Active Directory 樹系復原 - 重新部署其餘 DC

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

到目前為止的步驟適用於所有樹系：尋找每個網域的有效備份、隔離復原網域、將其重新連線、重設通用類別目錄，以及進行清理。 在下一個步驟中，您將重新部署樹系。 這樣做的方式將在很大程度上取決於您的樹系設計、您的服務等級協定、網站結構、可用的頻寬，以及許多其他因素。 您必須根據本節中的原則和建議，以最適合您商務需求的方式來設計自己的重新部署計劃。

下一個步驟是在樹系復原發生之前存在的所有 DC 上安裝 AD DS。 如果 DC 仍然存在，則必須強制移除 AD DS 服務，或重新安裝 DC。 無法重複使用這些 DC 的任何現有備份，因為樹系復原期間已移除對應的中繼資料。 在不複雜的環境中，此重新部署流程可以非常簡單，只需將已復原的 DC 重新連線到實際執行網路，並視需要升級新的 DC 即可。

在面臨全球基礎結構的大型企業中，需要更複雜的計劃。 第一個階段通常是還原 AD 即服務；安裝策略性放置的 DC，讓所有重要的營業單位和應用程式都可以重新開始運作。 (由於這種情況，分公司暫時地降低效能是可以接受的。)在第二個階段中，會重新部署所有剩餘且較不重要的 DC。

有兩種方法可以安裝額外的 DC，這兩種方法都可以自動化：

複製

從備份還原單一虛擬化 DC 之後，您可以將網域中所有虛擬化 DC 的復原自動化。 如需有關複製和必要條件的詳細資訊，請參閱 Active Directory Domain Services (AD DS) 虛擬化簡介 (層級 100)。

使用 Windows PowerShell 重新安裝 AD DS

若要加速重新安裝 AD DS，您可以使用 [從媒體安裝 (IFM)] 選項來減少安裝期間的複寫流量。 如需使用 ntdsutil ifm 命令建立安裝媒體的詳細資訊，請參閱 從媒體安裝 AD DS。

對於藉由虛擬化 DC 複製或安裝 AD DS (而不是從備份復原) 以在樹系中復原的每個複本 DC，請考慮下列其他重點：

• DC 上用作複製來源的所有軟體都必須能夠進行複製。 在起始複製之前，應該先移除無法複製的應用程式和服務。 如果不可行，則應該選擇替代的虛擬化 DC 作為來源。
• 如果您從要還原的第一個虛擬化 DC 複製其他虛擬化 DC，來源 DC 必須在複製其 VHDX 檔案時關閉。 然後，第一次啟動複製虛擬 DC 時，它必須執行且可在線上使用。 如果第一個復原的 DC 無法接受關閉所需的停機時間，請藉由安裝 AD DS 來部署額外的虛擬化 DC 作為複製來源。
• 對於所複製虛擬化 DC 的主機名稱或您想要安裝 AD DS 的伺服器主機名稱沒有任何限制。 您可以使用新的主機名稱或先前使用的主機名稱。 如需 DNS 主機名稱語法的詳細資訊，請參閱建立 DNS 電腦名稱 (https://go.microsoft.com/fwlink/?LinkId=74564)。
• 在網路介面卡 TCP/IP 屬性中，將搭配樹系中第一部 DNS 伺服器 (在根網域中還原的第一個 DC) 的每部伺服器設定為偏好的 DNS 伺服器。 如需詳細資訊，請參閱設定 TCP/IP 以使用 DNS。
• 重新部署網域中的所有 RODC，方法是透過虛擬化 DC 複製 (如果數個 RODC 部署在中央位置)；或透過移除並重新安裝 AD DS 將其重建的傳統方法 (如果其個別部署在隔離位置)。
  • 重建 RODC 可確保其不包含任何延遲物件，並可協助防止稍後發生複寫衝突。 當您從 RODC 移除 AD DS 時，請選擇選項來保留 DC 中繼資料。 使用此選項會保留 RODC 的 krbtgt 帳戶，並保留所委派 RODC 系統管理員帳戶和密碼複寫原則 (PRP) 的權限，且防止您必須使用網域系統管理員認證，在 RODC 上移除並重新安裝 AD DS。 如果 DNS 伺服器和通用類別目錄角色原本安裝在 RODC 上，也會保留這些角色。
  • 當您重建 DC (RODC 或可寫入 DC) 時，在其重新安裝期間複寫流量可能會增加。 為了協助降低該影響，您可以錯開 RODC 安裝的排程，而且您可以使用 [從媒體安裝 (IFM)] 選項。 如果您使用 IFM 選項，請在您信任的可寫入 DC 上執行 ntdsutil ifm 命令，以釋放損毀的資料。 這有助於防止 AD DS 重新安裝完成之後，RODC 上出現可能的損毀。 如需 IFM 的詳細資訊，請參閱從媒體安裝 AD DS。
  • 如需重建 RODC 的詳細資訊，請參閱 RODC 移除和重新安裝。
• 如果 DC 在樹系故障之前執行 DNS 伺服器服務，請在安裝 AD DS 期間安裝和設定 DNS 伺服器服務。 否則，請使用其他 DNS 伺服器來設定其先前的 DNS 用戶端。
• 如果您需要其他通用類別目錄來共用使用者或應用程式的驗證或查詢負載，則可以在複製之前將通用類別目錄新增至來源虛擬化 DC，或在 AD DS 安裝期間使 DC 成為通用類別目錄伺服器。

下一步

• AD 樹系復原 - 先決條件
• AD 樹系復原 - 設計自訂樹系復原計畫
• AD 樹系復原 - 用來還原樹系的步驟
• AD 樹系復原 - 識別問題
• AD 樹系復原 - 決定如何復原
• AD 樹系復原 - 執行初始復原
• AD 樹系復原 - 程序
• AD 樹系復原 - 常見問題集 (FAQ)
• AD 樹系復原 - 復原多網域樹系內的單一網域
• AD 樹系復原 - 重新部署其餘 DC
• AD 樹系復原 - 虛擬化
• AD 樹系復原 - 清除