Obnovenie služby Active Directory zo zálohy

V tomto článku si ukážeme, ako obnoviť radič domény Active Directory zo zálohy stavu systému vytvorenej skôr (pozri Zálohovanie služby Active Directory) a zvážiť typy a princípy obnovy DC v AD.

obsah:

  • Obnovte radič domény AD prostredníctvom replikácie
  • Typy obnovy služby Active Directory: Autorizované a neúplné
  • Obnova radiča domény AD zo zálohy stavu systému
  • Obnova jednotlivých objektov v službe AD

Predpokladajme, že máte zlyhaný radič domény AD a chcete ho obnoviť z predtým vytvorenej zálohy. Pred pokračovaním v obnove DC musíte pochopiť, ktorý scenár obnovy radiča domény musíte použiť. Závisí to od toho, či máte v sieti ďalšie DC a či je poškodená databáza Active Directory..

Obnovte radič domény AD prostredníctvom replikácie

Obnovenie DC prostredníctvom replikácie nie je celkom proces obnovy DC zo zálohy. Tento scenár sa dá použiť, ak máte v sieti niekoľko ďalších radičov domény a všetky sú funkčné. Tento scenár zahŕňa inštaláciu nového servera a jeho aktualizáciu na nový server DC na rovnakej lokalite. Starý radič musí byť z AD odstránený.

Toto je najjednoduchší spôsob, ako zabezpečiť, aby ste v službe AD nevykonávali trvalé zmeny. V tomto scenári sa ntds.dit databáza, GPO a obsah priečinka SYSVOL automaticky replikujú do nového DC s tým, že zostanú DC online..

Ak je veľkosť databázy ADDS nízka a ďalší DC je prístupný cez vysokorýchlostný kanál, je to oveľa rýchlejšie ako obnovenie DC zo zálohy..

Typy obnovy služby Active Directory: Autorizované a neúplné

Existujú dva typy obnovy služby Active Directory DS zo zálohy, ktorej musíte jasne porozumieť pred začatím obnovy:

  • Autoritatívne obnovenie (autoritatívne alebo autoritatívne zotavenie) - po obnove objektov AD sa vykoná replikácia z obnoveného DC na všetky ostatné radiče v doméne. Tento typ obnovy sa používa v scenároch, keď jeden DC alebo všetky DC narazili súčasne (napríklad v dôsledku útoku šifrovača alebo vírusu) alebo keď sa poškodená databáza NTDS.DIT ​​replikovala v celej doméne. V tomto režime majú všetky obnovené AD objekty hodnotu USN (Update Sequence Number) zvýšenú o 100 000. Obnovené objekty tak budú vnímané všetkými DC ako novšie a budú replikované doménou. Autoritatívna metóda obnovy musí byť použitá veľmi opatrne !!! Pri autoritatívnom obnovení stratíte väčšinu zmien v službe AD, ktoré nastali od zálohy (členstvo v skupinách AD, atribúty servera Exchange atď.).
  • Neautoritatívne obnovenie (neúplné alebo neautoritatívne zotavenie) - po obnovení základne AD tento radič oznámi ďalším DC, že bol obnovený zo zálohy a potrebuje najnovšie zmeny AD (pre DC sa vytvorí nové ID DSA Invocation ID). Túto metódu obnovy je možné použiť na vzdialených serveroch, keď je ťažké okamžite replikovať veľkú databázu AD cez pomalý kanál WAN; alebo keď server mal nejaké dôležité údaje alebo aplikácie.

Obnova radiča domény AD zo zálohy stavu systému

Predpokladajme teda, že máte iba jednu doménu domény vo vašej doméne. Z nejakého dôvodu zlyhal fyzický server, na ktorom je spustený.

Máte relatívne nedávnu zálohu stavu systému starého radiča domény a chcete obnoviť službu Active Directory na novom serveri v autoritatívnom režime obnovy.

Na spustenie obnovy je potrebné nainštalovať na nový server rovnakú verziu systému Windows Server, ktorá bola nainštalovaná na neúspešnom serveri DC. V čistom OS na novom serveri musíte nainštalovať rolu ADDS (bez konfigurácie) a komponentu Zálohovanie servera Windows.

Ak chcete obnoviť adresár Actve, musíte spustiť server v režime obnovy adresárových služieb DSRM (Režim obnovenia adresárových služieb). Spustite to msconfig a o príspevku topánka vyberte položku Safe Boot -> Oprava služby Active Directory.

Reštartujte server. Malo by sa zaviesť v režime DSRM. Spustite program Windows Server Backup (wbadmin) a vyberte v pravej ponuke zotaviť sa.

V sprievodcovi obnovením vyberte, či je záloha uložená na inom mieste (záloha uložená na inom mieste).

Poznámka: Vyberte jednotku, na ktorej sa nachádza záloha starého radiča AD, alebo zadajte cestu k UNC.

Aby mohla služba WSB vidieť zálohu na disku, musíte do koreňového adresára disku umiestniť adresár WindowsImageBackup so zálohou. Zálohy na disku môžete skontrolovať pomocou príkazu:

wbadmin získať verzie -backupTarget: D:

Vyberte dátum, kedy chcete obnoviť zálohu.

Označte, že obnovujete stav systému.

Ak chcete obnoviť, vyberte možnosť „Pôvodné umiestnenie“ a nezabudnite skontrolovať „Vykonajte autoritatívne obnovenie súborov služby Active Directory).

Systém zobrazí upozornenie, že táto záloha je iný server a že pri obnove na iný server sa nemusí spustiť. pokračovať.

Súhlasím s ďalším varovaním:

Zálohovanie servera Windows Poznámka: Táto možnosť obnovenia spôsobí, že replikovaný obsah na lokálnom serveri sa po obnovení znova synchronizuje. Môže to spôsobiť problémy s oneskorením alebo výpadkom.


Potom sa začne proces obnovy radiča domény AD na novom serveri. Po dokončení bude server vyžadovať reštart (názov nového servera sa zo zálohy zmení na názov DC).

Zavádzanie servera v normálnom režime (vypnutie spúšťania v režime DSRM)

Prihláste sa na server pod účtom s právami správcu domény.

Pri prvom spustení konzoly ADUC sa vyskytla chyba:

Informácie o pomenovávaní doménových služieb Active Directory nie je možné nájsť z tohto dôvodu: Server nie je funkčný.

Na serveri sa však nenachádzajú žiadne sieťové priečinky SYSVOL a NETLOGON. Opraviť chybu:

  1. Spustiť regedit.exe;
  2. Choďte do vetvy HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters
  3. Zmeňte hodnotu parametra SysvolReady z 0 na 1;
  4. Potom reštartujte službu NetLogon: net stop netlogon a net start netlogon

Skúste znova otvoriť konzolu ADUC. Mali by ste vidieť štruktúru svojej domény.

Úspešne ste teda obnovili radič domény AD v režime Autoritatívne obnovenie. Teraz budú všetky objekty v službe Active Directory automaticky replikované na ďalšie radiče domény.

Ak máte už len jednu DC, skontrolujte, či je majstrom všetkých 5 rolí FSMO a podľa potreby ich zachytte.

Obnova jednotlivých objektov v službe AD

Ak potrebujete obnoviť jednotlivé objekty v službe AD, použite kôš Active Directory. Ak doba zakopania už uplynula alebo nie je aktívny adresár RecycleBin, môžete obnoviť jednotlivé objekty AD v autoritatívnom režime obnovy..

Stručne, postup je nasledujúci:

  1. Stiahnite si DC v režime DSRM;
  2. Zoznam dostupných záloh: wbadmin získať verzie
  3. Spustenie obnovy vybratej zálohy: wbadmin start systemstaterecovery -version: [your_version]
  4. Potvrdenie obnovy DC (v neautoritatívnom režime);
  5. Po reštarte spustite: Ntdsutil
  6. aktivovať inštanciu ntds
  7. autoritatívne obnovenie

Zadajte úplnú cestu k objektu, ktorý sa má obnoviť. Môžete obnoviť celú organizačnú jednotku:

obnoviť podstrom "OU = Users, DC = winitpro, DC = ru"

Alebo jeden objekt:

obnoviť objekt „cn = Test, OU = Users, DC = winitpro, DC = ru“

Tento príkaz zakáže replikáciu zadaných objektov (ciest) z iných radičov domény a zvýši USN objektu o 100 000..

Ukončiť ntdsutil: prestať

Spúšťajte server v normálnom režime a overte, či bol odstránený objekt obnovený.

Kategórie