Wiederherstellung der Active Directory-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 und 2012 R2, Windows Server 2008 und 2008 R2
Die bisherigen Schritte gelten für alle Gesamtstrukturen: Suchen einer gültigen Sicherung für jede Domäne, isoliertes Herstellen der Domänen, erneutes Verbinden, Zurücksetzen des globalen Katalogs und Bereinigen. In diesem nächsten Schritt stellen Sie die Gesamtstruktur erneut bereit. Die Vorgehensweise hängt stark vom Gesamtstrukturentwurf, den Vereinbarungen zum Servicelevel, der Standortstruktur, der verfügbaren Bandbreite und zahlreichen anderen Faktoren ab. Sie müssen einen eigenen Plan für die erneute Bereitstellung anhand der Prinzipien und Vorschläge in diesem Abschnitt entwerfen, der Ihren Geschäftsanforderungen am besten entspricht.
Der nächste Schritt besteht darin, AD DS auf allen DCs zu installieren, die vor der Wiederherstellung der Gesamtstruktur im Einsatz waren. Wenn die DCs noch vorhanden sind, muss der AD DS-Dienst erzwungen entfernt werden, oder die DCs können neu installiert werden. Vorhandene Sicherungen für diese DCs können nicht wiederverwendet werden, da die entsprechenden Metadaten während der Wiederherstellung der Gesamtstruktur entfernt wurden. In einer unkomplizierten Umgebung kann diese erneute Bereitstellung num im Wiederherstellen der wiederhergestellten DCs im Produktionsnetzwerk und der Heraufstufung neuer DCs nach Bedarf bestehen.
In einem großen Unternehmen mit einer weltweiten Infrastruktur ist ein komplexerer Plan erforderlich. Die erste Phase besteht in der Regel darin, AD als Dienst wiederherzustellen. Strategisch platzierte DCs werden so installiert, dass alle wichtigen Geschäftsbereiche und Anwendungen die Arbeit wieder aufnehmen können. (Es kann für Zweigstellen akzeptabel sein, dadurch vorübergehend eine verringerte Leistungen aufzuweisen.) In einer zweiten Phase werden alle verbleibenden und weniger kritischen DCs erneut bereitgestellt.
Es gibt zwei Methoden zum Installieren zusätzlicher DCs, die beide automatisiert werden können:
Klon
Sie können die Wiederherstellung aller virtualisierten DCs in einer Domäne automatisieren, nachdem Sie einen einzelnen virtualisierten DC aus der Sicherung wiederhergestellt haben. Weitere Informationen zum Klonen und den Voraussetzungen finden Sie unter Einführung in die Virtualisierung von Active Directory Domain Services (AD DS) (Stufe 100).
Erneutes Installieren von AD DS mithilfe von Windows PowerShell
Um die erneute Installation von AD DS zu beschleunigen, können Sie die Option „Installieren von Medium“ (Install From Media, IFM) verwenden. Dadurch wird der Replikationsdatenverkehr während der Installation verringert. Weitere Informationen zur Verwendung des Befehls ntdsutil ifm zum Erstellen von Installationsmedien finden Sie unter Installieren von AD DS über Medien.
Berücksichtigen Sie die folgenden zusätzlichen Punkte für jeden Replikatdomänencontroller, der in der Gesamtstruktur durch Klonen virtualisierter DCs oder durch Installieren von AD DS wiederhergestellt wird (und nicht aus der Sicherung):
- Sämtliche Software auf einem als Quelle für das Klonen verwendeten DC muss geklont werden können. Anwendungen und Dienste, die nicht geklont werden können, sollten vor dem Beginn des Klonvorgangs entfernt werden. Sollte dies nicht möglich sein, sollte ein anderer virtualisierter DC als Quelle ausgewählt werden.
- Wenn Sie zusätzliche virtualisierte DCs von dem ersten virtualisierten DC für die Wiederherstellung klonen, muss der Quelldomänencontroller heruntergefahren werden, während seine VHDX-Datei kopiert wird. Weiterhin muss er ausgeführt werden und online verfügbar sein, wenn die virtuellen DCs zum ersten Mal gestartet werden. Wenn die für das Herunterfahren erforderliche Downtime für den ersten wiederhergestellten DC nicht akzeptabel ist, stellen Sie einen zusätzlichen virtualisierten DC bereit, indem Sie AD DS als Quelle für das Klonen installieren.
- Es gibt keine Einschränkung für den Hostnamen des geklonten virtualisierten Domänencontrollers oder des Servers, auf dem Sie AD DS installieren möchten. Sie können einen neuen oder den zuvor verwendeten Hostnamen verwenden. Weitere Informationen zur DNS-Hostnamenssyntax finden Sie unter Erstellen von DNS-Computernamen (https://go.microsoft.com/fwlink/?LinkId=74564).
- Konfigurieren Sie jeden Server mit dem ersten DNS-Server in der Gesamtstruktur (dem ersten DC, der in der Stammdomäne wiederhergestellt wurde) als bevorzugtem DNS-Server in den TCP/IP-Eigenschaften des Netzwerkadapters. Weitere Informationen finden Sie unter Konfigurieren von TCP/IP für die Verwendung von DNS.
- Stellen Sie alle RODCs in der Domäne erneut bereit. Klonen Sie sie dazu entweder als virtualisierte DCs, wenn mehrere RODCs an einem zentralen Standort bereitgestellt werden, oder verwenden Sie die herkömmliche Methode zur Neuerstellung, indem AD DS entfernt und neu installiert wird, wenn sie einzeln an isolierten Standorten wie etwa Zweigstellen bereitgestellt werden.
- Durch die Neuerstellung der RODCs wird sichergestellt, dass sie keine fortbestehenden Objekte enthalten, und sie kann verhindern, dass später Replikationskonflikte auftreten. Wenn Sie AD DS von einem RODC entfernen, wählen Sie die Option zum Beibehalten der DC-Metadaten aus. Mit dieser Option werden das Konto „krbtgt“ für den RODC und die Berechtigungen für das delegierte RODC-Administratorkonto und die Kennwortreplikationsrichtlinie (Password Replication Policy, PRP) beibehalten, und es wird verhindert, dass Sie AD DS als Domänenadministrator*in auf einem RODC entfernen und neu installieren müssen. Darüber hinaus werden die Rollen des DNS-Servers und der globalen Kataloge beibehalten, sofern sie ursprünglich auf dem RODC installiert waren.
- Wenn Sie DCs (RODCs oder beschreibbare DCs) neu erstellen, kann während der Neuinstallation ein umfassenderer Replikationsdatenverkehr auftreten. Um diese Auswirkungen zu verringern, können Sie den Zeitplan der RODC-Installationen staffeln und die Option „Installieren von Medium“ verwenden. Falls Sie diese Option verwenden, führen Sie den Befehl
ntdsutil ifmauf einem beschreibbaren DC aus, bei dem Sie sicher sind, dass er keine beschädigten Daten aufweist. Dadurch werden mögliche Beschädigungen auf dem RODC vermieden, nachdem die AD DS-Neuinstallation abgeschlossen wurde. Weitere Informationen zu IFM finden Sie unter Installieren von AD DS über Medien. - Weitere Informationen zum Neuerstellen von RODCs finden Sie unter Entfernen und erneutes Installation von RODCs.
- Wenn vor dem Fehler in der Gesamtstruktur auf einem Domänencontroller der DNS-Serverdienst ausgeführt wurde, installieren und konfigurieren Sie den DNS-Serverdienst während der Installation von AD DS. Konfigurieren Sie andernfalls die früheren DNS-Clients mit anderen DNS-Servern.
- Wenn Sie zusätzliche globale Kataloge benötigen, um die Authentifizierung oder Abfragelast für Benutzer*innen oder Anwendungen zu verteilen, können Sie den globalen Katalog vor dem Klonen dem virtualisierten Quelldomänencontroller hinzufügen oder während der Installation von AD DS einen DC zu einem globalen Katalogserver machen.
Nächste Schritte
- Wiederherstellung der AD-Gesamtstruktur: Voraussetzungen
- AD-Gesamtstrukturwiederherstellung: Entwickeln eines benutzerdefinierten Gesamtstrukturwiederherstellungsplans
- AD-Gesamtstrukturwiederherstellung: Schritte zum Wiederherstellen der Gesamtstruktur
- AD-Gesamtstrukturwiederherstellung: Erkennen des Problems
- AD-Gesamtstrukturwiederherstellung: Bestimmen der Wiederherstellung
- AD-Gesamtstrukturwiederherstellung: Durchführen der anfänglichen Wiederherstellung
- Wiederherstellung der AD-Gesamtstruktur: Verfahren
- AD-Gesamtstrukturwiederherstellung: Häufig gestellte Fragen (FAQ)
- AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne mit einer Gesamtstruktur mit mehreren Domänen
- Wiederherstellung der AD-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
- Wiederherstellung der AD-Gesamtstruktur: Virtualisierung
- AD-Gesamtstrukturwiederherstellung: Bereinigung