Ungültige AD DS-Wiederherstellung – SouToub


Unvollständige AD DS-WiederherstellungDie nicht authentische AD DS-Wiederherstellung wird mithilfe der Windows Server-Sicherung durchgeführt und kann in verschiedenen Fällen erforderlich sein… Das Wiederherstellungsszenario hängt auch von der Version des verwendeten Betriebssystems und der Version des Hypervisors ab (wenn die Domänencontroller in einer virtuellen Umgebung ausgeführt werden). Ich werde die meisten möglichen Optionen in diesem Artikel behandeln.


Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, das Windows Server-Tag in meinem Blog zu lesen.


Unvollständige AD DS-Wiederherstellung

Wir werden eine nicht autorisierte Wiederherstellung über die Systemstatus-Sicherung unserer CD durchführen.

Der gleiche Effekt kann erzielt werden, indem eine Sicherung kritischer Volumes sowie eine vollständige Sicherung des Servers wiederhergestellt wird. .

Ein bisschen Theorie

Bevor Sie den Wiederherstellungsprozess für den Domänencontroller starten, müssen Sie sich darüber im Klaren sein, was danach passieren wird, und Folgendes wird passieren:

  1. Das System kehrt zum Zeitpunkt der Sicherung in den Status zurück (dies ist offensichtlich).
  2. Eine neue DSA-Aufruf-ID wird generiert.
  3. Der aktuelle RID-Pool wird verworfen und ein neuer wird erhalten.
  4. Eine nicht autorisierte Wiederherstellung von SYSVOL wird durchgeführt.

Nun zu jedem Punkt detaillierter, beginnend mit 2.

DSA-Aufruf-ID

Die Aufruf-ID ist die eindeutige Guid-ID für die Datenbank ntds.dit. Durch Löschen dieses Parameters informiert der Domänencontroller seine Nachbarn darüber, dass er aus einer Sicherung wiederhergestellt wurde. Das heißt, die wiederhergestellte CD wird zu einer weiteren Replikationsquelle und erfordert alle Änderungen in AD, beginnend mit dem Zeitpunkt, an dem die Sicherung erstellt wurde.

Dieser Mechanismus ist erforderlich, um ein Rollback der Serienaktualisierungsnummern (USN Rollback) zu vermeiden ), was wie folgt ist.

AD funktioniert so, dass nur die letzten Änderungen zwischen Domänencontrollern und nicht die gesamte Datenbank übertragen werden. Jede CD behält den USN-Wert ihrer Nachbarn bei (Aktualitätsvektor). Wenn eine andere CD plötzlich ihre USN meldet und sich herausstellt, dass sie höher als die “gespeicherte” ist, sind auf der anderen CD Änderungen aufgetreten, die durch Datenreplikation abgerufen werden müssen. Das Zurücksetzen auf den Sicherungsstatus kehrt zurück Die maximale Anzahl aufeinanderfolgender Änderungen des wiederhergestellten Servers auf einen niedrigeren Wert… Infolgedessen stellen alle anderen CDs, die ihre USN vom wiederhergestellten Controller erhalten, sicher, dass alle Änderungen bereits repliziert wurden, da ihre “gespeicherten” USN-Werte der wiederhergestellten CD größer sind. Alle Änderungen, die an AD auf der wiederhergestellten CD zwischen der wiederhergestellten USN und den “gespeicherten” USNs auf anderen CDs vorgenommen wurden, werden niemals auf andere Controller repliziert. Diese Situation führt zu einer Nichtübereinstimmung zwischen den Datenbanken.

RID Pool

Jeder Sicherheitsprinzipal (Benutzer, Computer, Gruppe) in AD verfügt über eine eindeutige Kennung, die als SID bezeichnet wird. Die SID besteht wiederum aus mehreren Werten, von denen der letzte die relative Kennung – RID – ist.

Wenn zum Zeitpunkt des Erstellens einer Sicherung auf der CD ein Identifizierungspool angegeben wurde (und dies in 99% der Fälle der Fall ist, mit Ausnahme einer Situation, in der der Pool zum Zeitpunkt der Sicherung vollständig verbraucht war und dort vorhanden ist) Wenn keine Verbindung zum RID-Master hergestellt wurde, um einen neuen Pool abzurufen, verwendet der Domänencontroller nach dem Wiederherstellen aus einer Sicherung diesen Pool erneut und Sicherheitsprinzipale mit derselben SID werden in der Gesamtstruktur angezeigt.

Um diese Situation zu vermeiden, wird während einer nicht autorisierenden Wiederherstellung der RID-Pool zurückgesetzt und ein neuer angefordert.

Hinweis: Es kann sich herausstellen, dass der RID-Besitzer aus der Sicherung wiederherstellen muss. In diesem Zusammenhang empfiehlt Microsoft, keine Wiederherstellung durchzuführen, sondern alle erforderlichen Rollen von anderen Domänencontrollern zu übernehmen und anstelle des verlorenen Controllers eine andere bereitzustellen. Die Wiederherstellung des RID-Masters ist jedoch durchaus möglich. Die Hauptsache ist, dass zum Zeitpunkt der Wiederherstellung des RID-Masters die restlichen CDs miteinander repliziert werden und mindestens eine davon für die wiederhergestellte CD verfügbar ist, um die erste Replikation durchzuführen. Andernfalls wird die RID-Master-Rolle nicht gestartet.

Wenn Sie eine gesamte AD-Gesamtstruktur wiederherstellen, müssen Sie das Poollimit erhöhen. und setzen Sie die aktuellen Pools auf Domänencontrollern zurück .

Fahren wir mit dem letzten Punkt fort.

SYSVOL wiederherstellen

Dieser Punkt ist der offensichtlichste von allen in Betracht gezogenen. Standardmäßig wird die nicht autorisierte SYSVOL-Wiederherstellung durchgeführt, um die neuesten tatsächlichen Daten von anderen CDs abzurufen. Wenn eine autorisierende Wiederherstellung erforderlich ist Dann reicht es aus, das entsprechende Kontrollkästchen im WSB-Assistenten zu aktivieren oder das Flag -sysvol zu setzen, wenn Sie die Befehlskonsole verwenden.

Wenn eine inkompetente Wiederherstellung erforderlich ist

In mehreren Situationen kann eine unvollständige Wiederherstellung erforderlich sein:

  1. Arbeiten CD nicht in Ordnung aufgrund von Hardware- / Softwareproblemen und ohne den Wunsch, eine komplett neue CD bereitzustellen (zum Beispiel, weil die alte einige wichtige Anwendungen und Daten hatte);
  2. Beim Zurücksetzen auf einen Snapshot der virtuellen Maschine. Wenn ein:
    • CD hat Betriebssystem älter als Windows Server 2012;;
    • Der Hypervisor unterstützt nicht VM-Generierungs-ID (alle bis Windows Server 2012), unabhängig vom Gastbetriebssystem.

In allen anderen Fällen werden unterschiedliche Wiederherstellungsszenarien verwendet.

Ausbildung

Wenn Sie sich erholen, sollten Sie Folgendes haben:

  1. Sicherheitskopie (Ich habe eine separate Festplatte an die virtualisierte CD angeschlossen, auf die die Systemstatussicherung zuvor kopiert wurde.)
  2. DSRM-Passwort… Sie müssen in den AD-Wiederherstellungsmodus booten, die Dienste werden gestoppt und können sich daher nicht unter dem Domänenkonto, sondern nur unter dem lokalen Administrator anmelden.
Hinweis: Wenn das DSRM-Passwort unwiederbringlich verloren geht, können Sie es zurücksetzen … Diese Option ist natürlich nur mit einem lokalen Zugang zur CD möglich.

Hinweis: Wenn keine Systemsicherung vorhanden ist, besteht weiterhin die Möglichkeit, die Replikationspartner darüber zu informieren, dass die CD wiederhergestellt wurde. Dies kann gemäß den Anweisungen aus der offiziellen Dokumentation erfolgen. … Dieser Vorgang muss sorgfältig durchgeführt werden, um sicherzustellen, dass alle Schritte zu 100% korrekt ausgeführt werden. Beachten Sie den Kommentar im Artikel:

“Wiederherstellungsvorgänge, die mit dem folgenden Verfahren ausgeführt werden: wird von Microsoft nicht unterstützt und sollte nur als letzter Ausweg verwendet werden, wenn keine anderen Optionen vorhanden sind. “

Weiter zum Höhepunkt.

Wiederherstellung

Ich möchte darauf hinweisen, dass mein Server vor dem Wiederherstellungsvorgang vollständig zugänglich ist. Wenn Sie einen komplexeren Fall haben, benötigen Sie möglicherweise eine Installations-CD für das Betriebssystem. In jedem Fall ist das Wiederherstellungsszenario anders.

Es gibt verschiedene Möglichkeiten, den Server im Verzeichnisdienst-Wiederherstellungsmodus zu starten, und ich verwende die einfachste – Drücken von F8 während des Startvorgangs.

Hinweis: Wenn Sie interessiert sind, können Sie das Dienstprogramm bcdedit auf dem zweiten Weg ausführen, indem Sie die folgenden Befehle nacheinander ausführen:

bcdedit / set safeboot dsrepair
Herunterfahren -t 0 -r
Führen Sie nach der Wiederherstellung den Befehl aus bcdedit / deletevalue safeboot normal booten.
Die dritte Möglichkeit besteht darin, das bekannte Dienstprogramm Msconfig zu verwenden (Boot -> Boot-Optionen -> Abgesicherter Modus -> Active Directory-Wiederherstellung).
Denken Sie nach dem Wiederherstellen auch daran, den Server in den normalen Startmodus zurückzusetzen.

Wenn Sie also F8 drücken, warten wir, bis der Server geladen ist, und geben ihn unter dem lokalen Administratorkonto ein:

Unvollständige Wiederherstellung von AD DS 02

Geben Sie das DSRM-Kennwort ein und warten Sie, bis das System gestartet ist.

Unvollständige Wiederherstellung von AD DS 03

Vergiss nicht zu wählen Systemwiederherstellung::

Unvollständige Wiederherstellung von AD DS 04

Danach sehen Sie eine Warnung:

Unvollständige Wiederherstellung von AD DS 05

Bestätigen Sie und klicken Sie dann auf Wiederherstellen und stimme wieder der Warnung zu, die auftaucht. Wir warten auf das Ende des Wiederherstellungsprozesses und starten neu.

Damit ist die Restaurierung abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *