Obnovení a zotavení poškozeného lokálního řadiče domény

Když se řadič domény poškodí nebo je nesprávně obnoven, je to obrovské riziko: Přihlášení selhávají, objekty GPO se přestávají používat a replikace se porouchává téměř bez jakýchkoli stop.Dobrou zprávou je, že existují jasné postupy pro obnovu fyzického nebo virtuálního řadiče domény, za předpokladu, že jsou dodržovány akceptované metody zálohování a obnovy.

V moderních prostředích Windows Server vyžaduje obnovení řadiče domény dobrou znalost konceptů, jako je stav systému, autoritativní/neautoritativní obnovení, vrácení změn SYSVOL, DFSR/FRS a USNPokud se tyto problémy řeší ukvapeně nebo pomocí nekompatibilních zobrazovacích nástrojů, výsledkem může být les plný tichých nesrovnalostí, které je velmi obtížné diagnostikovat.

Proč je důležité správně chránit a obnovovat řadič domény

Active Directory je srdcem ověřování a autorizace v doméně Windows.Ukládá uživatele, počítače, skupiny, vztahy důvěryhodnosti, zásady skupin, certifikáty a další důležité prvky. Tyto informace se nacházejí primárně v databázi. Ntds.dit, související soubory protokolu a složka SYSVOL, mimo jiné složky, které tvoří tzv. „stav systému“.

Stav systému zahrnuje mimo jiné Soubory protokolu a data služby Active Directory, registr systému Windows, systémový svazek, SYSVOL, databáze certifikátů (pokud existuje certifikační autorita), metabáze služby IIS, spouštěcí soubory a chráněné součásti operačního systému.Proto musí každá seriózní strategie pro zajištění kontinuity podnikání zahrnovat pravidelné zálohy stavu systémů každého datového centra.

Pokud dojde ke skutečnému poškození databáze služby Active Directory, k vážnému selhání replikace nebo k problému s oprávnění zapnuta SYSVOLŘadič domény může přestat zpracovávat dotazy, nespustit služby Active Directory nebo spustit kaskádové chyby v celé doménové struktuře. V těchto případech... Rychlá a správná obnova rozhoduje o tom, zda se jedná o vážnou nehodu, nebo o dlouhodobou katastrofu..

Před pokusem o obnovení je zásadní rozlišit mezi skutečným problémem s databází a běžnějšími selháními. Velmi často Příčina spočívá v DNS, změnách v síti, firewallech nebo trasách upravených pomocí nástrojů, jako je příkaz netshProto je vhodné tyto faktory nejprve vyloučit, než se dotknete databáze AD.

Základní diagnostické a replikační nástroje pro řízení

V případě příznaků poškození nebo selhání replikace je prvním rozumným krokem kontrola stavu prostředí pomocí nativních nástrojů. DCDiag, Repadmin, ReplMon (ve starších verzích) a Prohlížeč událostí Jsou vašimi nejlepšími spojenci, než se pustíte do agresivních restaurátorských prací.

s DCDiag Provádí se obecná kontrola všech řadičů domény, která identifikuje problémy s replikací, DNS, službami AD DS atd. Repadmin Umožňuje zobrazit stav replikace, replikační partnery, vodoznaky USN a detekovat trvalé objekty. Ve starších verzích systému Windows... ReplMon Nabízel grafické zobrazení chyb replikace v rámci domény.

Kromě těchto nástrojů je nezbytné zkontrolovat Prohlížeč událostí, zda neobsahuje položky „Adresářové služby“ a „Replikace DFS“. Události jako 467 a 1018 poukazují na skutečné poškození databáze., zatímco události 1113/1115/1114/1116 se týkají povolení nebo zakázání replikace vstupu/výstupu.

Pokud je potřeba dočasně izolovat podezřelý řadič domény, abychom zabránili šíření poškození, můžeme Zakázání příchozí a odchozí replikace pomocí Repadminu:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

A chcete-li replikaci obnovit do normálního stavu, jednoduše odeberte tyto možnosti:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Podporované zálohy stavu systému na řadičích domény

Aby bylo možné obnovit řadič domény se zárukami, je nezbytné mít Zálohy stavu systému provedené pomocí nástrojů kompatibilních s Active DirectoryTyto nástroje podporovaným způsobem používají rozhraní API pro zálohování a obnovení od společnosti Microsoft a službu Stínová kopie svazků (VSS).

Mezi nejběžnější řešení patří Zálohování serveru Windows, řešení třetích stran integrovaná s VSS (například NAKIVO, Backup Exec a další)nebo starší utility, jako např. Ntbackup ve Windows 2000/2003. Ve všech případech musí respektovat rozhraní AD API, aby byla zajištěna konzistence databáze a jejích replik po obnovení.

Systém Windows Server 2012 a novější verze obsahují důležitou novinku: ID generace Hyper-V (GenID)Tento identifikátor umožňuje virtuálnímu řadiči domény zjistit, že jeho disk byl vrácen zpět do předchozího bodu v čase. Když k tomu dojde, Služba AD DS vygeneruje nové InvocationID a zachází se situací, jako by byla obnovena z úspěšné zálohy.upozorněním svých replikačních partnerů, což umožňuje bezpečné přepisování bez nutnosti vrácení USN zpět.

Je nezbytné respektovat životnost náhrobkuToto číslo udává, jak dlouho lze zálohu stavu systému používat, aniž by hrozilo riziko opětovného zavedení objektů, které byly dříve smazány. V moderních verzích je to obvykle 180 dní a doporučuje se provádět zálohy alespoň každých 90 dní, aby se zachovala dostatečná bezpečnostní rezerva.

Neoprávněné metody, které způsobují storna USN

Jednou z nejnebezpečnějších příčin tichých nekonzistencí v Active Directory je Vrácení USNK této situaci dochází, když je obsah databáze služby AD vrácen zpět pomocí nepodporované techniky, aniž by bylo obnoveno ID volání nebo upozorněni replikační partneři.

Typickým scénářem je spuštění řadiče domény z obraz disku nebo snímek virtuálního počítače pořízený v minulostibez použití kompatibilního programu pro obnovení systému. Nebo soubor Ntds.dit zkopírujte přímo, použijte programy pro tvorbu obrazů systému, jako je Ghost, spusťte systém z poškozeného zrcadla disku nebo znovu použijte snímek úložiště na úrovni pole.

V těchto případech řadič domény nadále používá stejné InvocationID jako dříve, ale jeho Místní počítadlo USN jde pozpátkuOstatní řadiče domény si pamatují přijetí změn až do vysokého USN, takže když se vrácený řadič domény pokusí odeslat zpět již rozpoznané USN, Jejich partneři věří, že jsou v obraze a přestávají akceptovat konkrétní změny..

Výsledkem je, že určité úpravy (například vytváření uživatelů, změny hesel, registrace zařízení, změny členství ve skupinách, nové záznamy DNSTyto chyby se nikdy nereplikují z obnoveného řadiče domény do zbytku sítě, ale monitorovací nástroje nemusí zobrazovat jasné chyby. Jedná se o extrémně nebezpečnou tichou chybu.

Pro detekci těchto situací zaznamenávají ovladače systému Windows Server 2003 SP1 a novějších Událost adresářových služeb 2095 Pokud je detekován vzdálený řadič domény, který odesílá již potvrzené USN bez změny v parametru InvocationID, systém... Umístí postižený řadič domény do karantény, pozastaví službu Netlogon a zabrání dalším změnám. které nebylo možné správně replikovat.

Jako další forenzní důkaz může k nahlédnutí v rejstříku klíč HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters a hodnota DSA nelze zapisovatPokud je tato hodnota nastavena (např. 0x4), znamená to, že řadič domény byl detekcí reverzace USN uveden do stavu bez zápisu. Ruční úprava této hodnoty za účelem její „opravy“ je zcela nepodporována. a ponechává databázi v trvale nekonzistentním stavu.

Obecné strategie v případě poškození nebo vrácení řadiče domény zpět na předchozí verzi

Postup, který je třeba dodržet při práci s poškozeným nebo nesprávně obnoveným řadičem domény, závisí na několika faktorech: Počet řadičů domény v doméně/doméně, dostupnost platných kopií stavu systému, přítomnost dalších rolí (FSMO, CA, globální katalog) a časový rozsah problému..

Pokud se v doméně nacházejí další zdravé řadiče domény a Na poškozeném řadiči domény nejsou k dispozici žádná jedinečná kritická data.Nejrychlejší a nejčistší možností je obvykle odebrat daný řadič domény a znovu jej sestavit. Pokud se však jedná o jediný řadič domény nebo pokud hostuje citlivé role a data, bude nutná pečlivější obnova (autoritativní nebo neautoritativní).

Obecně řečeno, možnosti jsou:

• Násilné snížení úrovně poškozeného řadiče domény a jeho odebrání z domény, následované čištěním metadat a případně novým povýšením.
• Obnovení z platné zálohy stavu systému, ať už v autoritativním nebo neautoritativním režimu.
• Znovu sestavte řadič domény z jiného pomocí IFM (Instalace z média), pokud neexistuje žádná nedávná kopie, ale existují jiné správné řadiče domény.
• Použití snímku virtuálního řadiče domény VHD, provedením dalších kroků označte databázi jako obnovenou ze zálohy (Databáze obnovena ze zálohy = 1) a zajistěte, aby bylo vygenerováno nové InvocationID.

Pokud existuje jasné podezření na vrácení USN (například po obnovení virtuálního počítače ze snapshotu bez dodržení osvědčených postupů) a zobrazí se událost 2095, nejrozumnějším postupem je obvykle Vyřaďte daný řadič domény z provozu a nepokoušejte se jej „opravit“ na místě., pokud není možné vrátit se k zálohě podporovaného stavu systému pořízené před vrácením zpět.

Vynucené snížení úrovně a vyčištění metadat

Pokud je řadič domény tak poškozen, že jej nelze normálně snížit, nebo byl nesprávně obnoven a chcete zabránit šíření problémů, můžete se uchýlit k nucené degradování.

Ve starších verzích se tato operace prováděla pomocí dcpromo /forceremoval, co Odeberte roli služby AD DS, aniž byste se pokusili replikovat změny do zbytku doménové struktury.V moderních prostředích se průvodce změnil, ale koncept je stejný: odstranit problematický řadič domény z topologie služby AD, aniž by se účastnil další replikace.

Po vynuceném downgradu je povinné provést příkaz z fungujícího řadiče domény. čištění metadat pomocí nástroje NtdsutilTento proces odstraní všechny odkazy na odstraněný řadič domény (objekty nastavení NTDS, odkazy DNS atd.) z databáze služby AD, takže žádné „duchové“ zbytky, které by mohly zmást replikaci.

Pokud měl degradovaný řadič role FSMO (emulátor PDC, hlavní server RID, hlavní server schématu atd.), bude nutné převede nebo převezme tyto role na jiný řadič domény před nebo po snížení úrovně, v závislosti na situaci. Později lze operační systém na tomto serveru znovu nainstalovat a povýšit jej zpět na čistý řadič domény.

Neautoritativní vs. autoritativní obnova v Active Directory

Pokud je k dispozici platná kopie stavu systému, lze obnovení služby AD provést dvěma způsoby: neautoritativní a autoritativníPochopení tohoto rozdílu je klíčem k tomu, abyste nepřehlédli nedávné změny nebo nereplikovali zastaralá data.

V jednom neautoritativní restaurováníDC se vrátí do předchozího bodu, ale jakmile se spustí, Ostatní řadiče domény jsou považovány za referenční.Jinými slovy, po spuštění si obnovený řadič domény vyžádá příchozí replikaci a aktualizuje svou databázi o všechny chybějící změny z ostatních řadičů domény. Tato možnost je ideální, když Existují i ​​další zdraví regulátoři a my chceme, aby je ten obnovený dohnal..

V jednom autoritářská restauraceJe však výslovně uvedeno, že Obnovená data by měla převážit. oproti tomu, co mají ostatní řadiče domény. To znamená, že po obnovení budou mít obnovené objekty vyšší číslo verze, aby bylo nutné je replikovat z daného řadiče domény do zbytku domény. Je to vhodná volba, když Omylem jsme smazali objekty nebo organizační jednotky, nebo chceme vrátit obsah SYSVOL a GPO do předchozího stavu a nechat ho replikovat..

Důležitým detailem je, že autoritativní obnova nemusí nutně platit pro celou databázi. S tímto nástrojem Ntdsutil Jednotlivé objekty, podstromy (např. organizační jednotka) nebo celá doména mohou být označeny jako autoritativní. To nabízí značnou flexibilitu například pro načíst pouze uživatele, skupinu, organizační jednotku nebo podstrom dc=mycompany,dc=local.

Obecný postup pro obnovení stavu systému v řadiči domény

Základní schéma pro obnovení stavu systému řadiče domény (ať už fyzického nebo virtuálního) pomocí kompatibilních nástrojů je vždy podobné: Spusťte systém do režimu obnovení adresářových služeb (DSRM), obnovte jej pomocí nástroje pro zálohování a restartujte počítač..

Stručně řečeno, typické kroky pro virtuální řadič domény by byly:

1. Spusťte virtuální počítač ve Správci spouštění systému Windows (obvykle stisknutím kláves F5/F8 během spouštění). Pokud je virtuální počítač spravován hypervizorem, může být nutné pozastavit počítač, aby se zachytil stisk klávesy.
2. V rozšířených možnostech spouštění vyberte Režim obnovení adresářových služeb (Režim obnovení adresářových služeb). Tento režim spustí server bez funkčního připojení databáze služby Active Directory.
3. Přihlaste se pomocí účtu správce DSRM definované během původního povýšení řadiče domény (ne se standardním účtem správce domény).
4. Spusťte nástroj pro zálohování použitý nástroj (Windows Server Backup, NAKIVO nebo jiný kompatibilní) a zvolte obnovení stavu systému do požadovaného bodu zálohy.
5. Dokončete průvodce obnovou a Restartujte DC v normálním režimuV neautoritativní obnově server zahájí replikaci, aby dohnal ostatní řadiče domény.

Když mluvíme o zálohovacích produktech třetích stran, jako například NAKIVO zálohování a replikaceJeho režim „s ohledem na aplikaci“ dokáže rozpoznat, že obnovovaný počítač je řadič domény a automaticky upravovat proces tak, aby byla zachována konzistence ADVe většině scénářů s více řadiči postačuje úplná obnova v neautoritativním režimu.

Autoritativní obnova pomocí Ntdsutil

Pokud chcete, aby změny na obnoveném řadiči domény měly přednost před ostatními, je třeba za neautoritativní obnovení přidat další krok: Použití Ntdsutil k označení objektů jako autoritativních.

Zjednodušený tok by byl:

1. Obnovte stav systému standardním způsobem a ponechte server stále v Režim DSRM (Zatím nerestartujte v normálním režimu).
2. Otevření příkazový řádek se zvýšenými oprávněními a běž ntdsutil.
3. Aktivujte instanci služby AD pomocí aktivovat instanci NTDS.
4. Vstup do kontextu autoritativní obnovy s autoritativní obnovení.
5. Používejte příkazy jako restore object <DN_objeto> o restore subtree <DN_subarbol>, kde DN je rozlišující název objektu nebo podstromu, který má být autoritativním způsobem obnoven.
6. Potvrďte transakci a po jejím dokončení Restartujte DC v normálním režimu takže označené objekty jsou replikovány s prioritou do zbytku domény.

Tento typ rekonstrukce vyžaduje velkou opatrnost. Pokud je celá doména autoritativním způsobem obnovena a záloha je staráExistuje riziko ztráty legitimních změn provedených po zálohování (například vytvoření uživatele, změny hesla nebo úpravy skupin). Proto je běžnou praxí omezit autoritativní obnovení pouze na nezbytně nutné objekty nebo stromy.

Obnovení a zotavení SYSVOL (FRS vs. DFSR)

SYSVOL je klíčovou součástí řadiče domény: Ukládá spouštěcí skripty, skupinové zásady, šablony zabezpečení a další důležité sdílené prostředky.Chyba v oprávněních, poškození souborů nebo problémy s replikací mohou způsobit nepoužitelné objekty GPO nebo nepravidelné chování klientů.

V závislosti na verzi systému Windows Server a stavu migrace může být soubor SYSVOL replikován FRS (Služba replikace souborů) proč DFSR (Replikace distribuovaného souborového systému)Postup pro autoritativní obnovení SYSVOL se liší v závislosti na tom, který z těchto dvou se používá.

Chcete-li to zjistit, můžete zkontrolovat klíč v registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStatePokud tento podklíč existuje a jeho hodnota je 3 (ODSTRANĚNO), používá se DFSR. Pokud neexistuje nebo jeho hodnota je jiná, jedná se o prostředí, které stále používá FRS.

V prostředích s FRS obvykle autoritativní obnovení SYSVOL zahrnuje úpravu hodnoty. Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process na konkrétní hodnotu (např. 212 desítkové / 0xD4 hexadecimální), která označuje, že tento řadič domény je autoritativním zdrojem.

Pokud je SYSVOL replikován pomocí DFSR, je proces poněkud složitější: zahrnuje použití ADSIEditovat úprava objektů předplatného SYSVOL (atributů msDFSR – povoleno y msDFSR – Možnosti) na autoritativním DC a na ostatních, vynutit replikaci AD, spustit dfsrdiag pollad a v protokolu událostí potvrďte výskyt události 4114, 4602, 4614 a 4604 které potvrzují, že SYSVOL byl správně inicializován a replikován.

Obnova virtuálních řadičů domény z VHD

Ve virtualizovaných prostředích je velmi běžné mít Soubory VHD/VHDX řadičů doményPokud nemáte zálohu stavu systému, ale máte funkční „starý“ virtuální pevný disk (VHD), můžete z tohoto disku připojit nový řadič domény, ale musíte to udělat velmi opatrně, abyste nezpůsobili vrácení USN zpět.

Doporučení je Nespouštějte daný virtuální počítač přímo v normálním režimu.Místo toho byste měli bootovat z předchozího VHD v DSRMOtevřete Editor registru a přejděte na HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersTam je vhodné zkontrolovat hodnotu Počet předchozích DSA restaurování (pokud existuje) a především vytvořte novou hodnotu DWORD (32bitovou) s názvem Databáze obnovena ze zálohy s hodnotou 1.

Výběrem této hodnoty se službě Active Directory sdělí, že databáze byla obnovena ze zálohy, což vynutí generování nového InvocationID při spuštění v normálním režimuTímto způsobem ostatní řadiče domény interpretují instanci jako novou a správně upraví své replikační vodoznaky, čímž zabrání vrácení USN.

Po restartu řadiče domény v normálním režimu je vhodné zkontrolovat Prohlížeč událostí, konkrétně protokol Adresářové služby, hledám událost 1109Tato událost potvrzuje, že se atribut InvocationID serveru změnil, a zobrazuje starou a novou hodnotu a také nejvyšší číslo USN v době zálohování. Dále hodnota Počet předchozích DSA restaurování Mělo se to zvýšit o jednu.

Pokud se tyto události neobjeví nebo se jejich počet nezvyšuje, měli byste zkontrolovat verze operačního systému a aktualizace Service Pack, protože Určité chování při obnově závisí na konkrétních záplatáchV každém případě je vždy vhodné pracovat na kopii původního VHD a ponechat si neporušenou verzi pro případ, že by bylo nutné proces opakovat.

Praktické scénáře a další doporučení

V praxi se problémy s korupcí nebo nesprávnými rekonstrukcemi často objevují v každodenních situacích: Ruční úpravy oprávnění v SYSVOL, pokusy o aktualizaci šablon ADMX/ADML, změny GPO, které nejsou replikoványatd. Je relativně snadné způsobit nekonzistence, pokud jsou sdílené složky ručně upravovány, například SYSVOL\Policies bez respektování replikace.

V případě, že primární řadič domény má přerušenou replikaci (data AD i SYSVOL) a monitorovací zprávy typu „Databáze byla obnovena pomocí nepodporovaného postupu. Možná příčina: Vrácení USN zpět.„rozumné je udělat toto:

• Ověřte si u dcdiag y repadmin rozsah chyb a zda existují „perzistentní objekty“.
• Zkontrolujte událost 2095 a její hodnotu DSA nelze zapisovat v registru.
• Zhodnoťte, zda je to možné odstraňte ten DC a znovu sestavte (Pokud existují tři nebo více dalších zdravých řadičů domény, je to obvykle nejlepší možnost).
• Pokud je to jediný DC nebo kritik, vzneste obnovení stavu systému z kompatibilní zálohy, ideálně nedávné a v rámci období označení „tombstone“.

V doménách s více řadiči se důrazně doporučuje, aby řadiče domény byly co nejvíce „čisté“: bez dalších rolí nebo lokálních uživatelských datTímto způsobem, pokud jeden selže nebo se poškodí, lze nový naformátovat a povýšit na jiný řadič domény nebo prostřednictvím IFM, což výrazně snižuje složitost obnovy.

Dále je dobré si uvědomit omezení, jako je např. Kopie stavu systému jsou platné pouze během období označeného jako neplatné. (60, 90, 180 dní v závislosti na konfiguraci), aby se zabránilo oživení odstraněných objektů, a aby se klíče počítače NTLM měnily každých 7 dní. U velmi starých obnovení může být nutné resetovat týmové účty problémy s „Uživatelé a počítače služby Active Directory“ nebo dokonce jejich odebrání a opětovné připojení k doméně.

Zavedení postupů pro pravidelné zálohování stavu systému, Jasně zdokumentujte role FSMO, globální katalog a topologii replikace.A testování kroků obnovy v laboratorním prostředí je časová investice, která ušetří spoustu bolestí hlavy, když přijde den, kdy se řadič domény poškodí nebo někdo bez rozmyslu použije snímek systému.