执行初始恢复

适用于:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

此部分包括下列步骤:

还原每个域中的第一个可写域控制器

从林根域中的可写 DC 开始,完成本部分中的步骤以还原第一个 DC。 林根域非常重要,因为它存储架构管理员和Enterprise管理员组。 它还有助于维护林中的信任层次结构。 此外,林根域通常保存林 DNS 命名空间的 DNS 根服务器。 因此,该域的 Active Directory 集成 DNS 区域包含林 (中所有其他 CC 的别名 (CNAME) 资源记录,这是复制) 和全局目录 DNS 资源记录所需的。

恢复林根域后,重复相同的步骤以恢复林中的其余域。 可以同时恢复多个域;但是,在恢复子域之前,请始终恢复父域,以防止信任层次结构或 DNS 名称解析中出现任何中断。

对于恢复的每个域,仅从备份还原一个可写 DC。 这是恢复最重要的部分,因为 DC 必须具有未受任何导致林故障影响的数据库。 在将受信任的备份引入生产环境之前,必须经过全面测试,这一点很重要。

然后,执行以下步骤。 执行某些步骤的过程在 AD 林恢复 - 过程 中

  1. 如果计划还原物理服务器,请确保未连接目标 DC 的网络电缆,因此未连接到生产网络。 对于虚拟机,可以删除网络适配器或使用附加到另一个网络的网络适配器,可以在与生产网络隔离时测试恢复过程。

  2. 由于这是域中的第一个可写入 DC,因此必须执行非授权还原AD DS SYSVOL 的权威还原。 必须使用 Active Directory 感知备份和还原应用程序(如 Windows 服务器备份 ()完成还原操作,也就是说,不应使用不受支持的方法(如还原 VM 快照) )来还原 DC。

    • 需要执行 SYSVOL 的权威还原,因为在从灾难中恢复后,必须启动 SYSVOL 复制文件夹的复制。 在域中添加的所有后续 DCS 都必须将其 SYSVOL 文件夹与已选择具有权威的文件夹副本重新同步,然后才能播发该文件夹。

    注意

    仅对 (根) 的第一个 DC 执行 SYSVOL 的权威恢复或主数据库还原操作。 在其他 DC 上错误地执行 SYSVOL 的主要还原操作会导致 SYSVOL 数据的复制冲突。

    • 有两个选项可以执行对 SYSVOL 的AD DS身份验证还原:
    • 执行完整服务器恢复,然后强制进行 SYSVOL 的权威同步。 有关详细过程,请参阅 执行完整服务器恢复 和执行 DFSR 复制的 SYSVOL 的权威同步
    • 执行完整服务器恢复,然后执行系统状态还原。 此选项要求提前创建两种类型的备份:完整服务器备份和系统状态备份。 有关详细过程,请参阅 执行完整服务器恢复 和对服务 执行非Active Directory 域 还原
  3. 还原并重启可写 DC 后,请验证故障是否不会影响 DC 上的数据。 如果 DC 数据已损坏,请使用不同的备份重复步骤 2。

    • 如果还原的域控制器承载操作主机角色,可能需要添加以下注册表项AD DS,直到完成可写目录分区的复制为止:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl 执行初始同步

      创建数据类型为REG_DWORD值为0的条目。 完全恢复林后,你可以将此项的值重置为 1,这需要一个域控制器,该域控制器重新启动并保存操作主机角色,以在其已知副本伙伴成功进行 AD DS 入站和出站复制,然后再将自身播发为域控制器并开始向客户端提供服务。 有关初始同步要求详细信息,请参阅知识库文章305476。

      只有在还原并验证数据之后,以及将此计算机加入生产网络之前,才继续执行以下步骤。

  4. 如果怀疑林范围的故障与网络入侵或恶意攻击相关,请重置所有管理帐户的帐户密码,包括 Enterprise 管理员、域管理员、架构管理员、服务器操作员、帐户操作员组等的成员。 在林恢复的下一阶段安装其他域控制器之前,应先完成管理帐户密码的重置。

  5. 在林根域中第一个还原的 DC 上,将拥有所有域范围和林范围操作主机角色。 Enterprise林范围的操作主机角色需要管理员和架构管理员凭据。

    在每个子域中,分配域范围的操作主机角色。 尽管你可能只暂时保留已还原 DC 上的操作主机角色,但保留这些角色可确保在林恢复过程中,此时哪些 DC 托管这些角色。 在恢复后过程中,可根据需要重新分发操作主机角色。 有关处理操作主机角色详细信息,请参阅 管理操作主机角色。 有关在何处放置操作主机角色的建议,请参阅什么是操作主机?。

  6. 清理未从备份还原的林根域中所有其他可写入 DC 的元数据 (域中除第一个 DC 地址之外的所有可写 DC) 。 如果使用 Windows Server 2008 或更高版本或 RSAT for Windows Vista 或更高版本中包含的 Active Directory 用户和计算机 或 Active Directory 站点和服务版本,则删除 DC 对象时会自动执行元数据清理。 此外,也会自动删除已删除 DC 的服务器对象和计算机对象。 有关详细信息,请参阅 清理已删除的可写 DC 的元数据

    如果 NTDS 设置对象安装在另一AD DS的 DC 上,则清理元数据可防止 NTDS 设置对象重复。 这也可能将知识一致性检查器 (KCC) 创建复制链接的过程(如果 DCS 本身可能不存在)。 此外,作为元数据清理的一部分,域中所有其他 DC 的 DC 定位器 DNS 资源记录将从 DNS 中删除。

    在删除域中所有其他 DC 的元数据之前,此 DC(如果恢复前是 RID 主机)不会承担 RID 主机角色,因此无法发出新的 RID。 你可能会在 事件查看器 的系统日志中看到事件 ID 16650 指示此失败,但在清理元数据后的一小段时间,应会看到事件 ID 16648 指示成功。

  7. 如果 DNS 区域存储在 AD DS,请确保在已还原的 DC 上安装并运行本地 DNS 服务器服务。 如果此 DC 在林故障之前不是 DNS 服务器,则必须安装和配置 DNS 服务器。

    注意

    如果还原的 DC Windows Server 2008,则需要在知识库文章中安装修补程序975654或暂时将服务器连接到独立网络,以便安装 DNS 服务器。 对于任何其他版本的 Windows Server,Windows修补程序。

    在林根域中,使用自己的 IP 地址 (或环回地址(例如 127.0.0.1) )将还原的 DC 配置为首选 DNS 服务器。 可以在局域网的 TCP/IP 属性中配置此设置, (LAN) 适配器。 这是林中的第一个 DNS 服务器。 有关详细信息,请参阅配置TCP/IP 以使用 DNS。

    在每个子域中,将还原的 DC 配置为林根域中第一个 DNS 服务器的 IP 地址作为首选 DNS 服务器。 可以在 LAN 适配器的 TCP/IP 属性中配置此设置。 有关详细信息,请参阅配置TCP/IP 以使用 DNS。

    在_msdcs域 DNS 区域中,删除元数据清理后不再存在的 DCS 的 NS 记录。 检查已清理的 DC 的 SRV 记录是否已删除。 若要帮助加快 DNS SRV 记录删除速度,请运行:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. 将可用 RID 池的值增加 100,000。 有关详细信息,请参阅 提升可用 RID 池 的值。 如果认为将 RID 池增加 100,000 不足以解决特定情况,应确定仍可安全使用的最低增长。 RID 是一种有限资源,不应不必要地使用。

    如果在用于还原的备份之后在域中创建了新的安全主体,则这些安全主体可能对某些对象具有访问权限。 这些安全主体在恢复后不再存在,因为恢复已还原到备份;但是,其访问权限可能仍然存在。 如果在还原后未引发可用的 RID 池,在林恢复后创建的新用户对象可能会获得相同的安全 ID (ID) 并且可以访问这些对象,而这些对象最初不是预期的。

    为了说明这一点,请考虑简介中提到的名为 Amy 的新员工的示例。 Amy 的用户对象在还原操作后不再存在,因为它是在用于还原域的备份之后创建的。 但是,在还原操作后,分配给该用户对象的任何访问权限都可能会保留。 如果在还原操作后将该用户对象的 SID 重新分配到新对象,则新对象将获取这些访问权限。

  9. 使当前 RID 池无效。 当前 RID 池在系统状态还原后失效。 但是,如果未执行系统状态还原,需要使当前 RID 池失效,以防止还原的 DC 从创建备份时分配的 RID 池中重新发出 RID。 有关详细信息,请参阅 使当前 RID 池无效

    注意

    在 RID 池失效后,首次尝试使用 SID 创建对象时,将收到错误。 尝试创建对象会触发对新 RID 池的请求。 重试操作成功,因为将分配新的 RID 池。

  10. 重置此 DC 的计算机帐户密码两次。 有关详细信息,请参阅 重置域控制器 的计算机帐户密码

  11. 重置 krbtgt 密码两次。 有关详细信息,请参阅重置 krbtgt 密码

    由于 krbtgt 密码历史记录是两个密码,请重置密码两次,以从密码历史记录中删除原始 (prefailure) 密码。

    注意

    如果林恢复需要响应安全漏洞,则还可以重置信任密码。 有关详细信息,请参阅 重置信任一方的信任密码

  12. 如果林中有多个域,而还原的 DC 是发生故障之前的全局编录服务器,请清除 NTDS 设置属性中的 "全局编录" 复选框,以从 DC 中删除全局编录。 此规则的例外情况是仅有一个域的林的常见情况。 在这种情况下,不需要删除全局编录。 有关详细信息,请参阅 删除全局编录

    通过从备份中还原全局编录,该备份比其他域中用于还原 Dc 的其他备份要新。 请考虑以下示例。 在域 A 中,DC1 是从在时间 T1 拍摄的备份中还原的。 在域 B 中,DC2 从在时间 T2 拍摄的全局编录备份还原。 假设 T2 比 T1 更近,并且某些对象是在 T1 和 T2 之间创建的。 还原这些 Dc 后,DC2 (这是一个全局编录)会保留域 A 的部分副本的更新数据,而不是域 A 本身。 在这种情况下,DC2 保存了延迟对象,因为 DC1 上不存在这些对象。

    延迟对象的存在可能导致问题。 例如,可能无法将电子邮件发送到用户对象在域之间移动的用户。 使过时的 DC 或全局编录服务器重新联机后,该用户对象的两个实例都将显示在全局目录中。 这两个对象具有相同的电子邮件地址;因此无法传递电子邮件。

    第二个问题是,不存在的用户帐户可能仍会出现在全局地址列表中。 第三个问题是:已不存在的通用组可能仍会出现在用户的访问令牌中。

    如果你确实还原了作为全局编录的 DC,无论是不小心还是因为这是你信任的孤立备份,我们建议你在还原操作完成后立即禁用全局编录,以防止发生延迟对象。 禁用全局编录标志将导致计算机丢失其所有部分副本 (分区) 并 relegating 自身为常规 DC 状态。

  13. 配置 Windows 时间服务。 在目录林根级域中,将 PDC 仿真器配置为从外部时间源同步时间。 有关详细信息,请参阅在林根域中的 PDC 模拟器上配置 Windows 时间服务

将每个还原的可写域控制器重新连接到公共网络

在此阶段,你应在目录林根级域和每个剩余域中) 执行 (和恢复步骤。 将这些 Dc 加入到与环境的其余部分隔离的公共网络,并完成以下步骤以验证林的运行状况和复制。

注意

将物理 Dc 加入到隔离的网络时,可能需要更改其 IP 地址。 因此,DNS 记录的 IP 地址将会出错。 由于全局编录服务器不可用,因此 DNS 的安全动态更新将会失败。 在这种情况下,虚拟 Dc 更有利,因为它们可以加入到新的虚拟网络,而不会更改其 IP 地址。 这就是为什么建议在林恢复期间还原第一个域控制器的一个原因。

验证后,将 Dc 加入生产网络并完成验证林复制运行状况的步骤。

  • 若要修复名称解析,请根据需要创建 DNS 委托记录并配置 DNS 转发和根提示。 运行 repadmin/replsum 以检查域控制器之间的复制。
  • 如果还原的 DC 不是直接复制伙伴,则通过在它们之间创建临时连接对象,可以更快地进行复制恢复。
  • 若要验证元数据清除,请运行 Repadmin/viewlist \*,以获取林中所有 dc 的列表。 运行Nltest/DCList: domain 获取域中所有 dc 的列表。
  • 若要检查 DC 和 DNS 运行状况,请运行 DCDiag/v 报告林中所有 Dc 上的错误。

将全局编录添加到目录林根级域中的域控制器

需要全局编录,原因如下:

  • 为用户启用登录。
  • 若要启用在每个子域中的 Dc 上运行的 Net Logon 服务,在根域中的 DNS 服务器上注册和删除记录。

虽然目录林根 DC 可以成为全局编录,但可以选择任何已还原的 Dc 来成为全局编录。

注意

在完全同步林中的所有目录分区之前,不会将 DC 播发为全局编录服务器。 因此,应强制 DC 与林中的每个已还原 Dc 进行复制。

监视事件查看器事件 ID 1119 的目录服务事件日志,该日志指示此 DC 是全局编录服务器,或验证以下注册表项的值是否为1:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global 目录升级完成

有关详细信息,请参阅 添加全局编录

在此阶段,你应该具有一个稳定的林,其中每个域有一个 DC,并且林中有一个全局编录。 应为刚还原的每个 Dc 创建新的备份。 你现在可以通过安装 AD DS 来开始重新部署林中的其他 Dc。

后续步骤