Dela via


Active Directory Forest Recovery – Återställa en enskild domän i en skog med flera domäner

I vissa scenarier kan det vara nödvändigt att bara återställa en enda domän i en skog som har flera domäner i stället för en fullständig skogsåterställning. Det här avsnittet beskriver överväganden för att återställa en enda domän och möjliga strategier.

På samma sätt som med skogsåterställningsprocessen återställer du en eller flera domänkontrollanter från en säkerhetskopia i domänen och rensar metadata för kvarvarande domänkontrollanter. Nya domänkontrollanter läggs sedan till genom att ansluta till nya medlemmar, installera AD DS-roller och marknadsföra dem. Du kan också använda DC Cloning eller Install from Media för uppgiften.

En enskild domänåterställning utgör en unik utmaning för att återskapa GC-servrar (Global Catalog). Om till exempel den första domänkontrollanten (DC) för domänen återställs från en säkerhetskopia som skapades en vecka tidigare, kommer alla andra grupprincipobjekt i skogen att ha mer up-todatumdata för domänen än den återställde domänkontrollanten. Det finns några alternativ för att återupprätta GC-datakonsekvens:

  • Koppla bort partitionen av de återställda domänerna från alla GC:er i skogen, förutom de i den återställda domänen, samtidigt och när det är klart, återanslut alla GC:er i skogen. Kontrollera också att du inte överbelastar återstående GCs. I stora miljöer kan det vara mycket komplicerat att samordna den här aktiviteten.

  • Följ skogsåterställningsprocessen för att återställa domänen och ta sedan bort kvardröjande objekt från GCs i andra domäner.

Följande avsnitt innehåller allmänna överväganden för varje alternativ. Den fullständiga uppsättningen steg som behöver utföras för återställningen varierar för olika Active Directory-miljöer.

Flytta alla GCs till en ny värd

Varning

Inloggningsnamnet och lösenordet för standardanvändarkontot Domänadministratör ("RID-500") för alla domäner måste vara tillgängliga, och kontot måste vara aktiverat för användning om ett problem förhindrar åtkomst till en GC för inloggning.

Anmärkning

Om du vill tillåta inloggning utan GC-verifiering kan du även konfigurera HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures värdet till 1.

Om det är okänt hämtar dudomän-ID:tgenom att använda whoami /all för ett annat konto i varje domän eller kör följande kommando för att identifiera RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Om du byter värd för alla GCs kan du göra med hjälp av repadmin /unhost och repadmin /rehost kommandon (en del av repadmin /experthelp). Du skulle köra kommandona repadmin på varje GC i varje domän som inte återställs. Det måste säkerställas att alla GC:er inte längre innehåller en kopia av den återställda domänen. För att uppnå detta måste du först ta bort domänpartitionen från alla domänkontrollanter över alla domäner som inte återställs i skogen först. Eftersom GCs inte längre innehåller partitionen kan du värdplacera om den. När du byter värd bör du tänka på platsen och replikeringsstrukturen i din skog. Slutför till exempel värdderingen för en domänkontrollant per plats innan du byter värd för de andra domänkontrollanterna på den platsen.

Det här alternativet kan vara fördelaktigt för en liten organisation som bara har ett fåtal domänkontrollanter för varje domän. Alla GC:er kan återskapas en fredagskväll och vid behov slutföra replikeringen för alla skrivskyddade domänpartitioner före måndag morgon. Men om du behöver återställa en stor domän som omfattar webbplatser över hela världen, kan omvärdering av den skrivskyddade domänpartitionen på alla domänkontrollanter för andra domäner avsevärt påverka åtgärderna och potentiellt kräva nedtid.

Sök efter och ta bort kvardröjande objekt

På de globala katalogserverna för alla andra domäner i skogen kontrollerar du och tar bort de potentiellt kvarstående objekten i den skrivskyddade partitionen för den återställda domänen.

Källan för kvardröjande objektrensning måste vara en domänkontrollant i den återställda domänen. För att vara säker på att källdomänkontrollanten inte har några kvardröjande objekt för några domänpartitioner kan du ta bort den globala katalogen.

Att ta bort kvardröjande objekt är fördelaktigt för större organisationer som inte kan riskera den nedtid som är associerad med att byta värd för domännamngivningskontexten.

Mer information finns i Använda repadmin för att ta bort kvardröjande objekt.

Nästa steg