Obnovite Active Directory iz varnostne kopije

V tem članku bomo pokazali, kako obnoviti krmilnik domene Active Directory iz predhodno izdelane varnostne kopije sistema države (glejte varnostno kopijo Active Directory) in upoštevali vrste in načela obnovitve DC v AD.

Vsebina:

  • Obnovite krmilnik domene AD s podvajanjem
  • Vrste obnovitve aktivnega imenika: dovoljeno in nepopolno
  • Ponovna vzpostavitev krmilnika domene AD iz varnostne kopije stanja sistema
  • Obnovite posamezne predmete v AD-ju

Predpostavimo, da imate napačen krmilnik domene AD in ga želite obnoviti iz predhodno ustvarjene varnostne kopije. Preden nadaljujete z obnovitvijo enosmernega toka, morate razumeti, kateri scenarij obnovitve regulatorja domene morate uporabiti. Odvisno je od tega, ali imate v omrežju druge DC-je in če je baza podatkov Active Directory na njih poškodovana..

Obnovite krmilnik domene AD s podvajanjem

Obnavljanje DC s podvajanjem ni ravno postopek obnavljanja DC iz varnostne kopije. Ta scenarij je mogoče uporabiti, če imate v omrežju več dodatnih krmilnikov domen in so vsi funkcionalni. Ta scenarij vključuje namestitev novega strežnika, nadgradnjo na nov DC na istem mestu. Stari regulator je treba odstraniti iz AD-ja.

To je najlažji način, da zagotovite, da ne spreminjate AD-ja. V tem primeru se bodo baze podatkov ntds.dit, GPO in vsebina mape SYSVOL samodejno kopirali v nov DC, preostali DC pa v spletu.

Če je velikost baze podatkov ADDS majhna in je drug DC na voljo prek kanala za visoke hitrosti, je to veliko hitreje kot obnavljanje DC iz varnostne kopije.

Vrste obnovitve aktivnega imenika: dovoljeno in nepopolno

Obstajata dve vrsti obnovitve Active Directory DS iz varnostne kopije, ki ju morate jasno razumeti, preden začnete obnoviti:

  • Avtoritativna obnova (avtoritativno ali verodostojno obnavljanje) - po obnovi predmetov AD se izvede obnovitev iz obnovljenega DC na vse druge krmilnike v domeni. Ta vrsta obnovitve se uporablja v scenarijih, ko je istočasno padel en DC ali vsi DC-ji (na primer zaradi šifrirja ali napada virusa) ali ko je bila poškodovana baza podatkov NTDS.DIT ​​razmnožena po domeni. V tem načinu imajo vsi obnovljeni predmeti AD vrednost USN (Update Sequence Number) povečano za 100 000. Tako bodo obnovljeni predmeti vsi DC-ji zaznani kot novejši in se bodo podvojili po domeni. Avtoritativno metodo obnovitve je treba uporabljati zelo previdno !!! Z verodostojno obnovitvijo boste izgubili večino sprememb v AD, ki so se zgodile od varnostne kopije (članstvo v AD skupinah, atributi Exchange itd.).
  • Neavtoritabilna obnovitev (nepopolna ali neavtoritabilna obnovitev) - po obnovitvi baze AD ta krmilnik sporoči drugim DC-jem, da je bil obnovljen iz varnostne kopije in potrebuje zadnje spremembe AD (za DC je ustvarjen nov ID poziva DSA). Ta način obnovitve je mogoče uporabiti na oddaljenih mestih, ko je težko takoj ponoviti veliko bazo podatkov AD počasen kanal WAN; ali ko je imel strežnik pomembne podatke ali aplikacije.

Ponovna vzpostavitev krmilnika domene AD iz varnostne kopije stanja sistema

Predpostavimo, da imate v svoji domeni samo en DC. Iz nekega razloga fizični strežnik, na katerem se izvaja, ni uspel.

Imate relativno nedavno varnostno kopijo stanja sistema starega krmilnika domene in želite obnoviti Active Directory na novem strežniku v avtoritativnem načinu obnovitve.

Če želite začeti obnovitev, morate na nov strežnik namestiti isto različico sistema Windows Server, ki je bila nameščena na okvarjenem DC-ju. V čistem OS na novem strežniku morate namestiti vlogo DODATKI (ne da bi jo konfigurirali) in komponento Varnostno kopiranje sistema Windows Server.

Če želite obnoviti imenik Actve, morate zagnati strežnik v načinu obnovitve imeniških storitev DSRM (Način obnovitve imeniških storitev). Če želite to narediti, zaženite msconfig in o prispevku Čevelj izberite Varni zagon -> Popravilo Active Directory.

Znova zaženite strežnik. Zaženil naj bi se v načinu DSRM. Zaženite varnostno kopijo sistema Windows Server (wbadmin) in izberite v desnem meniju Okrepi.

V čarovniku za obnovitev izberite, da je varnostna kopija shranjena na drugem mestu (Varnostna kopija shranjena na drugi lokaciji).

Upoštevajte, izberite pogon, v katerem je varnostna kopija starega krmilnika AD, ali določite pot UNC do njega.

Da bi WSB videl varnostno kopijo na disku, morate v koren diska postaviti imenik WindowsImageBackup s varnostno kopijo. Preko varnostnih kopij na disku lahko preverite z ukazom:

wbadmin dobili različice -backupTarget: D:

Izberite datum, na katerega želite obnoviti varnostno kopijo.

Navedite, da obnavljate stanje sistema.

Za obnovitev izberite »Original location« in preverite »Izvedite verodostojno obnovitev datotek Active Directory).

Sistem bo prikazal opozorilo, da je ta varnostna kopija drug strežnik in da se pri obnovi na drug strežnik morda ne bo zagnal. Nadaljujte.

Strinjam se z drugim opozorilom:

Varnostno kopiranje sistema Windows Server: Opomba: ta možnost obnovitve bo povzročila ponovno sinhronizacijo ponovljene vsebine na lokalnem strežniku po obnovitvi. To lahko povzroči morebitne težave z zamudo ali izpadom.


Po tem se bo začel postopek obnove krmilnika domene AD na novem strežniku. Po zaključku bo strežnik zahteval ponovni zagon (ime novega strežnika bo iz varnostne kopije spremenjeno v ime DC).

Zaženite strežnik v običajnem načinu (onemogočite zagon v načinu DSRM)

Prijavite se v strežnik pod računom s pravicami skrbnika domene.

Ko sem prvič zagnal konzolo ADUC, sem dobil napako:

Podatkov o poimenovanju domen Active Directory ni mogoče najti zaradi naslednjega razloga: strežnik ne deluje.

Vendar na strežniku ni omrežnih map SYSVOL in NETLOGON. Če želite odpraviti napako:

  1. Zaženite regedit.exe;
  2. Pojdi na podružnico HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parametri
  3. Spremenite vrednost parametra SysvolReady iz 0 v 1;
  4. Nato znova zaženite storitev NetLogon: net stop netlogon & net start netlogon

Poskusite znova odpreti konzolo ADUC. Videti bi morali strukturo vaše domene.

Torej, uspešno ste obnovili krmilnik domene AD v načinu Avtoritativna obnova. Zdaj bodo vsi predmeti v Active Directory samodejno kopirani na druge krmilnike domen.

Če vam ostane le en DC, preverite, ali je on mojster vseh 5 vlog FSMO in jih po potrebi zajemite.

Obnovite posamezne predmete v AD-ju

Če morate obnoviti posamezne predmete v AD, uporabite koš za smeti Active Directory. Če je čas pokopa že potekel ali ActiveDirectory RecycleBin ni omogočen, lahko obnovite posamezne predmete AD v avtoritativnem načinu obnovitve.

Na kratko, postopek je naslednji:

  1. Prenesite DC v načinu DSRM;
  2. Seznam razpoložljivih varnostnih kopij: wbadmin dobili različice
  3. Začnite obnoviti izbrano varnostno kopijo: wbadmin start systemstaterecovery -version: [your_version]
  4. Potrdite obnovitev enosmernega toka (v neavtorivnem načinu);
  5. Po ponovnem zagonu zaženite: ntdsutil
  6. aktiviraj primere ntds
  7. avtoritativno obnavljanje

Določite celotno pot do predmeta, ki ga je treba obnoviti. Lahko obnovite celoten OU:

obnoviti poddrevo "OU = uporabniki, DC = winitpro, DC = ru"

Ali en predmet:

obnoviti objekt »cn = test, OU = uporabniki, DC = winitpro, DC = ru«

Ta ukaz bo prepovedal podvajanje določenih predmetov (poti) z drugih krmilnikov domen in povečal USN predmeta za 100000.

Izhod iz ndsutil: odnehati

Zaženite strežnik v običajnem načinu in preverite, ali je izbrisan predmet obnovljen.