下原因和其他原因,需要全局目录:

  • 为用户启用登录。
  • 启用在每个子域中的 DC 上运行的 Net Logon 服务,以便在根域中的 DNS 服务器上注册和删除记录。

尽管首选林根 DC 成为全局目录,但可以选择任何还原的 DC 成为全局目录。

注意

在完成林中所有目录分区的完全同步之前,DC 不会作为全局目录服务器播发。 因此,DC 应强制使用林中每个还原的 DC 进行复制。

监视事件 ID 1119 事件查看器中的目录服务事件日志,指示此 DC 是全局目录服务器,或验证以下注册表项的值为 1:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Promotion Complete

有关详细信息,请参阅 添加全局目录

在此阶段,应该有一个稳定的林,每个域有一个 DC,一个全局目录在林中。 应对刚还原的每个 DC 进行新的备份。 现在,可以通过安装 AD DS 开始重新部署林中的其他 DC。

后续步骤