Dela via

Active Directory Forest Recovery – Identifiera problemet

När symtom på ett skogsomfattande fel visas, till exempel i händelseloggar eller andra övervakningslösningar, kan du arbeta med Microsoft Support för att fastställa orsaken till felet och utvärdera eventuella åtgärder.

Viktig

Den här guiden beskriver inte säkerhetsrekommendationer för hur du återställer en skog som har hackats eller komprometterats. I allmänhet rekommenderar vi att du följer metodtips för att skydda Active Directory-- och Pass-the-Hash-tekniker för att härda miljön. För mer information, se Mitigera Pass-the-Hash-attacker (PtH) och andra tekniker för stöld av autentiseringsuppgifter.

Exempel på skogsomfattande fel

  • Alla domänkontrollanter är logiskt skadade eller fysiskt skadade till en punkt där affärskontinuitet är omöjligt. Till exempel fungerar inte alla affärsprogram som är beroende av AD DS.
  • En obehörig administratör komprometterade Active Directory-miljön.
  • En angripare kör avsiktligt – eller en administratör av misstag – ett skript som sprider skadade data i skogen.
  • En angripare utökar avsiktligt – eller en administratör av misstag – Active Directory-schemat med skadliga eller motstridiga ändringar.
  • Innehållet, eller en säkerhetskopia av en domänkontrollant, har exponerats för en extern part, men läckta autentiseringsuppgifter har inte använts för att ändra AD-data. I det här fallet kanske du inte behöver återställa AD-databasen från säkerhetskopian och installera om alla domänkontrollanter. Du kan behöva återställa alla lösenord för användare, datorer, förtroenden och (g)MSA-konton.
  • En angripare installerade skadlig programvara på domänkontrollanter, och du uppmanades av Microsoft Support att återställa skogen från säkerhetskopian.
  • Ingen av domänkontrollanterna kan replikera med sina replikeringspartner.
  • Det går inte att göra ändringar i AD DS på någon domänkontrollant.
  • Nya domänkontrollanter kan inte installeras i någon domän.

Nästa steg