sysrtfm

Привет, сегодня, с разрешения своего коллеги, Андрея Федюнина, поделюсь его опытом: «Как восстановить AD из System State на другом железе«. Данный эксперимент проводился лично им и включает опыт многих. Было потрачено много времени на чтение технической информации, так что спасибо тебе!

Ниже приведен полный текст автора без изменений, и рассчитан он на опытного системного администратора, картинок не будет, так как и так все достаточно подробно описано. Поехали!

Восстановление Active Directory из System State

Рассматривается случай полного выхода из строя сервера и разворачивание System State на новом железе.

• Устанавливается Windows той же версии которая стояла на исходной машине;
• Устанавливаем все необходимые драйвера;
• Установить тот же SP и версию IE (критична разница между IE6 и IE7);
• Настраивается IP адрес, меняется название компьютера как на вышедшей из строя;
• Поднимаются роли, которые были на исходном сервере (для работы AD необходимо поднять AD и DNS, настройки не важны, за исключением названия домена);
• Перезагружаемся и заходим в режим восстановления AD;
• Заходим в редактирование реестра (regedit) и экспортируем как кусты (!важно) следующие ветки реестра:

  HKLM\System\CurrentControlSet\Control\Class; HKLM\System\CurrentControlSet\Control\CriticalDeviceDatabase

• Запускаем ntbackup и восстанавливаем System State без замены файлов;
• Загружаемся с LiveCD (лучше использовать WinPE чем ERD Commander в связи с ограниченностью редактора реестра последнего);
• Подгружаем ветку реестра System и импортируем сохраненные ранее кусты на прежнее место (!важно: при импорте куста необходимо выделить ветку в которую необходимо произвести импорт, при импорте все предыдущее содержимое удаляется);
• Перезагружаемся и загружаемся в безопасном режиме с поддержкой сети.Устанавливаем необходимые драйвера, удаляем те службы, которые больше никогда использоваться не будут на новом сервере. Запускаем regedit, идем в

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

  и делаем резервную копию этой ветки реестра на всякий случай.Далее, сопоставляя службы, которые должны запускаться автоматически, но не запускаются, со списком из реестра и удаляем их;

• Снова настраиваем IP адрес;
• Скорее всего потребуется активировать windows, поэтому либо активируем повторно или используем killWPA;
• Загружаемся в обычном режиме.

Далее необходимо действовать в зависимости от ситуации

1 — Единственный контроллер домена:

• Проверить журнал событий на наличие ошибок в DNS и Directory Service;

• Проверить сетевые шары Sysvol и Netlogon, если таковых не имеется то зайти в управление компьютером, остановить службу репликации файлов, зайти в папку

  Sysvol\Domain\Ntfrs_PreExisting__See_Event_Log\

  вырезать содержимое на уровень выше, запустить редактор реестра, найти ключ BurFlagsраздела

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\

  и установить значение D4, запустить службу заново (Более подробное описание находится на сайте Microsoft http://support.microsoft.com/kb/316790). Сетевые папки должны создаться, проверить можно командой

  net share

• Если dcdiag выдает ошибки, выполнить команду

  dcdiag /fix

После чего желательно перезагрузиться и проверить журнал событий заново.

2 — В домене несколько контроллеров домена:

• Проверить журнал событий на наличие ошибок в DNS и Directory Service;

• Проверить сетевые шары Sysvol и Netlogon, если таковых не имеется то зайти в управление компьютером, остановить службу репликации файлов, зайти в папку

  Sysvol\Domain\Ntfrs_PreExisting__See_Event_Log\

  вырезать содержимое на уровень выше, запустить редактор реестра, найти ключ BurFlagsраздела

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup\

  и установить значение D4, запустить службу заново (Более подробное описание находится на сайте Microsoft http://support.microsoft.com/kb/316790). Сетевые папки должны создаться, проверить можно командой

  net share

• Если dcdiag выдает ошибки, выполнить команду

  dcdiag /fix

• Перезагрузиться;

• Открыть оснастку AD Sites & Services, открыть NTDS Settings каждого из контроллеров и запустить репликацию вручную. Если восстановленный бекап делался незадолго до сбоя, то велика вероятность что репликация пройдет без ошибок, в противном случае возникнет ошибка «Главное конечное имя неверно«. В этом случае необходимо сделать следующее (http://support.microsoft.com/kb/288167):
  • Определить контроллер домена, являющийся хозяином операций для эмулятора основного контроллера домена (PDC).Установите программу Netdom.exe из набора Windows Support Toolsи выполните следующую команду:

    netdom query fsmo

  • На контроллерах домена, подверженных данной проблеме, отключите службу «Центр распространения ключей Kerberos» (KDC), выбрав в «Тип запуска» значение Отключено и перезагрузите компьютер;
  • Воспользуйтесь программой Netdom для сброса безопасных каналов между данным контроллером домена и хозяином операций для эмулятора PDC. Для этого выполните следующую команду на контроллере домена, не являющемся хозяином операций для эмулятора PDC:

    netdom resetpwd /server:имя_сервера /userd:имя_домена\administrator /passwordd:пароль_администратора

    Где имя_сервера — имя сервера, являющегося хозяином операций для эмулятора PDC;

  • После сброса безопасного канала перезагрузите компьютер. Даже если попытка сброса удаления безопасного канала с помощью программы Netdom окончилась неудачно, компьютер необходимо перезагрузить, перед этим вернув тип запуска службы «Центр распространения ключей Kerberos» на Авто;

• Провести повторную репликацию, в случае использования старого System State могут появиться устаревшие объекты, что приведет к ошибке «Недостаточно атрибутов для создания объекта» для ее устранения необходимо (http://support.microsoft.com/kb/2028495/en-us):
  • Зайти на КД на котором встречается ошибка 1988 в событиях Directory Service и отфильтровать по ней все записи;
  • Поочередно просматривать данные события и записывать в табличку все уникальные Объекты (Исходный домен, Объект, Guid объекта);
  • Выполните команду repadmin. Синтаксис команды:

    repadmin /removelingeringobjects <имя_целевого_КД> <GUID_исходного_КД> <раздел_LDAP> /advisory_mode

    В качестве параметров команды введите следующие значения.
    Имя_целевого_КД — имя узла контроллера домена, который предполагается использовать для удаления устаревших объектов. В журнале событий он указан как исходный DC и указано его полное доменное имя
    GUID_исходного_КД— выполните команду

    repadmin /showrepl имя_заслуживающего_доверие_КД

    где имя_заслуживающего_доверие_КД — имя узла контроллера домена, который выбирается в качестве заслуживающего доверие, т.е. на котором находятся актуальные данные. Введите первый отображаемый GUID объекта DSA в качестве параметра <GUID_исходного_КД>.
    Раздел_LDAP — имя целевого раздела протокола LDAP. Взять из событий с кодом 1988.
    Пример команды:

    repadmin /removelingeringobjects ncfs.domain.local d0c1b7e6-fdbd-4d35-9319-ce169990aa94 dc=domain,dc=local /advisory_mode

После удаления всех устаревших объектов репликация должна пройти успешно.

Полезные KB: http://support.microsoft.com/kb/216498, http://support.microsoft.com/kb/312862, http://support.microsoft.com/kb/305476, http://support.microsoft.com/kb/315457

Все готово! Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает! © народная мудрость…