استعادة وحدة تحكم المجال المحلي التالفة

عندما يتعرض جهاز التحكم بالمجال للتلف أو تتم استعادته بشكل غير صحيح، يكون الخطر هائلاً: تفشل عمليات تسجيل الدخول، وتتوقف سياسات المجموعة عن التطبيق، ويتعطل النسخ المتماثل دون وجود أي مؤشرات تقريبًا.والخبر السار هو أن هناك إجراءات واضحة لاستعادة وحدة تحكم المجال المادية أو الافتراضية، شريطة احترام طرق النسخ الاحتياطي والاستعادة المقبولة.

في بيئات خوادم ويندوز الحديثة، تتطلب استعادة وحدة تحكم المجال فهمًا جيدًا لمفاهيم مثل حالة النظام، استعادة موثوقة/غير موثوقة، SYSVOL، DFSR/FRS، وتراجعات USNإذا تم التعامل مع هذه المشكلات على عجل أو باستخدام أدوات تصوير غير متوافقة، فقد تكون النتيجة غابة مليئة بالتناقضات الصامتة التي يصعب تشخيصها للغاية.

لماذا من الضروري حماية واستعادة وحدة تحكم المجال بشكل صحيح

يُعد Active Directory جوهر المصادقة والترخيص في نطاق Windowsيخزن النظام المستخدمين، وأجهزة الكمبيوتر، والمجموعات، وعلاقات الثقة، وسياسات المجموعات، والشهادات، وغيرها من العناصر الأساسية. وتوجد هذه المعلومات بشكل رئيسي في قاعدة البيانات. Ntds.dit، وملفات السجل والمجلد المرتبط بها سيسفول، من بين مكونات أخرى تشكل ما يسمى "حالة النظام".

تتضمن حالة النظام، من بين أمور أخرى، ملفات وبيانات سجلات Active Directory، وسجل Windows، ووحدة تخزين النظام SYSVOL، وقاعدة بيانات الشهادات (إن وجدت جهة مصدقة)، وقاعدة بيانات تعريف IIS، وملفات التمهيد، ومكونات نظام التشغيل المحميةلذلك، يجب أن تتضمن أي استراتيجية جادة لاستمرارية الأعمال نسخًا احتياطية منتظمة لحالة النظام لكل مركز بيانات.

عند حدوث تلف فعلي في قاعدة بيانات Active Directory، أو فشل خطير في النسخ المتماثل، أو مشكلة في الأذونات المتعلقة بـ سيسفولقد يتوقف مُتحكم المجال عن معالجة الاستعلامات، أو يفشل في بدء خدمات Active Directory، أو يتسبب في حدوث أخطاء متتالية في جميع أنحاء الغابة. في هذه الحالات، إن التعافي السريع والسليم هو ما يصنع الفرق بين حادث خطير وكارثة طويلة الأمد..

قبل محاولة استعادة البيانات، من الضروري التمييز بين مشكلة حقيقية في قاعدة البيانات والأعطال الأكثر شيوعًا. في كثير من الأحيان، يكمن السبب في نظام أسماء النطاقات (DNS)، أو تغييرات الشبكة، أو جدران الحماية، أو المسارات المعدلة باستخدام أدوات مثل الأمر netshلذلك، يُنصح باستبعاد هذه العوامل أولاً قبل التعامل مع قاعدة بيانات Active Directory.

أدوات التشخيص الأساسية وأدوات التحكم في النسخ

في حالة ظهور أعراض التلف أو فشل النسخ، فإن الخطوة المنطقية الأولى هي التحقق من حالة البيئة باستخدام الأدوات الأصلية. DCDiag و Repadmin و ReplMon (في الإصدارات القديمة) وعارض الأحداث إنهم أفضل حلفائك قبل التفكير في عمليات الترميم العدوانية.

مع DCDiag يتم إجراء فحص عام لجميع وحدات التحكم بالمجال، وتحديد المشاكل المتعلقة بالنسخ المتماثل، ونظام أسماء النطاقات (DNS)، وخدمات AD DS، وما إلى ذلك. مسؤول النظام يتيح لك هذا البرنامج عرض حالة النسخ المتماثل، وشركاء النسخ المتماثل، وعلامات USN المائية، واكتشاف الكائنات الدائمة. في الإصدارات القديمة من نظام التشغيل Windows، ReplMon لقد وفرت عرضًا بيانيًا لأخطاء النسخ داخل النطاق.

بالإضافة إلى هذه الأدوات، من الضروري مراجعة عارض الأحداث للبحث عن "خدمات الدليل" و"تكرار DFS". تشير أحداث مثل 467 و1018 إلى وجود خلل فعلي في قاعدة البيانات، بينما تتعلق الأحداث 1113/1115/1114/1116 بتمكين أو تعطيل تكرار الإدخال/الإخراج.

إذا لزم عزل مركز بيانات مشتبه به مؤقتًا لمنعه من نشر الفساد، فيمكننا قم بتعطيل النسخ المتماثل الوارد والصادر باستخدام Repadmin:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

ولإعادة النسخ إلى وضعه الطبيعي، ما عليك سوى إزالة هذه الخيارات:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

النسخ الاحتياطية المدعومة لحالة النظام على وحدات تحكم المجال

لكي تتمكن من استرداد مركز البيانات مع الضمانات، من الضروري أن يكون لديك تم إجراء نسخ احتياطية لحالة النظام باستخدام أدوات متوافقة مع Active Directoryتستخدم هذه الأدوات واجهات برمجة تطبيقات النسخ الاحتياطي والاستعادة الخاصة بمايكروسوفت وخدمة نسخ الظل لوحدة التخزين (VSS) بطريقة مدعومة.

من بين الحلول الأكثر شيوعاً النسخ الاحتياطي لخادم ويندوز، حلول الطرف الثالث المتكاملة مع خدمة النسخ الاحتياطي لخادم ويندوز (مثل NAKIVO و Backup Exec وغيرها)أو المرافق القديمة مثل نتباك اب في نظامي التشغيل Windows 2000/2003. في جميع الحالات، يجب عليهم احترام واجهات برمجة تطبيقات Active Directory لضمان اتساق قاعدة البيانات ونسخها المتماثلة بعد الاستعادة.

يتميز نظام التشغيل Windows Server 2012 والإصدارات الأحدث بإضافة جديدة مهمة: معرّف جيل Hyper-V (GenID)يُمكّن هذا المعرّف وحدة تحكم المجال الافتراضية من اكتشاف أن قرصها قد تم إرجاعه إلى نقطة زمنية سابقة. عند حدوث ذلك، يقوم AD DS بإنشاء InvocationID جديد ويتعامل مع الموقف كما لو تم استعادته من نسخة احتياطية ناجحة.إخطار شركاء النسخ المتماثل، مما يسمح بإعادة الكتابة الآمنة دون تكبد خسائر في عملية التراجع عن رقم تسلسل التحديث (USN).

من الضروري احترام شاهد قبر مدى الحياةيشير هذا إلى المدة التي يمكن خلالها استخدام نسخة احتياطية لحالة النظام دون خطر إعادة إدخال عناصر حُذفت منذ فترة طويلة. عادةً ما تكون 180 يومًا في الإصدارات الحديثة، ويُنصح بإجراء نسخ احتياطية كل 90 يومًا على الأقل للحفاظ على هامش أمان كافٍ.

أساليب غير مصرح بها تتسبب في انعكاس رقم تسلسل الولايات المتحدة

أحد أخطر أسباب التناقضات الصامتة في Active Directory هو تراجع البحرية الأمريكيةيحدث هذا الوضع عندما يتم التراجع عن محتويات قاعدة بيانات AD باستخدام تقنية غير مدعومة، دون استعادة InvocationID أو إخطار شركاء النسخ المتماثل.

السيناريو المعتاد هو تشغيل وحدة تحكم المجال من صورة القرص أو لقطة من جهاز افتراضي تم التقاطها في الماضيدون استخدام استعادة نظام متوافقة. أو انسخ ملف Ntds.dit مباشرةً، أو استخدم برامج إنشاء الصور مثل Ghost، أو قم بالتمهيد من نسخة احتياطية لقرص تالف، أو أعد تطبيق لقطة تخزين على مستوى المصفوفة.

في هذه الحالات، يستمر متحكم المجال في استخدام نفس معرّف الاستدعاء كما كان من قبل، ولكن عداد البحرية الأمريكية المحلي يتراجعتتذكر مراكز البيانات الأخرى تلقي تغييرات تصل إلى رقم تعريف الخدمة (USN) مرتفع، لذلك عندما يحاول مركز البيانات الذي تم إرجاعه إرسال أرقام تعريف الخدمة (USN) المعترف بها بالفعل، يعتقد شركاؤهم أنهم على اطلاع دائم ويتوقفون عن قبول التغييرات الملموسة.

والنتيجة هي أن بعض التعديلات (على سبيل المثال، إنشاء مستخدمين، تغييرات كلمات المرور، تسجيل الأجهزة، تغييرات عضوية المجموعات، سجلات DNS جديدةلا تنتقل هذه الأخطاء من وحدة التحكم بالمجال المستعادة إلى بقية الشبكة، ولكن قد لا تُظهر أدوات المراقبة أخطاءً واضحة. وهذا عطل صامت بالغ الخطورة.

للكشف عن هذه الحالات، تقوم برامج تشغيل Windows Server 2003 SP1 والإصدارات الأحدث بتسجيل ما يلي: فعالية خدمات الدليل 2095 عندما يتم اكتشاف وحدة تحكم مجال بعيدة ترسل أرقام تسلسل التحديث (USNs) التي تم تأكيدها مسبقًا دون تغيير في معرف الاستدعاء (InvocationID)، يقوم النظام يقوم بعزل مركز البيانات المتأثر، وإيقاف خدمة Netlogon مؤقتًا، ومنع حدوث المزيد من التغييرات. لم يكن من الممكن تكرار ذلك بشكل صحيح.

كدليل جنائي إضافي، يمكن يُستشار في السجل المفتاح HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters وقيمة Dsa غير قابل للكتابةإذا تم تعيين هذه القيمة (على سبيل المثال، 0x4)، فهذا يشير إلى أن وحدة التحكم بالمجال قد تم وضعها في حالة عدم الكتابة بواسطة اكتشاف انعكاس رقم تسلسل التحديث. إن تعديل هذه القيمة يدويًا "لإصلاحها" أمر غير مدعوم تمامًا. ويترك قاعدة البيانات في حالة غير متناسقة بشكل دائم.

استراتيجيات عامة في حالة تلف أو استعادة وحدة تحكم المجال

تعتمد الإجراءات المتبعة عند التعامل مع وحدة تحكم مجال تالفة أو تم استعادتها بشكل غير صحيح على عدة عوامل: عدد وحدات التحكم في المجال/الغابة، وتوافر نسخ صالحة من حالة النظام، ووجود أدوار أخرى (FSMO، CA، الكتالوج العالمي)، والنطاق الزمني للمشكلة.

إذا كانت هناك خلايا متغصنة سليمة أخرى في النطاق و لا توجد بيانات حرجة فريدة حول وحدة التحكم في المجال التالفةعادةً ما يكون الخيار الأسرع والأكثر سلاسة هو إزالة وحدة تحكم المجال وإعادة بنائها. مع ذلك، إذا كانت وحدة تحكم المجال الوحيدة، أو إذا كانت تستضيف أدوارًا وبيانات حساسة، فسيكون من الضروري إجراء استعادة أكثر دقة (سواءً كانت استعادة موثوقة أو غير موثوقة).

بشكل عام، الخيارات هي:

• قم بتخفيض رتبة وحدة التحكم بالمجال الفاسدة بالقوة وإزالتها من المجال.، متبوعًا بتنظيف البيانات الوصفية، وإذا كان ذلك مناسبًا، الترويج الجديد.
• استعادة النظام من نسخة احتياطية صالحة لحالة النظامسواء في الوضع الرسمي أو غير الرسمي.
• أعد بناء وحدة التحكم بالمجال من وحدة أخرى باستخدام IFM (التثبيت من الوسائط)، عندما لا توجد نسخة حديثة ولكن توجد وحدات تحكم مجال أخرى صحيحة.
• باستخدام لقطة VHD لمركز بيانات افتراضي، وتطبيق الخطوات الإضافية لوضع علامة على قاعدة البيانات على أنها مستعادة من النسخة الاحتياطية (تم استعادة قاعدة البيانات من النسخة الاحتياطية = 1) والتأكد من إنشاء معرف استدعاء جديد.

إذا كان هناك اشتباه واضح في حدوث تراجع في رقم تسلسل التحديث (على سبيل المثال، بعد استعادة جهاز افتراضي من لقطة دون اتباع أفضل الممارسات) وظهر الحدث 2095، فإن الإجراء الأكثر منطقية عادة ما يكون قم بإزالة وحدة التحكم بالمجال هذه من الخدمة ولا تحاول "إصلاحها" في الموقع.، إلا إذا كان من الممكن الرجوع إلى نسخة احتياطية من حالة النظام المدعومة تم أخذها قبل عملية التراجع.

خفض الرتبة قسراً وتنظيف البيانات الوصفية

عندما يتعرض مُتحكم المجال لتلف شديد بحيث لا يمكن خفض رتبته بالطريقة المعتادة، أو عندما تتم استعادته بشكل غير صحيح وتريد منعه من نشر المشاكل، يمكنك اللجوء إلى التخفيض القسري في الرتبة.

في الإصدارات القديمة، كانت هذه العملية تُنفذ باستخدام dcpromo /forceremoval، ماذا قم بإزالة دور AD DS دون محاولة تكرار التغييرات على بقية الغابة.في البيئات الحديثة، تغير المعالج، لكن المفهوم هو نفسه: إزالة وحدة التحكم بالمجال الإشكالية من بنية Active Directory دون مشاركتها في المزيد من النسخ المتماثل.

بعد عملية تخفيض مستوى الخدمة القسرية، يصبح من الضروري تنفيذ أمر من وحدة تحكم مجال سليمة. تنظيف البيانات الوصفية باستخدام الأداة Ntdsutilتزيل هذه العملية جميع الإشارات إلى وحدة التحكم بالمجال المحذوفة (كائنات إعدادات NTDS، ومراجع DNS، وما إلى ذلك) من قاعدة بيانات Active Directory، بحيث لم يتبق أي بقايا "شبحية" لتضليل عملية الاستنساخ.

إذا كان لدى وحدة التحكم المتدهورة أدوار FSMO (محاكي PDC، وRID Master، وSchema Master، وما إلى ذلك)، فسيكون من الضروري ينقل أو يستولي على تلك الأدوار إلى وحدة تحكم مجال أخرى قبل أو بعد خفض رتبتها، حسب الحالة. لاحقًا، يمكن إعادة تثبيت نظام التشغيل على ذلك الخادم، ويمكن ترقيته مرة أخرى إلى وحدة تحكم مجال نظيفة.

استعادة البيانات غير الموثوقة مقابل استعادة البيانات الموثوقة في Active Directory

عند توفر نسخة صالحة من حالة النظام، يمكن استعادة Active Directory بطريقتين: غير موثوق به وموثوق بهإن فهم الفرق أمر أساسي لتجنب تفويت التغييرات الحديثة أو تكرار البيانات القديمة.

في ترميم غير رسمييعود التيار المستمر إلى نقطة سابقة، ولكن بمجرد أن يبدأ، تُعتبر وحدات التحكم الأخرى في المجال هي المرجع.بمعنى آخر، بعد بدء التشغيل، يطلب خادم التحكم بالمجال المُستعاد النسخ المتماثل الوارد ويُحدّث قاعدة بياناته بأي تغييرات مفقودة من خوادم التحكم بالمجال الأخرى. يُعد هذا الخيار مثاليًا عندما هناك أجهزة تحكم أخرى سليمة، ونريد أن يلحق الجهاز الذي تم ترميمه بها..

في استعادة النظام السلطويومع ذلك، فقد تم التصريح صراحةً بأن البيانات المستعادة هي التي يجب أن تسود. مقارنةً بوحدات التحكم بالمجال الأخرى. هذا يعني أنه بعد الاستعادة، ستحمل الكائنات المستعادة رقم إصدار أعلى لإجبارها على النسخ من وحدة التحكم بالمجال هذه إلى بقية المجال. إنه الخيار الأمثل عندما لقد قمنا بحذف كائنات أو وحدات تنظيمية عن طريق الخطأ، أو نريد استعادة محتويات SYSVOL و GPO إلى حالة سابقة وتكرارها..

من التفاصيل المهمة أن الاستعادة الموثوقة لا يجب بالضرورة أن تشمل قاعدة البيانات بأكملها. باستخدام الأداة المساعدة Ntdsutil يمكن تحديد الكائنات الفردية، أو الفروع الفرعية (مثل وحدة تنظيمية)، أو النطاق بأكمله على أنها موثوقة. وهذا يوفر مرونة كبيرة، على سبيل المثال، استرجاع مستخدم أو مجموعة أو وحدة تنظيمية أو شجرة فرعية فقط dc=mycompany,dc=local.

الإجراء العام لاستعادة حالة النظام في مركز البيانات

إن المخطط الأساسي لاستعادة حالة النظام لمركز البيانات (سواء كان ماديًا أو افتراضيًا) باستخدام الأدوات المتوافقة يكون دائمًا متشابهًا: قم بتشغيل الجهاز في وضع استعادة خدمات الدليل (DSRM)، ثم استعد البيانات باستخدام أداة النسخ الاحتياطي، وأعد تشغيل الجهاز..

باختصار، تتمثل الخطوات النموذجية لوحدة تحكم المجال الافتراضية فيما يلي:

1. قم بتشغيل الجهاز الظاهري في مدير تمهيد ويندوز (عادةً بالضغط على F5/F8 أثناء بدء التشغيل). إذا كانت الآلة الافتراضية مُدارة بواسطة برنامج إدارة الأجهزة الافتراضية، فقد يكون من الضروري إيقاف الجهاز مؤقتًا لالتقاط ضغطة المفتاح.
2. في خيارات بدء التشغيل المتقدمة، حدد وضع استعادة خدمات الدليل (وضع استعادة خدمات الدليل). يبدأ هذا الوضع تشغيل الخادم دون تحميل قاعدة بيانات Active Directory بطريقة فعالة.
3. قم بتسجيل الدخول باستخدام حساب مسؤول إدارة موارد الأجهزة (DSRM). تم تحديده أثناء الترقية الأصلية لوحدة التحكم بالمجال (وليس باستخدام حساب مسؤول المجال القياسي).
4. قم بتشغيل أداة النسخ الاحتياطي استخدم (Windows Server Backup أو NAKIVO أو أي برنامج متوافق آخر) واختر استعادة حالة النظام إلى نقطة النسخ الاحتياطي المطلوبة.
5. أكمل معالج الترميم و أعد تشغيل وحدة التحكم بالتيار المستمر في الوضع العاديفي عملية استعادة غير موثوقة، سيبدأ الخادم عملية النسخ المتماثل للحاق بركب وحدات التحكم بالمجال الأخرى.

عندما نتحدث عن منتجات النسخ الاحتياطي التابعة لجهات خارجية، مثل NAKIVO النسخ الاحتياطي والنسخ المتماثليستطيع وضع "التعرف على التطبيقات" الخاص به التعرف على أن الجهاز الذي يتم استعادته هو مركز بيانات و يتم ضبط العملية تلقائيًا للحفاظ على اتساق ADفي معظم السيناريوهات التي تتضمن وحدات تحكم متعددة، يكون الاسترداد الكامل في الوضع غير الموثوق به كافياً.

ترميم موثوق به باستخدام Ntdsutil

إذا كنت تريد أن تكون التغييرات التي أجريت على وحدة تحكم المجال المستعادة لها الأولوية على باقي التغييرات، فأنت بحاجة إلى إضافة خطوة إضافية بعد عملية الاستعادة غير الموثوقة: استخدم Ntdsutil لتمييز الكائنات على أنها موثوقة.

سيكون التدفق المبسط كما يلي:

1. استعد حالة النظام بالطريقة المعتادة واترك الخادم كما هو وضع DSRM (لا تقم بإعادة التشغيل في الوضع العادي بعد).
2. فتح موجه الأوامر بصلاحيات مرتفعة و اهرب ntdsutil.
3. قم بتفعيل مثيل Active Directory باستخدام تفعيل مثيل ntds.
4. الدخول في سياق الاستعادة الموثوقة مع استعادة موثوقة.
5. استخدم الأوامر مثل restore object <DN_objeto> o restore subtree <DN_subarbol>، حيث DN هو الاسم المميز للكائن أو الشجرة الفرعية المراد استعادتها بشكل موثوق.
6. قم بتأكيد العملية، وبمجرد اكتمالها، أعد تشغيل وحدة التحكم بالتيار المستمر في الوضع العادي بحيث يتم نسخ الكائنات المحددة بأولوية على بقية النطاق.

يتطلب هذا النوع من الترميم حذراً شديداً. إذا تم استعادة النطاق بالكامل بشكل موثوق وكانت النسخة الاحتياطية قديمةهناك خطر فقدان التغييرات المشروعة التي أُجريت بعد النسخ الاحتياطي (مثل إنشاء المستخدمين، أو تغيير كلمات المرور، أو تعديلات المجموعات). لذلك، من الممارسات الشائعة حصر عمليات الاستعادة الموثوقة على العناصر أو الهياكل الضرورية فقط.

استعادة حجم الدم الانقباضي والتعافي (FRS مقابل DFSR)

يُعد SYSVOL مكونًا رئيسيًا لوحدة التحكم بالمجال: يخزن هذا النظام نصوص بدء التشغيل، وسياسات المجموعة، وقوالب الأمان، وغيرها من الموارد المشتركة الأساسية.قد يؤدي فشل في أذوناتك أو تلف الملفات أو مشاكل النسخ المتماثل إلى جعل كائنات نهج المجموعة غير قابلة للاستخدام أو التسبب في سلوك غير منتظم في العملاء.

اعتمادًا على إصدار Windows Server وحالة الترحيل، قد يتم نسخ SYSVOL بواسطة خدمة نسخ الملفات (FRS) لماذا DFSR (نسخ نظام الملفات الموزع)تختلف إجراءات استعادة SYSVOL الموثوقة باختلاف أي من الاثنين قيد الاستخدام.

لتحديد ذلك، يمكنك التحقق من المفتاح في سجل النظام. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateإذا كان هذا المفتاح الفرعي موجودًا وقيمته 3 (محذوف)، فسيتم استخدام DFSR. أما إذا لم يكن موجودًا أو كانت قيمته مختلفة، فنحن نتعامل مع بيئة لا تزال تستخدم FRS.

في البيئات التي تستخدم نظام FRS، عادةً ما تتضمن عملية الاستعادة الموثوقة لـ SYSVOL تعديل القيمة. بورفلاغز en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process إلى قيمة محددة (على سبيل المثال، 212 عشري / 0xD4 سداسي عشري) للإشارة إلى أن هذا المصدر هو المصدر الموثوق.

إذا تم نسخ SYSVOL بواسطة DFSR، فإن العملية تكون أكثر تعقيدًا إلى حد ما: فهي تتضمن استخدام ADSIEDIT لتعديل كائنات اشتراك SYSVOL (السمات) مُفعّل بواسطة msDFSR y خيارات msDFSR) على وحدة التحكم بالمجال الموثوقة وعلى الوحدات الأخرى، فرض نسخ Active Directory، تنفيذ dfsrdiag pollad وتأكد من ظهور ذلك في سجل الأحداث الأحداث 4114 و4602 و4614 و4604 التي تشهد بأن SYSVOL قد تم تهيئتها ونسخها بشكل صحيح.

استعادة وحدات تحكم المجال الظاهري من VHD

في البيئات الافتراضية، من الشائع جدًا أن يكون ملفات VHD/VHDX لوحدات تحكم المجالإذا لم يكن لديك نسخة احتياطية لحالة النظام ولكن لديك قرص VHD "قديم" يعمل، فيمكنك تثبيت وحدة تحكم مجال جديدة من هذا القرص، على الرغم من أنه يجب عليك القيام بذلك بعناية فائقة لتجنب التسبب في تراجع رقم تسلسل التحديث (USN).

التوصية لا تقم بتشغيل تلك الآلة الافتراضية مباشرة في الوضع العاديبدلاً من ذلك، يجب عليك الإقلاع من القرص الصلب الافتراضي السابق في دسرمافتح محرر التسجيل وانتقل إلى HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parametersهناك، يُنصح بالتحقق من القيمة عدد عمليات ترميم DSA السابقة (إن وجدت) وقبل كل شيء، أنشئ قيمة DWORD جديدة (32 بت) تسمى تم استعادة قاعدة البيانات من النسخة الاحتياطية بقيمة 1.

باختيار هذه القيمة، يتم إبلاغ Active Directory بأنه قد تم استعادة قاعدة البيانات من نسخة احتياطية، مما يجبر النظام على إنشاء معرّف استدعاء جديد عند بدء التشغيل في الوضع العاديوبهذه الطريقة، تفسر مراكز البيانات الأخرى ذلك على أنه مثيل جديد وتقوم بتعديل علامات النسخ المتماثل الخاصة بها بشكل صحيح، مما يمنع التراجع عن رقم تسلسل التحديث (USN).

بعد إعادة تشغيل وحدة التحكم بالمجال في الوضع العادي، يُنصح بالتحقق من عارض الأحداث، وتحديدًا سجل الأحداث الخاص بـ خدمات الدليل، يبحث عن الحدث 1109يؤكد هذا الحدث تغيير سمة InvocationID الخاصة بالخادم، ويعرض القيم القديمة والجديدة، بالإضافة إلى أعلى رقم تسلسل الخدمة (USN) وقت إجراء النسخ الاحتياطي. بالإضافة إلى ذلك، قيمة عدد عمليات ترميم DSA السابقة كان ينبغي زيادته بمقدار واحد.

إذا لم تظهر هذه الأحداث، أو لم يزد عددها، فيجب عليك التحقق من إصدارات نظام التشغيل وحزم الخدمة، لأن تعتمد بعض سلوكيات الترميم على رقع محددة.على أي حال، يُنصح دائمًا بالعمل على نسخة من ملف VHD الأصلي، مع الاحتفاظ بنسخة سليمة في حالة الحاجة إلى تكرار العملية.

سيناريوهات عملية وتوصيات إضافية

في الواقع العملي، غالباً ما تظهر مشاكل الفساد أو عمليات الترميم غير السليمة في سيناريوهات الحياة اليومية: التعديلات اليدوية على الأذونات في SYSVOL، ومحاولات تحديث قوالب ADMX/ADML، وتغييرات GPO التي لا يتم نسخها.إلخ. من السهل نسبيًا التسبب في تناقضات إذا تم تعديل المجلدات المشتركة يدويًا، مثل SYSVOL\Policies دون مراعاة النسخ.

في حالة وجود وحدة تحكم مجال أساسية معطلة النسخ المتماثل (بيانات Active Directory وSYSVOL) ورسائل مراقبة من النوع "تمت استعادة قاعدة البيانات باستخدام إجراء غير مدعوم. السبب المحتمل: التراجع عن رقم تسلسل التحديث (USN)."إن التصرف الحكيم هو:

• التحقق مع دي سي دي أي جي y إعادة المشرف مدى الأخطاء وما إذا كانت هناك "كائنات مستمرة".
• تحقق من الحدث 2095 والقيمة Dsa غير قابل للكتابة في السجل.
• قيّم ما إذا كان ذلك ممكناً قم بإزالة وحدة التحكم بالمجال هذه وأعد بنائها (إذا كان هناك ثلاثة أو أكثر من الخلايا التغصنية السليمة الأخرى، فعادة ما يكون هذا هو الخيار الأفضل).
• إذا كان هذا هو الناقد أو الشخصية الرئيسية الوحيدة، فقم برفع دعوى قضائية. استعادة حالة النظام من نسخة احتياطية متوافقة، ويفضل أن تكون حديثة وضمن فترة الحذف.

في المجالات التي تحتوي على وحدات تحكم متعددة، يوصى بشدة بأن تكون وحدات التحكم "نقية" قدر الإمكان: بدون أدوار إضافية أو بيانات المستخدم المحليةوبهذه الطريقة، إذا فشل أحدها أو تعرض للتلف، يمكن تهيئة واحد جديد وترقيته بناءً على وحدة تحكم مجال أخرى أو من خلال IFM، مما يقلل بشكل كبير من تعقيد عملية الاسترداد.

علاوة على ذلك، يجدر التذكير بالقيود من هذا القبيل. تكون نسخ حالة النظام صالحة فقط خلال فترة الحذف. (60 أو 90 أو 180 يومًا حسب الإعدادات) لتجنب استعادة العناصر المحذوفة، وأن مفاتيح جهاز NTLM تتغير كل 7 أيام. في عمليات الاستعادة القديمة جدًا، قد يكون من الضروري إعادة تعيين حسابات الفريق مشاكل من "مستخدمي وأجهزة Active Directory" أو حتى إزالتها وإعادة ربطها بالمجال.

وضع إجراءات لعمل نسخ احتياطية منتظمة لحالة النظام، قم بتوثيق أدوار FSMO والفهرس العالمي وبنية النسخ المتماثل بشكل واضحويُعد اختبار خطوات الاستعادة في بيئة مختبرية استثمارًا للوقت يوفر الكثير من المتاعب عندما يأتي اليوم الذي يتلف فيه جهاز التحكم بالمجال أو يقوم شخص ما بتطبيق لقطة دون تفكير.