Восстановить активный каталог Windows 10 что это такое

Обновлено: 21.11.2024

Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки для исправления или восстановления Active Directory. Он используется для входа в систему в случае сбоя Active Directory или необходимости ее восстановления.

Примечание. Не путайте DSRM с безопасным режимом. Active Directory по-прежнему будет пытаться запуститься в безопасном режиме, и если это не удастся, вы не сможете войти в систему. Вместо этого используйте DSRM.

Вы можете войти в DSRM, используя специальный пароль DSRM, который вы установили при повышении роли контроллера домена. Используйте имя учетной записи для входа .\Администратор (язык может отличаться).

DSRM требуется только в том случае, если Active Directory настолько повреждена, что вы не можете войти в систему, используя свой обычный пароль администратора AD. Используйте DSRM при восстановлении всего домена или леса, когда AD настолько повреждена, что не может нормально загружаться.

Как войти в DSRM

После загрузки DSRM (см. ниже) нажмите «Переключить пользователя» -> «Другой пользователь». При запросе имени учетной записи для входа введите .\Администратор

В первом запросе на вход будет указано имя учетной записи MyDomain\Administrator, где MyDomain — это имя домена. Это неверно и не будет работать. Вы должны нажать «Сменить пользователя» и вручную ввести имя .\Администратор.

Если вы потеряли пароль DSRM

Если вы забыли пароль DSRM для учетной записи .\Administrator, вы можете сбросить его с помощью ntdsutil. См. Сброс пароля DSRM. Для этого требуется работающая Active Directory.

Если Active Directory также не работает, вы можете сбросить пароль DSRM с помощью стандартного инструмента восстановления утерянного пароля для настольного ПК:

<УЛ>
  • Windows Server 2016–2022 (средства восстановления Windows 10/11)
  • Windows Server 2012 R2 (средства восстановления Windows 8.1)
  • Windows Server 2012 (средства восстановления Windows 8)
  • Windows Server 2008 R2 (средства восстановления Windows 7)
  • Если после загрузки DSRM вам необходимо восстановить пароль Active Directory для учетной записи администратора домена, см. статью Изменение утерянного пароля администратора домена.

    Как загрузить DSRM: клавиша F8

    Чтобы вручную загрузиться в режиме восстановления служб каталогов, несколько раз нажмите клавишу F8. Сделайте это сразу после экрана BIOS POST, до появления логотипа Windows. (Время может быть сложным; если появляется логотип Windows, значит, вы ждали слишком долго.) Появится текстовое меню. С помощью клавиш со стрелками вверх/вниз выберите режим восстановления служб каталогов или режим восстановления DS. Затем нажмите клавишу Enter.

    Windows 8 или более поздняя версия: клавиша F8 отключена в настольных версиях Windows 8 или более поздней версии. Если вы хотите загрузиться в безопасном режиме, запустите msconfig и выберите «Минимальный». Затем перезагрузитесь.

    Как загрузить DSRM: msconfig.exe

    Вы можете настроить Windows для загрузки DSRM с помощью msconfig.exe:

    1. Нажмите WIN+R.
    2. В поле «Открыть» введите msconfig и нажмите «ОК». Появится диалоговое окно «Конфигурация системы».
    3. Нажмите на вкладку "Загрузка" (вверху).
    4. В разделе "Параметры загрузки" установите флажок "Безопасная загрузка".
    5. Выберите восстановление Active Directory и нажмите OK.
    6. Перезагрузите компьютер. Нажмите «Пуск» (или нажмите WIN+X -> Завершение работы или выход из системы -> Перезагрузка.

    Это загрузит компьютер в DSRM.

    1. Нажмите WIN+R.
    2. В поле «Открыть» введите msconfig и нажмите «ОК». Появится диалоговое окно «Конфигурация системы».
    3. Нажмите на вкладку "Загрузка" (вверху).
    4. В разделе "Параметры загрузки" снимите флажок "Безопасная загрузка" и нажмите "ОК".
    5. Перезагрузите компьютер. Нажмите «Пуск» (или нажмите WIN+X -> Завершение работы или выход из системы -> Перезагрузка.

    Это загрузит компьютер обратно в обычный режим.

    Как загрузить DSRM: Bcdedit

    В Windows Server 2008 или более поздней версии вы можете запустить bcdedit в административной консоли:

    1. Чтобы загрузить DSRM, введите команду bcdedit /set safeboot dsrepair , затем выполните перезагрузку: shutdown /r /f /t 5.
    2. Когда вы будете готовы загрузиться в обычном режиме, введите bcdedit /deletevalue safeboot, затем выполните перезагрузку: shutdown /r /f /t 5.

    Эту процедуру можно использовать, когда графический интерфейс пользователя (GUI) недоступен (например, в Server Core).

    Для получения дополнительной информации

    U-Move защищает контроллер домена Active Directory, предлагая надежную защиту резервного копирования и восстановления, а также расширенные возможности обновления.

    Восстановление всего леса Active Directory включает либо его восстановление из резервной копии, либо переустановку доменных служб Active Directory (AD DS) на каждом контроллере домена (DC) в лесу. При восстановлении леса каждый домен в лесу восстанавливается до состояния на момент последней надежной резервной копии. Следовательно, операция восстановления приведет к потере как минимум следующих данных Active Directory:

    • Все объекты (например, пользователи и компьютеры), добавленные после последней надежной резервной копии.
    • Все обновления, внесенные в существующие объекты с момента последней надежной резервной копии.
    • Все изменения, которые были внесены в раздел конфигурации или раздел схемы в AD DS (например, изменения схемы) с момента последней надежной резервной копии

    Для каждого домена в лесу должен быть известен пароль учетной записи администратора домена. Желательно, чтобы это был пароль встроенной учетной записи администратора. Вы также должны знать пароль DSRM для выполнения восстановления состояния системы контроллера домена. Как правило, рекомендуется архивировать учетную запись администратора и историю паролей DSRM в безопасном месте до тех пор, пока резервные копии действительны, то есть в течение срока жизни захоронения или в течение срока жизни удаленного объекта, если корзина Active Directory включен. Вы также можете синхронизировать пароль DSRM с учетной записью пользователя домена, чтобы его было легче запомнить. Дополнительные сведения см. в статье 961320 базы знаний. Синхронизация учетной записи DSRM должна выполняться до восстановления леса в рамках подготовки.

    Учетная запись администратора по умолчанию является членом встроенной группы администраторов, как и группы администраторов домена и администраторов предприятия. Эта группа имеет полный контроль над всеми контроллерами домена в домене.

    Определение используемых резервных копий

    Регулярно создавайте резервные копии как минимум двух контроллеров домена с возможностью записи для каждого домена, чтобы у вас было несколько резервных копий на выбор. Обратите внимание, что вы не можете использовать резервную копию контроллера домена только для чтения (RODC) для восстановления доступного для записи контроллера домена. Мы рекомендуем восстанавливать контроллеры домена с помощью резервных копий, сделанных за несколько дней до возникновения сбоя. В общем, вы должны найти компромисс между актуальностью и безопасностью восстановленных данных. Выбор более поздней резервной копии позволяет восстановить больше полезных данных, но это может увеличить риск повторного добавления опасных данных в восстановленный лес.

    Восстановление резервных копий состояния системы зависит от исходной операционной системы и сервера резервной копии. Например, не следует восстанавливать резервную копию состояния системы на другом сервере. В этом случае вы можете увидеть следующее предупреждение:

    «Указанная резервная копия относится к серверу, отличному от текущего. Мы не рекомендуем выполнять восстановление состояния системы с помощью резервной копии на альтернативном сервере, так как сервер может стать непригодным для использования. Вы уверены, что хотите использовать эту резервную копию для восстановления текущего сервера?»

    Если вам нужно восстановить Active Directory на другом оборудовании, создайте полные резервные копии сервера и запланируйте полное восстановление сервера.

    Начиная с Windows Server 2008, восстановление резервной копии состояния системы для новой установки Windows Server на новом или том же оборудовании не поддерживается. Если Windows Server переустанавливается на том же оборудовании, как это рекомендуется далее в этом руководстве, вы можете восстановить контроллер домена в следующем порядке:

    1. Выполните полное восстановление сервера, чтобы восстановить операционную систему, все файлы и приложения.
    2. Выполните восстановление состояния системы с помощью wbadmin.exe, чтобы пометить SYSVOL как заслуживающий доверия.

    Дополнительную информацию см. в статье 249694 базы знаний Майкрософт.

    Если время возникновения сбоя неизвестно, проведите дальнейшее расследование, чтобы определить резервные копии, содержащие последнее безопасное состояние леса. Этот подход менее желателен. Поэтому мы настоятельно рекомендуем ежедневно вести подробные журналы о состоянии AD DS, чтобы в случае сбоя в масштабе леса можно было определить приблизительное время сбоя. Вы также должны хранить локальную копию резервных копий, чтобы обеспечить более быстрое восстановление.

    В качестве альтернативы вы также можете использовать средство подключения базы данных Active Directory (Dsamain.exe) и средство облегченного протокола доступа к каталогам (LDAP), такое как Ldp.exe или Active Directory Users and Computers, чтобы определить, какая резервная копия последнее безопасное состояние леса. Средство монтирования базы данных Active Directory, включенное в Windows Server 2008 и более поздние операционные системы Windows Server, предоставляет данные Active Directory, хранящиеся в резервных копиях или моментальных снимках, как сервер LDAP. Затем вы можете использовать инструмент LDAP для просмотра данных. Преимущество этого подхода в том, что вам не требуется перезапускать какой-либо контроллер домена в режиме восстановления служб каталогов (DSRM) для проверки содержимого резервной копии доменных служб Active Directory.

    Для получения дополнительной информации об использовании средства монтирования базы данных Active Directory см. Пошаговое руководство по средству монтирования базы данных Active Directory.

    Вы также можете использовать команду ntdsutil snapshot для создания моментальных снимков базы данных Active Directory. Запланировав задачу для периодического создания моментальных снимков, вы можете со временем получать дополнительные копии базы данных Active Directory. Вы можете использовать эти копии, чтобы лучше определить, когда произошел сбой в масштабе всего леса, а затем выбрать наилучшую резервную копию для восстановления. Для создания моментальных снимков используйте версию ntdsutil, поставляемую с Windows Server 2008, или средства удаленного администрирования сервера (RSAT) для Windows Vista или более поздней версии. На целевом контроллере домена может работать любая версия Windows Server.Дополнительные сведения об использовании команды моментального снимка ntdsutil см. в разделе Снимок.

    Определение контроллеров домена для восстановления

    Простота процесса восстановления является важным фактором при выборе контроллера домена для восстановления. Рекомендуется иметь выделенный контроллер домена для каждого домена, который является предпочтительным контроллером домена для восстановления. Выделенный контроллер домена восстановления упрощает надежное планирование и выполнение восстановления леса, поскольку вы используете ту же исходную конфигурацию, которая использовалась для выполнения тестов восстановления. Вы можете создать сценарий восстановления, а не соперничать с различными конфигурациями, такими как наличие у контроллера домена ролей хозяина операций или нет, является ли он сервером GC или DNS или нет.

    Хотя для простоты не рекомендуется восстанавливать владельца роли хозяина операций, некоторые организации могут выбрать восстановление для других преимуществ. Например, восстановление мастера RID может помочь предотвратить проблемы с управлением RID во время восстановления.

    Выберите DC, который лучше всего соответствует следующим критериям:

    Контроллер домена, доступный для записи. Это обязательно.

    DC под управлением Windows Server 2012 в качестве виртуальной машины на гипервизоре, который поддерживает VM-GenerationID. Этот контроллер домена можно использовать в качестве источника для клонирования.

    Контроллер домена, доступный физически или в виртуальной сети и предпочтительно расположенный в центре обработки данных. Таким образом, вы можете легко изолировать его от сети во время восстановления леса.

    Контроллер домена с хорошей полной резервной копией сервера. Хорошая резервная копия — это резервная копия, которая может быть успешно восстановлена, сделана за несколько дней до сбоя и содержит как можно больше полезных данных.

    Контроллер домена, который до сбоя был сервером системы доменных имен (DNS). Это экономит время, необходимое для переустановки DNS.

    Если вы также используете службы развертывания Windows, выберите контроллер домена, который не настроен для использования сетевой разблокировки BitLocker. В этом случае сетевую разблокировку BitLocker нельзя использовать для первого контроллера домена, который вы восстанавливаете из резервной копии во время восстановления леса.

    Сетевая разблокировка BitLocker в качестве единственного предохранителя ключа нельзя использовать на контроллерах домена, на которых развернуты службы развертывания Windows (WDS), поскольку это приводит к ситуации, когда первый DC требует, чтобы Active Directory и WDS работали для разблокировки. Но до восстановления первого контроллера домена Active Directory еще недоступна для WDS, поэтому его нельзя разблокировать.

    Чтобы определить, настроен ли контроллер домена для использования сетевой разблокировки BitLocker, убедитесь, что сертификат сетевой разблокировки идентифицирован в следующем разделе реестра:

    Соблюдайте процедуры безопасности при обработке или восстановлении файлов резервных копий, содержащих Active Directory. Срочность, сопровождающая восстановление леса, может непреднамеренно привести к игнорированию передовых методов обеспечения безопасности. Дополнительную информацию см. в разделе «Создание стратегий резервного копирования и восстановления контроллера домена» в Руководстве по передовым методам обеспечения безопасности при установке Active Directory и повседневных операциях: часть II.

    Определить текущую структуру леса и функции контроллера домена

    Определите текущую структуру леса, указав все домены в лесу. Составьте список всех контроллеров домена в каждом домене, особенно контроллеров домена с резервными копиями и виртуализированных контроллеров домена, которые могут быть источником для клонирования. Список контроллеров домена для корневого домена леса будет самым важным, потому что вы сначала восстановите этот домен. После восстановления корневого домена леса вы можете получить список других доменов, контроллеров домена и сайтов в лесу с помощью оснастки Active Directory.

    Подготовьте таблицу, в которой показаны функции каждого контроллера домена в домене, как показано в следующем примере. Это поможет вам вернуться к исходной конфигурации леса после восстановления.

    < tr> < td>Windows Server 2012 < td>Эмулятор PDC, мастер RIDНет < td>Нет

    Для каждого домена в лесу определите один доступный для записи контроллер домена, который имеет надежную резервную копию базы данных Active Directory для этого домена. Будьте осторожны при выборе резервной копии для восстановления контроллера домена. Если день и причина сбоя приблизительно известны, рекомендуется использовать резервную копию, сделанную за несколько дней до этой даты.

    В этом примере есть четыре кандидата на резервное копирование: DC_1, DC_2, DC_4 и DC_5. Из этих кандидатов на резервное копирование вы восстанавливаете только один. Рекомендуемый DC – DC_5 по следующим причинам:

    • Он удовлетворяет требованиям для использования его в качестве источника для клонирования виртуализированного контроллера домена, то есть он работает под управлением Windows Server 2012 в качестве виртуального контроллера домена на гипервизоре, который поддерживает VM-GenerationID, запускает программное обеспечение, которое разрешено клонировать (или которое может быть удалено, если его невозможно клонировать). После восстановления роль эмулятора основного контроллера домена будет присвоена этому серверу, и его можно будет добавить в группу клонируемых контроллеров домена для домена.
    • На нем выполняется полная установка Windows Server 2012. Контроллер домена, на котором выполняется установка Server Core, может оказаться менее удобным объектом для восстановления.
    • Это DNS-сервер. Поэтому DNS не нужно переустанавливать.

    Поскольку DC_5 не является сервером глобального каталога, его преимущество заключается в том, что глобальный каталог не нужно удалять после восстановления. Но является ли контроллер домена сервером глобального каталога или нет, это не является решающим фактором, поскольку, начиная с Windows Server 2012, все контроллеры домена по умолчанию являются серверами глобального каталога, а удаление и добавление глобального каталога после восстановления рекомендуется как часть леса. процесс восстановления в любом случае.

    Восстановить изолированный лес

    Предпочтительный сценарий – отключить все доступные для записи контроллеры домена до того, как первый восстановленный контроллер домена будет снова запущен в работу. Это гарантирует, что любые опасные данные не будут реплицированы обратно в восстановленный лес. Особенно важно отключить всех держателей ролей хозяина операций.

    Возможны случаи, когда вы перемещаете первый контроллер домена, который вы планируете восстановить для каждого домена, в изолированную сеть, позволяя другим контроллерам домена оставаться в сети, чтобы свести к минимуму время простоя системы. Например, если вы восстанавливаетесь после неудачного обновления схемы, вы можете оставить контроллеры домена работающими в производственной сети, пока вы выполняете шаги восстановления изолированно.

    Если вы используете виртуальные контроллеры домена, вы можете переместить их в виртуальную сеть, изолированную от рабочей сети, где вы будете выполнять восстановление. Перемещение виртуализированных контроллеров домена в отдельную сеть дает два преимущества:

    • Восстановленные контроллеры домена защищены от повторного возникновения проблемы, вызвавшей восстановление леса, поскольку они изолированы.
    • Виртуальное клонирование контроллеров домена можно выполнять в отдельной сети, чтобы можно было запустить и протестировать критическое количество контроллеров домена, прежде чем они будут возвращены в рабочую сеть.

    Если вы используете контроллеры домена на физическом оборудовании, отключите сетевой кабель первого контроллера домена, который вы планируете восстановить в корневом домене леса. Если возможно, также отключите сетевые кабели всех других контроллеров домена. Это предотвращает репликацию контроллеров домена, если они случайно запущены в процессе восстановления леса.

    В большом лесу, разбросанном по нескольким местоположениям, может быть сложно гарантировать, что все доступные для записи контроллеры домена будут отключены.По этой причине шаги восстановления, такие как сброс учетной записи компьютера и учетной записи krbtgt в дополнение к очистке метаданных, предназначены для обеспечения того, чтобы восстановленные доступные для записи контроллеры домена не реплицировались с опасными доступными для записи контроллерами домена (в случае, если некоторые из них все еще находятся в сети в лесу). ).

    Однако, только отключив доступные для записи контроллеры домена, можно гарантировать отсутствие репликации. Поэтому по возможности следует развернуть технологию удаленного управления, которая поможет отключить и физически изолировать доступные для записи контроллеры домена во время восстановления леса.

    Контроллеры домена только для чтения могут продолжать работать, пока контроллеры домена с возможностью записи отключены. Ни один другой контроллер домена не будет напрямую реплицировать какие-либо изменения с какого-либо контроллера домена только для чтения, особенно изменения контейнера схемы или конфигурации, поэтому они не представляют того же риска, что и контроллеры домена с возможностью записи во время восстановления. После того, как все контроллеры домена, доступные для записи, восстановлены и подключены к сети, вы должны перестроить все контроллеры домена только для чтения.

    Контроллеры домена только для чтения будут по-прежнему разрешать доступ к локальным ресурсам, кэшированным на соответствующих сайтах, пока операции восстановления выполняются параллельно. Для локальных ресурсов, не кэшированных на контроллере домена только для чтения, запросы проверки подлинности будут перенаправляться на доступный для записи контроллер домена. Эти запросы завершатся ошибкой, так как доступные для записи контроллеры домена находятся в автономном режиме. Некоторые операции, такие как изменение пароля, также не будут работать, пока вы не восстановите доступные для записи контроллеры домена.

    Если вы используете звездообразную сетевую архитектуру, вы можете сначала сосредоточиться на восстановлении доступных для записи контроллеров домена на центральных сайтах. Позже вы сможете перестроить контроллеры домена только для чтения на удаленных сайтах.

    В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии состояния системы, созданной ранее (см. статью Резервное копирование Active Directory), и обсудим типы и принципы восстановления AD DC.

    Предположим, ваш контроллер домена AD вышел из строя, и вы хотите восстановить его из резервной копии. Прежде чем вы начнете восстанавливать свой DC, вы должны понять, какой сценарий использовать. Это зависит от того, есть ли в вашей сети другие контроллеры домена, а также от состояния базы данных Active Directory на них.

    Как восстановить контроллер домена с помощью репликации?

    Восстановление контроллера домена посредством стандартной репликации AD — это не совсем восстановление контроллера домена из резервной копии. Вы можете использовать этот сценарий, если в вашей корпоративной сети есть несколько контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера с дальнейшим продвижением его на новый контроллер домена ADDS на том же сайте. Старый контроллер домена просто удаляется из AD.

    Это самый простой способ, не связанный с необратимыми изменениями в AD. В этом сценарии база данных ntds.dit, файлы GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый контроллер домена с контроллеров домена, которые остались в сети.

    Если база данных ADDS небольшая, а другой контроллер домена доступен по высокоскоростному сетевому каналу, описанный выше метод быстрее, чем восстановление контроллера домена из резервной копии.

    Типы восстановления Active Directory: авторитетное и неавторизованное

    Есть два типа восстановления контроллера домена Active Directory из резервной копии, которые вы должны четко понимать, прежде чем пытаться это сделать:

      Полномочное восстановление — после восстановления объектов AD выполняется репликация с восстановленного контроллера домена на все остальные контроллеры домена. Этот тип восстановления используется в сценариях, когда один или все контроллеры домена вышли из строя одновременно (например, после атаки программы-вымогателя или вируса) или поврежденная база данных NTDS.DIT ​​была реплицирована по всему домену. В этом режиме значение USN (порядковый номер обновления) всех восстановленных объектов AD увеличивается на 100 000. Таким образом, ДЦ будут видеть все восстановленные объекты как более новые и будут реплицироваться в домене. Используйте принудительное восстановление очень осторожно.

    При полномочном восстановлении вы потеряете большинство изменений AD, сделанных после создания резервной копии (членство в группе AD, атрибуты Exchange и т. д.).

    Восстановить контроллер домена Active Directory из резервной копии состояния системы

    Предположим, у вас есть только один контроллер домена в вашем домене. По какой-то причине физический сервер, на котором он работал, вышел из строя.

    У вас относительно недавнее состояние системы контроллера домена, и вы хотите восстановить Active Directory на совершенно новом сервере с помощью принудительного восстановления.

    Чтобы начать восстановление контроллера домена, необходимо установить ту же версию Windows Server, что и на неисправном контроллере домена. Установите роль ADDS (не настраивайте ее) и функцию резервного копирования Windows Server на только что установленный сервер Windows.

    Для восстановления Active Directory необходимо загрузить сервер в режиме DSRM (режим восстановления служб каталогов). Для этого запустите msconfig и на вкладке «Загрузка» выберите пункт «Безопасная загрузка» -> «Восстановление Active Directory».

    Перезапустите сервер. Он загрузится в DSRM. Запустите Windows Server Backup ( wbadmin ) и выберите «Восстановить» в правом меню.

    В Мастере восстановления отметьте «Резервная копия, хранящаяся в другом месте».

    Затем выберите диск, на котором хранится резервная копия старого контроллера домена AD, или укажите UNC-путь к нему.

    Чтобы WSB увидел резервную копию на диске, поместите каталог WindowsImageBackup с резервной копией в корневую папку диска. Вы можете убедиться, что на вашем диске есть резервные копии, используя эту команду:
    wbadmin get version -backupTarget:D:

    Выберите дату резервной копии, которая будет использоваться для восстановления.

    Проверьте состояние системы, чтобы восстановить его.

    Выберите Исходное расположение и установите флажок Выполнить принудительное восстановление файлов Active Directory.

    Система покажет предупреждение о том, что это резервная копия другого сервера, и если она будет восстановлена ​​на другом сервере, она может не работать. Нажмите «ОК».

    Согласитесь и с другим предупреждением:


    Затем начнется процесс восстановления контроллера домена AD на новом сервере. Когда он закончится, сервер потребует перезагрузки (имя нового сервера будет изменено на имя хоста DC из резервной копии).

    Загрузите сервер в обычном режиме (отключите DSRM с помощью msconfig).

    Войдите на сервер, используя учетную запись с правами администратора домена.

    При первом запуске консоли Active Directory Users and Computers (ADUC) я получил следующую ошибку:

    На восстановленном контроллере домена не было папок SYSVOL и NETLOGON. Чтобы исправить эту ошибку:

    Попробуйте снова открыть ADUC. Вы увидите структуру вашего домена.

    Итак, вы успешно восстановили контроллер домена AD в режиме принудительного восстановления. Затем все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.

    Если у вас остался единственный контроллер домена, убедитесь, что он владеет всеми 5 ролями FSMO, и при необходимости захватите их.

    Как восстановить отдельные объекты AD из резервной копии?

    Если вы хотите восстановить определенные объекты AD, используйте корзину Active Directory. Если время жизни захоронения уже истекло или корзина Active Directory не включена, вы можете восстановить отдельные объекты AD, используя режим авторитетного восстановления.

    Вкратце процедура состоит из следующих шагов:

    1. Загрузите DC в режиме DSRM;
    2. Отобразить список доступных резервных копий: wbadmin получить версии
    3. Запустите восстановление выбранной резервной копии: wbadmin start systemstaterecovery –version:[ваша_версия]
    4. Подтвердите восстановление DC (в неавторизованном режиме)
    5. После перезагрузки запустите ntdsutil
    6. активировать экземпляр ntds
    7. принудительное восстановление

    Укажите полный путь LDAPl к объекту, который вы хотите восстановить. Вы можете восстановить всю организационную единицу:

    восстановить поддерево ″OU=Users,DC=woshub,DC=com″

    Или один объект AD:

    восстановить объект «cn=Test,OU=Users,DC=woshub,DC=com»

    Эта команда запрещает репликацию указанных объектов (путей) с других контроллеров домена и увеличивает номер USN объекта на 100 000.

    Выйти из ntdsutil: выйти

    Загрузите контроллер домена в обычном режиме и убедитесь, что объект восстановлен.

    Active Directory (AD) — одна из самых популярных служб каталогов, которой пользуются миллионы людей по всему миру. Поскольку он разработан Microsoft, он поставляется как неотъемлемая часть всех операционных систем Windows Server. AD — один из важнейших компонентов сети Windows, и когда он выходит из строя, все замирает. Вот почему надежная стратегия аварийного восстановления и резервного копирования Active Directory жизненно важна для обеспечения непрерывности бизнеса. И это именно то, что мы рассмотрим в этой статье.

    Но прежде чем приступить к процессу резервного копирования и восстановления, вы должны знать, что делаете, и каковы последствия.

    Шаттерсток

    Что вам следует знать

    Сначала прочитайте этот раздел, прежде чем пытаться выполнить резервное копирование и восстановление Active Directory.

    • Существует два типа восстановления: принудительное восстановление и неавторизованное восстановление. Поймите разницу, прежде чем выбрать тот, который лучше всего подходит для вашей ситуации.
    • Наличие нескольких контроллеров домена для обеспечения полного восстановления без резервного копирования в случае сбоя одного из контроллеров домена. Тем не менее, делайте регулярное резервное копирование, чтобы вы могли восстановиться, когда все ваши контроллеры выходят из строя из-за вирусной атаки, повреждения базы данных или по другим причинам.
    • Сделайте резервную копию как минимум двух контроллеров домена, если вы не можете сделать полную резервную копию.
    • Включите корзину Active Directory, чтобы можно было быстро восстанавливать удаленные объекты.
    • Создайте документ, в котором укажите политику резервного копирования, периодичность, план аварийного восстановления и многое другое.
    • Создавайте резервные копии активного каталога не реже одного раза в день и не менее двух раз, если он большой.
    • Помните, что не все контроллеры домена одинаковы, поэтому разработайте соответствующую стратегию резервного копирования.
    • Сохраняйте резервную копию своего объявления за пределами сайта. Кроме того, следуйте правилу 3-2-1, когда вы храните две резервные копии на разных носителях локально и одну удаленную.
    • Знать, что такое FSMO и процесс передачи/изъятия.
    • Как минимум создайте резервную копию состояния системы, включая DNS-сервер, системные файлы Windows, регистрационную базу данных класса COM+ и многое другое.

    Теперь, когда у вас есть основа, давайте посмотрим, как создать резервную копию Active Directory.

    Как сделать резервную копию Active Directory

    Утилита резервного копирования Windows Server — это самый простой способ создать резервную копию вашей AD, поскольку она предназначена для конкретных случаев использования, таких как резервное копирование AD.

    Установка резервной копии Windows Server

    Вот пошаговое руководство по установке резервной копии Windows Server.

    • Нажмите кнопку Windows и перейдите к диспетчеру серверов.
    • На панели инструментов найдите параметр "Добавить роли и функции" на правой панели.
    • Нажимайте несколько раз "Далее", пока не перейдете на страницу функций.
    • Найдите параметр под названием «Резервное копирование Windows Server» на правой панели, отметьте его и нажмите «Далее».
    • Нажмите кнопку установки на следующей странице, и программа резервного копирования Windows Server будет установлена.

    Обратите внимание, что это не единственный способ установки резервной копии Windows Server, и вы также можете использовать для этого PowerShell.

    Полное резервное копирование сервера

    Затем выполните полное резервное копирование сервера. Это создает резервную копию операционной системы, приложений и всех связанных с ними данных. Сделайте это, если у вас есть тонны важных данных и приложений. Этот параметр удобен для восстановления всего сервера при необходимости.

    Другой вариант — это резервное копирование состояния системы, которое включает резервное копирование только компонентов AD. Этот вариант имеет ограничения, так как вы можете восстановить AD только на том же сервере и не поможет, если ваша операционная система повреждена.

    Вы также не можете выполнить восстановление на другой компьютер, поэтому рекомендуется делать полную резервную копию сервера, а не резервную копию состояния системы. Кроме того, полная резервная копия сервера также включает состояние системы AD и, следовательно, является более полной.

    Вот шаги для полного резервного копирования сервера.

    • Создайте резервный диск. Помните, что этот диск должен быть того же размера, что и тот, для которого вы создаете резервную копию. Например, если ваш текущий диск имеет размер 1 ТБ, размер резервного диска также должен быть только 1 ТБ.
    • Откройте утилиту резервного копирования сервера Windows и найдите параметр «Расписание резервного копирования» на правой панели.
    • Нажмите здесь и на следующей странице выберите «Полное резервное копирование сервера». Если вы считаете, что состояния системы достаточно, выберите вариант «Пользовательский». На этом экране отображается размер резервной копии.
    • На следующем экране вы можете выбрать элементы для резервного копирования. Для полной резервной копии сервера нажмите кнопку "Дополнительные настройки", перейдите к настройкам VSS и выберите "Полная резервная копия VSS".
    • На следующем экране запланируйте время резервного копирования в соответствии со своими предпочтениями.
    • На экране «Укажите тип места назначения» выберите «Резервное копирование на том». Параметр «Резервное копирование в общую сетевую папку» перезаписывает резервную копию каждый раз.
    • Подтвердите свой выбор и нажмите "Готово".

    Эти шаги завершают настройку резервного копирования.

    Изменение планировщика задач

    Последний процесс заключается в настройке планировщика задач для запуска резервного копирования.

    • Откройте поиск Windows и введите «Планировщик заданий». Это отобразит приложение и дважды щелкните, чтобы открыть его.
    • Вы увидите задачу резервного копирования на правой панели. Дважды щелкните его.
    • На вкладке "Общие" проверьте, является ли учетная запись пользователя СИСТЕМНОЙ.Найдите параметр «Настроить для:» в центральной нижней части и выберите текущую операционную систему.
    • Перейдите на вкладку "Настройки" и при необходимости внесите необходимые изменения. В идеале установите флажок «Разрешить запуск задачи по запросу» и, если требуется, выберите максимальный срок для задачи, чтобы она автоматически останавливалась, если резервное копирование превышает установленное время.
    • Нажмите "ОК".

    При этом ваша резервная копия AD готова и работает в соответствии с вашей конфигурацией.

    Если все это кажется громоздким, многие сторонние инструменты облегчат вам этот процесс.

    Как восстановить Active Directory

    Чтобы восстановить AD на другом контроллере домена (DC), установите ту же версию Windows на новом контроллере домена вместе с ADDS и средством резервного копирования Windows Server.

    Загрузка в DSRM

    Запустите процесс восстановления, загрузив сервер в режиме восстановления служб каталогов (DSRM). Для этого

    • Перезагрузите сервер.
    • В меню загрузки нажмите F8, чтобы открыть дополнительные параметры.
    • Прокрутите вниз и выберите режим восстановления служб каталогов.
    • Нажмите Enter, и компьютер перезагрузится в безопасном режиме. Службы каталогов не запускаются.

    Другой вариант: запустите msconfig и выберите Безопасная загрузка > Восстановление Active Directory на вкладке загрузки. Наконец, перезапустите сервер, и он запустится в режиме DSRM.

    Восстановить свои предметы

    Как только ваш компьютер перейдет в режим DSRM, запустите процесс восстановления.

    • Запустите резервное копирование Windows Server.
    • Найдите параметр «Восстановить» в крайнем правом меню и нажмите на него.
    • Откроется мастер восстановления. На первом экране выберите вариант «Резервная копия хранится в другом месте».
    • Выберите диск и укажите точный путь, по которому находится ваша резервная копия.
    • Выберите данные резервной копии, которую хотите использовать.
    • Затем выберите тип восстановления. Это могут быть файлы и папки, тома или состояние системы.
    • Выберите место для восстановления. Это может быть исходное местоположение или другое.
    • Далее вы получите несколько предупреждений в зависимости от типа восстановления. Нажмите OK для всего.

    С этого начинается восстановление AD в новой системе.

    По завершении процесса восстановления перезагрузите сервер в обычном режиме. Наконец, войдите в систему с правами администратора и проверьте, все ли в порядке.

    Восстановить объекты AD

    Если вы хотите восстановить определенные объекты, используйте корзину Active Directory. Если вы не настроили его, используйте режим авторитетного восстановления.

    В этом типе восстановления каталог контроллера домена соответствует тому состоянию, в котором он находился на момент создания резервной копии. Вам даже не нужно восстанавливать весь каталог, вы можете выбрать определенные объекты AD для восстановления.

    Таким образом, вы можете создавать резервные копии и восстанавливать свою AD. Если вы использовали какие-либо сторонние инструменты для резервного копирования и восстановления, поделитесь своим опытом в разделе комментариев.

    Читайте также:

    имя контроллера домена Операционная система FSMO GC RODC Резервное копирование DNS Основной сервер VM VM-GenID
    DC_1 Windows Server 2012 Мастер схемы, Мастер именования доменов Да Нет Да Нет Нет Да Да
    DC_2 Windows Server 2012 Нет Да Нет Да Да Нет Да Да
    DC_3 Мастер инфраструктуры Нет Нет Нет Да Да Да Да
    DC_4 Windows Server 2012 Да Нет Нет Нет Нет Да Нет
    DC_5 Windows Server 2012 Нет Нет Нет Да Да Да Да
    RODC_1 Windows Server 2008 R2 Да Да Да Да Да Да Нет
    RODC_2 Windows Server 2008 Нет Да Да Нет Да Да Да Нет