Восстановление Active Directory из резервной копии

В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии System State, созданной ранее (см. статью Резервное копирование Active Directory) и рассмотрим типы и принципы восстановления DC в AD.

Допустим у вас вышел из строя контроллер домена AD, и вы хотите восстановить его из созданной ранее резервной копии. Прежде чем приступить к восстановлению DC, нужно понять какой сценарий восстановления контроллера домена вам нужно использовать. Это зависит от того, есть ли у вас в сети другие DC и повреждена ли база Active Directory на них.

Восстановление контроллера домена AD через репликацию

Восстановление DC через репликацию – это не совсем процесс восстановления DC из бэкапа. Этот сценарий может использоваться, если у вас в сети есть несколько дополнительных контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера, повышение его до нового DC в этом же сайте. Старый контроллер нужно просто удалить из AD.

Это самый простой способ, который гарантирует что вы не внесете непоправимых изменений в AD. В этом сценарии база ntds.dit, объекты GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый DC с DC-ов, оставшихся онлайн.

Если размер базы ADDS небольшой и другой DC доступен по скоростному каналу, это намного быстрее, чем восстанавливать DC из бэкапа.

Типы восстановления Active Directory: полномочное и неполномочное

Есть два типа восстановления Active Directory DS из резервной копии, в которых нужно четко разобраться перед началом восстановления:

Authoritative Restore (полномочное или авторитативное восстановление) – после восстановления объектов AD выполняется репликация с восстановленного DC на все остальные контроллеры в домене. Этот тип восстановления используется в сценариях, когда упал единственный DC или все DC одновременно (например, в результате атаки шифровальщика или вируса), или когда по домену реплицировалась поврежденная база NTDS.DIT. В этом режиме у всех восстановленных объектов AD значение USN (Update Sequence Number) увеличивается на 100000. Таким образом восстановленные объекты будут восприняты всеми DC как более новые и будут реплицированы по домену. Полномочный способ восстановления нужно использовать очень аккуратно.

Восстановление контроллера домена AD из system state бэкапа

Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.

У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.

Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.

Для восстановления Actve Directory вам нужно загрузить сервер в режиме восстановления служб каталогов DSRM (Directory Services Restore Mode). Для этого запустите msconfig и на вкладе Boot выберите Safe Boot -> Active Directory repair.

Active Directory repair mode» srcset=»https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode.png 575w, https://winitpro.ru/wp-content/uploads/2019/10/safe-boot-greater-active-directory-repair-mode-300×196.png 300w» sizes=»(max-width: 575px) 100vw, 575px»/>

Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.

В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).

Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.

wbadmin get versions -backupTarget:D:

Выберите дату, на которую нужно восстановить резервную копию.

Укажите, что вы восстанавливаете состояние System State.

Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).

Система покажет предупреждение, что эта резервная копия другого сервера, и что при восстановлении на другом сервере может не завестись. Продолжаем.

Согласитесь с еще одним предупреждением:

После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).

Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)

Авторизуйтесь на сервере под учетной записью с правами администратора домена.

При первом запуске консоли ADUC я получил ошибку:

При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:

1. Запустите regedit.exe;
2. Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
3. Измените значение параметра SysvolReady с 0 на 1;
4. Потом перезапустите службу NetLogon: net stop netlogon & net start netlogon

Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.

Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.

Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.

Восстановление отдельных объектов в AD

Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.

Вкратце процедура выглядит следующим образом:

1. Загрузите DC в DSRM режиме;
2. Выведите список доступных резервных копий: wbadmin get versions
3. Запустите восстановление выбранной резервной копии: wbadmin start systemstaterecovery –version:[your_version]
4. Подтвердите восстановление DC (в не полномочном режиме);
5. После перезагрузки запустите: ntdsutil
6. activate instance ntds
7. authoritative restore

Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:

restore subtree ″OU=Users,DC=winitpro,DC=ru″

Или один объект:

restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”

Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.

Выйдите из ntdsutil: quit

Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.

Восстановление леса AD — выполнение полного восстановления сервера AD Forest Recovery — Performing a full server recovery

Область применения: Windows Server 2016, Windows Server 2012 и 2012 R2, Windows Server 2008 и 2008 R2 Applies To: Windows Server 2016, Windows Server 2012 and 2012 R2, Windows Server 2008 and 2008 R2

Используйте следующую процедуру, чтобы выполнить полное восстановление сервера для Windows Server 2016, 2012 R2 или 2012. Use the following procedure to perform a full server recovery for Windows Server 2016, 2012 R2, or 2012.

Полное восстановление сервера Active Directory Active Directory Full Server Recovery

Полное восстановление сервера необходимо, если выполняется восстановление на другое оборудование или другой экземпляр операционной системы. A full server recovery is necessary if you are restoring to different hardware or a different operating system instance. Необходимо учитывать следующее: Keep in mind the following:

• Число дисков на целевом сервере должно быть равно числу в резервной копии, и они должны иметь один и тот же размер или больше. The number drives on the target server needs to be equal to the number in the backup and they need to be the same size or greater.
• Чтобы получить доступ к параметру восстановления компьютера , необходимо запустить целевой сервер с DVD-диска операционной системы. The target server needs to be started from the operating system DVD in order to access the Repair your computer option.
• Если целевой контроллер домена работает на виртуальной машине в Hyper-V, а резервная копия хранится в сетевом расположении, необходимо установить устаревший сетевой адаптер. If the target DC is running in a VM on Hyper-V and the backup is stored on a network location, you must install a legacy network adapter.
• После выполнения полного восстановления сервера необходимо отдельно выполнить полномочное восстановление SYSVOL, как описано в статье восстановление леса Active Directory — выполнение полномочной синхронизации SYSVOL с репликацией DFSR. After you perform a full server recovery, you need to separately perform an authoritative restore of SYSVOL, as described in AD Forest Recovery — Performing an authoritative synchronization of DFSR-replicated SYSVOL.

В зависимости от сценария используйте одну из следующих процедур, чтобы выполнить полное восстановление. Depending on your scenario, use one of the following procedures to perform a full restore.

Выполнение полного восстановления сервера с помощью локальной резервной копии с последним образом Perform a full server restore with a local backup with the latest image

1. Запустите программа установки Windows, укажите формат языка, времени и валюты, а также параметры клавиатуры и нажмите кнопку Далее. Start Windows Setup, specify the Language, Time and currency format, and keyboard options and click Next.
2. Нажмите Восстановить компьютер. Click Repair your computer.
3. Нажмите кнопку Устранение неполадок. Click Troubleshoot.
4. Щелкните Восстановление образа системы. Click System Image Recovery.
5. Щелкните Windows Server 2016. Click Windows Server 2016.
6. Если восстанавливается последняя Локальная резервная копия, щелкните использовать последний доступный образ системы (рекомендуется) и нажмите кнопку Далее. If you are restoring the most recent local backup, click Use the latest available system image (recommended) and click Next.
7. Теперь у вас будет возможность: You will now be given an option to:
   • Форматирование и повторное разбиение дисков Format and repartition disks
   • Установка драйверов Install drivers
   • Отмените выбор дополнительных функций автоматического перезапуска и проверки на наличие ошибок диска. De-selecting the Advanced features of automatically restarting and checking for disk errors. Эти типы включены по умолчанию. These are enabled by default.
8. Щелкните Далее. Click Next.
9. Нажмите кнопку Готово. Click Finish. Вам будет предложено подтвердить, что вы действительно хотите продолжить. You will be prompted asking if you are sure you want to continue. Нажмите кнопку Да. Click Yes.
10. После этого выполните полномочное восстановление SYSVOL, как описано в статье восстановление леса Active Directory. выполнение полномочной синхронизации SYSVOL, реплицированнойс помощью DFSR. Once this completes perform an authoritative restore of SYSVOL, as described in AD Forest Recovery — Performing an authoritative synchronization of DFSR-replicated SYSVOL.

Выполните полное восстановление сервера с любым локальным или удаленным образом. Perform a full server restore with any image local or remote

1. Запустите программа установки Windows, укажите формат языка, времени и валюты, а также параметры клавиатуры и нажмите кнопку Далее. Start Windows Setup, specify the Language, Time and currency format, and keyboard options and click Next.
2. Нажмите Восстановить компьютер. Click Repair your computer.
3. Щелкните Устранение неполадок, выберите Восстановление образа системы и щелкните Windows Server 2016. Click Troubleshoot, click System Image Recovery, and click Windows Server 2016.
4. При восстановлении последней локальной резервной копии щелкните выбрать образ системы и нажмите кнопку Далее. If you are restoring the most recent local backup, click Select a system image and click Next.
5. Теперь можно выбрать расположение резервной копии, которую необходимо восстановить. Now you can select the location of the backup that you want to restore. Если образ является локальным, его можно выбрать из списка. If the image is local you can select it from the list.
6. Если образ находится в общей сетевой папке, выберите Дополнительно. If the image is on a network share, select Advanced. Если необходимо установить драйвер, можно также выбрать Дополнительно . You can also select Advanced if you need to install a driver.
7. При восстановлении из сети после нажатия кнопки Дополнительно выберите Поиск образа системы в сети. If you are restoring from the network after clicking Advanced select Search for a system image on the network. Возможно, вам будет предложено восстановить сетевое подключение. You may be prompted to restore network connectivity. Нажмите кнопку ОК. Select Ok.
8. Введите UNC-путь к расположению общей папки резервных копий (например, \ \server1\backups) и нажмите кнопку ОК. Type the UNC path to the backup share location (for example, \\server1\backups) and click OK. Также можно ввести IP-адрес целевого сервера, например \ \192.168.1.3\backups.. You can also type the IP address of the target server, such as \\192.168.1.3\backups.
9. Введите учетные данные, необходимые для доступа к общей папке, и нажмите кнопку ОК. Type credentials necessary to access the share and click OK.
10. Теперь выберите дату и время образа системы для восстановления и нажмите кнопку Далее. Now Select the date and time of system image to restore and click Next.
11. Теперь у вас будет возможность: You will now be given an option to:
    • Форматирование и повторное разбиение дисков Format and repartition disks
    • Установка драйверов Install drivers
    • Отмените выбор дополнительных функций автоматического перезапуска и проверки на наличие ошибок диска. De-selecting the Advanced features of automatically restarting and checking for disk errors. Эти типы включены по умолчанию. These are enabled by default.
12. Щелкните Далее. Click Next.
13. Нажмите кнопку Готово. Click Finish. Вам будет предложено подтвердить, что вы действительно хотите продолжить. You will be prompted asking if you are sure you want to continue. Нажмите кнопку Да. Click Yes.
14. После этого выполните полномочное восстановление SYSVOL, как описано в статье восстановление леса Active Directory. выполнение полномочной синхронизации SYSVOL, реплицированнойс помощью DFSR. Once this completes perform an authoritative restore of SYSVOL, as described in AD Forest Recovery — Performing an authoritative synchronization of DFSR-replicated SYSVOL.

Включение сетевого адаптера для резервного копирования сети Enabling the network adapter for a network backup

Если необходимо включить сетевой адаптер из командной строки для восстановления из общей сетевой папки, выполните следующие действия. If you need to enable a network adapter from the command prompt to restore from a network share, use the following steps.

Запустите программа установки Windows, укажите формат языка, времени и валюты, а также параметры клавиатуры и нажмите кнопку Далее. Start Windows Setup, specify the Language, Time and currency format, and keyboard options and click Next.

Нажмите Восстановить компьютер. Click Repair your computer. I I

Нажмите кнопку Устранение неполадок, выберите пункт Командная строка. Click Troubleshoot, click Command Prompt.

Введите следующую команду и нажмите клавишу ВВОД: Type the following command and press ENTER:

Чтобы подтвердить имя сетевого адаптера, введите: To confirm the name of the network adapter, type:

Введите следующие команды и нажмите клавишу ВВОД после каждой команды: Type the following commands and press ENTER after each command:

Пример: For example:

Введите, quit чтобы вернуться в командную строку. Type quit to return to a command prompt. Введите, ipconfig /all чтобы проверить, имеет ли сетевой адаптер IP-адрес, и попробуйте проверить связь с IP-адресом сервера, на котором размещена общая папка резервных копий, чтобы подтвердить подключение. Type ipconfig /all to verify the network adapter has an IP address and try to ping the IP address of the server that hosts the backup share to confirm connectivity. После завершения закройте командную строку. Close the command prompt when you are done.

Теперь, когда сетевой адаптер работает, выберите действия, описанные выше, чтобы завершить восстановление. Now that the network adapter is working, select the steps above to complete the restore.