Поделиться через

Восстановление леса Active Directory — выполнение первоначального восстановления

В этом разделе содержатся следующие шаги:

Восстановление первого контроллера домена с возможностью записи в каждом домене

Начиная с записываемого контроллера домена в корневом домене леса выполните действия, описанные в этом разделе, чтобы восстановить первый контроллер домена. Корневой домен леса важен, так как он хранит группы администраторов схемы и корпоративных администраторов. Она также помогает поддерживать иерархию доверия в лесу. Кроме того, корневой домен леса обычно содержит корневой dns-сервер для пространства имен DNS леса. Следовательно, интегрированная зона DNS Active Directory для этого домена содержит записи ресурсов псевдонима (CNAME) для всех остальных контроллеров домена в лесу (которые необходимы для репликации) и записей ресурсов DNS глобального каталога.

После восстановления корневого домена леса повторите те же действия, чтобы восстановить оставшиеся домены в лесу. Вы можете одновременно восстановить несколько доменов; однако всегда восстанавливайте родительский домен перед восстановлением дочернего домена, чтобы предотвратить разрыв в иерархии доверия или разрешение DNS-имен.

Для каждого восстановленного домена восстановите один записываемый контроллер домена из резервной копии. Это наиболее важная часть восстановления, так как контроллер домена должен иметь базу данных, которая не влияла на то, что привело к сбою леса. Важно иметь надежную резервную копию, которая тщательно протестирована, прежде чем она будет введена в рабочую среду.

Затем выполните следующие действия. Процедуры для выполнения определенных действий находятся в службе восстановления леса AD . Процедуры.

  1. Если вы планируете восстановить физический сервер, убедитесь, что сетевой кабель целевого контроллера домена не подключен и поэтому не подключен к рабочей сети. Для виртуальной машины можно удалить сетевой адаптер или использовать сетевой адаптер, подключенный к другой сети, где можно протестировать процесс восстановления при изоляции от рабочей сети.

  2. Так как это первый записываемый контроллер домена в домене, необходимо выполнить неавторитативное восстановление AD DS и авторитетное восстановление SYSVOL. Операция восстановления должна выполняться с помощью приложения резервного копирования и восстановления с поддержкой Active Directory, например windows Server Backup (рекомендуется). Если идентификатор поколения Hyper-Visor поддерживается на узле, то можно также выполнить неавторитативное восстановление с использованием снимка виртуальной машины.

    • Для первого восстановленного контроллера домена требуется авторитетное восстановление SYSVOL, так как репликация папки SYSVOL должна быть перезапущена с новыми экземплярами после восстановления после аварии. Все последующие контроллеры домена, добавленные в домен, должны повторно изменить размер папки SYSVOL с копией выбранной папки, которая должна быть авторитетной.

      Предупреждение

      Выполните достоверную операцию восстановления (или основной) SYSVOL только для восстановления первого контроллера домена в корневом домене леса. Неправильное выполнение основных операций восстановления SYSVOL на других контроллерах домена приводит к конфликтам репликации данных SYSVOL. Существует два варианта выполнения неавторитативного восстановления AD DS и авторитетного восстановления SYSVOL:

    • Выполните полное восстановление сервера и принудительная синхронизация SYSVOL. Подробные процедуры см. в разделе "Выполнение полного восстановления сервера" и "Выполнение авторитетной синхронизации DFSR-реплицированного SYSVOL".

    • Выполните полное восстановление сервера, за которым следует восстановление состояния системы. Этот параметр требует создания обоих типов резервных копий заранее: полного резервного копирования сервера и резервного копирования состояния системы. Подробные процедуры см. в разделе "Выполнение полного восстановления сервера" и "Выполнение неавторитативного восстановления служб домен Active Directory".

  3. После восстановления и перезапуска записываемого контроллера домена убедитесь, что сбой не повлиял на данные контроллера домена. Если данные контроллера домена повреждены, повторите шаг 2 с другой резервной копией.

    • Если восстановленный контроллер домена размещает роль главного контроллера операций, может потребоваться добавить следующую запись реестра, чтобы избежать недоступности AD DS до тех пор, пока не завершится репликация секции каталога, допускающего запись:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
Perform Initial Synchronizations

      Создайте запись с типом данных REG_DWORD и значением 0. После полного восстановления леса можно сбросить значение этой записи до 1, для которой требуется контроллер домена, который перезапускает и содержит роли главного контроллера операций, чтобы обеспечить успешную входящие и исходящие репликации AD DS с известными партнерами-репликами, прежде чем объявлять себя в качестве контроллера домена и начинает предоставлять услуги клиентам. Дополнительные сведения о начальных требованиях к синхронизации см. в статье "Роли FSMO Active Directory".

  4. Перейдите к следующим шагам только после восстановления и проверки данных и перед присоединением этого компьютера к рабочей сети.

  5. Если вы подозреваете, что сбой на уровне леса связан с вторжением в сеть или вредоносной атакой, сбросьте пароли учетных записей для всех административных учетных записей, включая членов администраторов предприятия, администраторов домена, администраторов схем, операторов серверов, групп операторов учетных записей и т. д. Кроме того, требуется выполнить процедуру сброса пароля в учетной записи krbtgt. Сброс паролей учетной записи администратора необходимо выполнить перед установкой дополнительных контроллеров домена на следующем этапе восстановления леса.

    В этом случае также работаем над заменой всех паролей GMSA, как если бы учетная запись администратора была взята, злоумышленник может получить информацию, которая позволяет им пройти проверку подлинности как GMSA. Дополнительные сведения см. в статье о нападении на золотой ГМСА.

  6. Если вы подозреваете, что учетные записи пользователей были скомпрометированы, необходимо также запланировать сброс пароля пользователя для всех пользователей в домене.

  7. В первом восстановленном контроллере домена в корневом домене леса захватить все роли главных ролей основных операций на уровне домена и леса. Учетные данные администраторов предприятия и администраторов схем необходимы, чтобы при необходимости захватить роли главных ролей основных операций на уровне леса.

    В каждом дочернем домене необходимо при необходимости захватить главные роли основных операций на уровне домена. Хотя вы можете сохранить роли главного контроллера операций на восстановленном контроллере домена только временно, захват этих ролей гарантирует, что они размещаются на этом этапе в процессе восстановления леса. В рамках процесса после восстановления вы можете перераспространить главные роли операций по мере необходимости. Дополнительные сведения об захвате главных ролей операций см. в разделе "Захват главной роли операций". Рекомендации по расположению главных ролей операций см. в разделе "Что такое мастеры операций?". См. также сведения о размещении и оптимизации гибкой одно главной операции (FSMO) на контроллерах домена AD.

  8. Очистка метаданных всех других записываемых DCs в корневом домене леса, которые не восстанавливается из резервной копии (все записываемые DCs в домене, за исключением этого первого контроллера домена). Если вы используете версию Пользователи и компьютеры Active Directory или сайтов и служб Active Directory, включенных в Windows Server 2012 или более поздней версии или RSAT для Windows 10 или более поздней версии, очистка метаданных выполняется автоматически при удалении объекта контроллера домена. Кроме того, серверный объект и объект компьютера для удаленного контроллера домена также удаляются автоматически. Дополнительные сведения см. в разделе "Очистка метаданных удаленных записываемых контроллеровдомена" и "Очистка метаданных сервера AD DS".

    Очистка метаданных предотвращает возможное дублирование объектов NTDS-параметров, если AD DS установлен на контроллер домена на другом сайте. Возможно, это также может сохранить средство проверки согласованности знаний (KCC) процесс создания ссылок репликации, когда сами контроллеры домена могут не присутствовать. Кроме того, в рамках очистки метаданных записи ресурсов DNS указателя контроллера домена для всех остальных контроллеров домена в домене будут удалены из DNS.

    Пока метаданные всех остальных контроллеров домена не будут удалены, этот контроллер домена, если он был главным контроллером RID перед восстановлением, не будет принимать роль главного контроллера RID и поэтому не сможет выдавать новые идентификаторы. Вы можете увидеть идентификатор события 16650 в системном журнале в Просмотр событий, указывающий на этот сбой, но вы увидите идентификатор события 16648, указывающий на успех некоторое время после очистки метаданных.

  9. Если у вас есть зоны DNS, хранящиеся в AD DS, убедитесь, что локальная служба DNS-сервера установлена и запущена на восстановленном контроллере домена. Если этот контроллер домена не был DNS-сервером до сбоя леса, необходимо установить и настроить роль DNS-сервера на контроллере домена или DNS-сервере, который должен быть доступен в среде восстановления.

    В корневом домене леса настройте восстановленный контроллер домена с собственным IP-адресом в качестве предпочтительного DNS-сервера. Этот параметр можно настроить в свойствах TCP/IP адаптера локальной сети (LAN). Это первый DNS-сервер в лесу. Дополнительные сведения см. в рекомендациях по параметрам клиента системы доменных имен (DNS).

    В каждом дочернем домене настройте восстановленный контроллер домена с IP-адресом первого DNS-сервера в корневом домене леса в качестве предпочтительного DNS-сервера. Этот параметр можно настроить в свойствах TCP/IP адаптера локальной сети. Дополнительные сведения см. в рекомендациях по параметрам клиента системы доменных имен (DNS).

    В зонах DNS _msdcs и доменных доменов удалите записи NS контроллеров домена, которые больше не существуют после очистки метаданных. Проверьте, удалены ли записи SRV удаленных контроллеров домена. Чтобы ускорить удаление записей DNS SRV, выполните следующую команду:

    nltest.exe /dsderegdns:server.domain.tld

  10. Повышение значения доступного пула RID на 100 000. Дополнительные сведения см. в разделе "Повышение значения доступных пулов RID". Если у вас есть основания полагать, что повышение пула RID на 100 000 недостаточно для конкретной ситуации, необходимо определить, учитывая среднее потребление RID в вашей среде, наименьшее увеличение, которое по-прежнему безопасно использовать. ИДЕНТИФИКАТОРы — это конечный ресурс, который не следует использовать без необходимости.

    Если новые субъекты безопасности были созданы в домене после времени резервной копии, используемой для восстановления, эти субъекты безопасности могут иметь права доступа к определенным объектам. Эти субъекты безопасности больше не существуют после восстановления, так как восстановление вернулось к резервной копии; однако их права доступа по-прежнему могут существовать. Если доступный пул RID не вызывается после восстановления, новые пользовательские объекты, созданные после восстановления леса, могут получить идентичные идентификаторы безопасности (SID) и иметь доступ к этим объектам, которые изначально не были предназначены.

    Например, может быть новый сотрудник. Объект пользователя больше не существует после операции восстановления, так как он был создан после резервной копии, которая использовалась для восстановления домена. Однако все права доступа, назначенные данному объекту пользователя, могут сохраняться после операции восстановления. Если идентификатор безопасности для этого пользовательского объекта переназначен новому объекту после операции восстановления, новый объект получит эти права доступа.

  11. Недопустимый текущий пул RID. Текущий пул RID недопустим после восстановления состояния системы. Но если восстановление состояния системы не было выполнено, текущий пул RID должен быть недействителен, чтобы предотвратить повторное получение идентификаторов riD из пула RID, который был назначен во время создания резервной копии. Дополнительные сведения см. в разделе "Недопустимый текущий пул RID".

    Примечание.

    При первой попытке создать объект с идентификатором безопасности после отмены пула RID вы получите сообщение об ошибке. Попытка создать объект активирует запрос для нового пула RID. Повторная попытка операции завершается успешно, так как будет выделен новый пул RID.

  12. Сброс пароля учетной записи компьютера этого контроллера домена дважды. Дополнительные сведения см. в разделе Сброс пароля учетной записи компьютера контроллера домена.

  13. Сбросьте пароль krbtgt дважды. Дополнительные сведения см. в разделе "Сброс пароля krbtgt". Так как журнал паролей krbtgt является двумя паролями, сбросьте пароли дважды, чтобы удалить исходный (предварительно подготовленный) пароль из журнала паролей.

    Примечание.

    Если восстановление леса отвечает на нарушение безопасности, вы также можете сбросить пароли доверия. Дополнительные сведения см. в разделе "Сброс пароля доверия" на одной стороне доверия.

  14. Если лес содержит несколько доменов, а восстановленный контроллер домена был глобальным сервером каталога до сбоя, снимите флажок "Глобальный каталог" в свойствах параметров NTDS, чтобы удалить глобальный каталог из контроллера домена. Исключением из этого правила является распространенный случай леса только с одним доменом. В этом случае для удаления глобального каталога не требуется. Дополнительные сведения см. в разделе "Удаление глобального каталога".

    Восстановление глобального каталога из резервной копии, которая является более последней, чем другие резервные копии, которые используются для восстановления контроллеров домена в других доменах, может привести к тому, что объекты задерживаются. Рассмотрим следующий пример. В домене А контроллер домена DC1 восстанавливается из резервной копии, которая была выполнена во время T1. В домене B контроллер домена DC2 восстанавливается из глобальной резервной копии каталога, которая была выполнена во время T2. Предположим, что T2 является более поздним, чем T1, и некоторые объекты были созданы между T1 и T2. После восстановления этих контроллеров домена DC2, который является глобальным каталогом, содержит новые данные для частичной реплики домена A, чем домен A, удерживает себя. DC2 в этом случае содержит неуклюжие объекты, так как эти объекты не присутствуют в DC1.

    Наличие задерживающихся объектов может привести к проблемам. Например, сообщения электронной почты могут не доставляться пользователю, объект пользователя которого был перемещен между доменами. После возврата устаревшего сервера контроллера домена или глобального каталога в сети оба экземпляра объекта пользователя отображаются в глобальном каталоге. Оба объекта имеют одинаковый адрес электронной почты; поэтому сообщения электронной почты не могут быть доставлены.

    Другая проблема заключается в том, что учетная запись пользователя, которая больше не существует, может по-прежнему отображаться в глобальном списке адресов.

    Кроме того, универсальная группа, которая больше не существует, может по-прежнему отображаться в маркере доступа пользователя.

    Если вы восстановили контроллер домена, который был глобальным каталогом ( непреднамеренно или потому, что это была одинарная резервная копия, которую вы доверяете), рекомендуется предотвратить появление неустанных объектов, отключив глобальный каталог вскоре после завершения операции восстановления. Отключение флага глобального каталога приведет к потере компьютера всех его частичных реплик (секций) и переключения себя на регулярное состояние контроллера домена.

  15. Если вы используете учетные записи gMSA, возможно, потребуется повторно создать их, так как сведения о создании паролей могут быть предоставлены злоумышленнику, см. следующее:
    Как восстановиться после атаки Golden gMSA

    Сведения о том, как заменить gMSAs, и убедитесь, что они используют безопасный материал ключа, см. в статье о восстановлении одного домена в многодоменном лесу .

  16. Настройка службы времени Windows. В корневом домене леса настройте эмулятор PDC для синхронизации времени из внешнего источника времени. Дополнительные сведения см. в разделе "Настройка службы времени Windows" в эмуляторе PDC в корневом домене леса.

Повторное подключение каждого восстановленного контроллера домена с возможностью записи к общей сети

На этом этапе необходимо выполнить одно восстановление контроллера домена (и шаги восстановления) в корневом домене леса и в каждом из оставшихся доменов. Присоедините эти контроллеры домена к общей сети, изолированной от остальной среды, и выполните следующие действия, чтобы проверить работоспособность леса и репликацию.

Примечание.

При присоединении физических контроллеров домена к изолированной сети может потребоваться изменить ip-адреса. В результате IP-адреса записей DNS будут неправильными. Так как глобальный сервер каталога недоступен, безопасные динамические обновления для DNS завершаются ошибкой. Виртуальные контроллеры домена более выгодны в этом случае, так как они могут быть присоединены к новой виртуальной сети, не изменяя их IP-адреса. Это одна из причин, почему виртуальные контроллеры домена рекомендуется восстановить в качестве первых контроллеров домена во время восстановления леса.

Проверка работоспособности репликации леса

После проверки присоединитесь к контроллерам домена в рабочей сети и выполните действия по проверке работоспособности репликации леса.

  • Чтобы устранить разрешение имен, создайте записи делегирования DNS и настройте перенаправление DNS и корневые подсказки по мере необходимости.
  • Выполните проверку repadmin /replsum репликации между контроллерами домена.
  • Если восстановленные контроллеры домена не являются партнерами прямой репликации, восстановление репликации будет гораздо быстрее путем создания временных объектов подключения между ними.
  • Чтобы проверить очистку метаданных, запустите Repadmin /viewlist \* список всех контроллеров домена в лесу. Запустите Nltest /DCList:***\<domain\>* список всех контроллеров домена.
  • Чтобы проверить работоспособность контроллера домена и DNS, выполните команду DCDiag /v , чтобы сообщить об ошибках на всех контроллерах домена в лесу.

Добавление глобального каталога в контроллер домена в корневом домене леса

Для этих и других причин требуется глобальный каталог:

  • Включение входа для пользователей.
  • Чтобы включить службу net Logon, запущенную на контроллерах домена в каждом дочернем домене, необходимо зарегистрировать и удалить записи на DNS-сервере в корневом домене.

Несмотря на то, что корневой контроллер домена леса является глобальным каталогом, рекомендуется решить, что все контроллеры домена являются глобальным каталогом.

Примечание.

Контроллер домена не будет объявлен как глобальный сервер каталога, пока он не завершит полную синхронизацию всех секций каталогов в лесу. Поэтому контроллер домена должен быть вынужден реплицироваться с каждым восстановленным контроллером домена в лесу.

Отслеживайте журнал событий службы каталогов в Просмотр событий для идентификатора события 1119, который указывает, что этот контроллер домена является глобальным сервером каталога или убедитесь, что следующий раздел реестра имеет значение 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Дополнительные сведения см. в разделе "Добавление глобального каталога".

На этом этапе должен быть стабильный лес с одним контроллером домена для каждого домена и одним глобальным каталогом в лесу. Необходимо создать новую резервную копию каждого из только что восстановленных контроллеров домена. Теперь можно начать повторно развертывать другие контроллеры домена в лесу, установив AD DS и настроив дополнительные серверы глобального каталога.

Следующие шаги