Odzyskiwanie lasu Active Directory — wykonanie początkowego etapu odzyskiwania

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Ta sekcja zawiera następujące kroki:

• Przywróć pierwszy zapisywalny kontroler domeny w każdej domenie
• Połącz ponownie każdy przywrócony zapisywalny kontroler domeny do sieci
• Dodawanie wykazu globalnego do kontrolera domeny w domenie głównej lasu

Przywracanie pierwszego zapisywalnego kontrolera domeny w każdej domenie

Począwszy od zapisywalnego kontrolera domeny w domenie głównej lasu, wykonaj kroki opisane w tej sekcji, aby przywrócić pierwszy kontroler domeny. Domena główna lasu jest ważna, ponieważ przechowuje grupy Administratorzy schematu i Administratorzy przedsiębiorstwa. Pomaga również zachować hierarchię zaufania w lesie. Ponadto domena główna lasu zwykle przechowuje serwer główny DNS dla przestrzeni nazw DNS lasu. W związku z tym zintegrowana z usługą Active Directory strefa DNS dla tej domeny zawiera rekordy zasobów aliasu (CNAME) dla wszystkich innych kontrolerów domeny w lesie (które są wymagane do replikacji) i rekordy zasobów DNS wykazu globalnego.

Po odzyskaniu domeny głównej lasu powtórz te same kroki, aby odzyskać pozostałe domeny w lesie. Jednocześnie można odzyskać więcej niż jedną domenę; jednak zawsze należy odzyskać domenę nadrzędną przed odzyskaniem domeny podrzędnej, aby zapobiec przerwaniu w hierarchii zaufania lub rozpoznawaniu nazw DNS.

Dla każdej odzyskanej domeny przywróć z kopii zapasowej jeden kontroler domeny z możliwością zapisu. Jest to najważniejsza część odzyskiwania, ponieważ kontroler domeny musi mieć bazę danych, na którą nie wpływało, co spowodowało niepowodzenie lasu. Ważne jest, aby mieć zaufaną kopię zapasową, która jest dokładnie przetestowana przed wprowadzeniem do środowiska produkcyjnego.

Następnie wykonaj następujące kroki. Procedury dotyczące wykonywania określonych kroków są zawarte w AD Forest Recovery - Procedures.

1. Jeśli planujesz przywrócić serwer fizyczny, upewnij się, że kabel sieciowy docelowego kontrolera domeny nie jest podłączony, a zatem nie jest podłączony do sieci produkcyjnej. W przypadku maszyny wirtualnej można usunąć kartę sieciową lub użyć karty sieciowej dołączonej do innej sieci, w której można przetestować proces odzyskiwania, odizolowany od sieci produkcyjnej.

2. Ponieważ jest to pierwszy zapisywalny kontroler domeny w domenie, należy wykonać nieautorytatywne przywracanie usług AD DS i autorytatywne przywracanie folderu SYSVOL. Operacja przywracania musi zostać ukończona przy użyciu aplikacji do tworzenia kopii zapasowej i przywracania obsługującej usługę Active Directory, takiej jak Kopia zapasowa systemu Windows Server (zalecane). Jeśli identyfikator generacji Hyper-Visor jest obsługiwany na hoście, możesz również wykonać przywracanie nieautorytatywne przy użyciu migawki maszyny wirtualnej.

   • Autorytatywne przywracanie folderu SYSVOL jest wymagane na pierwszym przywróconym kontrolerze domeny, ponieważ replikacja folderu SYSVOL musi zostać ponownie uruchomiona z nowymi wystąpieniami po odzyskaniu po awarii. Wszystkie kolejne kontrolery domeny dodane w domenie muszą ponownie zsynchronizować folder SYSVOL z kopią tego folderu, który został wyznaczony jako autorytatywny.

     Ostrzeżenie

     Wykonaj autorytatywną (lub podstawową) operację przywracania SYSVOL tylko dla pierwszego kontrolera domeny, który ma zostać przywrócony w domenie głównej struktury. Niewłaściwe wykonywanie podstawowych operacji przywracania folderu SYSVOL na innych kontrolerach domeny powoduje konflikty replikacji danych SYSVOL. Istnieją dwie opcje wykonywania nieautorytatywnego przywracania usługi AD DS i autorytatywnego przywracania folderu SYSVOL:

   • Wykonaj pełne odzyskiwanie serwera, następnie wymuś autorytatywną synchronizację folderu SYSVOL. Aby uzyskać szczegółowe procedury, zobacz Wykonywanie pełnego odzyskiwania serwera i Wykonywanie autorytatywnej synchronizacji SYSVOL replikowanego przez DFSR.

   • Wykonaj pełne odzyskiwanie serwera, a następnie przywracanie stanu systemu. Ta opcja wymaga wcześniejszego utworzenia obu typów kopii zapasowych: pełnej kopii zapasowej serwera i kopii zapasowej stanu systemu. Aby uzyskać szczegółowe procedury, zobacz Wykonywanie pełnego odzyskiwania serwera i Wykonywanie nieautorytatywnego przywracania usług Active Directory Domain Services.

3. Po przywróceniu i ponownym uruchomieniu zapisywalnego kontrolera domeny sprawdź, czy błąd nie ma wpływu na dane na kontrolerze domeny. Jeśli dane kontrolera domeny są uszkodzone, powtórz krok 2 z inną kopią zapasową.

   • Jeśli przywrócony kontroler domeny hostuje rolę wzorca operacji, może być konieczne dodanie następującego wpisu rejestru, aby uniknąć sytuacji, w której usługi Active Directory Domain Services (AD DS) są niedostępne, dopóki nie zostanie ukończona replikacja partycji katalogu zapisywalnego:

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     Utwórz wpis z typem danych REG_DWORD i wartością 0. Po całkowitym odzyskaniu lasu można zresetować wartość tego wpisu do 1, co wymaga kontrolera domeny, który ponownie uruchamia i przechowuje role wzorca operacji, aby pomyślnie wykonać replikację przychodzącą i wychodzącą usług AD DS ze znanymi partnerami repliki, zanim anonsuje się jako kontroler domeny i rozpoczyna dostarczanie usług klientom. Aby uzyskać więcej informacji na temat wymagań dotyczących synchronizacji początkowej, zobacz Role FSMO usługi Active Directory.

4. Przejdź do następnych kroków dopiero po przywróceniu i zweryfikowaniu danych oraz przed dołączeniem tego komputera do sieci produkcyjnej.

5. Jeśli podejrzewasz, że awaria całego lasu była związana z włamaniem do sieci lub złośliwym atakiem, zresetuj hasła konta dla wszystkich kont administracyjnych, w tym członków administratorów przedsiębiorstwa, administratorów domeny, administratorów schematu, operatorów serwera, grup operatorów kont itd. Wymagana jest również procedura pełnego resetowania hasła dla konta krbtgt. Resetowanie haseł kont administracyjnych należy wykonać przed zainstalowaniem dodatkowych kontrolerów domeny w następnej fazie odzyskiwania lasu.

   W takim przypadku należy również pracować nad zastąpieniem wszystkich haseł GMSA tak, jakby konto administracyjne zostało przejęte, osoba atakująca mogła pobrać informacje, które pozwalają im uwierzytelnić się jako GMSA. Aby uzyskać szczegółowe informacje, zobacz artykuł o złotym ataku GMSA .

6. Jeśli podejrzewasz, że naruszono bezpieczeństwo kont użytkowników, należy również zaplanować resetowanie hasła użytkownika dla wszystkich użytkowników w domenie.

7. Na pierwszym przywróconym kontrolerze domeny w domenie głównej lasu przejmij wszystkie role wzorca operacji całego lasu i całej domeny. Poświadczenia administratorów przedsiębiorstwa i administratorów schematu są wymagane do przejmowania ról głównych operacji lasu zgodnie z wymaganiami.

   W każdej domenie podrzędnej przejmij niezbędne role sterujące domeną. Mimo że można tymczasowo zachować role głównego na przywróconym kontrolerze domeny, przejęcie tych ról daje pewność, które kontrolery domeny je hostują na tym etapie procesu odzyskiwania lasu. W ramach procesu po odzyskiwaniu można ponownie przydzielić role główne operacji zgodnie z potrzebami. Aby uzyskać więcej informacji na temat przejmowania ról wzorca operacji, zobacz Przejmowanie roli wzorca operacji. Aby uzyskać zalecenia dotyczące miejsca umieszczania ról głównych operatorów, zobacz Co to są wzorce operacji?. Zobacz również elastyczne działanie Single-Master (FSMO) umieszczenie i optymalizacja w kontrolerach domeny usługi AD.

8. Wyczyść metadane wszystkich innych zapisywalnych kontrolerów domeny w domenie głównej lasu, które nie są przywracane z kopii zapasowej (wszystkie zapisywalne kontrolery domeny w domenie z wyjątkiem tego pierwszego kontrolera domeny). Jeśli używasz wersji Użytkownicy i Komputery usługi Active Directory lub Lokacje i Usługi Active Directory, które są dołączone do systemu Windows Server 2012 lub nowszego, lub RSAT dla systemu Windows 10 lub nowszego, czyszczenie metadanych jest wykonywane automatycznie po usunięciu obiektu kontrolera domeny (DC). Ponadto obiekt serwera i obiekt komputera usuniętego DC są również usuwane automatycznie. Aby uzyskać więcej informacji, zobacz Oczyszczanie metadanych usuniętych zapisywalnych kontrolerów domenyi Oczyszczanie metadanych serwera usług AD DS.

   Czyszczenie metadanych uniemożliwia możliwe duplikowanie obiektów ustawień NTDS, jeśli usługi AD DS są zainstalowane na kontrolerze domeny w innej lokacji. Potencjalnie może to również oszczędzić narzędziu sprawdzania spójności wiedzy (KCC) procesu tworzenia linków replikacji, kiedy kontrolery domeny same mogą nie być obecne. Ponadto w ramach oczyszczania metadanych rekordy zasobów DNS lokalizatora kontrolerów domeny dla wszystkich innych kontrolerów domeny w domenie zostaną usunięte z systemu DNS.

   Dopóki metadane wszystkich innych kontrolerów domeny w domenie nie zostaną usunięte, ten kontroler domeny, jeżeli pełnił funkcję głównego serwera RID przed odzyskaniem, nie przyjmie roli głównego serwera RID i w związku z tym nie będzie mógł wydać nowych identyfikatorów RID. Identyfikator zdarzenia 16650 może zostać wyświetlony w dzienniku systemu w Podglądzie zdarzeń wskazującym ten błąd, ale po wyczyszczeniu metadanych powinien zostać wyświetlony identyfikator zdarzenia 16648 wskazujący powodzenie.

9. Jeśli masz strefy DNS przechowywane w usługach AD DS, upewnij się, że lokalna usługa serwera DNS jest zainstalowana i uruchomiona na przywróconym kontrolerze domeny. Jeśli ten kontroler domeny nie był serwerem DNS przed awarią lasu, należy zainstalować i skonfigurować rolę serwera DNS na kontrolerze domeny lub serwer DNS musi być dostępny w środowisku przywracania.

   W domenie głównej lasu skonfiguruj przywrócony kontroler domeny Active Directory z własnym adresem IP, ustawiając go jako preferowany serwer DNS. To ustawienie można skonfigurować we właściwościach protokołu TCP/IP adaptera lokalnej sieci (LAN). Jest to pierwszy serwer DNS w lesie. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące ustawień klienta systemu nazw domen (DNS).

   W każdej domenie podrzędnej skonfiguruj przywrócony kontroler domeny z adresem IP pierwszego serwera DNS w domenie głównej lasu jako preferowany serwer DNS. To ustawienie można skonfigurować we właściwościach PROTOKOŁU TCP/IP karty LAN. Aby uzyskać więcej informacji, zobacz Zalecenia dotyczące ustawień klienta systemu nazw domen (DNS).

   W strefach DNS _msdcs i domenie usuń rekordy NS kontrolerów domeny, które nie istnieją już po oczyszczeniu metadanych. Sprawdź, czy rekordy SRV wyczyszczonych kontrolerów domeny zostały usunięte. Aby przyspieszyć usuwanie rekordów SRV SYSTEMU DNS, uruchom polecenie:

   nltest.exe /dsderegdns:server.domain.tld

10. Podnieś wartość dostępnej puli identyfikatorów RID o 100 000. Aby uzyskać więcej informacji, zobacz Zwiększanie wartości dostępnych pul identyfikatorów RID. Jeśli masz powód, aby sądzić, że podniesienie puli RID o 100 000 jest niewystarczające w Twojej sytuacji, należy określić, biorąc pod uwagę średnie zużycie RID w Twoim środowisku, najniższy wzrost, który będzie nadal bezpieczny do użycia. Identyfikatory RIDs są ograniczonym zasobem, który nie powinien być wykorzystywany niepotrzebnie.

    Jeśli nowe podmioty zabezpieczeń zostały utworzone w domenie po czasie tworzenia kopii zapasowej używanej do przywracania, te podmioty zabezpieczeń mogą mieć prawa dostępu do niektórych obiektów. Te podmioty zabezpieczeń nie istnieją już po odzyskiwaniu, ponieważ odzyskiwanie zostało przywrócone do kopii zapasowej; jednak ich prawa dostępu mogą nadal istnieć. Jeśli dostępna pula identyfikatorów RID nie zostanie podniesiona po przywróceniu, nowe obiekty użytkownika utworzone po odzyskiwaniu lasu mogą uzyskać identyczne identyfikatory zabezpieczeń (SID) i mogą mieć dostęp do tych obiektów, które nie były pierwotnie zamierzone.

    Na przykład mógł być nowy pracownik. Obiekt użytkownika nie istnieje już po operacji przywracania, ponieważ został utworzony po utworzeniu kopii zapasowej, która została użyta do przywrócenia domeny. Jednak wszelkie prawa dostępu przypisane do tego obiektu użytkownika mogą być utrwalane po operacji przywracania. Jeśli identyfikator SID dla tego obiektu użytkownika zostanie ponownie przydzielony do nowego obiektu po operacji przywracania, nowy obiekt uzyska te prawa dostępu.

11. Unieważnij bieżącą pulę identyfikatorów RID. Bieżąca pula identyfikatorów RID jest unieważniona po przywróceniu stanu systemu. Jeśli jednak nie wykonano przywracania stanu systemu, bieżąca pula identyfikatorów RID musi zostać unieważniona, aby zapobiec ponownemu wyemitowaniu identyfikatorów RID przez przywrócony kontroler domeny, z puli RID, które były przypisane podczas tworzenia kopii zapasowej. Aby uzyskać więcej informacji, zobacz Unieważnianie bieżącej puli RID.

    Notatka

    Przy pierwszej próbie utworzenia obiektu z identyfikatorem SID po unieważnieniu puli identyfikatorów RID zostanie wyświetlony błąd. Próba utworzenia obiektu wyzwala żądanie nowej puli identyfikatorów RID. Ponowna próba wykonania operacji zakończy się pomyślnie, ponieważ zostanie przydzielona nowa pula identyfikatorów RID.

12. Zresetuj hasło konta komputera tego kontrolera domeny dwa razy. Aby uzyskać więcej informacji, zobacz Resetowanie hasła konta komputera kontrolera domeny.

13. Zresetuj hasło krbtgt dwa razy. Aby uzyskać więcej informacji, zobacz Resetowanie hasła krbtgt. Ponieważ historia haseł krbtgt obejmuje dwa hasła, zresetuj hasła dwukrotnie, aby usunąć oryginalne (przedawaryjne) hasło z historii haseł.

    Notatka

    Jeśli odzyskiwanie lasu jest w odpowiedzi na naruszenie zabezpieczeń, możesz również zresetować hasła zaufania. Aby uzyskać więcej informacji, zobacz Resetowanie hasła zaufania po jednej stronie.

14. Jeśli las ma wiele domen, a przywrócony kontroler domeny był serwerem wykazu globalnego przed awarią, wyczyść pole wyboru wykazu globalnego we właściwościach ustawień NTDS, aby usunąć wykaz globalny z kontrolera domeny. Wyjątkiem od tej reguły jest typowy przypadek lasu z tylko jedną domeną. W takim przypadku nie jest wymagane usunięcie wykazu globalnego. Aby uzyskać więcej informacji, zobacz Usuwanie wykazu globalnego.

    Przywracając wykaz globalny z kopii zapasowej nowszej niż inne, używane do odtwarzania kontrolerów domeny w innych domenach, można wprowadzić ryzyko pojawienia się utrzymujących się obiektów. Rozważmy poniższy przykład. W domenie A kontroler DC1 jest przywracany z kopii zapasowej, która została wykonana w czasie T1. W domenie B, DC2 jest przywracany z kopii zapasowej wykazu globalnego, która została wykonana w momencie T2. Załóżmy, że T2 jest nowszy niż T1, a niektóre obiekty zostały utworzone między T1 i T2. Po przywróceniu tych kontrolerów domeny, DC2, który jest katalogiem globalnym, zawiera nowsze dane dla częściowej repliki domeny A niż sama domena A. DC2, w tym przypadku, przechowuje pozostałe obiekty, ponieważ te obiekty nie są obecne na DC1.

    Obecność utrzymujących się obiektów może prowadzić do problemów. Na przykład wiadomości e-mail mogą nie być dostarczane do użytkownika, którego obiekt użytkownika został przeniesiony między domenami. Po przywróceniu nieaktualnego kontrolera domeny lub serwera katalogu globalnego do trybu online, w katalogu globalnym widoczne są oba wystąpienia obiektu użytkownika. Oba obiekty mają ten sam adres e-mail; w związku z tym nie można dostarczyć wiadomości e-mail.

    Innym problemem jest to, że konto użytkownika, które już nie istnieje, może nadal być wyświetlane na globalnej liście adresów.

    Ponadto grupa uniwersalna, która już nie istnieje, może nadal występować w tokenie dostępu użytkownika.

    Jeśli przywróciłeś kontroler domeny, który był katalogiem globalnym — przypadkowo lub dlatego, że była to jedyna zaufana kopia zapasowa — zalecamy zapobieganie powstawaniu zalegających obiektów poprzez wyłączenie katalogu globalnego wkrótce po zakończeniu operacji przywracania. Wyłączenie flagi wykazu globalnego spowoduje utratę wszystkich replik częściowych (partycji) komputera i zredukowanie się do roli zwykłego kontrolera domeny.

15. Jeśli używasz kont gMSA, może być konieczne ich ponowne utworzenie, ponieważ szczegóły generowania hasła mogą być widoczne dla osoby atakującej, zobacz:
    Jak odzyskać dane po ataku Golden gMSA

    Zobacz odzyskiwanie lasu usługi AD — odzyskiwanie pojedynczej domeny w lesie wielodomenowym, aby uzyskać instrukcje dotyczące zastępowania certyfikatów gMSA i upewnienia się, że używają one bezpiecznego materiału klucza.

16. Skonfiguruj usługę Czas systemu Windows. W domenie głównej lasu skonfiguruj emulator kontrolera PDC, aby zsynchronizować czas z zewnętrznego źródła czasu. Aby uzyskać więcej informacji, zobacz Skonfiguruj usługę czasu systemu Windows na emulatorze PDC w domenie głównej lasu.

Połącz ponownie każdy przywrócony zapisywalny kontroler domeny do wspólnej sieci

Na tym etapie powinien być już przywrócony jeden kontroler domeny (a kroki odzyskiwania wykonane) w domenie głównej lasu oraz w każdej z pozostałych domen. Dołącz te kontrolery domeny do wspólnej sieci, która jest odizolowana od reszty środowiska, i wykonaj następujące kroki, aby zweryfikować stan lasu oraz proces replikacji.

Notatka

Podczas dołączania fizycznych kontrolerów domeny do izolowanej sieci może być konieczna zmiana ich adresów IP. W związku z tym adresy IP rekordów DNS będą błędne. Ponieważ serwer wykazu globalnego jest niedostępny, bezpieczne aktualizacje dynamiczne dla systemu DNS zakończy się niepowodzeniem. Wirtualne kontrolery domeny są w tym przypadku bardziej korzystne, ponieważ można je połączyć z nową siecią wirtualną bez konieczności zmieniania ich adresów IP. Jest to jeden z powodów, dla których wirtualne kontrolery domeny są zalecane jako pierwsze kontrolery domeny do przywrócenia podczas odzyskiwania lasu.

Weryfikowanie kondycji replikacji lasu

Po weryfikacji dołącz kontrolery domeny do sieci produkcyjnej i wykonaj kroki weryfikacji stanu replikacji lasu.

• Aby naprawić rozpoznawanie nazw, utwórz rekordy delegowania DNS oraz skonfiguruj przesyłanie DNS i wskazówki główne zgodnie z potrzebami.
• Uruchom repadmin /replsum, aby sprawdzić replikację między kontrolerami domeny.
• Jeśli przywrócone kontrolery domeny nie są bezpośrednimi partnerami replikacji, odzyskiwanie replikacji będzie znacznie szybsze przez utworzenie tymczasowych obiektów połączenia między nimi.
• Aby zweryfikować czyszczenie metadanych, uruchom Repadmin /viewlist \*, aby otrzymać listę wszystkich kontrolerów domeny w lesie. Aby uzyskać listę wszystkich kontrolerów domeny w domenie, uruchom Nltest /DCList:***\<domain\>*.
• Aby sprawdzić kondycję kontrolera domeny i systemu DNS, uruchom DCDiag /v, aby zgłosić błędy na wszystkich kontrolerach domeny w lesie.

Dodawanie wykazu globalnego do kontrolera domeny w domenie głównej lasu

Wykaz globalny jest wymagany z następujących powodów:

• Aby włączyć logowania dla użytkowników.
• Aby umożliwić usłudze Net Logon działającej na kontrolerach domeny w każdej domenie podrzędnej rejestrowanie i usuwanie rekordów na serwerze DNS w domenie głównej.

Mimo że preferowane jest, aby główny kontroler domeny lasu był wykazem globalnym, zazwyczaj zaleca się podjęcie decyzji, że wszystkie kontrolery domeny są wykazem globalnym.

Notatka

Kontroler domeny nie będzie anonsowany jako serwer wykazu globalnego, dopóki nie ukończy pełnej synchronizacji wszystkich partycji katalogu w lesie. W związku z tym należy wymusić replikację kontrolera domeny z każdym z przywróconych kontrolerów domeny w lesie.

Monitoruj dziennik zdarzeń usługi katalogowej w Podglądzie zdarzeń pod kątem identyfikatora zdarzenia 1119, który wskazuje, że ten kontroler domeny jest serwerem wykazu globalnego lub sprawdź, czy następujący klucz rejestru ma wartość 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Aby uzyskać więcej informacji, zobacz Dodawanie katalogu globalnego.

Na tym etapie należy mieć stabilny las z jednym serwerem kontrolera domeny dla każdej domeny i jednym katalogiem globalnym w lesie. Należy utworzyć nową kopię zapasową każdego z kontrolerów domeny, które właśnie zostały przywrócone. Możesz teraz rozpocząć ponowne wdrażanie innych kontrolerów domeny w lesie przez zainstalowanie usług AD DS i skonfigurowanie dodatkowych serwerów pełniących rolę katalogu globalnego.

Następne kroki

• Odzyskiwanie lasu — wymagania wstępne
• Odzyskiwanie lasu AD — opracowanie niestandardowego planu
• AD Odbudowa Lasu - Kroki przywrócenia lasu
• AD Forest Recovery - Identyfikowanie problemu
• Odzyskiwanie lasu AD — jak określić sposób odzyskiwania
• AD Odzyskiwanie Lasu — przeprowadzenie początkowego odzyskiwania
• Odzyskiwanie Lasu - Procedury
• odzyskiwanie lasu usługi AD — często zadawane pytania
• Odzyskiwanie Lasu AD — odzyskiwanie pojedynczej domeny w lesie wielodomenowym
• odzyskiwanie lasu AD — ponowne wdrażanie pozostałych kontrolerów domen
• Odzyskiwanie Lasu AD — Wirtualizacja
• AD Forest Recovery - sprzątanie