Pada artikel ini, kami akan menunjukkan cara memulihkan pengendali domain Direktori Aktif dari cadangan Status Sistem yang dibuat sebelumnya (lihat Cadangan Direktori Aktif) dan mempertimbangkan jenis dan prinsip pemulihan DC dalam AD.
Konten:
- Kembalikan pengontrol domain AD melalui replikasi
- Jenis Pemulihan Direktori Aktif: Resmi dan Tidak Lengkap
- Mengembalikan pengontrol domain AD dari cadangan status sistem
- Kembalikan objek individual dalam AD
Misalkan Anda memiliki pengontrol domain AD yang gagal, dan Anda ingin mengembalikannya dari cadangan yang dibuat sebelumnya. Sebelum melanjutkan dengan pemulihan DC, Anda harus memahami skenario pemulihan pengontrol domain yang perlu Anda gunakan. Itu tergantung pada apakah Anda memiliki DC lain di jaringan dan jika database Active Directory di dalamnya rusak..
Kembalikan pengontrol domain AD melalui replikasi
Memulihkan DC melalui replikasi tidak cukup dengan proses mengembalikan DC dari cadangan. Skenario ini dapat digunakan jika Anda memiliki beberapa pengontrol domain tambahan di jaringan Anda, dan semuanya berfungsi. Skenario ini melibatkan pemasangan server baru, memutakhirkannya ke DC baru di situs yang sama. Kontroler lama hanya perlu dihapus dari AD.
Ini adalah cara termudah untuk memastikan bahwa Anda tidak membuat perubahan permanen pada AD. Dalam skenario ini, database ntds.dit, GPO, dan isi folder SYSVOL akan secara otomatis direplikasi ke DC baru dengan DC tetap online.
Jika ukuran database ADDS kecil dan DC lain dapat diakses melalui saluran berkecepatan tinggi, ini jauh lebih cepat daripada memulihkan DC dari cadangan.
Jenis Pemulihan Direktori Aktif: Resmi dan Tidak Lengkap
Ada dua jenis pemulihan Active Directory DS dari cadangan, yang harus Anda mengerti dengan jelas sebelum memulai pemulihan:
- Pemulihan Resmi (pemulihan otoritatif atau otoritatif) - setelah pemulihan objek AD, replikasi dilakukan dari DC yang dipulihkan ke semua pengontrol lain dalam domain. Jenis pemulihan ini digunakan dalam skenario ketika DC tunggal atau semua DC jatuh pada saat yang sama (misalnya, sebagai akibat dari penyandian atau serangan virus), atau ketika database NTDS.DIT yang rusak direplikasi di seluruh domain. Dalam mode ini, semua objek AD yang dipulihkan memiliki nilai USN (Nomor Urutan Pembaruan) yang bertambah 100.000. Dengan demikian, objek yang dipulihkan akan dianggap oleh semua DC sebagai lebih baru dan akan direplikasi oleh domain. Metode pemulihan otoritatif harus digunakan dengan sangat hati-hati !!! Dengan pemulihan otoritatif, Anda akan kehilangan sebagian besar perubahan dalam AD yang telah terjadi sejak cadangan (keanggotaan dalam grup AD, atribut Exchange, dll.).
- Pemulihan non-otoritatif (pemulihan tidak lengkap atau non-otoritatif) - setelah memulihkan basis AD, pengontrol ini memberi tahu DC lain bahwa DC telah dipulihkan dari cadangan dan membutuhkan perubahan terbaru ke AD (ID Doa DSA baru dibuat untuk DC). Metode pemulihan ini dapat digunakan di situs jarak jauh, ketika sulit untuk segera mereplikasi database AD besar melalui saluran WAN yang lambat; atau ketika server memiliki data atau aplikasi penting.
Mengembalikan pengontrol domain AD dari cadangan status sistem
Jadi, misalkan Anda hanya memiliki satu DC di domain Anda. Untuk beberapa alasan, server fisik yang menjalankannya telah gagal.
Anda memiliki cadangan yang relatif baru dari Status Sistem pengontrol domain lama, dan Anda ingin mengembalikan Active Directory pada server baru dalam mode pemulihan otoritatif.
Untuk memulai pemulihan, Anda harus menginstal pada server baru versi yang sama dari Windows Server yang diinstal pada DC yang gagal. Dalam OS bersih di server baru, Anda harus menginstal peran ADDS (tanpa mengkonfigurasi) dan komponen Cadangan Server Windows.
Untuk mengembalikan Direktori Actve, Anda perlu mem-boot server dalam mode pemulihan layanan direktori DSRM (Mode Pemulihan Layanan Direktori). Untuk melakukan ini, jalankan msconfig dan pada kontribusi Boot pilih Boot Aman -> Perbaikan direktori aktif.
Nyalakan ulang server. Seharusnya boot dalam mode DSRM. Jalankan Windows Server Backup (wbadmin) dan pilih di menu kanan Pulihkan.
Di panduan pemulihan, pilih cadangan disimpan di lokasi lain (cadangan disimpan di lokasi lain).
Catatan, pilih drive tempat cadangan pengontrol AD lama berada, atau tentukan jalur UNC untuk itu.
wbadmin dapatkan versi -backupTarget: D:
Pilih tanggal di mana Anda ingin mengembalikan cadangan.
Tunjukkan bahwa Anda memulihkan Status Sistem.
Pilih "Lokasi asli" untuk memulihkan dan pastikan untuk memeriksa "Lakukan pengembalian otorisasi file Active Directory).
Sistem akan menampilkan peringatan bahwa cadangan ini adalah server yang berbeda, dan ketika memulihkan ke server lain mungkin tidak dimulai. Lanjutkan.
Setuju dengan peringatan lain:
Cadangan Server Windows Catatan: Opsi pemulihan ini akan menyebabkan konten yang direplikasi di server lokal untuk melakukan sinkronisasi ulang setelah pemulihan. Ini dapat menyebabkan potensi masalah laten atau pemadaman.
Setelah itu, proses mengembalikan pengontrol domain AD pada server baru akan dimulai. Setelah selesai, server akan membutuhkan reboot (nama server baru akan diubah menjadi nama DC dari cadangan).
Boot server dalam mode normal (nonaktifkan boot dalam mode DSRM)
Masuk ke server di bawah akun dengan hak administrator domain.
Ketika saya pertama kali memulai konsol ADUC, saya mendapat kesalahan:
Layanan Domain Direktori Aktif Informasi penamaan tidak dapat ditemukan karena alasan berikut: Server tidak operasional.
Namun, tidak ada folder jaringan SYSVOL dan NETLOGON di server. Untuk memperbaiki kesalahan:
- Jalankan regedit.exe;
- Pergi ke cabang HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Netlogon \ Parameters
- Ubah nilai parameter SysvolReady dari 0 menjadi 1;
- Kemudian mulai kembali layanan NetLogon:
netlogon stop net & netlogon mulai bersih
Coba buka konsol ADUC lagi. Anda harus melihat struktur domain Anda.
Jadi, Anda telah berhasil memulihkan pengontrol domain AD Anda dalam mode Pemulihan Resmi. Sekarang semua objek di Active Directory akan secara otomatis direplikasi ke pengontrol domain lainnya.
Jika Anda hanya memiliki satu DC tersisa, periksa bahwa ia adalah master dari semua 5 peran FSMO dan tangkaplah jika perlu.
Kembalikan objek individual dalam AD
Jika Anda perlu mengembalikan objek individual dalam AD, gunakan Recycle Bin Active Directory. Jika waktu pemakaman sudah kedaluwarsa, atau ActiveDirectory RecycleBin tidak diaktifkan, Anda dapat memulihkan objek AD individual dalam mode pemulihan otoritatif.
Secara singkat, prosedurnya adalah sebagai berikut:
- Unduh DC dalam mode DSRM;
- Daftar cadangan yang tersedia:
wbadmin mendapatkan versi
- Mulai pemulihan cadangan yang dipilih:
wbadmin memulai systemstaterecovery -versi: [versi_mu]
- Konfirmasikan pemulihan DC (dalam mode non-otoritatif);
- Setelah reboot, jalankan:
ntdsutil
aktifkan ntds contoh
mengembalikan otoritatif
Tentukan path lengkap ke objek yang akan dipulihkan. Anda dapat mengembalikan seluruh OU:
pulihkan subtree "OU = Pengguna, DC = winitpro, DC = ru"
Atau satu objek:
pulihkan objek "cn = Uji, OU = Pengguna, DC = winitpro, DC = ru"
Perintah ini akan melarang replikasi objek yang ditentukan (jalur) dari pengontrol domain lainnya dan meningkatkan USN objek sebesar 100000.
Keluar dari ntdsutil: berhenti
Boot server dalam mode normal dan verifikasi bahwa objek yang dihapus telah dipulihkan.