1 день: Присутствует только один контроллер домена (DC1). Windows Server Backup настроен на DC1 для сохранения состояния системы. Удалить важного пользователя из AD.
День 2: Повышение уровня дополнительного контроллера домена (DC2).
День 3: Загрузите DC1 в DSRM и вернитесь к первому дню через System State Recovery (неавторитетно). Отметьте важного пользователя для восстановления через ntdsutil (авторитетно). Перезагрузите DC1.
DC1 не синхронизируется с DC2, а DC2 не знает, отображается ли он в Active Directory Users and Computers на DC1. Active Directory Sites and Services показывает объект NTDS DC2 (синхронизированный обратно с DC1 из других доменов в лесу, как я предполагаю), но мы не можем запустить очистку метаданных, поскольку он не может найти объект компьютера. На этом этапе, поскольку DC1 не синхронизируется с другими контроллерами домена, вся AD была возвращена к состоянию на 1-й день вместо того, чтобы просто восстановить важного пользователя.
Можно ли выйти из этой ситуации? Это ожидаемое поведение или в среде отсутствовала предпосылка?
решение1
Ваш опыт может отличаться, но, по моему мнению, в Active Directory нет разумного способа делать восстановления отдельных объектов. Вещи слишком взаимосвязаны, и объекты постоянно меняются (вероятно, это и есть «активный» в Active Directory).
Я бы посоветовал включить корзину Active Directory для случаев, подобных тому, с которым вы столкнулись.
Выполнение восстановления состояния системы почти всегда возможно только для аварийного восстановления (т. е. когда вы потеряли все свои контроллеры домена). Однако в таком случае вы, вероятно, потеряли гораздо больше, поэтому начать заново может быть лучшим вариантом в этом случае.
решение2
Проблема в том, что в вашей резервной копии (day1) не было 2-го DC. Метод, который вы использовали, обычно работает и позволяет восстановить только один объектЕСЛИDC2 был частью домена, когда вы делали резервную копию на DC1.
У вас есть своего рода сценарий курицы и яйца - когда вы восстанавливаете DC1 (как вы правильно отметили), он не знает о DC2, поэтому не будет доверять ему (для репликации). И DC2 не может сделать себя авторитетным по сравнению с DC1 по той же причине. Таким образом, вы получаете 2 отдельные версии вашего AD, потому что DC не доверяют друг другу. Вы не можете это исправить, вам просто не повезло, что вы удалили важный объект до того, как ваш второй DC был в сети.
решение3
Поддерживается выполнение авторитарного восстановления на любой момент времени, пока эта резервная копия не старше tombstoneLifetime в лесу Active Directory (180 дней). Вы также можете добавить дополнительные контроллеры домена в домен и по-прежнему восстанавливать резервную копию, которая была сделана, когда присутствовал только один контроллер домена.
Единственное, на что следует обратить внимание, это то, что все вновь повышенные контроллеры домена полностью синхронизированы с Active Directory и завершили свою первоначальную синхронизацию SYSVOL. Убедитесь, что общие ресурсы NETLOGON и SYSVOL присутствуют на всех контроллерах домена в домене, прежде чем выполнять восстановление объектов с помощью авторитарного восстановления.
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
В моем сценарии с двумя контроллерами домена DC2 не был полностью реплицирован и ожидал начальной синхронизации SYSVOL. Затем DC1 был восстановлен и после перезагрузки также находился в том же состоянии начальной синхронизации SYSVOL. Это привело к тому, что оба контроллера домена больше не реплицировались, и фактически с этого момента у обоих была своя собственная копия Active Directory.