Восстановление леса Active Directory — выполнение первоначального восстановления

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и 2012

В этом разделе содержатся следующие шаги:

Восстановление первого контроллера домена с возможностью записи в каждом домене

Начиная с записываемого контроллера домена в корневом домене леса выполните действия, описанные в этом разделе, чтобы восстановить первый контроллер домена. Корневой домен леса важен, так как он хранит группы Администратор схемы и корпоративных Администратор. Она также помогает поддерживать иерархию доверия в лесу. Кроме того, корневой домен леса обычно содержит корневой dns-сервер для пространства имен DNS леса. Следовательно, зона DNS, интегрированная с Active Directory для этого домена, содержит записи ресурсов псевдонима (CNAME) для всех остальных контроллеров домена в лесу (которые необходимы для реплика tion) и записей ресурсов DNS глобального каталога.

После восстановления корневого домена леса повторите те же действия, чтобы восстановить оставшиеся домены в лесу. Вы можете одновременно восстановить несколько доменов; однако всегда восстанавливайте родительский домен перед восстановлением дочернего домена, чтобы предотвратить разрыв в иерархии доверия или разрешение DNS-имен.

Для каждого восстановленного домена восстановите один записываемый контроллер домена из резервной копии. Это наиболее важная часть восстановления, так как контроллер домена должен иметь базу данных, которая не влияла на то, что привело к сбою леса. Важно иметь надежную резервную копию, которая тщательно протестирована, прежде чем она будет введена в рабочую среду.

Затем выполните следующие действия. Процедуры для выполнения определенных действий находятся в службе восстановления леса AD . Процедуры.

  1. Если вы планируете восстановить физический сервер, убедитесь, что сетевой кабель целевого контроллера домена не подключен и поэтому не подключен к рабочей сети. Для виртуальной машины можно удалить сетевой адаптер или использовать сетевой адаптер, подключенный к другой сети, где можно протестировать процесс восстановления при изоляции от рабочей сети.

  2. Так как это первый записываемый контроллер домена в домене, необходимо выполнить неавторитативное восстановление AD DS и авторитетное восстановление SYSVOL. Операция восстановления должна выполняться с помощью приложения резервного копирования и восстановления с поддержкой Active Directory, например windows Server Backup (рекомендуется). Если на узле поддерживается идентификатор создания Hyper-Vistor, можно также выполнить восстановление без проверки подлинности с помощью моментального снимка виртуальной машины.

    • Для первого восстановленного контроллера домена требуется авторитетное восстановление SYSVOL, так как после восстановления после восстановления после аварийного восстановления необходимо перезапустить реплика из папки SYSVOL. Все последующие контроллеры домена, добавленные в домен, должны повторно изменить размер папки SYSVOL с копией выбранной папки, которая должна быть авторитетной.

      Предупреждение

      Выполните достоверную операцию восстановления (или основной) SYSVOL только для восстановления первого контроллера домена в корневом домене леса. Неправильное выполнение основных операций восстановления SYSVOL на других контроллерах домена приводит к реплика конфликтам данных SYSVOL. Существует два варианта выполнения неавторитативного восстановления AD DS и авторитетного восстановления SYSVOL:

    • Выполните полное восстановление сервера и принудительная синхронизация SYSVOL. Подробные процедуры см. в разделе "Выполнение полного восстановления сервера" и "Выполнение авторитетной синхронизации DFSR-реплика ted SYSVOL".

    • Выполните полное восстановление сервера, за которым следует восстановление состояния системы. Этот параметр требует создания обоих типов резервных копий заранее: полного резервного копирования сервера и резервного копирования состояния системы. Подробные процедуры см. в разделе "Выполнение полного восстановления сервера" и "Выполнение неавторитативного восстановления служб домен Active Directory".

  3. После восстановления и перезапуска записываемого контроллера домена убедитесь, что сбой не повлиял на данные контроллера домена. Если данные контроллера домена повреждены, повторите шаг 2 с другой резервной копией.

    • Если восстановленный контроллер домена размещает роль главного контроллера операций, может потребоваться добавить следующую запись реестра, чтобы избежать недоступности AD DS до завершения реплика секции каталога, допускающего запись:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
Perform Initial Synchronizations

      Создайте запись с типом данных REG_DWORD и значением 0. После полного восстановления леса можно сбросить значение этой записи до 1, для которой требуется контроллер домена, который перезапускает и содержит роли главного контроллера операций для успешного входящего и исходящего реплика подключения AD DS со своими известными партнерами реплика, прежде чем он объявляет себя как контроллер домена и начинает предоставлять услуги клиентам. Дополнительные сведения о начальных требованиях к синхронизации см. в статье "Роли FSMO Active Directory".

  4. Перейдите к следующим шагам только после восстановления и проверки данных и перед присоединением этого компьютера к рабочей сети.

  5. Если вы подозреваете, что сбой на уровне леса связан с вторжением в сеть или вредоносной атакой, сбросьте пароли учетной записи для всех административных учетных записей, включая членов корпоративных Администратор, доменных Администратор, схему Администратор, операторы серверов, группы операторов учетных записей и т. д. Кроме того, требуется выполнить процедуру сброса пароля в учетной записи krbtgt. Сброс паролей учетной записи администратора необходимо выполнить перед установкой дополнительных контроллеров домена на следующем этапе восстановления леса.

    В этом случае также работаем над заменой всех паролей GMSA, как если бы учетная запись администратора была взята, злоумышленник может получить информацию, которая позволяет им пройти проверку подлинности как GMSA. Дополнительные сведения см. в статье о нападении на золотой ГМСА.

  6. Если вы подозреваете, что учетные записи пользователей были скомпрометированы, необходимо также запланировать сброс пароля пользователя для всех пользователей в домене.

  7. В первом восстановленном контроллере домена в корневом домене леса захватить все роли главных ролей основных операций на уровне домена и леса. Учетные данные корпоративных Администратор и Администратор схемы необходимы для захвата ролей главных ролей основных операций на уровне леса.

    В каждом дочернем домене необходимо при необходимости захватить главные роли основных операций на уровне домена. Хотя вы можете сохранить роли главного контроллера операций на восстановленном контроллере домена только временно, захват этих ролей гарантирует, что они размещаются на этом этапе в процессе восстановления леса. В рамках процесса после восстановления вы можете перераспространить главные роли операций по мере необходимости. Дополнительные сведения об захвате главных ролей операций см. в разделе "Захват главной роли операций". Рекомендации по расположению главных ролей операций см. в разделе "Что такое мастеры операций?". См. также сведения о размещении и оптимизации гибкой одно главной операции (FSMO) на контроллерах домена AD.

  8. Очистка метаданных всех других записываемых DCs в корневом домене леса, которые не восстанавливается из резервной копии (все записываемые DCs в домене, за исключением этого первого контроллера домена). Если вы используете версию Пользователи и компьютеры Active Directory или сайтов и служб Active Directory, включенных в Windows Server 2012 или более поздней версии или RSAT для Windows 10 или более поздней версии, очистка метаданных выполняется автоматически при удалении объекта контроллера домена. Кроме того, серверный объект и объект компьютера для удаленного контроллера домена также удаляются автоматически. Дополнительные сведения см. в разделе "Очистка метаданных удаленных записываемых контроллеровдомена" и "Очистка метаданных сервера AD DS".

    Очистка метаданных предотвращает возможное дублирование объектов NTDS-параметров, если AD DS установлен на контроллер домена на другом сайте. Возможно, это также может сохранить средство проверки согласованности знаний (KCC) процесс создания ссылок реплика tion, когда сами контроллеры домена могут не присутствовать. Кроме того, в рамках очистки метаданных записи ресурсов DNS указателя контроллера домена для всех остальных контроллеров домена в домене будут удалены из DNS.

    Пока метаданные всех остальных контроллеров домена не будут удалены, этот контроллер домена, если он был главным контроллером RID перед восстановлением, не будет принимать роль главного контроллера RID и поэтому не сможет выдавать новые идентификаторы. Вы можете увидеть идентификатор события 16650 в системном журнале в Просмотр событий, указывающий на этот сбой, но вы увидите идентификатор события 16648, указывающий на успех некоторое время после очистки метаданных.

  9. Если у вас есть зоны DNS, хранящиеся в AD DS, убедитесь, что локальная служба DNS-сервера установлена и запущена на восстановленном контроллере домена. Если этот контроллер домена не был DNS-сервером до сбоя леса, необходимо установить и настроить роль DNS-сервера на контроллере домена или DNS-сервере, который должен быть доступен в среде восстановления.

    В корневом домене леса настройте восстановленный контроллер домена с собственным IP-адресом в качестве предпочтительного DNS-сервера. Этот параметр можно настроить в свойствах TCP/IP адаптера локальной сети (LAN). Это первый DNS-сервер в лесу. Дополнительные сведения см. в разделе Рекомендации для параметров клиента системы доменных имен (DNS).

    В каждом дочернем домене настройте восстановленный контроллер домена с IP-адресом первого DNS-сервера в корневом домене леса в качестве предпочтительного DNS-сервера. Этот параметр можно настроить в свойствах TCP/IP адаптера локальной сети. Дополнительные сведения см. в разделе Рекомендации для параметров клиента системы доменных имен (DNS).

    В зонах DNS _msdcs и доменных доменов удалите записи NS контроллеров домена, которые больше не существуют после очистки метаданных. Проверьте, удалены ли записи SRV удаленных контроллеров домена. Чтобы ускорить удаление записей DNS SRV, выполните следующую команду:

    nltest.exe /dsderegdns:server.domain.tld

  10. Повышение значения доступного пула RID на 100 000. Дополнительные сведения см. в разделе "Повышение значения доступных пулов RID". Если у вас есть основания полагать, что повышение пула RID на 100 000 недостаточно для конкретной ситуации, необходимо определить, учитывая среднее потребление RID в вашей среде, наименьшее увеличение, которое по-прежнему безопасно использовать. ИДЕНТИФИКАТОРы — это конечный ресурс, который не следует использовать без необходимости.

    Если новые субъекты безопасности были созданы в домене после времени резервной копии, используемой для восстановления, эти субъекты безопасности могут иметь права доступа к определенным объектам. Эти субъекты безопасности больше не существуют после восстановления, так как восстановление отменить изменения в резервную копию, однако их права доступа по-прежнему могут существовать. Если доступный пул RID не вызывается после восстановления, новые пользовательские объекты, созданные после восстановления леса, могут получить идентичные идентификаторы безопасности (SID) и иметь доступ к этим объектам, которые изначально не были предназначены.

    Например, может быть новый сотрудник. Объект пользователя больше не существует после операции восстановления, так как он был создан после резервной копии, которая использовалась для восстановления домена. Однако все права доступа, назначенные данному объекту пользователя, могут сохраняться после операции восстановления. Если идентификатор безопасности для этого пользовательского объекта переназначен новому объекту после операции восстановления, новый объект получит эти права доступа.

  11. Недопустимый текущий пул RID. Текущий пул RID недопустим после восстановления состояния системы. Но если восстановление состояния системы не было выполнено, текущий пул RID должен быть недействителен, чтобы предотвратить повторное получение идентификаторов riD из пула RID, который был назначен во время создания резервной копии. Дополнительные сведения см. в разделе "Недопустимый текущий пул RID".

    Примечание.

    При первой попытке создать объект с идентификатором безопасности после отмены пула RID вы получите сообщение об ошибке. Попытка создать объект активирует запрос для нового пула RID. Повторная попытка операции завершается успешно, так как будет выделен новый пул RID.

  12. Сброс пароля учетной записи компьютера этого контроллера домена дважды. Дополнительные сведения см. в разделе Сброс пароля учетной записи компьютера контроллера домена.

  13. Сбросьте пароль krbtgt дважды. Дополнительные сведения см. в разделе "Сброс пароля krbtgt". Так как журнал паролей krbtgt является двумя паролями, сбросьте пароли дважды, чтобы удалить исходный (предварительно подготовленный) пароль из журнала паролей.

    Примечание.

    Если восстановление леса отвечает на нарушение безопасности, вы также можете сбросить пароли доверия. Дополнительные сведения см. в разделе "Сброс пароля доверия" на одной стороне доверия.

  14. Если лес имеет несколько доменов и восстановленный контроллер домена был глобальным сервером каталога до сбоя, снимите флажок "Глобальный каталог" проверка в свойствах NTDS Параметры, чтобы удалить глобальный каталог из контроллера домена. Исключением из этого правила является распространенный случай леса только с одним доменом. В этом случае для удаления глобального каталога не требуется. Дополнительные сведения см. в разделе "Удаление глобального каталога".

    Восстановление глобального каталога из резервной копии, которая является более последней, чем другие резервные копии, которые используются для восстановления контроллеров домена в других доменах, может привести к тому, что объекты задерживаются. Рассмотрим следующий пример. В домене А контроллер домена DC1 восстанавливается из резервной копии, которая была выполнена во время T1. В домене B контроллер домена DC2 восстанавливается из глобальной резервной копии каталога, которая была выполнена во время T2. Предположим, что T2 является более поздним, чем T1, и некоторые объекты были созданы между T1 и T2. После восстановления этих контроллеров домена DC2, который является глобальным каталогом, содержит новые данные для частичного реплика домена A, чем домен A. DC2 в этом случае содержит неуклюжие объекты, так как эти объекты не присутствуют в DC1.

    Наличие задерживающихся объектов может привести к проблемам. Например, сообщения электронной почты могут не доставляться пользователю, объект пользователя которого был перемещен между доменами. После возврата устаревшего сервера контроллера домена или глобального каталога в сети оба экземпляра объекта пользователя отображаются в глобальном каталоге. Оба объекта имеют одинаковый адрес электронной почты; поэтому сообщения электронной почты не могут быть доставлены.

    Другая проблема заключается в том, что учетная запись пользователя, которая больше не существует, может по-прежнему отображаться в глобальном списке адресов.

    Кроме того, универсальная группа, которая больше не существует, может по-прежнему отображаться в маркере доступа пользователя.

    Если вы восстановили контроллер домена, который был глобальным каталогом ( непреднамеренно или потому, что это была одинарная резервная копия, которую вы доверяете), рекомендуется предотвратить появление неустанных объектов, отключив глобальный каталог вскоре после завершения операции восстановления. Отключение флага глобального каталога приведет к потере компьютера всех его частичных реплика (секций) и переключения себя на обычный статус контроллера домена.

  15. Если вы используете учетные записи gMSA, возможно, потребуется повторно создать их, так как сведения о создании паролей могут быть предоставлены злоумышленнику, см. следующее:
    Как восстановиться после атаки Golden gMSA

    Сведения о том, как заменить gMSAs, и убедитесь, что они используют безопасный материал ключа, см. в статье о восстановлении одного домена в многодоменном лесу .

  16. Настройка службы времени Windows. В корневом домене леса настройте эмулятор PDC для синхронизации времени из внешнего источника времени. Дополнительные сведения см. в разделе "Настройка службы времени Windows" в эмуляторе PDC в корневом домене леса.

Повторное подключение каждого восстановленного контроллера домена с возможностью записи к общей сети

На этом этапе необходимо выполнить одно восстановление контроллера домена (и шаги восстановления) в корневом домене леса и в каждом из оставшихся доменов. Присоедините эти контроллеры домена к общей сети, изолированной от остальной части среды, и выполните следующие действия, чтобы проверить работоспособность леса и реплика.

Примечание.

При присоединении физических контроллеров домена к изолированной сети может потребоваться изменить ip-адреса. В результате IP-адреса записей DNS будут неправильными. Так как глобальный сервер каталога недоступен, безопасные динамические обновления для DNS завершаются ошибкой. Виртуальные контроллеры домена более выгодны в этом случае, так как они могут быть присоединены к новой виртуальной сети, не изменяя их IP-адреса. Это одна из причин, почему виртуальные контроллеры домена рекомендуется восстановить в качестве первых контроллеров домена во время восстановления леса.

Проверка работоспособности реплика леса

После проверки присоедините контроллеры домена к рабочей сети и выполните действия по проверке работоспособности реплика леса.

  • Чтобы устранить разрешение имен, создайте записи делегирования DNS и настройте перенаправление DNS и корневые подсказки по мере необходимости.
  • Выполните repadmin /replsum проверка реплика между контроллерами домена.
  • Если восстановленные контроллеры домена не являются прямыми партнерами реплика tion, восстановление реплика будет гораздо быстрее путем создания временных объектов подключения между ними.
  • Чтобы проверить очистку метаданных, запустите Repadmin /viewlist \* список всех контроллеров домена в лесу. Запустите Nltest /DCList:***\<domain\>* список всех контроллеров домена.
  • Чтобы проверка работоспособности контроллера домена и DNS, выполните отправку DCDiag /v отчетов об ошибках на всех контроллерах домена в лесу.

Добавление глобального каталога в контроллер домена в корневом домене леса

Для этих и других причин требуется глобальный каталог:

  • Включение входа для пользователей.
  • Чтобы включить службу net Logon, запущенную на контроллерах домена в каждом дочернем домене, необходимо зарегистрировать и удалить записи на DNS-сервере в корневом домене.

Несмотря на то, что корневой контроллер домена леса является глобальным каталогом, рекомендуется решить, что все контроллеры домена являются глобальным каталогом.

Примечание.

Контроллер домена не будет объявлен как глобальный сервер каталога, пока он не завершит полную синхронизацию всех секций каталогов в лесу. Поэтому контроллер домена должен быть вынужден реплика te с каждым восстановленным контроллером домена в лесу.

Отслеживайте журнал событий службы каталогов в Просмотр событий для идентификатора события 1119, который указывает, что этот контроллер домена является глобальным сервером каталога или убедитесь, что следующий раздел реестра имеет значение 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Дополнительные сведения см. в разделе "Добавление глобального каталога".

На этом этапе должен быть стабильный лес с одним контроллером домена для каждого домена и одним глобальным каталогом в лесу. Необходимо создать новую резервную копию каждого из только что восстановленных контроллеров домена. Теперь можно начать повторно развертывать другие контроллеры домена в лесу, установив AD DS и настроив дополнительные серверы глобального каталога.

Следующие шаги