ในบทความนี้ เราจะแสดงวิธีการคืนค่าตัวควบคุมโดเมน Active Directory จากข้อมูลสำรองสถานะระบบที่สร้างไว้ก่อนหน้านี้ (ดูบทความการสำรองข้อมูล Active Directory) และหารือเกี่ยวกับประเภทและหลักการของการกู้คืน AD DC
สมมติว่าตัวควบคุมโดเมน AD ของคุณล้มเหลว และคุณต้องการคืนค่าจากสำเนาสำรอง ก่อนที่คุณจะเริ่มคืนค่า DC ของคุณ คุณต้องเข้าใจว่าจะใช้สถานการณ์ใด ขึ้นอยู่กับว่าคุณมีตัวควบคุมโดเมนอื่นในเครือข่ายของคุณและความสมบูรณ์ของฐานข้อมูล Active Directory หรือไม่
จะคืนค่า Domain Controller โดยใช้การจำลองแบบได้อย่างไร
การกู้คืน DC ผ่านการจำลองแบบ AD มาตรฐานไม่ใช่การคืนค่า DC จากข้อมูลสำรอง คุณสามารถใช้สถานการณ์นี้ถ้าคุณมีตัวควบคุมโดเมนหลายตัวในเครือข่ายองค์กรของคุณ และทั้งหมดนั้นใช้งานได้ ภาพจำลองนี้เกี่ยวข้องกับการติดตั้งเซิร์ฟเวอร์ใหม่พร้อมการเลื่อนขั้นเพิ่มเติมไปยังตัวควบคุมโดเมน ADDS ใหม่บนไซต์เดียวกัน DC ตัวเก่าจะถูกลบออกจาก AD อย่างง่ายดาย
เป็นวิธีที่ง่ายที่สุดที่ไม่เกี่ยวข้องกับการเปลี่ยนแปลง AD ที่ไม่สามารถย้อนกลับได้ ในสถานการณ์สมมตินี้ ฐานข้อมูล ntds.dit ไฟล์ GPO และเนื้อหาของโฟลเดอร์ SYSVOL จะถูกจำลองแบบโดยอัตโนมัติไปยังตัวควบคุมโดเมนใหม่จาก DCs ที่ออนไลน์อยู่
หากฐานข้อมูล ADDS มีขนาดเล็กและมี DC อื่นผ่านลิงก์เครือข่ายความเร็วสูง วิธีที่อธิบายไว้ข้างต้นจะเร็วกว่าการกู้คืน DC จากสำเนาสำรอง
ประเภทการคืนค่า Active Directory:เชื่อถือได้ &ไม่มีสิทธิ์
มีการกู้คืน Active Directory DC สองประเภทจากข้อมูลสำรองที่คุณต้องเข้าใจให้ชัดเจนก่อนลองทำ:
- การคืนค่าที่เชื่อถือได้ — หลังจากที่คุณกู้คืนวัตถุ AD ของคุณแล้ว การจำลองจะดำเนินการจาก DC ที่กู้คืนไปยังตัวควบคุมโดเมนอื่นทั้งหมด ประเภทการกู้คืนนี้ใช้ในสถานการณ์เมื่อ DC เดียวหรือ DC ทั้งหมดล้มเหลวในเวลาเดียวกัน (เช่น หลังจากการโจมตีของแรนซัมแวร์หรือไวรัส) หรือฐานข้อมูล NTDS.DIT ที่เสียหายถูกจำลองแบบข้ามโดเมน ในโหมดนี้ USN (อัปเดตหมายเลขลำดับ) ของวัตถุ AD ที่กู้คืนทั้งหมดเพิ่มขึ้น 100,000 ดังนั้น DC จะเห็นว่าวัตถุที่กู้คืนทั้งหมดเป็นวัตถุที่ใหม่กว่าและจะถูกจำลองแบบในโดเมน ใช้ Authoritative Restore อย่างระมัดระวัง!!! ที่ Authoritative Restore คุณจะสูญเสียการเปลี่ยนแปลง AD ส่วนใหญ่ที่เกิดขึ้นหลังจากที่คุณสร้างข้อมูลสำรองแล้ว (การเป็นสมาชิกกลุ่ม AD, แอตทริบิวต์ Exchange ฯลฯ)
- การคืนค่าโดยไม่ได้รับอนุญาต — หลังจากที่คุณกู้คืนฐานข้อมูล AD ของคุณแล้ว คอนโทรลเลอร์จะแจ้ง DC อื่นๆ ว่าได้กู้คืนจากข้อมูลสำรองแล้ว และต้องการการเปลี่ยนแปลง AD ล่าสุด (DSA Invocation ID ใหม่จะถูกสร้างขึ้นสำหรับ DC) คุณสามารถใช้วิธีการกู้คืนนี้บนไซต์ระยะไกลได้ เมื่อการจำลองฐานข้อมูล AD ขนาดใหญ่อย่างรวดเร็วผ่านช่องทาง WAN ที่ช้าได้ยาก หรือหากคุณมีข้อมูลหรือแอปที่สำคัญบนเซิร์ฟเวอร์
กู้คืน Active Directory Domain Controller จากการสำรองข้อมูลสถานะระบบ
สมมติว่าคุณมี DC เพียงแห่งเดียวในโดเมนของคุณ ด้วยเหตุผลบางประการที่ทำให้เซิร์ฟเวอร์จริงทำงานล้มเหลว
คุณมี System State ล่าสุดของตัวควบคุมโดเมนของคุณ และคุณต้องการคืนค่า Active Directory บนเซิร์ฟเวอร์ใหม่โดยใช้ Authoritative Restore
เมื่อต้องการเริ่มการคืนค่า DC คุณต้องติดตั้ง Windows Server เวอร์ชันเดียวกันกับที่คุณมีใน DC ที่ล้มเหลว ติดตั้ง เพิ่ม บทบาท (ไม่ต้องกำหนดค่า) และ Windows Server Backup คุณลักษณะใน Windows Server ที่คุณเพิ่งติดตั้ง
ในการกู้คืน Active Directory คุณต้องบูตเซิร์ฟเวอร์ใน DSRM (คืนค่าบริการไดเรกทอรีโหมด). ในการดำเนินการ ให้เรียกใช้ msconfig และเลือกตัวเลือก Safe Boot -> การซ่อมแซม Active Directory ใน บูต แท็บ
รีสตาร์ทเซิร์ฟเวอร์ของคุณ มันจะบูตใน DSRM เรียกใช้ Windows Server Backup (wbadmin ) และเลือก กู้คืน ในเมนูด้านขวา
ใน Recovery Wizard ให้เลือก 'ข้อมูลสำรองที่จัดเก็บไว้ในตำแหน่งอื่น .'
จากนั้นเลือกดิสก์ที่จะจัดเก็บหรือระบุข้อมูลสำรองของตัวควบคุมโดเมน AD เก่า เส้นทางของ UNC
wbadmin get versions -backupTarget:D:
เลือกวันที่ของข้อมูลสำรองที่จะใช้สำหรับการกู้คืน
ตรวจสอบสถานะระบบ เพื่อคืนค่า
เลือก ตำแหน่งเดิม และตรวจสอบดำเนินการกู้คืนไฟล์ Active Directory ที่เชื่อถือได้ .
ระบบจะแสดงคำเตือนว่าเป็นข้อมูลสำรองของเซิร์ฟเวอร์อื่น และหากกู้คืนบนเซิร์ฟเวอร์อื่น มันอาจไม่ทำงาน คลิกตกลง
ยอมรับคำเตือนอื่นเช่นกัน:
Windows Server Backup Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.
จากนั้น กระบวนการกู้คืนตัวควบคุมโดเมน AD บนเซิร์ฟเวอร์ใหม่จะเริ่มต้นขึ้น เมื่อสิ้นสุด เซิร์ฟเวอร์จะต้องรีบูต (ชื่อของเซิร์ฟเวอร์ใหม่จะถูกเปลี่ยนเป็นชื่อโฮสต์ DC จากข้อมูลสำรอง)
บูตเซิร์ฟเวอร์ในโหมดปกติ (ปิดใช้งาน DSRM โดยใช้ msconfig)
เข้าสู่ระบบเซิร์ฟเวอร์โดยใช้บัญชีที่มีสิทธิ์ของผู้ดูแลระบบโดเมน
เมื่อฉันเรียกใช้คอนโซลผู้ใช้และคอมพิวเตอร์ของ Active Directory (ADUC) เป็นครั้งแรก ฉันได้รับข้อผิดพลาดดังต่อไปนี้:
Active Directory Domain Services Naming information cannot be located for the following reason: The server is not operational.
ไม่มีโฟลเดอร์ SYSVOL และ NETLOGON บนตัวควบคุมโดเมนที่กู้คืน เพื่อแก้ไขข้อผิดพลาดนี้:
- เรียกใช้ regedit.exe;
- ไปที่รีจิสตรีคีย์ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters;
- เปลี่ยน SysvolReady ค่าจาก 0 ถึง 1;
- จากนั้นรีสตาร์ท NetLogon บริการ:
net stop netlogon & net start netlogon
ลองเปิด ADUC อีกครั้ง คุณจะเห็นโครงสร้างโดเมนของคุณ
ดังนั้น คุณจึงกู้คืนตัวควบคุมโดเมน AD ของคุณได้สำเร็จใน การคืนค่าที่เชื่อถือได้ โหมด. จากนั้นวัตถุทั้งหมดใน Active Directory จะถูกจำลองแบบอัตโนมัติไปยังตัวควบคุมโดเมนอื่น
หากคุณมี DC เหลืออยู่เพียงตัวเดียว ตรวจสอบให้แน่ใจว่า DC นั้นเป็นเจ้าของบทบาท FSMO ทั้ง 5 บทบาท และยึดไว้หากจำเป็น
จะกู้คืน AD Objects ที่แยกจากการสำรองข้อมูลได้อย่างไร
หากคุณต้องการกู้คืนวัตถุ AD ที่เฉพาะเจาะจง ให้ใช้ ถังรีไซเคิล Active Directory . หากอายุการใช้งานของหลุมฝังศพหมดอายุแล้วหรือไม่ได้เปิดใช้งาน Active Directory Recycle Bin คุณสามารถกู้คืนวัตถุ AD แยกกันได้โดยใช้โหมด Authoritative Restore
โดยสังเขป ขั้นตอนมีขั้นตอนดังต่อไปนี้:
- บูต DC ในโหมด DSRM
- แสดงรายการสำรองที่มี:
wbadmin get versions - เริ่มการกู้คืนข้อมูลสำรองที่เลือก:
wbadmin start systemstaterecovery –version:[your_version] - ยืนยันการคืนค่า DC (ในโหมด Non-Authoritative)
- หลังจากรีสตาร์ทแล้ว ให้เรียกใช้
ntdsutil activate instance ntdsauthoritative restore
ระบุพาธ LDAPl แบบเต็มไปยังอ็อบเจ็กต์ที่คุณต้องการกู้คืน คุณสามารถกู้คืน OU ทั้งหมดได้:
restore subtree ″OU=Users,DC=woshub,DC=com″
หรือวัตถุ AD เดียว:
restore object “cn=Test,OU=Users,DC=woshub,DC=com”
คำสั่งนี้จะปฏิเสธการจำลองของวัตถุ (เส้นทาง) ที่ระบุจากตัวควบคุมโดเมนอื่นและเพิ่ม USN วัตถุขึ้น 100,000
ออกจาก ntdsutil:quit
บูต DC ในโหมดปกติและตรวจสอบให้แน่ใจว่าได้กู้คืนอ็อบเจ็กต์แล้ว
