Bozulmuş yerel etki alanı denetleyicisinin geri yüklenmesi ve kurtarılması

Bir etki alanı denetleyicisi bozulduğunda veya yanlış şekilde geri yüklendiğinde, ortaya çıkan korku çok büyüktür: Oturum açma işlemleri başarısız oluyor, Grup İlkesi Nesneleri (GPO'lar) uygulanmayı durduruyor ve çoğaltma işlemi neredeyse hiçbir ipucu vermeden bozuluyor.İyi haber şu ki, kabul görmüş yedekleme ve geri yükleme yöntemlerine uyulduğu takdirde, fiziksel veya sanal bir DC'yi kurtarmak için net prosedürler mevcuttur.

Modern Windows Server ortamlarında, bir etki alanı denetleyicisini geri yüklemek, aşağıdaki gibi kavramların iyi anlaşılmasını gerektirir: sistem durumu, yetkili/yetkisiz geri yükleme, SYSVOL, DFSR/FRS ve USN geri alma işlemleriBu sorunlar aceleyle veya uyumsuz görüntüleme araçlarıyla ele alınırsa, sonuç teşhis edilmesi çok zor olan, sessiz tutarsızlıklarla dolu bir orman olabilir.

Bir etki alanı denetleyicisini doğru şekilde korumanın ve kurtarmanın neden kritik öneme sahip olduğu

Active Directory, bir Windows etki alanında kimlik doğrulama ve yetkilendirmenin kalbidir.Kullanıcıları, bilgisayarları, grupları, güven ilişkilerini, grup politikalarını, sertifikaları ve diğer kritik unsurları depolar. Bu bilgiler öncelikle veritabanında bulunur. NTDS.ditİlgili günlük dosyaları ve klasörü SİSVOLBunlar, "sistem durumu" olarak adlandırılan kavramı oluşturan diğer bileşenler arasındadır.

Sistem durumu, diğer hususların yanı sıra şunları içerir: Active Directory günlük dosyaları ve verileri, Windows Kayıt Defteri, sistem birimi (SYSVOL), sertifika veritabanı (eğer bir CA varsa), IIS meta veri tabanı, önyükleme dosyaları ve korunan işletim sistemi bileşenleri.Bu nedenle, ciddi bir iş sürekliliği stratejisi, her veri merkezinin sistem durumunun düzenli yedeklerini içermelidir.

Active Directory veritabanında gerçek bir bozulma meydana geldiğinde, ciddi bir çoğaltma hatası oluştuğunda veya bir sorun ortaya çıktığında... izinler üzerinde SİSVOLEtki alanı denetleyicisi sorguları işlemeyi durdurabilir, Active Directory hizmetlerini başlatamayabilir veya orman genelinde zincirleme hatalara neden olabilir. Bu durumlarda, Hızlı ve doğru bir müdahale, ciddi bir olay ile uzun süreli bir felaket arasındaki farkı yaratır..

Geri yükleme işlemine başlamadan önce, gerçek bir veritabanı sorunu ile daha sıradan arızalar arasında ayrım yapmak çok önemlidir. Çoğu zaman, Sorunun nedeni DNS, ağ değişiklikleri, güvenlik duvarları veya aşağıdaki gibi araçlarla değiştirilen yönlendirmelerdir. netsh komutuBu nedenle, AD veritabanına dokunmadan önce bu faktörleri öncelikle elemek tavsiye edilir.

Temel teşhis ve çoğaltma kontrol araçları

Veri bozulması veya çoğaltma hatalarına dair belirtiler ortaya çıktığında, atılacak ilk mantıklı adım, yerel araçları kullanarak ortamın durumunu kontrol etmektir. DCDiag, Repadmin, ReplMon (eski sürümlerde) ve Olay Görüntleyici Agresif restorasyon yöntemlerini düşünmeden önce en iyi müttefikleriniz onlardır.

ile DCDiag Tüm etki alanı denetleyicilerinde genel bir kontrol yapılır ve çoğaltma, DNS, AD DS hizmetleri vb. ile ilgili sorunlar belirlenir. Repadmin Bu özellik, çoğaltma durumunu, çoğaltma ortaklarını, USN filigranlarını görüntülemenize ve kalıcı nesneleri tespit etmenize olanak tanır. Windows'un eski sürümlerinde, ReplMon Etki alanı içindeki çoğaltma hatalarının grafiksel bir görünümünü sunuyordu.

Bu araçlara ek olarak, Olay Görüntleyici'de "Dizin Hizmetleri" ve "DFS Çoğaltma" kayıtlarını incelemek de önemlidir. 467 ve 1018 gibi olaylar, veritabanının gerçekten bozulduğuna işaret ediyor.1113/1115/1114/1116 olayları ise giriş/çıkış çoğaltmasının etkinleştirilmesi veya devre dışı bırakılmasıyla ilgilidir.

Yolsuzluğun yayılmasını önlemek amacıyla şüpheli bir DC'nin geçici olarak izole edilmesi gerekiyorsa, bunu yapabiliriz. Repadmin ile gelen ve giden çoğaltmayı devre dışı bırakın.:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Replikasyonu normale döndürmek için bu seçenekleri kaldırmanız yeterlidir:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Etki alanı denetleyicilerinde desteklenen sistem durumu yedeklemeleri

Bir DC'yi garantili olarak kurtarabilmek için, şunlara sahip olmak şarttır: Active Directory uyumlu araçlar kullanılarak sistem durumu yedeklemeleri gerçekleştirilir.Bu araçlar, Microsoft'un yedekleme ve geri yükleme API'lerini ve Birim Gölge Kopyalama Hizmeti'ni (VSS) desteklenen bir şekilde kullanır.

En yaygın çözümler arasında şunlar yer almaktadır: Windows Server Yedekleme, VSS ile entegre üçüncü taraf çözümler (NAKIVO, Backup Exec ve diğerleri gibi)veya eski tip kamu hizmetleri gibi Ntbackup Windows 2000/2003'te. Her durumda, geri yükleme sonrasında veritabanının ve kopyalarının tutarlılığını sağlamak için AD API'lerine uymaları gerekir.

Windows Server 2012 ve sonraki sürümlerinde önemli bir yeni özellik bulunmaktadır: Hyper-V Nesil Kimliği (GenID)Bu tanımlayıcı, sanal etki alanı denetleyicisinin diskinde önceki bir zamana geri dönüş yapıldığını tespit etmesini sağlar. Bu gerçekleştiğinde, AD DS yeni bir InvocationID oluşturur ve durumu başarılı bir yedeklemeden geri yüklenmiş gibi ele alır.Bu sayede çoğaltma ortaklarına bildirim gönderilir ve ABD Donanması'nın geri alınmasına gerek kalmadan güvenli bir şekilde yeniden yazma işlemi gerçekleştirilebilir.

Saygı göstermek esastır. mezar taşı ömrüBu, sistem durumu yedeğinin, uzun zaman önce silinmiş nesnelerin yeniden eklenmesi riskini almadan ne kadar süreyle kullanılabileceğini gösterir. Modern sürümlerde bu süre genellikle 180 gündür ve yeterli güvenlik marjını korumak için en az 90 günde bir yedekleme yapılması önerilir.

USN iptallerine neden olan yetkisiz yöntemler

Active Directory'deki sessiz tutarsızlıkların en tehlikeli nedenlerinden biri şudur: ABD Donanması geri çekilmeBu durum, AD veritabanının içeriği desteklenmeyen bir teknik kullanılarak geri alındığında, InvocationID'nin geri yüklenmemesi veya çoğaltma ortaklarına bildirimde bulunulmaması durumunda ortaya çıkar.

Tipik senaryo, bir DC'yi bir kaynaktan başlatmaktır. disk resmi veya geçmişte alınmış bir sanal makine anlık görüntüsüUyumlu bir sistem geri yüklemesi kullanmadan. Veya Ntds.dit dosyasını doğrudan kopyalayın, Ghost gibi görüntüleme programları kullanın, bozuk bir disk aynasından önyükleme yapın veya dizi düzeyinde bir depolama anlık görüntüsünü yeniden uygulayın.

Bu durumlarda, etki alanı denetleyicisi daha önce kullandığı aynı InvocationID'yi kullanmaya devam eder, ancak onun Yerel ABD Donanması sayacı geriye doğru gidiyor.Diğer DC'ler yüksek bir USN'ye kadar olan değişiklikleri aldıklarını hatırlıyorlar, bu nedenle eski haline dönen DC zaten tanınmış USN'leri geri göndermeye çalıştığında, Partnerleri, onların güncel olduklarına inanıyor ve somut değişiklikleri kabul etmeyi bırakıyorlar..

Sonuç olarak, belirli değişiklikler (örneğin, Kullanıcı oluşturma, parola değiştirme, cihaz kaydı, grup üyeliği değişiklikleri, yeni DNS kayıtlarıBu hatalar, onarılan veri merkezinden ağın geri kalanına asla tekrarlanmaz, ancak izleme araçları net hatalar göstermeyebilir. Bu, son derece tehlikeli bir sessiz arıza türüdür.

Bu durumları tespit etmek için, Windows Server 2003 SP1 ve sonraki sürümlerdeki sürücüler kayıt tutar. Dizin Hizmetleri etkinliği 2095 Uzak bir DC'nin, InvocationID'de değişiklik yapılmadan önceden onaylanmış USN'ler gönderdiği tespit edildiğinde, sistem Etkilenen DC'yi karantinaya alır, Netlogon'u durdurur ve daha fazla değişikliğin gerçekleşmesini engeller. Bu, doğru şekilde çoğaltılamadı.

Ek adli delil olarak, Sicilde danışılmak üzere anahtar HKLM\SİSTEM\MevcutDenetimSeti\Hizmetler\NTDS\Parametreler ve değer DSa Yazılabilir DeğilBu değer ayarlanmışsa (örneğin, 0x4), bu, DC'nin USN ters çevirme tespiti tarafından yazma işlemi yapılmayan bir duruma getirildiğini gösterir. Bu değeri "düzeltmek" için manuel olarak değiştirmek kesinlikle desteklenmiyor. ve veritabanını kalıcı olarak tutarsız bir durumda bırakır.

Etki alanı denetleyicisinin bozulması veya eski haline dönmesi durumunda izlenecek genel stratejiler

Bozulmuş veya yanlış şekilde geri yüklenmiş bir DC ile uğraşırken izlenecek prosedür, çeşitli faktörlere bağlıdır: Etki alanı/orman içindeki etki alanı denetleyicilerinin sayısı, sistem durumunun geçerli kopyalarının bulunabilirliği, diğer rollerin (FSMO, CA, genel katalog) varlığı ve sorunun zamansal kapsamı.

Etki alanında başka sağlıklı DC'ler varsa ve Hasar gören etki alanı denetleyicisinde benzersiz kritik veri bulunmamaktadır.En hızlı ve en temiz çözüm genellikle o etki alanı denetleyicisini kaldırmak ve yeniden oluşturmaktır. Ancak, eğer tek etki alanı denetleyicisi ise veya hassas roller ve veriler barındırıyorsa, daha dikkatli bir geri yükleme (yetkili veya yetkisiz) gerekecektir.

Genel olarak seçenekler şunlardır:

• Bozuk DC'yi zorla devre dışı bırakın ve etki alanından kaldırın.Ardından meta veri temizliği ve gerekirse yeni tanıtım işlemleri yapılır.
• Geçerli bir sistem durumu yedeklemesinden geri yükleİster otoriter ister otoriter olmayan bir modda olsun.
• IFM (Install From Media) kullanarak başka bir DC'den yeniden kurulum yapın.Yakın tarihli bir kopya olmadığında ancak diğer geçerli DC'ler mevcut olduğunda.
• Sanal bir DC'nin VHD anlık görüntüsünü kullanmaVeritabanının yedekten geri yüklendiğini işaretlemek (Veritabanı yedekten geri yüklendi = 1) ve yeni bir InvocationID oluşturulmasını sağlamak için ek adımlar uygulanır.

Eğer bir USN geri alma işleminden açıkça şüpheleniliyorsa (örneğin, en iyi uygulamalar izlenmeden bir sanal makineyi anlık görüntüden geri yükledikten sonra) ve 2095 olayı ortaya çıkıyorsa, en mantıklı hareket tarzı genellikle şudur: O veri merkezini devre dışı bırakın ve yerinde "onarmaya" çalışmayın.Desteklenen sistem durumunun geri alma işleminden önce alınmış bir yedeğine geri dönmek mümkün olmadığı sürece.

Zorunlu rütbe düşürme ve meta veri temizliği

Bir etki alanı denetleyicisi normal şekilde devre dışı bırakılamayacak kadar hasar gördüğünde veya yanlış bir şekilde geri yüklendiğinde ve sorunların yayılmasını önlemek istediğinizde, şu yönteme başvurabilirsiniz: zorunlu rütbe düşürme.

Eski sürümlerde bu işlem şu şekilde gerçekleştiriliyordu: dcpromo /forceremovalne AD DS rolünü, değişiklikleri ormanın geri kalanına yansıtmaya çalışmadan kaldırın.Modern ortamlarda sihirbaz değişti, ancak temel kavram aynı: sorunlu DC'yi daha fazla çoğaltmaya katılmadan AD topolojisinden kaldırmak.

Zorunlu sürüm düşürme işleminden sonra, sağlıklı bir DC'den komut çalıştırmak zorunludur. meta veri temizliği aracı kullanmak NtdsutilBu işlem, silinen DC'ye ait tüm referansları (NTDS Ayarları nesneleri, DNS referansları vb.) AD veritabanından kaldırır, böylece Kopyalama işlemini karıştıracak hiçbir "hayalet" kalıntı kalmadı..

Eğer arızalı kontrol ünitesinde FSMO rolleri (PDC Emülatörü, RID Yöneticisi, Şema Yöneticisi vb.) bulunuyorsa, aşağıdaki işlemler gerekli olacaktır: bu rolleri devrediyor veya ele geçiriyor Duruma bağlı olarak, sunucu düşürülmeden önce veya sonra başka bir DC'ye taşınabilir. Daha sonra, işletim sistemi bu sunucuya yeniden kurulabilir ve sunucu tekrar temiz bir DC olarak yükseltilebilir.

Active Directory'de yetkisiz ve yetkili geri yükleme arasındaki fark

Sistem durumunun geçerli bir kopyası mevcut olduğunda, AD kurtarma işlemi iki şekilde yapılabilir: otoritesiz ve otoriteliAradaki farkı anlamak, son değişiklikleri kaçırmamak veya güncel olmayan verileri tekrar kullanmamak için çok önemlidir.

bir yetkili olmayan restorasyonDC önceki bir noktaya geri döndürülür, ancak bir kez başlatıldığında, Diğer etki alanı denetleyicileri referans olarak kabul edilir.Başka bir deyişle, başlatmanın ardından, geri yüklenen DC gelen çoğaltma talebinde bulunur ve diğer DC'lerden eksik olan değişikliklerle veritabanını günceller. Bu seçenek, aşağıdaki durumlarda idealdir: Başka sağlıklı kontrolcüler de var ve onarılanın onlarla aynı seviyeye gelmesini istiyoruz..

bir otoriter restorasyonAncak, açıkça belirtilmiştir ki Geri yüklenen veriler geçerli olmalıdır. Diğer DC'lerin sahip olduğundan daha yüksek bir sürüm numarasına sahip olması, geri yükleme işleminden sonra kurtarılan nesnelerin, bu DC'den etki alanının geri kalanına çoğaltılmasını sağlamak için daha yüksek bir sürüm numarasına sahip olacağı anlamına gelir. Bu, uygun bir seçimdir. Yanlışlıkla nesneleri veya OU'ları sildik veya SYSVOL ve GPO'nun içeriğini önceki bir duruma geri döndürmek ve kopyalanmasını sağlamak istiyoruz..

Önemli bir ayrıntı, yetkili geri yüklemenin mutlaka tüm veritabanı için olması gerekmemesidir. Bu yardımcı program sayesinde Ntdsutil Bireysel nesneler, alt ağaçlar (örneğin, bir OU) veya tüm etki alanı yetkili olarak işaretlenebilir. Bu, örneğin, önemli ölçüde esneklik sağlar: Yalnızca bir kullanıcıyı, bir grubu, bir kuruluş birimini veya dc=mycompany,dc=local alt ağacını getir.

Bir veri merkezinde sistem durumunu geri yüklemeye yönelik genel prosedür

Uyumlu araçlar kullanarak bir veri merkezinin (fiziksel veya sanal) sistem durumunu geri yüklemenin temel şeması her zaman benzerdir: Dizin Hizmetleri Geri Yükleme Moduna (DSRM) önyükleme yapın, yedekleme aracını kullanarak geri yükleyin ve yeniden başlatın..

Özetle, sanal etki alanı denetleyicisi için tipik adımlar şunlardır:

1. Windows Önyükleme Yöneticisi'nde sanal makineyi başlatın. (Genellikle başlatma sırasında F5/F8 tuşlarına basılarak yapılır). Sanal makine bir hipervizör tarafından yönetiliyorsa, tuş vuruşunu yakalamak için makineyi duraklatmak gerekebilir.
2. Gelişmiş önyükleme seçeneklerinde, şunu seçin: Dizin hizmetleri geri yükleme modu (Dizin Hizmetleri Geri Yükleme Modu). Bu mod, Active Directory veritabanını işlevsel bir şekilde bağlamadan sunucuyu başlatır.
3. DSRM yönetici hesabıyla giriş yapın. DC'nin ilk tanıtımı sırasında tanımlanmıştır (standart bir etki alanı yöneticisi hesabı ile değil).
4. Yedekleme aracını çalıştırın Kullanılan (Windows Server Backup, NAKIVO veya diğer uyumlu) yedekleme programını kullanarak sistem durumunu istediğiniz yedekleme noktasına geri yüklemeyi seçin.
5. Onarım sihirbazını tamamlayın ve DC'yi normal modda yeniden başlatın.Yetkisiz bir geri yükleme işleminde, sunucu diğer DC'lerle aynı seviyeye gelmek için çoğaltmayı başlatacaktır.

Üçüncü taraf yedekleme ürünlerinden bahsettiğimizde, örneğin; NAKIVO Yedekleme ve Çoğaltma"Uygulama algılayıcı" modu, kurtarılmakta olan makinenin bir DC olduğunu algılayabiliyor ve AD tutarlılığını korumak için süreci otomatik olarak ayarlayın.Birden fazla kontrol cihazının bulunduğu çoğu senaryoda, yetkisiz modda tam kurtarma yeterlidir.

Ntdsutil ile yetkili restorasyon

Geri yüklenen etki alanı denetleyicisindeki değişikliklerin diğerlerine göre öncelikli olmasını istiyorsanız, yetkisiz geri yükleme işleminden sonra ek bir adım eklemeniz gerekir: Nesneleri yetkili olarak işaretlemek için Ntdsutil'i kullanın..

Basitleştirilmiş akış şu şekilde olurdu:

1. Sistem durumunu standart yöntemle geri yükleyin ve sunucuyu olduğu gibi bırakın. DSRM modu (Henüz normal modda yeniden başlatmayın).
2. Açık Yükseltilmiş ayrıcalıklara sahip komut istemi ve koş ntdsutil.
3. AD örneğini şu şekilde etkinleştirin: örnek ntds'yi etkinleştir.
4. Yetkili restorasyon bağlamına girerken yetkili geri yükleme.
5. Gibi komutları kullanın restore object <DN_objeto> o restore subtree <DN_subarbol>Burada DN, yetkili olarak geri yüklenecek nesnenin veya alt ağacın ayırt edici adıdır.
6. İşlemi onaylayın ve tamamlandıktan sonra, DC'yi normal modda yeniden başlatın. Böylece işaretlenen nesneler, alanın geri kalanına göre öncelikli olarak çoğaltılır.

Bu tür restorasyon büyük dikkat gerektirir. Eğer tüm etki alanı yetkili bir şekilde geri yüklenirse ve yedekleme eski iseYedeklemeden sonra yapılan meşru değişikliklerin (örneğin, kullanıcı oluşturma, parola değişiklikleri veya grup değişiklikleri) kaybolma riski vardır. Bu nedenle, yetkili geri yüklemeleri yalnızca kesinlikle gerekli nesneler veya ağaçlarla sınırlamak yaygın bir uygulamadır.

SYSVOL restorasyonu ve iyileşmesi (FRS ve DFSR karşılaştırması)

SYSVOL, etki alanı denetleyicisinin önemli bir bileşenidir: Başlangıç ​​komut dosyalarını, grup politikalarını, güvenlik şablonlarını ve diğer temel paylaşılan kaynakları depolar.İzinlerinizdeki bir hata, dosya bozulması veya çoğaltma sorunları, Grup İlkesi Nesnelerinin (GPO'ların) kullanılamaz hale gelmesine veya istemcilerde düzensiz davranışlara neden olabilir.

Windows Server sürümüne ve geçiş durumuna bağlı olarak, SYSVOL aşağıdaki yöntemlerle çoğaltılabilir: FRS (Dosya Çoğaltma Hizmeti) neden DFSR (Dağıtılmış Dosya Sistemi Çoğaltma)SYSVOL'ün yetkili bir şekilde geri yüklenmesi prosedürü, kullanılan iki yöntemden hangisine bağlı olarak değişir.

Bunu belirlemek için, Kayıt Defteri'ndeki ilgili anahtarı kontrol edebilirsiniz. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateBu alt anahtar mevcutsa ve değeri 3 (SİLİNDİ) ise, DFSR kullanılıyor demektir. Mevcut değilse veya değeri farklıysa, hala FRS kullanan bir ortamla karşı karşıyayız demektir.

FRS'nin bulunduğu ortamlarda, SYSVOL'ün yetkili bir şekilde kurtarılması genellikle değerin ayarlanmasını içerir. Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process Bu DC'nin yetkili kaynak olduğunu belirtmek için belirli bir değere (örneğin, 212 ondalık / 0xD4 onaltılık) dönüştürülür.

Eğer SYSVOL, DFSR tarafından çoğaltılırsa, süreç biraz daha karmaşık hale gelir: şu yöntemleri içerir: ADSIEdit'i SYSVOL abonelik nesnelerini (öznitelikleri) değiştirmek için msDFSR Etkinleştirilmiş y msDFSR-SeçenekleriYetkili DC'de ve diğerlerinde AD çoğaltmayı zorla, yürüt dfsrdiag pollad ve olay günlüğünde görünümünü doğrulayın. 4114, 4602, 4614 ve 4604 numaralı olaylar SYSVOL'ün doğru şekilde başlatıldığını ve çoğaltıldığını onaylayan belgeler.

VHD'den sanal etki alanı denetleyicilerini kurtarma

Sanal ortamlarda bu durum oldukça yaygındır. Etki alanı denetleyicilerinin VHD/VHDX dosyalarıSistem durumu yedeğiniz yoksa ancak çalışan bir "eski" VHD dosyanız varsa, bu diskten yeni bir DC bağlayabilirsiniz; ancak USN geri alma işlemine neden olmamak için bunu çok dikkatli yapmalısınız.

tavsiye O sanal makineyi doğrudan normal modda başlatmayın.Bunun yerine, önceki VHD dosyasından önyükleme yapmalısınız. DSRMKayıt Defteri Düzenleyicisini açın ve şu konuma gidin: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersOrada, değeri kontrol etmek tavsiye edilir. Önceki DSA restorasyonlarının sayısı (eğer mevcutsa) ve her şeyden önemlisi, yeni bir DWORD (32-bit) değeri oluşturun. Veritabanı yedekten geri yüklendi. değeri 1.

Bu değer seçildiğinde, Active Directory'ye veritabanının bir yedekten geri yüklendiği bildirilir ve bu da zorunlu bir işlem başlatılmasına neden olur. normal modda önyükleme sırasında yeni bir InvocationID oluşturuluyorBu sayede diğer DC'ler bunu yeni bir örnek olarak yorumlar ve çoğaltma filigranlarını doğru şekilde ayarlayarak USN geri alma işlemini engeller.

DC'yi normal modda yeniden başlattıktan sonra, Olay Görüntleyici'yi, özellikle de ilgili günlüğü kontrol etmeniz önerilir. Dizin hizmetleriarıyor olay 1109Bu olay, sunucunun InvocationID özniteliğinin değiştiğini doğrular ve eski ve yeni değerlerin yanı sıra yedekleme anındaki en yüksek USN değerini görüntüler. Ek olarak, değer Önceki DSA restorasyonlarının sayısı Bir artırılmalıydı.

Bu olaylar görünmüyorsa veya sayı artmıyorsa, işletim sistemi sürümlerini ve Servis Paketlerini kontrol etmelisiniz, çünkü Bazı onarım davranışları belirli yamalara bağlıdır.Her durumda, işlemin tekrarlanması gerekmesi ihtimaline karşı, orijinal VHD dosyasının bir kopyası üzerinde çalışmak ve sağlam bir sürümünü saklamak her zaman tavsiye edilir.

Pratik senaryolar ve ek öneriler

Pratikte, yolsuzluk veya uygunsuz onarım sorunları sıklıkla günlük yaşamda karşımıza çıkar: SYSVOL'de izinlerin manuel olarak değiştirilmesi, ADMX/ADML şablonlarının güncellenmesi girişimleri, çoğaltılmayan GPO değişikliklerivb. Paylaşılan klasörler manuel olarak değiştirilirse, tutarsızlıkların oluşması nispeten kolaydır, örneğin: SYSVOL\Policies Çoğaltmaya saygı göstermeden.

Birincil DC'de replikasyonun (hem AD verileri hem de SYSVOL) bozulması durumunda ve şu türde izleme mesajları alındığında:Veritabanı, desteklenmeyen bir yöntem kullanılarak geri yüklendi. Olası neden: USN geri alma işlemi."Yapılması gereken en akıllıca şey şudur:

• Şununla kontrol edin: dcdiag y repadmin Hataların kapsamı ve "kalıcı nesnelerin" olup olmadığı.
• 2095 numaralı olayı ve değerini kontrol edin. DSa Yazılabilir Değil Sicilde.
• Mümkün olup olmadığını değerlendirin. O DC'yi kaldırın ve yeniden oluşturun. (Eğer üç veya daha fazla sağlıklı çocuk varsa, bu genellikle en iyi seçenektir).
• Eğer tek DC veya eleştirmen buysa, bir sorun bildirin. sistem durumu geri yükleme Uyumlu bir yedeklemeden, tercihen yakın tarihli ve "tobstone" dönemi içinde olan bir yedeklemeden.

Birden fazla denetleyicinin bulunduğu etki alanlarında, veri merkezlerinin mümkün olduğunca "saf" olması şiddetle tavsiye edilir: ek roller veya yerel kullanıcı verileri olmadanBu sayede, bir DC arızalanırsa veya bozulursa, başka bir DC'ye veya IFM aracılığıyla yeni bir DC biçimlendirilip etkinleştirilebilir, bu da kurtarma işleminin karmaşıklığını büyük ölçüde azaltır.

Ayrıca, bu gibi sınırlamaları da hatırlamakta fayda var. Sistem durumu kopyaları yalnızca mezar taşı dönemi boyunca geçerlidir. Silinen nesnelerin yeniden canlandırılmasını önlemek için (yapılandırmaya bağlı olarak 60, 90, 180 gün) ve NTLM makine anahtarlarının her 7 günde bir değiştiğini unutmayın. Çok eski geri yüklemelerde, şunlar gerekebilir: takım hesaplarını sıfırla "Active Directory Kullanıcıları ve Bilgisayarları" ile ilgili sorunları gidermek veya hatta bunları kaldırmak ve etki alanına yeniden eklemek gibi işlemler de yapılabilir.

Sistem durumunun düzenli olarak yedeklenmesi için prosedürlerin mevcut olması, FSMO rollerini, küresel kataloğu ve çoğaltma topolojisini açıkça belgeleyin.Ve kurtarma adımlarını laboratuvar ortamında test etmek, bir etki alanı denetleyicisinin bozulduğu veya birinin düşünmeden bir anlık görüntü uyguladığı gün geldiğinde birçok baş ağrısından kurtaran zaman yatırımlarıdır.