Active Directory 樹系復原 - 決定如何復原樹系
復原整個 Active Directory 樹系的程序涉及從可用備份在每個網域中還原至少一個網域控制站 (DC)。 復原樹系的程序會將樹系中的每個網域還原到其在最近一次受信任備份建立時的狀態。
將會遺失的內容
還原作業會導致至少遺失下列 Active Directory 資料:
- 在最近一次受信任備份建立後所新增的所有物件 (例如使用者和電腦)
- 自最近一次受信任備份建立以來,對現有物件所做的所有更新
- 自最近一次受信任備份建立以來,對 AD DS 中的組態磁碟分割或結構描述磁碟分割所做的所有變更 (例如結構描述變更)
知道密碼
- 對於樹系中的每個網域,您必須知道網域系統管理員帳戶的密碼。 最好是內建的 Administrator 帳戶的密碼。
- 您也必須知道 DSRM 密碼,才能執行 DC 的系統狀態還原。
只要備份有效,將 Administrator 帳戶和 DSRM 密碼歷程記錄封存到安全的地方是不錯的做法。 也就是說,在標記存留期內,或如果已啟用 Active Directory 資源回收筒,則是在已刪除物件存留期內。
您也可以將 DSRM 密碼與網域使用者帳戶同步,以便更容易記住密碼。 如需詳細資訊,請參閱這篇文章。 作為準備程序的一部分,同步處理 DSRM 帳戶必須在進行樹系復原之前完成。
注意
根據預設,Administrator 帳戶是內建的 Administrators 群組的成員,就像網域系統管理員是企業系統管理員群組的成員一樣。 此群組可完全控制網域中的所有 DC。
決定要使用的備份
請定期地為每個網域備份至少兩個可寫入的 DC,以便有多個備份可供選擇。 視需要選取一或多個 DC 以及 PDC 模擬器操作主機以復原 SYSVOL 資料。
注意
您無法使用唯讀網域控制站 (RODC) 的備份來還原可寫入的 DC。 建議您使用失敗發生前幾天所建立的備份來還原 DC。 一般而言,您必須在還原的資料要比較新還是比較安全之間做出取捨。 選擇較新的備份可還原更有用的資料,但可能會增加將危險的資料重新引進所還原樹系的風險。
還原系統狀態備份的程序取決於備份的原始作業系統和伺服器。 例如,您不應該將系統狀態備份還原至不同的伺服器。 在此情況下,您可能會看到下列警告:
警告
指定備份所屬的伺服器與目前的伺服器不同。 不建議使用此備份將系統狀態復原至其他伺服器,因為伺服器可能會變得無法使用。 您確定要使用此備份來復原目前的伺服器嗎?
如果您需要將 Active Directory 還原到不同硬體,請建立完整伺服器備份,並規劃執行完整伺服器復原。
重要
不支援將系統狀態的備份還原至新硬體或相同硬體上的新 Windows Server 安裝。 如果將 Windows Server 重新安裝到相同硬體上 (建議做法),便可依下列順序還原網域控制站:
- 執行完整伺服器還原,以還原作業系統和所有檔案與應用程式。
- 使用 wbadmin.exe 執行系統狀態還原,以將 SYSVOL 標示為權威。
如需詳細資訊,請參閱如何還原 Windows 7 安裝。
如果失敗時間未知,請進行進一步調查,以識別保有樹系最近一次安全狀態的備份。
這種方法較不理想。 因此,強烈建議您每天保留 AD DS 健康情況狀態的詳細記錄,以便能在發生全樹系失敗時識別失敗的大致發生時間。 您也應該在本機保留備份複本,以加快復原速度。
如果已啟用 Active Directory 資源回收筒,則備份存留期等於 deletedObjectLifetime 值或 tombstoneLifetime 值,以較小者為準。 如需詳細資訊,請參閱 Active Directory 資源回收筒逐步指南。
或者,您也可以使用 Active Directory 資料庫掛接工具 Dsamain.exe
和輕量型目錄存取通訊協定 (LDAP) 工具 (例如 Ldp.exe
或 Active Directory 使用者和電腦),以識別哪個備份具有樹系的最近一次安全狀態。 Windows Server 作業系統所含的 Active Directory 資料庫掛接工具會將儲存在備份或快照中的 Active Directory 資料公開為 LDAP 伺服器。 您便可以使用 LDAP 工具來瀏覽資料。 這種方法的優點是,您不需要為了檢查 AD DS 備份的內容,而以目錄服務還原模式 (DSRM) 重新啟動任何 DC。
如需如何使用 Active Directory 資料庫掛接工具的詳細資訊,請參閱 Active Directory 資料庫掛接工具逐步指南。
您也可以使用 ntdsutil snapshot
命令來建立 Active Directory 資料庫的快照。 藉由排程工作以定期建立快照,您便能不時額外取得 Active Directory 資料庫的複本。 您可以使用這些複本更確實地識別全樹系失敗的發生時間,然後選擇最適合用來還原的備份。 若要建立快照,請使用 ntdsutil
或遠端伺服器管理工具 (RSAT)。
目標 DC 可以執行任何版本的 Windows Server。 如需如何使用 ntdsutil snapshot
命令的詳細資訊,請參閱快照。
決定要還原的網域控制站
在決定要還原的網域控制站時,還原程序的難易度是重要因素。 建議您為每個網域準備一個專用 DC,以作為還原程序的慣用 DC。 專用的還原 DC 可讓您更輕鬆地規劃和執行可靠的樹系復原,因為所使用的來源組態和用來執行還原測試的來源組態相同。 您可以編寫復原指令碼,避免與「DC 是否要保留操作主機角色」或「其為 GC 還是 DNS 伺服器」等其他組態競爭。
注意
不建議為求簡單而還原操作主機角色持有者,因為您一律會拿取所有角色。 會有使用從 PDC 模擬器操作主機所建立的備份來復原 SYSVOL 的情況,因為一般來說,PDC 會有 SYSVOL 資料的最佳複本。
良好的備份是指可以成功還原、在失敗前幾天建立,且包含最多有用資料的備份。 選擇最符合下列準則的 DC:
可寫入的 DC。 這是必要項目。
在支援 VM-GenerationID 的 Hypervisor 上,以虛擬機器身分執行 Windows Server 2012 或更新版本的 DC。 此 DC 可作為複製的來源。 一般來說,所使用的 DC 要有最新 OS 的良好備份。
可實體存取或於虛擬網路上存取的 DC,且最好位於資料中心。 如此一來,您就可以在復原樹系時輕鬆地將其與網路隔開。
具有良好完整伺服器備份的 DC。
執行網域名稱系統 (DNS) 角色並裝載樹系和網域區域的 DC。
設定為通用類別目錄 (GC) 的 DC。
未設定為使用 BitLocker 網路解除鎖定的 DC (如果您使用 Windows 部署服務的話)。 不支援將 BitLocker 網路解除鎖定用於您在復原樹系時從備份還原的第一個 DC。 在已部署 Windows 部署服務 (WDS) 的 DC 上無法以 BitLocker 網路解除鎖定作為唯一的金鑰保護裝置,因為第一個 DC 會要求 Active Directory 和 WDS 有在運作才能解除鎖定。 在還原第一個 DC 之前,Active Directory 還無法供 WDS 使用,因此其無法解除鎖定。
若要確定 DC 是否已設定為使用 BitLocker 網路解除鎖定,請檢查下列登錄機碼中是否有找到網路解除鎖定憑證:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
重要
在處理或還原包含 Active Directory 的備份檔案時,請保有安全程序。 急著復原樹系可能會導致您不小心忽略安全性最佳做法。
識別目前的樹系結構和 DC 功能
藉由識別樹系中的所有網域來確定目前的樹系結構。 列出每個網域中的所有 DC,特別是具有備份的 DC,以及可作為複製來源的虛擬化 DC。
樹系根網域的 DC 清單最為重要,因為您會最先復原此網域。 還原樹系根網域之後,您可以使用 Active Directory 嵌入式管理單元,取得樹系中其他網域、DC 和網站的清單。
針對樹系中的每個網域,識別具有該網域 Active Directory 資料庫受信任備份的單一可寫入 DC。 當您選擇某個備份來還原 DC 時請務必小心。 如果知道失敗的日期和原因,一般的建議是識別和使用在該日期前幾天所建立的安全備份。
準備一份資料表,以顯示網域中每個 DC 的功能,如下列範例所示。 這可協助您在復原後,還原到樹系失敗前的組態。
DC 名稱 | 作業系統 | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
---|---|---|---|---|---|---|---|---|
DC_1 | Windows Server 2019 | 架構主機、網域命名主機 | 是 | 無 | .是 | 無 | 無 | Yes |
DC_2 | Windows Server 2019 | 無 | 是 | 無 | .是 | 是 | 無 | Yes |
DC_3 | Windows Server 2022 | 基礎結構主機 | No | 無 | 無 | .是 | .是 | Yes |
DC_4 | Windows Server 2022 | PDC 模擬器、RID 主機 | 是 | 無 | 無 | 無 | 無 | Yes |
DC_5 | Windows Server 2022 | 無 | No | 無 | .是 | 是 | 無 | Yes |
RODC_1 | Windows Server 2016 | 無 | Yes | .是 | .是 | .是 | .是 | Yes |
RODC_2 | Windows Server 2022 | 無 | Yes | 是 | 無 | .是 | .是 | Yes |
在上面這個範例中有四個候選備份:DC_1、DC_2、DC_4 和 DC_5。 在這些候選備份中,您只會還原其中一個。 建議的 DC 是 DC_5,原因如下:
- 其適合作為虛擬化 DC 的複製來源,因為其會以虛擬 DC 的形式執行 Windows Server 2022,並執行允許複製的軟體 (或者,如果無法複製也能加以移除)。 還原完成後,系統會將 PDC 模擬器角色擷取至該伺服器,且這個角色可新增至網域的「可複製網域控制站」群組。
- 其執行 Windows Server 2022 的完整安裝。 執行 Server Core 安裝的 DC 較不方便作為復原目標。 如果您熟悉如何使用命令列介面管理 Windows Server,這可能就不成問題了。
- 其為 DNS 伺服器。
注意
因為 DC_5 不是通用類別目錄伺服器,因此有一個小優點,那就是不必在還原後移除通用類別目錄。 不過,您必須使用 Rid 500 以預設 Administrator 帳戶開始復原,或使用登錄值 ignoregcfailures 來進行:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
其他因素一般會比移除 GC 角色的額外步驟更為重要。 DC_3 或 DC_4 也是很好的選擇,因為其擁有的操作主機角色不是問題。 請考慮各個選項,並根據您實際的復原情況進行選擇。 您一般可以藉由還原 PDC 操作主機備份來進行規劃和測試,但如果這個備份沒有用 (例如,因為其來自錯誤的時間),請從相同網域的 GC 挑選備份。
在隔離狀態下復原樹系
偏好的案例是先關閉所有可寫入 DC,再讓所還原的第一個 DC 回到生產環境。 這可確保任何危險的資料都不會複寫回復原後的樹系。 尤其重要的是要關閉所有操作主機角色持有者。
注意
在某些情況下,您可能會將您打算為每個網域復原的第一個 DC 移至隔離網路,同時又要允許其他 DC 保持上線狀態,以將系統停機時間降到最低。 例如,如果您要在結構描述升級失敗時進行復原,則可能會選擇一方面讓網域控制站繼續在生產網路上執行,一方面在隔離狀態下執行復原步驟。
虛擬化 DC
如果您執行的是虛擬化 DC,則可以將這些 DC 移至與您要用來執行復原的生產網路隔離的虛擬網路。 將虛擬化 DC 移至不同網路可提供兩個優點:
- 復原後的 DC 不會重新產生導致要復原樹系的問題。
- 可以在隔離的網路上執行虛擬化 DC 複製,以便先執行和測試臨界數量的 DC,再讓這些 DC 回到生產網路。
實體 DC
如果您在實體硬體上執行 DC,請將您打算在樹系根網域中還原的第一個 DC 的網路纜線拔除。 可以的話,也請拔除所有其他 DC 的網路纜線。 這麼做可防止 DC 在樹系復原程序期間意外啟動時開始進行複寫。
大型樹系
在分散於多個位置的大型樹系中,您很難保證所有可寫入 DC 都會關閉。 為此,復原步驟 (例如重設電腦帳戶和 krbtgt 帳戶,以及清除中繼資料) 會設計為確保復原後的可寫入 DC 不會以危險的可寫入 DC 進行複寫 (以免樹系中還有一些留在線上的危險 DC)。
不過,只有讓可寫入 DC 離線,您才能保證複寫不會發生。 因此,請盡量部署遠端管理技術,以協助您在復原樹系時關閉可寫入 DC 並讓其處於實體隔離狀態。
RODC
RODC 可以在可寫入 DC 離線時繼續運作。 其他 DC 都不會直接從任何 RODC 複寫任何變更 (特別是結構描述或組態的容器變更),因此不會在復原期間造成與可寫入 DC 相同的風險。 所有可寫入 DC 均已復原並上線後,請重建所有 RODC。
RODC 會在復原作業也在進行的狀況下,繼續允許存取在 RODC 各自的網站中快取的本機資源。 未快取到 RODC 的本機資源會將驗證要求轉送至可寫入 DC。 這些要求會失敗,因為可寫入 DC 已離線。 在您復原可寫入 DC 前,密碼變更等某些作業也會無法運作。
如果您使用中樞和輪輻網路架構,則可以先專注於復原中樞網站內的可寫入 DC。 之後,您可以在遠端網站中重建 RODC。
遭入侵的 AD 資料庫
如果可寫入 DC 的 AD 資料庫遭到入侵,則應該在復原後建立新的 KDS 根金鑰,並根據入侵情況重新建立所有群組受管理的服務帳戶 (gMSA)。 詳細資料如下所述:如何從黃金 gMSA 攻擊中復原。