Восстановление леса Active Directory-повторное развертывание оставшихся контроллеров домена

применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 и 2012 r2, Windows Server 2008 и 2008 r2

Шаги вплоть до этого момента применяются ко всем лесам: Найдите допустимую резервную копию для каждого домена, восстановите домены в режиме изоляции, повторно подключите их, сбросьте и очистите глобальный каталог и выполните очистку. На следующем шаге будет повторно развернуто лес. Это сильно зависит от структуры леса, соглашений об уровне обслуживания, структуры сайта, доступной пропускной способности и многих других факторов. Вам потребуется разработать собственный план повторного развертывания на основе принципов и предложений в этом разделе, который наилучшим образом подходит для бизнес-требований.

Следующим шагом является установка AD DS на всех контроллерах домена, которые присутствовали до восстановления леса. Если контроллеры домена по-прежнему существуют, необходимо будет принудительно удалить службу AD DS или переустановить контроллеры домена. Любые существующие резервные копии для этих контроллеров домена нельзя использовать повторно, так как соответствующие метаданные были удалены во время восстановления леса. В несложной среде этот процесс повторного развертывания может быть простым, так как повторное подключение восстановленных контроллеров домена к рабочей сети и повышение уровня новых контроллеров доменов по мере необходимости.

В крупных предприятиях с инфраструктурой по всему миру требуется более сложный план. Первым этапом обычно является восстановление AD как службы. Это означает, что необходимо установить стратегически размещенные контроллеры домена таким образом, чтобы все критические подразделения и приложения могли снова начать работать. Это может быть приемлемым, чтобы филиалы могли временно снизить производительность, как следствие этого. На втором этапе повторно развертываются все оставшиеся и менее важные контроллеры доменов.

Существует два способа установки дополнительных контроллеров домена, которые можно автоматизировать.

  • клонирования
    • для виртуализированных сред, в которых выполняется Windows Server 2012, клонирование является самым быстрым и простым способом восстановления большого количества контроллеров доменов. Вы можете автоматизировать восстановление всех виртуальных контроллеров домена в домене после восстановления отдельного виртуального контроллера домена из резервной копии.
    • Дополнительные сведения о клонировании и предварительных требованиях см. в статье Введение в виртуализацию домен Active Directory Services (AD DS) (уровень 100).
  • переустановите AD DS с помощью Windows PowerShell на серверах, на которых выполняется Windows Server 2012 (или Dcpromo.exe на серверах с более ранними версиями Windows Server) или с помощью пользовательского интерфейса.
    • Чтобы ускорить повторную установку AD DS, можно использовать параметр установить с носителя (IFM), чтобы уменьшить трафик репликации во время установки. Дополнительные сведения об использовании команды ntdsutil ifm для создания установочного носителя см. в разделе Установка AD DS с носителя.

Рассмотрите следующие дополнительные моменты для каждой реплики контроллера домена, которые восстанавливаются в лесу с помощью виртуализированного клонирования контроллеров домена или путем установки AD DS (в отличие от восстановления из резервной копии).

  • Все программное обеспечение на контроллере домена, используемое в качестве источника для клонирования, должно быть способно клонировано. Приложения и службы, которые не могут быть клонированы, должны быть удалены перед инициацией клонирования. Если это невозможно, в качестве источника следует выбрать альтернативный виртуальный контроллер домена.
  • При клонировании дополнительных виртуализированных контроллеров домена из первого виртуального контроллера домена для восстановления необходимо завершить работу исходного контроллера домена во время копирования его VHDX-файла. Затем он должен быть запущен и доступен в сети при первом запуске клонирования виртуальных контроллеров домена. Если время простоя, требуемое для завершения работы, неприемлемо для первого восстановленного контроллера домена, разверните дополнительный виртуализированный контроллер домена, установив AD DS, который будет использоваться в качестве источника для клонирования.
  • На имя узла клонированного виртуального контроллера домена или сервера, на котором требуется установить AD DS, нет ограничений. Можно использовать новое имя узла или имя узла, которое было использовано ранее. Дополнительные сведения о синтаксисе имен узлов DNS см. в разделе Создание DNS-имен компьютеров ( ).
  • Настройте каждый сервер с помощью первого DNS-сервера в лесу (первый контроллер домена, который был восстановлен в корневом домене) в качестве предпочитаемого DNS-сервера в свойствах TCP/IP сетевого адаптера. Дополнительные сведения см. в разделе Настройка TCP/IP для использования DNS.
  • Повторное развертывание всех RODC в домене с помощью виртуализованного клонирования контроллеров домена, если несколько контроллеров RODC развернуты в центральном расположении, или традиционного метода их перестроения путем удаления и переустановки AD DS, если они развертываются по отдельности в изолированных расположениях, таких как офисы филиалов.
    • Перестроение RODC гарантирует, что они не будут содержать устаревших объектов и могут предотвратить возникновение конфликтов репликации позже. При удалении AD DS из RODC выберите параметр, чтобы хранить метаданные контроллера домена. При использовании этого параметра учетная запись krbtgt для контроллера домена только для чтения будет содержать разрешения на делегированную учетную запись администратора RODC и политика репликации паролей (политика репликации паролей), а также не нужно использовать учетные данные администратора домена для удаления и переустановки AD DS на RODC. Также сохраняются DNS-сервер и роли глобального каталога, если они установлены изначально на RODC.
    • При перестроении контроллеров домена (RODC или записываемых контроллеров домена) может возникнуть увеличение трафика репликации во время повторной установки. Чтобы снизить это влияние, можно понизить расписание установок RODC, а также можно использовать параметр установить с носителя (IFM). Если вы используете параметр IFM, выполните команду ntdsutil ifm на ЗАПИСЫВАЕМом контроллере домена, которому вы доверяете, чтобы освободить поврежденные данные. Это помогает предотвратить появление возможных повреждений на RODC после завершения переустановки AD DS. Дополнительные сведения о IFM см. в статье установка AD DS с носителя.
    • Дополнительные сведения о перестроении RODC см. в статье Удаление и повторная установка RODC.
  • Если контроллер домена выполнял службу DNS-сервера до сбоя леса, установите и настройте службу DNS-сервера во время установки AD DS. В противном случае настройте прежние DNS-клиенты с другими DNS-серверами.
  • Если требуются дополнительные глобальные каталоги для совместного использования проверки подлинности или загрузки запросов для пользователей или приложений, можно либо добавить глобальный каталог к исходному виртуальному контроллеру домена перед клонированием, либо сделать контроллер домена сервером глобального каталога во время установки AD DS.

Next Steps