Sugadinto vietinio domeno valdiklio atkūrimas ir atstatymas

Kai domeno valdiklis sugadinamas arba neteisingai atkuriamas, kyla didžiulis pavojus: Prisijungimai nepavyksta, GPO nebetaikomi, o replikacija nutrūksta beveik be jokių užuominų.Geros žinios yra tai, kad yra aiškios fizinio arba virtualaus domeno valdiklio atkūrimo procedūros, jei laikomasi priimtų atsarginių kopijų kūrimo ir atkūrimo metodų.

Šiuolaikinėse „Windows Server“ aplinkose domeno valdiklio atkūrimas reikalauja gero tokių sąvokų supratimo kaip sistemos būsena, autoritetingas/neautoritetingas atkūrimas, SYSVOL, DFSR/FRS ir USN atšaukimaiJei šios problemos sprendžiamos skubotai arba naudojant nesuderinamas vaizdo gavimo priemones, rezultatas gali būti miškas, pilnas tylių neatitikimų, kuriuos labai sunku diagnozuoti.

Kodėl svarbu tinkamai apsaugoti ir atkurti domeno valdiklį

„Active Directory“ yra autentifikavimo ir autorizacijos pagrindas „Windows“ domeneJoje saugomi vartotojai, kompiuteriai, grupės, pasitikėjimo ryšiai, grupių politikos, sertifikatai ir kiti svarbūs elementai. Ši informacija daugiausia saugoma duomenų bazėje. ntds.dit, susiję žurnalo failai ir aplankas SYSVOL, be kitų komponentų, kurie sudaro vadinamąją „sistemos būseną“.

Sistemos būsena, be kita ko, apima „Active Directory“ žurnalų failai ir duomenys, „Windows“ registras, sistemos tomas, SYSVOL, sertifikatų duomenų bazė (jei yra CA), IIS metabazė, įkrovos failai ir apsaugoti operacinės sistemos komponentaiTodėl bet kokia rimta verslo tęstinumo strategija turi apimti reguliarias kiekvieno duomenų centro sistemos būsenos atsargines kopijas.

Kai įvyksta faktinis „Active Directory“ duomenų bazės sugadinimas, rimtas replikacijos gedimas arba problema su leidimai įjungti SYSVOLDomeno valdiklis gali nustoti apdoroti užklausas, nepavykti paleisti „Active Directory“ paslaugų arba sukelti kaskadines klaidas visame miške. Tokiais atvejais Greitas ir tinkamas atsigavimas yra lemiamas veiksnys, ar incidentas bus rimtas, ar užsitęsusi nelaimė..

Prieš bandant atkurti duomenis, labai svarbu atskirti tikrą duomenų bazės problemą nuo rimtesnių gedimų. Labai dažnai Priežastis slypi DNS, tinklo pakeitimuose, užkardose arba maršrutuose, modifikuotuose naudojant tokias priemones kaip netsh komandaTodėl prieš liečiant AD duomenų bazę patartina pirmiausia atmesti šiuos veiksnius.

Pagrindinės diagnostikos ir replikacijos valdymo priemonės

Pastebėjus korupcijos ar replikacijos gedimų simptomus, pirmas protingas žingsnis yra patikrinti aplinkos būklę naudojant vietinius įrankius. DCDiag, Repadmin, ReplMon (senesnėse versijose) ir įvykių peržiūros programa Jie yra geriausi jūsų sąjungininkai prieš svarstant agresyvias restauracijas.

su DCDiag Atliekamas bendras visų domeno valdiklių patikrinimas, nustatant replikacijos, DNS, AD DS paslaugų ir kt. problemas. Repadmin Tai leidžia peržiūrėti replikacijos būseną, replikacijos partnerius, USN vandenženklius ir aptikti nuolatinius objektus. Senesnėse „Windows“ versijose ReplMon Jis pasiūlė grafinį domeno replikacijos klaidų vaizdą.

Be šių įrankių, svarbu peržiūrėti įvykių peržiūros programą, skirtą „Katalogų paslaugoms“ ir „DFS replikacijai“. Tokie įvykiai kaip 467 ir 1018 rodo faktinį duomenų bazės sugadinimą., o įvykiai 1113/1115/1114/1116 yra susiję su įvesties / išvesties replikacijos įjungimu arba išjungimu.

Jei įtariamą DC reikia laikinai izoliuoti, kad būtų išvengta korupcijos plitimo, mes galime Išjunkite gaunamą ir siunčiamą replikaciją naudodami „Repadmin“:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Norėdami atkurti normalią replikaciją, tiesiog pašalinkite šias parinktis:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Palaikomos sistemos būsenos atsarginės kopijos domeno valdikliuose

Norint atkurti nuolatinę srovę su garantijomis, būtina turėti Sistemos būsenos atsarginės kopijos, atliekamos naudojant „Active Directory“ suderinamus įrankiusŠie įrankiai palaikomu būdu naudoja „Microsoft“ atsarginių kopijų kūrimo ir atkūrimo API ir „Volume Shadow Copy“ paslaugą (VSS).

Tarp labiausiai paplitusių sprendimų yra „Windows Server Backup“, trečiųjų šalių sprendimai, integruoti su VSS (pvz., „NAKIVO“, „Backup Exec“ ir kiti)arba senesnės komunalinės paslaugos, pvz. Ntbackup „Windows 2000/2003“. Visais atvejais jie privalo atsižvelgti į AD API, kad būtų užtikrintas duomenų bazės ir jos kopijų nuoseklumas po atkūrimo.

„Windows Server 2012“ ir vėlesnėse versijose yra svarbus naujas papildymas: „Hyper-V“ kartos ID (GenID)Šis identifikatorius leidžia virtualiam domeno valdikliui aptikti, kad jo disko duomenys buvo grąžinti į ankstesnį laiko momentą. Kai taip nutinka, AD DS sugeneruoja naują iškvietimo ID ir elgiasi taip, lyg situacija būtų atkurta iš sėkmingos atsarginės kopijos.pranešdamas savo replikacijos partneriams, taip leisdamas saugiai perrašyti nepatiriant USN atšaukimo.

Būtina gerbti antkapio gyvavimo laikasTai nurodo, kiek laiko galima naudoti sistemos būsenos atsarginę kopiją nerizikuojant atkurti seniai ištrintų objektų. Šiuolaikinėse versijose tai paprastai yra 180 dienų, o atsargines kopijas rekomenduojama kurti bent kas 90 dienų, kad būtų išlaikyta pakankama saugumo riba.

Neleistini metodai, sukeliantys USN atšaukimus

Viena pavojingiausių tyliųjų „Active Directory“ neatitikimų priežasčių yra ta, kad USN atšaukimasŠi situacija įvyksta, kai AD duomenų bazės turinys yra atšaukiamas naudojant nepalaikomą metodą, neatkuriant iškvietimo ID ir nepranešant replikacijos partneriams.

Įprastas scenarijus yra paleisti nuolatinės srovės svirtį iš disko atvaizdas arba praeityje padaryta virtualios mašinos momentinė kopijanenaudodami suderinamo sistemos atkūrimo įrankio. Arba nukopijuokite Ntds.dit failą tiesiogiai, naudokite vaizdo gavimo programas, tokias kaip „Ghost“, paleiskite sistemą iš sugedusio disko veidrodžio arba iš naujo pritaikykite atminties momentinę kopiją masyvo lygmenyje.

Tokiais atvejais domeno valdiklis ir toliau naudoja tą patį „InvocationID“ kaip ir anksčiau, bet jo Vietinis USN skaitiklis veikia atvirkščiaiKiti DC prisimena gautus pakeitimus iki aukšto USN, todėl, kai grąžintas DC bando išsiųsti jau atpažintus USN, Jų partneriai mano, kad jie yra informuoti ir nustoja priimti konkrečius pokyčius..

Dėl to atsiranda tam tikrų pakeitimų (pvz. vartotojo kūrimas, slaptažodžio keitimas, įrenginio registracija, grupės narystės pakeitimai, nauji DNS įrašaiŠios klaidos niekada nėra atkartojamos iš atkurto DC į likusį tinklą, tačiau stebėjimo įrankiai gali nerodyti aiškių klaidų. Tai itin pavojingas tylus gedimas.

Kad aptiktų tokias situacijas, „Windows Server 2003 SP1“ ir naujesnės tvarkyklės registruoja Katalogų paslaugų įvykis 2095 Kai aptinkama, kad nuotolinis DC siunčia jau patvirtintus USN be pakeisto iškvietimo ID, sistema Jis karantinuoja paveiktą DC, pristabdo tinklo prisijungimą ir neleidžia atlikti tolesnių pakeitimų. kurio nebuvo galima teisingai atkartoti.

Kaip papildomas teismo ekspertizės įrodymas, jis gali susipažinti registre raktas HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters ir vertė DSA nerašomasJei ši reikšmė nustatyta (pvz., 0x4), tai reiškia, kad USN apvertimo aptikimas perkėlė nuolatinės srovės valdiklį į būseną „nerašyti“. Rankinis šios reikšmės keitimas norint ją „ištaisyti“ yra visiškai nepalaikomas. ir palieka duomenų bazę nuolat nepastovioje būsenoje.

Bendrosios strategijos domeno valdiklio sugadinimo arba atstatymo atveju

Sugadinto arba neteisingai atkurto DC tvarkymo procedūra priklauso nuo kelių veiksnių: Domeno valdiklių skaičius domene/miške, galiojančių sistemos būsenos kopijų prieinamumas, kitų vaidmenų (FSMO, CA, globalusis katalogas) buvimas ir problemos laiko aprėptis.

Jei domene yra kitų sveikų DC ir Sugadintame domeno valdiklyje nėra unikalių svarbių duomenųGreičiausias ir švariausias variantas paprastai yra pašalinti tą domeno valdiklį ir jį atkurti. Tačiau jei tai vienintelis domeno valdiklis arba jame yra slaptų vaidmenų ir duomenų, reikės kruopštesnio atkūrimo (autoritetinio arba neautoritetinio).

Apskritai, variantai yra šie:

• Priverstinai pažeminti korumpuotą domeno valdiklį ir pašalinti jį iš domeno, po to išvalomi metaduomenys ir, jei taikoma, atliekamas naujas perkėlimas.
• Atkurti iš galiojančios sistemos būsenos atsarginės kopijos, tiek autoritetingu, tiek neautoritetiniu režimu.
• Atkurkite DC iš kito naudodami IFM (įdiegimas iš laikmenos), kai nėra naujausios kopijos, bet yra kitų teisingų DC.
• Naudojant virtualaus DC VHD momentinę kopiją, atlikdami papildomus veiksmus, kad pažymėtumėte duomenų bazę kaip atkurtą iš atsarginės kopijos (duomenų bazė atkurta iš atsarginės kopijos = 1) ir užtikrintumėte, kad būtų sugeneruotas naujas iškvietimo ID.

Jei aiškiai įtariamas USN atšaukimas (pavyzdžiui, atkūrus VM iš momentinės kopijos nesilaikant geriausios praktikos) ir įvyksta įvykis 2095, protingiausias veiksmas paprastai yra Išjunkite tą nuolatinės srovės srovę ir nebandykite jos „taisyti“ vietoje., nebent įmanoma atkurti palaikomos sistemos būsenos atsarginę kopiją, buvusią prieš atšaukimą.

Priverstinis pažeminimas ir metaduomenų valymas

Kai domeno valdiklis yra taip pažeistas, kad jo negalima įprastai pažeminti, arba jis buvo neteisingai atkurtas ir norite užkirsti kelią problemų plitimui, galite kreiptis į priverstinis pažeminimas.

Senesnėse versijose ši operacija buvo atliekama su dcpromo /forceremoval, ką Pašalinkite AD DS vaidmenį nebandydami atkartoti pakeitimų likusioje miško dalyje.Šiuolaikinėse aplinkose vedlys pasikeitė, tačiau koncepcija ta pati: pašalinti probleminį DC iš AD topologijos, jam nedalyvaujant tolesnėje replikacijoje.

Po priverstinio atnaujinimo į žemesnę versiją privaloma vykdyti komandą iš sveiko domeno valdiklio. metaduomenų valymas naudojant įrankį NtdsutilŠis procesas pašalina visas nuorodas į ištrintą DC (NTDS nustatymų objektus, DNS nuorodas ir kt.) iš AD duomenų bazės, kad nelieka jokių „vaiduoklių“ likučių, kurie klaidintų replikaciją.

Jei sugedęs valdiklis turėjo FSMO vaidmenis (PDC emuliatorius, RID pagrindinis valdiklis, schemos pagrindinis valdiklis ir kt.), reikės perduoda arba perima tuos vaidmenis į kitą DC prieš arba po pažeminimo, priklausomai nuo situacijos. Vėliau operacinę sistemą galima iš naujo įdiegti tame serveryje ir ją vėl perkelti į švarų DC.

Neautoritetinis ir autoritetingas atkūrimas „Active Directory“ sistemoje

Kai yra galiojanti sistemos būsenos kopija, AD atkūrimą galima atlikti dviem būdais: neautoritetingas ir autoritetingasSuprasti skirtumą yra labai svarbu, kad nepraleistumėte naujausių pakeitimų ar nekopijuotumėte pasenusių duomenų.

Vienoje neautoritetingas atkūrimasDC grąžinamas į ankstesnį tašką, bet jam prasidėjus, Kiti domeno valdikliai laikomi etaloniniaisKitaip tariant, po paleidimo atkurtas DC pateikia užklausą dėl gaunamo replikavimo ir atnaujina savo duomenų bazę su visais trūkstamais pakeitimais iš kitų DC. Ši parinktis idealiai tinka, kai Yra ir kitų sveikų kontrolierių, ir mes norime, kad atkurtasis juos pasivytų..

Vienoje autoritarinis restauravimasTačiau aiškiai nurodyta, kad Atkurti duomenys turėtų būti išsaugoti. virš to, ką turi kiti DC. Tai reiškia, kad po atkūrimo atkurti objektai turės aukštesnį versijos numerį, kad juos būtų galima replikuoti iš to DC į likusį domeno skyrių. Tai tinkamas pasirinkimas, kai Netyčia ištrynėme objektus arba OU arba norime grąžinti SYSVOL ir GPO turinį į ankstesnę būseną ir jį atkartoti..

Svarbi detalė yra ta, kad autoritetingas atkūrimas nebūtinai turi būti taikomas visai duomenų bazei. Naudojant šią programą Ntdsutil Atskiri objektai, submedžiai (pvz., OU) arba visas domenas gali būti pažymėti kaip autoritetingi. Tai suteikia didelį lankstumą, pavyzdžiui, gauti tik vartotoją, grupę, OU arba podmedį dc=mycompany,dc=local.

Bendroji sistemos būsenos atkūrimo DC procedūra

Pagrindinė DC (fizinės ar virtualios) sistemos būsenos atkūrimo schema naudojant suderinamus įrankius visada yra panaši: Paleiskite katalogų paslaugų atkūrimo režimą (DSRM), atkurkite naudodami atsarginių kopijų kūrimo įrankį ir paleiskite iš naujo.

Apibendrinant, tipiniai virtualaus domeno valdiklio veiksmai būtų tokie:

1. Paleiskite virtualią mašiną „Windows“ įkrovos tvarkytuvėje (paprastai paspaudžiant F5/F8 paleidimo metu). Jei virtualiąją mašiną valdo hipervizorius, gali tekti pristabdyti kompiuterį, kad būtų užfiksuotas klavišo paspaudimas.
2. Išplėstinėse įkrovos parinktyse pasirinkite Katalogų paslaugų atkūrimo režimas (Katalogų paslaugų atkūrimo režimas). Šis režimas paleidžia serverį neprijungdamas „Active Directory“ duomenų bazės funkciniu būdu.
3. Prisijunkite naudodami DSRM administratoriaus paskyrą apibrėžta pradinės DC reklamos metu (ne naudojant standartinę domeno administratoriaus paskyrą).
4. Paleiskite atsarginių kopijų kūrimo įrankį naudotą („Windows Server Backup“, NAKIVO ar kitą suderinamą) ir pasirinkite atkurti sistemos būseną į norimą atsarginės kopijos tašką.
5. Užbaikite atkūrimo vedlį ir Paleiskite nuolatinės srovės adapterį iš naujo įprastu režimuNeautoritetinio atkūrimo metu serveris inicijuos replikaciją, kad pasivytų kitus DC.

Kai kalbame apie trečiųjų šalių atsarginių kopijų kūrimo produktus, pvz. NAKIVO atsarginė kopija ir replikacijaJo „programos atpažinimo“ režimas gali atpažinti, kad atkuriama mašina yra nuolatinės srovės adapteris ir automatiškai koreguoti procesą, kad būtų išsaugotas AD nuoseklumasDaugeliu atvejų, kai yra keli valdikliai, pakanka visiško atkūrimo neautoritetiniu režimu.

Autoritetingas atkūrimas naudojant Ntdsutil

Jei norite, kad atkurto domeno valdiklio pakeitimai būtų svarbesni už kitus, po neautoritetinio atkūrimo turite pridėti papildomą veiksmą: Naudokite „Ntdsutil“, kad pažymėtumėte objektus kaip autoritetingus.

Supaprastinta srauto schema būtų tokia:

1. Atkurkite sistemos būseną standartiniu būdu ir palikite serverį įjungtą DSRM režimas (Dar nepaleiskite iš naujo įprastu režimu).
2. Atidaryti komandinė eilutė su padidintomis teisėmis ir bėk ntdsutil.
3. Aktyvuokite AD egzempliorių naudodami suaktyvinti egzempliorių ntds.
4. Įžengimas į autoritarinio restauravimo kontekstą su autoritetingas atkūrimas.
5. Naudokite tokias komandas kaip restore object <DN_objeto> o restore subtree <DN_subarbol>, kur DN yra objekto arba podmedžio, kuris bus atkurtas autoritetingai, išskirtinis pavadinimas.
6. Patvirtinkite operaciją ir, kai ji bus baigta, Paleiskite nuolatinės srovės adapterį iš naujo įprastu režimu kad pažymėti objektai būtų replikuojami prioritetu likusiai domeno daliai.

Šio tipo restauravimas reikalauja didelio atsargumo. Jei visas domenas yra autoritetingai atkurtas, o atsarginė kopija yra senaYra rizika prarasti teisėtus pakeitimus, atliktus po atsarginės kopijos kūrimo (pvz., vartotojo sukūrimas, slaptažodžio keitimas arba grupės modifikavimas). Todėl įprasta praktika apriboti autoritetingą atkūrimą tik iki būtiniausių objektų arba medžių.

SYSVOL atkūrimas ir atkūrimas (FRS ir DFSR)

SYSVOL yra pagrindinis domeno valdiklio komponentas: Jame saugomi paleidimo scenarijai, grupių politikos, saugos šablonai ir kiti svarbūs bendrinami ištekliai.Dėl teisių gedimo, failų sugadinimo ar replikacijos problemų GPO gali tapti netinkami naudoti arba jie gali sutrikdyti klientų darbą.

Priklausomai nuo „Windows Server“ versijos ir perkėlimo būsenos, SYSVOL gali būti replikuojamas FRS (failų replikacijos paslauga) kodėl DFSR (paskirstytos failų sistemos replikacija)SYSVOL autoritetingo atkūrimo procedūra skiriasi priklausomai nuo to, kuris iš dviejų būdų naudojamas.

Norėdami tai nustatyti, galite patikrinti raktą registre. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Sysvols perkėlimas\LocalStateJei šis dalinis raktas egzistuoja ir jo reikšmė yra 3 (IŠTRINTA), naudojamas DFSR. Jei jo nėra arba jo reikšmė kitokia, susiduriame su aplinka, kuri vis dar naudoja FRS.

Aplinkose su FRS, autoritetingas SYSVOL atkūrimas paprastai apima reikšmės koregavimą Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process į konkrečią reikšmę (pvz., 212 dešimtainė / 0xD4 šešioliktainė), kad būtų nurodyta, jog šis DC yra autoritetingas šaltinis.

Jei SYSVOL replikuojamas naudojant DFSR, procesas yra šiek tiek sudėtingesnis: jame naudojamas ADSIEredaguoti modifikuoti SYSVOL prenumeratos objektus (atributus msDFSR – įgalinta y msDFSR parinktys) autoritetingame DC ir kituose, priverstinai AD replikuoti, vykdyti dfsrdiag pollad ir įvykių žurnale patvirtinkite atsiradimą įvykiai 4114, 4602, 4614 ir 4604 kurie patvirtina, kad SYSVOL buvo inicializuotas ir tinkamai pakartotas.

Virtualių domenų valdiklių atkūrimas iš VHD

Virtualizuotose aplinkose labai dažnai pasitaiko Domeno valdiklių VHD/VHDX failaiJei neturite sistemos būsenos atsarginės kopijos, bet turite veikiantį „seną“ VHD, galite prijungti naują DC iš to disko, tačiau tai turite daryti labai atsargiai, kad nesukeltumėte USN atšaukimo.

Rekomendacija yra Nepaleiskite tos VM tiesiogiai įprastu režimuVietoj to, turėtumėte paleisti iš ankstesnio VHD DSRMAtidarykite registro rengyklę ir eikite į HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersTen patartina patikrinti vertę Ankstesnių DSA atkūrimų skaičius (jei tokia egzistuoja) ir, svarbiausia, sukurkite naują DWORD (32 bitų) reikšmę, vadinamą Duomenų bazė atkurta iš atsarginės kopijos su 1 verte.

Pasirinkus šią reikšmę, „Active Directory“ pranešama, kad duomenų bazė buvo atkurta iš atsarginės kopijos, o tai verčia generuojamas naujas „InvocationID“ paleidžiant įprastu režimuTokiu būdu kiti DC interpretuoja jį kaip naują egzempliorių ir teisingai koreguoja savo replikacijos vandenženklius, neleisdami atšaukti USN.

Paleidus DC įprastu režimu iš naujo, patartina patikrinti įvykių peržiūros programą, ypač įvykių žurnalą. Katalogų paslaugos, ieškodamas renginys 1109Šis įvykis patvirtina, kad serverio „InvocationID“ atributas pasikeitė, ir rodo seną bei naują reikšmes, taip pat didžiausią USN, kuris buvo taikomas atsarginės kopijos kūrimo metu. Be to, reikšmė Ankstesnių DSA atkūrimų skaičius Reikėjo padidinti vienetu.

Jei šie įvykiai nepasirodo arba skaičius nedidėja, turėtumėte patikrinti operacinės sistemos versijas ir pakeitimų paketus, nes Tam tikras atkūrimo elgesys priklauso nuo konkrečių pataisųBet kokiu atveju, visada patartina dirbti su originalaus VHD kopija, išsaugant nepažeistą versiją, jei procesą reikėtų pakartoti.

Praktiniai scenarijai ir papildomos rekomendacijos

Praktiškai korupcijos ar netinkamo restauravimo problemos dažnai iškyla kasdieniuose scenarijuose: Rankiniai SYSVOL leidimų pakeitimai, bandymai atnaujinti ADMX/ADML šablonus, GPO pakeitimai, kurie nėra replikuojamiir pan. Nesuderinamumus gana lengva sukelti, jei bendrinami aplankai yra modifikuojami rankiniu būdu, pvz. SYSVOL\Policies nepaisant replikacijos.

Jei pirminis DC sugedęs replikacijos metu (tiek AD duomenys, tiek SYSVOL) ir stebėjimo pranešimai yra tokio tipo „Duomenų bazė buvo atkurta naudojant nepalaikomą procedūrą. Galima priežastis: USN atšaukimas„protingas dalykas, kurį reikia padaryti, yra:“

• Patikrink su dcdiag y repadmin klaidų mastą ir tai, ar yra „nuolatinių objektų“.
• Patikrinkite įvykį 2095 ir reikšmę DSA nerašomas Registre.
• Įvertinkite, ar įmanoma Pašalinkite tą nuolatinės srovės srovę ir perkurkite ją iš naujo (Jei yra trys ar daugiau kitų sveikų DC, tai paprastai yra geriausias pasirinkimas).
• Jei tai vienintelis DC arba kritikas, iškelkite klausimą. sistemos būsenos atkūrimas iš suderinamos atsarginės kopijos, idealiu atveju neseniai sukurtos ir neviršijančios tombstone laikotarpio.

Domenuose su keliais valdikliais labai rekomenduojama, kad DC būtų kuo „grynesni“: be papildomų vaidmenų ar vietinių naudotojų duomenųTokiu būdu, jei vienas sugenda arba yra sugadinamas, naują galima formatuoti ir perkelti remiantis kitu DC arba per IFM, o tai labai sumažina atkūrimo sudėtingumą.

Be to, verta prisiminti tokius apribojimus kaip Sistemos būsenos kopijos galioja tik tombstone laikotarpiu (60, 90, 180 dienų, priklausomai nuo konfigūracijos), kad nebūtų atgaivinti ištrinti objektai, ir kad NTLM kompiuterio raktai keičiasi kas 7 dienas. Labai senuose atkūrimo procesuose gali tekti iš naujo nustatyti komandos paskyras problemų iš „Active Directory“ vartotojų ir kompiuterių arba net jų pašalinimo ir prijungimo prie domeno.

Turėti procedūras, skirtas reguliariai kurti sistemos būsenos atsargines kopijas, Aiškiai dokumentuokite FSMO vaidmenis, globalųjį katalogą ir replikacijos topologijąO atkūrimo veiksmų testavimas laboratorijos aplinkoje yra laiko investicijos, kurios sutaupo daug galvos skausmo, kai domeno valdiklis sugadinamas arba kas nors negalvodamas pritaiko momentinę kopiją.