Het herstellen van een beschadigde lokale domeincontroller

Wanneer een domeincontroller beschadigd raakt of onjuist wordt hersteld, is de schrik enorm: Aanmeldingen mislukken, groepsbeleidsobjecten worden niet meer toegepast en replicatie valt vrijwel zonder aanwijsbare oorzaak uit.Het goede nieuws is dat er duidelijke procedures zijn voor het herstellen van een fysieke of virtuele domeincontroller, mits de gangbare back-up- en herstelmethoden worden gevolgd.

In moderne Windows Server-omgevingen vereist het herstellen van een domeincontroller een goed begrip van concepten zoals... systeemstatus, gezaghebbend/niet-gezaghebbend herstel, SYSVOL, DFSR/FRS en USN rollbacksAls deze problemen overhaast of met incompatibele beeldvormingstechnieken worden aangepakt, kan het resultaat een wirwar van onzichtbare inconsistenties zijn die zeer moeilijk te diagnosticeren zijn.

Waarom het cruciaal is om een ​​domeincontroller goed te beschermen en te herstellen

Active Directory vormt de kern van authenticatie en autorisatie in een Windows-domein.Het slaat gebruikers, computers, groepen, vertrouwensrelaties, groepsbeleid, certificaten en andere cruciale elementen op. Deze informatie bevindt zich voornamelijk in de database. Ntds.dit, de bijbehorende logbestanden en map SYSVOL, naast andere componenten die de zogenaamde "systeemtoestand" vormen.

De systeemstatus omvat onder andere: Active Directory-logbestanden en -gegevens, het Windows-register, het systeemvolume (SYSVOL), de certificaatdatabase (indien een CA aanwezig is), de IIS-metabase, opstartbestanden en beveiligde besturingssysteemcomponenten.Daarom moet elke serieuze strategie voor bedrijfscontinuïteit regelmatige back-ups van de systeemstatus van elk datacenter omvatten.

Wanneer er daadwerkelijke corruptie van de Active Directory-database optreedt, een ernstige replicatiefout of een probleem met toestemmingen op SYSVOLDe domeincontroller kan stoppen met het verwerken van query's, Active Directory-services niet kunnen starten of een kettingreactie van fouten in het hele forest veroorzaken. In deze gevallen, Een snel en adequaat herstel maakt het verschil tussen een ernstig incident en een langdurige ramp..

Voordat u een herstelpoging onderneemt, is het cruciaal om onderscheid te maken tussen een echt databaseprobleem en meer alledaagse storingen. Heel vaak is het zo dat... De oorzaak ligt in DNS, netwerkwijzigingen, firewalls of routes die zijn aangepast met tools zoals... netsh commandoHet is daarom raadzaam om deze factoren eerst uit te sluiten voordat u de AD-database aanraakt.

Basisdiagnose- en replicatiecontroletools

Bij symptomen van corruptie of replicatiefouten is de eerste verstandige stap het controleren van de status van de omgeving met behulp van native tools. DCDiag, Repadmin, ReplMon (in oudere versies) en de Logboeken. Zij zijn je beste bondgenoten voordat je ingrijpende restauraties overweegt.

met DCDiag Er wordt een algemene controle uitgevoerd van alle domeincontrollers, waarbij problemen met replicatie, DNS, AD DS-services, enzovoort worden opgespoord. Repadmin Hiermee kunt u de replicatiestatus, replicatiepartners, USN-watermerken bekijken en persistente objecten detecteren. In oudere versies van Windows, ReplMon Het bood een grafische weergave van replicatiefouten binnen het domein.

Naast deze tools is het essentieel om de Logboeken te raadplegen voor 'Directory Services' en 'DFS-replicatie'. Gebeurtenissen zoals 467 en 1018 wijzen op daadwerkelijke corruptie van de database.De gebeurtenissen 1113/1115/1114/1116 hebben betrekking op het in- of uitschakelen van input/output-replicatie.

Als een vermoedelijke domeincontroller tijdelijk geïsoleerd moet worden om te voorkomen dat deze corruptie verspreidt, kunnen we dat doen. Schakel inkomende en uitgaande replicatie uit met Repadmin.:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Om de replicatie weer normaal te laten verlopen, hoeft u alleen maar deze opties te verwijderen:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Ondersteunde systeemstatusback-ups op domeincontrollers

Om een ​​DC met garanties te kunnen terugvorderen, is het essentieel om te beschikken over Systeemstatusback-ups worden uitgevoerd met behulp van Active Directory-compatibele tools.Deze tools maken op een ondersteunde manier gebruik van de back-up- en herstel-API's van Microsoft en de Volume Shadow Copy Service (VSS).

Tot de meest voorkomende oplossingen behoren: Windows Server Backup, oplossingen van derden die geïntegreerd zijn met VSS (zoals NAKIVO, Backup Exec en andere)of oudere nutsvoorzieningen zoals Ntback-up in Windows 2000/2003. In alle gevallen moeten ze de AD API's respecteren om de consistentie van de database en de replica's ervan na herstel te garanderen.

Windows Server 2012 en latere versies bevatten een belangrijke nieuwe toevoeging: Hyper-V Generatie-ID (GenID)Deze identificatiecode stelt een virtuele domeincontroller in staat te detecteren dat de schijf is teruggezet naar een eerder tijdstip. Wanneer dit gebeurt, AD DS genereert een nieuwe InvocationID en behandelt de situatie alsof deze is hersteld vanuit een succesvolle back-up.Het informeren van de replicatiepartners, waardoor veilig herschrijven mogelijk is zonder dat er een USN-rollback optreedt.

Het is essentieel om de te respecteren. grafsteen levensduurDit geeft aan hoe lang een back-up van de systeemstatus kan worden gebruikt zonder het risico te lopen dat objecten die lang geleden zijn verwijderd, opnieuw worden toegevoegd. In moderne versies is dit doorgaans 180 dagen, en het wordt aanbevolen om minstens elke 90 dagen een back-up te maken om voldoende veiligheidsmarge te behouden.

Ongeautoriseerde methoden die leiden tot terugboekingen van de USN.

Een van de gevaarlijkste oorzaken van stille inconsistenties in Active Directory is... USN rollbackDeze situatie doet zich voor wanneer de inhoud van de AD-database wordt teruggedraaid met behulp van een niet-ondersteunde techniek, zonder dat de InvocationID wordt hersteld of de replicatiepartners op de hoogte worden gesteld.

Het gebruikelijke scenario is het opstarten van een domeincontroller (DC) vanaf een schijfimage of een momentopname van een virtuele machine die in het verleden is gemaakt.zonder gebruik te maken van een compatibel systeemherstel. Of kopieer het Ntds.dit-bestand direct, gebruik imagingprogramma's zoals Ghost, start op vanaf een defecte schijfspiegel of pas een opslagsnapshot opnieuw toe op arrayniveau.

In deze gevallen blijft de domeincontroller dezelfde InvocationID gebruiken als voorheen, maar de De lokale USN-teller draait achteruit.De andere DC's herinneren zich dat ze wijzigingen tot een hoog USN-nummer hebben ontvangen, dus wanneer de teruggezette DC probeert reeds herkende USN-nummers terug te sturen, Hun partners denken dat ze bij de tijd zijn en accepteren geen concrete veranderingen meer..

Het gevolg is dat bepaalde aanpassingen (bijvoorbeeld, Gebruikers aanmaken, wachtwoorden wijzigen, apparaten registreren, groepslidmaatschap wijzigen, nieuwe DNS-records aanmaken.Deze fouten worden nooit van het herstelde domeincontroller naar de rest van het netwerk gerepliceerd, maar monitoringtools tonen mogelijk geen duidelijke fouten. Dit is een uiterst gevaarlijke, stille storing.

Om deze situaties te detecteren, registreren de stuurprogramma's van Windows Server 2003 SP1 en latere versies de volgende gegevens: Directory Services-evenement 2095 Wanneer een externe domeincontroller detecteert dat deze reeds bevestigde USN's verzendt zonder wijziging in de InvocationID, zal het systeem Het plaatst de betreffende domeincontroller in quarantaine, pauzeert Netlogon en voorkomt verdere wijzigingen. dat niet correct kon worden gerepliceerd.

Als aanvullend forensisch bewijsmateriaal kan het te raadplegen in het register de sleutel HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters en waarde DSA niet beschrijfbaarAls deze waarde is ingesteld (bijv. 0x4), geeft dit aan dat de DC door USN-omkeerdetectie in een niet-schrijfbare toestand is gebracht. Het handmatig aanpassen van deze waarde om deze te "corrigeren" wordt absoluut niet ondersteund. en laat de database in een permanent inconsistente staat achter.

Algemene strategieën in geval van corruptie of terugzetting van een domeincontroller

De te volgen procedure bij een beschadigde of onjuist herstelde domeincontroller hangt af van verschillende factoren: Het aantal domeincontrollers in het domein/forest, de beschikbaarheid van geldige kopieën van de systeemstatus, de aanwezigheid van andere rollen (FSMO, CA, globale catalogus) en de tijdsduur van het probleem spelen een rol..

Als er andere gezonde domeincontrollers in het domein aanwezig zijn en Er zijn geen unieke kritieke gegevens aanwezig op de beschadigde domeincontroller.De snelste en schoonste optie is meestal om de domeincontroller te verwijderen en opnieuw op te bouwen. Als het echter de enige domeincontroller is, of als deze gevoelige rollen en gegevens bevat, is een zorgvuldigere herstelprocedure (met of zonder autoritatieve rechten) noodzakelijk.

In het algemeen zijn de opties:

• Degradeer de corrupte domeincontroller geforceerd en verwijder deze uit het domein.gevolgd door het opschonen van metadata en, indien van toepassing, een nieuwe promotie.
• Herstel vanuit een geldige back-up van de systeemstatus., ongeacht of het om een ​​gezaghebbende of niet-gezaghebbende rol gaat.
• Herbouw de DC vanuit een andere met behulp van IFM (Install From Media)., wanneer er geen recente kopie is, maar er wel andere correcte DC's zijn.
• Gebruikmakend van een VHD-snapshot van een virtuele domeincontrollerwaarbij de extra stappen worden toegepast om de database te markeren als hersteld vanuit een back-up (Database hersteld vanuit back-up = 1) en ervoor te zorgen dat een nieuwe InvocationID wordt gegenereerd.

Als er een duidelijke verdenking bestaat van een USN-rollback (bijvoorbeeld na het herstellen van een VM vanuit een snapshot zonder de aanbevolen procedures te volgen) en gebeurtenis 2095 verschijnt, is de meest verstandige handelwijze doorgaans om... Neem dat datacenter buiten gebruik en probeer het niet ter plaatse te "repareren"., tenzij het mogelijk is om terug te keren naar een back-up van de ondersteunde systeemstatus die is gemaakt vóór de terugdraaiing.

Gedwongen degradatie en opschoning van metadata

Wanneer een domeincontroller zo beschadigd is dat deze niet op de normale manier kan worden gedegradeerd, of onjuist is hersteld en u wilt voorkomen dat dit problemen veroorzaakt, kunt u een beroep doen op een gedwongen degradatie.

In oudere versies werd deze bewerking uitgevoerd met dcpromo /forceremoval, wat Verwijder de AD DS-rol zonder te proberen de wijzigingen door te voeren in de rest van het forest.In moderne omgevingen is de wizard veranderd, maar het concept is hetzelfde: de problematische domeincontroller uit de Active Directory-topologie verwijderen zonder dat deze nog deelneemt aan replicatie.

Na een geforceerde downgrade is het verplicht om een ​​commando uit te voeren vanaf een functionerende domeincontroller. metadata opschonen met behulp van de tool NtdsutilDit proces verwijdert alle verwijzingen naar de verwijderde DC (NTDS-instellingenobjecten, DNS-verwijzingen, enz.) uit de AD-database, zodat Er zijn geen "spookresten" meer over die de replicatie zouden kunnen bemoeilijken..

Als de defecte controller FSMO-rollen had (PDC-emulator, RID-master, schema-master, enz.), is het noodzakelijk om die rollen overdragen of in beslag nemen naar een andere domeincontroller (DC) vóór of na de degradatie, afhankelijk van de situatie. Later kan het besturingssysteem opnieuw op die server worden geïnstalleerd en kan deze weer worden gepromoveerd tot een schone DC.

Niet-gezaghebbend versus gezaghebbend herstel in Active Directory

Wanneer een geldige kopie van de systeemstatus beschikbaar is, kan AD-herstel op twee manieren worden uitgevoerd: niet-gezaghebbend en gezaghebbendHet begrijpen van het verschil is essentieel om recente wijzigingen niet te missen of verouderde gegevens te kopiëren.

in een niet-gezaghebbende restauratieDe DC wordt teruggezet naar een eerder punt, maar zodra deze start, De andere domeincontrollers worden als referentie beschouwd.Met andere woorden: na het opstarten vraagt ​​de herstelde domeincontroller om inkomende replicatie en werkt de database bij met eventuele ontbrekende wijzigingen van de andere domeincontrollers. Deze optie is ideaal wanneer Er zijn nog andere goed functionerende controllers, en we willen dat de herstelde controller die achterstand inhaalt..

in een autoritaire restauratieEr wordt echter expliciet vermeld dat De herstelde gegevens zijn doorslaggevend. boven wat de andere domeincontrollers hebben. Dit betekent dat de herstelde objecten na het herstel een hoger versienummer krijgen, zodat ze vanaf die domeincontroller naar de rest van het domein worden gerepliceerd. Dit is de juiste keuze wanneer We hebben per ongeluk objecten of organisatie-eenheden verwijderd, of we willen de inhoud van SYSVOL en GPO terugzetten naar een eerdere staat en deze replicatie uitvoeren..

Een belangrijk detail is dat een gezaghebbende herstelprocedure niet per se voor de volledige database hoeft te gelden. Met behulp van dit hulpprogramma is dat mogelijk. Ntdsutil Individuele objecten, subbomen (bijv. een organisatie-eenheid) of het hele domein kunnen als gezaghebbend worden gemarkeerd. Dit biedt aanzienlijke flexibiliteit voor bijvoorbeeld: Haal alleen een gebruiker, een groep, een OU of de subboom dc=mycompany,dc=local op..

Algemene procedure voor het herstellen van de systeemstatus in een datacenter

Het basisschema voor het herstellen van de systeemstatus van een domeincontroller (fysiek of virtueel) met compatibele tools is altijd vergelijkbaar: Start op in de herstelmodus voor directoryservices (DSRM), herstel met behulp van de back-uptool en start opnieuw op..

Samenvattend zijn de gebruikelijke stappen voor een virtuele domeincontroller als volgt:

1. Start de virtuele machine in de Windows Opstartmanager. (meestal door tijdens het opstarten op F5/F8 te drukken). Als de VM wordt beheerd door een hypervisor, kan het nodig zijn om de machine te pauzeren om de toetsaanslag vast te leggen.
2. Selecteer in de geavanceerde opstartopties de optie Herstelmodus voor directoryservices (Herstelmodus voor directoryservices). In deze modus start de server zonder de Active Directory-database op een functionele manier te koppelen.
3. Log in met het DSRM-beheerdersaccount. gedefinieerd tijdens de oorspronkelijke promotie van de DC (niet met een standaard domeinbeheerdersaccount).
4. Start de back-uptool. Gebruik (Windows Server Backup, NAKIVO of een ander compatibel programma) en kies ervoor om de systeemstatus te herstellen naar het gewenste back-uppunt.
5. Voltooi de herstelwizard en Start de DC opnieuw op in de normale modus.Bij een niet-gezaghebbende herstelbewerking start de server de replicatie om de achterstand op de andere domeincontrollers in te halen.

Als we het hebben over back-upproducten van derden, zoals NAKIVO-back-up en -replicatieDe "app-bewuste" modus kan herkennen dat de machine die wordt hersteld een datacenter is. Het proces automatisch aanpassen om de AD-consistentie te behouden.In de meeste scenario's met meerdere controllers is een volledig herstel in de niet-autoritatieve modus voldoende.

Gezaghebbende restauratie met Ntdsutil

Als u wilt dat de wijzigingen op de herstelde domeincontroller voorrang krijgen boven de rest, moet u na het niet-gezaghebbende herstel een extra stap toevoegen: Gebruik Ntdsutil om objecten als gezaghebbend te markeren..

De vereenvoudigde workflow zou er als volgt uitzien:

1. Herstel de systeemstatus op de standaardmanier en laat de server in de huidige staat. DSRM-modus (Nog niet opnieuw opstarten in de normale modus).
2. openen van een opdrachtprompt met verhoogde bevoegdheden en loop ntdsutil.
3. Activeer het AD-exemplaar met activeer instantie ntds.
4. Het betreden van de context van gezaghebbende restauratie met gezaghebbend herstel.
5. Gebruik opdrachten zoals restore object <DN_objeto> o restore subtree <DN_subarbol>, waarbij DN de onderscheidende naam is van het object of de subboom die op gezaghebbende wijze moet worden hersteld.
6. Bevestig de transactie en, zodra deze is voltooid, Start de DC opnieuw op in de normale modus. zodat de gemarkeerde objecten met voorrang worden gerepliceerd boven de rest van het domein.

Dit type restauratie vereist grote voorzichtigheid. Als het volledige domein op gezaghebbende wijze wordt hersteld en de back-up oud isEr bestaat een risico dat legitieme wijzigingen die na de back-up zijn aangebracht (bijvoorbeeld het aanmaken van gebruikers, het wijzigen van wachtwoorden of het aanpassen van groepen) verloren gaan. Daarom is het gangbaar om gezaghebbende herstelbewerkingen te beperken tot alleen de strikt noodzakelijke objecten of mappenstructuren.

SYSVOL-herstel en -recovery (FRS versus DFSR)

SYSVOL is een essentieel onderdeel van de domeincontroller: Het slaat opstartscripts, groepsbeleid, beveiligingssjablonen en andere essentiële gedeelde resources op.Een fout in uw machtigingen, beschadigde bestanden of replicatieproblemen kunnen GPO's onbruikbaar maken of leiden tot onvoorspelbaar gedrag op clients.

Afhankelijk van de Windows Server-versie en de migratiestatus kan SYSVOL gerepliceerd worden door FRS (Bestandsreplicatieservice) of door DFSR (Distributed File System Replication)De procedure voor een gezaghebbende herstel van SYSVOL verschilt afhankelijk van welke van de twee in gebruik is.

Om dit te bepalen, kunt u de sleutel in het register controleren. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateAls deze subsleutel bestaat en de waarde 3 (VERWIJDERD) is, wordt DFSR gebruikt. Als deze niet bestaat of een andere waarde heeft, hebben we te maken met een omgeving die nog steeds FRS gebruikt.

In omgevingen met FRS omvat het gezaghebbend herstellen van SYSVOL meestal het aanpassen van de waarde. Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process een specifieke waarde toekennen (bijv. 212 decimaal / 0xD4 hex) om aan te geven dat deze DC de gezaghebbende bron is.

Als SYSVOL door DFSR wordt gerepliceerd, is het proces iets complexer: het omvat het gebruik van ADSIEdit om SYSVOL-abonnementsobjecten (attributen) te wijzigen msDFSR-ingeschakeld y msDFSR-opties) op de gezaghebbende DC en op de andere DC's, AD-replicatie forceren, uitvoeren dfsrdiag pollad en bevestig in het gebeurtenislogboek de verschijning van gebeurtenissen 4114, 4602, 4614 en 4604 die bevestigen dat SYSVOL correct is geïnitialiseerd en gerepliceerd.

Virtuele domeincontrollers herstellen vanuit een VHD-bestand.

In gevirtualiseerde omgevingen komt het vaak voor dat... VHD/VHDX-bestanden van domeincontrollersAls u geen systeemstatusback-up hebt, maar wel een werkende "oude" VHD, kunt u een nieuwe DC vanaf die schijf koppelen. U moet dit echter zeer voorzichtig doen om een ​​USN-rollback te voorkomen.

De aanbeveling is: Start die virtuele machine niet direct in de normale modus.In plaats daarvan moet u opstarten vanaf de vorige VHD in DSRMOpen de Register-editor en navigeer naar HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersDaar is het raadzaam de waarde te controleren. Aantal eerdere DSA-restauraties (indien aanwezig) en, bovenal, creëer een nieuwe DWORD-waarde (32-bits) genaamd Database hersteld vanuit back-up met waarde 1.

Door deze waarde te selecteren, wordt Active Directory meegedeeld dat de database is hersteld vanuit een back-up, wat een Het genereren van een nieuwe InvocationID bij het opstarten in de normale modus.Op deze manier interpreteren de andere domeincontrollers het als een nieuwe instantie en passen ze hun replicatiewatermerken correct aan, waardoor de USN-rollback wordt voorkomen.

Na het opnieuw opstarten van de domeincontroller in de normale modus is het raadzaam om de gebeurtenislogboeken te controleren, met name het logboek van directory-diensten, op zoek naar de evenement 1109Deze gebeurtenis bevestigt dat het InvocationID-attribuut van de server is gewijzigd en toont de oude en nieuwe waarden, evenals de hoogste USN op het moment van de back-up. Daarnaast wordt de waarde van Aantal eerdere DSA-restauraties Het had met één verhoogd moeten worden.

Als deze gebeurtenissen niet verschijnen of het aantal niet toeneemt, moet u de versies van het besturingssysteem en de servicepacks controleren, aangezien Bepaalde herstelprocessen zijn afhankelijk van specifieke gebieden.Het is in elk geval altijd raadzaam om met een kopie van de originele VHD te werken en een intacte versie te bewaren voor het geval het proces herhaald moet worden.

Praktische scenario's en aanvullende aanbevelingen

In de praktijk komen problemen met corruptie of onjuiste restauraties vaak voor in alledaagse situaties: Handmatige wijzigingen van machtigingen in SYSVOL, pogingen om ADMX/ADML-sjablonen bij te werken, GPO-wijzigingen die niet worden gerepliceerd.enz. Het is relatief eenvoudig om inconsistenties te veroorzaken als gedeelde mappen handmatig worden gewijzigd, zoals bijvoorbeeld: SYSVOL\Policies zonder rekening te houden met replicatie.

In het geval van een primaire domeincontroller met een verbroken replicatie (zowel AD-gegevens als SYSVOL) en monitoringberichten van het type "De database is hersteld met behulp van een niet-ondersteunde procedure. Mogelijke oorzaak: USN-rollback.In dat geval is het verstandig om het volgende te doen:

• Controleer met dcdiag y antwoord de omvang van de fouten en of er sprake is van "persistente objecten".
• Controleer gebeurtenis 2095 en de waarde DSA niet beschrijfbaar in het register.
• Beoordeel of het mogelijk is Verwijder die DC en installeer hem opnieuw. (Als er drie of meer andere gezonde DC's zijn, is dit meestal de beste optie).
• Als het de enige DC of criticus is, breng dan een bod uit. systeemstatusherstel van een compatibele back-up, bij voorkeur een recente back-up van binnen de tombstone-periode.

In domeinen met meerdere controllers wordt sterk aanbevolen dat de datacenters zo "zuiver" mogelijk zijn: zonder extra rollen of lokale gebruikersgegevensOp deze manier kan, als een domeincontroller uitvalt of beschadigd raakt, een nieuwe worden geformatteerd en gepromoveerd op basis van een andere domeincontroller of via IFM, waardoor de complexiteit van het herstel aanzienlijk wordt verminderd.

Bovendien is het goed om rekening te houden met beperkingen zoals die Kopieën van de systeemstatus zijn alleen geldig gedurende de zogenaamde 'tombstone'-periode. (60, 90, 180 dagen, afhankelijk van de configuratie) om te voorkomen dat verwijderde objecten worden hersteld, en dat NTLM-machinesleutels elke 7 dagen veranderen. Bij zeer oude herstelbewerkingen kan het nodig zijn om Teamaccounts opnieuw instellen Problemen met "Active Directory-gebruikers en -computers" kunnen worden opgelost, of zelfs door ze te verwijderen en opnieuw aan het domein toe te voegen.

Procedures hebben ingesteld voor het regelmatig maken van back-ups van de systeemstatus. Documenteer duidelijk de FSMO-rollen, de globale catalogus en de replicatietopologie.Het testen van de herstelstappen in een testomgeving is een tijdsinvestering die veel problemen voorkomt wanneer een domeincontroller beschadigd raakt of iemand onnadenkend een snapshot toepast.