Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Återställning av en hel Active Directory-skog innebär att minst en domänkontrollant (DC) återställs i varje domän från en tillgänglig säkerhetskopia. När skogen återhämtas, återgår varje domän i skogen till sitt tillstånd vid den senaste betrodda säkerhetskopieringen.
Vad kommer att gå förlorat
Återställningsåtgärden resulterar i att minst följande Active Directory-data går förlorade:
- Alla objekt (till exempel användare och datorer) som lades till efter den senaste betrodda säkerhetskopieringen
- Alla uppdateringar som har gjorts för befintliga objekt sedan den senaste betrodda säkerhetskopieringen
- Alla ändringar som gjorts i antingen konfigurationspartitionen eller schemapartitionen i AD DS (till exempel schemaändringar) sedan den senaste betrodda säkerhetskopieringen
Lösenordskunskap
- Du måste känna till lösenordet för ett domänadministratörskonto för varje domän i skogen. Det här är helst lösenordet för det inbyggda administratörskontot.
- Du måste också känna till DSRM-lösenordet för att återskapa systemtillståndet för en domänkontrollant.
Det är en bra idé att arkivera administratörskontot och DSRM-lösenordshistoriken på en säker plats så länge säkerhetskopiorna är giltiga. Det vill: inom livslängdsperioden för tombstone eller inom den borttagna objektlivslängden om Active Directory Recycle Bin är aktiverat.
Du kan också synkronisera DSRM-lösenordet med ett domänanvändarkonto för att göra det enklare att komma ihåg. Mer information finns i denna artikel. Synkronisering av DSRM-kontot måste göras före skogsåterställningen som en del av förberedelserna.
Note
Administratörskontot är medlem i den inbyggda gruppen Administratörer som standard, liksom grupperna Domänadministratörer och Företagsadministratörer. Den här gruppen har fullständig kontroll över alla domänkontrollanter i domänen.
Avgöra vilka säkerhetskopior som ska användas
Säkerhetskopiera regelbundet minst två skrivbara domänkontrollanter för varje domän, så att du har flera sparade kopior att välja mellan. Välj en eller flera domänkontrollanter efter behov och åtgärdshanteraren för PDC-emulatorn för SYSVOL-dataåterställning.
Note
Du kan inte använda en säkerhetskopia av en skrivskyddad domänkontrollant (RODC) för att återställa en skrivbar domänkontrollant. Vi rekommenderar att du återställer domänkontrollanterna genom att använda säkerhetskopior som har tagits några dagar innan felet inträffade. I allmänhet måste du fastställa en kompromiss mellan de återställde datas senaste och säkra egenskaper. Om du väljer en senare säkerhetskopia återställs mer användbara data, men det kan öka risken för att farliga data återinförs i den återställde skogen.
Återställning av säkerhetskopior av systemtillstånd beror på det ursprungliga operativsystemet och servern för säkerhetskopian. Du bör till exempel inte återställa en säkerhetskopia av systemtillståndet till en annan server. I det här fallet kan följande varning visas:
Warning
Den angivna säkerhetskopieringen är av en annan server än den aktuella. Vi rekommenderar inte att du utför en återställning av systemtillståndet med säkerhetskopian till en alternativ server eftersom servern kan bli oanvändbar. Vill du använda den här säkerhetskopian för att återställa den aktuella servern?
Om du behöver återställa Active Directory till annan maskinvara skapar du fullständiga serversäkerhetskopior och planerar att utföra en fullständig serveråterställning.
Important
Återställning av säkerhetskopia av systemtillstånd till en ny installation av Windows Server på ny hårdvara eller samma hårdvara stöds inte. Om Windows Server installeras om på samma maskinvara (rekommenderas) kan du återställa domänkontrollanten i följande ordning:
- Utför en fullständig serveråterställning för att återställa operativsystemet och alla filer och program.
- Utför en systemtillståndsåterställning med hjälp av wbadmin.exe för att markera SYSVOL som auktoritativ.
Mer information finns i Återställa en Windows 7-installation.
Om tidpunkten för felet är okänd undersöker du ytterligare för att identifiera säkerhetskopior som innehåller skogens sista säkra tillstånd.
Den här metoden är mindre önskvärd. Därför rekommenderar vi starkt att du behåller detaljerade loggar om hälsotillståndet för AD DS dagligen så att den ungefärliga feltiden kan identifieras om det uppstår ett skogsomfattande fel. Du bör också behålla en lokal kopia av säkerhetskopior för att möjliggöra snabbare återställning.
Om Active Directory-papperskorgen är aktiverad är säkerhetskopieringens livslängd lika med värdet deletedObjectLifetime eller tombstoneLifetime-värdet , beroende på vilket som är mindre. Mer information finns i Steg-för-steg-guide för Papperskorgen i Active Directory.
Alternativt kan du använda verktyget för att montera Active Directory-databasen Dsamain.exe och ett LDAP-verktyg (Lightweight Directory Access Protocol), såsom Ldp.exe eller Active Directory-användare och -datorer, för att identifiera vilken säkerhetskopia som har det sista säkra tillståndet för skogen. Monteringsverktyget för Active Directory-databasen, som ingår i Windows Server-operativsystem, exponerar Active Directory-data som lagras i säkerhetskopior eller ögonblicksbilder som en LDAP-server. Du kan använda ett LDAP-verktyg för att bläddra i data. Den här metoden har fördelen att du inte behöver starta om någon domänkontrollant i återställningsläget för Katalogtjänster (DSRM) för att undersöka innehållet i säkerhetskopian av AD DS.
För mer information om hur man använder Active Directory-databasens monteringsverktyg, se Steg-för-steg-guiden för Active Directorys databasmonteringsverktyg.
Du kan också använda ntdsutil snapshot kommandot för att skapa ögonblicksbilder av Active Directory-databasen. Genom att schemalägga en uppgift för att regelbundet skapa ögonblicksbilder kan du hämta ytterligare kopior av Active Directory-databasen över tid. Du kan använda dessa kopior för att bättre identifiera när felet inträffade i hela skogen och sedan välja den bästa säkerhetskopian att återställa. Om du vill skapa ögonblicksbilder använder du ntdsutil eller RSAT (Remote Server Administration Tools).
Målservern kan köra vilken version som helst av Windows Server. Mer information om hur du använder kommandot finns i ntdsutil snapshotÖgonblicksbild.
Avgöra vilka domänkontrollanter som ska återställas
Den enkla återställningsprocessen är en viktig faktor när du bestämmer vilken domänkontrollant som ska återställas. Vi rekommenderar att du har en dedikerad domänkontrollant för varje domän, som är den föredragna domänkontrollanten vid återställning. En dedikerad återställnings-DC gör det enklare att planera och köra skogsåterställningen på ett tillförlitligt sätt eftersom du använder samma källkonfiguration som användes för att utföra återställningstester. Du kan skripta återställningen och undvika att hantera olika konfigurationer, till exempel om domänkontrollanten har operationsmästarroller eller om det är en GC- eller DNS-server.
Note
Det rekommenderas inte att du återställer en innehavare av en operativ chefsroll för enkelhetens skull, eftersom du alltid övertar alla roller. Det gäller en SYSVOL-återställning med hjälp av en säkerhetskopia från PDC-emulatorns åtgärdshanterare, eftersom PDC vanligtvis har den bästa kopian av SYSVOL-data.
En bra säkerhetskopia är en säkerhetskopia som kan återställas, som har tagits några dagar före felet och som innehåller så mycket användbara data som möjligt. Välj en domänkontrollant som bäst uppfyller följande kriterier:
En domänkontrollant som kan skrivas. Detta är obligatoriskt.
En domänkontrollant som kör Windows Server 2012 eller senare som en virtuell maskin på en hypervisor som stöder VM-GenerationID. Den här DC:n kan användas som källa för kloning. I allmänhet använder du en domänkontrollant med en bra säkerhetskopia som har det nyaste operativsystemet.
En domänkontrollant som är tillgänglig, antingen fysiskt eller via ett virtuellt nätverk, och som helst är placerad i ett datacenter. På så sätt kan du enkelt isolera det från nätverket under skogsåterställningen.
En domänkontrollant som har en bra fullständig serversäkerhetskopia.
En domänkontrollant som kör DNS-rollen (Domain Name System) och som är värd för zonen skog och domäner.
En domänkontrollant som konfigurerats som en global katalog (GC).
En domänkontrollant som inte är konfigurerad för att använda BitLocker Network Unlock om du använder Windows Deployment Services. Det går inte att använda BitLocker Network Unlock för den första domänkontrollant som du återställer från en säkerhetskopiering under en skogsåterställning. På domänkontrollanter där du har distribuerat Windows Deployment Services (WDS), kan BitLocker Network Unlock som det enda nyckelskyddet inte användas eftersom den första domänkontrollanten skulle kräva att Active Directory och WDS fungerar för att låsa upp. Innan du återställer den första domänkontrollanten är Active Directory ännu inte tillgängligt för WDS, så det kan inte låsas upp.
Om du vill avgöra om en domänkontrollant har konfigurerats för att använda BitLocker Network Unlock kontrollerar du att ett nätverkslåsningscertifikat identifieras i följande registernyckel:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Important
Underhåll säkerhetsprocedurer när du hanterar eller återställer säkerhetskopierade filer som innehåller Active Directory. Den brådska som följer med skogsåterställning kan oavsiktligt leda till att man bortser från bästa praxis för säkerhet.
Identifiera den aktuella skogsstrukturen och DC-funktionerna
Fastställa den aktuella skogsstrukturen genom att identifiera alla domäner i skogen. Skapa en lista över alla domänkontrollanter i varje domän, särskilt de domänkontrollanter som har säkerhetskopior och virtualiserade domänkontrollanter som kan vara en källa för kloning.
En lista över domänkontrollanter för skogsrotdomänen är den viktigaste eftersom du återställer den här domänen först. När du har återställt skogens rotdomän kan du hämta en lista över de andra domänerna, domänkontrollanterna och platserna i skogen med hjälp av Active Directory-snapin-moduler.
För varje domän i skogen identifierar du en enda skrivbar domänkontrollant som har en betrodd säkerhetskopia av Active Directory-databasen för den domänen. Var försiktig när du väljer en säkerhetskopia för att återställa en domänkontrollant. Om dagen och orsaken till felet är kända är den allmänna rekommendationen att identifiera och använda en säker säkerhetskopia som gjordes några dagar före det datumet.
Förbered en tabell som visar funktionerna för varje domänkontrollant i domänen, enligt följande exempel. Detta hjälper dig att återgå till skogsstrukturens konfiguration som föregick felet efter återställningen.
| DC-namn | Operativsystem | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2019 | Schemahanterare, Namnhanterare för domän | Yes | No | Yes | No | No | Yes |
| DC_2 | Windows Server 2019 | None | Yes | No | Yes | Yes | No | Yes |
| DC_3 | Windows Server 2022 | Infrastrukturhanterare | No | No | No | Yes | Yes | Yes |
| DC_4 | Windows Server 2022 | PDC-emulator, RID-mästare | Yes | No | No | No | No | Yes |
| DC_5 | Windows Server 2022 | None | No | No | Yes | Yes | No | Yes |
| RODC_1 | Windows Server 2016 | None | Yes | Yes | Yes | Yes | Yes | Yes |
| RODC_2 | Windows Server 2022 | None | Yes | Yes | No | Yes | Yes | Yes |
I det här exemplet ovan finns det fyra säkerhetskopieringskandidater: DC_1, DC_2, DC_4 och DC_5. Av dessa säkerhetskopieringskandidater återställer du bara en. Den rekommenderade domänkontrollanten är DC_5 av följande skäl:
- Det är en bra källa för virtualiserad DC-kloning eftersom den kör Windows Server 2022 som en virtuell domänkontrollant och kör programvara som tillåts klonas (eller som kan tas bort om den inte kan klonas). Efter återställningen kommer PDC-emulatorrollen att tillskrivas den servern, och den kan sedan läggas till i gruppen Klonbara domänkontrollanter för domänen.
- Den kör en fullständig installation av Windows Server 2022. En domänkontrollant som kör en Server Core-installation kan vara mindre praktiskt som mål för återställning. Detta kanske inte är en faktor om du är bra på att hantera Windows-servrar med hjälp av kommandoradsgränssnittet.
- Det är en DNS-server.
Note
Eftersom DC_5 inte är en global katalogserver har den en liten fördel eftersom den globala katalogen inte behöver tas bort efter återställningen. Du skulle dock behöva starta återställningen med standardadministratörskontot med Rid 500 eller använda registervärdet ignoregcfailures:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
Andra faktorer är vanligtvis viktigare än det extra steget för att ta bort GC-rollen. DC_3 eller DC_4 är också bra val eftersom de funktionsmästarroller de har inte är ett problem. Överväg alternativen och välj beroende på din faktiska återställningssituation. Normalt kan du planera och testa genom att återställa säkerhetskopieringen av PDC Operations Master, men om den här säkerhetskopieringen inte fungerar, till exempel eftersom den är från fel tidpunkt, väljer du en säkerhetskopia från en GC för samma domän.
Återställa skogen i isolering
Det bästa scenariot är att stänga av alla skrivbara domänkontrollanter innan den första återställda domänkontrollanten tas tillbaka i drift. Detta säkerställer att farliga data inte replikeras tillbaka till den återställda skogen. Det är särskilt viktigt att stänga ner alla innehavare av drifthanteringsmasterroller.
Note
Det kan finnas fall där du flyttar den första domänkontrollanten som du planerar att återställa för varje domän till ett isolerat nätverk samtidigt som andra domänkontrollanter kan vara online för att minimera systemavbrott. Om du till exempel återställer från en misslyckad schemauppgradering kan du välja att hålla domänkontrollanter igång i produktionsnätverket medan du utför återställningssteg isolerat.
Virtualiserade domänkontrollanter
Om du kör virtualiserade domänkontrollanter kan du flytta dem till ett virtuellt nätverk som är isolerat från produktionsnätverket där du kommer att genomföra återställningen. Att flytta virtualiserade domänkontrollanter till ett separat nätverk ger två fördelar:
- Återställda domänkontrollanter hindras från att återskapa det problem som orsakade skogsåterställningen.
- Virtualiserad DC-kloning kan utföras i det isolerade nätverket så att ett kritiskt antal domänkontrollanter kan köras och testas innan de tas tillbaka till produktionsnätverket.
Fysiska domänkontrollanter
Om du kör domänkontrollanter på fysisk maskinvara kopplar du från nätverkskabeln för den första domänkontrollanten som du planerar att återställa i skogens rotdomän. Om möjligt kan du också koppla från nätverkskablarna för alla andra domänkontrollanter. Detta förhindrar domänkontrollanter att replikera om de startas av misstag under återställningsprocessen för skogen.
Stora skogar
I en stor skog som är spridd över flera platser kan det vara svårt att garantera att alla skrivbara domänkontrollanter stängs av. Av den anledningen är återställningsstegen, till exempel återställning av datorkontot och krbtgt-kontot, utöver rensning av metadata, utformade för att säkerställa att de återställda skrivbara domänkontrollanterna inte replikeras med farliga skrivbara domänkontrollanter (om vissa fortfarande är online i skogen).
Men bara genom att ta skrivbara DC:er offline kan du garantera att replikeringen inte sker. När det är möjligt bör du därför distribuera fjärrhanteringsteknik som kan hjälpa dig att stänga av och fysiskt isolera skrivbara domänkontrollanter under skogsåterställning.
RODCs
RODC:er kan fortsätta att fungera medan skrivbara domänkontrollanter är offline. Ingen annan domänkontrollant replikerar direkt några ändringar från någon RODC, särskilt inga ändringar i schema- eller konfigurationscontainern, så de utgör inte samma risk som skrivbara domänkontrollanter under återställningen. När alla skrivbara domänkontrollanter har återställts och är online bör du återskapa alla RODC:er.
RODC:er fortsätter att tillåta åtkomst till lokala resurser som cachelagras på respektive plats medan återställningsåtgärderna pågår parallellt. Lokala resurser som inte cachelagras på RODC kommer att få autentiseringsförfrågningar vidarebefordrade till en skrivbar domänkontrollant. Dessa begäranden misslyckas eftersom skrivbara domänkontrollanter är offline. Vissa åtgärder, till exempel lösenordsändringar, fungerar inte heller förrän du återställer skrivbara domänkontrollanter.
Om du använder en nav-och-eker-nätverksarkitektur kan du först koncentrera dig på att återställa skrivbara domänkontrollanter på hubbplatserna. Senare kan du återskapa RODC:erna på fjärrplatser.
Komprometterad AD-databas
Om AD-databasen för en skrivbar domänkontrollant komprometteras bör en ny KDS-rotnyckel skapas efter återställningen och alla grupphanterade tjänstkonton (gMSA) ska återskapas beroende på det komprometterande scenariot. Informationen beskrivs här: Så här återställer du från en Golden gMSA-attack.
Nästa steg
- AD Forest Recovery – Förutsättningar
- AD Forest Recovery – Utforma en anpassad skogsåterställningsplan
- AD Forest Recovery – Steg för att återställa skogen
- AD Forest Recovery – Identifiera problemet
- AD Forest Recovery – Avgör hur du ska återställa
- AD Forest Recovery – Utför inledande återställning
- AD Forest Recovery – Förfaranden
- AD Forest Recovery – Vanliga frågor och svar
- AD Forest Recovery – Återställa en enskild domän i en skog med flera domäner
- AD Forest Recovery – Återdistribuera återstående domänkontrollanter
- AD Forest Recovery – Virtualisering
- AD Forest Recovery – Upprensning