Återställa en virtuell domänkontrollant

Du måste regelbundet säkerhetskopiera systemtillståndet för att kunna återställa en fysisk eller virtuell domänkontrollant (DC) under ett haveriberedskapsscenario. Systemtillståndet omfattar Active Directory-data och loggfiler, registret, systemvolymen och olika element i operativsystemet. Active Directory-kompatibla säkerhetskopieringsprogram säkerställer konsekventa lokala och replikerade Active Directory-databaser efter en återställningsprocess, inklusive att meddela replikeringspartner om återställningar av anrops-ID. Virtuella värdmiljöer och avbildningsprogram för diskar eller operativsystem gör det möjligt för administratörer att kringgå standardkontroller och valideringar som sker vid återställning av DC-systemtillstånd.

Om din virtuella DC-dator (VM) misslyckas och du inte ser tecken på en återställning av uppdateringssekvensnummer (USN) finns det två sätt att återställa den virtuella datorn:

• Om ditt system har en giltig säkerhetskopia av systemtillståndsdata från före felet kan du återställa det med hjälp av det Active Directory-kompatibla säkerhetskopieringsverktyget som du använde för att skapa säkerhetskopian inom tombstone-livslängden. Standardlivslängden för gravstenen är 180 dagar. Du bör säkerhetskopiera dina domänkontrollanter regelbundet och minst var 90:e dag. Mer information om hur du fastställer livslängden för gravstenar finns i Fastställa livslängden för gravstenen för skogen.

• Om du har en fungerande kopia av den virtuella hårddiskfilen (VHD) men ingen säkerhetskopia av systemtillståndet kan du ta bort den befintliga virtuella datorn och återställa den med hjälp av en tidigare kopia av den virtuella hårddisken. Se till att starta den virtuella datorn i DSRM och konfigurera sedan registeregenskapen enligt beskrivningen i Återställa en säkerhetskopia av systemtillståndet. Efter det, starta om DC i normalt läge.

Bestäm det bästa sättet att säkerhetskopiera din DC

Det finns flera sätt att säkerhetskopiera domänkontrollanten, men vilket sätt som fungerar bäst för distributionen beror på flera faktorer.

• Om du inte har viktiga data på domänkontrollanten eller inte har en säkerhetskopia som gjordes innan domänkontrollanten kraschade:

  • Ta bort AD DS-rollen med tvång från domänkontrollanten.

  • Ta bort den misslyckade domänkontrollantens datorkonto.

  • Om det behövs installerar du AD DS-rollen på den ersättningsserver som blir nästa domänkontrollant.

• Om du har en säkerhetskopia av systemtillståndet återställer du domänkontrollanten genom att följa anvisningarna i Återställa en säkerhetskopia av systemtillståndet.

• Om du har en tidigare version av domänkontrollanten på en VHD-fil följer du anvisningarna i Återställa den virtuella domänkontrollanten med en VHD-fil.

  • Om den tidigare versionen kör Windows Server 2012 på en Hyper-V som stöder VM-GenerationID parametern distribuerar du den virtuella hårddisken mot en ny virtuell dator och startar sedan om den virtuella datorn i normalt läge.

  • Om den tidigare versionen kör en annan version av Windows Server, har du redan startat den i normalt läge?

    • Om nej återställer du domänkontrollanten genom att starta den i DSRM, ställa in databasen som återställts från registervärdet för säkerhetskopiering till 1 och sedan starta om den i normalt läge.

    • Om ja, koppla bort den virtuella domänkontrollanten från nätverket, återställ och spara alla nödvändiga unika data på en annan kopia av den virtuella datorn och använd sedan inte den ursprungliga domänkontrollanten i nätverket igen. Ta också bort dess AD DS-roll från den ursprungliga domänkontrollanten eller installera om operativsystemet och installera sedan rollen i den nya versionen av domänkontrollanten.

Om du försöker återställa en skrivskyddad domänkontrollant:

• Om det finns en säkerhetskopia av systemtillståndsdata från innan den ursprungliga domänkontrollanten misslyckades använder du den för att återställa domänkontrollanten.

• Om du inte har en säkerhetskopia av systemtillståndet men du har en VHD-fil för en tidigare version av domänkontrollanten tar du bort den misslyckade domänkontrollanten och skapar och startar sedan en ny virtuell dator med hjälp av säkerhetskopian från VHD-filen.

• Om du inte har någon av dessa säkerhetskopior tar du bort AD DS-rollen från domänkontrollanten genom att köra det här kommandot:

  dcpromo /forceremoval
  

  När du har kört kommandot installerar du AD DS-rollen på ersättningsservern för att göra den till en RODC.

Återställa en säkerhetskopia av systemtillståndet

Om det finns en giltig säkerhetskopia av systemtillståndet för den virtuella DC-datorn kan du återställa säkerhetskopian på ett säkert sätt genom att följa återställningsproceduren för säkerhetskopieringsverktyget som du använde för att säkerhetskopiera VHD-filen.

Återställa säkerhetskopian av systemtillståndet för den virtuella domänkontrollanten

Så här återställer du säkerhetskopian av systemtillståndsdata för den virtuella domänkontrollanten:

1. Starta domänkontrollantens virtuella dator och tryck sedan på F5-tangenten för att få åtkomst till Windows Boot Manager.

2. Om du uppmanas att ange autentiseringsuppgifter för anslutningen följer du dessa steg:

   • Välj omedelbart knappen Pausa på den virtuella datorn för att pausa processen.

   • Ange dina autentiseringsuppgifter för anslutningen.

   • Välj knappen Spela upp på den virtuella datorn.

   • Välj inuti fönstret för den virtuella datorn och tryck på F5-tangenten .

   Om Windows Boot Manager inte öppnas och domänkontrollanten börjar starta i normalt läge stänger du av den virtuella datorn för att pausa processen. Upprepa det här steget så många gånger som behövs tills du kan komma åt Windows Boot Manager. Du kan inte komma åt DSRM från Windows Error Recovery-menyn. Stäng därför av den virtuella datorn och försök igen om menyn Windows Error Recovery visas.

3. I Windows Boot Manager trycker du på F8-tangenten för att komma åt avancerade startalternativ.

4. Under Avancerade startalternativ väljer du Återställningsläge för katalogtjänster och trycker sedan på Retur för att starta domänkontrollanten i DSRM.

5. Använd lämplig återställningsmetod för det verktyg som du använde för att skapa säkerhetskopian av systemtillståndet. Om du använde Windows Server Backup följer du anvisningarna i Utföra en icke-auktoritativ återställning av AD DS.

Återställa den virtuella domänkontrollanten med en VHD-fil

Om du inte har en säkerhetskopia av systemtillståndsdata som föregår VM-felet kan du använda VHD-filen för att återställa en domänkontrollant som körs på en virtuell dator. Se till att du skapar en kopia av VHD-filen innan du börjar. På så sätt kan du försöka igen med den kopierade virtuella hårddisken om du stöter på ett problem under proceduren eller missar ett steg.

Så här återställer du en virtuell domänkontrollant med en VHD-fil:

1. Använd föregående virtuella hårddisk för att starta den virtuella domänkontrollanten i DSRM.

   • Starta inte domänkontrollanten i normalt läge. Om du missar skärmen Windows Boot Manager och domänkontrollanten börjar starta i normalt läge stänger du av den virtuella datorn för att förhindra att den startas.

2. Öppna Registereditorn genom att välja Start och sedan ange regedit.exe och välja Registereditorn.

   • Om dialogrutan Kontroll av användarkonto visas bekräftar du att den visade åtgärden är som förväntat och väljer sedan Ja.

   • I Registereditorn expanderar du sökvägen HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

   • Leta efter ett värde med namnet DSA Previous Restore Count. Om värdet finns antecknar du inställningen. Annars är inställningsvärdet standard (0). Om inget värde visas ska du inte ange värdet manuellt.

3. Högerklicka på nyckeln Parametrar, välj Nytt och välj sedan DWORD-värde (32-bitars).

4. Ange det nya namnet Databas återställd från säkerhetskopia och tryck sedan på Enter.

5. Dubbelklicka på det värde du just skapade för att öppna dialogrutan Redigera DWORD-värde (32-bitars), hitta sedan fältet Värdedata och ange 1.

6. Starta om domänkontrollanten i normalt läge.

7. När domänkontrollanten startas om öppnar du Loggboken genom att högerklicka på Start och sedan välja Loggboken.

8. Expandera Program- och tjänstloggar och välj sedan loggen Katalogtjänster . Se till att händelserna visas i informationsfönstret.

9. Högerklicka på Directory Services-loggen och välj sedan Sök.

10. I fältet Hitta vad anger du 1109 och väljer sedan Sök nästa.

11. Du bör se minst en post för händelse-ID 1109. Om du inte ser den här posten går du vidare till nästa steg. Annars dubbelklickar du på posten och granskar texten. Bekräfta att texten visar att uppdateringen har gjorts till InvocationID, som du ser i följande exempelutdata:

    Active Directory has been restored from backup media, or has been configured to host an application partition.
    The invocationID attribute for this directory server has been changed.
    The highest update sequence number at the time the backup was created is <time>
    
    InvocationID attribute (old value):<Previous InvocationID value>
    InvocationID attribute (new value):<New InvocationID value>
    Update sequence number:<USN>
    
    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.
    

12. Stäng Loggboken.

13. Använd Registereditorn för att kontrollera att värdet för inställningen för föregående återställningsantal för DSA är lika med det tidigare värdet plus ett. Om rätt värde inte finns där och du inte hittar någon post för händelse-ID 1109 i Loggboken kontrollerar du att domänkontrollantens servicepaket är aktuella.

    Note

    Du kan inte prova den här proceduren igen på samma virtuella hårddisk. Du kan försöka igen med en kopia av den virtuella hårddisken eller en annan virtuell hårddisk som inte har startats i normalt läge genom att starta om från steg 1.

14. Stäng Registereditorn.

Ytterligare innehåll

Mer information om virtualiserade domänkontrollanter finns i Virtualisera domänkontrollanter med Hyper-V.