Неполномочное восстановление AD DS

Егор Васильев Windows , , , , 0 Комментариев

Неполномочное восстановление AD DSНеполномочное восстановление AD DS выполняется средствами Windows Server Backup и может потребоваться в самых разных случаях. Сценарий восстановления также зависит от используемой версии операционной системы и версии гипервизора (если контроллеры домена работают в виртуальной среде). Большинство из возможных вариантов я рассмотрю в этой статье.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу  Windows Server  на моем блоге.

Неполномочное восстановление AD DS

Выполнять неполномочное восстановление будем через бэкап System State нашего КД.

Того же эффекта можно добиться, используя бэкап критически важных томов, а также при восстановлении из полного бэкапа сервера 1.

Немного теории

Перед началом процесса восстановления контроллера домена необходимо четко себе представлять что же произойдет после, а произойдет следующее:

  1. Система возвратится в состояние на момент снятие бэкапа (это очевидно);
  2. Будет сгенерирован новый DSA Invocation ID;
  3. Текущий пул RID будет сброшен и получен новый;
  4. Произойдет неполномочное восстановление SYSVOL.

Теперь о каждом пункте подробнее, начиная со 2.

DSA Invocation ID

Invocation ID — это уникальный guid-идентификатор базы данных ntds.dit. Сбрасывая этот параметр, контроллер домена сообщает своим «соседям» о том, что он был восстановлен из бэкапа. То есть, по сути, восстановленный КД становится другим источником репликации и ему требуются все изменения в AD, начиная с момента создания бэкапа.

Этот механизм необходим, чтобы избежать отката номеров последовательных обновлений (USN Rollback 2), который заключается в следующем.

AD работает таким образом, что между контроллерами домена передаются лишь последние изменения, а не вся база целиком. Каждый КД поддерживает значение USN своих соседей (up-to-dateness vector). Если другой КД вдруг сообщает свой USN и он оказывается выше «запомненного», значит на другом КД произошли изменения и их надо получить посредством репликации данных. Откат к состоянию бэкапа возвращает максимальный последовательный номер изменений восстановленного сервера к меньшему значению. В итоге все другие КД, получая с восстановленного контроллера его USN, будут уверены, что все изменения с него уже реплицированы, ведь их «запомненные» значения USN восстановленного КД будет больше. Все изменения, внесенные в AD на восстановленном КД в промежутке восстановленного USN и «запомненных» USN на других КД, никогда не будут реплицированы на другие контроллеры. Подобная ситуация приведет к рассогласованию баз данных.

RID Pool

Любой принципал безопасности (пользователь, компьютер, группа) в AD имеет уникальный идентификатор, называемый SID. SID, в свою очередь, состоит из нескольких значений, последним из которых является относительный идентификатор — RID.

Примечание: за выдачу пулов относительных идентификаторов отвечает держатель роли FSMO RID Master, о котором я подробно рассказывал в статье RID master — Хозяин относительных идентификаторов.

Если на момент создания резервной копии у КД имеется выданный пул идентификаторов (а на деле в 99% случаев так оно и будет, за исключением ситуации, когда на момент бэкапа пул был израсходован полностью, а связи с хозяином RID для получения нового пула не было), то после восстановления из бэкапа контроллер домена начнет использовать этот пул заново и в лесу появятся принципалы безопасности с одинаковыми SID.

Чтобы такой ситуации не было, во время неполномочного восстановления пул RID сбрасывается и запрашивается новый.

Примечание: может так получиться, что восстанавливать из бэкапа придется хозяина RID. На этот счет Microsoft рекомендует не выполнять восстановление, а захватить все необходимые роли с других КД и вместо утраченного контроллера развернуть другой. Тем не менее, восстановление хозяина RID вполне возможно. Главное, чтобы на момент восстановления хозяина RID остальные КД были реплицированы друг с другом и хотя бы один из их был доступен восстановленному КД для выполнения начальной репликации, иначе роль RID master не стартанет.

Если же вы восстанавливаете весь лес AD, не забудьте повысить границу выдаваемого пула 3 и сбросить текущие пулы на контроллерах домена 4.

Переходим к последнему пункту.

SYSVOL restore

Этот момент самый очевидный из всех рассматриваемых. По умолчанию осуществляется именно неполномочное восстановление SYSVOL, чтобы стянуть последние актуальные данные с других КД. Если же необходимо полномочное восстановление 5, то достаточно поставить соответствующую галочку в мастере WSB или выставить флаг -sysvol, если используете командную консоль.

Когда нужно неполномочное восстановление

Неполномочное восстановление может понадобиться в нескольких ситуациях:

  1. Рабочий КД вышел из строя в связи с аппаратными/программными проблемами и нет желания разворачивать полностью свежий КД (например потому что на старом были какие-то важные приложения и данные);
  2. При откате к снимку виртуальной машины. Если:
    • КД имеет ОС старше Windows Server 2012;
    • Гипервизор не поддерживает VM-Generation ID (все до Windows Server 2012), вне зависимости от гостевой ОС.

Во всех остальных случаях используются другие сценарии восстановления.

Подготовка

К моменту восстановления у вас должны быть:

  1. Резервная копия (я подключил к виртуализованному КД отдельный диск, на который ранее был скопирован бэкап состояния системы);
  2. Пароль DSRM. Придется загружаться в режиме восстановления AD, сервисы будут остановлены, а потому зайти под доменной учеткой не получится, только под локальным админом.

Примечание: если пароль DSRM безвозвратно утерян, его можно сбросить 6. Разумеется такой вариант возможен только при локальном входе на КД.

Примечание: если бэкапа системы нет, то все же остается возможность «сообщить» партнерам по репликации о том, что КД был восстановлен. Сделать это можно по инструкции из официальной документации 7. Выполнять эту процедуру нужно аккуратно, убедившись на 100% в корректности завершения всех шагов. Обратите внимание на комментарий в статье:

«Операции восстановления, которые выполняются с помощью следующей процедуры, не поддерживаются Майкрософт и должны использоваться только в крайнем случае при отсутствии других вариантов».

Переходим к кульминации.

Восстановление

Хочу отметить, что мой сервер перед операцией восстановления полностью доступен. Если же у вас более сложный случай, то возможно вам понадобится установочный диск операционной системы. В любом случае сценарий восстановления будет отличаться.

Есть несколько способов загрузить сервер в режиме восстановления служб каталогов и я воспользуюсь самым простым из них — нажатие F8 во время загрузки.

Примечание: если вам интересно, то второй способ — с помощью утилиты bcdedit, выполнив последовательно команды:

bcdedit /set safeboot dsrepair
shutdown -t 0 -r
После выполнения восстановления выполните команду bcdedit /deletevalue safeboot для загрузки в нормальном режиме.
Третий способ — использовать всем знакомую утилиту Msconfig (Загрузка -> Параметры загрузки -> Безопасный режим -> Восстановление Active Directory). После восстановления также не забудьте вернуть сервер в нормальный режим загрузки.

Итак, нажав F8 дожидаемся загрузки сервера и входим под учетной записью локального администратора:

Неполномочное восстановление AD DS 02

Вводим пароль DSRM, дожидаемся пока система загрузится.

Неполномочное восстановление AD DS 03

Не забудьте выбрать Восстановление системы:

Неполномочное восстановление AD DS 04

После этого увидите предупреждение:

Неполномочное восстановление AD DS 05

Подтверждаем, далее нажимаем Восстановить и снова соглашаемся с всплывшим предупреждением. Дожидаемся окончания процесса восстановления и перезагружаемся.

На этом восстановление завершено.

Notes:

  1. Performing Nonauthoritative Restore of Active Directory Domain Services
  2. Как обнаружить и восстановлению после отката USN в Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2
  3. AD Forest Recovery — Raising the value of available RID pools
  4. AD Forest Recovery — Invalidating the current RID pool
  5. The Authoritative Restore Explained
  6. Как сбросить пароль для запуска компьютера администратором в режиме восстановления службы каталогов в Windows Server 2003
  7. Особенности архивации и восстановления виртуализированных контроллеров домена
comments powered by HyperComments
writing
2022-07-05 14:18:11
<strong>doctoral dissertation writing help https://professionaldissertationwriting.org/</strong>
dissertation help galway
2022-07-05 18:42:48
<strong>uf dissertation format https://professionaldissertationwriting.com/</strong>
dissertation proposal methodology example archived
2022-07-05 19:53:13
<strong>art dissertation help https://helpwithdissertationwritinglondon.com/</strong>
write my dissertation
2022-07-05 23:20:31
<strong>service writing https://dissertationwritingcenter.com/</strong>
dissertation proposal methodology example archived
2022-07-06 01:05:41
<strong>dissertation topic https://dissertationhelpexpert.com/</strong>
example of dissertation
2022-07-06 04:08:52
<strong>creative writing course in mumbai https://accountingdissertationhelp.com/</strong>
chapters writing room
2022-07-06 06:02:55
<strong>dissertation proposal sample https://examplesofdissertation.com/</strong>
dissertation defense questions
2022-07-06 08:49:58
<strong>writing your dissertation in a week https://writing-a-dissertation.net/</strong>
dissertation examples
2022-07-06 12:08:25
<strong>writing your dissertation https://bestdissertationwritingservice.net/</strong>
tips on writing a dissertation
2022-07-06 15:06:09
<strong>rfp writing services https://businessdissertationhelp.com/</strong>
dissertation editing help
2022-07-06 19:34:00
<strong>edd dissertation topics https://customdissertationwritinghelp.com/</strong>
dissertation structure
2022-07-06 22:06:43
<strong>help writing dissertation https://writingadissertationproposal.com/</strong>
dissertation consulting
2022-07-06 23:09:22
<strong>tips on writing a dissertation https://dissertationhelpspecialist.com/</strong>
dissertation help scam
2022-07-07 04:21:21
<strong>dissertation help glasgow https://dissertationhelperhub.com/</strong>
dissertation writing services reviews
2022-07-07 05:48:08
<strong>phd thesis vs dissertation https://customthesiswritingservices.com/</strong>
vegas casino online customer service
2022-07-25 18:57:03
<strong>casino online game https://download-casino-slots.com/</strong>
miami club casino online
2022-07-25 20:56:29
<strong>online slots casino https://firstonlinecasino.org/</strong>
inferno casino online
2022-07-26 00:27:52
<strong>online casino no deposit bonus code https://onlinecasinofortunes.com/</strong>
online casino sign up bonuses
2022-07-26 02:59:35
<strong>hallmark casino online https://newlasvegascasinos.com/</strong>
mgm online casino pa
2022-07-26 05:17:30
<strong>nj online casino free money https://trust-online-casino.com/</strong>
my choice online casino
2022-07-26 08:31:07
<strong>betmgm online casino michigan https://onlinecasinosdirectory.org/</strong>
platinum play online casino
2022-07-26 13:31:49
<strong>nj casino online https://free-online-casinos.net/</strong>
borgota online casino
2022-07-26 14:51:49
<strong>turningston online casino https://internet-casinos-online.net/</strong>
michigan online casino free play
2022-07-26 17:18:21
<strong>lady luck casino online https://cybertimeonlinecasino.com/</strong>
twin river online casino
2022-07-26 20:24:34
<strong>free online casino games real money no deposit https://1freeslotscasino.com/</strong>
hardrock online casino
2022-07-26 23:35:46
<strong>my choice casino online slots https://vrgamescasino.com/</strong>
online casino echtgeld
2022-07-27 00:43:20
<strong>888 online casino nj https://casino-online-roulette.com/</strong>
vegas casino online $100 no deposit bonus codes 2021
2022-07-27 05:29:09
<strong>casino online games real money https://casino-online-jackpot.com/</strong>
casino online real money no deposit
2022-07-27 06:37:10
<strong>caesars online casino nj https://onlineplayerscasino.com/</strong>
ocean online casino app
2022-07-27 08:44:38
<strong>best pa online casino https://ownonlinecasino.com/</strong>
lucky tiger online casino
2022-07-27 15:47:08
<strong>online casino that accepts echeck https://casino8online.com/</strong>
netflix vpn free
2022-08-07 18:03:20
<strong>tunnelbear free vpn https://shiva-vpn.com/</strong>
avast secureline vpn review
2022-08-07 19:52:52
<strong>best free vpn cnet https://freehostingvpn.com/</strong>
zenmate vpn
2022-08-07 23:20:04
<strong>best mobile vpn https://ippowervpn.net/</strong>
hola vpn
2022-08-08 01:13:32
<strong>best cheap vpn service https://imfreevpn.net/</strong>
buy uk vpn
2022-08-08 03:23:30
<strong>best vpn for india https://superfreevpn.net/</strong>
best buy vpn
2022-08-08 05:00:02
<strong>best vpn for mac free https://free-vpn-proxy.com/</strong>
best free vpn mac
2022-08-08 07:14:43
<strong>best completely free vpn https://rsvpnorthvalley.com/</strong>
gay dating southwest florida
2022-08-23 14:26:22
<strong>free gay dating skwerts https://gay-singles-dating.com/</strong>
gay or bisexual dating
2022-08-23 17:21:16
<strong>gay black and white men dating https://gayedating.com/</strong>
gay trucker dating
2022-08-23 18:40:15
<strong>gay executive dating https://datinggayservices.com/</strong>
online dating simulator
2022-08-24 12:27:12
<strong>dating for free https://freephotodating.com/</strong>
farmers only dating website
2022-08-24 16:04:33
<strong>dating https://onlinedatingbabes.com/</strong>
meet women free
2022-08-24 17:31:57
<strong>match dating https://adult-singles-online-dating.com/</strong>
amature dating co
2022-08-24 20:23:15
<strong>a free dating site https://adult-classifieds-online-dating.com/</strong>
free free online dating
2022-08-24 22:16:05
<strong>free personals https://online-internet-dating.net/</strong>
best online dating website
2022-08-25 00:54:39
<strong>free meeting online https://speedatingwebsites.com/</strong>
singles chat
2022-08-25 04:16:46
<strong>dating web site https://wowdatingsites.com/</strong>
online meeting sites
2022-08-25 07:03:55
<strong>dating free https://lavaonlinedating.com/</strong>
new singles online
2022-08-25 08:51:29
<strong>local singles https://freeadultdatingpasses.com/</strong>
europe free chat
2022-08-25 11:23:15
<strong>online free dating personals for singles https://virtual-online-dating-service.com/</strong>
date me site
2022-08-25 16:48:03
<strong>dating best site https://onlinedatingservicesecrets.com/</strong>
casino royale full movie online free
2022-08-30 14:36:14
<strong>casino card games online https://online2casino.com/</strong>
tropicana online casino promo code
2022-08-30 17:53:02
<strong>ohio online casino https://casinosonlinex.com/</strong>
chat avenue gay chat room
2022-09-03 07:58:43
<strong>gay depression chat https://gaychatcams.net/</strong>
easy gay chat
2022-09-03 09:44:24
<strong>gay online chat sites https://gaychatspots.com/</strong>
gay chat rooms ring central
2022-09-03 18:08:57
<strong>gay chat room atlanta https://gay-live-chat.net/</strong>
gay chat free no cost
2022-09-03 19:02:43
<strong>free one on one gay sex chat on camera for masterbation https://chatcongays.com/</strong>
gay cam chat webcam
2022-09-04 00:39:43
<strong>little gay boys who want to sex chat with men https://gayphillychat.com/</strong>
gay furry chat
2022-09-04 07:22:26
<strong>video chat for gay men https://gaychatnorules.com/</strong>
gay chat avenue new version
2022-09-04 12:25:30
<strong>gay grandpa video chat https://gaymusclechatrooms.com/</strong>
teen gay dick snap chat
2022-09-04 15:01:06
<strong>gay video chat https://free-gay-sex-chat.com/</strong>
x4 gay video chat
2022-09-04 21:32:03
<strong>live gay chat lines https://gayinteracialchat.com/</strong>
transcript of a man's first gay chat
2022-10-20 16:31:44
<strong>chat avenue gay room https://gaymanchatrooms.com/</strong>
can i pay someone to write my paper
2022-10-20 18:18:19
<strong>buy cheap paper online https://term-paper-help.org/</strong>
who can write my paper for me
2022-10-20 20:41:21
<strong>pay someone to write paper https://uktermpaperwriters.com/</strong>
paper helper
2022-10-20 23:15:52
<strong>buy cheap papers online https://writepapersformoney.com/</strong>
custom paper service
2022-10-21 00:57:52
<strong>thesis papers for sale https://write-my-paper-for-me.org/</strong>
help writing paper
2022-10-21 02:49:10
<strong>college paper ghost writer https://doyourpapersonline.com/</strong>
where to buy college papers
2022-10-21 03:40:44
<strong>online paper writing service https://top100custompapernapkins.com/</strong>
order custom paper
2022-10-21 05:33:32
<strong>what is the best paper writing service https://researchpaperswriting.org/</strong>
custom paper writing
2022-10-21 06:34:04
<strong>pay to write a paper https://cheapcustompaper.org/</strong>
custom paper writers
2022-10-21 08:19:04
<strong>write my paper apa style https://writingpaperservice.net/</strong>
pay someone to write your paper
2022-10-21 10:56:35
<strong>paper writing service cheap https://mypaperwritinghelp.com/</strong>
write my paper one day
2022-10-21 12:04:55
<strong>paper writer https://writemypaperquick.com/</strong>
buy cheap papers online
2022-10-21 13:08:27
<strong>where to buy college papers https://essaybuypaper.com/</strong>
pay to write paper
2022-10-21 16:05:28
<strong>can you write my paper https://premiumpapershelp.com/</strong>
buy school papers
2022-10-21 16:58:01
<strong>help writing a college paper https://ypaywallpapers.com/</strong>
1northeast
2023-01-25 22:21:17
<strong>2forthright</strong>
coursework
2023-02-05 14:56:29
<strong>coursework writer uk https://brainycoursework.com/</strong>
data analysis coursework
2023-02-05 15:42:53
<strong>differential equations coursework https://courseworkninja.com/</strong>
coursework writing
2023-02-05 22:06:48
<strong>degree coursework https://courseworkinfotest.com/</strong>
coursework paper
2023-02-05 23:10:14
<strong>coursework samples https://coursework-expert.com/</strong>
coursework help uk
2023-02-06 01:24:17
<strong>coursework https://buycoursework.org/</strong>
over dating
2023-02-08 12:47:59
<strong>best websites dating https://freewebdating.net/</strong>
12 single dating site
2023-02-08 16:27:09
<strong>dating site online https://free-dating-sites-free-personals.com/</strong>
italian dating sites
2023-02-08 18:03:20
<strong>best online dating website https://sexanddatingonline.com/</strong>
asians dating site
2023-02-08 18:42:30
<strong>dating singles for free sites https://onlinedatingsurvey.com/</strong>
free local dates
2023-02-09 00:34:37
<strong>sites adult https://allaboutdatingsites.com/</strong>
datting
2023-02-09 01:32:53
<strong>personal ads dating https://freedatinglive.com/</strong>
skip the game dating site free search
2023-02-09 02:43:32
<strong>plenty of fish dating https://freewebdating.net/</strong>
Яндекс.Метрика