Ebben a cikkben bemutatjuk, hogyan lehet visszaállítani egy Active Directory tartományvezérlőt egy korábban létrehozott rendszerállapot-biztonsági mentésből (lásd az Active Directory biztonsági másolatát), és megvizsgáljuk az egyenáramú DC-helyreállítás típusait és elveit.
Tartalom:
- Az AD tartományvezérlő visszaállítása replikációval
- Az Active Directory helyreállítási típusai: Engedélyezett és hiányos
- Az AD tartományvezérlő visszaállítása a rendszerállapot-biztonsági mentésből
- Állítsa vissza az egyes objektumokat az AD-ben
Tegyük fel, hogy van egy sikertelen AD tartományvezérlő, és vissza szeretné állítani egy korábban létrehozott biztonsági másolatból. A DC helyreállítás megkezdése előtt meg kell értenie, hogy melyik tartományvezérlő helyreállítási forgatókönyvet kell használni. Attól függ, hogy vannak-e más DC-k a hálózaton, és hogy a rajtuk lévő Active Directory-adatbázis sérült-e..
Az AD tartományvezérlő visszaállítása replikációval
A DC visszaállítása replikáció révén nem egészen a DC visszaállításának a biztonsági mentésből. Ez a forgatókönyv akkor használható, ha a hálózaton több további tartományvezérlő van, és ezek mindegyike működőképes. Ez a forgatókönyv magában foglalja egy új szerver telepítését, és frissítését egy új DC-re ugyanazon a webhelyen. A régi vezérlőt csak el kell távolítani az AD-ből.
Ez a legegyszerűbb módja annak biztosítására, hogy ne végezzen állandó változtatásokat az AD-ben. Ebben a forgatókönyvben az ntds.dit adatbázis, a GPO-k és a SYSVOL mappa tartalma automatikusan replikálódik az új DC-re, a DC-k online maradva.
Ha az ADDS-adatbázis mérete kicsi, és egy másik DC hozzáférhető nagysebességű csatornán, ez sokkal gyorsabb, mint a DC visszaállítása egy biztonsági másolatból.
Az Active Directory helyreállítási típusai: Engedélyezett és hiányos
Az Active Directory DS biztonsági másolatból történő helyreállításának két típusa van, amelyeket egyértelműen meg kell értenie a helyreállítás megkezdése előtt:
- Hiteles helyreállítás (hiteles vagy hiteles helyreállítás) - az AD objektumok helyreállítása után a replikációt a visszaállított DC-ből a tartomány összes többi vezérlőjére végrehajtják. Az ilyen típusú helyreállítást akkor használják, amikor egyetlen DC vagy az összes DC egyidejűleg esett le (például egy titkosító vagy vírusroham következtében), vagy amikor egy sérült NTDS.DIT adatbázis replikálódott egy tartományban. Ebben a módban az összes visszaállított AD objektum USN (frissítési sorozatszám) értéke 100 000-rel növekszik. Így a visszaállított objektumokat az összes DC-k újabbnak fogják érzékelni, és a tartományokonként replikálódnak. A hiteles helyreállítási módszert nagyon óvatosan kell használni !!! A hiteles helyreállítással elveszíti a biztonsági mentés óta bekövetkezett változásokat az AD-ben (tagság AD-csoportokban, Exchange-attribútumok stb.).
- Nem autoritatív visszaállítás (hiányos vagy nem hiteles helyreállítás) - az AD-bázis helyreállítása után ez a vezérlő közli más DC-kkel, hogy visszaállították a biztonsági másolatból, és hogy szüksége van a legfrissebb módosításokra az AD-ben (új DSA Invocation ID jön létre a DC-hez). Ez a helyreállítási módszer távoli helyszíneken használható, amikor nehéz egy nagy AD adatbázist azonnal replikálni egy lassú WAN csatornán; vagy amikor a szervernek fontos adatai vagy alkalmazásai voltak.
Az AD tartományvezérlő visszaállítása a rendszerállapot-biztonsági mentésből
Tehát tegyük fel, hogy csak egy DC van a domainben. Valamely ok miatt a fizikai kiszolgáló, amelyen fut, meghibásodott.
Viszonylag nemrégiben van biztonsági mentése a régi tartományvezérlő rendszerállapotáról, és hiteles helyreállítási módban szeretné visszaállítani az Active Directoryt az új kiszolgálón..
A helyreállítás elindításához az új szerverre telepítenie kell a Windows Server ugyanazt a verziót, amelyet a meghibásodott DC-re telepített. Egy új szerver tiszta operációs rendszerében telepítenie kell a szerepet ADDS (konfigurálása nélkül) és az összetevő Windows Server biztonsági másolat.
Az Actve Directory visszaállításához el kell indítania a kiszolgálót címtárszolgáltatások helyreállítási módban DSRM (Directory Services Restore Mode). Ehhez futtassa msconfig és a hozzájárulásról csomagtartó válassza a Biztonságos indítás -> lehetőséget Active Directory javítás.
Indítsa újra a szervert. DSRM módban kell indulnia. Indítsa el a Windows Server biztonsági másolatot (wbadmin), és válassza a jobb oldali menüben meggyógyul.
A helyreállító varázslóban válassza ki, hogy a biztonsági másolatot egy másik helyen tárolja-e (egy másik helyre tárolt biztonsági másolatot).
Megjegyzés: válassza ki azt a meghajtót, amelyben a régi AD vezérlő mentése található, vagy adja meg az UNC elérési útját.
wbadmin verziók letöltése -backupTarget: D:
Válassza ki azt a dátumot, amikor visszaállítani szeretné a biztonsági másolatot.
Jelölje meg, hogy helyreállítja a rendszerállapotot.
Válassza az „Eredeti hely” lehetőséget a visszaállításhoz, és ellenőrizze, hogy „Végezzen hiteles helyreállítást az Active Directory fájljaiból).
A rendszer figyelmeztetést fog jelenteni arról, hogy ez a biztonsági másolat más szerver, és hogy egy másik szerverre való visszaállításkor nem indul el. folytatódik.
Egyetért egy másik figyelmeztetéssel:
Windows Server biztonsági másolat Megjegyzés: Ez a helyreállítási lehetőség a helyi kiszolgálón található replikált tartalmat a helyreállítást követően újból szinkronizálja. Ez potenciális késést vagy kiesést okozhat.
Ezt követően megkezdődik az AD tartományvezérlő visszaállítása az új kiszolgálón. A befejezés után a szervernek újra kell indítania (az új szerver neve DC-névre változik a biztonsági másolatból).
Indítsa el a szervert normál módban (tiltsa le a rendszerindítást DSRM módban)
Jelentkezzen be a kiszolgálóra domain-rendszergazdai jogokkal rendelkező fiók alatt.
Amikor először elindítottam az ADUC konzolt, hiba történt:
Az Active Directory tartományi szolgáltatások Az elnevezési információk nem találhatók a következő okból: A kiszolgáló nem működik.
A kiszolgálón azonban nincs SYSVOL és NETLOGON hálózati mappa. A hiba kijavítása:
- Futtassa a regedit.exe fájlt;
- Menj az ághoz HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters
- Változtassa meg a SysvolReady paraméter értékét 0-ról 1;
- Ezután indítsa újra a NetLogon szolgáltatást:
net stop netlogon & nettó induló netlogon
Próbálja meg ismét megnyitni az ADUC konzolt. Látnia kell a domain szerkezetét.
Tehát sikeresen visszaállította az AD tartományvezérlőt módban Hiteles helyreállítás. Most az Active Directory összes objektuma automatikusan replikálódik más tartományvezérlőkhöz.
Ha csak egy DC van hátra, ellenőrizze, hogy ő az 5 FSMO szerepének mestere - és rögzítse őket, ha szükséges.
Állítsa vissza az egyes objektumokat az AD-ben
Ha vissza kell állítania az egyes objektumokat az AD-ben, használja az Active Directory Lomtárat. Ha az eltemetési idő már lejárt, vagy az ActiveDirectory RecycleBin nincs engedélyezve, akkor az egyes AD objektumokat tekintélyes helyreállítási módban visszaállíthatja.
Röviden: az eljárás a következő:
- Töltse le DC-t DSRM módban;
- Az elérhető biztonsági mentések felsorolása:
wbadmin verziók - Indítsa el a kiválasztott biztonsági másolat helyreállítását:
wbadmin indítsa el a systemtaterecovery -version: [your_version] - Erősítse meg a DC helyreállítást (nem-autoritatív módban);
- Indítás után futtassa:
ntdsutil aktiválja a példány ntds-thiteles helyreállítás
Adja meg a visszaállítandó objektum teljes elérési útját. Visszaállíthatja a teljes OU-t:
visszaállítani az "OU = Felhasználók, DC = winitpro, DC = ru" alfát
Vagy egy tárgy:
objektum visszaállítása „cn = Teszt, OU = Felhasználók, DC = winitpro, DC = ru”
Ez a parancs megtiltja a megadott objektumok (útvonalak) másolását más tartományvezérlőktől, és növeli az objektum USN értékét 100000-rel.
Kilépés az ntdsutil-ból: kilép
Indítsa el a szervert normál módban, és ellenőrizze, hogy a törölt objektum helyreállt-e.
