Wiederherstellung der Active Directory-Gesamtstruktur: Anfängliche Wiederherstellung
Dieser Abschnitt umfasst die folgenden Schritte:
- Wiederherstellen des ersten beschreibbaren Domänencontrollers in jeder Domäne
- Erneutes Verbinden jedes wiederhergestellten beschreibbaren Domänencontrollers mit dem Netzwerk
- Hinzufügen des globalen Katalogs zu einem Domänencontroller in der Stammdomäne der Gesamtstruktur
Wiederherstellen des ersten beschreibbaren Domänencontrollers in jeder Domäne
Führen Sie beginnend mit einem beschreibbaren DC in der Stammdomäne der Gesamtstruktur die Schritte in diesem Abschnitt aus, um den ersten Domänencontroller wiederherzustellen. Die Stammdomäne der Gesamtstruktur ist wichtig, da sie die Gruppen „Schemaadministratoren“ und „Unternehmensadministratoren“ speichert. Außerdem trägt sie dazu bei, dass die Vertrauenshierarchie in der Gesamtstruktur beibehalten wird. Darüber hinaus enthält die Stammdomäne der Gesamtstruktur in der Regel den DNS-Stammserver für den DNS-Namespace der Gesamtstruktur. Folglich enthält die in Active Directory integrierte DNS-Zone für diese Domäne die Aliasressourceneinträge (CNAME) für alle anderen DCs in der Gesamtstruktur (die für die Replikation erforderlich sind) und die DNS-Ressourceneinträge des globalen Katalogs.
Nachdem Sie die Stammdomäne der Gesamtstruktur wiederhergestellt haben, wiederholen Sie die Schritte, um die verbleibenden Domänen in der Gesamtstruktur wiederherzustellen. Sie können mehrere Domänen gleichzeitig wiederherstellen. Stellen Sie jedoch immer eine übergeordnete Domäne wieder her, bevor Sie ein untergeordnetes Element wiederherstellen, um einen Bruch der Vertrauenshierarchie oder die DNS-Namensauflösung zu verhindern.
Stellen Sie für jede Domäne, die Sie wiederherstellen, einen beschreibbaren DC aus der Sicherung wieder her. Dies ist der wichtigste Teil der Wiederherstellung, da der DC über eine Datenbank verfügen muss, die nicht dadurch beeinflusst ist, was das Fehlschlagen der Gesamtstruktur verursacht hat. Es ist wichtig, über eine vertrauenswürdige Sicherung zu verfügen, die gründlich getestet wird, bevor sie in die Produktionsumgebung eingeführt wird.
Führen Sie anschließend die folgenden Schritte aus. Verfahren zum Ausführen bestimmter Schritte finden Sie unter AD-Gesamtstrukturwiederherstellung – Verfahren.
Wenn Sie einen physischen Server wiederherstellen möchten, stellen Sie sicher, dass das Netzwerkkabel des Zieldomänencontrollers nicht angeschlossen und somit nicht mit dem Produktionsnetzwerk verbunden ist. Beim einem virtuellen Computer können Sie den Netzwerkadapter entfernen oder einen Netzwerkadapter verwenden, der an ein anderes Netzwerk angeschlossen ist, in dem Sie den Wiederherstellungsprozess testen können, während er vom Produktionsnetzwerk isoliert ist.
Da dies der erste beschreibbare DC in der Domäne ist, müssen Sie eine nicht autoritative Wiederherstellung von AD DS und eine autoritative Wiederherstellung von SYSVOL durchführen. Der Wiederherstellungsvorgang muss mit einer Active Directory-fähigen Sicherungs- und Wiederherstellungsanwendung durchgeführt werden, z. B. Windows Server-Sicherung (empfohlen). Wenn die Hyper-Vistor-Generations-ID auf dem Host unterstützt wird, können Sie auch eine nicht authentifizierte Wiederherstellung mithilfe einer VM-Momentaufnahme durchführen.
Eine autoritative Wiederherstellung von SYSVOL ist für den ersten wiederhergestellten DC erforderlich, da die Replikation des SYSVOL-Ordners mit den neuen Instanzen neu gestartet werden muss, nachdem Sie eine Notfallwiederherstellung durchgeführt haben. Alle nachfolgenden DCs, die der Domäne hinzugefügt werden, müssen ihren SYSVOL-Ordner mit einer Kopie des Ordners neu synchronisieren, der als autoritativ ausgewählt wurde.
Warnung
Führen Sie einen autoritativen (oder primären) Wiederherstellungsvorgang von SYSVOL nur für den ersten DC aus, der in der Stammdomäne der Gesamtstruktur wiederhergestellt werden soll. Eine fehlerhafte Ausführung von primären Wiederherstellungsvorgängen von SYSVOL auf anderen DCs führt zu Replikationskonflikten bei SYSVOL-Daten. Es gibt zwei Optionen zum Durchführen einer nicht autoritativen Wiederherstellung von AD DS und einer autoritativen Wiederherstellung von SYSVOL:
Führen Sie eine vollständige Serverwiederherstellung aus, und erzwingen Sie dann eine autoritative Synchronisierung von SYSVOL. Ausführliche Informationen zu den Verfahren finden Sie unter Ausführen einer vollständigen Serverwiederherstellung und Ausführen einer autoritativen Synchronisierung von DFSR-repliziertem SYSVOL.
Führen Sie eine vollständige Serverwiederherstellung gefolgt von einer Wiederherstellung des Systemstatus aus. Diese Option erfordert, dass Sie beide Arten von Sicherungen im Voraus erstellen: eine vollständige Serversicherung und eine Systemstatussicherung. Ausführliche Informationen zu den Verfahren finden Sie unter Ausführen einer vollständigen Serverwiederherstellung und Ausführen einer nicht autoritativen Wiederherstellung von Active Directory Domain Services.
Nachdem Sie den beschreibbaren Domänencontroller wiederhergestellt und neu gestartet haben, vergewissern Sie sich, dass sich der Fehler nicht auf die Daten auf dem Domänencontroller ausgewirkt hat. Wenn die DC-Daten beschädigt sind, wiederholen Sie Schritt 2 mit einer anderen Sicherung.
Wenn der wiederhergestellte Domänencontroller eine Betriebsmasterrolle hostet, müssen Sie möglicherweise den folgenden Registrierungseintrag hinzufügen, um zu verhindern, dass AD DS erst verfügbar ist, wenn die Replikation einer beschreibbaren Verzeichnispartition abgeschlossen ist:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations
Erstellen Sie den Eintrag mit dem Datentyp REG_DWORD und dem Wert 0. Nachdem die Gesamtstruktur vollständig wiederhergestellt wurde, können Sie den Wert dieses Eintrags auf 1 zurücksetzen. Dies erfordert, dass ein Domänencontroller, der neu gestartet wird und Betriebsmasterrollen enthält, über eine erfolgreiche eingehende und ausgehende AD DS-Replikation mit seinen bekannten Replikatpartnern verfügt, bevor er sich selbst als Domänencontroller ankündigt und mit der Bereitstellung von Diensten für Clients beginnt. Weitere Information zu den Anforderungen für die anfängliche Synchronisierung finden Sie unter FSMO-Rollen in Active Directory.
Fahren Sie erst mit den nächsten Schritten fort, nachdem Sie die Daten wiederhergestellt und überprüft haben und bevor Sie diesen Computer mit dem Produktionsnetzwerk verbinden.
Wenn Sie vermuten, dass der gesamtstrukturweite Fehler mit Netzwerkangriffen oder böswilligen Angriffen zusammenhängt, setzen Sie die Kontokennwörter für alle Administratorkonten zurück, einschließlich Mitgliedern der Unternehmensadministratoren, Domänenadministratoren, Schemaadministratoren, Serveroperatoren, Kontooperatorengruppen usw. Das vollständige Kennwortzurücksetzungsverfahren für das krbtgt-Konto ist ebenfalls erforderlich. Das Zurücksetzen von Administratorkontokennwörtern sollte abgeschlossen sein, bevor während der nächsten Phase der Gesamtstrukturwiederherstellung zusätzliche Domänencontroller installiert werden.
In diesem Fall müssen Sie auch alle GMSA-Kennwörter ersetzen, als ob ein Administratorkonto übernommen wurde, da der oder die Angreifer*in möglicherweise Informationen abgerufen hat, die es ihm oder ihr ermöglichen, sich als GMSA zu authentifizieren. Ausführliche Informationen finden Sie im Artikel über den GoldenGMSA-Angriff.
Wenn Sie vermuten, dass Benutzerkonten kompromittiert wurden, müssen Sie auch eine Kennwortzurücksetzung für alle Benutzer*innen in der Domäne planen.
Übernehmen Sie auf dem ersten wiederhergestellten Domänencontroller in der Stammdomäne der Gesamtstruktur alle domänen- und gesamtstrukturweiten Betriebsmasterrollen. Anmeldeinformationen für Unternehmensadministrator*innen und Schemaadministrator*innen werden benötigt, um bei Bedarf gesamtstrukturweite Betriebsmasterrollen zu übernehmen.
Übernehmen Sie in jeder untergeordneten Domäne nach Bedarf domänenweite Betriebsmasterrollen. Obwohl Sie die Betriebsmasterrollen auf dem wiederhergestellten Domänencontroller möglicherweise nur vorübergehend beibehalten, wird durch die Verwendung dieser Rollen festgelegt, welcher DC sie zu diesem Zeitpunkt im Gesamtstrukturwiederherstellungsprozess hostet. Im Rahmen des Prozesses nach der Wiederherstellung können Sie die Betriebsmasterrollen nach Bedarf neu verteilen. Weitere Informationen zum Übernehmen von Betriebsmasterrollen finden Sie unter Übernehmen von Betriebsmasterrollen. Empfehlungen zum Platzieren von Betriebsmasterrollen finden Sie unter Was sind Betriebsmaster?. Weitere Informationen finden Sie unter Flexible Single-Master Operation (FSMO): Platzierung und Optimierung auf AD-DCs.
Bereinigen Sie die Metadaten aller anderen beschreibbaren DCs in der Stammdomäne der Gesamtstruktur, die Sie nicht aus der Sicherung wiederherstellen (alle beschreibbaren DCs in der Domäne mit Ausnahme dieses ersten Domänencontrollers). Wenn Sie Active Directory-Benutzer*innen und -Computer oder Active Directory-Standorte und -Dienste verwenden, die in Windows Server 2012 oder höher bzw. RSAT für Windows 10 oder höher enthalten sind, erfolgt die Metadatenbereinigung automatisch, wenn Sie ein DC-Objekt löschen. Darüber hinaus werden auch das Serverobjekt und das Computerobjekt für den gelöschten DC automatisch gelöscht. Weitere Informationen finden Sie unter Bereinigen von Metadaten entfernter beschreibbarer Domänencontroller und Bereinigen von AD DS-Servermetadaten.
Das Bereinigen von Metadaten verhindert eine mögliche Duplizierung von NTDS-Einstellungsobjekten, wenn AD DS auf einem DC an einem anderen Standort installiert ist. Möglicherweise kann dies auch die Konsistenzprüfung (KCC) beim Erstellen von Replikationslinks speichern, wenn die DCs selbst möglicherweise nicht vorhanden sind. Darüber hinaus werden im Rahmen der Metadatenbereinigung DC-Locator-DNS-Ressourceneinträge für alle anderen DCs in der Domäne aus dem DNS gelöscht.
Bis die Metadaten aller anderen DCs in der Domäne entfernt werden, übernimmt dieser Domänencontroller, wenn er vor der Wiederherstellung ein RID-Master war, nicht die RID-Masterrolle und kann daher keine neuen RIDs ausstellen. Möglicherweise wird im Systemprotokoll in der Ereignisanzeige die Ereignis-ID 16650 angezeigt, durch die dieser Fehler angegeben wird. Es sollte jedoch die Ereignis-ID 16648 angezeigt werden, die kurze Zeit nach dem Bereinigen der Metadaten den Erfolg meldet.
Wenn Sie über DNS-Zonen verfügen, die in AD DS gespeichert sind, stellen Sie sicher, dass der lokale DNS-Serverdienst auf dem wiederhergestellten Domänencontroller installiert ist und ausgeführt wird. Wenn dieser Domänencontroller vor dem Gesamtstrukturfehler kein DNS-Server war, müssen Sie den DNS-Server installieren und konfigurieren. Alternativ muss ein DNS-Server in der Wiederherstellungsumgebung vorhanden sein.
Konfigurieren Sie in der Stammdomäne der Gesamtstruktur den wiederhergestellten Domänencontroller mit einer eigenen IP-Adresse als bevorzugten DNS-Server. Sie können diese Einstellung in den TCP/IP-Eigenschaften des LAN-Adapters (Local Area Network) konfigurieren. Dies ist der erste DNS-Server in der Gesamtstruktur. Weitere Informationen finden Sie unter Empfehlungen für DNS-Clienteinstellungen (Domain Name System).
Konfigurieren Sie in jeder untergeordneten Domäne den wiederhergestellten Domänencontroller mit der IP-Adresse des ersten DNS-Servers in der Stammdomäne der Gesamtstruktur als bevorzugten DNS-Server. Sie können diese Einstellung in den TCP/IP-Eigenschaften des LAN-Adapters konfigurieren. Weitere Informationen finden Sie unter Empfehlungen für DNS-Clienteinstellungen (Domain Name System).
Löschen Sie in den _msdcs- und Domänen-DNS-Zonen NS-Einträge von DCs, die nach der Metadatenbereinigung nicht mehr vorhanden sind. Überprüfen Sie, ob die SRV-Einträge der bereinigten DCs entfernt wurden. Gehen Sie wie folgt vor, um die Entfernung von DNS SRV-Einträgen zu beschleunigen:
nltest.exe /dsderegdns:server.domain.tld
Erhöhen Sie den Wert des verfügbaren RID-Pools um 100.000. Weitere Informationen finden Sie unter Erhöhen des Werts verfügbarer RID-Pools. Wenn Sie Grund zu der Annahme haben, dass die Erhöhung des RID-Pools um 100.000 für Ihre spezielle Situation nicht ausreicht, sollten Sie unter Berücksichtigung des durchschnittlichen RID-Verbrauchs in Ihrer Umgebung die niedrigste Erhöhung ermitteln, die noch sicher zu verwenden ist. RIDs sind eine endliche Ressource, die nicht unnötig verbraucht werden sollte.
Wenn neue Sicherheitsprinzipale in der Domäne nach dem Zeitpunkt der Sicherung erstellt wurden, die Sie für die Wiederherstellung verwenden, verfügen diese Sicherheitsprinzipale möglicherweise über Zugriffsrechte für bestimmte Objekte. Diese Sicherheitsprinzipale sind nach der Wiederherstellung nicht mehr vorhanden, da die Wiederherstellung auf die Sicherung zurückgesetzt wurde. Ihre Zugriffsrechte sind jedoch möglicherweise weiterhin vorhanden. Wenn der verfügbare RID-Pool nach einer Wiederherstellung nicht ausgelöst wird, erhalten neue Benutzerobjekte, die nach der Wiederherstellung der Gesamtstruktur erstellt werden, möglicherweise identische Sicherheits-IDs (SIDs) und haben Zugriff auf diese Objekte. Dies war ursprünglich nicht beabsichtigt.
Es könnte beispielsweise eine neue Mitarbeiterin geben. Das Benutzerobjekt ist nach dem Wiederherstellungsvorgang nicht mehr vorhanden, da es nach der Sicherung erstellt wurde, die zum Wiederherstellen der Domäne verwendet wurde. Alle Zugriffsrechte, die diesem Benutzerobjekt zugewiesen wurden, können jedoch nach dem Wiederherstellungsvorgang beibehalten werden. Wenn die SID für dieses Benutzerobjekt nach dem Wiederherstellungsvorgang einem neuen Objekt zugewiesen wird, erhält das neue Objekt diese Zugriffsrechte.
Machen Sie den aktuellen RID-Pool ungültig. Der aktuelle RID-Pool wird nach einer Systemstatuswiederherstellung ungültig. Wenn jedoch keine Systemstatuswiederherstellung durchgeführt wurde, muss der aktuelle RID-Pool ungültig gemacht werden, damit verhindert wird, dass der wiederhergestellte Domänencontroller RIDs aus dem RID-Pool, der zum Zeitpunkt der Sicherungserstellung zugewiesen war, erneut ausgibt. Weitere Informationen finden Sie unter Ungültigmachen des aktuellen RID-Pools.
Hinweis
Wenn Sie zum ersten Mal versuchen, ein Objekt mit einer SID zu erstellen, nachdem Sie den RID-Pool ungültig gemacht haben, erhalten Sie einen Fehlermeldung. Der Versuch, ein Objekt zu erstellen, löst eine Anforderung für einen neuen RID-Pool aus. Die Wiederholung des Vorgangs ist erfolgreich, da der neue RID-Pool zugeordnet wird.
Setzen Sie das Computerkontokennwort dieses Domänencontrollers zweimal zurück. Weitere Informationen finden Sie unter Zurücksetzen des Computerkontokennworts des Domänencontrollers.
Setzen Sie das krbtgt-Kennwort zurück. Weitere Informationen finden Sie unter Zurücksetzen des krbtgt-Kennworts. Da der krbtgt-Kennwortverlauf aus zwei Kennwörtern besteht, setzen Sie die Kennwörter zweimal zurück, um das ursprüngliche Kennwort (das vor der Fehlerausgabe) aus dem Kennwortverlauf zu entfernen.
Hinweis
Wenn die Gesamtstrukturwiederherstellung als Reaktion auf eine Sicherheitsverletzung erfolgt, können Sie auch die Vertrauenskennwörter zurücksetzen. Weitere Informationen finden Sie unter Zurücksetzen eines Vertrauenskennworts auf einer Seite der Vertrauensstellung.
Wenn die Gesamtstruktur über mehrere Domänen verfügt und der wiederhergestellte DC vor dem Auftreten des Fehlers ein globaler Katalogserver war, deaktivieren Sie das Kontrollkästchen Globaler Katalog in den Eigenschaften der NTDS-Einstellungen, um den globalen Katalog aus dem DC zu entfernen. Die Ausnahme von dieser Regel ist der häufige Fall einer Gesamtstruktur mit nur einer Domäne. In diesem Fall ist es nicht erforderlich, den globalen Katalog zu entfernen. Weitere Informationen finden Sie unter Entfernen des globalen Katalogs.
Durch das Wiederherstellen eines globalen Katalogs aus einer Sicherung, die aktueller ist als andere Sicherungen, die zum Wiederherstellen von DCs in anderen Domänen verwendet werden, können Sie fortbestehende Objekte einführen. Betrachten Sie das folgende Beispiel. In Domäne A wird DC1 aus einer Sicherung wiederhergestellt, die zum Zeitpunkt T1 erstellt wurde. In Domäne B wird DC2 aus einer der Sicherung eines globalen Katalogs wiederhergestellt, der zum Zeitpunkt T2 erstellt wurde. Nehmen wir einmal an, T2 ist aktueller als T1, und einige Objekte wurden zwischen T1 und T2 erstellt. Nachdem diese DCs wiederhergestellt wurden, enthält DC2, ein globaler Katalog, neuere Daten für das Teilreplikat von Domäne A als Domäne A selbst. DC2 enthält in diesem Fall fortbestehende Objekte, da diese Objekte auf DC1 nicht vorhanden sind.
Das Vorhandensein von fortbestehenden Objekten kann zu Problemen führen. Beispielsweise werden E-Mail-Nachrichten möglicherweise nicht an einen Benutzer übermittelt, dessen Benutzerobjekt zwischen Domänen verschoben wurde. Nachdem Sie den veralteten DC- oder globalen Katalogserver wieder online geschaltet haben, werden beide Instanzen des Benutzerobjekts im globalen Katalog angezeigt. Beide Objekte haben dieselbe E-Mail-Adresse. Daher können E-Mail-Nachrichten nicht zugestellt werden.
Ein weiteres Problem besteht darin, dass ein Benutzerkonto, das nicht mehr vorhanden ist, möglicherweise weiterhin in der globalen Adressliste angezeigt wird.
Außerdem könnte eine universelle Gruppe, die nicht mehr vorhanden ist, möglicherweise weiterhin im Zugriffstoken eines Benutzers oder einer Benutzerin angezeigt werden.
Wenn Sie einen DC, der ein globaler Katalog war, wiederhergestellt haben – entweder versehentlich oder weil dies die vertrauenswürdige Einzelsicherung war –, sollten Sie verhindern, dass fortbestehende Objekte vorkommen, indem Sie den globalen Katalog kurz nach Abschluss des Wiederherstellungsvorgangs deaktivieren. Das Deaktivieren des globalen Katalogflags führt dazu, dass der Computer alle Teilreplikate (Partitionen) verliert und sich auf den regulären DC-Status beschränkt.
Wenn Sie gMSA-Konten verwenden, müssen Sie diese möglicherweise neu erstellen, da die Details zur Kennwortgenerierung möglicherweise einem Angreifer oder einer Angreiferin offengelegt wurden. Weitere Informationen finden Sie unter:
Vorgehensweise zur Wiederherstellung nach einem GoldenGMSA-AngriffUnter AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne in einer Gesamtstruktur mit mehreren Domänen finden Sie Schritte zum Ersetzen der gMSAs und Informationen dazu, wie Sie sicherstellen, dass sichere Schlüsselmaterialien verwendet werden.
Konfigurieren Sie den Windows-Zeitdienst. Konfigurieren Sie in der Gesamtstrukturstammdomäne den PDC-Emulator, um die Zeit mit einer externen Zeitquelle zu synchronisieren. Weitere Informationen hierzu finden Sie unter Konfigurieren des Windows-Zeitdiensts im PDC-Emulator in der Stammdomäne der Gesamtstruktur.
Erneutes Verbinden jedes wiederhergestellten beschreibbaren Domänencontrollers mit einem allgemeinen Netzwerk
In dieser Phase sollte in der Stammdomäne der Gesamtstruktur und in jeder der fortbestehenden Domänen ein DC wiederhergestellt werden (und Wiederherstellungsschritte ausgeführt werden). Verbinden Sie diese DCs mit einem allgemeinen Netzwerk, das vom Rest der Umgebung isoliert ist, und führen Sie die folgenden Schritte aus, um die Integrität und Replikation der Gesamtstruktur zu überprüfen.
Hinweis
Wenn Sie die physischen DCs mit einem isolierten Netzwerk verbinden, müssen Sie möglicherweise ihre IP-Adressen ändern. Infolgedessen sind die IP-Adressen der DNS-Einträge falsch. Da kein globaler Katalogserver verfügbar ist, schlagen sichere dynamische Updates für den DNS fehl. Virtuelle DCs sind in diesem Fall vorteilhafter, da sie mit einem neuen virtuellen Netzwerk verbunden werden können, ohne dass ihre IP-Adressen geändert werden. Dies ist ein Grund, warum empfohlen wird, dass virtuelle DCs während der Gesamtstrukturwiederherstellung als erste wiederhergestellt werden.
Überprüfen der Integrität der Gesamtstrukturreplikation
Fügen Sie die DCs nach der Überprüfung dem Produktionsnetzwerk hinzu, und führen Sie die Schritte zum Überprüfen der Integrität der Replikation der Gesamtstruktur aus.
- Um die Namensauflösung zu beheben, erstellen Sie DNS-Delegierungsdatensätze, und konfigurieren Sie die DNS-Weiterleitung und die Stammhinweise nach Bedarf.
- Führen Sie
repadmin /replsum
aus, um die Replikation zwischen den DCs zu überprüfen. - Wenn es sich bei den wiederhergestellten Domänencontrollern nicht um direkte Replikationspartner handelt, erfolgt die Replikationswiederherstellung viel schneller, wenn temporäre Verbindungsobjekte zwischen ihnen erstellt werden.
- Um die Metadatenbereinigung zu überprüfen, führen Sie
Repadmin /viewlist \*
für eine Liste aller DCs in der Gesamtstruktur aus. Führen SieNltest /DCList:***\<domain\>*
für eine Liste aller DCs in der Domäne aus. - Um die DC- und DNS-Integrität zu überprüfen, führen Sie
DCDiag /v
aus, um Fehler zu allen DCs in der Gesamtstruktur zu melden.
Hinzufügen des globalen Katalogs zu einem Domänencontroller in der Stammdomäne der Gesamtstruktur
Ein globaler Katalog ist aus folgenden und anderen Gründen erforderlich:
- Zum Aktivieren der Anmeldungen für Benutzer.
- Zum Aktivieren des Net Logon-Diensts, der auf den DCs in jeder untergeordneten Domäne ausgeführt wird, um Datensätze auf dem DNS-Server in der Stammdomäne zu registrieren und zu entfernen.
Obwohl es sich beim Stamm-DC der Gesamtstruktur um einen globalen Katalog handelt, empfiehlt es sich im Allgemeinen, alle DCs als globale Kataloge festzulegen.
Hinweis
Ein DC wird erst dann als globaler Katalogserver angekündigt, wenn er eine vollständige Synchronisierung aller Verzeichnispartitionen in der Gesamtstruktur durchlaufen hat. Daher sollte die Replikation des DCs mit jedem der wiederhergestellten DCs in der Gesamtstruktur erzwungen werden.
Überwachen Sie das Ereignisprotokoll des Verzeichnisdiensts in der Ereignisanzeige in Hinblick auf die Ereignis-ID 1119, durch die angegeben wird, dass es sich bei diesem DC um einen globalen Katalogserver handelt, oder überprüfen Sie, ob der folgende Registrierungsschlüssel den Wert 1 aufweist:
**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**
Weitere Informationen finden Sie unter Hinzufügen des globalen Katalogs.
In dieser Phase sollten Sie über eine stabile Gesamtstruktur mit einem DC für jede Domäne und einem globalen Katalog in der Gesamtstruktur verfügen. Sie sollten eine neue Sicherung für jeden der soeben wiederhergestellten DCs erstellen. Sie können nun mit der erneuten Bereitstellung anderer DCs in der Gesamtstruktur beginnen, indem Sie AD DS installieren und zusätzliche globale Katalogserver konfigurieren.
Nächste Schritte
- Wiederherstellung der AD-Gesamtstruktur: Voraussetzungen
- AD-Gesamtstrukturwiederherstellung: Entwickeln eines benutzerdefinierten Gesamtstrukturwiederherstellungsplans
- AD-Gesamtstrukturwiederherstellung: Schritte zum Wiederherstellen der Gesamtstruktur
- AD-Gesamtstrukturwiederherstellung: Erkennen des Problems
- AD-Gesamtstrukturwiederherstellung: Bestimmen der Wiederherstellung
- AD-Gesamtstrukturwiederherstellung: Durchführen der anfänglichen Wiederherstellung
- Wiederherstellung der AD-Gesamtstruktur: Verfahren
- AD-Gesamtstrukturwiederherstellung: Häufig gestellte Fragen (FAQ)
- AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne mit einer Gesamtstruktur mit mehreren Domänen
- Wiederherstellung der AD-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
- Wiederherstellung der AD-Gesamtstruktur: Virtualisierung
- AD-Gesamtstrukturwiederherstellung: Bereinigung