Active Directory 樹系復原 - 執行初始復原

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 和 2012

本節包含下列步驟：

• 還原每個網域中的第一個可寫入網域控制站
• 將每個還原的可寫入網域控制站重新連線到網路
• 將通用類別目錄新增至樹系根網域中的網域控制站

還原每個網域中的第一個可寫入網域控制站

從樹系根網域中的可寫入 DC 開始，請完成本節中的步驟，以還原第一個 DC。 樹系根網域很重要，因為它會儲存結構描述管理員和企業系統管理員群組。 它也有助於維護樹系中的信任階層。 此外，樹系根網域通常會保留樹系 DNS 命名空間的 DNS 根伺服器。 因此，該網域的 Active Directory - 整合 DNS 區域包含樹系中所有其他 DC 的別名 (CNAME) 資源記錄 (複寫所需) 和通用類別目錄 DNS 資源記錄。

復原樹系根網域之後，請重複相同的步驟，以復原樹系中的剩餘網域。 您可以同時復原多個網域; 不過，在復原子系之前，一律先復原父系網域，以防止信任階層或 DNS 名稱解析中的任何中斷。

針對您復原的每個網域，從備份還原一個可寫入的 DC。 這是復原中最重要的一部分，因為 DC 必須有資料庫，且該資料庫不會受到導致樹系失敗的影響。 請務必在將信任的備份引入生產環境之前，先經過徹底測試。

然後執行下列步驟。 執行特定步驟的程序位於 AD 樹系復原 - 程序。

1. 如果您打算還原實體伺服器，請確定目標 DC 的網路纜線未連結，因此不會連線到實際執行環境的網路。 針對虛擬機器，您可以移除網路介面卡，或使用連接至另一個網路的網路介面卡，您可以在與實際執行環境網路隔離時測試復原程序。

2. 因為這是網域中的第一個可寫入 DC，因此您必須執行 AD DS 的非權威復原，以及 SYSVOL 的權威復原。 您必須使用 Active Directory 感知備份和還原應用程式來完成還原作業，例如 Windows Server Backup (建議使用)。 如果主機上支援 Hyper-Vistor 世代識別碼，您也可以使用 VM 快照集執行非權威復原。

   • 第一次復原的 DC 需要 SYSVOL 的權威復原，因為從災害復原之後，必須重新啟動 SYSVOL 資料夾的複寫與新的執行個體。 網域中已新增的所有後續 DC 都必須使用已選取為授權的資料夾複本，重新同步處理其 SYSVOL 資料夾。

     警告

     僅針對樹系根網域中要還原的第一個 DC 執行 SYSVOL 的權威 (或主要) 復原作業。 在其他 DC 上不正確地執行 SYSVOL 的主要還原作業會導致 SYSVOL 資料的複寫衝突。 有兩個選項會執行 AD DS 的非權威復原，以及 SYSVOL 的權威復原：

   • 執行完整伺服器復原，然後強制進行 SYSVOL 的授權同步處理。 如需詳細程序，請參閱執行完整伺服器復原和執行 DFSR 複寫 SYSVOL 的授權同步處理。

   • 執行完整伺服器復原，然後執行系統狀態還原。 此選項會要求您事先建立這兩種類型的備份：完整伺服器備份和系統狀態備份。 如需詳細程序，請參閱執行完整伺服器復原和執行 Active Directory Domain Services 的非權威復原。

3. 還原並重新啟動可寫入的 DC 之後，請確認失敗不會影響 DC 上的資料。 如果 DC 資料損毀，請使用不同的備份重複步驟 2。

   • 如果還原的網域控制站裝載操作主機角色，您可能需要新增下列登錄項目，以避免 AD DS 在完成可寫入目錄磁碟分割的複寫之前無法使用：

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     使用資料類型 REG_DWORD 和值為 0 建立項目。 完全復原樹系之後，您可以將這個項目的值重設為 1，這需要重新啟動並保留操作主機角色的網域控制站，才能與已知的複本夥伴成功進行 AD DS 輸入和輸出複寫，再將其公告為網域控制站，並開始提供服務給用戶端。 如需初始同步處理需求的詳細資訊，請參閱 Active Directory FSMO 角色。

4. 只有在還原並確認資料之後，以及將此電腦加入生產網路之前，才能繼續進行後續步驟。

5. 如果您懷疑全樹系失敗與網路入侵或惡意攻擊有關，請重設所有系統管理帳戶的帳戶密碼，包括企業系統管理員、網域管理員、結構描述管理員、伺服器操作員、帳戶操作員群組等等。 也需要 krbtgt 帳戶完成密碼重設程序。 在樹系復原的下一個階段，安裝其他網域控制站之前，應該先完成系統管理帳戶密碼的重設。

   在此情況下，也請處理取代所有 GMSA 密碼，就像系統管理帳戶已接管一樣，攻擊者可能已擷取資訊，讓它們能夠驗證為 GMSA。 如需詳細資訊，請參閱有關黃金 GMSA 攻擊的文章。

6. 如果您懷疑使用者帳戶遭到入侵，您也需要規劃網域中所有使用者的使用者密碼重設。

7. 在樹系根網域的第一個還原 DC 上，擷取所有全網域和全樹系操作主機角色。 需要企業系統管理員和結構描述管理員認證，才能視需要拿取全樹系操作主機角色。

   在每個子網域中，視需要拿取全網域操作主機角色。 雖然您可能只暫時保留還原 DC 上的操作主機角色，但拿取這些角色可確保您了解此時在樹系復原程序中哪些 DC 裝載它們。 在復原後程序中，您可以視需要重新發佈操作主要角色。 如需有關拿取操作主要角色的詳細資訊，請參閱拿取操作主要角色。 如需放置操作主機角色位置的建議，請參閱什麼是操作主機？。 另請參閱 AD DC 上的彈性單一主機作業 (FSMO) 放置和最佳化優化。

8. 清除您未從備份還原之樹系根網域中所有其他可寫入 DC 的中繼資料 (除了第一個 DC 以外，網域中的所有可寫入 DC)。 如果您使用 Windows Server 2012 或更新版本或 RSAT for Windows 10 或更新版本隨附的 Active Directory 使用者和電腦或 Active Directory 網站和服務版本，當您刪除 DC 物件時，會自動執行中繼資料清除。 此外，已刪除 DC 的伺服器物件和電腦物件也會自動刪除。 如需詳細資訊，請參閱清除已移除可寫入 DC 的中繼資料和清除 AD DS 伺服器中繼資料。

   如果 AD DS 安裝在不同網站的 DC 上，清除中繼資料可防止 NTDS 設定物件的可能重複。 這也可能會儲存認知一致性檢查程式 (KCC)，在 DC 本身可能不存在時建立複寫連結的處理程序。 此外，作為中繼資料清除的一部分，網域中所有其他 DC 的 DC 定位器 DNS 資源記錄將會從 DNS 中刪除。

   在移除網域中所有其他 DC 的中繼資料之前，如果它是復原前的 RID 主機，此 DC 將不會擔任 RID 主機角色，因此將無法發出新的 RID。 您可能會在事件檢視器中的系統記錄檔中看到事件識別碼 16650，指出此失敗，但您應該會在清除中繼資料之後看到事件識別碼 16648 指出成功。

9. 如果您有儲存在 AD DS 中的 DNS 區域，請確定已在您還原的 DC 上安裝並執行本機 DNS 伺服器服務。 如果此 DC 不是樹系失敗前的 DNS 伺服器，您必須在 DC 上安裝並設定 DNS 伺服器角色，或必須在還原環境中使用 DNS 伺服器。

   在樹系根網域中，將還原的 DC 設定為其慣用的 DNS 伺服器，並有自己的 IP 位址。 您可以在區域網路 (LAN) 介面卡的 TCP/IP 屬性中設定此設定。 這是樹系中的第一部 DNS 伺服器。 如需詳細資訊，請參閱網域名稱系統 (DNS) 用戶端設定的建議。

   在每個子網域中，將還原的 DC 設定為樹系根域中第一部 DNS 伺服器的 IP 位址作為其慣用的 DNS 伺服器。 您可以在 LAN 介面卡的 TCP/IP 屬性中設定此設定。 如需詳細資訊，請參閱網域名稱系統 (DNS) 用戶端設定的建議。

   在 _msdcs 和網域 DNS 區域中，刪除中繼資料清除之後已不存在之 DC 的 NS 記錄。 檢查已清除 DC 的 SRV 記錄是否已移除。 若要協助加速 DNS SRV 記錄移除，請執行：

   nltest.exe /dsderegdns:server.domain.tld

10. 將可用 RID 集區的值提高 100,000。 如需詳細資訊，請參閱提高可用 RID 集區的值的值。 如果您有理由認為將 RID 集區提高 100,000 不足以滿足您的特定情況，您應該判斷，考慮到您環境的平均 RID 耗用量，這是仍然安全使用的最低增加。 RID 是一種有限資源，不應不必要地用盡。

    如果您在用於還原的備份之後，已在網域中建立新的安全性主體，這些安全性主體可能會具有特定物件的存取權限。 復原之後，這些安全性主體已不再存在，因為復原已還原至備份; 不過，其存取權限可能仍然存在。 如果在還原之後未引發可用的 RID 集區，則樹系復原之後建立的新使用者物件可能會取得相同的安全性識別碼 (SID)，而且可以存取那些原本未預期的物件。

    例如，可能有新員工。 還原作業之後，使用者物件已不存在，因為它是在用來還原網域的備份之後建立的。 不過，指派給該使用者物件的任何存取權限可能會在還原作業之後保存。 如果在還原作業之後，該使用者物件的 SID 重新指派給新的物件，新物件會取得這些存取權限。

11. 使目前的 RID 集區無效。 在系統狀態還原之後，目前的 RID 集區會失效。 但是，如果未執行系統狀態還原，則目前的 RID 集區必須失效，以防止還原的 DC 從建立備份時指派的 RID 集區重新發出 RID。 如需詳細資訊，請參閱使目前的 RID 集區失效。

    注意

    在您使 RID 集區失效之後，第一次嘗試使用 SID 建立物件時，您會收到錯誤。 嘗試建立物件會觸發新 RID 集區的要求。 作業的重試會成功，因為將會配置新的 RID 集區。

12. 重設此 DC 的電腦帳戶密碼兩次。 如需詳細資訊，請參閱重設網域控制站的電腦帳戶密碼。

13. 重設 krbtgt 密碼兩次。 如需詳細資訊，請參閱重設 krbtgt 密碼。 因為 krbtgt 密碼歷程記錄是兩個密碼，請重設密碼兩次，以從密碼歷程記錄中移除原始密碼。。

    注意

    如果樹系復原是因應安全性缺口，您也可以重設信任密碼。 如需詳細資訊，請參閱在信任的一端重設信任密碼。

14. 如果樹系有多個網域，且還原的 DC 在失敗前是通用類別目錄伺服器，請清除 NTDS 設定屬性中的 [通用類別目錄] 核取方塊，以從 DC 移除通用類別目錄。 此規則的例外狀況是只有一個網域的樹系常見案例。 在此情況下，不需要移除通用類別目錄。 如需詳細資訊，請參閱移除通用類別目錄。

    藉由從備份還原通用類別目錄，而備份比其他網域中用來還原 DC 的其他備份還新，您可能會引進延遲物件。 請思考一下下列範例。 在網域 A 中，DC1 會從時間 T1 進行的備份中還原。 在網域 B 中，DC2 會從時間 T2 進行的通用類別目錄備份中還原。 假設 T2 比 T1 還新，而且在 T1 和 T2 之間已建立一些物件。 還原這些 DC 之後，DC2 是通用類別目錄，會保留網域 A 部分複本的較新資料，而不是網域 A 保留本身。 在此情況下，DC2 會保留延遲物件，因為這些物件不存在於 DC1 上。

    延遲物件的存在可能會導致問題。 例如，電子郵件訊息可能不會傳遞至使用者物件在網域之間移動的使用者。 將過期的 DC 或通用類別目錄伺服器帶回線上之後，使用者物件的兩個執行個體都會出現在通用類別目錄中。 這兩個物件都有相同的電子郵件地址; 因此，無法傳遞電子郵件訊息。

    另一個問題是，已不存在的使用者帳戶可能仍會出現在全域通訊清單中。

    此外，不存在的通用群組可能仍會出現在使用者的存取權杖中。

    如果您確實還原的是通用類別目錄的 DC，不小心或因為那是您信任的單獨備份，建議您在還原作業完成後，立即停用通用類別目錄來防止延遲物件的發生。 停用通用類別目錄旗標會導致電腦遺失其所有部分複本 (磁碟分割)，並將本身降級為一般 DC 狀態。

15. 如果您使用 gMSA 帳戶，您可能需要重新建立帳戶，因為密碼產生詳細資料可能會公開給攻擊者，請參閱：
    如何從黃金 gMSA 攻擊中復原

    請參閱 AD 樹系復原 - 復原多網域樹系內的單一網域，以取得如何取代 gMSA 並確定它們使用安全金鑰資料的步驟。

16. 設定 Windows Time 服務。 在樹系根網域中，將 PDC 模擬器設定為從外部時間來源同步處理時間。 如需詳細資料，請參閱在樹系根網域中的 PDC 模擬器上設定 Windows Time 服務。

將每個還原的可寫入網域控制站重新連線到通用網路

在這個階段，您應該在樹系根網域和每個其餘網域中還原一個 DC (以及執行復原步驟)。 將這些 DC 加入與環境其餘部分隔離的通用網路，並完成下列步驟，以驗證樹系健全狀況和複寫。

注意

當您將實體 DC 加入隔離的網路時，您可能需要變更其 IP 位址。 因此，DNS 記錄的 IP 位址會錯誤。 因為無法使用通用類別目錄伺服器，因此 DNS 的安全動態更新將會失敗。 在此案例中，虛擬 DC 比較有利，因為它們可以加入新的虛擬網路，而不會變更其 IP 位址。 這是建議虛擬 DC 作為在樹系復原期間要還原之第一個網域控制站的原因之一。

確認樹系複寫健全狀況

驗證之後，將 DC 加入實際執行環境網路，並完成驗證樹系複寫健全狀況的步驟。

• 若要修正名稱解析，請建立 DNS 委派記錄，並視需要設定 DNS 轉送和根目錄提示。
• 執行 repadmin /replsum 以檢查 DC 之間的複寫。
• 如果還原的 DC 不是直接複寫夥伴，則透過在它們之間建立暫存連線物件，複寫復原會更快速。
• 若要驗證中繼資料清除，請針對樹系中的所有 DC 清單執行 Repadmin /viewlist \*。 針對網域中所有 DC 的清單執行 Nltest /DCList:***\<domain\>*。
• 若要檢查 DC 和 DNS 健康情況，請執行 DCDiag /v 以報告樹系中所有 DC 的錯誤。

將通用類別目錄新增至樹系根網域中的網域控制站

這需要通用類別目錄，原因如下：

• 針對啟用使用者的登入。
• 啟用在每個子網域中 DC 上執行的 Net Logon 服務，以在根網域中的 DNS 伺服器上註冊和移除記錄。

雖然建議樹系根 DC 是通用類別目錄，但通常建議決定所有 DC 都是通用類別目錄。

注意

DC 在完成樹系中所有目錄磁碟分割的完整同步處理之前，不會將 DC 公告為通用類別目錄伺服器。 因此，DC 應該強制使用樹系中每個還原的 DC 進行複寫。

監視事件檢視器中事件識別碼 1119 的目錄服務事件記錄檔，指出此 DC 是通用類別目錄伺服器，或確認下列登錄機碼的值為 1：

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

如需詳細資訊，請參閱新增通用類別目錄。

在這個階段，您應該要有一個穩定的樹系，每個網域都有一個 DC，以及樹系中的一個通用類別目錄。 您應該為每個剛還原的 DC 進行新的備份。 您現在可以安裝 AD DS 並設定其他通用類別目錄伺服器，開始重新部署樹系中的其他 DC。

下一步

• AD 樹系復原 - 先決條件
• AD 樹系復原 - 設計自訂樹系復原計畫
• AD 樹系復原 - 用來還原樹系的步驟
• AD 樹系復原 - 識別問題
• AD 樹系復原 - 決定如何復原
• AD 樹系復原 - 執行初始復原
• AD 樹系復原 - 程序
• AD 樹系復原 - 常見問題集 (FAQ)
• AD 樹系復原 - 復原多網域樹系內的單一網域
• AD 樹系復原 - 重新部署其餘 DC
• AD 樹系復原 - 虛擬化
• AD 樹系復原 - 清除