Active Directory Forest Recovery - Memulihkan satu domain di forest multidomain

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 dan 2012

Dalam skenario tertentu, mungkin perlu untuk memulihkan hanya satu domain dalam forest yang memiliki beberapa domain, daripada pemulihan hutan penuh. Topik ini mencakup pertimbangan untuk memulihkan satu domain dan kemungkinan strategi.

Mirip dengan proses pemulihan hutan, Anda memulihkan satu atau beberapa DC dari cadangan di domain dan melakukan pembersihan metadata DC yang tersisa. Pengendali domain baru kemudian ditambahkan dengan bergabung dengan anggota baru, menginstal peran AD DS dan mempromosikannya. Anda juga dapat menggunakan Kloning DC atau Instal dari Media untuk tugas tersebut.

Pemulihan domain tunggal menghadirkan tantangan unik untuk membangun kembali server katalog global (GC). Misalnya, jika pengendali domain pertama (DC) untuk domain dipulihkan dari cadangan yang dibuat satu minggu sebelumnya, maka semua GC lain di forest akan memiliki lebih banyak data terbaru untuk domain tersebut daripada DC yang dipulihkan. Untuk membangun kembali konsistensi data GC, ada beberapa opsi:

• Batalkan hosting partisi domain yang dipulihkan dari semua GC di forest, kecuali yang ada di domain yang dipulihkan, pada saat yang sama dan setelah selesai, rehost semua GC di forest. Pastikan juga Anda tidak membebani GC yang tersisa. Di lingkungan yang besar, mengoordinasikan kegiatan ini bisa sangat kompleks.

• Ikuti proses pemulihan hutan untuk memulihkan domain, lalu hapus objek yang masih ada dari GC di domain lain.

Bagian berikut memberikan pertimbangan umum untuk setiap opsi. Serangkaian langkah lengkap yang perlu dilakukan untuk pemulihan akan bervariasi untuk lingkungan Direktori Aktif yang berbeda.

Membuat ulang Akun Layanan Terkelola Grup (gMSA)

Peringatan

Jika objek Kunci Akar KDS di forest disusupi, Anda harus membuat ulang akun gMSA di beberapa domain, bahkan jika domain itu sendiri tidak disusupi.

Masalah dan resolusi dibahas dalam Cara memulihkan dari serangan Golden gMSA.

Anda harus mencegah penyerang menggunakan data yang dipanen dari cadangan Pengendali Domain yang dicuri untuk mengautentikasi menggunakan kredensial terhitung gMSA. Ganti semua gMSA di domain forest yang menggunakan objek Kunci Akar KDS yang diekspos, dengan akun gMSA menggunakan objek Kunci Akar KDS baru. Prosedur ini dijelaskan dalam Memulai Akun Layanan Terkelola Grup dengan beberapa perubahan penting:

• Nonaktifkan semua akun gMSA yang ada, atur atribut userAccountControl ke 4098 (jenis stasiun kerja + dinonaktifkan).

• Buat objek Kunci Akar KDS baru seperti yang dijelaskan dalam Membuat Kunci Akar KDS Layanan Distribusi Utama.

  Penting

  Mulai ulang Microsoft Key Distribution Service (KDSSVC) pada pengendali domain yang sama. Ini diperlukan sehingga objek baru diambil oleh KDSSVC. Buat akun gMSA baru untuk menggantikan akun yang ada pada pengendali domain yang sama. Pada titik ini, edit akun gMSA yang ada sebagai nama perwakilan layanan unik harus ditetapkan ke gMSA aktif.

• Setelah Anda memiliki server anggota yang bergabung kembali ke domain, perbarui komponen yang menggunakan gMSA dengan akun baru.

Untuk memastikan gMSA baru menggunakan objek Kunci Akar KDS baru, periksa data biner atribut msDS-ManagedPasswordId memiliki GUID objek kunci Akar KDS yang cocok. Objek akan memiliki CN dari CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6.

msDS-ManagedPasswordId dari gMSA harus memiliki GUID mulai offset 24 dengan tiga bagian pertama GUID dalam urutan yang ditukar byte (merah, hijau, biru), dan sisanya dalam urutan byte normal (oranye):

Jika gMSA pertama dibuat menggunakan Kunci Akar KDS baru, semua pembuatan gMSA berikutnya akan OK.

Pembersihan

• Hapus akun gMSA lama yang menggunakan Objek Kunci Akar KDS lama.
• Hapus Objek Kunci Akar KDS lama.

Rehost semua GC

Peringatan

Nama login dan kata sandi akun pengguna Administrator Domain default ("RID-500") untuk semua domain harus tersedia, dan akun yang diaktifkan untuk digunakan jika ada masalah yang mencegah akses ke GC untuk masuk.

Catatan

Untuk mengizinkan masuk tanpa verifikasi GC, dimungkinkan juga untuk mengonfigurasi HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures nilai ke 1.

Jika tidak diketahui, dapatkanIDDomain dengan menggunakan whoami /all untuk akun lain di setiap domain atau jalankan perintah berikut untuk mengidentifikasi RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Menghosting ulang semua GC dapat dilakukan menggunakan repadmin /unhost perintah dan repadmin /rehost (bagian repadmin /experthelpdari ). Anda akan menjalankan repadmin perintah pada setiap GC di setiap domain yang tidak dipulihkan. Perlu dipastikan, bahwa semua GC tidak menyimpan salinan domain yang dipulihkan lagi. Untuk mencapai hal ini, unhost partisi domain terlebih dahulu dari semua pengendali domain di semua domain forest yang tidak dipulihkan terlebih dahulu. Karena GC tidak berisi partisi lagi, Anda dapat menghosting ulang partisi tersebut. Saat menghosting ulang, pertimbangkan situs dan struktur replikasi hutan Anda. Misalnya, selesaikan rehost satu DC per situs sebelum menghosting ulang DC lain dari situs tersebut.

Opsi ini bisa menguntungkan bagi organisasi kecil yang hanya memiliki beberapa pengontrol domain untuk setiap domain. Semua GC dapat dibangun kembali pada Jumat malam dan, jika perlu, replikasi lengkap untuk semua partisi domain baca-saja sebelum Senin pagi. Namun, jika Anda perlu memulihkan domain besar yang mencakup situs di seluruh dunia, menghosting ulang partisi domain baca-saja pada semua GC untuk domain lain dapat berdampak signifikan pada operasi dan berpotensi membutuhkan waktu henti.

Periksa dan hapus objek yang berlama-lama

Pada GC semua domain lain di forest, Anda memeriksa dan menghapus objek yang berpotensi berlama-lama untuk partisi baca-saja dari domain yang dipulihkan.

Sumber untuk pembersihan objek yang berlama-lama harus merupakan DC di domain yang dipulihkan. Untuk memastikan bahwa DC sumber tidak memiliki objek yang berlama-lama untuk partisi domain apa pun, Anda dapat menghapus katalog global.

Menghapus objek yang berlama-lama sangat menguntungkan bagi organisasi yang lebih besar yang tidak dapat membahayakan waktu henti yang terkait dengan hosting ulang konteks penamaan domain.

Untuk informasi selengkapnya, lihat Menggunakan repadmin untuk menghapus objek yang berlama-lama.

Langkah berikutnya

• Pemulihan Hutan AD - Prasyarat
• Pemulihan Hutan AD - Menyusun rencana pemulihan hutan kustom
• Pemulihan Hutan AD - Langkah-langkah untuk memulihkan forest
• Pemulihan Hutan AD - Identifikasi masalah
• Pemulihan Hutan AD - Tentukan cara memulihkan
• Pemulihan Hutan AD - Lakukan pemulihan awal
• Pemulihan Hutan AD - Prosedur
• Pemulihan Hutan AD - Tanya Jawab Umum (FAQ)
• Pemulihan Hutan AD - Memulihkan satu domain dalam forest multidomain
• Pemulihan Hutan AD - Sebarkan ulang DC yang tersisa
• Pemulihan Hutan AD - Virtualisasi
• Pemulihan Hutan AD - Pembersihan