共用方式為


Active Directory 樹系復原 - 釐清問題

當全樹系失敗的徵兆出現時 (例如在事件記錄檔或其他監視解決方案中),請與 Microsoft 支援服務合作,釐清失敗的原因並評估任何可能的補救措施。

[!MPORTANT] 本指南並未提供如何復原遭到駭客攻擊或入侵的樹系的安全性建議。 一般而言,若要強化環境,建議您遵循保護 Active Directory 的最佳做法和傳遞雜湊防護技術。 如需詳細資訊,請參閱減輕傳遞雜湊 (PtH) 和其他認證竊取技術

全樹系失敗的範例

  • 所有 DC 皆出現邏輯損毀或實際損毀,導致無法實現商務持續性;例如,所有相依於 AD DS 的商務應用程式都無法運作。
  • 惡意系統管理員入侵 Active Directory 環境。
  • 攻擊者刻意 (或系統管理員不小心) 執行指令碼,導致資料損毀分散至全樹系。
  • 攻擊者刻意 (或系統管理員不小心) 使用惡意或衝突的變更來擴充 Active Directory 結構描述。
  • 內容或網域控制站的備份已公開給外部合作方,但洩漏的認證尚未用於修改 AD 資料。 在此情況下,您可能無須從備份還原 AD 資料庫並重新安裝所有 DC。 但必須重設使用者、電腦、信任和 (g)MSA 帳戶的所有密碼。
  • 攻擊者在 DC 上安裝惡意軟體,而 Microsoft 支援服務建議您從備份復原樹系。
  • DC 無法與其複寫協力電腦一起複寫。
  • 無法在任何網域控制站上對 AD DS 進行變更。
  • 無法在任何網域中安裝新的 DC。

下一步