Udostępnij za pośrednictwem

Odzyskiwanie lasu usługi Active Directory — określanie sposobu odzyskiwania lasu

Odzyskiwanie całego lasu usługi Active Directory polega na przywróceniu co najmniej jednego kontrolera domeny (DC) w każdej domenie z dostępnej kopii zapasowej. Odzyskiwanie lasu przywraca każdą domenę w lesie do stanu w momencie utworzenia ostatniej zaufanej kopii zapasowej.

Co zostanie utracone

Operacja przywracania spowoduje utratę co najmniej następujących danych usługi Active Directory:

  • Wszystkie obiekty (takie jak użytkownicy i komputery), które zostały dodane po ostatniej zaufanej kopii zapasowej
  • Wszystkie aktualizacje wprowadzone do istniejących obiektów od czasu utworzenia ostatniej zaufanej kopii zapasowej
  • Wszystkie zmiany wprowadzone w partycji konfiguracji lub partycji schematu w usługach katalogowych AD DS (takie jak zmiany schematu) od czasu ostatniej sprawdzonej kopii zapasowej

Wiedza na temat haseł

  1. Musisz znać hasło konta administratora domeny dla każdej domeny w lesie. Najlepiej jest to hasło wbudowanego konta administratora.
  2. Należy również znać hasło modułu DSRM, aby wykonać przywracanie stanu systemu kontrolera domeny.

Dobrym rozwiązaniem jest archiwizowanie historii haseł administratora i dsRM w bezpiecznym miejscu, o ile kopie zapasowe są prawidłowe. Oznacza to, że w okresie istnienia reliktu lub w okresie istnienia usuniętego obiektu, jeśli kosz usługi Active Directory jest włączony.

Możesz również zsynchronizować hasło modułu DSRM z kontem użytkownika domeny, aby ułatwić zapamiętanie. Aby uzyskać więcej informacji, przeczytaj ten artykuł. Synchronizacja konta DSRM musi być wykonywana przed odzyskiwaniem lasu w ramach przygotowania.

Nota

Konto administratora jest domyślnie członkiem wbudowanej grupy Administratorzy, podobnie jak grupy Administratorzy domeny i Administratorzy przedsiębiorstwa. Ta grupa ma pełną kontrolę nad wszystkimi kontrolerami domeny (DC) w domenie.

Określanie kopii zapasowych do użycia

Regularnie wykonuj kopię zapasową co najmniej dwóch zapisywalnych kontrolerów domeny dla każdej domeny, aby mieć wybór spośród wielu kopii zapasowych. Wybierz co najmniej jeden kontroler domeny, jak również główny emulator operacji PDC do odzyskiwania danych SYSVOL.

Notatka

Nie można użyć kopii zapasowej kontrolera domeny tylko do odczytu (RODC), aby przywrócić zapisywalny kontroler domeny. Zalecamy przywrócenie kontrolerów domeny przy użyciu kopii zapasowych, które zostały wykonane kilka dni przed wystąpieniem awarii. Ogólnie rzecz biorąc, należy określić kompromis między aktualnością a bezpieczeństwem przywróconych danych. Wybranie nowszej kopii zapasowej powoduje odzyskanie bardziej przydatnych danych, ale może zwiększyć ryzyko ponownego wprowadzenia niebezpiecznych danych do przywróconego lasu.

Przywracanie kopii zapasowych stanu systemu zależy od oryginalnego systemu operacyjnego i serwera kopii zapasowej. Na przykład nie należy przywracać kopii zapasowej stanu systemu na innym serwerze. W takim przypadku może zostać wyświetlone następujące ostrzeżenie:

Ostrzeżenie

Określona kopia zapasowa jest innego serwera niż bieżąca. Nie zalecamy odzyskiwania stanu systemu z kopią zapasową na serwerze alternatywnym, ponieważ serwer może stać się bezużyteczny. Czy na pewno chcesz użyć tej kopii zapasowej do odzyskania bieżącego serwera?

Jeśli musisz przywrócić usługę Active Directory do innego sprzętu, utwórz pełne kopie zapasowe serwera i zaplanuj pełne odzyskiwanie serwera.

Ważny

Przywracanie kopii zapasowej stanu systemu do nowej instalacji systemu Windows Server na nowym sprzęcie lub tym samym sprzęcie nie jest obsługiwane. Jeśli system Windows Server jest ponownie zainstalowany na tym samym sprzęcie (zalecane), możesz przywrócić kontroler domeny w następującej kolejności:

  1. Wykonaj pełne przywracanie serwera w celu przywrócenia systemu operacyjnego i wszystkich plików i aplikacji.
  2. Wykonaj przywracanie stanu systemu przy użyciu wbadmin.exe, aby oznaczyć folder SYSVOL jako autorytatywny.

Aby uzyskać więcej informacji, zobacz Jak przywrócić instalację systemu Windows 7.

Jeśli czas niepowodzenia jest nieznany, zbadaj dokładniej, aby zidentyfikować kopie zapasowe, które przechowują ostatni bezpieczny stan lasu.

Takie podejście jest mniej pożądane. W związku z tym zdecydowanie zalecamy codzienne prowadzenie szczegółowych dzienników dotyczących stanu zdrowia usługi AD DS, tak aby w przypadku awarii całego lasu można było zidentyfikować przybliżony czas awarii. Należy również zachować lokalną kopię kopii zapasowych, aby umożliwić szybsze odzyskiwanie.

Jeśli Kosz usługi Active Directory jest włączony, okres istnienia kopii zapasowej jest równy wartości deletedObjectLifetime lub wartości tombstoneLifetime, w zależności od tego, która wartość jest mniejsza. Aby uzyskać więcej informacji, zobacz Przewodnik krok po kroku dotyczący Kosza usługi Active Directory .

Alternatywnie można użyć narzędzia montowania bazy danych usługi Active Directory Dsamain.exe oraz narzędzia LDAP (Lightweight Directory Access Protocol), takiego jak Ldp.exe lub Użytkownicy i komputery usługi Active Directory, aby zidentyfikować, która kopia zapasowa ma najnowszy bezpieczny stan lasu. Narzędzie instalowania bazy danych usługi Active Directory, które znajduje się w systemach operacyjnych Windows Server, uwidacznia dane usługi Active Directory przechowywane w kopiach zapasowych lub migawkach jako serwer LDAP. Aby przeglądać dane, możesz użyć narzędzia LDAP. Takie podejście ma zaletę, ponieważ nie wymaga ponownego uruchamiania kontrolera domeny w trybie przywracania usług katalogowych (DSRM) w celu zbadania zawartości kopii zapasowej AD DS.

Aby uzyskać więcej informacji na temat używania narzędzia instalowania bazy danych usługi Active Directory, zobacz przewodnik krok po kroku narzędzia instalowania bazy danych usługi Active Directory.

Możesz również użyć polecenia ntdsutil snapshot, aby utworzyć migawki bazy danych usługi Active Directory. Planując zadanie okresowego tworzenia migawek, można uzyskać dodatkowe kopie bazy danych usługi Active Directory z upływem czasu. Za pomocą tych kopii można lepiej określić, kiedy wystąpiła awaria całego lasu, a następnie wybrać najlepszą kopię zapasową do przywrócenia. Aby utworzyć migawki, użyj ntdsutil lub narzędzi administracji zdalnej serwera (RSAT).

Docelowy kontroler domeny może uruchamiać dowolną wersję systemu Windows Server. Aby uzyskać więcej informacji na temat korzystania z polecenia ntdsutil snapshot, zobacz Snapshot.

Określ kontrolery domeny do przywrócenia

Łatwość procesu przywracania jest ważnym czynnikiem podczas podejmowania decyzji, który kontroler domeny ma być przywracany. Zaleca się posiadanie dedykowanego kontrolera domeny dla każdej domeny, która jest preferowanym kontrolerem domeny dla przywracania. Dedykowany kontroler domeny przywracania ułatwia niezawodne planowanie i wykonywanie odzyskiwania lasu, ponieważ używasz tej samej konfiguracji źródłowej, która została użyta do wykonywania testów przywracania. Można stworzyć skrypt odzyskiwania i uniknąć problemów z różnymi konfiguracjami, takimi jak to, czy kontroler domeny pełni role mistrza operacji, lub czy jest to serwer GC lub DNS.

Notatka

Przywracanie właściciela roli wzorca operacji w interesie uproszczenia nie jest zalecane, ponieważ zawsze przejmujesz wszystkie role. Istnieje przypadek odzyskiwania folderu SYSVOL przy użyciu kopii zapasowej pobranej z emulatora operacji PDC, ponieważ zwykle PDC ma najlepszą kopię danych SYSVOL.

Dobra kopia zapasowa to kopia zapasowa, która może zostać pomyślnie przywrócona, została wykonana kilka dni przed awarią i zawiera jak najwięcej przydatnych danych. Wybierz kontroler domeny, który najlepiej spełnia następujące kryteria:

  • Kontroler domeny, który jest zapisywalny. Jest to obowiązkowe.

  • Kontroler domeny z systemem Windows Server 2012 lub nowszym jako maszyna wirtualna na hypervisorze, który obsługuje identyfikator generacji maszyny wirtualnej. Ten kontroler domeny może służyć jako źródło klonowania. Ogólnie rzecz biorąc, należy używać kontrolera domeny, który ma dobrą kopię zapasową oraz najbardziej aktualny system operacyjny.

  • Centrum danych, które jest dostępne fizycznie lub w sieci wirtualnej, a najlepiej znajduje się w centrum danych. Dzięki temu można łatwo odizolować ją od sieci podczas odzyskiwania lasu.

  • Kontroler domeny, który ma dobrą pełną kopię zapasową serwera.

  • Kontroler domeny z uruchomioną rolą systemu nazw domen (DNS) i hostujący strefy leśne i domenowe.

  • Kontroler domeny skonfigurowany jako Katalog globalny (GC).

  • Kontroler domeny, który nie jest skonfigurowany do używania odblokowywania sieciowego BitLocker, jeśli korzystasz z usług wdrażania systemu Windows. Użycie funkcji Sieciowego Odblokowywania BitLocker dla pierwszego kontrolera domeny, który przywracasz z kopii zapasowej podczas odzyskiwania lasu, nie jest obsługiwane. Na kontrolerach domeny, na których wdrożono usługi wdrażania systemu Windows (WDS), odblokowywanie sieci funkcji BitLocker jako tylko funkcji ochrony klucza nie można używać, ponieważ pierwszy kontroler domeny wymagałby pracy z usługą Active Directory i usługą WDS w celu odblokowania. Przed przywróceniem pierwszego kontrolera domeny usługa Active Directory nie jest jeszcze dostępna dla usługi WDS, więc nie może odblokować.

    Aby określić, czy kontroler domeny jest skonfigurowany do używania sieciowego odblokowywania BitLocker, sprawdź, czy certyfikat odblokowywania sieci znajduje się w następującym kluczu rejestru:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Ważny

Zachowaj procedury zabezpieczeń podczas obsługi lub przywracania plików kopii zapasowych, które obejmują usługę Active Directory. Pilność, która towarzyszy odzyskiwaniu lasu, może przypadkowo prowadzić do pomijania najlepszych rozwiązań w zakresie zabezpieczeń.

Identyfikacja bieżącej struktury lasu i funkcji DC

Określ bieżącą strukturę lasu, identyfikując wszystkie domeny w lesie. Utwórz listę wszystkich kontrolerów domeny w każdej domenie, szczególnie tych kontrolerów, które mają kopie zapasowe, oraz zwirtualizowanych kontrolerów domeny, które mogą być źródłem klonowania.

Lista kontrolerów domeny (DC) dla domeny głównej lasu jest najważniejsza, ponieważ najpierw odzyskasz tę domenę. Po przywróceniu domeny głównej lasu można uzyskać listę innych domen, kontrolerów domeny i lokacji w lesie przy użyciu przystawek usługi Active Directory.

Dla każdej domeny w lesie zidentyfikuj jedyny zapisywalny kontroler domeny, który ma zaufaną kopię zapasową bazy danych Active Directory dla tej domeny. Podczas wybierania kopii zapasowej do przywrócenia kontrolera domeny zachowaj ostrożność. Jeśli dzień i przyczyna awarii są znane, ogólną rekomendacją jest zidentyfikowanie i użycie bezpiecznej kopii zapasowej wykonanej kilka dni przed tą datą.

Przygotuj tabelę przedstawiającą funkcje każdego kontrolera domeny w domenie, jak to pokazano na poniższym przykładzie. Pomoże to przywrócić konfigurację lasu do stanu sprzed awarii po zakończeniu odzyskiwania.

nazwa kontrolera domeny system operacyjny FSMO GC RODC Kopia zapasowa DNS Server Core maszyny wirtualnej
DC_1 Windows Server 2019 Wzorzec schematu, wzorzec nazewnictwa domen Tak Nie Tak Nie Nie Tak
DC_2 Windows Server 2019 Żaden Tak Nie Tak Tak Nie Tak
DC_3 Windows Server 2022 Główny element infrastruktury Nie Nie Nie Tak Tak Tak
DC_4 Windows Server 2022 Emulator PDC, Mistrz RID Tak Nie Nie Nie Nie Tak
DC_5 Windows Server 2022 Żaden Nie Nie Tak Tak Nie Tak
RODC_1 Windows Server 2016 Żaden Tak Tak Tak Tak Tak Tak
RODC_2 Windows Server 2022 Żaden Tak Tak Nie Tak Tak Tak

W tym przykładzie istnieją czterech kandydatów do tworzenia kopii zapasowych: DC_1, DC_2, DC_4 i DC_5. Spośród tych kandydatów do tworzenia kopii zapasowych przywracasz tylko jeden. Zalecane DC to DC_5 z następujących powodów:

  • Jest to dobre źródło klonowania zwirtualizowanego kontrolera domeny, ponieważ działa na systemie Windows Server 2022 jako wirtualny kontroler domeny i uruchamia oprogramowanie, które może zostać sklonowane (lub może zostać usunięte, jeśli nie da się go sklonować). Po przywróceniu rola emulatora PDC zostanie przejęta na tym serwerze i można ją dodać do grupy Klonowalnych Kontrolerów Domena dla tej domeny.
  • Uruchamia pełną instalację systemu Windows Server 2022. Kontroler domeny z uruchomioną instalacją Server Core może być mniej wygodny jako cel odzyskiwania. Może to nie być czynnikiem, jeśli dobrze zarządzasz serwerami z systemem Windows przy użyciu interfejsu wiersza polecenia.
  • Jest to serwer DNS.

Notatka

Ponieważ DC_5 nie jest serwerem wykazu globalnego, ma niewielką przewagę w tym, że wykaz globalny nie musi być usuwany po przywróceniu. Należy jednak rozpocząć odzyskiwanie przy użyciu domyślnego konta administratora z identyfikatorem Rid 500 lub użyć wartości rejestru ignoregcfailures:

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC

Inne czynniki są zwykle ważniejsze niż dodatkowy krok usuwania roli GC. DC_3 lub DC_4 są również dobrymi wyborami, ponieważ role wzorca operacji, które posiadają, nie stanowią problemu. Rozważ opcje i wybierz zależnie od aktualnego stanu odzyskiwania. Można zazwyczaj przeprowadzić planowanie i testowanie poprzez przywracanie kopii zapasowej wzorca operacji PDC, lecz jeśli ta kopia zapasowa nie działa, na przykład z powodu niewłaściwego momentu wykonania, wybierz kopię zapasową z globalnego katalogu (GC) tej samej domeny.

Odzyskiwanie lasu w izolacji

Preferowanym scenariuszem jest zamknięcie wszystkich zapisywalnych kontrolerów domeny przed przywróceniem pierwszego przywróconego kontrolera domeny z powrotem do środowiska produkcyjnego. Dzięki temu żadne niebezpieczne dane nie są replikowane z powrotem do odzyskanego lasu. Szczególnie ważne jest zamknięcie wszystkich posiadaczy ról głównych operacji.

Notatka

W niektórych przypadkach możesz przenieść pierwszy kontroler domeny, który planujesz odzyskać dla każdej domeny, do izolowanej sieci, umożliwiając jednocześnie innym kontrolerom domeny utrzymać się w trybie online, aby zminimalizować przestój systemu. Na przykład w przypadku odzyskiwania po nieudanym uaktualnieniu schematu można zachować kontrolery domeny działające w sieci produkcyjnej podczas wykonywania kroków odzyskiwania w izolacji.

Zwirtualizowane kontrolery domeny

Jeśli używasz zwirtualizowanych kontrolerów domeny, możesz przenieść je do sieci wirtualnej odizolowanej od sieci produkcyjnej, w której wykonasz odzyskiwanie. Przenoszenie zwirtualizowanych centrów danych do oddzielnej sieci zapewnia dwie korzyści:

  • Odzyskane kontrolery domeny nie mogą odtworzyć problemu, który spowodował odzyskiwanie lasu.
  • Klonowanie zwirtualizowanego kontrolera domeny można wykonać w izolowanej sieci, aby można było uruchomić i przetestować krytyczną liczbę kontrolerów domeny przed ich przywróceniem do sieci produkcyjnej.

Fizyczne centra danych

Jeśli używasz kontrolerów domeny na sprzęcie fizycznym, odłącz kabel sieciowy pierwszego kontrolera domeny, który planujesz przywrócić w domenie głównej korzenia lasu. Jeśli to możliwe, odłącz również kable sieciowe wszystkich innych kontrolerów domeny. Zapobiega to replikacji DC, jeśli zostały przypadkowo uruchomione podczas odzyskiwania lasu.

Duże lasy

W dużym lesie rozmieszczonym w wielu lokalizacjach może być trudno zagwarantować, że wszystkie zapisywalne kontrolery domeny zostaną zamknięte. Z tego powodu kroki odzyskiwania — takie jak resetowanie konta komputera i konta krbtgt, oprócz oczyszczania metadanych — zostały zaprojektowane tak, aby zapewnić, że odzyskane kontrolery domeny z możliwością zapisu nie są replikowane z niebezpiecznymi kontrolerami DCs zapisywalnymi (w przypadku, gdy niektóre z nich są nadal w trybie online w lesie).

Jednak tylko przez przełączenie zapisywalnych kontrolerów domeny w tryb offline można zagwarantować, że replikacja nie wystąpi. W związku z tym, jeśli to możliwe, należy wdrożyć technologię zarządzania zdalnego, która może pomóc w zamknięciu i fizycznie odizolować zapisywalne kontrolery domeny podczas odzyskiwania lasu.

Kontrolery RODC

RODC mogą nadal działać, kiedy kontrolery domeny z możliwością zapisu są w trybie offline. Żaden inny kontroler domeny nie będzie bezpośrednio replikować żadnych zmian z kontrolera RODC — zwłaszcza bez zmian w schemacie ani kontenerze konfiguracji — więc nie stanowią tego samego ryzyka co zapisywalne kontrolery domeny podczas odzyskiwania. Po odzyskaniu wszystkich zapisywalnych kontrolerów domeny i w trybie online należy ponownie skompilować wszystkie kontrolery RODC.

Kontrolery RODC będą nadal zezwalać na dostęp do zasobów lokalnych, które są buforowane w odpowiednich lokacjach, podczas gdy operacje odzyskiwania są wykonywane równolegle. Zasoby lokalne, które nie są buforowane na kontrolerze RODC, będą miały żądania uwierzytelniania przekazywane do zapisywalnego kontrolera DC. Te żądania zakończą się niepowodzeniem, ponieważ zapisywalne kontrolery domeny są w trybie offline. Niektóre operacje, takie jak zmiany haseł, również nie będą działać, dopóki nie odzyskasz zapisywalnych kontrolerów domeny.

Jeśli używasz architektury sieci piasty i szprych (hub-and-spoke), możesz skoncentrować się najpierw na odzyskiwaniu zapisywalnych kontrolerów domeny w lokacjach centralnych. Później można ponownie skompilować kontrolery RODC w lokacjach zdalnych.

Naruszona baza danych usługi AD

W przypadku naruszenia zabezpieczeń bazy danych usługi AD zapisywalnego kontrolera domeny należy utworzyć nowy klucz główny KDS po odzyskaniu, a wszystkie konta usługi zarządzane przez grupę (gMSA) powinny zostać ponownie utworzone w zależności od scenariusza naruszenia. Szczegółowe informacje opisano tutaj: Jak się obronić po ataku Golden gMSA.

Następne kroki