Tag 1: Es ist nur ein Domänencontroller (DC1) vorhanden. Windows Server Backup ist auf DC1 konfiguriert, um den Systemstatus zu speichern. Löschen Sie einen wichtigen Benutzer aus AD.
Tag 2: Zusätzlichen Domänencontroller (DC2) heraufstufen.
Tag 3: Starten Sie DC1 in DSRM und kehren Sie über System State Recovery (nicht autorisierend) zu Tag 1 zurück. Markieren Sie den wichtigen Benutzer für die Wiederherstellung über ntdsutil (autorisierend). Starten Sie DC1 neu.
DC1 wird nicht mit DC2 synchronisiert und DC2 wird nicht in Active Directory-Benutzern und -Computern auf DC1 angezeigt. Active Directory-Sites und -Dienste zeigen das NTDS-Objekt von DC2 an (ich nehme an, es wurde von anderen Domänen im Forest mit DC1 synchronisiert), aber wir können keine Metadatenbereinigung durchführen, da das Computerobjekt nicht gefunden werden kann. Da DC1 an diesem Punkt nicht mit anderen Domänencontrollern synchronisiert wird, wurde das gesamte AD auf Tag 1 zurückgesetzt, anstatt nur den wichtigen Benutzer wiederherzustellen.
Können wir diese Situation beheben? Ist dies das erwartete Verhalten oder fehlte in der Umgebung eine Voraussetzung?
Antwort1
Ihre Erfahrung kann anders sein, aber meiner Meinung nach gibt es in Active Directory keine vernünftige Möglichkeit, einzelne Objekte wiederherzustellen. Die Dinge sind viel zu stark miteinander verbunden und Objekte ändern sich ständig (das ist wahrscheinlich das „Aktiv“ in Active Directory).
Ich würde vorschlagen, den Active Directory-Papierkorb für Fälle wie den von Ihnen beschriebenen zu aktivieren.
Eine Systemstatuswiederherstellung ist fast immer nur bei einer Notfallwiederherstellung möglich (d. h. wenn Sie alle Ihre DCs verloren haben). In einem solchen Fall haben Sie jedoch wahrscheinlich viel mehr verloren, sodass ein Neuanfang in diesem Fall die bessere Option sein kann.
Antwort2
Das Problem, das Sie haben, ist, dass in Ihrem Backup (Tag 1) kein zweiter DC vorhanden war. Die von Ihnen gewählte Methode würde normalerweise funktionieren und Ihnen ermöglichen, nur das eine Objekt wiederherzustellenWENNDC2 war Teil der Domäne, als Sie die Sicherung auf DC1 durchgeführt haben.
Sie haben eine Art Henne-Ei-Szenario: Wenn Sie DC1 wiederherstellen (wie Sie richtig bemerkt haben), kennt es DC2 nicht und vertraut ihm daher nicht (für die Replikation). Und DC2 kann sich aus demselben Grund nicht als autorisierend gegenüber DC1 erweisen. Sie haben also am Ende zwei separate Versionen Ihres AD, weil die DCs einander nicht vertrauen. Sie können das nicht beheben, Sie hatten einfach Pech, dass Sie ein wichtiges Objekt gelöscht haben, bevor Ihr zweiter DC online war.
Antwort3
Es wird unterstützt, eine autoritative Wiederherstellung zu jedem beliebigen Zeitpunkt durchzuführen, solange diese Sicherung nicht älter ist als die TombstoneLifetime in der Active Directory-Gesamtstruktur (180 Tage). Sie können der Domäne auch zusätzliche Domänencontroller hinzufügen und trotzdem eine Sicherung wiederherstellen, die erstellt wurde, als nur ein Domänencontroller vorhanden war.
Sie müssen lediglich darauf achten, dass alle neu hochgestuften Domänencontroller vollständig mit Active Directory synchronisiert sind und ihre anfängliche SYSVOL-Synchronisierung abgeschlossen haben. Stellen Sie sicher, dass die NETLOGON- und SYSVOL-Freigaben auf allen Domänencontrollern in der Domäne vorhanden sind, bevor Sie eine Objektwiederherstellung über eine autoritative Wiederherstellung durchführen.
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
In meinem Szenario mit zwei Domänencontrollern wurde DC2 nicht vollständig repliziert und wartete auf die erste SYSVOL-Synchronisierung. DC1 wurde dann wiederhergestellt und befand sich nach dem Neustart ebenfalls im gleichen Zustand der ersten SYSVOL-Synchronisierung. Dies führte dazu, dass beide Domänencontroller nicht mehr replizierten und von diesem Zeitpunkt an effektiv beide ihre eigene Kopie von Active Directory hatten.