Восстановление леса Active Directory — восстановление одного домена в многодоменовом лесу

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В некоторых сценариях может потребоваться восстановить только один домен в лесу с несколькими доменами, а не полное восстановление леса. В этом разделе рассматриваются рекомендации по восстановлению одного домена и возможных стратегий.

Как и в процессе восстановления леса, вы восстанавливаете один или несколько контроллеров домена из резервной копии в домене и очищаете метаданные оставшихся контроллеров домена. Затем новые контроллеры домена добавляются, присоединяясь к новым членам, устанавливая роли AD DS и повышая их. Для задачи также можно использовать клонирование контроллера домена или установку из носителя .

Восстановление одного домена представляет собой уникальную проблему для перестроения серверов глобального каталога (GC). Например, если первый контроллер домена (DC) для домена восстанавливается из резервной копии, созданной за неделю ранее, то все остальные контроллеры домена в лесу будут иметь более актуальные данные для этого домена, чем восстановленный контроллер домена. Чтобы повторно установить согласованность данных GC, существует несколько вариантов:

• Разблокировать секцию восстановленных доменов из всех GCs в лесу, за исключением тех, которые в восстановленном домене одновременно и после завершения повторно разместить все GCs в лесу. Кроме того, убедитесь, что вы не перегружаете оставшиеся GCS. В больших средах координация этого действия может быть очень сложной.

• Выполните процесс восстановления леса, чтобы восстановить домен, а затем удалите неустранимые объекты из GCs в других доменах.

В следующих разделах приведены общие рекомендации по каждому варианту. Полный набор шагов, которые необходимо выполнить для восстановления, зависит от разных сред Active Directory.

Повторное размещение всех GCs

Предупреждение

Имя входа и пароль учетной записи администратора домена по умолчанию (RID-500) для всех доменов должна быть доступна, и учетные записи, включенные для использования в случае проблемы, которая запрещает доступ к GC для входа.

Примечание.

Чтобы разрешить вход без проверки GC, можно также настроить HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures значение 1.

Если неизвестно, получите идентификатор домена с помощью whoami /all другой учетной записи в каждом домене или выполните следующую команду, чтобы определить RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Повторное размещение всех GCs можно сделать с помощью repadmin /unhost и repadmin /rehost команд (частью repadmin /experthelp). Вы будете repadmin выполнять команды для каждой сборки мусора в каждом домене, который не восстановлен. Необходимо убедиться, что все GCs больше не содержат копию восстановленного домена. Чтобы добиться этого, сначала не размещайте секцию домена со всех контроллеров домена во всех невосстановленных доменах леса. Так как GCs больше не содержат секцию, ее можно повторно разместить. При повторном размещении рассмотрите структуру сайта и репликации леса. Например, завершите повторное размещение одного контроллера домена на сайт до повторного размещения других контроллеров домена этого сайта.

Этот вариант может быть выгодным для небольшой организации, которая имеет только несколько контроллеров домена для каждого домена. Все GCs можно перестроить в пятницу вечером и, при необходимости, завершить репликацию для всех секций домена только для чтения до понедельника утром. Однако если вам нужно восстановить большой домен, охватывающий сайты по всему миру, повторное размещение секции домена только для чтения на всех контроллерах GCs для других доменов может значительно повлиять на операции и, возможно, потребует времени простоя.

Проверка и удаление неустранимых объектов

На GCs всех остальных доменов в лесу проверьте и удалите потенциально задерживающиеся объекты для секции только для чтения восстановленного домена.

Источник для очистки неустанного объекта должен быть контроллером домена в восстановленном домене. Чтобы убедиться, что исходный контроллер домена не содержит неустранимых объектов для каких-либо разделов домена, вы можете удалить глобальный каталог.

Удаление задерживающихся объектов выгодно для крупных организаций, которые не могут рисковать временем простоя, связанным с повторной размещением контекста именования домена.

Дополнительные сведения см. в разделе "Использование повторного управления" для удаления неустранимых объектов.

Следующие шаги

• Восстановление леса AD — необходимые условия
• Ad Forest Recovery — разработка пользовательского плана восстановления леса
• Восстановление леса AD— шаги по восстановлению леса
• Восстановление леса AD. Определение проблемы
• Восстановление леса AD— определение способа восстановления
• Восстановление леса AD — выполнение первоначального восстановления
• Восстановление леса AD — процедуры
• Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
• Ad Forest Recovery — восстановление одного домена в многодоменном лесу
• Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
• Восстановление леса AD — виртуализация
• Восстановление леса AD — очистка