Obnova a zotavenie poškodeného lokálneho radiča domény

Keď sa radič domény poškodí alebo sa nesprávne obnoví, strach je obrovský: Prihlásenie zlyháva, objekty GPO sa prestávajú používať a replikácia sa pokazí takmer bez akýchkoľvek indícií.Dobrou správou je, že existujú jasné postupy na obnovu fyzického alebo virtuálneho radiča domény za predpokladu, že sa dodržiavajú akceptované metódy zálohovania a obnovy.

V moderných prostrediach systému Windows Server si obnova radiča domény vyžaduje dobré pochopenie konceptov, ako napríklad stav systému, autoritatívne/neautoritatívne obnovenie, vrátenie zmien SYSVOL, DFSR/FRS a USNAk sa tieto problémy riešia unáhlene alebo pomocou nekompatibilných zobrazovacích nástrojov, výsledkom môže byť les plný tichých nezrovnalostí, ktoré je veľmi ťažké diagnostikovať.

Prečo je dôležité správne chrániť a obnovovať radič domény

Active Directory je srdcom overovania a autorizácie v doméne Windows.Uchováva používateľov, počítače, skupiny, vzťahy dôveryhodnosti, skupinové politiky, certifikáty a ďalšie dôležité prvky. Tieto informácie sa nachádzajú predovšetkým v databáze. Ntds.dit, súvisiace súbory denníka a priečinok SYSVOL, okrem iných komponentov, ktoré tvoria tzv. „stav systému“.

Stav systému okrem iného zahŕňa Súbory denníka a údaje služby Active Directory, register systému Windows, systémový zväzok, SYSVOL, databáza certifikátov (ak existuje certifikačná autorita), metabáza služby IIS, zavádzacie súbory a chránené súčasti operačného systémuPreto každá seriózna stratégia kontinuity podnikania musí zahŕňať pravidelné zálohovanie stavu systému každého dátového centra.

Keď dôjde k skutočnému poškodeniu databázy služby Active Directory, k vážnemu zlyhaniu replikácie alebo k problému s povolenia zapnuté SYSVOLRadič domény môže prestať spracovávať dotazy, nepodarí sa mu spustiť služby Active Directory alebo spustiť kaskádové chyby v celej doménovej štruktúre. V týchto prípadoch... Rýchla a správna obnova predstavuje rozdiel medzi vážnou udalosťou a dlhotrvajúcou katastrofou..

Pred pokusom o obnovu je dôležité rozlišovať medzi skutočným problémom s databázou a bežnejšími zlyhaniami. Veľmi často Príčina spočíva v DNS, zmenách siete, firewalloch alebo trasách upravených nástrojmi ako napr. príkaz netshPreto je vhodné tieto faktory najskôr vylúčiť pred dotykom s databázou AD.

Základné diagnostické a replikačné riadiace nástroje

V prípade príznakov poškodenia alebo zlyhania replikácie je prvým rozumným krokom skontrolovať stav prostredia pomocou natívnych nástrojov. DCDiag, Repadmin, ReplMon (v starších verziách) a Prehliadač udalostí Sú vašimi najlepšími spojencami predtým, ako zvážite agresívne reštaurovanie.

s DCDiag Vykoná sa všeobecná kontrola všetkých radičov domény, pričom sa identifikujú problémy s replikáciou, DNS, službami AD DS atď. Repadmin Umožňuje zobraziť stav replikácie, replikačných partnerov, vodoznaky USN a zistiť trvalé objekty. V starších verziách systému Windows... ReplMon Ponúkal grafické zobrazenie chýb replikácie v rámci domény.

Okrem týchto nástrojov je nevyhnutné skontrolovať Prehliadač udalostí, či neobsahuje položky „Direktorové služby“ a „Replikácia DFS“. Udalosti ako 467 a 1018 poukazujú na skutočné poškodenie databázy., zatiaľ čo udalosti 1113/1115/1114/1116 sa týkajú povolenia alebo zakázania replikácie vstupu/výstupu.

Ak je potrebné dočasne izolovať podozrivý radič domény, aby sa zabránilo šíreniu poškodenia, môžeme Zakázanie prichádzajúcej a odchádzajúcej replikácie pomocou Repadminu:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

A ak chcete obnoviť replikáciu do normálneho stavu, jednoducho odstráňte tieto možnosti:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Podporované zálohy stavu systému na radičoch domény

Aby bolo možné obnoviť DC so zárukami, je nevyhnutné mať Zálohy stavu systému vykonané pomocou nástrojov kompatibilných s Active DirectoryTieto nástroje používajú rozhrania API pre zálohovanie a obnovu od spoločnosti Microsoft a službu Volume Shadow Copy Service (VSS) podporovaným spôsobom.

Medzi najbežnejšie riešenia patria Zálohovanie systému Windows Server, riešenia tretích strán integrované s VSS (ako napríklad NAKIVO, Backup Exec a ďalšie)alebo staršie nástroje ako napr. Ntbackup v systéme Windows 2000/2003. Vo všetkých prípadoch musia rešpektovať rozhrania AD API, aby sa zabezpečila konzistencia databázy a jej replík po obnovení.

Systém Windows Server 2012 a novšie verzie obsahujú dôležitý nový doplnok: ID generácie Hyper-V (GenID)Tento identifikátor umožňuje virtuálnemu radiču domény zistiť, že jeho disk bol vrátený späť do predchádzajúceho bodu v čase. Keď k tomu dôjde, Služba AD DS vygeneruje nové InvocationID a zaobchádza so situáciou, akoby bola obnovená z úspešnej zálohy.upozorňuje svojich replikačných partnerov, čím umožňuje bezpečné prepisovanie bez nutnosti vrátenia USN späť.

Je nevyhnutné rešpektovať životnosť náhrobkuToto udáva, ako dlho je možné používať zálohu stavu systému bez rizika opätovného zavedenia objektov, ktoré boli dávno odstránené. V moderných verziách je to zvyčajne 180 dní a odporúča sa vykonávať zálohy aspoň každých 90 dní, aby sa zachovala dostatočná bezpečnostná rezerva.

Neoprávnené metódy, ktoré spôsobujú zrušenie USN

Jednou z najnebezpečnejších príčin tichých nekonzistentností v službe Active Directory je... Zrušenie USNTáto situácia nastáva, keď sa obsah databázy AD vráti späť pomocou nepodporovanej techniky bez obnovenia InvocationID alebo upozornenia replikačných partnerov.

Typickým scenárom je spustenie radiča domény z obraz disku alebo snímka virtuálneho počítača vytvorená v minulostibez použitia kompatibilného nástroja na obnovenie systému. Alebo priamo skopírujte súbor Ntds.dit, použite programy na tvorbu obrazov, ako napríklad Ghost, spustite systém z poškodeného zrkadlového úložiska disku alebo znova použite snímku úložiska na úrovni poľa.

V týchto prípadoch radič domény naďalej používa rovnaký InvocationID ako predtým, ale jeho Miestne počítadlo USN ide dozaduOstatné DC si pamätajú prijaté zmeny až do vysokého USN, takže keď sa vrátený DC pokúsi odoslať späť už rozpoznané USN, Ich partneri veria, že sú v obraze a prestávajú akceptovať konkrétne zmeny..

Výsledkom je, že určité úpravy (napríklad vytvorenie používateľa, zmena hesla, registrácia zariadenia, zmeny členstva v skupinách, nové záznamy DNSTieto chyby sa nikdy nereplikujú z obnoveného radiča domény do zvyšku siete, ale monitorovacie nástroje nemusia zobrazovať jasné chyby. Ide o mimoriadne nebezpečné tiché zlyhanie.

Na zistenie týchto situácií ovládače systému Windows Server 2003 SP1 a novších systémov zaznamenávajú Udalosť adresárových služieb 2095 Keď sa zistí, že vzdialený radič domény odosiela už potvrdené čísla USN bez zmeny v parametri InvocationID, systém Umiestni postihnutý radič domény do karantény, pozastaví službu Netlogon a zabráni ďalším zmenám. ktoré sa nedali správne replikovať.

Ako ďalší forenzný dôkaz môže na konzultáciu v registri kľúč HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters a hodnota DSA nie je možné zapisovaťAk je táto hodnota nastavená (napr. 0x4), znamená to, že radič domény bol detekciou obrátenia USN uvedený do stavu bez zápisu. Manuálna úprava tejto hodnoty za účelom jej „opravy“ nie je úplne podporovaná. a ponecháva databázu v trvalo nekonzistentnom stave.

Všeobecné stratégie v prípade poškodenia alebo vrátenia pôvodnej verzie radiča domény

Postup, ktorý treba dodržať pri riešení poškodeného alebo nesprávne obnoveného radiča domény, závisí od niekoľkých faktorov: Počet radičov domény v doméne/lese, dostupnosť platných kópií stavu systému, prítomnosť iných rolí (FSMO, CA, globálny katalóg) a časový rozsah problému..

Ak sa v doméne nachádzajú aj iné zdravé radiče domény a Na poškodenom radiči domény nie sú žiadne jedinečné kritické údaje.Najrýchlejšou a najčistejšou možnosťou je zvyčajne odstrániť daný radič domény a znova ho zostaviť. Ak je však jediným radičom domény alebo ak hostí citlivé role a údaje, bude potrebná starostlivejšia obnova (autoritatívna alebo neautoritatívna).

Vo všeobecnosti sú možnosti nasledovné:

• Násilné zníženie úrovne poškodeného radiča domény a jeho odstránenie z domény, po ktorom nasleduje čistenie metadát a v prípade potreby nová propagácia.
• Obnoviť z platnej zálohy stavu systému, či už v autoritatívnom alebo neautoritatívnom režime.
• Znova zostavte radič domény z iného pomocou IFM (Inštalácia z média), keď neexistuje žiadna nedávna kópia, ale existujú iné správne radiče domény.
• Použitie snímky VHD virtuálneho radiča domény, pričom sa vykonajú ďalšie kroky na označenie databázy ako obnovenej zo zálohy (Databáza obnovená zo zálohy = 1) a zabezpečí sa vygenerovanie nového InvocationID.

Ak existuje jasné podozrenie na vrátenie zmien USN (napríklad po obnovení virtuálneho počítača zo snímky bez dodržania osvedčených postupov) a zobrazí sa udalosť 2095, najrozumnejším postupom je zvyčajne Vyraďte daný DC z prevádzky a nepokúšajte sa ho „opraviť“ na mieste., pokiaľ nie je možné vrátiť sa k zálohe podporovaného stavu systému, ktorá bola vytvorená pred vrátením zmien.

Vynútené zníženie úrovne a vyčistenie metadát

Keď je radič domény tak poškodený, že ho nie je možné normálne znížiť, alebo bol nesprávne obnovený a chcete zabrániť šíreniu problémov, môžete sa uchýliť k nútené zníženie platu.

V starších verziách sa táto operácia vykonávala pomocou dcpromo /vynútenieodstránenia, čo Odstráňte rolu služby AD DS bez pokusu o replikáciu zmien do zvyšku lesa.V moderných prostrediach sa sprievodca zmenil, ale koncept zostáva rovnaký: odstrániť problematický radič domény z topológie služby AD bez toho, aby sa zúčastnil ďalšej replikácie.

Po vynútenom znížení verzie je povinné vykonať príkaz z funkčného DC. čistenie metadát pomocou nástroja NtdsutilTento proces odstráni všetky odkazy na odstránený radič domény (objekty nastavení NTDS, odkazy DNS atď.) z databázy služby AD, aby nezostali žiadne „duchové“ zvyšky, ktoré by mohli zmiasť replikáciu.

Ak mal degradovaný ovládač role FSMO (emulátor PDC, hlavný server RID, hlavný server schémy atď.), bude potrebné prevedie alebo prevezme tieto úlohy na iný radič domény pred alebo po znížení úrovne v závislosti od situácie. Neskôr je možné operačný systém na tomto serveri preinštalovať a povýšiť ho späť na čistý radič domény.

Neautoritatívne vs. autoritatívne obnovenie v službe Active Directory

Ak je k dispozícii platná kópia stavu systému, obnovenie služby AD je možné vykonať dvoma spôsobmi: neautoritatívny a autoritatívnyPochopenie rozdielu je kľúčom k tomu, aby ste neprehliadli nedávne zmeny alebo nereplikovali zastarané údaje.

V jednom neautoritatívna obnovaDC sa vráti do predchádzajúceho bodu, ale akonáhle sa spustí, Ostatné radiče domény sa považujú za referenčnéInými slovami, po spustení obnovený radič domény vyžiada prichádzajúcu replikáciu a aktualizuje svoju databázu o všetky chýbajúce zmeny z ostatných radičov domény. Táto možnosť je ideálna, keď Existujú aj iní zdraví kontrolóri a chceme, aby ten obnovený ich dobehol..

V jednom autoritárskej reštaurácieJe však výslovne uvedené, že Obnovené údaje by mali prevládať. oproti tomu, čo majú ostatné radiče domény. To znamená, že po obnovení budú mať obnovené objekty vyššie číslo verzie, aby sa vynútila ich replikácia z daného radiča domény do zvyšku domény. Je to vhodná voľba, keď Omylom sme odstránili objekty alebo organizačné jednotky, alebo chceme vrátiť obsah SYSVOL a GPO do predchádzajúceho stavu a replikovať ho..

Dôležitým detailom je, že autoritatívna obnova nemusí byť nevyhnutne pre celú databázu. Pomocou nástroja Ntdsutil Jednotlivé objekty, podstromy (napr. organizačná jednotka) alebo celá doména môžu byť označené ako autoritatívne. To ponúka značnú flexibilitu napríklad pre načítať iba používateľa, skupinu, organizačnú jednotku alebo podstrom dc=mycompany,dc=local.

Všeobecný postup na obnovenie stavu systému v DC

Základná schéma obnovenia stavu systému radiča domény (či už fyzického alebo virtuálneho) pomocou kompatibilných nástrojov je vždy podobná: Spustite systém do režimu obnovenia adresárových služieb (DSRM), obnovte ho pomocou nástroja na zálohovanie a reštartujte počítač..

Stručne povedané, typické kroky pre virtuálny radič domény by boli:

1. Spustite virtuálny počítač v Správcovi spúšťania systému Windows (zvyčajne stlačením klávesu F5/F8 počas spúšťania). Ak je virtuálny počítač spravovaný hypervízorom, môže byť potrebné pozastaviť počítač, aby sa zachytil stlačený kláves.
2. V rozšírených možnostiach spustenia vyberte Režim obnovenia adresárových služieb (Režim obnovenia adresárových služieb). Tento režim spustí server bez funkčného pripojenia databázy služby Active Directory.
3. Prihláste sa s účtom správcu DSRM definované počas pôvodnej propagácie radiča domény (nie so štandardným účtom správcu domény).
4. Spustite nástroj na zálohovanie použitý nástroj (Windows Server Backup, NAKIVO alebo iný kompatibilný) a vyberte obnovenie stavu systému do požadovaného bodu zálohy.
5. Dokončite sprievodcu obnovou a Reštartujte DC v normálnom režimePri neautoritatívnom obnovení server spustí replikáciu, aby dobehol ostatné radiče domény.

Keď hovoríme o zálohovacích produktoch tretích strán, ako napríklad NAKIVO zálohovanie a replikáciaJeho režim „s ohľadom na aplikáciu“ dokáže rozpoznať, že obnovovaný počítač je radič domény a automaticky upraviť proces tak, aby sa zachovala konzistencia ADVo väčšine scenárov s viacerými ovládačmi postačuje úplná obnova v neautoritatívnom režime.

Autoritatívna obnova pomocou Ntdsutil

Ak chcete, aby zmeny na obnovenom radiči domény mali prednosť pred ostatnými, musíte po neautoritatívnom obnovení pridať ďalší krok: použitie Ntdsutil na označenie objektov ako autoritatívnych.

Zjednodušený tok by bol:

1. Obnovte stav systému štandardným spôsobom a nechajte server stále zapnutý. Režim DSRM (Zatiaľ nereštartujte v normálnom režime).
2. Otvorte a príkazový riadok so zvýšenými oprávneniami a bežať ntdsutil.
3. Aktivujte inštanciu služby AD pomocou aktivovať inštanciu ntds.
4. Vstup do kontextu autoritatívnej obnovy s autoritatívne obnovenie.
5. Použite príkazy ako restore object <DN_objeto> o restore subtree <DN_subarbol>, kde DN je rozlišovací názov objektu alebo podstromu, ktorý sa má autoritatívne obnoviť.
6. Potvrďte transakciu a po jej dokončení Reštartujte DC v normálnom režime takže označené objekty sa replikujú s prioritou do zvyšku domény.

Tento typ rekonštrukcie si vyžaduje veľkú opatrnosť. Ak je celá doména autoritatívne obnovená a záloha je staráExistuje riziko straty legitímnych zmien vykonaných po zálohovaní (napríklad vytvorenie používateľa, zmena hesla alebo úprava skupiny). Preto je bežnou praxou obmedziť autoritatívne obnovy iba na nevyhnutne potrebné objekty alebo stromy.

Obnova a zotavenie SYSVOL (FRS vs. DFSR)

SYSVOL je kľúčovou súčasťou radiča domény: Ukladá spúšťacie skripty, skupinové politiky, bezpečnostné šablóny a ďalšie dôležité zdieľané zdroje.Chyba v povoleniach, poškodenie súborov alebo problémy s replikáciou môžu spôsobiť nepoužiteľné objekty GPO alebo nepravidelné správanie klientov.

V závislosti od verzie systému Windows Server a stavu migrácie môže byť súbor SYSVOL replikovaný FRS (Služba replikácie súborov) alebo DFSR (Replikácia distribuovaného súborového systému)Postup autoritatívneho obnovenia SYSVOL sa líši v závislosti od toho, ktorý z týchto dvoch sa používa.

Ak to chcete zistiť, môžete skontrolovať kľúč v registri. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating Sysvols\LocalStateAk tento podkľúč existuje a jeho hodnota je 3 (ODSTRÁNENÉ), používa sa DFSR. Ak neexistuje alebo jeho hodnota je iná, máme do činenia s prostredím, ktoré stále používa FRS.

V prostrediach s FRS zvyčajne autoritatívna obnova SYSVOL zahŕňa úpravu hodnoty Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process na konkrétnu hodnotu (napr. 212 desatinné / 0xD4 hexadecimálne), aby sa označilo, že tento DC je autoritatívnym zdrojom.

Ak je SYSVOL replikovaný pomocou DFSR, proces je o niečo zložitejší: zahŕňa použitie ADSIUpraviť na úpravu objektov predplatného SYSVOL (atribútov msDFSR – povolené y Možnosti msDFSR) na autoritatívnom DC a na ostatných, vynútiť replikáciu AD, spustiť dfsrdiag pollad a v denníku udalostí potvrďte výskyt udalosti 4114, 4602, 4614 a 4604 ktoré potvrdzujú, že SYSVOL bol správne inicializovaný a replikovaný.

Obnova virtuálnych radičov domény z VHD

Vo virtualizovaných prostrediach je veľmi bežné mať Súbory VHD/VHDX radičov doményAk nemáte zálohu stavu systému, ale máte funkčný „starý“ VHD, môžete z tohto disku pripojiť nový radič domény, hoci to musíte urobiť veľmi opatrne, aby ste predišli vráteniu zmien USN.

Odporúčanie je Nespúšťajte daný virtuálny počítač priamo v normálnom režimeNamiesto toho by ste mali bootovať z predchádzajúceho VHD v DSRMOtvorte Editor databázy Registry a prejdite na HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersTam je vhodné skontrolovať hodnotu Počet predchádzajúcich DSA rekonštrukcií (ak existuje) a predovšetkým vytvorte novú hodnotu DWORD (32-bitovú) s názvom Databáza obnovená zo zálohy s hodnotou 1.

Výberom tejto hodnoty sa službe Active Directory oznámi, že databáza bola obnovená zo zálohy, čo vynúti generovanie nového InvocationID pri spustení v normálnom režimeTýmto spôsobom ostatné radiče domény interpretujú túto inštanciu ako novú a správne upravia svoje replikačné vodoznaky, čím zabránia vráteniu zmien USN.

Po reštartovaní DC v normálnom režime je vhodné skontrolovať Prehliadač udalostí, konkrétne protokol Adresárové služby, hľadajúc podujatie 1109Táto udalosť potvrdzuje, že atribút InvocationID servera sa zmenil a zobrazuje starú a novú hodnotu, ako aj najvyššie číslo USN v čase zálohovania. Okrem toho hodnota Počet predchádzajúcich DSA rekonštrukcií Malo by sa to zvýšiť o jeden.

Ak sa tieto udalosti nezobrazia alebo sa ich počet nezvýši, mali by ste skontrolovať verzie operačného systému a balíky Service Pack, pretože Určité správanie pri obnovení závisí od špecifických záplatV každom prípade je vždy vhodné pracovať na kópii pôvodného VHD a ponechať si neporušenú verziu pre prípad, že by bolo potrebné proces zopakovať.

Praktické scenáre a ďalšie odporúčania

V praxi sa problémy s korupciou alebo nesprávnymi reštaurovaniami často objavujú v každodenných situáciách: Manuálne úpravy povolení v SYSVOL, pokusy o aktualizáciu šablón ADMX/ADML, zmeny GPO, ktoré sa nereplikujúatď. Je relatívne ľahké spôsobiť nekonzistentnosti, ak sa zdieľané priečinky upravujú manuálne, napríklad SYSVOL\Policies bez rešpektovania replikácie.

V prípade primárneho radiča domény s prerušenou replikáciou (dáta AD aj SYSVOL) a monitorovacími správami typu „Databáza bola obnovená pomocou nepodporovaného postupu. Možná príčina: Vrátenie zmien USN„rozumné je urobiť toto:

• Poraďte sa so dcdiag y repadmin rozsah chýb a či existujú „trvalé objekty“.
• Skontrolujte udalosť 2095 a jej hodnotu DSA nie je možné zapisovať v registri.
• Zhodnoťte, či je to možné odstráňte ten DC a znova ho zostavte (Ak existujú tri alebo viac ďalších zdravých DC, je to zvyčajne najlepšia možnosť).
• Ak je to jediný DC alebo kritik, vzneste obnovenie stavu systému z kompatibilnej zálohy, ideálne nedávnej a v rámci obdobia označenia „tombstone“.

V doménach s viacerými radičmi sa dôrazne odporúča, aby boli radiče domény čo najčistejšie: bez ďalších rolí alebo lokálnych používateľských údajovTýmto spôsobom, ak jeden zlyhá alebo sa poškodí, je možné naformátovať a povýšiť nový na základe iného DC alebo prostredníctvom IFM, čo výrazne znižuje zložitosť obnovy.

Okrem toho je dôležité pamätať na obmedzenia, ako napríklad Kópie stavu systému sú platné iba počas obdobia označenia „tombstone“ (náhrobok). (60, 90, 180 dní v závislosti od konfigurácie), aby sa zabránilo oživeniu odstránených objektov, a že kľúče počítača NTLM sa menia každých 7 dní. Pri veľmi starých obnoveniach môže byť potrebné resetovať tímové účty problémy s „Používateľmi a počítačmi služby Active Directory“ alebo dokonca ich odstránenie a opätovné pripojenie k doméne.

Zavedenie postupov na pravidelné zálohovanie stavu systému, Jasne zdokumentujte role FSMO, globálny katalóg a topológiu replikácieA testovanie krokov obnovy v laboratórnom prostredí je časová investícia, ktorá ušetrí veľa bolestí hlavy, keď príde deň, keď sa radič domény poškodí alebo niekto bez rozmýšľania použije snímku.