Восстановление леса Active Directory — повторное развертывание оставшихся контроллеров домена
Шаги до этой точки применяются ко всем лесам: найти действительную резервную копию для каждого домена, восстановить домены в изоляции, повторно подключить их, сбросить глобальный каталог и очистить. На следующем шаге вы повторно развернете лес. Этот способ будет значительно зависеть от вашего леса, соглашений об уровне обслуживания, структуры сайта, доступной пропускной способности и многих других факторов. Вам потребуется разработать собственный план повторного развертывания на основе принципов и предложений в этом разделе таким образом, чтобы лучше всего подходить для ваших бизнес-требований.
Следующим шагом является установка AD DS на всех контроллерах домена, которые присутствовали до восстановления леса. Если контроллеры домена по-прежнему существуют, служба AD DS должна быть удалена принудительно или контроллеры домена можно переустановить. Любые существующие резервные копии для этих контроллеров домена не могут использоваться повторно, так как соответствующие метаданные были удалены во время восстановления леса. В несложной среде этот процесс повторного развертывания может быть таким же простым, как повторное подключение восстановленных контроллеров домена к рабочей сети и продвижение новых контроллеров домена по мере необходимости.
В крупном предприятии, столкнувшись с глобальной инфраструктурой, требуется более сложный план. Первый этап обычно заключается в восстановлении AD в качестве службы; установите стратегически размещенные контроллеры домена, чтобы все критически важные бизнес-подразделения и приложения могли снова работать. (Это может быть приемлемо для филиалов временно снизить производительность в результате этого.) На втором этапе все оставшиеся и менее критически важные контроллеры домена развертываются.
Существует два способа установки дополнительных контроллеров домена, оба из которых могут быть автоматизированы:
Клонировать
Вы можете автоматизировать восстановление всех виртуализированных контроллеров домена в домене после восстановления одного виртуализированного контроллера домена из резервной копии. Дополнительные сведения о клонирование и предварительные требования см. в статье "Общие сведения о виртуализации служб домен Active Directory (AD DS) (уровень 100)".
Переустановка AD DS с помощью Windows PowerShell
Чтобы ускорить переустановку AD DS, можно использовать параметр установки из мультимедиа (IFM) для уменьшения трафика репликации во время установки. Дополнительные сведения об использовании ntdsutil ifm
команды для создания установочного носителя см. в разделе "Установка AD DS из мультимедиа".
Рассмотрим следующие дополнительные моменты для каждого контроллера домена реплики, восстановленного в лесу путем виртуализированного клонирования контроллера домена или установки AD DS (в отличие от восстановления из резервной копии):
- Все программное обеспечение на контроллере домена, используемом в качестве источника клонирования, должно быть клонировано. Приложения и службы, которые нельзя клонировать, следует удалить перед началом клонирования. Если это невозможно, в качестве источника следует выбрать альтернативный виртуализированный контроллер домена.
- Если клонировать дополнительные виртуализированные контроллеры домена из первого виртуализированного контроллера домена, необходимо завершить работу исходного контроллера домена во время копирования его VHDX-файла. Затем при первом запуске клонирования виртуальных контроллеров домена потребуется запустить и открыть его в сети. Если время простоя, необходимое для завершения работы, недоступно для первого восстановленного контроллера домена, разверните дополнительный виртуализированный контроллер домена, установив AD DS для клонирования в качестве источника.
- Нет ограничений на имя узла клонированного виртуализированного контроллера домена или сервера, на котором требуется установить AD DS. Вы можете использовать новое имя узла или имя узла, которое использовалось ранее. Дополнительные сведения о синтаксисе имен узлов DNS см. в разделе "Создание имен DNS-компьютеров(https://go.microsoft.com/fwlink/?LinkId=74564
- Настройте каждый сервер с первым DNS-сервером в лесу (первый контроллер домена, восстановленный в корневом домене) в качестве предпочтительного DNS-сервера в свойствах TCP/IP сетевого адаптера. Дополнительные сведения см. в разделе "Настройка TCP/IP для использования DNS".
- Повторно разверните все контроллеры домена в домене путем виртуализированного клонирования контроллера домена, если несколько контроллеров домена развернуты в центральном расположении, или традиционным способом их перестроения, удалив и переустановив AD DS, если они развернуты отдельно в изолированных расположениях, таких как филиалы.
- Перестроение контроллеров домена гарантирует, что они не содержат неустраиваемых объектов и могут помочь предотвратить конфликты репликации позже. При удалении AD DS из RODC выберите вариант хранения метаданных контроллера домена. Этот параметр сохраняет учетную запись krbtgt для RODC и сохраняет разрешения для делегированной учетной записи администратора RODC и политики репликации паролей (PRP) и не позволяет использовать учетные данные администратора домена для удаления и переустановки AD DS в RODC. Он также сохраняет DNS-сервер и роли глобального каталога, если они установлены в RODC первоначально.
- При перестроении контроллеров домена (RODCs или записываемых контроллеров домена) во время их переустановки может быть увеличен трафик репликации. Чтобы уменьшить это влияние, можно ошеломить расписание установок RODC и использовать параметр Install From Media (IFM). Если вы используете параметр IFM, выполните
ntdsutil ifm
команду на записываемом контроллере домена, которому вы доверяете, чтобы освободить поврежденные данные. Это помогает предотвратить появление возможного повреждения в RODC после завершения переустановки AD DS. Дополнительные сведения о IFM см. в статье об установке AD DS из мультимедиа. - Дополнительные сведения о перестроении контроллеров домена см. в разделе "Удаление и переустановка RODC".
- Если контроллер домена выполнял службу DNS-сервера до сбоя леса, установите и настройте службу DNS-сервера во время установки AD DS. В противном случае настройте бывшие DNS-клиенты с другими DNS-серверами.
- Если вам требуются дополнительные глобальные каталоги для совместного использования проверки подлинности или загрузки запросов для пользователей или приложений, вы можете добавить глобальный каталог в исходный виртуализированный контроллер домена перед клонированием или сделать контроллер домена глобальным сервером каталога во время установки AD DS.
Следующие шаги
- Восстановление леса AD — необходимые условия
- Ad Forest Recovery — разработка пользовательского плана восстановления леса
- Восстановление леса AD— шаги по восстановлению леса
- Восстановление леса AD. Определение проблемы
- Восстановление леса AD— определение способа восстановления
- Восстановление леса AD — выполнение первоначального восстановления
- Восстановление леса AD — процедуры
- Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
- Ad Forest Recovery — восстановление одного домена в многодоменном лесу
- Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
- Восстановление леса AD — виртуализация
- Восстановление леса AD — очистка