Rikutud kohaliku domeenikontrolleri taastamine ja taastamine

Kui domeenikontroller rikutakse või taastatakse valesti, on hirm tohutu: Sisselogimised ebaõnnestuvad, rühmapoliitika objektid lakkavad rakendumast ja replikatsioon lakkab peaaegu ilma vihjeteta toimimast.Hea uudis on see, et füüsilise või virtuaalse domeenikontrolleri taastamiseks on olemas selged protseduurid, eeldusel, et järgitakse aktsepteeritud varundus- ja taastamismeetodeid.

Tänapäevastes Windows Serveri keskkondades nõuab domeenikontrolleri taastamine selliste mõistete head mõistmist nagu süsteemi olek, autoriteetne/mitteautoriteetne taastamine, SYSVOL, DFSR/FRS ja USN tagasipööramisedKui nende probleemidega tegeletakse kiirustades või ühildumatute pilditööriistadega, võib tulemuseks olla mets, mis on täis vaikseid vastuolusid, mida on väga raske diagnoosida.

Miks on oluline domeenikontrollerit korralikult kaitsta ja taastada?

Active Directory on Windowsi domeeni autentimise ja autoriseerimise keskmesSee salvestab kasutajaid, arvuteid, rühmi, usaldussuhteid, rühmapoliitikaid, sertifikaate ja muid olulisi elemente. See teave asub peamiselt andmebaasis. Ntds.dit, seotud logifailid ja kaust SYSVOL, muude komponentide hulgas, mis moodustavad nn süsteemi oleku.

Süsteemi olek hõlmab muuhulgas järgmist: Active Directory logifailid ja andmed, Windowsi register, süsteemidraiv, SYSVOL, sertifikaatide andmebaas (kui on olemas sertimisasutus), IIS-i metabaas, alglaadimisfailid ja kaitstud operatsioonisüsteemi komponendidSeetõttu peab iga tõsine äritegevuse järjepidevuse strateegia hõlmama iga andmekeskuse süsteemi oleku regulaarseid varukoopiaid.

Kui Active Directory andmebaas tegelikult rikneb, tekib tõsine replikatsioonitõrge või probleem õigused sisse lülitatud SYSVOLDomeenikontroller võib peatada päringute töötlemise, nurjuda Active Directory teenuste käivitamisega või käivitada metsas kaskaadseid vigu. Sellistel juhtudel Kiire ja nõuetekohane taastumine teeb vahet tõsise intsidendi ja pikaajalise katastroofi vahel..

Enne taastamise proovimist on oluline eristada tõelist andmebaasiprobleemi tavalisematest tõrgetest. Väga sageli Põhjus peitub DNS-is, võrgumuudatustes, tulemüürides või selliste tööriistadega muudetud marsruutides nagu netsh käskSeetõttu on enne AD-andmebaasi puudutamist soovitatav need tegurid välistada.

Põhilised diagnostika- ja replikatsioonikontrolli tööriistad

Korruptsiooni või replikatsioonivigade sümptomite korral on esimene mõistlik samm keskkonna oleku kontrollimine natiivsete tööriistade abil. DCDiag, Repadmin, ReplMon (vanemates versioonides) ja sündmustevaatur Nad on teie parimad liitlased enne agressiivsete restaureerimiste kaalumist.

koos DCDiag Tehakse kõigi domeenikontrollerite üldine kontroll, tuvastades probleeme replikatsiooni, DNS-i, AD DS-teenuste jms-ga. Repadmin See võimaldab teil vaadata replikatsiooni olekut, replikatsioonipartnereid, USN-vesimärke ja tuvastada püsivaid objekte. Windowsi vanemates versioonides ReplMon See pakkus domeeni replikatsioonivigade graafilist vaadet.

Lisaks neile tööriistadele on oluline üle vaadata ka sündmustevaatur „Kataloogiteenuste” ja „DFS-i replikatsiooni” jaoks. Sündmused nagu 467 ja 1018 viitavad andmebaasi tegelikule rikkumisele, samas kui sündmused 1113/1115/1114/1116 on seotud sisend-/väljundreplikatsiooni lubamise või keelamisega.

Kui kahtlustatav domeeninimi tuleb ajutiselt isoleerida, et takistada korruptsiooni levikut, saame seda teha Sissetuleva ja väljamineva replikatsiooni keelamine Repadminiga:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Ja replikatsiooni normaalseks taastamiseks eemaldage lihtsalt need valikud:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Toetatud süsteemi oleku varukoopiad domeenikontrollerites

Selleks, et DC-d tagatistega taastada, on oluline omada Süsteemi oleku varundamine Active Directory-ga ühilduvate tööriistade abilNeed tööriistad kasutavad Microsofti varundamise ja taastamise API-sid ning Volume Shadow Copy teenust (VSS) toetatud viisil.

Kõige levinumate lahenduste hulka kuuluvad Windows Server Backup, VSS-iga integreeritud kolmanda osapoole lahendused (nt NAKIVO, Backup Exec ja teised)või vanemad kommunaalteenused, näiteks Ntbackup Windows 2000/2003-s. Igal juhul peavad nad järgima AD API-sid, et tagada andmebaasi ja selle koopiate järjepidevus pärast taastamist.

Windows Server 2012 ja uuemad versioonid sisaldavad olulist uut täiendust: Hyper-V põlvkonna ID (GenID)See identifikaator võimaldab virtuaalsel domeenikontrolleril tuvastada, et selle ketas on tagasi varasemasse ajahetke keritud. Sellisel juhul AD DS genereerib uue InvocationID ja käsitleb olukorda nii, nagu oleks see taastatud edukast varukoopiast.teavitades oma replikatsioonipartnereid, võimaldades seega turvalist ümberkirjutamist ilma USN-i tagasipööramiseta.

On oluline austada hauakivi eluigaSee näitab, kui kaua saab süsteemi oleku varukoopiat kasutada ilma ammu kustutatud objektide taaskehtestamise riskita. Tänapäevastes versioonides on see tavaliselt 180 päeva ja piisava ohutusvaru säilitamiseks on soovitatav teha varukoopiaid vähemalt iga 90 päeva tagant.

Volitamata meetodid, mis põhjustavad USN-i tühistamisi

Üks ohtlikumaid Active Directory vaiksete vastuolude põhjuseid on USN-i tagasipööramineSee olukord tekib siis, kui AD-andmebaasi sisu tühistatakse toetuseta tehnika abil, ilma et InvocationID taastataks või replikatsioonipartnereid teavitataks.

Tüüpiline stsenaarium on alalisvooluadapteri käivitamine ketta pilt või virtuaalmasina hetktõmmis, mis on varem tehtudilma ühilduvat süsteemi taastamist kasutamata. Või kopeerige Ntds.dit fail otse, kasutage pildindusprogramme nagu Ghost, käivitage katkise ketta peeglilt või rakendage salvestusruumi hetktõmmis uuesti massiivi tasandil.

Sellistel juhtudel kasutab domeenikontroller jätkuvalt sama InvocationID-d kui varem, kuid selle Kohalik USN-loendur töötab tagurpidiTeised domeenikontrollerid mäletavad muudatuste vastuvõtmist kuni kõrge USN-ni, seega kui tagasipööratud domeenikontroller proovib juba tuvastatud USN-e tagasi saata, Nende partnerid usuvad, et nad on kursis ja ei aktsepteeri enam konkreetseid muudatusi..

Tulemuseks on teatud modifikatsioonid (näiteks Kasutaja loomine, parooli muutmine, seadme registreerimine, grupi liikmelisuse muutmine, uued DNS-kirjedNeid vigu ei replikeerita kunagi taastatud alalisvoolukontrollerilt ülejäänud võrku, kuid jälgimistööriistad ei pruugi selgeid vigu kuvada. See on äärmiselt ohtlik vaikne tõrge.

Nende olukordade tuvastamiseks logivad Windows Server 2003 SP1 ja uuemad draiverid Kataloogiteenuste sündmus 2095 Kui tuvastatakse kaug-domeenikontroller, mis saadab juba kinnitatud USN-e ilma InvocationID-d muutmata, siis süsteem See paneb mõjutatud domeenikontrolleri karantiini, peatab Netlogoni ja takistab edasiste muudatuste tegemist. mida ei saanud õigesti korrata.

Täiendava kohtuekspertiisi tõendina saab seda tutvumiseks registris võti HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameetrid ja väärtus DSA pole kirjutatavKui see väärtus on seatud (nt 0x4), näitab see, et alalisvooluadapter pandi USN-i tagasipööramise tuvastamise tõttu kirjutamiskeeldu olekusse. Selle väärtuse käsitsi muutmine vea "parandamiseks" on täiesti toetamata. ja jätab andmebaasi püsivalt vastuolulisse olekusse.

Domeenikontrolleri rikkumise või tagasipöördumise korral rakendatavad üldised strateegiad

Rikutud või valesti taastatud domeenikontrolleriga tegelemisel järgitav protseduur sõltub mitmest tegurist: Domeenikontrollerite arv domeenis/metsas, süsteemi oleku kehtivate koopiate kättesaadavus, muude rollide (FSMO, CA, globaalne kataloog) olemasolu ja probleemi ajaline ulatus..

Kui domeenis on ka teisi terveid domeenikontrollereid ja Kahjustatud domeenikontrolleril puuduvad unikaalsed kriitilised andmed.Kiireim ja puhtaim variant on tavaliselt domeenikontrolleri eemaldamine ja uuesti loomine. Kui see on aga ainus domeenikontroller või kui see majutab tundlikke rolle ja andmeid, on vaja hoolikamat taastamist (autoriteetne või mitteautoriteetne).

Üldiselt on valikud järgmised:

• Jõuga alandada korrumpeerunud domeenikontrollerit ja eemaldada see domeenist, millele järgneb metaandmete puhastamine ja vajadusel uus reklaamimine.
• Kehtivast süsteemi oleku varukoopiast taastamine, olgu siis autoriteetsel või mitteautoritaarsel viisil.
• DC uuestiehitamine teisest, kasutades IFM-i (install From Media), kui uuemat koopiat pole, aga on teisi õigeid domeenikontrollereid.
• Virtuaalse domeenikontrolleri VHD hetktõmmise kasutamine, rakendades täiendavaid samme andmebaasi varukoopiast taastatuks märkimiseks (andmebaas taastatud varukoopiast = 1) ja tagades uue InvocationID genereerimise.

Kui USN-i tagasipööramist kahtlustatakse selgelt (näiteks pärast virtuaalmasina taastamist hetktõmmisest parimaid tavasid järgimata) ja ilmub sündmus 2095, on kõige mõistlikum toimimisviis tavaliselt järgmine: Eemaldage see alalisvooluadapter teenindusest ja ärge proovige seda kohapeal "parandada"., välja arvatud juhul, kui on võimalik naasta toetatud süsteemi oleku varukoopiale, mis tehti enne tagasipööramist.

Sundmadaldamine ja metaandmete puhastamine

Kui domeenikontroller on nii kahjustatud, et seda ei saa tavapäraselt alandada või see on valesti taastatud ja soovite vältida probleemide levikut, võite pöörduda a poole sunniviisiline alandamine.

Vanemates versioonides tehti seda toimingut dcpromo /forceremoval, mida Eemaldage AD DS-i roll ilma muudatusi ülejäänud metsa kopeerimata.Tänapäevastes keskkondades on viisard muutunud, kuid kontseptsioon on sama: eemaldada problemaatiline domeenikontroller AD topoloogiast ilma, et see edasises replikatsioonis osaleks.

Pärast sunnitud madalamale versioonile üleminekut on kohustuslik käivitada käsk tervest domeenikontrollerilt. metaandmete puhastamine tööriista kasutamine NtdsutilSee protsess eemaldab AD andmebaasist kõik viited kustutatud domeenikontrollerile (NTDS-i sätete objektid, DNS-i viited jne), nii et replikatsiooni segadusse ajavaid "kummitusjääke" ei jää.

Kui halvenenud kontrolleril olid FSMO rollid (PDC emulaator, RID Master, skeemimeister jne), on vaja need rollid üle annab või haarab teise domeenikontrollerisse enne või pärast madalamale tasemele viimist, olenevalt olukorrast. Hiljem saab operatsioonisüsteemi sellele serverile uuesti installida ja selle saab tagasi puhtaks domeenikontrolleriks ülendada.

Mitteautoriteetne vs. autoriteetne taastamine Active Directorys

Kui süsteemi oleku kehtiv koopia on saadaval, saab AD taastada kahel viisil: mitteautoriteetne ja autoriteetneErinevuse mõistmine on oluline, et mitte kahe silma vahele jätta hiljutisi muudatusi ega kopeerida aegunud andmeid.

Ühes mitteautoriteetne taastamineDC naaseb eelmisesse punkti, aga kui see algab, Teisi domeenikontrollereid peetakse viiteksTeisisõnu, pärast käivitamist taotleb taastatud domeenikontroller sissetulevat replikatsiooni ja värskendab oma andmebaasi teiste domeenikontrollerite puuduvate muudatustega. See valik on ideaalne, kui On ka teisi terveid kontrollereid ja me tahame, et taastatud kontroller neile järele jõuaks..

Ühes autoritaarne restauratsioonSiiski on otsesõnu öeldud, et Taastatud andmed peaksid jääma kehtima. võrreldes sellega, mis teistel domeenikontrolleritel on. See tähendab, et pärast taastamist on taastatud objektidel kõrgem versiooninumber, mis sunnib neid sellest domeenikontrollerilt ülejäänud domeeni replikeerima. See on sobiv valik, kui Oleme kogemata objekte või OU-sid kustutanud või tahame SYSVOL-i ja GPO sisu taastada eelmisesse olekusse ja lasta see replikeerida..

Oluline detail on see, et autoriteetne taastamine ei pea tingimata kehtima kogu andmebaasi jaoks. Utiliidi abil Ntdsutil Autoriteetseks saab märkida üksikuid objekte, alampuid (nt OU) või kogu domeeni. See pakub märkimisväärset paindlikkust näiteks järgmistel juhtudel: tooge ainult kasutaja, rühm, OU või alampuu dc=mycompany,dc=local.

Süsteemi oleku taastamise üldine protseduur alalisvoolukontrolleris

Ühilduvate tööriistadega alalisvoolukontrolleri (füüsilise või virtuaalse) süsteemi oleku taastamise põhiskeem on alati sarnane: Käivitage kataloogiteenuste taasterežiimis (DSRM), taastage varundustööriista abil ja taaskäivitage.

Kokkuvõttes oleksid virtuaalse domeenikontrolleri tüüpilised sammud järgmised:

1. Käivitage virtuaalmasin Windowsi käivitushalduris (tavaliselt vajutades käivitamise ajal F5/F8). ​​Kui virtuaalmasinat haldab hüperviisor, võib klahvivajutuse jäädvustamiseks olla vajalik masin peatada.
2. Täpsemates käivitusvalikutes valige Kataloogiteenuste taastamisrežiim (Kataloogiteenuste taasterežiim). See režiim käivitab serveri ilma Active Directory andmebaasi funktsionaalselt ühendamata.
3. Logige sisse DSRM-i administraatori kontoga määratletud domeenikontrolleri algse reklaamimise ajal (mitte tavalise domeeniadministraatori kontoga).
4. Käivita varundustööriist kasutatud (Windows Server Backup, NAKIVO või muu ühilduv) ja valige süsteemi oleku taastamine soovitud varunduspunkti.
5. Täitke taastamisviisard ja Taaskäivitage alalisvooluadapter tavarežiimisMitteautoriteetse taastamise korral algatab server replikatsiooni, et teistele domeenikontrolleritele järele jõuda.

Kui me räägime kolmandate osapoolte varundustoodetest, näiteks NAKIVO varundamine ja paljundamineSelle "rakendusteadlik" režiim suudab tuvastada, et taastatav masin on alalisvooluadapter ja kohandab protsessi automaatselt AD järjepidevuse säilitamiseksEnamikus mitme kontrolleriga stsenaariumides piisab täielikust taastamisest mitteautoritaarses režiimis.

Autoriteetne taastamine Ntdsutil'iga

Kui soovite, et taastatud domeenikontrolleri muudatused oleksid ülejäänute suhtes ülimuslikud, peate pärast mitteautoriteetset taastamist lisama täiendava sammu: Kasutage Ntdsutil'i objektide autoriteetseks märkimiseks.

Lihtsustatud töövoog oleks järgmine:

1. Taasta süsteemi olek standardsel viisil ja jäta server sisse DSRM-režiim (Ära veel tavarežiimis taaskäivita).
2. Avage käsuviip kõrgendatud õigustega ja jookse ntdsutil.
3. Aktiveeri AD eksemplar koos aktiveeri eksemplari ntds.
4. Autoritaarse restaureerimise konteksti sisenemine koos autoriteetne taastamine.
5. Kasutage selliseid käske nagu restore object <DN_objeto> o restore subtree <DN_subarbol>, kus DN on autoriteetselt taastatava objekti või alampuu eraldusnimi.
6. Kinnitage tehing ja kui see on lõpule viidud, Taaskäivitage alalisvooluadapter tavarežiimis nii et märgitud objektid replikeeritakse prioriteetselt ülejäänud domeeni suhtes.

Selline restaureerimistöö nõuab suurt ettevaatust. Kui kogu domeen on autoriteetselt taastatud ja varukoopia on vanaPärast varundamist tehtud legitiimsed muudatused (näiteks kasutaja loomine, parooli muutmine või grupi muutmine) võivad kaduma minna. Seetõttu on tavaks piirata autoriteetset taastamist ainult hädavajalike objektide või puudega.

SYSVOL taastamine ja taastamine (FRS vs DFSR)

SYSVOL on domeenikontrolleri põhikomponent: See salvestab käivitusskripte, grupipoliitikaid, turvamalle ja muid olulisi jagatud ressursse.Õiguste rikkumine, failide korruptsioon või replikatsiooniprobleemid võivad muuta rühmapoliitika objektid kasutuskõlbmatuks või põhjustada klientides ebakindlat käitumist.

Sõltuvalt Windows Serveri versioonist ja migreerimise olekust võib SYSVOL-i replikeerida FRS (failide replikatsiooniteenus) miks DFSR (hajutatud failisüsteemi replikatsioon)SYSVOL-i autoriteetse taastamise protseduur varieerub olenevalt sellest, kumb kahest on kasutusel.

Selle kindlakstegemiseks saate kontrollida registris olevat võtit. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Sysvolsi migreerimine\LocalStateKui see alamvõti on olemas ja selle väärtus on 3 (KUSTUTATUD), kasutatakse DFSR-i. Kui seda pole olemas või selle väärtus on erinev, on tegemist keskkonnaga, mis endiselt FRS-i kasutab.

FRS-iga keskkondades hõlmab SYSVOL-i autoriteetne taastamine tavaliselt väärtuse kohandamist. Burflagsid en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process kindlale väärtusele (nt 212 kümnendsüsteemis / 0xD4 kuueteistkümnendsüsteemis), et näidata, et see alalisvoolukontroll on autoriteetne allikas.

Kui SYSVOL-i replikeeritakse DFSR-i abil, on protsess mõnevõrra keerukam: see hõlmab järgmist: ADSIEdi muutmine SYSVOL tellimusobjektide (atribuudid) muutmiseks msDFSR-lubatud y msDFSR-i valikud) autoriteetsel DC-l ja teistel, sundige AD replikatsiooni, käivitage dfsrdiag pollad ja kinnitage sündmuste logis selle ilmumist sündmused 4114, 4602, 4614 ja 4604 mis kinnitavad, et SYSVOL on õigesti initsialiseeritud ja replikeeritud.

Virtuaalsete domeenikontrollerite taastamine VHD-lt

Virtualiseeritud keskkondades on väga tavaline, et Domeenikontrollerite VHD/VHDX-failidKui sul pole süsteemi oleku varukoopiat, aga sul on toimiv "vana" VHD, saad sellelt kettalt uue domeenikontrolleri paigaldada, kuigi pead seda tegema väga ettevaatlikult, et vältida USN-i tagasipööramist.

Soovitus on Ärge käivitage seda virtuaalmasinat otse tavarežiimis.Selle asemel peaksite käivitama eelmisest VHD-st DSRMAvage registriredaktor ja navigeerige aadressile HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersSeal on soovitatav väärtust kontrollida. Varasemate DSA taastamiste arv (kui see on olemas) ja ennekõike looge uus DWORD-väärtus (32-bitine) nimega Andmebaas taastatud varukoopiast väärtusega 1.

Selle väärtuse valimisel teavitatakse Active Directoryt, et andmebaas on varukoopiast taastatud, mis sunnib uue InvocationID genereerimine tavarežiimis käivitamiselSel viisil tõlgendavad teised domeenikontrollerid seda uue eksemplarina ja kohandavad õigesti oma replikatsiooni vesimärke, takistades USN-i tagasipööramist.

Pärast DC taaskäivitamist tavarežiimis on soovitatav kontrollida sündmustevaaturit, täpsemalt sündmuste logi. Kataloogiteenused, otsides üritus 1109See sündmus kinnitab, et serveri InvocationID atribuut on muutunud ja kuvab vana ja uue väärtuse, samuti varundamise ajal kehtinud kõrgeima USN-i. Lisaks on atribuudi väärtus Varasemate DSA taastamiste arv Seda oleks pidanud ühe võrra suurendama.

Kui neid sündmusi ei kuvata või arv ei suurene, peaksite kontrollima operatsioonisüsteemi versioone ja hoolduspakette, kuna Teatud taastamiskäitumine sõltub konkreetsetest paikadestIgal juhul on alati soovitatav töötada originaalse VHD koopia kallal, säilitades tervikliku versiooni juhuks, kui protsessi on vaja korrata.

Praktilised stsenaariumid ja lisasoovitused

Praktikas ilmnevad korruptsiooni või ebaõige restaureerimise probleemid sageli igapäevastes olukordades: SYSVOL-i õiguste käsitsi muutmine, katsed värskendada ADMX/ADML-malle, rühmapoliitika objekti muudatused, mida ei kopeeritajne. Jagatud kaustade käsitsi muutmisel, näiteks SYSVOL\Policies replikatsiooni austamata.

Juhul kui primaarse domeenikontrolleri replikatsioon on vigane (nii AD-andmed kui ka SYSVOL) ja jälgimissõnumid on tüüpi „Andmebaas taastati mittetoetatud protseduuri abil. Võimalik põhjus: USN-i tagasipööramine", on kõige mõistlikum teha järgmist:

• Kontrollige dcdiag y repadmin vigade ulatus ja kas esineb „püsivaid objekte”.
• Kontrollige sündmust 2095 ja selle väärtust DSA pole kirjutatav registris.
• Hinnake, kas see on võimalik eemalda see alalisvool ja ehita uuesti üles (Kui on kolm või enam teist tervet DC-d, on see tavaliselt parim valik).
• Kui see on ainus DC või kriitik, siis tõstatage süsteemi oleku taastamine ühilduvast varukoopiast, ideaalis hiljutisest ja hauakivi perioodi piires olevast.

Mitme kontrolleriga domeenides on tungivalt soovitatav, et domeenikontrollerid oleksid võimalikult "puhtad": ilma täiendavate rollide või kohalike kasutajaandmetetaSel viisil saab ühe rikke või rikkumise korral uue vormindada ja edutada teise domeenikontrolleri või IFM-i abil, vähendades oluliselt taastamise keerukust.

Lisaks tasub meeles pidada piiranguid, näiteks Süsteemi oleku koopiad kehtivad ainult hauakivi perioodil (60, 90, 180 päeva, olenevalt konfiguratsioonist), et vältida kustutatud objektide taaselustamist, ja et NTLM-masinavõtmed muutuvad iga 7 päeva tagant. Väga vanade taastamiste korral võib olla vajalik meeskonna kontode lähtestamine probleeme kaustast „Active Directory kasutajad ja arvutid” või isegi nende eemaldamist ja domeeniga uuesti ühendamist.

Süsteemi oleku regulaarseks varundamiseks protseduuride olemasolu, Dokumenteerige selgelt FSMO rollid, globaalne kataloog ja replikatsiooni topoloogiaJa taastamissammude testimine laborikeskkonnas on ajainvesteering, mis säästab palju peavalu, kui saabub päev, mil domeenikontroller rikutakse või keegi rakendab mõtlematult hetktõmmise.