Восстановление Active Directory из резервной копии
В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии System State, созданной ранее (см. статью Резервное копирование Active Directory) и рассмотрим типы и принципы восстановления DC в AD.
Допустим у вас вышел из строя контроллер домена AD, и вы хотите восстановить его из созданной ранее резервной копии. Прежде чем приступить к восстановлению DC, нужно понять какой сценарий восстановления контроллера домена вам нужно использовать. Это зависит от того, есть ли у вас в сети другие DC и повреждена ли база Active Directory на них.
Восстановление контроллера домена AD через репликацию
Восстановление DC через репликацию – это не совсем процесс восстановления DC из бэкапа. Этот сценарий может использоваться, если у вас в сети есть несколько дополнительных контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера, повышение его до нового DC в этом же сайте. Старый контроллер нужно просто удалить из AD.
Это самый простой способ, который гарантирует что вы не внесете непоправимых изменений в AD. В этом сценарии база ntds.dit, объекты GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый DC с DC-ов, оставшихся онлайн.
Если размер базы ADDS небольшой и другой DC доступен по скоростному каналу, это намного быстрее, чем восстанавливать DC из бэкапа.
Типы восстановления Active Directory: полномочное и неполномочное
Есть два типа восстановления Active Directory DS из резервной копии, в которых нужно четко разобраться перед началом восстановления:
- Authoritative Restore (полномочное или авторитативное восстановление) – после восстановления объектов AD выполняется репликация с восстановленного DC на все остальные контроллеры в домене. Этот тип восстановления используется в сценариях, когда упал единственный DC или все DC одновременно (например, в результате атаки шифровальщика или вируса), или когда по домену реплицировалась поврежденная база NTDS.DIT. В этом режиме у всех восстановленных объектов AD значение USN (Update Sequence Number) увеличивается на 100000. Таким образом восстановленные объекты будут восприняты всеми DC как более новые и будут реплицированы по домену. Полномочный способ восстановления нужно использовать очень аккуратно.
Восстановление контроллера домена AD из system state бэкапа
Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.
У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.
Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.
Для восстановления Actve Directory вам нужно загрузить сервер в режиме восстановления служб каталогов DSRM (Directory Services Restore Mode). Для этого запустите msconfig и на вкладе Boot выберите Safe Boot -> Active Directory repair.
Active Directory repair mode» srcset=»https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode.png 575w, https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode-300×196.png 300w» sizes=»(max-width: 575px) 100vw, 575px»/>
Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.
В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).
Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.
wbadmin get versions -backupTarget:D:
Выберите дату, на которую нужно восстановить резервную копию.
Укажите, что вы восстанавливаете состояние System State.
Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).
Система покажет предупреждение, что эта резервная копия другого сервера, и что при восстановлении на другом сервере может не завестись. Продолжаем.
Согласитесь с еще одним предупреждением:
После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).
Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)
Авторизуйтесь на сервере под учетной записью с правами администратора домена.
При первом запуске консоли ADUC я получил ошибку:
При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:
- Запустите regedit.exe;
- Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Измените значение параметра SysvolReady с 0 на 1;
- Потом перезапустите службу NetLogon: net stop netlogon & net start netlogon
Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.
Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.
Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.
Восстановление отдельных объектов в AD
Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.
Вкратце процедура выглядит следующим образом:
- Загрузите DC в DSRM режиме;
- Выведите список доступных резервных копий: wbadmin get versions
- Запустите восстановление выбранной резервной копии: wbadmin start systemstaterecovery –version:[your_version]
- Подтвердите восстановление DC (в не полномочном режиме);
- После перезагрузки запустите: ntdsutil
- activate instance ntds
- authoritative restore
Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:
restore subtree ″OU=Users,DC=winitpro,DC=ru″
restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”
Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.
Выйдите из ntdsutil: quit
Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.
Восстановление контроллера домена Active Directory в Windows Server 2008 (Часть 1)
В статье пойдет речь о полном восстановлении контроллера домена Active Directory, ведь зачастую проблемы системных администраторов гораздо более сложные, чем потеря одного объекта. Угрозу стабильности может представлять вирусная активность, испортившая реестр на контроллере, вышедший из строя жесткий диск, на котором хранились системные файлы, полная или частичная потеря папки SYSVOL c групповыми политиками. Этот страшный список можно продолжать.
Поскольку на дворе 2009 год речь пойдет о контроллерах домена под управлением Windows Server 2008, благо восстановление предыдущей версии ОС описано неоднократно. Начнем.
Первое, что бы должны хорошо уяснить, знакомой утилиты NTbackup уже нет, на смену ей пришло новое решение » Система архивации данных Windows Server «. Это именно новое решение, а не обновленный NTbackup. Также с Windows Server 2008 поставляется новая утилита командной строки Wbadmin.exe, она расширяет и дополняет возможности графической «Системы архивации данных Windows Server «.
Для достижения полного понимания, описывать систему восстановления я буду на примерах типовых организации.
Организация первая: Один сервер.
Довольно распространенное явление. Фирма имеет небольшое количество компьютеров, как правило, до 30—40 и в сети присутствует единственный сервер под управлением ос Windows Server 2008. Он же и является контроллером домена Active Directory, вдобавок несет на себе роль файлового сервера и возможно некоторые сетевые приложения. Да у Microsoft есть рекомендации говорящие о том, что любая организация Active Directory должна иметь как минимум два контроллера домена и сам контроллер не должен иметь дополнительных ролей. Но будем смотреть правде в глаза, в малом бизнесе фирм с одним сервером очень и очень много. Как же будет выглядеть система восстановления в такой ситуации?
Прежде все давайте сразу определимся. Наш сервер должен иметь минимум два раздела на жестком диске, а в идеале два раздела на RAID массиве. Объясню почему, «Система архивации данных Windows Server » осуществляет резервное копирование только разделов (есть одно исключение, но о нем позже), выбрать резервное копирование одной или нескольких папок мы не можем.
Поэтому:
Раздел 1 будет содержать — Операционную систему Windows с реестром, файлы загрузки, включая файл Bootmgr, базу данных Active Directory (Ntds.dit), журналы базы данных Active Directory и папку SYSVOL с групповым политиками.
Раздел 2. Второй раздел будет использоваться под хранение резервных копий.
Примечание: У нас есть возможность создавать резервные копии на: Раздел жесткого диска (то, что я и предлагаю), на сетевом ресурсе, DVD-дисках.
Microsoft рекомендует хранить резервную копию на внутреннем или внешнем жестком диске.
Будем считать, что наш сервер был установлен, следуя вышестоящей рекомендации.
Теперь давайте посмотрим, как застраховаться от непредвиденного «падения» сервера. Используем Windows Complete PC Restore.
Для начала необходимо установить программу «Система архивации данных Windows Server «. К сожалению, в борьбе за минимальный набор устанавливаемых По-умолчанию компонентов система архивации проиграла и изначально не стоит. Я считаю это правильным решением, те, кому она нужна, ее установят, а люди, использующие сторонние решения, сэкономят немного ресурсов. Установка идет по классическому сценарию для Windows 2008 через «Диспетчер Сервера»
Рис. 1 Установка системы архивации
После установки системы архивации нам необходимо настроить расписание задачи, которая будет делать архивную копию нашего Раздела 1 (Напоминаю на нем находится Windows Server 2008 и Active Directory ). Я предлагаю делать такой архив раз в неделю в воскресенье, дальше вы поймете почему. Для этого запускаем оснастку «Системы архивации данных Windows Server » и запустить расписание архивации.
Важно: Данный архив можно будет использовать для восстановления на новых жестких дисках. А также на другом идентичном оборудовании.
Рис.2 Запуск расписания Архивации
После этого пропустить приветствие и нажать «Далее». Перед нами встанет выбор, как осуществлять резервное копирование (Весь сервер или настраиваемый). Поскольку в наш архив должен попадать только Раздел 1, мы выбираем «Настраиваемый».
Рис.3 Выбор конфигурации архивации.
После открывается список разделов нашего сервера на котором мы должны снять «галочки» на всех разделах кроме того который содержит нашу систему. (В статье он называется Раздел 1)
Рис. 3 Выбор разделов.
Выбрав, что бы будем архивировать, переходим к настройке расписания. Из данного окна тонко настроить расписание задачи мы не сможем, поэтому выбиваем время Ежедневно 21:00. В дальнейшем мы изменим это расписание.
Рис.4 Расписание.
Рис. 5 Выбор места хранения резервной копии
На пятом рисунку показано окно, где вам необходимо выбрать место хранения архива. Я выбираю единственный доступный раздел. После чего запускается процесс форматирования. По окончанию которого вам раздел пропадет из зоны видимости, т.к буква диска него будет удалена. От лишних глаз он будет убран, а вы всегда сможете его найти через оснастку «Управление дисками»
Рис. 6. В Процессе форматирования.
После окончания процесса вам придется несколько раз нажать «Далее». Я не показываю эти окна, поскольку ничего важного на них не выбирается. Просто оставьте все на параметрах По-умолчанию. Настройка резервного копирования завершена. Остается подправить расписание запуска задачи. Для этого открываем «Планировщик Заданий» в Панели управления и находим нашу задачу.
Рис. 7 Планировщик Заданий
Теперь заходим в свойства задачи и меняем расписание. Нам нужно сделать запуск задачи «Ежевоскресной»
Рис. 8 Измененное расписание
Подведем итог. Теперь каждое воскресенье в 21:00 на отдельный раздел жесткого диска будет делаться резервная копия нашего «Раздела 1» содержащего системные файлы и базу Active Directory. В случае падения вашего сервера вы всегда сможете его восстановить. Это и есть Windows Complete PC Restore. Только не забывайте, время от времени переносить архивы для хранения за пределы вашего сервера и серверной, дабы не остаться в случае пожара или других крупных неприятностей без сервера и архива одновременно.
Перейдем к этапу восстановления.
Запустить восстановление сервера, мы можем несколькими путями, самый простой взять установочный диск Windows Server 2008 и загрузиться с него. На этапе приглашения к установке, необходимо выбрать «Восстановление системы». После чего будет запущена среда «Windows RE»
Рис. 9 Запуск процесса восстановления.
Далее, мастер находит уже установленные ОС на наших дисках и спрашивает, какую из них мы будет восстанавливать. Как видно по рисунку, на этом этапе также можно подгрузить драйвера для ваших жестких дисков, естественно, если в этом есть необходимость.
Рис.10 Выбор ОС
Рис.11 Запуск Windows Complete PC Restore.
Остается запустить «Восстановление архива Windows Complete PC Restore «. После запуска он предложит нам самую свежую копию архива. Если вы не планируете использовать последний архив, выберите «Восстановить другой архив». У меня такая задача не стоит, и я выбираю последний доступный.
Рис.12 Этап выбора архива.
Далее следует пара окон, которые мы оставляем неизменными. По завершению мастера запускается процесс восстановления, продолжительность которого сильно зависит от скорости оборудования и размера нашего раздела.
Рис.13 Процесс восстановления.
После окончания восстановления компьютер уйдет в перезагрузку. И следующий запуск вашего сервера уже произойдет в восстановленном состоянии. Поскольку восстановление системы происходит путем перезатирания раздела, я бы рекомендовал отделить раздел с пользовательскими файлами и приложениями. При раздельном хранении системы и пользовательских файлов, мы можем спокойно восстанавливать сервер, не боясь вернуть важные документы в состояние недельной давности.
Некоторые из вас могут сказать «Все это здорово, но как быть в ситуации, если сервер сломался в пятницу, а ближайшая копия пятидневной давности. Что будет с новыми пользователями созданными в течении недели? и.т.д»
Естественно при такой схеме восстановления они пропадут. Можно конечно делать архив нашего раздела ежедневно, но тут встает следующая проблема. А если необходимо восстановить только базу Active Directory и состояние системы, не трогая при этом остальные наши файлы на системном разделе?
Это конечно личное дело каждого, но на текущий момент мне кажется правильным следующее:
Если ваш системный раздел содержит только операционною систему и базу Active Directory c системными файлами, то создание ежедневной копии системного раздела является оптимальным.
Если же у вас на системном диске находятся папки общего доступа, файлы пользователей и дополнительные приложения правильнее будет ежевоскресно создавать архив системного раздела, а каждый рабочий день создавать архив состояния системы. Если файлы хранящиеся на системном разделе представляют высокую важность, то я думаю будет необходимо выделить под них отдельный раздел и осуществлять его ежедневной резервной копирование отдельным заданием.
Архив состояния системы. Тут главное не путать архив раздела и состояние системы. Состояние системы это архив самых важных для операционной системы вещей.
В нашей ситуации в него попадут:
База данных регистрации класса COM+
База данных доменных служб Active Directory
Системные файлы, защищенные с помощью средства защиты ресурсов Windows
Соответственно используя этот набор вы можете восстановить ваш сервер, если произошло повреждение вышеперечисленного. А также выполнить восстановление базы Active Directory в актуальное состояние. Но при полностью уничтоженном сервере только «Состояния системы» будет явно недостаточно. Как минимум потому, что «Состояния системы» контроллера можно восстановить только через «Режим восстановления службы каталогов», т.е сервер должен в нем загрузиться.
При этом хотелось бы заметить, что Архив состояния системы со времен Windows 2003 сильно изменился. Если в Windows 2003 он весил порядка 600—700 мегабайт, то создав его в Windows 2008, вы будете сильно удивлены размером в 9 гигабайт. Это происходит за счет включения в архив дополнительных файлов системы. Разница в размерах между архивом раздела и архивом состояния системы будет видна, если у вас на системном диске хранятся какие-то дополнительные файлы.
Осуществить создание состояния системы можно только из командной строки используя утилиту Wbadmin.exe
Синтаксис будет следующий:
wbadmin.exe start systemstatebackup -backupTarget:Z:
В конце команды задается буква диска, на котором будет создан архив состояния системы. Выполнять эту команду ежедневно удовольствие ниже среднего, поэтому я думаю, будет вполне логично создать пакетный файл, который будет выполняться по заданному расписанию. (С понедельника по пятницу)
По-умолчанию невозможно сохранять состояние системы на системный раздел, если по какой-то таинственной причине вам это необходимо, создайте следующий ключ в реестре.
Путь:
Ключ:
Рис.14 Создание состояния системы
Теперь, когда у нас каждое воскресенье создается архив с системным диском, и каждый рабочий день делается состояние системы, возможно два сценария восстановления.
Сценарий первый. У нас полностью вышел из строя системный раздел и операционная система не загружается. Для восстановления нам придется пройтись по описанной выше процедуре и вернуть наш раздел с системой в рабочее состояние. Естественно для этого будет использоваться загрузочный дистрибутивный диск Windows Server 2008 и последний воскресный архив. Когда этот этап восстановления окончится, будет необходимо перезагрузиться в особый режим работы контроллера домена под название «Режим восстановления службы каталогов».
В этом режиме служба Active Directory Domain Services основлена и мы сможем воспользовавшись архивом со свежим состоянием системы обновить базу AD до актуального. (например пятничного).
Сценарий второй. Наш сервер работает отлично, но по какой-то трагической случайности, были испорчены несколько веток реестра и вдобавок большая часть объектов Active Directory была удалена. Будем считать это атакой злостного хакера-инсайдера. Вроде бы «пробоина» не смертельна и сервер все еще в строю, но нам бы конечно хотелось убрать последствия атаки. В этой ситуации состояния системы будет вполне достаточно. Именно этот сценарий я и рассмотрю подробней. Поскольку вы будете знать как восстанавливается состояние системы, выполнить возврат к жизни по первому сценарию самостоятельно у вас труда не составит.
Для начала перезагружаем наш контроллер домена в режим восстановления службы каталога (DSRM), при этом помним, что для входа на контроллер домена в этом режиме нам нужно знать пароль администратора DSRM режима. (Вы задавали его при поднятии контроллера домена). Для выбора этого режима при запуске компьютера жмем «F8»
Рис.15 Загрузка в DSRM
Загрузившись в режиме DSRM, открываем командную строку. Сейчас нам нужно посмотреть список резервных копий и выбрать актуальное состояние системы. Для вывода списка вводим команду:
wbadmin.exe get versions
Найдя нужное состояние системы копируем «Идентификатор версии». В моей ситуации он выглядит как «04/05/2009—13:49″. Идентификатором является дата и время создания архива. (Рис.16)
Рис.16 Поиск нужного архива состояния системы.
Теперь мы готовы запустить восстановление состояния системы.
Выполняем команду: wbadmin start systemstaterecovery -version: 04/05/2009—13:49
Рис.17 Процесс восстановления состояния системы.
После запуска команды остается набраться терпения и дождаться окончания процесса. Закончив восстановление необходимо перезагрузиться в обычном режиме и проверить работоспособность сервера. Обратите внимание, что после восстановления системы, дополнительные папки созданные вами на системном диске, остались нетронутые.
А теперь давайте подведем итоги:
Мы рассмотрели процесс восстановления контроллера домена Active Directory на базе Windows Server 2008 в ситуации когда этот контроллер единственный в сети.
Для того чтобы спать спокойно, вам будет необходимо:
Выделить раздел жесткого диска под резервные копии.
Создать расписание создания архива раздела с установленной системой. (Выполнение еженедельно)
Создать пакетный файл с командой «wbadmin.exe start systemstatebackup» и запускать его с помощью планировщика ежедневно. (Кроме дня, когда запускается создание архива системного раздела)
Держать под рукой дистрибутивный диск с Windows Server 2008.
Помнить пароль администратора «Режима восстановления службы каталогов»
И еще самое важное, помните, процесс восстановления должен быть отлажен до совершенства. Естественно на тестовом сервере а не на боевом. В ситуации когда сервер не работает вы должны хладнокровно следовать инструкции, которая уже не однократно была проверена.
На этом первая часть статьи по восстановлению контроллеров домена заканчивается. Процесс восстановления при нескольких контроллерах домена будет описан во второй части.
Материал предоставлен ресурсом 