Επαναφορά και ανάκτηση ενός κατεστραμμένου τοπικού ελεγκτή τομέα

Όταν ένας ελεγκτής τομέα καταστραφεί ή αποκατασταθεί εσφαλμένα, ο φόβος είναι τεράστιος: Οι συνδέσεις αποτυγχάνουν, τα GPO σταματούν να εφαρμόζονται και η αναπαραγωγή διακόπτεται σχεδόν χωρίς ενδείξεις.Τα καλά νέα είναι ότι υπάρχουν σαφείς διαδικασίες για την ανάκτηση ενός φυσικού ή εικονικού ελεγκτή τομέα (DC), υπό την προϋπόθεση ότι τηρούνται οι αποδεκτές μέθοδοι δημιουργίας αντιγράφων ασφαλείας και επαναφοράς.

Στα σύγχρονα περιβάλλοντα Windows Server, η επαναφορά ενός ελεγκτή τομέα απαιτεί καλή κατανόηση εννοιών όπως κατάσταση συστήματος, επαναφορά με/μη εξουσιοδοτημένη εντολή, επαναφορές SYSVOL, DFSR/FRS και USNΕάν αυτά τα ζητήματα αντιμετωπιστούν βιαστικά ή με ασύμβατα εργαλεία απεικόνισης, το αποτέλεσμα μπορεί να είναι ένα σύμπλεγμα σιωπηλών ασυνεπειών που είναι πολύ δύσκολο να διαγνωστούν.

Γιατί είναι κρίσιμη η σωστή προστασία και ανάκτηση ενός ελεγκτή τομέα

Το Active Directory είναι η καρδιά του ελέγχου ταυτότητας και της εξουσιοδότησης σε έναν τομέα των WindowsΑποθηκεύει χρήστες, υπολογιστές, ομάδες, σχέσεις εμπιστοσύνης, πολιτικές ομάδας, πιστοποιητικά και άλλα κρίσιμα στοιχεία. Αυτές οι πληροφορίες βρίσκονται κυρίως στη βάση δεδομένων. Ntds.dit, τα σχετικά αρχεία καταγραφής και ο φάκελος ΣΥΣΒΟΛ, μεταξύ άλλων στοιχείων που αποτελούν την λεγόμενη «κατάσταση του συστήματος».

Η κατάσταση του συστήματος περιλαμβάνει, μεταξύ άλλων, Αρχεία καταγραφής και δεδομένα της Active Directory, το Μητρώο των Windows, ο τόμος συστήματος, το SYSVOL, η βάση δεδομένων πιστοποιητικών (εάν υπάρχει CA), η μεταβάση των IIS, τα αρχεία εκκίνησης και τα προστατευμένα στοιχεία του λειτουργικού συστήματοςΕπομένως, οποιαδήποτε σοβαρή στρατηγική επιχειρησιακής συνέχειας πρέπει να περιλαμβάνει τακτικά αντίγραφα ασφαλείας της κατάστασης του συστήματος κάθε κέντρου δεδομένων.

Όταν παρουσιάζεται πραγματική καταστροφή της βάσης δεδομένων Active Directory, σοβαρή αποτυχία αναπαραγωγής ή πρόβλημα με δικαιώματα σε ΣΥΣΒΟΛΟ ελεγκτής τομέα ενδέχεται να διακόψει την επεξεργασία ερωτημάτων, να μην μπορέσει να ξεκινήσει τις υπηρεσίες Active Directory ή να ενεργοποιήσει σφάλματα σε όλο το σύμπλεγμα δομών. Σε αυτές τις περιπτώσεις, Μια γρήγορη και σωστή ανάρρωση κάνει τη διαφορά ανάμεσα σε ένα σοβαρό περιστατικό και μια παρατεταμένη καταστροφή..

Πριν επιχειρήσετε μια επαναφορά, είναι σημαντικό να διακρίνετε μεταξύ ενός πραγματικού προβλήματος βάσης δεδομένων και πιο συνηθισμένων βλαβών. Πολύ συχνά, Η αιτία έγκειται στο DNS, στις αλλαγές δικτύου, στα τείχη προστασίας ή στις διαδρομές που τροποποιήθηκαν με εργαλεία όπως εντολή netshΕπομένως, συνιστάται να αποκλείσετε πρώτα αυτούς τους παράγοντες πριν αγγίξετε τη βάση δεδομένων AD.

Βασικά διαγνωστικά εργαλεία και εργαλεία ελέγχου αντιγραφής

Σε περίπτωση συμπτωμάτων καταστροφής ή αποτυχιών αναπαραγωγής, το πρώτο λογικό βήμα είναι να ελέγξετε την κατάσταση του περιβάλλοντος χρησιμοποιώντας εγγενή εργαλεία. DCDiag, Repadmin, ReplMon (σε παλαιότερες εκδόσεις) και το Event Viewer Είναι οι καλύτεροι σύμμαχοί σας πριν εξετάσετε το ενδεχόμενο επιθετικών αποκαταστάσεων.

με DCDiag Πραγματοποιείται ένας γενικός έλεγχος όλων των ελεγκτών τομέα, εντοπίζοντας προβλήματα με την αναπαραγωγή, το DNS, τις υπηρεσίες AD DS κ.λπ. Repadmin Σας επιτρέπει να προβάλετε την κατάσταση αναπαραγωγής, τους συνεργάτες αναπαραγωγής, τα υδατογραφήματα USN και να εντοπίσετε μόνιμα αντικείμενα. Σε παλαιότερες εκδόσεις των Windows, ReplMon Προσέφερε μια γραφική απεικόνιση των σφαλμάτων αναπαραγωγής εντός του τομέα.

Εκτός από αυτά τα εργαλεία, είναι απαραίτητο να ελέγξετε το Event Viewer για τις "Υπηρεσίες καταλόγου" και "Αντιγραφή DFS". Συμβάντα όπως τα 467 και 1018 υποδεικνύουν πραγματική καταστροφή της βάσης δεδομένων, ενώ τα συμβάντα 1113/1115/1114/1116 σχετίζονται με την ενεργοποίηση ή απενεργοποίηση της αναπαραγωγής εισόδου/εξόδου.

Εάν ένα ύποπτο DC χρειάζεται να απομονωθεί προσωρινά για να αποτραπεί η διάδοση διαφθοράς, μπορούμε Απενεργοποίηση εισερχόμενης και εξερχόμενης αναπαραγωγής με το Repadmin:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Και για να επαναφέρετε την αναπαραγωγή σε κανονικό επίπεδο, απλώς καταργήστε αυτές τις επιλογές:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Υποστηριζόμενα αντίγραφα ασφαλείας κατάστασης συστήματος σε ελεγκτές τομέα

Για να μπορέσετε να ανακτήσετε ένα DC με εγγυήσεις, είναι απαραίτητο να έχετε Αντίγραφα ασφαλείας κατάστασης συστήματος που εκτελούνται με χρήση εργαλείων συμβατών με το Active DirectoryΑυτά τα εργαλεία χρησιμοποιούν τα API δημιουργίας αντιγράφων ασφαλείας και επαναφοράς της Microsoft και την Υπηρεσία σκιώδους αντιγράφου τόμου (VSS) με υποστηριζόμενο τρόπο.

Μεταξύ των πιο συνηθισμένων λύσεων είναι Λύσεις δημιουργίας αντιγράφων ασφαλείας Windows Server, λύσεις τρίτων κατασκευαστών ενσωματωμένες με VSS (όπως NAKIVO, Backup Exec και άλλες)ή παλαιότερες υπηρεσίες κοινής ωφέλειας, όπως Ntbackup στα Windows 2000/2003. Σε κάθε περίπτωση, πρέπει να σέβονται τα AD API για να διασφαλίσουν τη συνέπεια της βάσης δεδομένων και των αντιγράφων της μετά την επαναφορά.

Τα Windows Server 2012 και οι νεότερες εκδόσεις διαθέτουν μια σημαντική νέα προσθήκη: Αναγνωριστικό γενιάς Hyper-V (GenID)Αυτό το αναγνωριστικό επιτρέπει σε έναν εικονικό ελεγκτή τομέα να ανιχνεύσει ότι ο δίσκος του έχει επαναφερθεί σε ένα προηγούμενο χρονικό σημείο. Όταν συμβεί αυτό, Το AD DS δημιουργεί ένα νέο InvocationID και αντιμετωπίζει την κατάσταση σαν να είχε αποκατασταθεί από ένα επιτυχημένο αντίγραφο ασφαλείας.ειδοποιώντας τους συνεργάτες αναπαραγωγής του, επιτρέποντας έτσι την ασφαλή επανεγγραφή χωρίς να απαιτείται επαναφορά από το USN.

Είναι απαραίτητο να σεβόμαστε την διάρκεια ζωής επιτύμβιας στήληςΑυτό υποδεικνύει το χρονικό διάστημα για το οποίο μπορεί να χρησιμοποιηθεί ένα αντίγραφο ασφαλείας της κατάστασης συστήματος χωρίς να διακινδυνεύσει η επανεισαγωγή αντικειμένων που έχουν διαγραφεί προ πολλού. Συνήθως είναι 180 ημέρες στις σύγχρονες εκδόσεις και συνιστάται η εκτέλεση αντιγράφων ασφαλείας τουλάχιστον κάθε 90 ημέρες για τη διατήρηση επαρκούς περιθωρίου ασφαλείας.

Μη εξουσιοδοτημένες μέθοδοι που προκαλούν ανατροπές USN

Μία από τις πιο επικίνδυνες αιτίες σιωπηλών ασυνεπειών στο Active Directory είναι η Αναίρεση του USNΑυτή η περίπτωση παρουσιάζεται όταν τα περιεχόμενα της βάσης δεδομένων AD επαναφέρονται χρησιμοποιώντας μια μη υποστηριζόμενη τεχνική, χωρίς να επαναφέρεται το InvocationID ή να ειδοποιούνται οι συνεργάτες αναπαραγωγής.

Το τυπικό σενάριο είναι η εκκίνηση ενός DC από ένα εικόνα δίσκου ή ένα στιγμιότυπο εικονικής μηχανής που τραβήχτηκε στο παρελθόνχωρίς να χρησιμοποιήσετε συμβατή επαναφορά συστήματος. Ή αντιγράψτε απευθείας το αρχείο Ntds.dit, χρησιμοποιήστε προγράμματα απεικόνισης όπως το Ghost, εκκινήστε από έναν κατεστραμμένο καθρέφτη δίσκου ή εφαρμόστε ξανά ένα στιγμιότυπο αποθήκευσης σε επίπεδο πίνακα.

Σε αυτές τις περιπτώσεις, ο ελεγκτής τομέα συνεχίζει να χρησιμοποιεί το ίδιο InvocationID όπως πριν, αλλά το Ο τοπικός μετρητής USN πηγαίνει προς τα πίσω.Οι άλλοι DC θυμούνται να λαμβάνουν αλλαγές έως και υψηλό USN, επομένως όταν ο DC που έχει αναστραφεί προσπαθεί να στείλει πίσω ήδη αναγνωρισμένα USN, Οι συνεργάτες τους πιστεύουν ότι είναι ενημερωμένοι και σταματούν να δέχονται συγκεκριμένες αλλαγές.

Το αποτέλεσμα είναι ότι ορισμένες τροποποιήσεις (π.χ. δημιουργία χρήστη, αλλαγές κωδικού πρόσβασης, εγγραφή συσκευής, αλλαγές μελών ομάδας, νέες εγγραφές DNSΑυτά τα σφάλματα δεν αναπαράγονται ποτέ από τον αποκατεστημένο ελεγκτή τομέα στο υπόλοιπο δίκτυο, αλλά τα εργαλεία παρακολούθησης ενδέχεται να μην εμφανίζουν σαφή σφάλματα. Πρόκειται για μια εξαιρετικά επικίνδυνη σιωπηλή βλάβη.

Για την ανίχνευση αυτών των καταστάσεων, τα προγράμματα οδήγησης του Windows Server 2003 SP1 και νεότερες εκδόσεις καταγράφουν Συμβάν Υπηρεσιών Καταλόγου 2095 Όταν εντοπιστεί ένας απομακρυσμένος ελεγκτής τομέα (DC) που στέλνει ήδη αναγνωρισμένους κωδικούς USN χωρίς αλλαγή στο InvocationID, το σύστημα Θέτει σε καραντίνα τον επηρεαζόμενο ελεγκτή τομέα, θέτει σε παύση το Netflix και αποτρέπει την εμφάνιση περαιτέρω αλλαγών. που δεν μπορούσε να αναπαραχθεί σωστά.

Ως πρόσθετα ιατροδικαστικά στοιχεία, μπορεί προς διαβούλευση στο Μητρώο το κλειδί HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters και η τιμή Μη εγγράψιμο DsaΕάν οριστεί αυτή η τιμή (π.χ., 0x4), αυτό υποδεικνύει ότι ο ελεγκτής εναλλασσόμενου ρεύματος τέθηκε σε κατάσταση μη εγγραφής από την ανίχνευση αντιστροφής του USN. Η μη αυτόματη τροποποίηση αυτής της τιμής για "διόρθωση" δεν υποστηρίζεται καθόλου. και αφήνει τη βάση δεδομένων σε μια μόνιμα ασυνεπή κατάσταση.

Γενικές στρατηγικές σε περίπτωση καταστροφής ή επαναφοράς ενός ελεγκτή τομέα

Η διαδικασία που πρέπει να ακολουθήσετε κατά την αντιμετώπιση ενός κατεστραμμένου ή εσφαλμένα αποκατεστημένου ελεγκτή τομέα (DC) εξαρτάται από διάφορους παράγοντες: Αριθμός ελεγκτών τομέα στον τομέα/δάσος, διαθεσιμότητα έγκυρων αντιγράφων της κατάστασης συστήματος, παρουσία άλλων ρόλων (FSMO, CA, καθολικός κατάλογος) και χρονικό εύρος του προβλήματος.

Εάν υπάρχουν άλλα υγιή DCs στον τομέα και Δεν υπάρχουν μοναδικά κρίσιμα δεδομένα στον κατεστραμμένο ελεγκτή τομέαΗ πιο γρήγορη και καθαρή επιλογή είναι συνήθως η κατάργηση αυτού του ελεγκτή τομέα και η ανακατασκευή του. Ωστόσο, εάν είναι ο μόνος ελεγκτής τομέα ή εάν φιλοξενεί ευαίσθητους ρόλους και δεδομένα, θα είναι απαραίτητη μια πιο προσεκτική αποκατάσταση (έγκυρη ή μη έγκυρη).

Σε γενικές γραμμές, οι επιλογές είναι:

• Υποβιβάστε βίαια τον διεφθαρμένο ελεγκτή τομέα και αφαιρέστε τον από τον τομέα, ακολουθούμενο από καθαρισμό μεταδεδομένων και, εάν ισχύει, νέα προώθηση.
• Επαναφορά από έγκυρο αντίγραφο ασφαλείας κατάστασης συστήματος, είτε σε επιτακτική είτε σε μη επιτακτική λειτουργία.
• Ανακατασκευάστε τον ελεγκτή τομέα από έναν άλλο χρησιμοποιώντας το IFM (Εγκατάσταση από μέσο), όταν δεν υπάρχει πρόσφατο αντίγραφο αλλά υπάρχουν άλλοι σωστοί ελεγκτές τομέα.
• Χρησιμοποιώντας ένα στιγμιότυπο VHD ενός εικονικού DC, εφαρμόζοντας τα πρόσθετα βήματα για να επισημάνετε τη βάση δεδομένων ως αποκατεστημένη από αντίγραφο ασφαλείας (Βάση δεδομένων αποκατεστημένη από αντίγραφο ασφαλείας = 1) και να βεβαιωθείτε ότι δημιουργείται ένα νέο InvocationID.

Εάν υπάρχει σαφής υποψία για επαναφορά USN (για παράδειγμα, μετά την επαναφορά μιας εικονικής μηχανής από ένα στιγμιότυπο χωρίς την τήρηση των βέλτιστων πρακτικών) και εμφανιστεί το συμβάν 2095, η πιο λογική πορεία δράσης είναι συνήθως να Αποσυνδέστε αυτόν τον ελεγκτή κυκλώματος (DC) από την υπηρεσία και μην επιχειρήσετε να τον "επισκευάσετε" επιτόπου., εκτός εάν είναι δυνατή η επαναφορά σε αντίγραφο ασφαλείας της υποστηριζόμενης κατάστασης συστήματος που λήφθηκε πριν από την επαναφορά.

Αναγκαστικός υποβιβασμός και καθαρισμός μεταδεδομένων

Όταν ένας ελεγκτής τομέα έχει υποστεί τόσο μεγάλη ζημιά που δεν μπορεί να υποβιβαστεί κανονικά ή έχει αποκατασταθεί εσφαλμένα και θέλετε να αποτρέψετε την εξάπλωση προβλημάτων, μπορείτε να καταφύγετε σε ένα αναγκαστικός υποβιβασμός.

Σε παλαιότερες εκδόσεις, αυτή η λειτουργία εκτελούνταν με dcpromo /forceremoval, τι Καταργήστε τον ρόλο AD DS χωρίς να επιχειρήσετε να αναπαράγετε τις αλλαγές στο υπόλοιπο σύμπλεγμα δομών.Στα σύγχρονα περιβάλλοντα ο οδηγός έχει αλλάξει, αλλά η ιδέα είναι η ίδια: να αφαιρεθεί ο προβληματικός DC από την τοπολογία AD χωρίς να συμμετέχει σε περαιτέρω αναπαραγωγή.

Μετά από μια αναγκαστική υποβάθμιση, είναι υποχρεωτική η εκτέλεση μιας εντολής από έναν εύρυθμο ελεγκτή τομέα. καθαρισμός μεταδεδομένων χρησιμοποιώντας το εργαλείο NtdsutilΑυτή η διαδικασία καταργεί όλες τις αναφορές στον διαγραμμένο DC (αντικείμενα ρυθμίσεων NTDS, αναφορές DNS κ.λπ.) από τη βάση δεδομένων AD, έτσι ώστε δεν υπάρχουν υπολείμματα «φαντασμάτων» που να μπερδεύουν την αναπαραγωγή.

Εάν ο υποβαθμισμένος ελεγκτής είχε ρόλους FSMO (Εξομοιωτής PDC, Κύριος RID, Κύριος Σχήματος, κ.λπ.), θα είναι απαραίτητο να μεταφέρει ή καταλαμβάνει αυτούς τους ρόλους σε άλλον ελεγκτή τομέα (DC) πριν ή μετά τον υποβιβασμό, ανάλογα με την περίπτωση. Αργότερα, το λειτουργικό σύστημα μπορεί να επανεγκατασταθεί σε αυτόν τον διακομιστή και να προαχθεί ξανά σε καθαρό ελεγκτή τομέα (DC).

Μη έγκυρη έναντι έγκυρης αποκατάστασης στην υπηρεσία καταλόγου Active Directory

Όταν είναι διαθέσιμο ένα έγκυρο αντίγραφο της κατάστασης του συστήματος, η ανάκτηση AD μπορεί να γίνει με δύο τρόπους: μη έγκυρος και έγκυροςΗ κατανόηση της διαφοράς είναι το κλειδί για να μην παραβλέψετε πρόσφατες αλλαγές ή να αντιγράψετε παρωχημένα δεδομένα.

Σε μία μη έγκυρη αποκατάστασηΟ DC επιστρέφει σε ένα προηγούμενο σημείο, αλλά μόλις ξεκινήσει, Οι άλλοι ελεγκτές τομέα θεωρούνται η αναφοράΜε άλλα λόγια, μετά την εκκίνηση, ο αποκατεστημένος ελεγκτής τομέα (DC) ζητά εισερχόμενη αναπαραγωγή και ενημερώνει τη βάση δεδομένων του με τυχόν αλλαγές που λείπουν από τους άλλους ελεγκτές τομέα. Αυτή η επιλογή είναι ιδανική όταν Υπάρχουν και άλλοι υγιείς ελεγκτές και θέλουμε ο αποκατεστημένος να τους προλάβει..

Σε μία αυταρχική αποκατάστασηΩστόσο, αναφέρεται ρητά ότι Τα ανακτημένα δεδομένα είναι αυτά που θα έπρεπε να υπερισχύσουν. σε σχέση με αυτά που έχουν οι άλλοι ελεγκτές τομέα. Αυτό σημαίνει ότι, μετά την επαναφορά, τα ανακτημένα αντικείμενα θα έχουν υψηλότερο αριθμό έκδοσης για να αναγκαστούν να αναπαραχθούν από αυτόν τον ελεγκτή τομέα στο υπόλοιπο τομέα. Είναι η κατάλληλη επιλογή όταν Έχουμε διαγράψει κατά λάθος αντικείμενα ή οργανικές μονάδες ή θέλουμε να επαναφέρουμε τα περιεχόμενα του SYSVOL και του GPO σε προηγούμενη κατάσταση και να τα αναπαράγουμε..

Μια σημαντική λεπτομέρεια είναι ότι η αυθεντική αποκατάσταση δεν χρειάζεται απαραίτητα να αφορά ολόκληρη τη βάση δεδομένων. Με το βοηθητικό πρόγραμμα Ntdsutil Μεμονωμένα αντικείμενα, υποδέντρα (π.χ., μια οργανική μονάδα) ή ολόκληρος ο τομέας μπορούν να επισημανθούν ως έγκυρα. Αυτό προσφέρει σημαντική ευελιξία, για παράδειγμα, ανάκτηση μόνο ενός χρήστη, μιας ομάδας, μιας οργανικής μονάδας ή του υποδένδρου dc=mycompany,dc=local.

Γενική διαδικασία για την επαναφορά της κατάστασης του συστήματος σε έναν ελεγκτή τομέα (DC)

Το βασικό σχήμα για την επαναφορά της κατάστασης συστήματος ενός DC (φυσικού ή εικονικού) με συμβατά εργαλεία είναι πάντα παρόμοιο: Εκκινήστε σε λειτουργία επαναφοράς υπηρεσιών καταλόγου (DSRM), επαναφέρετε χρησιμοποιώντας το εργαλείο δημιουργίας αντιγράφων ασφαλείας και επανεκκινήστε.

Συνοπτικά, τα τυπικά βήματα για έναν εικονικό ελεγκτή τομέα θα ήταν:

1. Ξεκινήστε την εικονική μηχανή στο Boot Manager των Windows (συνήθως πατώντας F5/F8 κατά την εκκίνηση). Εάν η εικονική μηχανή διαχειρίζεται από έναν υπερεπόπτη, ενδέχεται να χρειαστεί να θέσετε σε παύση τον υπολογιστή για να καταγραφεί το πάτημα πλήκτρου.
2. Στις επιλογές εκκίνησης για προχωρημένους, επιλέξτε Λειτουργία επαναφοράς υπηρεσιών καταλόγου (Λειτουργία Επαναφοράς Υπηρεσιών Καταλόγου). Αυτή η λειτουργία ξεκινά τον διακομιστή χωρίς να μοντάρει τη βάση δεδομένων Active Directory με λειτουργικό τρόπο.
3. Συνδεθείτε με τον λογαριασμό διαχειριστή DSRM ορίστηκε κατά την αρχική προώθηση του DC (όχι με τυπικό λογαριασμό διαχειριστή τομέα).
4. Εκτελέστε το εργαλείο δημιουργίας αντιγράφων ασφαλείας χρησιμοποιούμενο (Windows Server Backup, NAKIVO ή άλλο συμβατό) και επιλέξτε να επαναφέρετε την κατάσταση του συστήματος στο επιθυμητό σημείο δημιουργίας αντιγράφων ασφαλείας.
5. Ολοκληρώστε τον οδηγό επαναφοράς και Επανεκκινήστε τον ελεγκτή τομέα σε κανονική λειτουργίαΣε μια μη έγκυρη επαναφορά, ο διακομιστής θα ξεκινήσει την αναπαραγωγή για να καλύψει τη διαφορά με τους άλλους ελεγκτές τομέα.

Όταν μιλάμε για προϊόντα δημιουργίας αντιγράφων ασφαλείας τρίτων, όπως π.χ. NAKIVO Backup & ReplicationΗ λειτουργία "app-aware" είναι σε θέση να αναγνωρίσει ότι το μηχάνημα που ανακτάται είναι ένας DC και προσαρμόζει αυτόματα τη διαδικασία για να διατηρήσει τη συνέπεια των διαφημίσεωνΣτα περισσότερα σενάρια με πολλαπλούς ελεγκτές, αρκεί μια πλήρης ανάκτηση σε μη εξουσιοδοτημένη λειτουργία.

Αξιόπιστη αποκατάσταση με το Ntdsutil

Εάν θέλετε οι αλλαγές στον επαναφερμένο ελεγκτή τομέα να έχουν προτεραιότητα έναντι των υπολοίπων, πρέπει να προσθέσετε ένα επιπλέον βήμα μετά την μη εξουσιοδοτημένη επαναφορά: Χρησιμοποιήστε το Ntdsutil για να επισημάνετε αντικείμενα ως έγκυρα.

Η απλοποιημένη ροή θα ήταν:

1. Επαναφέρετε την κατάσταση του συστήματος με τον τυπικό τρόπο και αφήστε τον διακομιστή ακόμα σε Λειτουργία DSRM (Μην κάνετε επανεκκίνηση σε κανονική λειτουργία ακόμα).
2. Ανοιχτό γραμμή εντολών με αυξημένα δικαιώματα και τρέξε ntdsutil.
3. Ενεργοποιήστε την παρουσία AD με ενεργοποιήστε το παράδειγμα ntds.
4. Είσοδος στο πλαίσιο της αυθεντικής αποκατάστασης με έγκυρη επαναφορά.
5. Χρησιμοποιήστε εντολές όπως restore object <DN_objeto> o restore subtree <DN_subarbol>, όπου DN είναι το αποκλειστικό όνομα του αντικειμένου ή του υποδένδρου που θα αποκατασταθεί με επίσημο τρόπο.
6. Επιβεβαιώστε τη συναλλαγή και, μόλις ολοκληρωθεί, Επανεκκινήστε τον ελεγκτή τομέα σε κανονική λειτουργία έτσι ώστε τα επισημασμένα αντικείμενα να αναπαράγονται με προτεραιότητα σε σχέση με το υπόλοιπο πεδίο.

Αυτός ο τύπος αποκατάστασης απαιτεί μεγάλη προσοχή. Εάν ολόκληρος ο τομέας έχει αποκατασταθεί με έγκυρο τρόπο και το αντίγραφο ασφαλείας είναι παλιόΥπάρχει κίνδυνος απώλειας νόμιμων αλλαγών που έγιναν μετά τη δημιουργία αντιγράφων ασφαλείας (για παράδειγμα, δημιουργία χρήστη, αλλαγές κωδικού πρόσβασης ή τροποποιήσεις ομάδας). Επομένως, είναι συνήθης πρακτική να περιορίζονται οι έγκυρες επαναφορές μόνο στα απολύτως απαραίτητα αντικείμενα ή δέντρα.

Αποκατάσταση και ανάκτηση SYSVOL (FRS έναντι DFSR)

Το SYSVOL είναι ένα βασικό στοιχείο του ελεγκτή τομέα: Αποθηκεύει σενάρια εκκίνησης, πολιτικές ομάδας, πρότυπα ασφαλείας και άλλους βασικούς κοινόχρηστους πόρους.Μια αποτυχία στα δικαιώματά σας, η καταστροφή αρχείων ή τα προβλήματα αναπαραγωγής μπορούν να καταστήσουν τα GPO άχρηστα ή να προκαλέσουν ακανόνιστη συμπεριφορά σε υπολογιστές-πελάτες.

Ανάλογα με την έκδοση του Windows Server και την κατάσταση μετεγκατάστασης, το SYSVOL ενδέχεται να αναπαραχθεί από FRS (Υπηρεσία Αναπαραγωγής Αρχείων) γιατί DFSR (Αντιγραφή Κατανεμημένου Συστήματος Αρχείων)Η διαδικασία για μια έγκυρη επαναφορά του SYSVOL ποικίλλει ανάλογα με το ποιο από τα δύο χρησιμοποιείται.

Για να το διαπιστώσετε αυτό, μπορείτε να ελέγξετε το κλειδί στο Μητρώο. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateΕάν αυτό το δευτερεύον κλειδί υπάρχει και η τιμή του είναι 3 (ΔΙΑΓΡΑΦΗΚΕ), χρησιμοποιείται το DFSR. Εάν δεν υπάρχει ή η τιμή του είναι διαφορετική, έχουμε να κάνουμε με ένα περιβάλλον που εξακολουθεί να χρησιμοποιεί FRS.

Σε περιβάλλοντα με FRS, η έγκυρη ανάκτηση του SYSVOL συνήθως περιλαμβάνει την προσαρμογή της τιμής Σημαίες διαρρήξεων en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process σε μια συγκεκριμένη τιμή (π.χ., 212 δεκαδικό / 0xD4 δεκαεξαδικό) για να υποδείξει ότι αυτός ο DC είναι η έγκυρη πηγή.

Εάν το SYSVOL αναπαραχθεί από το DFSR, η διαδικασία είναι κάπως πιο περίπλοκη: περιλαμβάνει τη χρήση ADSIEdit για να τροποποιήσετε αντικείμενα συνδρομής SYSVOL (χαρακτηριστικά Ενεργοποιημένο από msDFSR y msDFSR-Επιλογές) στον έγκυρο DC και στους άλλους, επιβολή αναπαραγωγής AD, εκτέλεση dfsrdiag pollad και επιβεβαιώστε στο αρχείο καταγραφής συμβάντων την εμφάνιση του συμβάντα 4114, 4602, 4614 και 4604 που πιστοποιούν ότι το SYSVOL έχει αρχικοποιηθεί και αναπαραχθεί σωστά.

Ανάκτηση εικονικών ελεγκτών τομέα από VHD

Σε εικονικά περιβάλλοντα είναι πολύ συνηθισμένο να έχουμε Αρχεία VHD/VHDX ελεγκτών τομέαΕάν δεν έχετε αντίγραφο ασφαλείας της κατάστασης συστήματος, αλλά έχετε ένα λειτουργικό "παλιό" VHD, μπορείτε να μοντάρετε έναν νέο ελεγκτή τομέα (DC) από αυτόν τον δίσκο, αν και πρέπει να το κάνετε πολύ προσεκτικά για να αποφύγετε την επαναφορά του USN.

Η σύσταση είναι Μην ξεκινήσετε αυτήν την εικονική μηχανή απευθείας σε κανονική λειτουργίαΑντίθετα, θα πρέπει να εκκινήσετε από το προηγούμενο VHD στο DSRMΑνοίξτε τον Επεξεργαστή Μητρώου και μεταβείτε στο HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersΕκεί, καλό είναι να ελέγξετε την τιμή Αριθμός προηγούμενων αποκαταστάσεων DSA (αν υπάρχει) και, πάνω απ 'όλα, δημιουργήστε μια νέα τιμή DWORD (32-bit) που ονομάζεται Η βάση δεδομένων επαναφέρθηκε από αντίγραφο ασφαλείας με τιμή 1.

Επιλέγοντας αυτήν την τιμή, η Active Directory ενημερώνεται ότι η βάση δεδομένων έχει αποκατασταθεί από ένα αντίγραφο ασφαλείας, γεγονός που επιβάλλει δημιουργία ενός νέου InvocationID κατά την εκκίνηση σε κανονική λειτουργίαΜε αυτόν τον τρόπο, οι άλλοι ελεγκτές τομέα το ερμηνεύουν ως νέα παρουσία και προσαρμόζουν σωστά τα υδατογραφήματα αναπαραγωγής τους, αποτρέποντας την επαναφορά του USN.

Μετά την επανεκκίνηση του DC σε κανονική λειτουργία, συνιστάται να ελέγξετε το Πρόγραμμα προβολής συμβάντων, συγκεκριμένα το αρχείο καταγραφής των Υπηρεσίες καταλόγου, αναζητώντας το εκδήλωση 1109Αυτό το συμβάν επιβεβαιώνει ότι το χαρακτηριστικό InvocationID του διακομιστή έχει αλλάξει και εμφανίζει τόσο τις παλιές όσο και τις νέες τιμές, καθώς και τον υψηλότερο αριθμό USN κατά τη στιγμή της δημιουργίας αντιγράφων ασφαλείας. Επιπλέον, η τιμή του Αριθμός προηγούμενων αποκαταστάσεων DSA Θα έπρεπε να είχε αυξηθεί κατά ένα.

Εάν αυτά τα συμβάντα δεν εμφανίζονται ή ο αριθμός δεν αυξάνεται, θα πρέπει να ελέγξετε τις εκδόσεις του λειτουργικού συστήματος και τα Service Pack, καθώς Ορισμένες συμπεριφορές αποκατάστασης εξαρτώνται από συγκεκριμένα patchesΣε κάθε περίπτωση, συνιστάται πάντα να εργάζεστε σε ένα αντίγραφο του αρχικού VHD, διατηρώντας μια άθικτη έκδοση σε περίπτωση που χρειαστεί να επαναληφθεί η διαδικασία.

Πρακτικά σενάρια και πρόσθετες συστάσεις

Στην πράξη, προβλήματα φθοράς ή ακατάλληλων αποκαταστάσεων εμφανίζονται συχνά σε καθημερινά σενάρια: Μη αυτόματες τροποποιήσεις δικαιωμάτων στο SYSVOL, προσπάθειες ενημέρωσης προτύπων ADMX/ADML, αλλαγές GPO που δεν αναπαράγονταικ.λπ. Είναι σχετικά εύκολο να προκληθούν ασυνέπειες εάν οι κοινόχρηστοι φάκελοι τροποποιηθούν χειροκίνητα, όπως π.χ. SYSVOL\Policies χωρίς να σέβεται την αντιγραφή.

Σε περίπτωση πρωτεύοντος DC με διακοπτόμενη αναπαραγωγή (τόσο δεδομένα AD όσο και SYSVOL) και μηνύματα παρακολούθησης του τύπου "Η βάση δεδομένων αποκαταστάθηκε χρησιμοποιώντας μια μη υποστηριζόμενη διαδικασία. Πιθανή αιτία: Επαναφορά USN«, το συνετό που πρέπει να κάνετε είναι:

• Ελέγξτε με dcdiag y επαναπαύση την έκταση των σφαλμάτων και το εάν υπάρχουν «μόνιμα αντικείμενα».
• Ελέγξτε το συμβάν 2095 και την τιμή Μη εγγράψιμο Dsa στο Μητρώο.
• Αξιολογήστε αν είναι δυνατόν αφαιρέστε αυτόν τον DC και ξαναχτίστε τον (Εάν υπάρχουν τρία ή περισσότερα άλλα υγιή DC, αυτή είναι συνήθως η καλύτερη επιλογή).
• Αν είναι ο μόνος DC ή κριτικός, εγείρετε ένα επαναφορά κατάστασης συστήματος από ένα συμβατό αντίγραφο ασφαλείας, ιδανικά πρόσφατο και εντός της περιόδου που αναφέρεται στην επιτύμβια στήλη.

Σε τομείς με πολλαπλούς ελεγκτές, συνιστάται ιδιαίτερα οι ελεγκτές τομέα (DCs) να είναι όσο το δυνατόν πιο "καθαροί": χωρίς πρόσθετους ρόλους ή τοπικά δεδομένα χρήστηΜε αυτόν τον τρόπο, εάν κάποιο αποτύχει ή καταστραφεί, ένα νέο μπορεί να μορφοποιηθεί και να προωθηθεί με βάση έναν άλλο DC ή μέσω IFM, μειώνοντας σημαντικά την πολυπλοκότητα της ανάκτησης.

Επιπλέον, αξίζει να θυμόμαστε περιορισμούς όπως αυτός Τα αντίγραφα κατάστασης συστήματος είναι έγκυρα μόνο κατά την περίοδο tombstone (60, 90, 180 ημέρες ανάλογα με τη διαμόρφωση) για να αποφευχθεί η αναβίωση διαγραμμένων αντικειμένων και ότι τα κλειδιά του μηχανήματος NTLM αλλάζουν κάθε 7 ημέρες. Σε πολύ παλιές επαναφορές, ενδέχεται να είναι απαραίτητο να επαναφορά λογαριασμών ομάδας προβλήματα από τους "Χρήστες και Υπολογιστές της Active Directory" ή ακόμα και την αφαίρεσή τους και την επανένταξή τους στον τομέα.

Έχοντας θεσπίσει διαδικασίες για την τακτική δημιουργία αντιγράφων ασφαλείας της κατάστασης του συστήματος, Σαφής καταγραφή των ρόλων FSMO, του καθολικού καταλόγου και της τοπολογίας αναπαραγωγήςΚαι η δοκιμή των βημάτων αποκατάστασης σε εργαστηριακό περιβάλλον είναι επενδύσεις χρόνου που γλιτώνουν πολλούς πονοκεφάλους όταν έρθει η μέρα που ένας ελεγκτής τομέα καταστραφεί ή κάποιος εφαρμόσει ένα στιγμιότυπο χωρίς να το σκεφτεί.