У цій статті ми покажемо, як відновити контролер домену Active Directory з резервної копії System State, створеної раніше (див. Статтю Створення резервної копії Active Directory) і розглянемо типи і принципи відновлення DC в AD.

Припустимо у вас вийшов з ладу контролер домену AD, і ви хочете відновити його з створеної раніше резервної копії. Перш ніж приступити до відновлення DC, потрібно зрозуміти який сценарій відновлення контролера домену вам потрібно використовувати. Це залежить від того, чи є у вас в мережі інші DC і пошкоджена база Active Directory на них.

Відновлення контролера домену AD через реплікацію

Відновлення DC через реплікацію – це не зовсім процес відновлення DC з резервної копії. Цей сценарій може використовуватися, якщо у вас в мережі є кілька додаткових контролерів домену, і всі вони працездатні. Цей сценарій передбачає установку нового сервера, підвищення його до нового DC в цьому ж сайті. Старий контролер потрібно просто видалити з AD.

Це найпростіший спосіб, який гарантує що ви не внесете непоправних змін в AD. У цьому сценарії база ntds.dit, об’єкти GPO і вміст папки SYSVOL будуть автоматично реплікуються на новий DC з DC-ів, що залишилися онлайн.

Якщо розмір бази ADDS невеликий і інший DC доступний по швидкісному каналу, це набагато швидше, ніж відновлювати DC з резервної копії.

Типи відновлення Active Directory: повноважне і неповноважним

Є два типи відновлення Active Directory DS з резервної копії, в яких потрібно чітко розібратися перед початком відновлення:

  • Авторитетне відновлення (Повноважне або авторитативні відновлення) – після відновлення об’єктів AD виконується реплікація з відновленого DC на всі інші контролери в домені. Цей тип відновлення використовується в сценаріях, коли впав єдиний DC або все DC одночасно (наприклад, в результаті атаки шифрувальника або вірусу), або коли по домену реплицироваться пошкоджена база NTDS.DIT. У цьому режимі у всіх відновлених об’єктів AD значення USN (Update Sequence Number) збільшується на 100000. Таким чином відновлені об’єкти будуть сприйняті всіма DC як більш нові і будуть реплікуються по домену. Повноважний спосіб відновлення потрібно використовувати дуже акуратно !!!
    При повноважного відновленні ви втратите більшість змін в AD, що сталися з моменту створення бекапа (членство в групах AD, атрибути Exchange і т.д.).
  • Неавторитетне відновлення (Неповноважним або НЕ-авторітіатівное відновлення) – після відновлення бази AD цей контролер повідомляє іншим DC, що він відновлений з резервної копії і йому потрібні останні зміни в AD (для DC створюється новий DSA Invocation ID). Цей спосіб відновлення можна використовувати на віддалених майданчиках, коли складно відразу реплицировать велику базу AD по повільному WAN каналу; або коли на сервері були якісь важливі дані або програми.

Відновлення контролера домену AD з system state бекапа

Отже, припустимо, що у вас в домені тільки один DC. З якоїсь причини вийшов з ладу фізичний сервер, на якому він запущений.

У вас є відносно свіжий бекап System State старого контролера домену, і ви хочете відновити Active Directory на новому сервері в режимі повноважного відновлення.

Щоб приступити до відновлення, вам потрібно встановити на новому сервер тугіше версію Windows Server, яка була встановлена ​​на несправному DC. У чистій ОС на новому сервері потрібно встановити роль ДОДАЄ (Не налаштовуючи її) і компонент Резервне копіювання Windows Server.

установка Windows Server Backup

Для відновлення Actve Directory вам потрібно завантажити сервер в режимі відновлення служб каталогів DSRM (Directory Services Restore Mode). Для цього запустіть msconfig і на вкладі Завантаження виберіть Safe Boot -> Відновлення Active Directory.

Щоб WSB побачив бекап на диску, потрібно помістити каталог WindowsImageBackup з резервною копією в корінь диска. Можете перевірити наявність резервних копій на диску за допомогою команди:

wbadmin get versions -backupTarget:D:

Виберіть дату, на яку потрібно відновити резервну копію.
виберіть дату створення резервних копії стану контролера домену AD
Вкажіть, що ви відновлюєте стан System State.
відновлення system state на DC
Виберіть для відновлення «Початкове розміщення» (Original location) і обов’язково встановіть галочку «Виконати заслуговує на довіру відновлення файлів Active Directory »(Perform an authoritative restore of Active Directory files).
авторитативні відновлення Perform an authoritative restore of Active Directory files
Система покаже попередження, що ця резервна копія іншого сервера, і що при відновленні на іншому сервері може не завестися. Продовжуємо.
бекап від іншого сервера контролера домену
Погодьтеся з ще одним попередженням:

Windows Server Backup

Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.

Цей варіант відновлення призведе до повторної синхронізації реплікаційного вмісту на локальному сервері після відновлення
Після цього запуститься процес відновлення контролера домену AD на новому сервері. По завершенні сервер зажадає перезавантаження (ім’я нового сервера буде змінено на ім’я DC з резервної копії).
wbadmin - відновлення контролера домену AD
Завантажте сервер в звичайному режимі (вимкніть завантаження в DSRM режимі)

Авторизуйтесь на сервері під обліковим записом з правами адміністратора домену.

При першому запуску консолі ADUC я отримав помилку:

Active Directory Domain Services
Naming information cannot be located for the following reason:
The server is not operational.

Інформацію про іменування доменних служб Active Directory неможливо знайти з наступних причин: Сервер не працює

При цьому на сервері немає мережевих папок SYSVOL and NETLOGON. Щоб виправити помилку:

  1. Запустіть regedit.exe;
  2. Перейдіть в гілку HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Netlogon Parameters
  3. Змініть значення параметра SysvolReady з 0 на 1; SysvolReady в реєстрі
  4. Потім запустіть службу NetLogon: net stop netlogon & net start netlogon перезапустити netlogon

Спробуйте відкрити консоль ADUC ще раз. Ви повинні побачити структуру вашого домену.
консоль aduc на відновленому контролері домену
Отже, ви успішно відновили свій контролер домен AD в режимі Авторитетне відновлення. Тепер всі об’єкти в Active Directory будуть автоматично реплікуються на інші контролери домену.

Якщо у вас залишився єдиний DC, перевірте що він є господарем всіх 5 FSMO ролей і виконайте їх захоплення, якщо потрібно.

Відновлення окремих об’єктів в AD

Якщо вам потрібно відновити окремі об’єкти в AD, скористайтеся кошиком Active Directory. Якщо час поховання вже прострочено, або ActiveDirectory RecycleBin не включена, ви можете відновити окремі об’єкти AD в режимі авторітаівного відновлення.

Коротенько процедура виглядає наступним чином:

  1. Завантажте DC в DSRM режимі;
  2. Виведіть список доступних резервних копій: wbadmin get versions
  3. Запустіть відновлення вибраний файл резервної копії: wbadmin start systemstaterecovery –version:[your_version]
  4. Підтвердіть відновлення DC (в не повноважні режимі);
  5. Після перезавантаження запустіть: ntdsutil
  6. activate instance ntds
  7. authoritative restore

Вкажіть повний шлях до об’єкта, який потрібно відновити. Можна відновити OU цілком:

restore subtree ″OU=Users,DC=winitpro,DC=ru″

Або один об’єкт:

restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”

авторитетне відновлення ntdsutil

Дана команда заборонить реплікацію зазначених об’єктів (шляхів) з інших контролерів домену та збільшить USN об’єкта на 100000.

Вийдіть з ntdsutil: quit

Завантажте сервер в звичайному режимі і переконайтеся, що віддалений об’єкт був відновлений.

Leave a Reply

Your email address will not be published. Required fields are marked *