Obnavljanje in popravljanje poškodovanega lokalnega krmilnika domene

Ko se krmilnik domene poškoduje ali je nepravilno obnovljen, je strah ogromen: Prijave ne uspejo, GPO-ji se prenehajo uporabljati in replikacija se pokvari skoraj brez namigov.Dobra novica je, da obstajajo jasni postopki za obnovitev fizičnega ali virtualnega krmilnika domene, če se upoštevajo sprejete metode varnostnega kopiranja in obnovitve.

V sodobnih okoljih sistema Windows Server zahteva obnovitev krmilnika domene dobro razumevanje konceptov, kot so stanje sistema, avtoritativna/neavtoritativna obnovitev, povrnitev prejšnjih podatkov iz SYSVOL, DFSR/FRS in USNČe se te težave rešujejo prenagljeno ali z nezdružljivimi orodji za slikanje, je lahko rezultat gozd, poln tihih nedoslednosti, ki jih je zelo težko diagnosticirati.

Zakaj je ključnega pomena pravilno zaščititi in obnoviti krmilnik domene

Active Directory je srce overjanja in avtorizacije v domeni WindowsShranjuje uporabnike, računalnike, skupine, zaupanja vredne odnose, skupinske pravilnike, potrdila in druge ključne elemente. Te informacije se nahajajo predvsem v zbirki podatkov. Ntds.dit, povezane datoteke dnevnika in mapa SYSVOL, med drugimi komponentami, ki sestavljajo tako imenovano »stanje sistema«.

Stanje sistema med drugim vključuje: Dnevniške datoteke in podatki imenika Active Directory, register sistema Windows, sistemski nosilec, SYSVOL, zbirka podatkov o potrdilih (če obstaja overitelj potrdil), metabaza podatkov IIS, zagonske datoteke in zaščitene komponente operacijskega sistemaZato mora vsaka resna strategija za neprekinjeno poslovanje vključevati redne varnostne kopije stanja sistema vsakega podatkovnega centra.

Ko pride do dejanske poškodbe baze podatkov Active Directory, resne napake pri replikaciji ali težave z dovoljenja vklopljena SYSVOLKrmilnik domene lahko preneha obdelovati poizvedbe, ne zažene storitev Active Directory ali sproži kaskadne napake po celotnem gozdu. V teh primerih, Hitro in pravilno okrevanje je tisto, kar loči med resnim incidentom in dolgotrajno katastrofo..

Preden poskusite obnoviti, je ključnega pomena ločiti med resnično težavo z bazo podatkov in bolj običajnimi napakami. Zelo pogosto Vzrok se skriva v DNS-ju, spremembah omrežja, požarnih zidovih ali spremenjenih poteh z orodji, kot so ukaz netshZato je priporočljivo, da te dejavnike najprej izključite, preden se dotaknete baze podatkov AD.

Osnovna orodja za diagnostiko in nadzor replikacije

V primeru simptomov korupcije ali napak pri replikaciji je prvi smiseln korak preverjanje stanja okolja z uporabo izvornih orodij. DCDiag, Repadmin, ReplMon (v starejših različicah) in pregledovalnik dogodkov So vaši najboljši zavezniki, preden se lotite agresivnih restavracij.

z DCDiag Izvede se splošni pregled vseh krmilnikov domen, pri čemer se ugotovijo težave z replikacijo, DNS, storitvami AD DS itd. Repadmin Omogoča vam ogled stanja replikacije, replikacijskih partnerjev, vodnih žigov USN in zaznavanje trajnih objektov. V starejših različicah sistema Windows, ReplMon Ponudil je grafični prikaz napak pri replikaciji znotraj domene.

Poleg teh orodij je nujno pregledati pregledovalnik dogodkov za »Imeniške storitve« in »Replikacija DFS«. Dogodki, kot sta 467 in 1018, kažejo na dejansko poškodbo baze podatkov., medtem ko se dogodki 1113/1115/1114/1116 nanašajo na omogočanje ali onemogočanje vhodno/izhodne replikacije.

Če je treba sumljivi krmilnik domene začasno izolirati, da preprečimo širjenje korupcije, lahko to storimo Onemogočanje vhodne in odhodne replikacije z Repadminom:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

In če želite obnoviti replikacijo v normalno stanje, preprosto odstranite te možnosti:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Podprte varnostne kopije stanja sistema na krmilnikih domen

Za obnovitev DC-ja z garancijami je bistveno imeti Varnostne kopije stanja sistema, izvedene z orodji, združljivimi z Active DirectoryTa orodja uporabljajo Microsoftove API-je za varnostno kopiranje in obnovitev ter storitev senčnega kopiranja nosilca podatkov (VSS) na podprt način.

Med najpogostejšimi rešitvami so Varnostno kopiranje sistema Windows Server, rešitve drugih ponudnikov, integrirane z VSS (kot so NAKIVO, Backup Exec in druge)ali starejše pripomočke, kot so Ntbackup v sistemu Windows 2000/2003. V vseh primerih morajo upoštevati API-je AD, da zagotovijo skladnost baze podatkov in njenih replik po obnovi.

Windows Server 2012 in novejše različice imajo pomemben nov dodatek: ID generacije Hyper-V (GenID)Ta identifikator omogoča virtualnemu krmilniku domene, da zazna, da je bil njegov disk povrnjen na prejšnjo časovno točko. Ko se to zgodi, AD DS ustvari nov InvocationID in obravnava situacijo, kot da bi bila obnovljena iz uspešne varnostne kopije.obvešča svoje replikacijske partnerje, s čimer omogoča varno prepisovanje brez potrebe po razveljavitvi USN.

Bistveno je spoštovati življenjska doba nagrobnikaTo označuje, kako dolgo se lahko uporablja varnostna kopija stanja sistema, ne da bi tvegali ponovno vstavitev objektov, ki so bili že zdavnaj izbrisani. V sodobnih različicah je to običajno 180 dni, priporočljivo pa je, da varnostne kopije izvajate vsaj vsakih 90 dni, da se ohrani zadostna varnostna rezerva.

Nepooblaščene metode, ki povzročajo razveljavitev USN

Eden najnevarnejših vzrokov tihih nedoslednosti v imeniku Active Directory je ... Razveljavitev USNDo te situacije pride, ko se vsebina baze podatkov AD povrne z uporabo nepodprte tehnike, ne da bi se obnovil InvocationID ali obvestili replikacijski partnerji.

Tipičen scenarij je zagon krmilnika domene iz slika diska ali posnetek virtualnega stroja, posnet v preteklostibrez uporabe združljivega programa za obnovitev sistema. Ali pa neposredno kopirajte datoteko Ntds.dit, uporabite programe za ustvarjanje slik, kot je Ghost, zaženite se z zrcala poškodovanega diska ali ponovno uporabite posnetek shrambe na ravni polja.

V teh primerih krmilnik domene še naprej uporablja isti InvocationID kot prej, vendar njegov Lokalni števec USN gre nazajDrugi krmilniki domene si zapomnijo prejemanje sprememb do visokega USN-ja, zato ko razveljavljeni krmilnik domene poskuša poslati nazaj že prepoznane USN-je, Njihovi partnerji verjamejo, da so na tekočem in ne sprejemajo konkretnih sprememb..

Posledica tega je, da nekatere spremembe (npr. ustvarjanje uporabnikov, spremembe gesel, registracija naprave, spremembe članstva v skupinah, novi zapisi DNSTe napake se nikoli ne replicirajo iz obnovljenega krmilnika domene v preostanek omrežja, vendar orodja za spremljanje morda ne bodo prikazala jasnih napak. To je izjemno nevarna tiha napaka.

Za zaznavanje teh situacij gonilniki sistema Windows Server 2003 SP1 in novejših beležijo Dogodek imeniških storitev 2095 Ko je zaznan oddaljeni krmilnik domene, ki pošilja že potrjene USN-je brez spremembe v InvocationID, sistem Prizadeti DC postavi v karanteno, začasno ustavi Netlogon in prepreči nadaljnje spremembe. ki ga ni bilo mogoče pravilno ponoviti.

Kot dodaten forenzični dokaz lahko na posvet v sodnem registru ključ HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters in vrednost DSA ni mogoče zapisovatiČe je ta vrednost nastavljena (npr. 0x4), pomeni, da je bil DC zaradi zaznavanja obrata USN preklopljen v stanje brez pisanja. Ročno spreminjanje te vrednosti za njeno »popravljanje« ni popolnoma podprto. in pusti bazo podatkov v trajno nedoslednem stanju.

Splošne strategije v primeru poškodbe ali razveljavitve krmilnika domene

Postopek, ki ga je treba upoštevati pri ravnanju s poškodovanim ali nepravilno obnovljenim krmilnikom domene, je odvisen od več dejavnikov: Število krmilnikov domen v domeni/gozdu, razpoložljivost veljavnih kopij stanja sistema, prisotnost drugih vlog (FSMO, CA, globalni katalog) in časovni obseg težave..

Če so v domeni še drugi zdravi krmilniki domene in Na poškodovanem krmilniku domene ni edinstvenih kritičnih podatkov.Najhitrejša in najčistejša možnost je običajno odstranitev tega krmilnika domene in njegova ponovna izgradnja. Če pa je to edini krmilnik domene ali če gosti občutljive vloge in podatke, bo potrebna natančnejša obnovitev (avtoritativna ali neavtoritativna).

Na splošno so možnosti:

• Prisilno znižaj poškodovani DC in ga odstrani iz domene, ki mu sledi čiščenje metapodatkov in, če je primerno, nova promocija.
• Obnovitev iz veljavne varnostne kopije stanja sistema, bodisi v avtoritativnem ali neavtoritativnem načinu.
• Obnovite krmilnik domene iz drugega z uporabo IFM (namestitev z medija), ko ni novejše kopije, obstajajo pa drugi pravilni kontrolerji domen.
• Uporaba posnetka VHD navideznega krmilnika domena, pri čemer uporabite dodatne korake za označevanje baze podatkov kot obnovljene iz varnostne kopije (Baza podatkov obnovljena iz varnostne kopije = 1) in zagotovite, da je ustvarjen nov InvocationID.

Če obstaja jasen sum na povrnitev USN (na primer po obnovi virtualnega stroja iz posnetka brez upoštevanja najboljših praks) in se pojavi dogodek 2095, je običajno najsmiselnejši ukrep Odstranite ta krmilnik DC iz uporabe in ga ne poskušajte "popraviti" na kraju samem., razen če je mogoče povrniti stanje sistema na podprto varnostno kopijo, ki je bila narejena pred povrnitvijo.

Prisilno znižanje statusa in čiščenje metapodatkov

Ko je krmilnik domene tako poškodovan, da ga ni mogoče normalno znižati ali pa je bil nepravilno obnovljen in želite preprečiti širjenje težav, se lahko zatečete k prisilno degradiranje.

V starejših različicah se je ta operacija izvajala z dcpromo /prisilnoodstranjevanje, kaj Odstranite vlogo AD DS, ne da bi poskušali replicirati spremembe v preostali del gozda.V sodobnih okoljih se je čarovnik spremenil, vendar je koncept enak: odstraniti problematični krmilnik domene iz topologije AD, ne da bi ta sodeloval pri nadaljnji replikaciji.

Po vsiljeni znižani različici je obvezno izvesti ukaz iz zdravega krmilnika domene. čiščenje metapodatkov z uporabo orodja NtdsutilTa postopek odstrani vse reference na izbrisani kontroler domene (predmeti nastavitev NTDS, reference DNS itd.) iz baze podatkov AD, tako da ni več "duhovnih" ostankov, ki bi zmedle pri replikaciji.

Če je imel okvarjeni krmilnik vloge FSMO (emulator PDC, glavni RID, glavni shema itd.), bo treba prenese ali prevzame te vloge na drug krmilnik domene pred ali po znižanju, odvisno od situacije. Kasneje je mogoče operacijski sistem znova namestiti na ta strežnik in ga povišati nazaj na čist krmilnik domene.

Neavtoritativna in avtoritativna obnova v imeniku Active Directory

Ko je na voljo veljavna kopija stanja sistema, je mogoče obnovitev AD izvesti na dva načina: neavtoritativen in avtoritativenRazumevanje razlike je ključnega pomena, da ne spregledate nedavnih sprememb ali ne podvojite zastarelih podatkov.

V a neavtoritativna restavracijaDC se vrne na prejšnjo točko, ko pa se enkrat zažene, Drugi krmilniki domen se štejejo za referenčneZ drugimi besedami, po zagonu obnovljeni krmilnik domene zahteva vhodno replikacijo in posodobi svojo bazo podatkov z vsemi manjkajočimi spremembami iz drugih krmilnikov domene. Ta možnost je idealna, kadar Obstajajo tudi drugi zdravi krmilniki in želimo, da jih obnovljeni dohiti..

V a avtoritarna restavracijaVendar je izrecno navedeno, da Obnovljeni podatki bi morali prevladati. več kot imajo drugi kontrolerji domen. To pomeni, da bodo imeli obnovljeni objekti po obnovi višjo številko različice, zaradi česar jih bo treba podvojiti iz tega kontrolerja domen v preostalo domeno. To je ustrezna izbira, kadar Po nesreči smo izbrisali objekte ali organizacijske enote ali pa želimo vsebino SYSVOL in GPO vrniti v prejšnje stanje in jo replicirati..

Pomembna podrobnost je, da avtoritativna obnova ni nujno za celotno bazo podatkov. S pripomočkom Ntdsutil Posamezni objekti, poddrevesa (npr. OU) ali celotna domena so lahko označeni kot avtoritativni. To ponuja precejšnjo prilagodljivost, na primer za pridobi samo uporabnika, skupino, organizacijsko enoto ali poddrevo dc=mycompany,dc=local.

Splošni postopek za obnovitev stanja sistema v krmilniku domena

Osnovna shema za obnovitev stanja sistema krmilnika domena (bodisi fizičnega bodisi virtualnega) z združljivimi orodji je vedno podobna: Zaženite se v načinu za obnovitev imeniških storitev (DSRM), obnovite z orodjem za varnostno kopiranje in znova zaženite.

Če povzamemo, so tipični koraki za virtualni krmilnik domene naslednji:

1. Zaženite virtualni stroj v upravitelju zagona sistema Windows (običajno s pritiskom na F5/F8 med zagonom). Če virtualni stroj upravlja hipervizor, bo morda treba začasno ustaviti računalnik, da se zajame pritisk tipke.
2. V naprednih možnostih zagona izberite Način obnovitve imeniških storitev (Način obnovitve imeniških storitev). Ta način zažene strežnik brez funkcionalnega priklopa baze podatkov Active Directory.
3. Prijavite se s skrbniškim računom DSRM določeno med prvotno promocijo kontrolerja domene (ne s standardnim računom skrbnika domene).
4. Zaženite orodje za varnostno kopiranje uporabljeno orodje (Windows Server Backup, NAKIVO ali drugo združljivo) in izberite obnovitev stanja sistema na želeno točko varnostne kopije.
5. Dokončajte čarovnika za obnovitev in Ponovno zaženite DC v normalnem načinuPri neavtoritativnem obnavljanju bo strežnik sprožil replikacijo, da bi dohitel druge krmilnike domene.

Ko govorimo o izdelkih za varnostno kopiranje tretjih oseb, kot so Varnostno kopiranje in replikacija NAKIVONjegov način »zavedanja aplikacije« lahko prepozna, da je stroj, ki ga obnavljate, krmilnik domene in samodejno prilagodi postopek za ohranitev doslednosti ADV večini scenarijev z več krmilniki zadostuje popolna obnovitev v neavtoritativnem načinu.

Avtoritativna obnova z Ntdsutil

Če želite, da imajo spremembe na obnovljenem krmilniku domene prednost pred ostalimi, morate po neavtoritativni obnovi dodati še en korak: uporabite Ntdsutil za označevanje objektov kot avtoritativnih.

Poenostavljen tok bi bil:

1. Obnovite stanje sistema na standarden način in pustite strežnik še vedno v Način DSRM (Zaenkrat še ne zaženite sistema v normalnem načinu).
2. Odprite a ukazni poziv s povišanimi privilegiji in teči ntdsutil.
3. Aktivirajte instanco AD z aktiviraj primerek ntds.
4. Vstop v kontekst avtoritativne restavracije z avtoritativno obnovitev.
5. Uporabite ukaze, kot je restore object <DN_objeto> o restore subtree <DN_subarbol>, kjer je DN razločevalno ime objekta ali poddrevesa, ki ga je treba avtoritativno obnoviti.
6. Potrdite transakcijo in ko je končana, Ponovno zaženite DC v normalnem načinu tako da se označeni objekti replicirajo s prednostjo na preostali del domene.

Ta vrsta obnove zahteva veliko previdnost. Če je celotna domena avtoritativno obnovljena in je varnostna kopija staraObstaja tveganje izgube legitimnih sprememb, narejenih po varnostnem kopiranju (na primer ustvarjanje uporabnikov, spremembe gesel ali spremembe skupin). Zato je običajna praksa, da se avtoritativne obnovitve omejijo le na nujno potrebne objekte ali drevesa.

Obnova in okrevanje SYSVOL (FRS v primerjavi z DFSR)

SYSVOL je ključna komponenta krmilnika domene: Shranjuje zagonske skripte, skupinske pravilnike, varnostne predloge in druge bistvene skupne vire.Napaka v dovoljenjih, poškodba datotek ali težave z replikacijo lahko povzročijo neuporabnost objektov pravilne politike ali nepravilno delovanje odjemalcev.

Glede na različico sistema Windows Server in stanje selitve se lahko datoteka SYSVOL replicira FRS (Storitev replikacije datotek) ali z DFSR (Replikacija porazdeljenega datotečnega sistema)Postopek za avtoritativno obnovitev SYSVOL se razlikuje glede na to, kateri od obeh se uporablja.

Če želite to ugotoviti, lahko preverite ključ v registru. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\Sysvols\Migrating Sysvols\LocalStateČe ta podključ obstaja in je njegova vrednost 3 (IZBRISANO), se uporablja DFSR. Če ne obstaja ali je njegova vrednost drugačna, imamo opravka z okoljem, ki še vedno uporablja FRS.

V okoljih s FRS avtoritativno obnovitev SYSVOL običajno vključuje prilagajanje vrednosti Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process na določeno vrednost (npr. 212 decimalno / 0xD4 šestnajstiško), da označite, da je ta kontroler domena avtoritativni vir.

Če DFSR replicira SYSVOL, je postopek nekoliko bolj zapleten: vključuje uporabo ADSIUredi za spreminjanje naročniških objektov SYSVOL (atributov msDFSR-omogočeno y Možnosti msDFSR) na avtoritativnem DC-ju in na ostalih, vsili replikacijo AD, izvedi dfsrdiag pollad in v dnevniku dogodkov potrdite pojav dogodki 4114, 4602, 4614 in 4604 ki potrjujejo, da je bil SYSVOL pravilno inicializiran in repliciran.

Obnovitev virtualnih krmilnikov domen iz VHD-ja

V virtualiziranih okoljih je zelo pogosto, da imamo Datoteke VHD/VHDX krmilnikov domenČe nimate varnostne kopije stanja sistema, imate pa delujoč "stari" VHD, lahko s tega diska namestite nov DC, vendar morate to storiti zelo previdno, da preprečite povračilo USN.

Priporočilo je Ne zaženite tega virtualnega stroja neposredno v običajnem načinuNamesto tega se morate zagnati s prejšnjega VHD-ja v DSRMOdprite urejevalnik registra in se pomaknite do HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersTam je priporočljivo preveriti vrednost Število prejšnjih restavracij DSA (če obstaja) in predvsem ustvarite novo vrednost DWORD (32-bitno) z imenom Zbirka podatkov obnovljena iz varnostne kopije z vrednostjo 1.

Z izbiro te vrednosti se imeniku Active Directory sporoči, da je bila baza podatkov obnovljena iz varnostne kopije, kar prisili generiranje novega InvocationID-ja ob zagonu v normalnem načinuNa ta način drugi krmilniki domene to interpretirajo kot nov primerek in pravilno prilagodijo svoje vodne žige replikacije, s čimer preprečijo razveljavitev USN.

Po ponovnem zagonu krmilnika domene v normalnem načinu je priporočljivo preveriti pregledovalnik dogodkov, zlasti dnevnik Imeniške storitve, iščejoč dogodek 1109Ta dogodek potrdi, da se je atribut InvocationID strežnika spremenil, in prikaže staro in novo vrednost ter najvišjo številko USN v času varnostnega kopiranja. Poleg tega vrednost Število prejšnjih restavracij DSA Povečati bi ga bilo treba za eno.

Če se ti dogodki ne pojavijo ali se število ne poveča, preverite različice operacijskega sistema in servisne pakete, saj Določena obnašanja pri obnovi so odvisna od specifičnih popravkovV vsakem primeru je vedno priporočljivo delati na kopiji originalnega VHD-ja in ohraniti nedotaknjeno različico, če je treba postopek ponoviti.

Praktični scenariji in dodatna priporočila

V praksi se težave s korupcijo ali nepravilnimi restavracijami pogosto pojavljajo v vsakdanjih scenarijih: Ročne spremembe dovoljenj v SYSVOL, poskusi posodobitve predlog ADMX/ADML, spremembe GPO, ki se ne replicirajoitd. Če so mape v skupni rabi ročno spremenjene, je relativno enostavno povzročiti neskladnosti, na primer SYSVOL\Policies brez spoštovanja replikacije.

V primeru primarnega krmilnika domene z okvarjeno replikacijo (tako podatkov AD kot SYSVOL) in nadzornimi sporočili tipa »Zbirka podatkov je bila obnovljena z nepodprtim postopkom. Možen vzrok: razveljavitev USN.", je pametno storiti naslednje:

• Preverite pri dcdiag y repadmin obseg napak in ali obstajajo »trajni predmeti«.
• Preverite dogodek 2095 in vrednost DSA ni mogoče zapisovati v registru.
• Ocenite, ali je mogoče Odstranite ta DC in ga ponovno sestavite (Če so prisotni trije ali več drugih zdravih krmilnikov domene, je to običajno najboljša možnost).
• Če je to edini DC ali kritik, sprožite obnova stanja sistema iz združljive varnostne kopije, idealno nedavne in znotraj obdobja nagrobnika.

V domenah z več krmilniki je zelo priporočljivo, da so krmilniki domene čim bolj "čisti": brez dodatnih vlog ali lokalnih uporabniških podatkovNa ta način je mogoče v primeru okvare ali poškodbe enega novega formatirati in promovirati na podlagi drugega krmilnika domena ali prek IFM, kar močno zmanjša kompleksnost obnovitve.

Poleg tega je vredno upoštevati omejitve, kot so Kopije stanja sistema so veljavne samo v obdobju nagrobnika. (60, 90, 180 dni, odvisno od konfiguracije), da se prepreči oživljanje izbrisanih objektov, in da se ključi računalnika NTLM spreminjajo vsakih 7 dni. Pri zelo starih obnovitvah bo morda treba ponastavitev računov ekip težave z »Uporabniki in računalniki imenika Active Directory« ali celo njihovo odstranitev in ponovno pridružitev domeni.

Vzpostavljeni so postopki za redno varnostno kopiranje stanja sistema, Jasno dokumentirajte vloge FSMO, globalni katalog in topologijo replikacije.In testiranje korakov obnovitve v laboratorijskem okolju je časovna naložba, ki prihrani veliko glavobolov, ko pride dan, ko se krmilnik domene poškoduje ali ko nekdo brez premisleka uporabi posnetek.