Wiederherstellung und Reparatur eines beschädigten lokalen Domänencontrollers

Wenn ein Domänencontroller beschädigt oder fehlerhaft wiederhergestellt wird, ist die Gefahr enorm: Anmeldevorgänge schlagen fehl, Gruppenrichtlinienobjekte werden nicht mehr angewendet und die Replikation bricht fast ohne Vorwarnung zusammen.Die gute Nachricht ist, dass es klare Verfahren zur Wiederherstellung eines physischen oder virtuellen Domänencontrollers gibt, vorausgesetzt, die akzeptierten Sicherungs- und Wiederherstellungsmethoden werden eingehalten.

In modernen Windows Server-Umgebungen erfordert die Wiederherstellung eines Domänencontrollers ein gutes Verständnis von Konzepten wie beispielsweise Systemstatus, autoritative/nicht-autoritative Wiederherstellung, SYSVOL, DFSR/FRS und USN-RollbacksWerden diese Probleme überhastet oder mit inkompatiblen Bildgebungsverfahren angegangen, kann das Ergebnis ein Dickicht stiller Unstimmigkeiten sein, die sehr schwer zu diagnostizieren sind.

Warum es so wichtig ist, einen Domänencontroller ordnungsgemäß zu schützen und wiederherzustellen

Active Directory ist das Herzstück der Authentifizierung und Autorisierung in einer Windows-Domäne.Sie speichert Benutzer, Computer, Gruppen, Vertrauensbeziehungen, Gruppenrichtlinien, Zertifikate und andere wichtige Elemente. Diese Informationen befinden sich hauptsächlich in der Datenbank. Ntds.dit, die zugehörigen Protokolldateien und Ordner SYSVOL, neben anderen Komponenten, die den sogenannten „Systemzustand“ ausmachen.

Der Systemstatus umfasst unter anderem Folgendes: Active Directory-Protokolldateien und -Daten, die Windows-Registrierung, das Systemvolume SYSVOL, die Zertifikatsdatenbank (sofern eine Zertifizierungsstelle vorhanden ist), die IIS-Metabasis, Startdateien und geschützte BetriebssystemkomponentenDaher muss jede ernstzunehmende Strategie zur Geschäftskontinuität regelmäßige Backups des Systemzustands jedes Rechenzentrums beinhalten.

Wenn eine tatsächliche Beschädigung der Active Directory-Datenbank auftritt, ein schwerwiegender Replikationsfehler vorliegt oder ein Problem mit Berechtigungen für SYSVOLDer Domänencontroller kann die Verarbeitung von Abfragen einstellen, Active Directory-Dienste nicht starten oder eine Kettenreaktion von Fehlern in der gesamten Gesamtstruktur auslösen. In diesen Fällen Eine schnelle und angemessene Wiederherstellung der Beweglichkeit entscheidet darüber, ob es sich um einen schwerwiegenden Vorfall oder eine langwierige Katastrophe handelt..

Vor dem Wiederherstellungsversuch ist es entscheidend, zwischen einem echten Datenbankproblem und alltäglicheren Fehlern zu unterscheiden. Sehr oft Die Ursache liegt in DNS-Problemen, Netzwerkänderungen, Firewalls oder Routen, die mit Tools wie … geändert wurden. netsh-BefehlDaher ist es ratsam, diese Faktoren zunächst auszuschließen, bevor man die AD-Datenbank anfasst.

Grundlegende Diagnose- und Replikationskontrollwerkzeuge

Bei Anzeichen von Datenbeschädigung oder Replikationsfehlern ist der erste sinnvolle Schritt, den Zustand der Umgebung mit Hilfe nativer Tools zu überprüfen. DCDiag, Repadmin, ReplMon (in älteren Versionen) und die Ereignisanzeige Sie sind Ihre besten Verbündeten, bevor Sie aggressive Restaurierungsmaßnahmen in Betracht ziehen.

Mit DCDiag Es wird eine allgemeine Überprüfung aller Domänencontroller durchgeführt, um Probleme mit der Replikation, DNS, AD DS-Diensten usw. zu identifizieren. Repadmin Es ermöglicht die Anzeige des Replikationsstatus, der Replikationspartner, der USN-Wasserzeichen und die Erkennung persistenter Objekte. In älteren Windows-Versionen ReplMon Es bot eine grafische Darstellung der Replikationsfehler innerhalb der Domäne.

Zusätzlich zu diesen Tools ist es unerlässlich, die Ereignisanzeige auf „Verzeichnisdienste“ und „DFS-Replikation“ zu überprüfen. Ereignisse wie 467 und 1018 deuten auf eine tatsächliche Beschädigung der Datenbank hin.Die Ereignisse 1113/1115/1114/1116 beziehen sich auf das Aktivieren bzw. Deaktivieren der Eingabe-/Ausgabe-Replikation.

Falls ein mutmaßlicher DC vorübergehend isoliert werden muss, um die Verbreitung von Korruption zu verhindern, können wir Deaktivieren Sie die eingehende und ausgehende Replikation mit Repadmin.:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Um die Replikation wiederherzustellen, entfernen Sie einfach diese Optionen:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Unterstützte Systemstatussicherungen auf Domänencontrollern

Um einen DC mit Garantien wiederherstellen zu können, ist es unerlässlich, dass Systemstatussicherungen wurden mit Active Directory-kompatiblen Tools durchgeführt.Diese Tools nutzen die Backup- und Wiederherstellungs-APIs von Microsoft sowie den Volume Shadow Copy Service (VSS) auf eine unterstützte Weise.

Zu den gebräuchlichsten Lösungen gehören: Windows Server-Sicherung, Drittanbieterlösungen, die in VSS integriert sind (wie z. B. NAKIVO, Backup Exec und andere)oder ältere Versorgungsunternehmen wie Ntsicherung unter Windows 2000/2003. In allen Fällen müssen die AD-APIs beachtet werden, um die Konsistenz der Datenbank und ihrer Replikate nach der Wiederherstellung zu gewährleisten.

Windows Server 2012 und spätere Versionen bieten eine wichtige Neuerung: Hyper-V Generation ID (GenID)Diese Kennung ermöglicht es einem virtuellen Domänencontroller zu erkennen, dass seine Festplatte auf einen früheren Zeitpunkt zurückgesetzt wurde. Wenn dies geschieht, AD DS generiert eine neue InvocationID und behandelt die Situation so, als wäre sie aus einer erfolgreichen Sicherung wiederhergestellt worden.durch Benachrichtigung der Replikationspartner, wodurch ein sicheres Überschreiben ohne USN-Rollback ermöglicht wird.

Es ist unerlässlich, den Respekt zu wahren GrabsteinlebenDies gibt an, wie lange eine Systemsicherung verwendet werden kann, ohne das Risiko einzugehen, dass längst gelöschte Objekte wiederhergestellt werden. In modernen Versionen beträgt diese Frist typischerweise 180 Tage. Es wird empfohlen, mindestens alle 90 Tage eine Sicherung durchzuführen, um einen ausreichenden Sicherheitsspielraum zu gewährleisten.

Nicht autorisierte Methoden, die zu USN-Umkehrungen führen

Eine der gefährlichsten Ursachen für stille Inkonsistenzen in Active Directory ist die USN-RücknahmeDiese Situation tritt auf, wenn der Inhalt der AD-Datenbank mithilfe einer nicht unterstützten Methode zurückgesetzt wird, ohne dass die InvocationID wiederhergestellt oder die Replikationspartner benachrichtigt werden.

Das typische Szenario ist, einen Domänencontroller von einem System zu starten. Disk-Image oder ein in der Vergangenheit erstellter Snapshot einer virtuellen Maschineohne Verwendung einer kompatiblen Systemwiederherstellung. Oder kopieren Sie die Ntds.dit-Datei direkt, verwenden Sie Imaging-Programme wie Ghost, booten Sie von einem defekten Festplattenspiegel oder wenden Sie einen Speicher-Snapshot auf Array-Ebene erneut an.

In diesen Fällen verwendet der Domänencontroller weiterhin dieselbe InvocationID wie zuvor, aber seine Der örtliche USN-Zähler geht rückwärts.Die anderen DCs erinnern sich daran, Änderungen bis zu einem hohen USN-Wert empfangen zu haben. Wenn also das zurückgesetzte DC versucht, bereits erkannte USN-Werte zurückzusenden, Ihre Partner glauben, auf dem neuesten Stand zu sein und akzeptieren keine konkreten Änderungen mehr..

Das Ergebnis ist, dass bestimmte Modifikationen (zum Beispiel Benutzererstellung, Passwortänderungen, Geräteregistrierung, Änderungen der Gruppenzugehörigkeit, neue DNS-EinträgeDiese Fehler werden vom wiederhergestellten Domänencontroller nie auf das restliche Netzwerk repliziert, aber Überwachungstools zeigen möglicherweise keine eindeutigen Fehler an. Dies ist ein äußerst gefährlicher, stiller Ausfall.

Um diese Situationen zu erkennen, protokollieren die Treiber von Windows Server 2003 SP1 und späteren Versionen die Verzeichnisdienste-Ereignis 2095 Wenn festgestellt wird, dass ein entfernter DC bereits bestätigte USNs ohne Änderung der InvocationID sendet, Es isoliert den betroffenen Domänencontroller, pausiert Netlogon und verhindert weitere Änderungen. das konnte nicht korrekt reproduziert werden.

Als zusätzliches forensisches Beweismittel kann es im Register einzusehen ist der Schlüssel HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters und der Wert DSA nicht beschreibbarWenn dieser Wert gesetzt ist (z. B. 0x4), bedeutet dies, dass der DC durch die USN-Umkehrerkennung in einen Schreibschutzzustand versetzt wurde. Das manuelle Ändern dieses Wertes zur "Korrektur" wird nicht unterstützt. und hinterlässt die Datenbank in einem dauerhaft inkonsistenten Zustand.

Allgemeine Strategien im Falle einer Beschädigung oder Wiederherstellung eines Domänencontrollers

Die Vorgehensweise bei der Behandlung eines beschädigten oder fehlerhaft wiederhergestellten Domänencontrollers hängt von mehreren Faktoren ab: Anzahl der Domänencontroller in der Domäne/Gesamtstruktur, Verfügbarkeit gültiger Kopien des Systemstatus, Vorhandensein anderer Rollen (FSMO, CA, globaler Katalog) und zeitlicher Umfang des Problems.

Wenn es weitere gesunde DCs in der Domäne gibt und Auf dem beschädigten Domänencontroller befinden sich keine eindeutigen kritischen Daten.Die schnellste und sauberste Lösung ist in der Regel die Entfernung und Neuinstallation des Domänencontrollers. Handelt es sich jedoch um den einzigen Domänencontroller oder hostet er sensible Rollen und Daten, ist eine sorgfältigere Wiederherstellung (autoritativ oder nicht-autoritativ) erforderlich.

Im Allgemeinen ergeben sich folgende Optionen:

• Den fehlerhaften Domänencontroller zwangsweise herabstufen und aus der Domäne entfernen., gefolgt von der Bereinigung der Metadaten und gegebenenfalls einer neuen Werbeaktion.
• Wiederherstellung aus einer gültigen Systemsicherung, ob im autoritativen oder nicht-autoritativen Modus.
• DC mithilfe von IFM (Install From Media) von einem anderen neu erstellen., wenn keine aktuelle Kopie vorhanden ist, aber andere korrekte DCs existieren.
• Verwendung eines VHD-Snapshots eines virtuellen DC, indem die zusätzlichen Schritte angewendet werden, um die Datenbank als aus der Sicherung wiederhergestellt zu kennzeichnen (Datenbank aus Sicherung wiederhergestellt = 1) und sicherzustellen, dass eine neue InvocationID generiert wird.

Wenn ein USN-Rollback eindeutig vermutet wird (z. B. nach der Wiederherstellung einer VM aus einem Snapshot ohne Beachtung bewährter Verfahren) und Ereignis 2095 auftritt, ist die sinnvollste Vorgehensweise in der Regel folgende: Nehmen Sie den DC außer Betrieb und versuchen Sie nicht, ihn vor Ort zu reparieren., es sei denn, es ist möglich, auf eine Sicherung des unterstützten Systemzustands zurückzugreifen, die vor dem Rollback erstellt wurde.

Erzwungene Herabstufung und Metadatenbereinigung

Wenn ein Domänencontroller so stark beschädigt ist, dass er nicht normal herabgestuft werden kann, oder wenn er fehlerhaft wiederhergestellt wurde und Sie verhindern möchten, dass er weitere Probleme verursacht, können Sie auf eine solche Methode zurückgreifen. erzwungene Degradierung.

In älteren Versionen wurde dieser Vorgang mit dcpromo /forceremovalWelche Entfernen Sie die AD DS-Rolle, ohne zu versuchen, die Änderungen auf den Rest der Gesamtstruktur zu übertragen.In modernen Umgebungen hat sich der Assistent geändert, aber das Konzept ist dasselbe: den problematischen Domänencontroller aus der AD-Topologie zu entfernen, ohne dass er an der weiteren Replikation teilnimmt.

Nach einem erzwungenen Downgrade ist es zwingend erforderlich, einen Befehl von einem fehlerfreien Domänencontroller auszuführen. Metadatenbereinigung mit dem Werkzeug NtdsutilDieser Prozess entfernt alle Verweise auf den gelöschten Domänencontroller (NTDS-Einstellungsobjekte, DNS-Verweise usw.) aus der AD-Datenbank, sodass Es bleiben keine „Geisterreste“ zurück, die die Replikation stören könnten..

Wenn der beeinträchtigte Controller FSMO-Rollen (PDC-Emulator, RID-Master, Schema-Master usw.) innehatte, ist Folgendes erforderlich: überträgt oder übernimmt diese Rollen Je nach Situation kann die Herabstufung auf einen anderen Domänencontroller erfolgen. Später kann das Betriebssystem auf diesem Server neu installiert und er wieder zu einem regulären Domänencontroller hochgestuft werden.

Nicht-autoritative vs. autoritative Wiederherstellung in Active Directory

Wenn eine gültige Kopie des Systemzustands verfügbar ist, kann die AD-Wiederherstellung auf zwei Arten erfolgen: nicht-autoritativ und autoritativDas Verständnis des Unterschieds ist entscheidend, um aktuelle Änderungen nicht zu verpassen oder veraltete Daten zu replizieren.

Eine nicht-autoritative RestaurierungDer DC wird auf einen vorherigen Zeitpunkt zurückgesetzt, aber sobald er startet, Die anderen Domänencontroller werden als Referenz betrachtet.Mit anderen Worten: Nach dem Neustart fordert der wiederhergestellte Domänencontroller eingehende Replikation an und aktualisiert seine Datenbank mit allen fehlenden Änderungen der anderen Domänencontroller. Diese Option ist ideal, wenn Es gibt noch andere funktionierende Controller, und wir wollen, dass der wiederhergestellte Controller zu ihnen aufschließt..

Eine autoritäre RestaurationEs wird jedoch ausdrücklich darauf hingewiesen, dass Die wiederhergestellten Daten sollten Vorrang haben. gegenüber den anderen Domänencontrollern. Das bedeutet, dass die wiederhergestellten Objekte nach der Wiederherstellung eine höhere Versionsnummer erhalten, um ihre Replikation von diesem Domänencontroller in die gesamte Domäne zu erzwingen. Dies ist die richtige Wahl, wenn Wir haben versehentlich Objekte oder Organisationseinheiten gelöscht, oder wir möchten den Inhalt von SYSVOL und GPO auf einen früheren Zustand zurücksetzen und ihn replizieren lassen..

Ein wichtiges Detail ist, dass eine autoritative Wiederherstellung nicht unbedingt die gesamte Datenbank betreffen muss. Mit dem Dienstprogramm Ntdsutil Einzelne Objekte, Teilstrukturen (z. B. eine Organisationseinheit) oder die gesamte Domäne können als autoritativ gekennzeichnet werden. Dies bietet beispielsweise erhebliche Flexibilität für Nur einen Benutzer, eine Gruppe, eine Organisationseinheit oder den Unterbaum dc=mycompany,dc=local abrufen.

Allgemeines Verfahren zur Wiederherstellung des Systemstatus in einem Rechenzentrum

Das Grundschema zur Wiederherstellung des Systemzustands eines Rechenzentrums (ob physisch oder virtuell) mit kompatiblen Tools ist immer ähnlich: Starten Sie den Server im Verzeichnisdienstwiederherstellungsmodus (DSRM), stellen Sie die Daten mithilfe des Sicherungstools wieder her und starten Sie den Server neu..

Zusammenfassend lassen sich die typischen Schritte für einen virtuellen Domänencontroller wie folgt darstellen:

1. Starten Sie die virtuelle Maschine im Windows-Startmanager. (üblicherweise durch Drücken von F5/F8 beim Start). Wenn die VM von einem Hypervisor verwaltet wird, muss die Maschine möglicherweise angehalten werden, um den Tastendruck zu erfassen.
2. Wählen Sie in den erweiterten Startoptionen Folgendes aus: Wiederherstellungsmodus für Verzeichnisdienste (Wiederherstellungsmodus für Verzeichnisdienste). In diesem Modus wird der Server gestartet, ohne dass die Active Directory-Datenbank funktionsfähig eingebunden wird.
3. Melden Sie sich mit dem DSRM-Administratorkonto an. wurde während der ursprünglichen Heraufstufung des Domänencontrollers definiert (nicht mit einem Standard-Domänenadministratorkonto).
4. Führen Sie das Sicherungstool aus. wurde ein Backup-Programm (Windows Server Backup, NAKIVO oder ein anderes kompatibles Programm) verwendet, um den Systemzustand auf den gewünschten Sicherungspunkt wiederherzustellen.
5. Schließen Sie den Restaurierungsassistenten ab und Starten Sie die DC im normalen Modus neu.Bei einer nicht-autoritativen Wiederherstellung initiiert der Server die Replikation, um mit den anderen Domänencontrollern gleichzuziehen.

Wenn wir über Backup-Produkte von Drittanbietern sprechen, wie zum Beispiel NAKIVO Backup & ReplikationIm „App-fähigen“ Modus erkennt das System, dass es sich bei dem wiederhergestellten Rechner um einen DC handelt, und Den Prozess automatisch anpassen, um die AD-Konsistenz zu gewährleistenIn den meisten Szenarien mit mehreren Controllern ist eine vollständige Wiederherstellung im nicht-autoritativen Modus ausreichend.

Autorisierte Wiederherstellung mit Ntdsutil

Sollen die Änderungen auf dem wiederhergestellten Domänencontroller Vorrang vor den übrigen Änderungen haben, ist nach der nicht-autoritativen Wiederherstellung ein zusätzlicher Schritt erforderlich: Verwenden Sie Ntdsutil, um Objekte als autoritativ zu kennzeichnen..

Der vereinfachte Ablauf wäre:

1. Stellen Sie den Systemzustand auf herkömmliche Weise wieder her und lassen Sie den Server weiterhin im Ausgangszustand. DSRM-Modus (Noch nicht im normalen Modus neu starten).
2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und Renn ntdsutil.
3. Aktivieren Sie die AD-Instanz mit Instanz NTDS aktivieren.
4. Betreten des Kontextes autoritativer Restauration mit autoritativ wiederherstellen.
5. Verwenden Sie Befehle wie restore object <DN_objeto> o restore subtree <DN_subarbol>, wobei DN der Distinguished Name des Objekts oder Teilbaums ist, der autoristant wiederhergestellt werden soll.
6. Bestätigen Sie die Transaktion und, sobald diese abgeschlossen ist, Starten Sie die DC im normalen Modus neu. sodass die markierten Objekte vorrangig vor dem Rest der Domäne repliziert werden.

Diese Art von Restaurierung erfordert große Vorsicht. Wenn die gesamte Domäne autoritativ wiederhergestellt wurde und das Backup alt istEs besteht das Risiko, dass nach der Datensicherung vorgenommene Änderungen (z. B. Benutzererstellung, Passwortänderungen oder Gruppenänderungen) verloren gehen. Daher ist es üblich, die Wiederherstellung auf die unbedingt notwendigen Objekte oder Verzeichnisstrukturen zu beschränken.

SYSVOL-Wiederherstellung und -Recovery (FRS vs. DFSR)

SYSVOL ist eine Schlüsselkomponente des Domänencontrollers: Hier werden Startskripte, Gruppenrichtlinien, Sicherheitsvorlagen und andere wichtige gemeinsam genutzte Ressourcen gespeichert.Fehlerhafte Berechtigungen, beschädigte Dateien oder Replikationsprobleme können dazu führen, dass Gruppenrichtlinienobjekte (GPOs) unbrauchbar werden oder bei Clients zu unberechenbarem Verhalten führen.

Abhängig von der Windows Server-Version und dem Migrationsstatus kann SYSVOL repliziert werden durch FRS (Dateireplikationsdienst) warum DFSR (Verteilte Dateisystemreplikation)Das Verfahren zur autoritativen Wiederherstellung von SYSVOL variiert je nachdem, welches der beiden Systeme verwendet wird.

Um dies festzustellen, können Sie den Schlüssel in der Registrierung überprüfen. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateExistiert dieser Unterschlüssel und hat er den Wert 3 (GELÖSCHT), wird DFSR verwendet. Existiert er nicht oder hat er einen anderen Wert, verwenden wir weiterhin FRS.

In Umgebungen mit FRS beinhaltet die autoritative Wiederherstellung von SYSVOL üblicherweise die Anpassung des Wertes Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process auf einen bestimmten Wert (z.B. 212 dezimal / 0xD4 hex), um anzuzeigen, dass dieser DC die maßgebliche Quelle ist.

Wenn SYSVOL durch DFSR repliziert wird, ist der Prozess etwas aufwendiger: Er beinhaltet die Verwendung von ADSIEdit SYSVOL-Abonnementobjekte (Attribute) ändern msDFSR-aktiviert y msDFSR-Optionen) auf dem autoritativen DC und auf den anderen, AD-Replikation erzwingen, ausführen dfsrdiag pollad und bestätigen Sie im Ereignisprotokoll das Auftreten von Ereignisse 4114, 4602, 4614 und 4604 die bestätigen, dass SYSVOL korrekt initialisiert und repliziert wurde.

Wiederherstellen virtueller Domänencontroller aus VHD

In virtualisierten Umgebungen ist es sehr üblich, dass VHD/VHDX-Dateien von DomänencontrollernWenn Sie keine Systemstatussicherung haben, aber eine funktionierende "alte" VHD besitzen, können Sie von dieser Festplatte einen neuen DC einbinden. Dabei müssen Sie jedoch sehr vorsichtig vorgehen, um einen USN-Rollback zu vermeiden.

Die Empfehlung lautet Starten Sie die VM nicht direkt im normalen Modus.Stattdessen sollten Sie von der vorherigen VHD booten. DSRMÖffnen Sie den Registrierungseditor und navigieren Sie zu HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersDort ist es ratsam, den Wert zu überprüfen. Anzahl der bisherigen DSA-Restaurierungen (falls vorhanden) und vor allem einen neuen DWORD-Wert (32 Bit) namens erstellen Datenbank aus dem Backup wiederhergestellt mit dem Wert 1.

Durch Auswahl dieses Werts wird Active Directory mitgeteilt, dass die Datenbank aus einer Sicherung wiederhergestellt wurde, was dazu führt, dass Beim Booten im normalen Modus wird eine neue InvocationID generiert.Auf diese Weise interpretieren die anderen DCs es als eine neue Instanz und passen ihre Replikationswasserzeichen korrekt an, wodurch der USN-Rollback verhindert wird.

Nach dem Neustart des Domänencontrollers im normalen Modus empfiehlt es sich, die Ereignisanzeige, insbesondere das Protokoll, zu überprüfen. Verzeichnisdienste, auf der Suche nach dem Veranstaltung 1109Dieses Ereignis bestätigt, dass sich das Attribut „InvocationID“ des Servers geändert hat, und zeigt die alten und neuen Werte sowie die höchste USN zum Zeitpunkt der Sicherung an. Zusätzlich wird der Wert von Anzahl der bisherigen DSA-Restaurierungen Es hätte um eins erhöht werden müssen.

Wenn diese Ereignisse nicht auftreten oder sich die Anzahl nicht erhöht, sollten Sie die Betriebssystemversionen und Service Packs überprüfen, da Bestimmte Wiederherstellungsprozesse hängen von spezifischen Bereichen ab.Es empfiehlt sich in jedem Fall, mit einer Kopie der originalen VHD-Datei zu arbeiten und eine intakte Version aufzubewahren, falls der Vorgang wiederholt werden muss.

Praxisszenarien und weitere Empfehlungen

In der Praxis treten Probleme wie Korruption oder unsachgemäße Restaurierungen häufig im Alltag auf: Manuelle Änderungen von Berechtigungen in SYSVOL, Versuche zur Aktualisierung von ADMX/ADML-Vorlagen, nicht replizierte GPO-Änderungenusw. Es ist relativ einfach, Inkonsistenzen zu verursachen, wenn freigegebene Ordner manuell geändert werden, z. B. SYSVOL\Policies ohne die Replikation zu berücksichtigen.

Im Falle eines primären Domänencontrollers mit fehlerhafter Replikation (sowohl AD-Daten als auch SYSVOL) und Überwachungsmeldungen des Typs „Die Datenbank wurde mit einem nicht unterstützten Verfahren wiederhergestellt. Mögliche Ursache: USN-RollbackDaher ist es ratsam, Folgendes zu tun:

• Überprüfen Sie mit dcdiag y Repadmin das Ausmaß der Fehler und ob es „persistente Objekte“ gibt.
• Prüfen Sie Ereignis 2095 und den Wert DSA nicht beschreibbar in der Registrierung.
• Prüfen Sie, ob es möglich ist. Entferne die DC-Komponente und baue sie neu auf. (Wenn drei oder mehr andere gesunde DCs vorhanden sind, ist dies in der Regel die beste Option).
• Wenn es der einzige DC oder Kritiker ist, erheben Sie eine Wiederherstellung des Systemzustands aus einem kompatiblen Backup, idealerweise aktuell und innerhalb des Tombstone-Zeitraums.

In Domänen mit mehreren Controllern wird dringend empfohlen, die DCs so „rein“ wie möglich zu gestalten: ohne zusätzliche Rollen oder lokale BenutzerdatenAuf diese Weise kann im Falle eines Ausfalls oder einer Beschädigung eines Domänencontrollers ein neuer Domänencontroller auf Basis eines anderen Domänencontrollers oder über IFM formatiert und bereitgestellt werden, wodurch die Komplexität der Wiederherstellung erheblich reduziert wird.

Außerdem sollte man Einschränkungen wie diese nicht vergessen. Systemstatuskopien sind nur während der Tombstone-Periode gültig. (60, 90, 180 Tage, je nach Konfiguration), um das Wiederherstellen gelöschter Objekte zu vermeiden, und dass sich die NTLM-Maschinenschlüssel alle 7 Tage ändern. Bei sehr alten Wiederherstellungen kann es erforderlich sein, Teamkonten zurücksetzen Probleme mit „Active Directory-Benutzer und -Computer“ oder sogar deren Entfernung und erneute Hinzufügung zur Domäne.

Vorhandene Verfahren zur regelmäßigen Sicherung des Systemzustands, Die FSMO-Rollen, den globalen Katalog und die Replikationstopologie sollten klar dokumentiert werden.Das Testen der Wiederherstellungsschritte in einer Laborumgebung ist eine Investition in die Zeit, die viel Ärger erspart, wenn eines Tages ein Domänencontroller beschädigt wird oder jemand unbedacht einen Snapshot anwendet.