Menentukan cara memulihkan forest

  • Artikel
  • 11 menit untuk membaca

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 dan 2012 R2, Windows Server 2008 dan 2008 R2

Memulihkan seluruh forest Direktori Aktif melibatkan pemulihan dari pencadangan atau menginstal ulang Active Directory Domain Services (AD DS) pada setiap pengendali domain (DC) di forest. Memulihkan forest memulihkan setiap domain di forest ke statusnya pada saat pencadangan tepercaya terakhir. Akibatnya, operasi pemulihan akan mengakibatkan hilangnya setidaknya data Direktori Aktif berikut:

  • Semua objek (seperti pengguna dan komputer) yang ditambahkan setelah pencadangan tepercaya terakhir
  • Semua pembaruan yang dibuat untuk objek yang ada sejak pencadangan tepercaya terakhir
  • Semua perubahan yang dilakukan pada partisi konfigurasi atau partisi skema di AD DS (seperti perubahan skema) sejak pencadangan tepercaya terakhir

Untuk setiap domain di forest, kata sandi akun Admin Domain harus diketahui. Sebaiknya, ini adalah kata sandi akun Administrator bawaan. Anda juga harus mengetahui kata sandi DSRM untuk melakukan pemulihan status sistem DC. Secara umum, adalah praktik yang baik untuk mengarsipkan akun Administrator dan riwayat kata sandi DSRM di tempat yang aman selama cadangan valid, yaitu, dalam periode masa pakai batu nisan atau dalam periode masa pakai objek yang dihapus jika Keranjang Sampah Direktori Aktif diaktifkan. Anda juga dapat menyinkronkan kata sandi DSRM dengan akun pengguna domain untuk membuatnya lebih mudah diingat. Untuk informasi selengkapnya, lihat artikel KB 961320. Sinkronisasi akun DSRM harus dilakukan sebelum pemulihan hutan, sebagai bagian dari persiapan.

Catatan

Akun Administrator adalah anggota grup Administrator bawaan secara default, seperti halnya grup Admin Domain dan Admin Perusahaan. Grup ini memiliki kontrol penuh atas semua DC di domain.

Menentukan cadangan mana yang akan digunakan

Cadangkan setidaknya dua DC yang dapat ditulis untuk setiap domain secara teratur sehingga Anda memiliki beberapa cadangan untuk dipilih. Perhatikan bahwa Anda tidak dapat menggunakan cadangan pengendali domain baca-saja (RODC) untuk memulihkan DC yang dapat ditulis. Kami menyarankan agar Anda memulihkan DC dengan menggunakan cadangan yang diambil beberapa hari sebelum terjadinya kegagalan. Secara umum, Anda harus menentukan tradeoff antara saat ini dan keamanan data yang dipulihkan. Memilih cadangan yang lebih baru memulihkan data yang lebih berguna, tetapi dapat meningkatkan risiko memperkenalkan kembali data berbahaya ke dalam forest yang dipulihkan.

Memulihkan cadangan status sistem tergantung pada sistem operasi asli dan server cadangan. Misalnya, Anda tidak boleh memulihkan cadangan status sistem ke server lain. Dalam hal ini, Anda mungkin melihat peringatan berikut:

"Cadangan yang ditentukan adalah server yang berbeda dari yang saat ini. Kami tidak menyarankan untuk melakukan pemulihan status sistem dengan cadangan ke server alternatif karena server mungkin menjadi tidak dapat digunakan. Anda yakin ingin menggunakan cadangan ini untuk memulihkan server saat ini?"

Jika Anda perlu memulihkan Direktori Aktif ke perangkat keras yang berbeda, buat cadangan server lengkap dan rencanakan untuk melakukan pemulihan server penuh.

Penting

Dimulai dengan Windows Server 2008, tidak didukung untuk memulihkan cadangan status sistem ke penginstalan baru Windows Server pada perangkat keras baru atau perangkat keras yang sama. Jika Windows Server diinstal ulang pada perangkat keras yang sama, seperti yang disarankan nanti dalam panduan ini, maka Anda dapat memulihkan pengendali domain dalam urutan ini:

  1. Lakukan pemulihan server penuh untuk memulihkan sistem operasi dan semua file dan aplikasi.
  2. Lakukan pemulihan status sistem menggunakan wbadmin.exe untuk menandai SYSVOL sebagai otoritatif.

Untuk informasi selengkapnya, lihat artikel Microsoft KB 249694.

Jika waktu terjadinya kegagalan tidak diketahui, selidiki lebih lanjut untuk mengidentifikasi cadangan yang menahan status aman terakhir hutan. Pendekatan ini kurang diinginkan. Oleh karena itu, kami sangat menyarankan Anda menyimpan log terperinci tentang status kesehatan AD DS setiap hari sehingga, jika ada kegagalan di seluruh hutan, perkiraan waktu kegagalan dapat diidentifikasi. Anda juga harus menyimpan salinan cadangan lokal untuk memungkinkan pemulihan yang lebih cepat.

Jika Keranjang Sampah Direktori Aktif diaktifkan, masa pakai cadangan sama dengan nilai deletedObjectLifetime atau nilai tombstoneLifetime , mana yang lebih sedikit. Untuk informasi selengkapnya, lihat Panduan Langkah demi Langkah Keranjang Sampah Direktori Aktif (https://go.microsoft.com/fwlink/?LinkId=178657).

Sebagai alternatif, Anda juga dapat menggunakan alat pemasangan database Direktori Aktif (Dsamain.exe) dan alat Lightweight Directory Access Protocol (LDAP), seperti Ldp.exe atau Active Directory Users and Computers, untuk mengidentifikasi cadangan mana yang memiliki status aman terakhir forest. Alat pemasangan database Direktori Aktif, yang disertakan dalam Windows Server 2008 dan yang lebih baru Windows Sistem operasi Server, mengekspos data Direktori Aktif yang disimpan dalam cadangan atau rekam jepret sebagai server LDAP. Kemudian, Anda dapat menggunakan alat LDAP untuk menelusuri data. Pendekatan ini memiliki keuntungan tidak mengharuskan Anda untuk memulai ulang DC apa pun dalam Mode Pemulihan Layanan Direktori (DSRM) untuk memeriksa konten cadangan AD DS.

Untuk informasi selengkapnya tentang menggunakan alat pemasangan database Direktori Aktif, lihat Panduan Langkah demi Langkah Alat Pemasangan Database Direktori Aktif.

Anda juga dapat menggunakan perintah rekam jepret ntdsutil untuk membuat rekam jepret database Direktori Aktif. Dengan menjadwalkan tugas untuk membuat rekam jepret secara berkala, Anda bisa mendapatkan salinan tambahan database Direktori Aktif dari waktu ke waktu. Anda dapat menggunakan salinan ini untuk mengidentifikasi dengan lebih baik kapan kegagalan di seluruh hutan terjadi dan kemudian memilih cadangan terbaik untuk dipulihkan. Untuk membuat rekam jepret, gunakan versi ntdsutil yang dikirim dengan Windows Server 2008 atau Remote Server Administration Tools (RSAT) untuk Windows Vista atau yang lebih baru. DC target dapat menjalankan versi Windows Server apa pun. Untuk informasi selengkapnya tentang menggunakan perintah rekam jepret ntdsutil , lihat Rekam jepret.

Menentukan pengendali domain mana yang akan dipulihkan

Kemudahan proses pemulihan adalah faktor penting ketika memutuskan pengendali domain mana yang akan dipulihkan. Disarankan untuk memiliki DC khusus untuk setiap domain yang merupakan DC pilihan untuk pemulihan. Pemulihan khusus DC memudahkan untuk merencanakan dan menjalankan pemulihan forest dengan andal karena Anda menggunakan konfigurasi sumber yang sama yang digunakan untuk melakukan pengujian pemulihan. Anda dapat membuat skrip pemulihan, dan tidak bersaing dengan konfigurasi yang berbeda, seperti apakah DC memegang peran master operasi atau tidak, atau apakah itu server GC atau DNS atau tidak.

Catatan

Meskipun tidak disarankan untuk memulihkan pemegang peran master operasi untuk kepentingan kesederhanaan, beberapa organisasi dapat memilih untuk memulihkan satu untuk keuntungan lain. Misalnya memulihkan master RID dapat membantu mencegah masalah dalam mengelola RID selama pemulihan.

Pilih DC yang paling sesuai dengan kriteria berikut:

  • DC yang dapat ditulis. Ini wajib.

  • DC yang menjalankan Windows Server 2012 sebagai komputer virtual pada hypervisor yang mendukung VM-GenerationID. DC ini dapat digunakan sebagai sumber untuk kloning.

  • DC yang dapat diakses, baik secara fisik maupun di jaringan virtual, dan sebaiknya terletak di pusat data. Dengan cara ini, Anda dapat dengan mudah mengisolasinya dari jaringan selama pemulihan hutan.

  • DC yang memiliki cadangan server lengkap yang baik. Cadangan yang baik adalah cadangan yang dapat berhasil dipulihkan, diambil beberapa hari sebelum kegagalan, dan berisi data yang berguna sebanyak mungkin.

  • DC yang merupakan server Sistem Nama Domain (DNS) sebelum kegagalan. Ini menghemat waktu yang diperlukan untuk menginstal ulang DNS.

  • Jika Anda juga menggunakan Windows Deployment Services, pilih DC yang tidak dikonfigurasi untuk menggunakan BitLocker Network Unlock. Dalam hal ini, BitLocker Network Unlock tidak didukung untuk digunakan untuk DC pertama yang Anda pulihkan dari cadangan selama pemulihan forest.

    BitLocker Network Unlock sebagai satu-satunya pelindung kunci tidak dapat digunakan pada DC tempat Anda telah menyebarkan Windows Deployment Services (WDS) karena melakukannya menghasilkan skenario di mana DC pertama mengharuskan Active Directory dan WDS bekerja untuk membuka kunci. Tetapi sebelum Anda memulihkan DC pertama, Direktori Aktif belum tersedia untuk WDS, sehingga tidak dapat membuka kunci.

    Untuk menentukan apakah DC dikonfigurasi untuk menggunakan BitLocker Network Unlock, periksa apakah sertifikat Network Unlock diidentifikasi dalam kunci registri berikut:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Pertahankan prosedur keamanan saat menangani atau memulihkan file cadangan yang menyertakan Direktori Aktif. Urgensi yang menyertai pemulihan hutan secara tidak sengaja dapat menyebabkan mengabaikan praktik terbaik keamanan. Untuk informasi selengkapnya, lihat bagian berjudul "Membuat Strategi Pencadangan dan Pemulihan Pengendali Domain" dalam Panduan Praktik Terbaik untuk Mengamankan Penginstalan Direktori Aktif dan Operasi Sehari-hari: Bagian II.

Mengidentifikasi struktur forest saat ini dan fungsi DC

Tentukan struktur forest saat ini dengan mengidentifikasi semua domain di forest. Buat daftar semua DC di setiap domain, terutama DC yang memiliki cadangan, dan DC virtual yang dapat menjadi sumber untuk kloning. Daftar DC untuk domain akar hutan akan menjadi yang paling penting karena Anda akan memulihkan domain ini terlebih dahulu. Setelah memulihkan domain akar forest, Anda bisa mendapatkan daftar domain, DC, dan situs lain di forest dengan menggunakan snap-in Direktori Aktif.

Siapkan tabel yang memperlihatkan fungsi setiap DC di domain, seperti yang diperlihatkan dalam contoh berikut. Ini akan membantu Anda kembali ke konfigurasi pra-kegagalan forest setelah pemulihan.

Nama DC Sistem operasi FSMO GC RODC Cadangan DNS Inti Server VM VM-GenID
DC_1 Windows Server 2012 Master skema, Master penamaan domain Ya Tidak Ya Tidak Tidak Ya Ya
DC_2 Windows Server 2012 Tidak ada Ya Tidak Ya Ya Tidak Ya Ya
DC_3 Windows Server 2012 Master Infrastruktur Tidak Tidak Tidak Ya Ya Ya Ya
DC_4 Windows Server 2012 Emulator PDC, RID Master Ya Tidak Tidak Tidak Tidak Ya Tidak
DC_5 Windows Server 2012 Tidak ada Tidak Tidak Ya Ya Tidak Ya Ya
RODC_1 Windows Server 2008 R2 Tidak ada Ya Ya Ya Ya Ya Ya Tidak
RODC_2 Windows Server 2008 Tidak ada Ya Ya Tidak Ya Ya Ya Tidak

Untuk setiap domain di forest, identifikasi satu DC yang dapat ditulis yang memiliki cadangan tepercaya dari database Direktori Aktif untuk domain tersebut. Berhati-hatilah saat Anda memilih cadangan untuk memulihkan DC. Jika hari dan penyebab kegagalan kira-kira diketahui, rekomendasi umumnya adalah menggunakan cadangan yang dibuat beberapa hari sebelum tanggal tersebut.

Dalam contoh ini, ada empat kandidat cadangan: DC_1, DC_2, DC_4, dan DC_5. Dari kandidat cadangan ini, Anda hanya memulihkan satu. DC yang direkomendasikan DC_5 karena alasan berikut:

  • Ini memenuhi persyaratan untuk menggunakannya sebagai sumber untuk kloning DC virtual, yaitu, berjalan Windows Server 2012 sebagai DC virtual pada hypervisor yang mendukung VM-GenerationID, menjalankan perangkat lunak yang diizinkan untuk dikloning (atau yang dapat dihapus jika tidak dapat dikloning). Setelah pemulihan, peran emulator PDC akan disita ke server tersebut dan dapat ditambahkan ke grup Pengontrol Domain yang Dapat Dikloning untuk domain.
  • Ini menjalankan penginstalan penuh Windows Server 2012. DC yang menjalankan penginstalan Server Core bisa kurang nyaman sebagai target pemulihan.
  • Ini adalah server DNS. Oleh karena itu, DNS tidak harus diinstal ulang.

Catatan

Karena DC_5 bukan server katalog global, itu juga memiliki keuntungan karena katalog global tidak perlu dihapus setelah pemulihan. Tetapi apakah DC juga merupakan server katalog global atau tidak bukan faktor yang menentukan karena dimulai dengan Windows Server 2012, semua DC adalah server katalog global secara default, dan menghapus dan menambahkan katalog global setelah pemulihan direkomendasikan sebagai bagian dari proses pemulihan hutan dalam kasus apa pun.

Memulihkan forest dalam isolasi

Skenario yang disukai adalah mematikan semua DC yang dapat ditulis sebelum DC pertama yang dipulihkan dibawa kembali ke produksi. Ini memastikan bahwa data berbahaya tidak mereplikasi kembali ke hutan yang dipulihkan. Sangat penting untuk mematikan semua pemegang peran master operasi.

Catatan

Mungkin ada kasus di mana Anda memindahkan DC pertama yang Anda rencanakan untuk dipulihkan untuk setiap domain ke jaringan terisolasi sambil memungkinkan DC lain untuk tetap online untuk meminimalkan waktu henti sistem. Misalnya, jika Anda memulihkan dari peningkatan skema yang gagal, Anda dapat memilih untuk menjaga pengendali domain tetap berjalan di jaringan produksi saat Anda melakukan langkah-langkah pemulihan dalam isolasi.

Jika Anda menjalankan DC virtual, Anda dapat memindahkannya ke jaringan virtual yang terisolasi dari jaringan produksi tempat Anda akan melakukan pemulihan. Memindahkan DC virtual ke jaringan terpisah memberikan dua manfaat:

  • DC yang dipulihkan dicegah dari terulangnya masalah yang menyebabkan pemulihan hutan karena terisolasi.
  • Kloning DC virtual dapat dilakukan pada jaringan terpisah sehingga sejumlah besar DC dapat berjalan dan diuji sebelum dibawa kembali ke jaringan produksi.

Jika Anda menjalankan DC pada perangkat keras fisik, putuskan sambungan kabel jaringan DC pertama yang Anda rencanakan untuk dipulihkan di domain akar hutan. Jika memungkinkan, putuskan juga kabel jaringan dari semua DC lainnya. Ini mencegah DC mereplikasi, jika mereka secara tidak sengaja dimulai selama proses pemulihan hutan.

Di hutan besar yang tersebar di beberapa lokasi, mungkin sulit untuk menjamin bahwa semua DC yang dapat ditulis dimatikan. Untuk alasan ini, langkah-langkah pemulihan—seperti mengatur ulang akun komputer dan akun krbtgt, selain pembersihan metadata—dirancang untuk memastikan bahwa DC yang dapat ditulis yang dipulihkan tidak direplikasi dengan DC yang dapat ditulis berbahaya (jika beberapa masih online di forest).

Namun, hanya dengan mengambil DC yang dapat ditulis secara offline, Anda dapat menjamin bahwa replikasi tidak terjadi. Oleh karena itu, jika memungkinkan, Anda harus menyebarkan teknologi manajemen jarak jauh yang dapat membantu Anda mematikan dan mengisolasi DC yang dapat ditulis secara fisik selama pemulihan hutan.

RODC dapat terus beroperasi saat DC yang dapat ditulis sedang offline. Tidak ada DC lain yang akan langsung mereplikasi perubahan apa pun dari RODC apa pun—terutama, tidak ada perubahan kontainer Skema atau Konfigurasi—sehingga tidak menimbulkan risiko yang sama dengan DC yang dapat ditulis selama pemulihan. Setelah semua DC yang dapat ditulis dipulihkan dan online, Anda harus membangun kembali semua RODC.

RODC akan terus mengizinkan akses ke sumber daya lokal yang di-cache di situs masing-masing saat operasi pemulihan berlangsung secara paralel. Sumber daya lokal yang tidak di-cache pada RODC akan memiliki permintaan autentikasi yang diteruskan ke DC yang dapat ditulis. Permintaan ini akan gagal karena DC yang dapat ditulis offline. Beberapa operasi seperti perubahan kata sandi juga tidak akan berfungsi sampai Anda memulihkan DC yang dapat ditulis.

Jika Anda menggunakan arsitektur jaringan hub-and-spoke, Anda dapat berkonsentrasi terlebih dahulu untuk memulihkan DC yang dapat ditulis di situs hub. Nantinya, Anda dapat membangun kembali RODC di situs jarak jauh.

Langkah berikutnya