Active Directory Forest Recovery – Utför den första återställningen

Det här avsnittet innehåller följande steg:

• Återställ den första skrivbara domänkontrollanten i varje domän
• Återanslut varje återställd skrivbar domänkontrollant till nätverket
• Lägg till den globala katalogen i en domänkontrollant i skogsrotdomänen

Återställa den första skrivbara domänkontrollanten i varje domän

Börja med en skrivbar domänkontrollant i skogets rotdomän och slutför stegen i det här avsnittet för att återställa den första domänkontrollanten. Skogsrotsdomänen är viktig eftersom den lagrar grupperna Schemaadministratörer och Företagsadministratörer. Det hjälper också till att upprätthålla förtroendehierarkin i skogen. Dessutom innehåller skogsrotdomänen vanligtvis DNS-rotservern för skogens DNS-namnområde. Den Active Directory-integrerade DNS-zonen för den domänen innehåller därför aliasresursposterna (CNAME) för alla andra domänkontrollanter i skogen (som krävs för replikering) och den globala katalogens DNS-resursposter.

När du har återställt skogsrotsdomänen upprepar du samma steg för att återställa de återstående domänerna i skogen. Du kan återställa fler än en domän samtidigt. Återställ dock alltid en överordnad domän innan du återställer ett underordnat objekt för att förhindra att förtroendehierarkin eller DNS-namnmatchningen bryts.

För varje domän som du återställer återställer du en skrivbar domänkontrollant från säkerhetskopian. Det här är den viktigaste delen av återställningen eftersom domänkontrollanten måste ha en databas som inte har påverkats av det som gjorde att skogen misslyckades. Det är viktigt att ha en betrodd säkerhetskopia som testas noggrant innan den introduceras i produktionsmiljön.

Utför sedan följande steg. Procedurer för att utföra vissa steg finns i AD Forest Recovery – Procedurer.

1. Om du planerar att återställa en fysisk server, kontrollera att målserverns DC-nätverkskabel inte är ansluten till produktionsnätverket. För en virtuell dator kan du ta bort nätverkskortet eller använda ett nätverkskort som är anslutet till ett annat nätverk där du kan testa återställningsprocessen när du är isolerad från produktionsnätverket.

2. Eftersom detta är den första skrivbara domänkontrollanten i domänen måste du utföra en icke-auktoritativ återställning av AD DS och en auktoritativ återställning av SYSVOL. Återställningsåtgärden måste slutföras med hjälp av ett Active Directory-medvetet program för säkerhetskopiering och återställning, till exempel Windows Server Backup (rekommenderas). Om Hyper-Visor generations-ID stöds på värden kan du även göra den icke-autentativa återställningen med hjälp av en ögonblicksbild av den virtuella datorn.

   • En auktoritativ återställning av SYSVOL krävs på den första återställda domänkontrollanten, eftersom replikeringen av SYSVOL-mappen måste startas om med de nya instanserna när du har återställt från en katastrof. Alla efterföljande domänkontrollanter som läggs till i domänen måste synkronisera om sin SYSVOL-mapp med en kopia av mappen som har valts som auktoritativ.

     Varning

     Utför endast en auktoritativ (eller primär) återställning av SYSVOL för den första domänkontrollanten som ska återställas i rotdomänen i skogen. Felaktigt utförda primära återställningsåtgärder för SYSVOL på andra domänkontrollanter leder till replikeringskonflikter med SYSVOL-data. Det finns två alternativ som utför en icke-autentativ återställning av AD DS och en auktoritativ återställning av SYSVOL:

   • Utför en fullständig serveråterställning och framtvinga sedan en auktoritativ synkronisering av SYSVOL. Detaljerade procedurer finns under Utför en fullständig serveråterställning och Utför en auktoritativ synkronisering av DFSR-replikerade SYSVOL.

   • Utför en fullständig serveråterställning följt av en återställning av systemtillstånd. Det här alternativet kräver att du skapar båda typerna av säkerhetskopior i förväg: en fullständig serversäkerhetskopia och en säkerhetskopia av systemtillståndet. Detaljerade procedurer finns i Utföra en fullständig serveråterställning och Utföra en icke-autentativ återställning av Active Directory Domain Services.

3. När du har återställt och startat om den skrivbara domänkontrollanten kontrollerar du att problemet inte påverkade data på domänkontrollanten. Om DC-data är skadade upprepar du steg 2 med en annan säkerhetskopia.

   • Om den återställda domänkontrollanten är värd för en åtgärdshuvudroll kan du behöva lägga till följande registerpost för att undvika att AD DS inte är tillgängligt förrän replikeringen av en skrivbar katalogpartition har slutförts:

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     Skapa posten med datatypen REG_DWORD och värdet 0. När skogen har återställts helt kan du återställa värdet för den här posten till 1, som kräver en domänkontrollant som startar om och innehåller roller för driftshanterare för att ha en lyckad inkommande och utgående AD DS-replikering med sina kända replikpartners innan den annonserar sig som domänkontrollant och börjar tillhandahålla tjänster till klienter. Mer information om de inledande synkroniseringskraven finns i Active Directory FSMO-roller.

4. Fortsätt till nästa steg först när du har återställt och verifierat data och innan du ansluter den här datorn till produktionsnätverket.

5. Om du misstänker att det skogsomfattande felet var relaterat till nätverksintrång eller skadlig attack återställer du kontolösenorden för alla administrativa konton, inklusive medlemmar i företagsadministratörer, domänadministratörer, schemaadministratörer, serveroperatörer, kontooperatörsgrupper och så vidare. Den fullständiga proceduren för lösenordsåterställning av krbtgt-kontot behövs också.. Återställningen av administratörskontolösenord bör slutföras innan ytterligare domänkontrollanter installeras under nästa fas av skogsåterställningen.

   I det här fallet bör du också arbeta med att ersätta alla GMSA-lösenord, eftersom om ett administrativt konto övertas, kan angriparen ha hämtat information som möjliggör autentisering som GMSA. Mer information finns i artikeln om den gyllene GMSA-attacken.

6. Om du misstänker att användarkonton har komprometterats måste du också planera för en återställning av användarlösenord för alla användare i domänen.

7. På den första återställda domänkontrollanten i skogrot-domänen tar du över alla domänomfattande och skogsomfattande driftmästarroller. Företagsadministratörer och autentiseringsuppgifter för schemaadministratörer krävs för att ta över huvudrollerna för skogsomfattande åtgärder efter behov.

   I varje underordnad domän övertar du operationsmasterroller för domänomfattande funktioner vid behov. Även om du kanske behåller driftens huvudroller på den återställde domänkontrollanten endast tillfälligt, säkerställer borttagningen av dessa roller vilka domänkontrollanter som är värdar för dem vid den här tidpunkten i skogsåterställningsprocessen. Som en del av processen efter återställningen kan du omdistribuera åtgärdshanteringsrollerna efter behov. Mer information om tilldelning av operationsmästarroll finns i Att ta över en operationsmästarroll. Rekommendationer om var du kan placera driftsmästarroller finns i Vad är driftsmästare?. Se även FSMO-placering (Flexible Single-Master Operation) och optimering på AD DCs.

8. Rensa metadata för alla andra skrivbara domänkontrollanter i skogsrotdomänen som du inte återställer från säkerhetskopia (alla skrivbara domänkontrollanter i domänen förutom den här första domänkontrollanten). Om du använder den version av Active Directory-användare och datorer eller Active Directory-platser och -tjänster som ingår i Windows Server 2012 eller senare eller RSAT för Windows 10 eller senare utförs rensning av metadata automatiskt när du tar bort ett DC-objekt. Dessutom tas även serverobjektet och datorobjektet för den borttagna domänkontrollanten bort automatiskt. Mer information finns i Rensa metadata för borttagna skrivbara domänkontrollanteroch Rensa metadata för AD DS-servrar.

   Genom att rensa metadata förhindras eventuell duplicering av NTDS-inställningsobjekt om AD DS är installerat på en domänkontrollant på en annan plats. Detta kan potentiellt också spara Knowledge Consistency Checker (KCC) processen att skapa replikeringslänkar när domänkontrollanterna kanske inte själva är tillgängliga. Dessutom, som en del av rensningen av metadata, kommer DNS-resursposter för alla andra domänkontrollanter i domänen att tas bort från DNS.

   Tills metadata för alla andra domänkontrollanter i domänen har tagits bort, kommer den här domänkontrollanten, om den var en RID-huvudserver före återställningen, inte att anta RID-huvudrollen och därför inte kunna utfärda nya RID:er. Du kan se händelse-ID 16650 i systemloggen i Händelsevisaren som indikerar detta fel, men du bör se händelse-ID 16648, vilket indikerar en framgång, en stund efter att du har rensat metadata.

9. Om du har DNS-zoner som lagras i AD DS kontrollerar du att den lokala DNS Server-tjänsten är installerad och körs på den domänkontrollant som du har återställt. Om den här domänkontrollanten inte var en DNS-server före skogsfelet måste du installera och konfigurera DNS-serverrollen på domänkontrollanten eller så måste en DNS-server vara tillgänglig i återställningsmiljön.

   I skogens rotdomän konfigurerar du den återställde domänkontrollanten med sin egen IP-adress som önskad DNS-server. Du kan konfigurera den här inställningen i TCP/IP-egenskaperna för lan-kortet (local area network). Det här är den första DNS-servern i skogen. För mer information, se rekommendationer för domännamnssystem (DNS) klientinställningar.

   I varje underordnad domän konfigurerar du den återställde domänkontrollanten med IP-adressen för den första DNS-servern i skogens rotdomän som önskad DNS-server. Du kan konfigurera den här inställningen i TCP/IP-egenskaperna för LAN-adaptern. För mer information, se rekommendationer för klientinställningar i domännamnssystemet (DNS) .

   I _msdcs-zonen och domän-DNS-zonerna, ta bort NS-poster för domänkontrollanter som inte längre finns efter rensning av metadata. Kontrollera om SRV-posterna för de rensade domänkontrollanterna har tagits bort. För att påskynda borttagningen av DNS SRV-posterna, kör:

   nltest.exe /dsderegdns:server.domain.tld

10. Öka värdet för den tillgängliga RID-poolen med 100 000. Mer information finns i Höja värdet för tillgängliga RID-pooler. Om du har anledning att tro att det inte räcker med att höja RID-poolen med 100 000 för din specifika situation bör du, med hänsyn till den genomsnittliga RID-förbrukningen i din miljö, fastställa den lägsta ökning som fortfarande är säker att använda. RID:er är en begränsad resurs som inte ska användas i onödan.

    Om nya säkerhetsobjekt skapades i domänen efter tidpunkten för säkerhetskopieringen som du använder för återställningen kan dessa säkerhetsobjekt ha åtkomstbehörighet för vissa objekt. Dessa säkerhetsobjekt finns inte längre efter återställningen eftersom återställningen har återställts till säkerhetskopian. deras åtkomsträttigheter kan dock fortfarande finnas. Om den tillgängliga RID-poolen inte aktiveras efter en återställning kan nya användarobjekt som skapas efter skogsåterställningen få identiska säkerhets-ID:n (SID: er) och ha åtkomst till dessa objekt, vilket inte ursprungligen var avsett.

    Det kan till exempel ha funnits en ny medarbetare. Användarobjektet finns inte längre efter återställningsåtgärden eftersom det skapades efter säkerhetskopieringen som användes för att återställa domänen. Åtkomsträttigheter som har tilldelats användarobjektet kan dock sparas efter återställningen. Om SID för det användarobjektet omtilldelas till ett nytt objekt efter återställningsåtgärden, skulle det nya objektet få dessa åtkomsträttigheter.

11. Ogiltigförklara den aktuella RID-poolen. Den aktuella RID-poolen är ogiltig efter en återställning av systemtillståndet. Men om en återställning av systemtillstånd inte utfördes måste den aktuella RID-poolen ogiltigförklaras för att förhindra att den återställda domänkontrollanten utfärdar RID:er från RID-poolen som tilldelades när säkerhetskopieringen skapades. Mer information finns i Ogiltigförklara den aktuella RID-poolen.

    Anmärkning

    Första gången du försöker skapa ett objekt med ett SID när du har ogiltigförklarat RID-poolen får du ett fel. Försöket att skapa ett objekt utlöser en begäran om en ny RID-pool. Återförsöket av åtgärden lyckas eftersom den nya RID-poolen kommer att allokeras.

12. Återställ datorkontots lösenord för den här domänkontrollanten två gånger. Mer information finns i Återställa lösenordet för datorkontot för domänkontrollanten.

13. Återställ krbtgt-lösenordet två gånger. Mer information finns i Återställa krbtgt-lösenordet. Eftersom krbtgt-lösenordshistoriken är två lösenord återställer du lösenord två gånger för att ta bort det ursprungliga lösenordet (prefailure) från lösenordshistoriken.

    Anmärkning

    Om skogsåterställningen är ett svar på en säkerhetsöverträdelse kan du även återställa förtroendelösenorden. Mer information finns i Återställa ett förtroendelösenord på ena sidan av.

14. Om skogen har flera domäner och den återställda domänkontrollanten var en global katalogserver innan felet avmarkerar du kryssrutan Global katalog i egenskaperna för NTDS-inställningar för att ta bort den globala katalogen från domänkontrollanten. Undantaget till den här regeln är vanligt för en skog med bara en domän. I det här fallet krävs det inte att ta bort den globala katalogen. Mer information finns i Ta bort den globala katalogen.

    Genom att återställa en global katalog från en säkerhetskopia som är nyare än de andra säkerhetskopior som används för att återställa domänkontrollanter i andra domäner, riskerar man att introducera kvardröjande objekt. Tänk dig följande exempel. I domän A återställs DC1 från en säkerhetskopia som togs vid tidpunkten för T1. I domän B återställs DC2 från en global katalogsäkerhetskopia som togs vid tidpunkten för T2. Anta att T2 är nyare än T1 och att vissa objekt har skapats mellan T1 och T2. När dessa domänkontrollanter har återställts innehåller DC2, som är en global katalog, nyare data för domän A:s partiella replik än vad domän A själv innehåller. DC2 innehåller i det här fallet kvardröjande objekt eftersom dessa objekt inte finns på DC1.

    Förekomsten av kvardröjande objekt kan leda till problem. E-postmeddelanden kanske till exempel inte levereras till en användare vars användarobjekt har flyttats mellan domäner. När du har återkopplat den inaktuella domänkontrollanten eller den globala katalogservern online igen, visas båda versionerna av användarobjektet i den globala katalogen. Båda objekten har samma e-postadress. Därför kan e-postmeddelanden inte levereras.

    Ett annat problem är att ett användarkonto som inte längre finns fortfarande kan visas i den globala adresslistan.

    Dessutom kan en universell grupp som inte längre finns fortfarande visas i en användares åtkomsttoken.

    Om du återställde en domänkontrollant som fungerade som en global katalog, antingen oavsiktligt eller på grund av att det var den enda säkerhetskopian du litade på, rekommenderar vi att du förhindrar förekomsten av kvardröjande objekt genom att inaktivera den globala katalogen strax efter att återställningen är klar. Om du inaktiverar den globala katalogflaggan förlorar datorn alla sina partiella repliker (partitioner) och förpassar sig till vanlig DC-status.

15. Om du använder gMSA-konton kan du behöva återskapa dem eftersom informationen om lösenordsgenerering kan exponeras för en angripare, se:
    Så här återställer du från en Golden gMSA-attack

    Se AD Forest Recovery – Återställa en enskild domän inom en multidomänskog för steg om hur du ersätter gMSA:erna och säkerställer att de använder säker nyckelmaterial.

16. Konfigurera Windows-tidstjänst. I skogens rotdomän konfigurerar du PDC-emulatorn så att den synkroniserar tid från en extern tidskälla. Mer information finns i Konfigurera Windows-tidstjänsten på PDC-emulatorn i Forest Root Domain.

Återansluta varje återställd skrivbar domänkontrollant till ett gemensamt nätverk

I det här skedet bör du ha en domänkontrollant återställd (och återställningsstegen har blivit utförda) i skogens rotdomän och i var och en av de återstående domänerna. Anslut dessa domänkontrollanter till ett gemensamt nätverk som är isolerat från resten av miljön och slutför följande steg för att verifiera skogens hälsa och replikering.

Anmärkning

När du ansluter de fysiska domänkontrollanterna till ett isolerat nätverk kan du behöva ändra deras IP-adresser. Därför är IP-adresserna för DNS-poster felaktiga. Eftersom en global katalogserver inte är tillgänglig misslyckas säkra dynamiska uppdateringar för DNS. Virtuella domänkontrollanter är mer fördelaktiga i det här fallet eftersom de kan anslutas till ett nytt virtuellt nätverk utan att ändra sina IP-adresser. Det här är en anledning till varför virtuella domänkontrollanter rekommenderas som de första domänkontrollanterna som återställs under skogsåterställningen.

Verifiera skogens replikeringshälsa

Efter valideringen ansluter du domänkontrollanterna till produktionsnätverket och utför stegen för att verifiera skogens replikeringshälsa.

• För att åtgärda namnuppslagning skapar du delegeringsposter för DNS och konfigurerar DNS-vidarebefordran och rottips efter behov.
• Kör repadmin /replsum för att kontrollera replikeringen mellan DCs (domänkontrollanter).
• Om de återställda domänkontrollanterna inte är direkta replikeringspartner blir replikeringen mycket snabbare genom att tillfälliga anslutningsobjekt skapas mellan dem.
• Om du vill verifiera rensning av metadata kör du Repadmin /viewlist \* för en lista över alla domänkontrollanter i skogen. Kör Nltest /DCList:***\<domain\>* för en lista över alla servrar i domänen.
• Om du vill kontrollera domänkontrollantens och DNS-hälsan kör du DCDiag /v för att rapportera fel på alla domänkontrollanter i skogen.

Lägg till den globala katalogen till en domänkontrollant i skogens rotdomän

En global katalog krävs av dessa och andra orsaker:

• Aktivera inloggningar för användare.
• Så här aktiverar du net logon-tjänsten som körs på domänkontrollanterna i varje underordnad domän för att registrera och ta bort poster på DNS-servern i rotdomänen.

Även om det är bra att skogens rot-DC är en global katalog rekommenderar vi vanligtvis att du bestämmer att alla domänkontrollanter ska vara en global katalog.

Anmärkning

En domänkontrollant annonseras inte offentligt som en global katalogserver förrän den har slutfört en fullständig synkronisering av alla katalogpartitioner i skogen. Därför bör domänkontrollanten tvingas replikera med var och en av de återställde domänkontrollanterna i skogen.

Övervaka händelseloggen för Katalogtjänsten i Händelsevisaren efter händelse-ID 1119, som anger att den här domänkontrollanten är en global katalogserver, eller kontrollera att följande registernyckel har värdet 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

För mer information, se Lägg till den globala katalogen.

I det här skedet bör du ha en stabil skog med en domänkontrollant för varje domän och en global katalog i skogen. Du bör göra en ny säkerhetskopia av var och en av de domänkontrollanter som du just har återställt. Nu kan du börja distribuera om andra domänkontrollanter i skogen genom att installera AD DS och konfigurera ytterligare Global Catalog-servrar.

Nästa steg

• AD Forest Recovery – Förutsättningar
• AD Forest Recovery – Utforma en anpassad skogsåterställningsplan
• AD Forest Recovery – Steg för att återställa skogen
• AD Forest Recovery – Identifiera problemet
• AD Forest Recovery – Avgör hur du ska återställa
• AD Forest Recovery – Utför inledande återställning
• AD Forest Recovery – Förfaranden
• AD Forest Recovery – Vanliga frågor och svar
• AD Forest Recovery – Återställa en enskild domän i en skog med flera domäner
• AD Forest Recovery – Återdistribuera återstående domänkontrollanter
• AD Forest Recovery – Virtualisering
• AD Forest Recovery – Upprensning