Active Directory 林恢复 - 重新部署剩余 DC

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 2012 R2、Windows Server 2008 和 2008 R2

目前为止的步骤适用于所有林：为每个域查找有效备份、对域进行隔离恢复、重新连接域、重置全局目录以及进行清理。 在下一步中，你将重新部署林。 执行此操作的方式在很大程度上取决于林设计、服务级别协议、站点结构、可用带宽和许多其他因素。 你需要根据本部分中的原则和建议，以最适合业务要求的方式设计自己的重新部署计划。

下一步是在进行林恢复前存在的所有 DC 上安装 AD DS。 如果 DC 仍然存在，则需要强行删除 AD DS 服务，或者重新安装 DC。 无法重复使用这些 DC 的任何现有备份，因为在林恢复期间删除了相应的元数据。 在简单环境中，此重新部署过程非常简单，只需将恢复的 DC 重新连接到生产网络，并根据需要提升新的 DC 即可。

在面对全球基础结构的大型企业中，需要更复杂的计划。 第一阶段通常是将 AD 还原为服务；安装战略部署的 DC，以便所有关键业务部门和应用程序可以重新开始工作。 （分支机构因此暂时降低性能是可以接受的。）在第二阶段，将重新部署所有剩余 DC 和不太重要的 DC。

有两种方法可以安装其他 DC，这两种方法都可以自动化进行：

克隆

从备份还原单个虚拟化 DC 后，可以自动恢复域中的所有虚拟化 DC。 有关克隆和先决条件的详细信息，请参阅 Active Directory 域服务 (AD DS) 虚拟化简介（级别 100）。

使用 Windows PowerShell 重新安装 AD DS

若要加快重新安装 AD DS 的速度，可以使用“从媒体安装 (IFM)”选项来减少安装过程中的复制流量。 有关使用 ntdsutil ifm 命令创建安装媒体的详细信息，请参阅从媒体安装 AD DS。

对于通过虚拟化 DC 克隆或通过安装 AD DS（与从备份还原相对）在林中恢复的每个副本 DC，请考虑以下附加点：

• DC 上用作克隆源的所有软件都必须能够克隆。 应删除无法克隆的应用程序和服务，才可以启动克隆。 如果无法执行该操作，则应选择备用虚拟化 DC 作为源。
• 如果从要还原的第一个虚拟化 DC 克隆其他虚拟化 DC，则需要在复制其 VHDX 文件时关闭源 DC。 然后，在首次启动克隆虚拟 DC 时，它需要处于运行状态并且联机可用。 如果关闭所需的停机时间对于第一个恢复的 DC 来说不可接受，请通过安装 AD DS 来部署额外的虚拟化 DC 作为克隆源。
• 对克隆的虚拟化 DC 或要安装 AD DS 的服务器的主机名没有限制。 可以使用新主机名或之前使用的主机名。 有关 DNS 主机名语法的详细信息，请参阅创建 DNS 计算机名称 (https://go.microsoft.com/fwlink/?LinkId=74564)。
• 使用林中的第一个 DNS 服务器（在根域中还原的第一个 DC）配置每台服务器作为其网络适配器的 TCP/IP 属性中的首选 DNS 服务器。 有关详细信息，请参阅配置 TCP/IP 以使用 DNS。
• 重新部署域中的所有 RODC：如果多个 RODC 部署在一个中心位置，则进行虚拟化 DC 克隆；或者如果 RODC 单独部署在分支机构等隔离位置，则通过删除并重新安装 AD DS 这一传统方法重新生成它们。
  • 重新生成 RODC 可确保它们不包含任何延迟对象，并且有助于防止以后发生复制冲突。 从 RODC 中删除 AD DS 时，请选择保留 DC 元数据的选项。 使用此选项可保留 RODC 的 krbtgt 帐户，并保留委派的 RODC 管理员帐户和密码复制策略 (PRP) 的权限，并使你不必使用域管理员凭据在 RODC 上删除和重新安装 AD DS。 如果 DNS 服务器和全局编录角色最初安装在 RODC 上，则 RODC 还会保留这些角色。
  • 重新生成 DC（RODC 或可写 DC）时，重新安装过程可能会增加复制流量。 为了帮助降低这种影响，可以错开 RODC 安装计划，并使用“从媒体安装 (IFM)”选项。 如果使用 IFM 选项，请在确认没有损坏数据的可写 DC 上运行 ntdsutil ifm 命令。 这有助于防止在 AD DS 重新安装完成后，RODC 上出现可能的损坏。 有关 IFM 的详细信息，请参阅从媒体安装 AD DS。
  • 有关重新生成 RODC 的详细信息，请参阅 RODC 删除和重新安装。
• 如果 DC 在林发生故障之前正在运行 DNS 服务器服务，请在安装 AD DS 期间安装并配置 DNS 服务器服务。 否则，请使用其他 DNS 服务器配置其以前的 DNS 客户端。
• 如果需要其他全局目录来共享用户或应用程序的身份验证或查询负载，则可以在克隆之前将全局目录添加到源虚拟化 DC，也可以在安装 AD DS 期间将 DC 设置为全局编录服务器。

后续步骤

• AD 林恢复 - 先决条件
• AD 林恢复 - 设计自定义林恢复计划
• AD 林恢复 - 还原林的步骤
• AD 林恢复 - 确定问题
• AD 林恢复 - 确定如何恢复
• AD 林恢复 - 执行初始恢复
• AD 林恢复 - 过程
• AD 林恢复 - 常见问题解答 (FAQ)
• AD 林恢复 - 恢复多域林中的单个域
• AD 林恢复 - 重新部署剩余 DC
• AD 林恢复 - 虚拟化
• AD 林恢复 - 清理