Trong bài viết này, chúng tôi sẽ hướng dẫn cách khôi phục bộ điều khiển miền Active Directory từ bản sao lưu Trạng thái hệ thống đã tạo trước đó (xem bài viết sao lưu Active Directory) và thảo luận về các loại và nguyên tắc khôi phục AD DC.
Giả sử, bộ điều khiển miền AD của bạn bị lỗi và bạn muốn khôi phục nó từ một bản sao lưu. Trước khi bắt đầu khôi phục DC của mình, bạn phải hiểu kịch bản nào sẽ sử dụng. Nó phụ thuộc vào việc bạn có các bộ điều khiển miền khác trong mạng của mình hay không và tình trạng của cơ sở dữ liệu Active Directory trên chúng.
Làm thế nào để Khôi phục Bộ điều khiển Miền bằng cách Sử dụng Bản sao?
Khôi phục DC thông qua sao chép AD tiêu chuẩn không hoàn toàn là khôi phục một DC từ một bản sao lưu. Bạn có thể sử dụng tình huống này nếu bạn có nhiều bộ điều khiển miền trong mạng doanh nghiệp của mình và tất cả chúng đều có thể hoạt động. Tình huống này liên quan đến việc cài đặt máy chủ mới với việc quảng bá thêm cho bộ điều khiển miền ADDS mới trên cùng một trang web. DC cũ chỉ đơn giản là bị xóa khỏi AD.
Đó là cách dễ nhất mà không liên quan đến bất kỳ thay đổi AD không thể đảo ngược nào. Trong trường hợp này, cơ sở dữ liệu ntds.dit, tệp GPO và nội dung của thư mục SYSVOL sẽ tự động được sao chép sang bộ điều khiển miền mới từ các DC vẫn trực tuyến.
Nếu cơ sở dữ liệu ADDS nhỏ và một DC khác khả dụng qua liên kết mạng tốc độ cao, thì phương pháp được mô tả ở trên sẽ nhanh hơn so với khôi phục một DC từ bản sao lưu.
Loại khôi phục Active Directory:Có thẩm quyền &Không được ủy quyền
Có hai kiểu khôi phục Active Directory DC từ một bản sao lưu mà bạn phải hiểu rõ ràng trước khi thử thực hiện:
- Khôi phục Ủy quyền - sau khi bạn đã khôi phục các đối tượng AD của mình, việc sao chép được thực hiện từ DC đã khôi phục sang tất cả các bộ điều khiển miền khác. Loại khôi phục này được sử dụng trong các trường hợp khi một DC hoặc tất cả DC bị lỗi cùng một lúc (ví dụ:sau cuộc tấn công bằng ransomware hoặc vi rút) hoặc cơ sở dữ liệu NTDS.DIT bị hỏng được sao chép trên một miền. Trong chế độ này, USN (Số thứ tự cập nhật) của tất cả các đối tượng AD được khôi phục sẽ tăng thêm 100.000. Do đó, các DC sẽ xem tất cả các đối tượng được khôi phục là những đối tượng mới hơn và chúng sẽ được sao chép trong miền. Sử dụng Khôi phục ủy quyền rất cẩn thận !!! Tại Phục hồi theo ủy quyền, bạn sẽ mất hầu hết các thay đổi QUẢNG CÁO được thực hiện sau khi bạn đã tạo bản sao lưu của mình (tư cách thành viên nhóm AD, thuộc tính Exchange, v.v.).
- Khôi phục không có thẩm quyền - sau khi bạn đã khôi phục cơ sở dữ liệu AD của mình, bộ điều khiển sẽ thông báo cho các DC khác rằng nó đã được khôi phục từ bản sao lưu và cần các thay đổi AD mới nhất (ID mời DSA mới được tạo cho DC). Bạn có thể sử dụng phương pháp khôi phục này trên các trang web từ xa khi khó có thể nhanh chóng sao chép cơ sở dữ liệu AD lớn thông qua kênh WAN chậm hoặc nếu bạn có một số dữ liệu hoặc ứng dụng quan trọng trên máy chủ của mình.
Khôi phục Bộ điều khiển miền Active Directory từ Bản sao lưu trạng thái hệ thống
Giả sử, bạn chỉ có một DC trong miền của mình. Vì lý do nào đó mà máy chủ vật lý không chạy được.
Bạn có Trạng thái hệ thống tương đối gần đây của bộ điều khiển miền của mình và bạn muốn khôi phục Active Directory trên một máy chủ hoàn toàn mới bằng cách sử dụng Authoritative Restore.
Để bắt đầu khôi phục DC, bạn phải cài đặt cùng một phiên bản Windows Server mà bạn đã có trên DC bị lỗi. Cài đặt ADDS role (không định cấu hình nó) và Windows Server Backup tính năng trong Windows Server bạn vừa cài đặt.
Để khôi phục Active Directory, bạn phải khởi động máy chủ trong DSRM (Chế độ Khôi phục Dịch vụ Thư mục). Để thực hiện, hãy chạy msconfig và chọn tùy chọn Khởi động an toàn -> Sửa chữa Active Directory trong Khởi động tab.
Khởi động lại máy chủ của bạn. Nó sẽ khởi động trong DSRM. Chạy Windows Server Backup (wbadmin ) và chọn Khôi phục trong menu bên phải.
Trong Trình hướng dẫn khôi phục, chọn ' Bản sao lưu được lưu trữ trên một vị trí khác > . ’
Sau đó, chọn đĩa có lưu trữ hoặc chỉ định bản sao lưu của bộ điều khiển miền AD cũ đường dẫn UNC đến nó.
wbadmin get versions -backupTarget:D:
Chọn ngày của bản sao lưu sẽ được sử dụng để khôi phục.
Kiểm tra Trạng thái hệ thống để khôi phục nó.
Chọn Vị trí ban đầu và kiểm tra Thực hiện khôi phục có thẩm quyền của các tệp Active Directory .
Hệ thống sẽ hiển thị cảnh báo rằng đó là một bản sao lưu máy chủ khác và nếu được khôi phục trên một máy chủ khác nó có thể không hoạt động. Nhấp vào OK.
Đồng ý với một cảnh báo khác:
Windows Server Backup Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.
Sau đó, quá trình khôi phục bộ điều khiển miền AD trên máy chủ mới sẽ bắt đầu. Khi quá trình này kết thúc, máy chủ sẽ yêu cầu khởi động lại (tên của máy chủ mới sẽ được đổi thành tên máy chủ DC từ bản sao lưu).
Khởi động máy chủ ở chế độ bình thường (tắt DSRM bằng msconfig).
Đăng nhập vào máy chủ bằng tài khoản có đặc quyền của quản trị viên miền.
Khi tôi chạy bảng điều khiển Máy tính và Người dùng Active Directory (ADUC) lần đầu tiên, tôi gặp lỗi sau:
Active Directory Domain Services Naming information cannot be located for the following reason: The server is not operational.
Không có thư mục SYSVOL và NETLOGON trên bộ điều khiển miền được khôi phục Để khắc phục lỗi này:
- Chạy regedit.exe;
- Đi tới khoá đăng ký HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters ;
- Thay đổi SysvolReady giá trị từ 0 đến 1 ;
- Sau đó, khởi động lại NetLogon dịch vụ:
net stop netlogon & net start netlogon
Hãy thử mở lại ADUC. Bạn sẽ thấy cấu trúc miền của mình.
Vậy là bạn đã khôi phục thành công bộ điều khiển miền AD của mình trong Khôi phục ủy quyền > chế độ. Sau đó, tất cả các đối tượng trong Active Directory sẽ được tự động sao chép sang các bộ điều khiển miền khác.
Nếu bạn chỉ còn lại DC, hãy đảm bảo rằng nó sở hữu tất cả 5 vai trò FSMO và nắm bắt chúng nếu cần.
Làm thế nào để Khôi phục Các Đối tượng AD Riêng biệt khỏi Bản sao lưu?
Nếu bạn muốn khôi phục các đối tượng AD cụ thể, hãy sử dụng Thùng rác Active Directory . Nếu thời gian tồn tại của bia mộ đã hết hoặc Thùng rác Active Directory không được bật, bạn có thể khôi phục các đối tượng AD riêng biệt bằng cách sử dụng chế độ Khôi phục Ủy quyền.
Tóm lại, quy trình có các bước sau:
- Khởi động DC ở chế độ DSRM;
- Hiển thị danh sách các bản sao lưu có sẵn:
wbadmin get versions - Bắt đầu khôi phục bản sao lưu đã chọn:
wbadmin start systemstaterecovery –version:[your_version] - Xác nhận khôi phục DC (ở chế độ Không ủy quyền)
- Sau khi khởi động lại, hãy chạy
ntdsutil -
activate instance ntds -
authoritative restore
Chỉ định đường dẫn LDAPl tối đa đến đối tượng bạn muốn khôi phục. Bạn có thể khôi phục toàn bộ đơn vị tổ chức:
restore subtree ″OU=Users,DC=woshub,DC=com″
Hoặc một đối tượng AD duy nhất:
restore object “cn=Test,OU=Users,DC=woshub,DC=com”
Lệnh này sẽ từ chối sao chép các đối tượng được chỉ định (đường dẫn) từ các bộ điều khiển miền khác và tăng USN của đối tượng lên 100.000.
Thoát ntdsutil:quit
Khởi động DC ở chế độ bình thường và đảm bảo rằng đối tượng đã được khôi phục.