Obnavljanje i oporavak oštećenog lokalnog kontrolera domene

Kada se kontroler domene ošteti ili se neispravno obnovi, strah je ogroman: Prijave ne uspijevaju, GPO-i se prestaju primjenjivati, a replikacija se prekida gotovo bez ikakvih tragova.Dobra je vijest da postoje jasni postupci za oporavak fizičkog ili virtualnog DC-a, pod uvjetom da se poštuju prihvaćene metode sigurnosnog kopiranja i vraćanja.

U modernim okruženjima Windows Servera, vraćanje kontrolera domene zahtijeva dobro razumijevanje koncepata kao što su status sustava, autoritativno/neautoritativno vraćanje, vraćanje SYSVOL-a, DFSR/FRS-a i USN-aAko se ovi problemi rješavaju na brzinu ili nekompatibilnim alatima za snimanje, rezultat može biti šuma puna tihih nedosljednosti koje je vrlo teško dijagnosticirati.

Zašto je ključno pravilno zaštititi i oporaviti kontroler domene

Active Directory je srž autentifikacije i autorizacije u Windows domeniPohranjuje korisnike, računala, grupe, odnose povjerenja, grupne politike, certifikate i druge ključne elemente. Ove se informacije prvenstveno nalaze u bazi podataka. Ntds.dit, povezane datoteke zapisnika i mapa SYSVOL, među ostalim komponentama koje čine takozvano „stanje sustava“.

Status sustava uključuje, između ostalog, Datoteke i podaci zapisnika Active Directoryja, Windows registar, sistemski volumen, SYSVOL, baza podataka certifikata (ako postoji CA), IIS metabaza, datoteke za pokretanje i zaštićene komponente operacijskog sustavaStoga svaka ozbiljna strategija kontinuiteta poslovanja mora uključivati ​​redovite sigurnosne kopije stanja sustava svakog podatkovnog centra.

Kada dođe do stvarnog oštećenja baze podataka Active Directoryja, ozbiljnog kvara replikacije ili problema s dopuštenja uključena SYSVOLKontroler domene može prestati obrađivati ​​upite, ne pokrenuti usluge Active Directoryja ili izazvati kaskadne pogreške u cijeloj šumi. U tim slučajevima, Brz i pravilan oporavak čini razliku između ozbiljnog incidenta i dugotrajne katastrofe..

Prije pokušaja vraćanja, ključno je razlikovati stvarni problem s bazom podataka od uobičajenijih kvarova. Vrlo često, Uzrok leži u DNS-u, promjenama mreže, vatrozidima ili rutama modificiranim alatima kao što su naredba netshStoga je preporučljivo prvo isključiti ove čimbenike prije nego što se dotaknete AD baze podataka.

Osnovni dijagnostički i alati za kontrolu replikacije

U slučaju simptoma korupcije ili neuspjeha replikacije, prvi razuman korak je provjeriti stanje okruženja pomoću izvornih alata. DCDiag, Repadmin, ReplMon (u starijim verzijama) i Preglednik događaja Oni su vaši najbolji saveznici prije nego što razmislite o agresivnim restauracijama.

s DCdijag Izvodi se opća provjera svih kontrolera domene, identificirajući probleme s replikacijom, DNS-om, AD DS uslugama itd. Repadmin Omogućuje vam pregled statusa replikacije, partnera za replikaciju, USN vodenih žigova i otkrivanje trajnih objekata. U starijim verzijama sustava Windows, ReplMon Nudio je grafički prikaz grešaka replikacije unutar domene.

Uz ove alate, bitno je pregledati Preglednik događaja za "Usluge direktorija" i "Replikaciju DFS-a". Događaji poput 467 i 1018 ukazuju na stvarnu korupciju baze podataka, dok se događaji 1113/1115/1114/1116 odnose na omogućavanje ili onemogućavanje replikacije ulaza/izlaza.

Ako je potrebno privremeno izolirati sumnjivi DC kako bismo spriječili širenje korupcije, možemo Onemogućite dolaznu i odlaznu replikaciju pomoću Repadmina:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

A da biste vratili replikaciju u normalu, jednostavno uklonite te opcije:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Podržane sigurnosne kopije stanja sustava na kontrolerima domene

Da biste mogli oporaviti DC s jamstvima, bitno je imati Sigurnosne kopije stanja sustava izrađene pomoću alata kompatibilnih s Active DirectoryjemOvi alati koriste Microsoftove API-je za sigurnosno kopiranje i vraćanje i uslugu Volume Shadow Copy (VSS) na podržani način.

Među najčešćim rješenjima su Sigurnosna kopija sustava Windows Server, rješenja trećih strana integrirana s VSS-om (kao što su NAKIVO, Backup Exec i drugi)ili starije uslužne programe kao što su Ntbackup u sustavu Windows 2000/2003. U svim slučajevima moraju poštivati ​​AD API-je kako bi se osigurala konzistentnost baze podataka i njezinih replika nakon vraćanja u prvobitno stanje.

Windows Server 2012 i novije verzije imaju važan novi dodatak: Hyper-V ID generacije (GenID)Ovaj identifikator omogućuje virtualnom kontroleru domene da otkrije da je njegov disk vraćen na prethodnu vremensku točku. Kada se to dogodi, AD DS generira novi InvocationID i tretira situaciju kao da je vraćena iz uspješne sigurnosne kopije.obavještavajući svoje partnere za replikaciju, omogućujući tako sigurno prepisivanje bez vraćanja USN-a.

Bitno je poštovati životni vijek nadgrobnog spomenikaOvo označava koliko dugo se sigurnosna kopija stanja sustava može koristiti bez rizika ponovnog uvođenja davno izbrisanih objekata. U modernim verzijama to je obično 180 dana, a preporučuje se izrada sigurnosnih kopija barem svakih 90 dana kako bi se održala dovoljna sigurnosna margina.

Neovlaštene metode koje uzrokuju poništenje USN-a

Jedan od najopasnijih uzroka tihih nedosljednosti u Active Directoryju je Povlačenje USN-aDo ove situacije dolazi kada se sadržaj AD baze podataka vrati unatrag pomoću nepodržane tehnike, bez vraćanja InvocationID-a ili obavještavanja partnera za replikaciju.

Tipičan scenarij je pokretanje DC-a s slika diska ili snimku virtualnog stroja snimljenu u prošlostibez korištenja kompatibilnog programa za vraćanje sustava. Ili izravno kopirajte datoteku Ntds.dit, koristite programe za izradu slika poput Ghost-a, pokrenite sustav s neispravnog zrcala diska ili ponovno primijenite snimku pohrane na razini polja.

U tim slučajevima, kontroler domene nastavlja koristiti isti InvocationID kao i prije, ali njegov Lokalni USN brojač ide unatragOstali DC-ovi pamte primanje promjena do visokog USN-a, pa kada vraćeni DC pokuša poslati natrag već prepoznate USN-ove, Njihovi partneri vjeruju da su u tijeku s novostima i prestaju prihvaćati konkretne promjene..

Rezultat je da određene modifikacije (npr. stvaranje korisnika, promjene lozinke, registracija uređaja, promjene članstva u grupi, novi DNS zapisiOve se pogreške nikada ne repliciraju s obnovljenog DC-a na ostatak mreže, ali alati za nadzor možda neće pokazati jasne pogreške. Ovo je izuzetno opasan tihi kvar.

Kako bi otkrili ove situacije, upravljački programi za Windows Server 2003 SP1 i novije verzije zapisuju Događaj usluga direktorija 2095 Kada se otkrije da udaljeni DC šalje već potvrđene USN-ove bez promjene u InvocationID-u, sustav Stavlja pogođeni DC u karantenu, pauzira Netlogon i sprječava daljnje promjene. koji se nije mogao ispravno replicirati.

Kao dodatni forenzički dokaz, može za konzultacije u Registru ključ HKLM\SUSTAV\CurrentControlSet\Servisi\NTDS\Parametri i vrijednost DSA nije moguće pisatiAko je ova vrijednost postavljena (npr. 0x4), to znači da je DC stavljen u stanje bez pisanja detekcijom obrnutog USN-a. Ručno mijenjanje ove vrijednosti radi "popravljanja" je potpuno nepodržano. i ostavlja bazu podataka u trajno nekonzistentnom stanju.

Opće strategije u slučaju oštećenja ili vraćanja kontrolera domene na prethodno stanje

Postupak koji treba slijediti prilikom rješavanja problema s oštećenim ili neispravno obnovljenim DC-om ovisi o nekoliko čimbenika: Broj kontrolera domene u domeni/šumi, dostupnost valjanih kopija stanja sustava, prisutnost drugih uloga (FSMO, CA, globalni katalog) i vremenski opseg problema.

Ako postoje drugi zdravi DC-ovi u domeni i Nema jedinstvenih kritičnih podataka o oštećenom kontroleru domeneNajbrža i najčišća opcija obično je ukloniti taj kontroler domene i ponovno ga izgraditi. Međutim, ako je to jedini kontroler domene ili ako sadrži osjetljive uloge i podatke, bit će potrebna pažljivija restauracija (autoritativna ili neautoritativna).

Općenito govoreći, opcije su:

• Prisilno degradirajte oštećeni DC i uklonite ga iz domene, nakon čega slijedi čišćenje metapodataka i, ako je primjenjivo, nova promocija.
• Vraćanje iz valjane sigurnosne kopije stanja sustava, bilo u autoritativnom ili neautoritativnom načinu rada.
• Ponovno izgradite DC s drugog pomoću IFM-a (Instalacija s medija), kada nema nedavne kopije, ali postoje drugi ispravni DC-ovi.
• Korištenje VHD snimke virtualnog DC-a, primjenjujući dodatne korake za označavanje baze podataka kao obnovljene iz sigurnosne kopije (Baza podataka obnovljena iz sigurnosne kopije = 1) i osiguravajući generiranje novog InvocationID-a.

Ako postoji jasna sumnja na vraćanje USN-a (na primjer, nakon vraćanja virtualnog stroja sa snimke stanja bez pridržavanja najboljih praksi) i pojavi se događaj 2095, najrazumniji postupak obično je Uklonite taj DC iz upotrebe i ne pokušavajte ga "popraviti" na licu mjesta., osim ako je moguće vratiti se na sigurnosnu kopiju podržanog stanja sustava snimljenu prije vraćanja.

Prisilno snižavanje ranga i čišćenje metapodataka

Kada je kontroler domene toliko oštećen da se ne može normalno degradirati ili je nepravilno vraćen u prethodno stanje i želite spriječiti širenje problema, možete pribjeći prisilno snižavanje.

U starijim verzijama, ova operacija se izvodila s dcpromo /prisilno uklanjanje, što Uklonite ulogu AD DS-a bez pokušaja repliciranja promjena na ostatak šume.U modernim okruženjima čarobnjak se promijenio, ali koncept je isti: ukloniti problematični DC iz AD topologije bez njegovog sudjelovanja u daljnjoj replikaciji.

Nakon prisilnog snižavanja verzije, obavezno je izvršiti naredbu s ispravnog DC-a. čišćenje metapodataka pomoću alata NtdsutilOvaj proces uklanja sve reference na izbrisani DC (objekti NTDS postavki, DNS reference itd.) iz AD baze podataka, tako da ne ostaju nikakvi "fantomski" ostaci koji bi zbunili replikaciju.

Ako je degradirani kontroler imao FSMO uloge (PDC emulator, RID Master, Schema Master itd.), bit će potrebno prenosi ili preuzima te uloge na drugi DC prije ili nakon degradacije, ovisno o situaciji. Kasnije se operativni sustav može ponovno instalirati na tom poslužitelju i može se vratiti na čisti DC.

Neautoritativna vs. autoritativna obnova u Active Directoryju

Kada je dostupna valjana kopija stanja sustava, oporavak AD-a može se izvršiti na dva načina: neautoritativni i autoritativniRazumijevanje razlike ključno je kako se ne bi propustile nedavne promjene ili replicirali zastarjeli podaci.

U jednoj neautoritativna restauracijaDC se vraća na prethodnu točku, ali nakon što se pokrene, Ostali kontroleri domene smatraju se referencomDrugim riječima, nakon pokretanja, obnovljeni DC zahtijeva dolaznu replikaciju i ažurira svoju bazu podataka svim nedostajućim promjenama iz ostalih DC-ova. Ova je opcija idealna kada Postoje i drugi zdravi kontroleri, i želimo da ih onaj obnovljeni sustigne..

U jednoj autoritarna restauracijaMeđutim, izričito je navedeno da Obnovljeni podaci su ono što bi trebalo prevladati. u odnosu na ono što imaju ostali DC-ovi. To znači da će nakon vraćanja oporavljeni objekti imati viši broj verzije kako bi se prisilili na replikaciju s tog DC-a na ostatak domene. To je odgovarajući izbor kada Slučajno smo izbrisali objekte ili OU-ove ili želimo vratiti sadržaj SYSVOL-a i GPO-a u prethodno stanje i replicirati ga..

Važan detalj je da autoritativna restauracija ne mora nužno biti za cijelu bazu podataka. Pomoću uslužnog programa Ntdsutil Pojedinačni objekti, podstabla (npr. OU) ili cijela domena mogu se označiti kao autoritativni. To nudi znatnu fleksibilnost za, na primjer, dohvati samo korisnika, grupu, organizacijsku jedinicu ili podstablo dc=mycompany,dc=local.

Opći postupak za vraćanje statusa sustava u DC-u

Osnovna shema za vraćanje stanja sustava DC-a (bilo fizičkog ili virtualnog) s kompatibilnim alatima uvijek je slična: Pokrenite računalo u načinu vraćanja direktorijskih usluga (DSRM), vratite ga pomoću alata za sigurnosno kopiranje i ponovno pokrenite.

Ukratko, tipični koraci za virtualni kontroler domene bili bi:

1. Pokrenite virtualni stroj u Windows Boot Manageru (obično pritiskom na F5/F8 tijekom pokretanja). Ako virtualnim računalom upravlja hipervizor, možda će biti potrebno pauzirati računalo kako bi se snimio pritisak tipke.
2. U naprednim opcijama pokretanja odaberite Način vraćanja usluga direktorija (Način vraćanja usluga direktorija). Ovaj način rada pokreće poslužitelj bez funkcionalnog montiranja baze podataka Active Directoryja.
3. Prijavite se s administratorskim računom DSRM-a definirano tijekom izvorne promocije DC-a (ne sa standardnim računom administratora domene).
4. Pokrenite alat za izradu sigurnosnih kopija koristi se (Windows Server Backup, NAKIVO ili drugi kompatibilni) i odaberite vraćanje stanja sustava na željenu točku sigurnosne kopije.
5. Dovršite čarobnjaka za vraćanje i Ponovno pokrenite DC u normalnom načinu radaU neautoritativnom vraćanju, poslužitelj će pokrenuti replikaciju kako bi sustigao ostale DC-ove.

Kada govorimo o proizvodima za sigurnosno kopiranje trećih strana, kao što su NAKIVO sigurnosna kopija i replikacijaNjegov "app-aware" način rada može prepoznati da je stroj koji se oporavlja DC i automatski prilagoditi proces kako bi se očuvala konzistentnost AD-aU većini scenarija s više kontrolera, dovoljan je potpuni oporavak u neautoritativnom načinu rada.

Autoritativna restauracija s Ntdsutilom

Ako želite da promjene na vraćenom kontroleru domene imaju prednost nad ostalima, morate dodati dodatni korak nakon neautoritativnog vraćanja: koristite Ntdsutil za označavanje objekata kao autoritativnih.

Pojednostavljeni tok bi bio:

1. Vratite stanje sustava na standardni način i ostavite poslužitelj i dalje uključen DSRM način rada (Nemojte još ponovno pokretati u normalnom načinu rada).
2. Otvorite a naredbeni redak s povišenim privilegijama i trči ntdsutil.
3. Aktivirajte AD instancu pomoću aktiviraj instancu ntds.
4. Ulazak u kontekst autoritativne restauracije s autoritativno vraćanje.
5. Koristite naredbe poput restore object <DN_objeto> o restore subtree <DN_subarbol>, gdje je DN razlikovno ime objekta ili podstabla koje treba autoritativno vratiti.
6. Potvrdite transakciju i, nakon što je završena, Ponovno pokrenite DC u normalnom načinu rada tako da se označeni objekti repliciraju s prioritetom na ostatak domene.

Ova vrsta restauracije zahtijeva veliki oprez. Ako je cijela domena autoritativno obnovljena, a sigurnosna kopija je staraPostoji rizik od gubitka legitimnih promjena napravljenih nakon sigurnosne kopije (na primjer, stvaranje korisnika, promjene lozinke ili izmjene grupe). Stoga je uobičajena praksa ograničiti autoritativne vraćanja samo na strogo potrebne objekte ili stabla.

Obnova i oporavak SYSVOL-a (FRS vs DFSR)

SYSVOL je ključna komponenta kontrolera domene: Pohranjuje skripte za pokretanje, grupne politike, sigurnosne predloške i druge bitne dijeljene resurse.Greška u vašim dozvolama, oštećenje datoteka ili problemi s replikacijom mogu učiniti GPO-e neupotrebljivima ili uzrokovati nepravilno ponašanje kod klijenata.

Ovisno o verziji sustava Windows Server i statusu migracije, SYSVOL se može replicirati od strane FRS (Usluga replikacije datoteka) ili DFSR (Replikacija distribuiranog datotečnog sustava)Postupak za autoritativno vraćanje SYSVOL-a varira ovisno o tome koji se od ta dva koristi.

Da biste to utvrdili, možete provjeriti ključ u registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateAko ovaj podključ postoji i njegova vrijednost je 3 (IZBRISANO), koristi se DFSR. Ako ne postoji ili mu je vrijednost drugačija, imamo posla s okruženjem koje još uvijek koristi FRS.

U okruženjima s FRS-om, autoritativni oporavak SYSVOL-a obično uključuje prilagođavanje vrijednosti Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process na određenu vrijednost (npr. 212 decimalno / 0xD4 heksadecimalno) kako bi se naznačilo da je ovaj DC mjerodavni izvor.

Ako DFSR replicira SYSVOL, proces je nešto složeniji: uključuje korištenje ADSI Uredi za izmjenu objekata pretplate SYSVOL (atributa msDFSR-Omogućeno y msDFSR-Opcije) na autoritativnom DC-u i na ostalima, prisiliti replikaciju AD-a, izvršiti dfsrdiag pollad i potvrdite u zapisniku događaja pojavu događaji 4114, 4602, 4614 i 4604 koji potvrđuju da je SYSVOL ispravno inicijaliziran i repliciran.

Oporavak virtualnih kontrolera domene s VHD-a

U virtualiziranim okruženjima vrlo je uobičajeno imati VHD/VHDX datoteke kontrolera domeneAko nemate sigurnosnu kopiju stanja sustava, ali imate ispravan "stari" VHD, možete montirati novi DC s tog diska, iako to morate učiniti vrlo pažljivo kako biste izbjegli vraćanje USN-a.

Preporuka je Ne pokreći taj VM izravno u normalnom načinu radaUmjesto toga, trebali biste pokrenuti sustav s prethodnog VHD-a u DSRMOtvorite uređivač registra i idite na HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersTamo je preporučljivo provjeriti vrijednost Broj prethodnih DSA restauracija (ako postoji) i, prije svega, stvorite novu DWORD (32-bitnu) vrijednost pod nazivom Baza podataka vraćena iz sigurnosne kopije sa vrijednošću 1.

Odabirom ove vrijednosti, Active Directory dobiva obavijest da je baza podataka vraćena iz sigurnosne kopije, što prisiljava generiranje novog InvocationID-a prilikom pokretanja u normalnom načinu radaNa taj način, ostali DC-ovi to interpretiraju kao novu instancu i ispravno prilagođavaju svoje vodene žigove replikacije, sprječavajući vraćanje USN-a.

Nakon ponovnog pokretanja DC-a u normalnom načinu rada, preporučljivo je provjeriti Preglednik događaja, posebno dnevnik Imeničke usluge, tražeći događaj 1109Ovaj događaj potvrđuje da se atribut InvocationID poslužitelja promijenio i prikazuje stare i nove vrijednosti, kao i najviši USN u trenutku izrade sigurnosne kopije. Osim toga, vrijednost Broj prethodnih DSA restauracija Trebalo ga je povećati za jedan.

Ako se ovi događaji ne pojave ili se broj ne poveća, trebali biste provjeriti verzije operacijskog sustava i servisne pakete, budući da Određena ponašanja restauracije ovise o specifičnim zakrpamaU svakom slučaju, uvijek je preporučljivo raditi na kopiji originalnog VHD-a, čuvajući netaknutu verziju u slučaju da se postupak treba ponoviti.

Praktični scenariji i dodatne preporuke

U praksi se problemi korupcije ili nepravilne restauracije često pojavljuju u svakodnevnim scenarijima: Ručne izmjene dozvola u SYSVOL-u, pokušaji ažuriranja ADMX/ADML predložaka, promjene GPO-a koje se ne replicirajuitd. Relativno je lako uzrokovati nedosljednosti ako se dijeljene mape ručno mijenjaju, kao što je SYSVOL\Policies bez poštivanja replikacije.

U slučaju primarnog DC-a s prekinutom replikacijom (i AD podaci i SYSVOL) i porukama nadzora tipa „Baza podataka je vraćena korištenjem nepodržanog postupka. Mogući uzrok: Povratak USN-a", razumno je učiniti sljedeće:

• Provjerite s dcdiag y repadmin opseg pogrešaka i postoje li „trajni objekti“.
• Provjerite događaj 2095 i vrijednost DSA nije moguće pisati u Registru.
• Procijenite je li moguće Ukloni taj DC i ponovno ga sastavi. (Ako postoje tri ili više drugih zdravih DC-ova, ovo je obično najbolja opcija).
• Ako je to jedini DC ili kritičar, podignite obnavljanje stanja sustava iz kompatibilne sigurnosne kopije, idealno nedavne i unutar razdoblja zaštitnog spomenika.

U domenama s više kontrolera, preporučuje se da kontroleri domene budu što je moguće "čistiji": bez dodatnih uloga ili lokalnih korisničkih podatakaNa taj način, ako jedan zakaže ili se ošteti, novi se može formatirati i promovirati na temelju drugog DC-a ili putem IFM-a, što uvelike smanjuje složenost oporavka.

Nadalje, vrijedi imati na umu ograničenja kao što su Kopije stanja sustava važeće su samo tijekom razdoblja zamršenih objekata (60, 90, 180 dana ovisno o konfiguraciji) kako bi se izbjeglo oživljavanje izbrisanih objekata i da se NTLM ključevi računala mijenjaju svakih 7 dana. U vrlo starim vraćanjima možda će biti potrebno resetiraj timske račune probleme s "Active Directory korisnicima i računalima" ili čak njihovo uklanjanje i ponovno pridruživanje domeni.

Posjedovanje postupaka za redovito sigurnosno kopiranje stanja sustava, Jasno dokumentirajte FSMO uloge, globalni katalog i topologiju replikacijeA testiranje koraka vraćanja u laboratorijskom okruženju je vremenska investicija koja štedi mnogo glavobolja kada dođe dan da se kontroler domene ošteti ili netko primijeni snimku bez razmišljanja.