Khôi phục và phục hồi bộ điều khiển miền cục bộ bị hỏng

Khi bộ điều khiển miền bị hỏng hoặc được khôi phục không chính xác, hậu quả sẽ rất nghiêm trọng: Đăng nhập thất bại, các chính sách nhóm (GPO) ngừng được áp dụng và quá trình sao chép dữ liệu bị gián đoạn mà hầu như không có dấu hiệu nào.Tin tốt là có những quy trình rõ ràng để khôi phục trung tâm dữ liệu vật lý hoặc ảo, miễn là tuân thủ các phương pháp sao lưu và khôi phục được chấp nhận.

Trong môi trường Windows Server hiện đại, việc khôi phục bộ điều khiển miền đòi hỏi sự hiểu biết tốt về các khái niệm như: trạng thái hệ thống, khôi phục có thẩm quyền/không có thẩm quyền, SYSVOL, DFSR/FRS và hoàn tác USNNếu những vấn đề này được giải quyết vội vàng hoặc bằng các công cụ hình ảnh không tương thích, kết quả có thể là một rừng đầy những bất thường âm thầm rất khó chẩn đoán.

Tại sao việc bảo vệ và khôi phục bộ điều khiển miền đúng cách lại vô cùng quan trọng?

Active Directory là cốt lõi của quá trình xác thực và ủy quyền trong một miền Windows.Nó lưu trữ thông tin về người dùng, máy tính, nhóm, mối quan hệ tin cậy, chính sách nhóm, chứng chỉ và các yếu tố quan trọng khác. Thông tin này chủ yếu nằm trong cơ sở dữ liệu. Ntds.ditcác tệp nhật ký và thư mục liên quan TRIỆU CHỨNG, cùng với các thành phần khác tạo nên cái gọi là “trạng thái của hệ thống”.

Trạng thái hệ thống bao gồm, trong số những thứ khác, Các tệp nhật ký và dữ liệu Active Directory, Windows Registry, phân vùng hệ thống, SYSVOL, cơ sở dữ liệu chứng chỉ (nếu có CA), siêu dữ liệu IIS, các tệp khởi động và các thành phần hệ điều hành được bảo vệ.Do đó, bất kỳ chiến lược đảm bảo hoạt động kinh doanh liên tục nào cũng phải bao gồm việc sao lưu thường xuyên trạng thái hệ thống của từng trung tâm dữ liệu.

Khi xảy ra lỗi nghiêm trọng trong cơ sở dữ liệu Active Directory, lỗi sao chép nghiêm trọng hoặc sự cố với... quyền hạn trên TRIỆU CHỨNGBộ điều khiển miền có thể ngừng xử lý các truy vấn, không khởi động được các dịch vụ Active Directory hoặc gây ra lỗi lan truyền khắp toàn bộ hệ thống. Trong những trường hợp này, Khắc phục nhanh chóng và đúng cách là yếu tố quyết định giữa một sự cố nghiêm trọng và một thảm họa kéo dài..

Trước khi tiến hành khôi phục, điều quan trọng là phải phân biệt giữa sự cố cơ sở dữ liệu thực sự và các lỗi thông thường hơn. Rất thường xuyên, Nguyên nhân nằm ở DNS, thay đổi mạng, tường lửa hoặc các tuyến đường bị sửa đổi bằng các công cụ như... lệnh netshDo đó, nên loại trừ những yếu tố này trước khi can thiệp vào cơ sở dữ liệu AD.

Công cụ chẩn đoán và kiểm soát sao chép cơ bản

Trong trường hợp xuất hiện các triệu chứng lỗi dữ liệu hoặc lỗi sao chép, bước đầu tiên cần làm là kiểm tra trạng thái môi trường bằng các công cụ gốc. DCDiag, Repadmin, ReplMon (trong các phiên bản cũ hơn) và Trình xem sự kiện Họ là những đồng minh tốt nhất của bạn trước khi xem xét đến các biện pháp phục hồi mạnh mẽ.

với DCDiag Quá trình kiểm tra tổng thể tất cả các bộ điều khiển miền được thực hiện, nhằm xác định các sự cố liên quan đến sao chép dữ liệu, DNS, dịch vụ AD DS, v.v. Repadmin Nó cho phép bạn xem trạng thái sao chép, các đối tác sao chép, dấu bản quyền USN và phát hiện các đối tượng tồn tại lâu dài. Trong các phiên bản Windows cũ hơn, ReplMon Nó cung cấp một cái nhìn trực quan về các lỗi sao chép trong miền dữ liệu.

Ngoài các công cụ này, việc xem lại Nhật ký sự kiện (Event Viewer) để tìm các mục “Dịch vụ thư mục” và “Sao chép DFS” cũng rất cần thiết. Các sự kiện như 467 và 1018 cho thấy cơ sở dữ liệu thực sự bị lỗi.Trong khi đó, các sự kiện 1113/1115/1114/1116 liên quan đến việc bật hoặc tắt sao chép đầu vào/đầu ra.

Nếu cần cách ly tạm thời một cá nhân bị nghi ngờ là đối tượng tham nhũng để ngăn chặn việc lây lan tham nhũng, chúng ta có thể làm như vậy. Vô hiệu hóa sao chép dữ liệu đến và đi bằng Repadmin.:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

Và để khôi phục quá trình sao chép về trạng thái bình thường, chỉ cần loại bỏ các tùy chọn đó:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

Hỗ trợ sao lưu trạng thái hệ thống trên bộ điều khiển miền.

Để có thể khôi phục trung tâm dữ liệu (DC) với các đảm bảo, điều cần thiết là phải có Việc sao lưu trạng thái hệ thống được thực hiện bằng các công cụ tương thích với Active Directory.Các công cụ này sử dụng API sao lưu và khôi phục của Microsoft cũng như Dịch vụ Sao chép Bóng Khối lượng (VSS) theo cách được hỗ trợ.

Trong số những giải pháp phổ biến nhất là Sao lưu Windows Server, các giải pháp của bên thứ ba tích hợp với VSS (như NAKIVO, Backup Exec và các giải pháp khác)hoặc các tiện ích cũ hơn như sao lưu Trong Windows 2000/2003, trong mọi trường hợp, chúng phải tuân thủ các API của Active Directory để đảm bảo tính nhất quán của cơ sở dữ liệu và các bản sao của nó sau khi khôi phục.

Windows Server 2012 và các phiên bản sau này có một tính năng mới quan trọng: Mã định danh thế hệ Hyper-V (GenID)Mã định danh này cho phép bộ điều khiển miền ảo phát hiện xem đĩa của nó đã được khôi phục về trạng thái trước đó hay chưa. Khi điều này xảy ra, AD DS tạo một InvocationID mới và xử lý tình huống như thể nó đã được khôi phục từ một bản sao lưu thành công.Thông báo cho các đối tác sao chép của nó, nhờ đó cho phép ghi đè an toàn mà không gây ra lỗi khôi phục USN.

Điều cần thiết là phải tôn trọng suốt đời trên bia mộĐiều này cho biết thời gian tối đa mà bản sao lưu trạng thái hệ thống có thể được sử dụng mà không có nguy cơ khôi phục lại các đối tượng đã bị xóa từ lâu. Thông thường là 180 ngày trong các phiên bản hiện đại, và khuyến cáo nên thực hiện sao lưu ít nhất 90 ngày một lần để duy trì đủ biên độ an toàn.

Các phương pháp trái phép gây ra hiện tượng đảo ngược USN

Một trong những nguyên nhân nguy hiểm nhất gây ra sự không nhất quán ngầm trong Active Directory là... USN rollbackTình huống này xảy ra khi nội dung của cơ sở dữ liệu AD được khôi phục bằng một kỹ thuật không được hỗ trợ, mà không khôi phục InvocationID hoặc thông báo cho các đối tác sao chép.

Tình huống điển hình là khởi động một DC từ một... hình ảnh đĩa hoặc ảnh chụp nhanh máy ảo được tạo trong quá khứ.mà không sử dụng công cụ khôi phục hệ thống tương thích. Hoặc sao chép trực tiếp tệp Ntds.dit, sử dụng các chương trình tạo ảnh đĩa như Ghost, khởi động từ bản sao đĩa bị lỗi, hoặc áp dụng lại ảnh chụp nhanh bộ nhớ ở cấp độ mảng.

Trong những trường hợp này, bộ điều khiển miền vẫn tiếp tục sử dụng cùng một InvocationID như trước, nhưng... Bộ đếm USN cục bộ quay ngược lạiCác DC khác nhớ đã nhận được các thay đổi lên đến USN cao, vì vậy khi DC bị khôi phục cố gắng gửi lại các USN đã được nhận dạng, Các đối tác của họ tin rằng họ luôn cập nhật thông tin và không còn chấp nhận những thay đổi cụ thể nữa..

Kết quả là một số sửa đổi nhất định (ví dụ, Tạo người dùng, thay đổi mật khẩu, đăng ký thiết bị, thay đổi tư cách thành viên nhóm, bản ghi DNS mớiNhững lỗi này không bao giờ được sao chép từ trung tâm dữ liệu đã được khôi phục sang phần còn lại của mạng, nhưng các công cụ giám sát có thể không hiển thị các lỗi rõ ràng. Đây là một lỗi âm thầm cực kỳ nguy hiểm.

Để phát hiện những tình huống này, trình điều khiển của Windows Server 2003 SP1 trở lên sẽ ghi lại nhật ký. Sự kiện Dịch vụ Thư mục 2095 Khi phát hiện một trung tâm điều khiển từ xa (DC) đang gửi các USN đã được xác nhận mà không có sự thay đổi trong InvocationID, hệ thống sẽ... Thao tác này sẽ cách ly máy chủ DC bị ảnh hưởng, tạm dừng Netlogon và ngăn chặn mọi thay đổi tiếp theo xảy ra. Điều đó không thể được tái tạo một cách chính xác.

Là bằng chứng pháp y bổ sung, nó có thể để tham khảo trong Sổ đăng ký chìa khóa HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters và giá trị Dsa Không thể ghiNếu giá trị này được thiết lập (ví dụ: 0x4), điều đó cho biết DC đã được đưa vào trạng thái không ghi do quá trình phát hiện đảo chiều USN. Việc tự ý chỉnh sửa giá trị này để "sửa lỗi" hoàn toàn không được hỗ trợ. và khiến cơ sở dữ liệu luôn ở trong trạng thái không nhất quán.

Các chiến lược chung trong trường hợp xảy ra lỗi hoặc khôi phục lại bộ điều khiển miền.

Quy trình cần tuân theo khi xử lý DC bị hỏng hoặc được khôi phục không chính xác phụ thuộc vào một số yếu tố: Số lượng bộ điều khiển miền trong miền/rừng, tính khả dụng của các bản sao hợp lệ của trạng thái hệ thống, sự hiện diện của các vai trò khác (FSMO, CA, danh mục toàn cầu) và phạm vi thời gian của vấn đề..

Nếu có các DC khỏe mạnh khác trong miền và Không có dữ liệu quan trọng duy nhất nào về bộ điều khiển miền bị hỏng.Thông thường, phương án nhanh nhất và hiệu quả nhất là xóa bộ điều khiển miền đó và xây dựng lại. Tuy nhiên, nếu đó là bộ điều khiển miền duy nhất, hoặc nếu nó lưu trữ các vai trò và dữ liệu nhạy cảm, thì cần phải thực hiện khôi phục cẩn thận hơn (có thẩm quyền hoặc không có thẩm quyền).

Nhìn chung, các lựa chọn là:

• Hạ cấp DC bị lỗi và loại bỏ nó khỏi miền.Tiếp theo là làm sạch siêu dữ liệu và, nếu cần, thực hiện chiến dịch quảng bá mới.
• Khôi phục từ bản sao lưu trạng thái hệ thống hợp lệ, dù ở chế độ có thẩm quyền hay không có thẩm quyền.
• Xây dựng lại trung tâm dữ liệu từ một trung tâm dữ liệu khác bằng cách sử dụng IFM (Install From Media)., khi không có bản sao gần đây nhưng vẫn còn các bản sao DC chính xác khác.
• Sử dụng ảnh chụp nhanh VHD của trung tâm dữ liệu ảo, áp dụng các bước bổ sung để đánh dấu cơ sở dữ liệu là đã được khôi phục từ bản sao lưu (Cơ sở dữ liệu được khôi phục từ bản sao lưu = 1) và đảm bảo rằng một InvocationID mới được tạo.

Nếu nghi ngờ rõ ràng về việc khôi phục USN (ví dụ: sau khi khôi phục máy ảo từ ảnh chụp nhanh mà không tuân theo các quy trình tốt nhất) và sự kiện 2095 xuất hiện, thì hành động hợp lý nhất thường là... Hãy ngừng sử dụng trung tâm dữ liệu đó và không cố gắng "sửa chữa" tại chỗ.Trừ khi có thể khôi phục lại bản sao lưu trạng thái hệ thống được hỗ trợ đã được thực hiện trước khi hoàn tác.

Hạ cấp bắt buộc và dọn dẹp siêu dữ liệu

Khi một bộ điều khiển miền bị hư hỏng đến mức không thể hạ cấp bình thường, hoặc đã được khôi phục không chính xác và bạn muốn ngăn chặn sự lây lan của nó, bạn có thể sử dụng đến một giải pháp khác. bị giáng chức bắt buộc.

Trong các phiên bản cũ hơn, thao tác này được thực hiện bằng dcpromo /forceremoval, gì Gỡ bỏ vai trò AD DS mà không cố gắng sao chép các thay đổi sang phần còn lại của forest.Trong môi trường hiện đại, trình hướng dẫn đã thay đổi, nhưng khái niệm vẫn giữ nguyên: loại bỏ bộ điều khiển miền (DC) gây sự cố khỏi cấu trúc liên kết AD mà không để nó tham gia vào quá trình sao chép tiếp theo.

Sau khi buộc phải hạ cấp, việc thực thi lệnh từ một trung tâm dữ liệu (DC) hoạt động bình thường là bắt buộc. làm sạch siêu dữ liệu sử dụng công cụ NtdsutilQuá trình này loại bỏ tất cả các tham chiếu đến DC đã bị xóa (các đối tượng Cài đặt NTDS, tham chiếu DNS, v.v.) khỏi cơ sở dữ liệu AD, để không còn "dấu vết" nào gây nhầm lẫn trong quá trình sao chép..

Nếu bộ điều khiển bị lỗi có các vai trò FSMO (PDC Emulator, RID Master, Schema Master, v.v.), thì cần phải thực hiện các bước sau: chuyển giao hoặc chiếm đoạt những vai trò đó Tùy thuộc vào tình huống, bạn có thể chuyển máy chủ đến một DC khác trước hoặc sau khi hạ cấp. Sau đó, hệ điều hành có thể được cài đặt lại trên máy chủ đó và nó có thể được nâng cấp trở lại thành một DC sạch.

Khôi phục không có thẩm quyền so với khôi phục có thẩm quyền trong Active Directory

Khi có bản sao hợp lệ về trạng thái hệ thống, quá trình khôi phục AD có thể được thực hiện theo hai cách: không có thẩm quyền và có thẩm quyềnHiểu rõ sự khác biệt là chìa khóa để không bỏ lỡ những thay đổi gần đây hoặc sao chép dữ liệu lỗi thời.

Trong một phục hồi không có thẩm quyềnDC được đưa trở lại điểm trước đó, nhưng một khi nó bắt đầu, Các bộ điều khiển miền khác được coi là tham chiếu.Nói cách khác, sau khi khởi động, DC được khôi phục sẽ yêu cầu sao chép dữ liệu đến và cập nhật cơ sở dữ liệu của nó với bất kỳ thay đổi nào còn thiếu từ các DC khác. Tùy chọn này là lý tưởng khi Hiện vẫn còn những bộ điều khiển hoạt động tốt khác, và chúng tôi muốn bộ điều khiển đã được khôi phục sẽ bắt kịp với chúng..

Trong một khôi phục độc đoánTuy nhiên, điều khoản này nêu rõ rằng Dữ liệu được khôi phục mới là dữ liệu cần được ưu tiên. so với các DC khác. Điều này có nghĩa là, sau khi khôi phục, các đối tượng được khôi phục sẽ có số phiên bản cao hơn để buộc chúng được sao chép từ DC đó đến phần còn lại của miền. Đây là lựa chọn phù hợp khi Chúng tôi vô tình xóa các đối tượng hoặc đơn vị tổ chức (OU), hoặc chúng tôi muốn khôi phục nội dung của SYSVOL và GPO về trạng thái trước đó và sao chép chúng..

Một chi tiết quan trọng là việc khôi phục có thẩm quyền không nhất thiết phải áp dụng cho toàn bộ cơ sở dữ liệu. Với tiện ích này, Ntdsutil Các đối tượng riêng lẻ, cây con (ví dụ: một OU) hoặc toàn bộ miền có thể được đánh dấu là có thẩm quyền. Điều này mang lại sự linh hoạt đáng kể, ví dụ như, Chỉ truy xuất người dùng, nhóm, đơn vị tổ chức (OU) hoặc cây con dc=mycompany,dc=local.

Quy trình chung để khôi phục trạng thái hệ thống trong trung tâm dữ liệu

Quy trình cơ bản để khôi phục trạng thái hệ thống của một trung tâm dữ liệu (dù là vật lý hay ảo) bằng các công cụ tương thích luôn tương tự nhau: Khởi động vào Chế độ Khôi phục Dịch vụ Thư mục (DSRM), khôi phục bằng công cụ sao lưu và khởi động lại..

Tóm lại, các bước điển hình để thiết lập bộ điều khiển miền ảo sẽ là:

1. Khởi động máy ảo trong Trình quản lý khởi động Windows (Thông thường bằng cách nhấn F5/F8 trong quá trình khởi động). Nếu máy ảo được quản lý bởi hypervisor, có thể cần phải tạm dừng máy để ghi lại thao tác nhấn phím.
2. Trong tùy chọn khởi động nâng cao, hãy chọn chế độ khôi phục dịch vụ thư mục (Chế độ Khôi phục Dịch vụ Thư mục). Chế độ này khởi động máy chủ mà không gắn kết cơ sở dữ liệu Active Directory một cách hoạt động bình thường.
3. Đăng nhập bằng tài khoản quản trị viên DSRM Được định nghĩa trong quá trình quảng bá ban đầu của DC (không phải bằng tài khoản quản trị viên miền tiêu chuẩn).
4. Chạy công cụ sao lưu Sử dụng phần mềm sao lưu (Windows Server Backup, NAKIVO hoặc phần mềm tương thích khác) và chọn khôi phục trạng thái hệ thống về điểm sao lưu mong muốn.
5. Hoàn tất trình hướng dẫn khôi phục và Khởi động lại DC ở chế độ bình thường.Trong quá trình khôi phục không có sự ủy quyền, máy chủ sẽ bắt đầu sao chép dữ liệu để bắt kịp với các bộ điều khiển miền khác.

Khi chúng ta nói về các sản phẩm sao lưu của bên thứ ba, chẳng hạn như NAKIVO Backup & ReplicationChế độ "nhận diện ứng dụng" của nó có khả năng nhận biết rằng máy đang được khôi phục là một máy chủ DC và Tự động điều chỉnh quy trình để duy trì tính nhất quán của AD.Trong hầu hết các trường hợp có nhiều bộ điều khiển, việc khôi phục hoàn toàn ở chế độ không có quyền điều khiển là đủ.

Khôi phục có thẩm quyền với Ntdsutil

Nếu bạn muốn các thay đổi trên bộ điều khiển miền đã được khôi phục có hiệu lực ưu tiên hơn so với các thay đổi khác, bạn cần thêm một bước nữa sau khi khôi phục không có quyền quản trị: Sử dụng Ntdsutil để đánh dấu các đối tượng là đối tượng có thẩm quyền..

Quy trình đơn giản hóa sẽ như sau:

1. Khôi phục trạng thái hệ thống theo cách thông thường và giữ nguyên máy chủ ở chế độ hoạt động bình thường. Chế độ DSRM (Chưa nên khởi động lại ở chế độ bình thường).
2. Mở một cửa sổ lệnh với quyền quản trị và chạy ntdsutil.
3. Kích hoạt phiên bản AD bằng kích hoạt phiên bản ntds.
4. Bước vào bối cảnh phục hồi có thẩm quyền với khôi phục có thẩm quyền.
5. Sử dụng các lệnh như restore object <DN_objeto> o restore subtree <DN_subarbol>Trong đó, DN là tên phân biệt của đối tượng hoặc cây con cần được khôi phục một cách chính xác.
6. Xác nhận giao dịch và sau khi hoàn tất, Khởi động lại DC ở chế độ bình thường. Để các đối tượng được đánh dấu được sao chép ưu tiên hơn so với phần còn lại của miền.

Loại phục chế này đòi hỏi sự cẩn trọng cao độ. Nếu toàn bộ miền được khôi phục một cách có thẩm quyền và bản sao lưu đã cũ.Có nguy cơ mất các thay đổi hợp lệ được thực hiện sau khi sao lưu (ví dụ: tạo người dùng, thay đổi mật khẩu hoặc sửa đổi nhóm). Do đó, thông lệ phổ biến là chỉ giới hạn việc khôi phục có thẩm quyền đối với các đối tượng hoặc cây thư mục thực sự cần thiết.

Khôi phục và phục hồi SYSVOL (FRS so với DFSR)

SYSVOL là một thành phần quan trọng của bộ điều khiển miền: Nó lưu trữ các tập lệnh khởi động, chính sách nhóm, mẫu bảo mật và các tài nguyên dùng chung thiết yếu khác.Lỗi về quyền truy cập, hỏng tập tin hoặc sự cố sao chép có thể khiến GPO không thể sử dụng được hoặc gây ra hành vi bất thường trên máy khách.

Tùy thuộc vào phiên bản Windows Server và trạng thái di chuyển, thư mục SYSVOL có thể được sao chép bằng cách nào? FRS (Dịch vụ sao chép tập tin) hoặc bởi DFSR (Sao chép hệ thống tệp phân tán)Quy trình khôi phục chính thức SYSVOL sẽ khác nhau tùy thuộc vào việc sử dụng phương pháp nào trong hai phương pháp đó.

Để xác định điều này, bạn có thể kiểm tra khóa trong Registry. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateNếu khóa con này tồn tại và giá trị của nó là 3 (ĐÃ XÓA), thì hệ thống đang sử dụng DFSR. Nếu nó không tồn tại hoặc giá trị của nó khác, thì môi trường đó vẫn đang sử dụng FRS.

Trong môi trường có FRS, việc khôi phục chính xác SYSVOL thường bao gồm việc điều chỉnh giá trị. Cờ Burflags en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process thành một giá trị cụ thể (ví dụ: 212 thập phân / 0xD4 thập lục phân) để chỉ ra rằng DC này là nguồn thông tin chính thức.

Nếu SYSVOL được sao chép bởi DFSR, quy trình sẽ phức tạp hơn một chút: nó bao gồm việc sử dụng ADSISửa đổi để sửa đổi các đối tượng đăng ký SYSVOL (thuộc tính) msDFSR-Enabled y msDFSR-Options) trên DC có thẩm quyền và trên các DC khác, buộc sao chép AD, thực thi dfsrdiag pollad và xác nhận sự xuất hiện của trong nhật ký sự kiện sự kiện 4114, 4602, 4614 và 4604 Chứng nhận rằng SYSVOL đã được khởi tạo và sao chép chính xác.

Khôi phục bộ điều khiển miền ảo từ VHD

Trong môi trường ảo hóa, điều này rất phổ biến. Các tệp VHD/VHDX của bộ điều khiển miềnNếu bạn không có bản sao lưu trạng thái hệ thống nhưng có một ổ VHD "cũ" đang hoạt động, bạn có thể gắn một DC mới từ ổ đĩa đó, mặc dù bạn phải thực hiện rất cẩn thận để tránh gây ra lỗi khôi phục USN.

Khuyến nghị là Không nên khởi động máy ảo đó trực tiếp ở chế độ bình thường.Thay vào đó, bạn nên khởi động từ VHD trước đó. DSRMMở Trình chỉnh sửa Registry và điều hướng đến HKLM\SYSTEM\CurrentControlSet\Services\NTDS\ParametersỞ đó, nên kiểm tra giá trị. Số lần phục hình DSA trước đó (nếu nó tồn tại) và, trên hết, tạo một giá trị DWORD (32-bit) mới có tên là Cơ sở dữ liệu được khôi phục từ bản sao lưu có giá trị 1.

Bằng cách chọn giá trị này, Active Directory sẽ được thông báo rằng cơ sở dữ liệu đã được khôi phục từ bản sao lưu, điều này buộc phải thực hiện các thao tác cần thiết. Tạo InvocationID mới khi khởi động ở chế độ bình thường.Bằng cách này, các trung tâm dữ liệu khác sẽ hiểu nó là một phiên bản mới và điều chỉnh chính xác các dấu mốc sao chép của chúng, ngăn chặn việc hoàn tác USN.

Sau khi khởi động lại DC ở chế độ bình thường, bạn nên kiểm tra Trình xem sự kiện, đặc biệt là nhật ký của... Dịch vụ thư mục, đang tìm kiếm Sự kiện 1109Sự kiện này xác nhận rằng thuộc tính InvocationID của máy chủ đã thay đổi và hiển thị các giá trị cũ và mới, cũng như USN cao nhất tại thời điểm sao lưu. Ngoài ra, giá trị của Số lần phục hình DSA trước đó Lẽ ra nó phải được tăng thêm một.

Nếu các sự kiện này không xuất hiện, hoặc số lượng không tăng lên, bạn nên kiểm tra phiên bản hệ điều hành và các gói cập nhật (Service Pack), vì... Một số hành vi khôi phục phụ thuộc vào các vùng cụ thể.Trong mọi trường hợp, tốt nhất là nên sao chép file VHD gốc, giữ lại một bản nguyên vẹn phòng trường hợp cần phải lặp lại quy trình.

Các tình huống thực tế và các khuyến nghị bổ sung

Trên thực tế, các vấn đề về tham nhũng hoặc phục chế không đúng cách thường xuyên xuất hiện trong các tình huống hàng ngày: Việc sửa đổi thủ công quyền truy cập trong SYSVOL, các nỗ lực cập nhật mẫu ADMX/ADML, các thay đổi GPO không được đồng bộ hóa.vân vân. Việc chỉnh sửa thủ công các thư mục chia sẻ là tương đối dễ gây ra sự không nhất quán, chẳng hạn như SYSVOL\Policies mà không tôn trọng sự sao chép.

Trong trường hợp máy chủ DC chính gặp sự cố sao chép (cả dữ liệu AD và SYSVOL) và xuất hiện các thông báo giám sát thuộc loại “Cơ sở dữ liệu đã được khôi phục bằng một quy trình không được hỗ trợ. Nguyên nhân có thể: Khôi phục USN.Điều khôn ngoan cần làm là:

• Kiểm tra với dcdiag y quản trị viên lại Mức độ lỗi và liệu có tồn tại "các đối tượng dai dẳng" hay không.
• Kiểm tra sự kiện 2095 và giá trị của nó. Dsa Không thể ghi trong Sổ đăng ký.
• Đánh giá xem liệu điều đó có khả thi hay không. Hãy xóa DC đó đi và xây dựng lại. (Nếu có từ ba người trở lên khỏe mạnh khác trong gia đình, đây thường là lựa chọn tốt nhất).
• Nếu đó là DC duy nhất hoặc nhà phê bình duy nhất, hãy nêu vấn đề lên. khôi phục trạng thái hệ thống Từ bản sao lưu tương thích, lý tưởng nhất là bản sao lưu gần đây và còn hiệu lực trong thời gian hiệu lực của bản sao lưu gốc.

Trong các miền có nhiều bộ điều khiển, rất nên ưu tiên các bộ điều khiển miền (DC) càng "thuần túy" càng tốt: không có thêm vai trò hoặc dữ liệu người dùng cục bộBằng cách này, nếu một máy chủ bị lỗi hoặc hư hỏng, một máy chủ mới có thể được định dạng và nâng cấp dựa trên một DC khác hoặc thông qua IFM, giúp giảm đáng kể độ phức tạp của quá trình khôi phục.

Hơn nữa, cần nhớ đến những hạn chế như vậy. Các bản sao trạng thái hệ thống chỉ có hiệu lực trong thời gian lưu trữ bản ghi đã xóa. (60, 90, 180 ngày tùy thuộc vào cấu hình) để tránh khôi phục các đối tượng đã xóa, và khóa máy NTLM thay đổi sau mỗi 7 ngày. Trong các lần khôi phục rất cũ, có thể cần thiết phải đặt lại tài khoản nhóm các sự cố từ “Người dùng và Máy tính Active Directory” hoặc thậm chí là việc xóa chúng rồi kết nối lại vào miền.

Việc thiết lập các quy trình để sao lưu trạng thái hệ thống định kỳ là rất quan trọng. Ghi chép rõ ràng các vai trò FSMO, danh mục toàn cầu và cấu trúc sao chép.Và việc thử nghiệm các bước khôi phục trong môi trường phòng thí nghiệm là một khoản đầu tư thời gian giúp tiết kiệm rất nhiều rắc rối khi đến lúc bộ điều khiển miền bị hỏng hoặc ai đó áp dụng ảnh chụp nhanh mà không suy nghĩ kỹ.