Vratite Active Directory iz sigurnosne kopije

U ovom ćemo članku pokazati kako vratiti kontroler domene Active Directory iz prethodno izrađene sigurnosne kopije stanja države (vidi Active Backup) i razmotriti vrste i principe obnavljanja istosmjerne struje u AD-u..

sadržaj:

  • Vratite AD kontroler domene putem replikacije
  • Vrste oporavka aktivnog imenika: autorizirano i nepotpuno
  • Vraćanje AD kontrolera domene iz sigurnosne kopije stanja sustava
  • Vratite pojedinačne objekte u AD

Pretpostavimo da imate neuspjeli kontroler domene AD i želite ga vratiti iz prethodno stvorene sigurnosne kopije. Prije nego što nastavite s oporavkom istosmjernog napajanja, morate razumjeti scenarij oporavka kontrolera domene koji trebate koristiti. Ovisi o tome imate li druge DC-ove u mreži i je li baza podataka Active Directory na njima oštećena..

Vratite AD kontroler domene putem replikacije

Vraćanje DC-a replikacijom nije sasvim postupak vraćanja DC-a iz sigurnosne kopije. Ovaj se scenarij može upotrijebiti ako na mreži imate nekoliko dodatnih kontrolera domena i svi su oni funkcionalni. Ovaj scenarij uključuje instaliranje novog poslužitelja, nadogradnju na novi DC na istoj web lokaciji. Stari kontroler samo treba ukloniti iz AD-a.

To je najlakši način da osigurate da ne izvršite trajne promjene u AD-u. U ovom će se slučaju baza podataka ntds.dit, GPO-ovi i sadržaj mape SYSVOL automatski replicirati u novi DC, a DC-ovi koji ostaju na mreži.

Ako je veličina baze podataka ADDS mala i drugi DC je dostupan putem brzobrznog kanala, to je mnogo brže od vraćanja DC-a iz sigurnosne kopije.

Vrste oporavka aktivnog imenika: autorizirano i nepotpuno

Postoje dvije vrste oporavka Active Directory DS-a iz sigurnosne kopije koje morate jasno razumjeti prije pokretanja oporavka:

  • Autoritativna obnova (autoritativni ili autoritativni oporavak) - nakon obnavljanja AD objekata izvršava se replikacija iz obnovljenog DC-a na sve ostale kontrolere u domeni. Ova vrsta oporavka koristi se u scenarijima kada je jedan DC ili svi istosmjerni istovari pao u isto vrijeme (na primjer, kao rezultat šifrirajućeg ili virusnog napada) ili kada je oštećena NTDS.DIT ​​baza podataka replicirana preko domene. U ovom su modusu svi obnovljeni AD objektivirani podaci USN (Update Sequence Number) povećani za 100 000. Dakle, svi DC-i će obnovljene objekte percipirati kao novije i replicirat će se u domeni. Autoritativna metoda oporavka mora se koristiti vrlo pažljivo !!! Autoritativnim oporavkom izgubit ćete većinu promjena u AD-u koje su se dogodile nakon izrade sigurnosne kopije (članstvo u AD grupama, Exchange atributi itd.).
  • Neoritativna obnova (nepotpuni ili neovlašteni oporavak) - nakon vraćanja baze AD, ovaj kontroler poručuje drugim DC-ima da je vraćen iz sigurnosne kopije i da su mu potrebne najnovije izmjene AD (za DS je stvoren novi DSA Invocation ID). Ova metoda oporavka može se koristiti na udaljenim web lokacijama, kad je teško odmah ponoviti veliku bazu podataka AD preko sporog WAN kanala; ili kada je poslužitelj imao neke važne podatke ili aplikacije.

Vraćanje AD kontrolera domene iz sigurnosne kopije stanja sustava

Pretpostavimo da u vašoj domeni imate samo jedan DC. Iz nekog razloga fizički poslužitelj na kojem se izvodi nije uspio.

Imate relativno nedavnu sigurnosnu kopiju stanja sustava starog kontrolera domene i želite vratiti Active Directory na novi poslužitelj u autoritativnom načinu oporavka.

Da biste započeli oporavak, na novi poslužitelj morate instalirati istu verziju sustava Windows Server koja je instalirana na neuspjeli DC. U čistom OS-u na novom poslužitelju morate instalirati ulogu dodaje (bez konfiguriranja) i komponente Sigurnosna kopija sustava Windows Server.

Da biste vratili Actve Directory, morate pokrenuti poslužitelj u načinu oporavka usluga direktorija DSRM (Način vraćanja imenika usluga). Da biste to učinili, trčite msconfig i na doprinosu čizma odaberite Sigurno pokretanje -> Popravak aktivnog direktorija.

Ponovno pokrenite poslužitelj. Trebao se dignuti u DSRM modu. Pokrenite sigurnosnu kopiju sustava Windows Server (wbadmin) i odaberite u desnom izborniku oporaviti se.

U čarobnjaku za oporavak odaberite da se sigurnosna kopija pohranjuje na drugom mjestu (sigurnosna kopija pohranjena na drugoj lokaciji).

Napomena, odaberite pogon na kojem se nalazi sigurnosna kopija starog AD kontrolera ili odredite UNC put do njega.

Da bi WSB mogao vidjeti sigurnosnu kopiju na disku, morate postaviti WindowsImageBackup direktorij sa sigurnosnom kopijom u korijen diska. Možete provjeriti sigurnosne kopije na disku pomoću naredbe:

wbadmin dobiti verzije -backupTarget: D:

Odaberite datum na koji želite vratiti sigurnosnu kopiju.

Naznačite da obnavljate stanje sustava.

Odaberite "Izvorno mjesto" za vraćanje i obavezno provjerite "Izvršite autoritativno vraćanje datoteka Active Directory).

Sustav će prikazati upozorenje da je ta sigurnosna kopija drugačiji poslužitelj i da se pri vraćanju na drugi poslužitelj možda neće pokrenuti. nastaviti.

Slažem se s drugim upozorenjem:

Napomena sigurnosne kopije sustava Windows Server: Ova opcija oporavka uzrokovat će ponovnu sinkronizaciju repliciranog sadržaja na lokalnom poslužitelju nakon oporavka. To može dovesti do problema s kašnjenjem ili prekidom rada.


Nakon toga započet će proces obnove AD kontrolera domene na novom poslužitelju. Po završetku, poslužitelj će zahtijevati ponovno pokretanje (ime novog poslužitelja bit će promijenjeno u DC ime iz sigurnosne kopije).

Pokrenite poslužitelj u normalnom načinu (onemogućite pokretanje u DSRM načinu)

Prijavite se na poslužitelj pod računom s administratorskim pravima domene.

Kada sam prvi put pokrenuo ADUC konzolu, javio sam pogrešku:

Podaci imena domene Active Directory ne mogu se pronaći iz sljedećeg razloga: Poslužitelj ne radi.

Međutim, na poslužitelju ne postoje mrežne mape SYSVOL i NETLOGON. Da biste riješili pogrešku:

  1. Pokreni regedit.exe;
  2. Idi do podružnice HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parametri
  3. Promijenite vrijednost parametra SysvolReady iz 0 u 1;
  4. Zatim ponovno pokrenite uslugu NetLogon: net stop netlogon & net start netlogon

Pokušajte ponovo otvoriti ADUC konzolu. Trebali biste vidjeti strukturu vaše domene.

Dakle, uspješno ste vratili AD kontroler domene u mod Autoritativna obnova. Sada će se svi objekti u Active Directoryu automatski replicirati na ostale kontrolere domena.

Ako vam je preostao samo jedan DC, provjerite je li on gospodar svih 5 uloga FSMO-a i snimite ih ako je potrebno.

Vratite pojedinačne objekte u AD

Ako trebate obnoviti pojedinačne predmete u AD-u, koristite koš za otpad. Ako je vrijeme sahrane već isteklo ili ActiveDirectory RecycleBin nije omogućen, možete vratiti pojedinačne AD objekte u autoritativni način oporavka.

Ukratko, postupak je sljedeći:

  1. Preuzmite DC u DSRM načinu;
  2. Popis dostupnih sigurnosnih kopija: wbadmin dobiti verzije
  3. Započnite oporavak odabrane sigurnosne kopije: wbadmin start systemstaterecovery -verzija: [your_version]
  4. Potvrdite oporavak istosmjernog napajanja (u neautoritativnom načinu);
  5. Nakon ponovnog pokretanja pokrenite: ntdsutil
  6. aktivirati instancije ntds
  7. autoritativni restaurirati

Navedite puni put do objekta koji treba vratiti. Možete vratiti cijeli OU:

vratiti subtree "OU = Korisnici, DC = winitpro, DC = ru"

Ili jedan objekt:

vratiti objekt "cn = test, OU = korisnici, DC = winitpro, DC = ru"

Ova naredba će zabraniti replikaciju navedenih objekata (staza) s drugih kontrolera domena i povećati USN objekta za 100000.

Izlaz iz ntdsutil: prestati

Pokrenite poslužitelj u uobičajenom načinu i provjerite je li izbrisani objekt vraćen.