Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В некоторых сценариях может потребоваться восстановить только один домен в лесу с несколькими доменами, а не полное восстановление леса. В этом разделе рассматриваются рекомендации по восстановлению одного домена и возможных стратегий.
Как и в процессе восстановления леса, вы восстанавливаете один или несколько контроллеров домена из резервной копии в домене и очищаете метаданные оставшихся контроллеров домена. Затем новые контроллеры домена добавляются, присоединяясь к новым членам, устанавливая роли AD DS и повышая их. Для выполнения задачи также можно использовать клонирование контроллера домена или установку с носителя.
Восстановление одного домена представляет собой уникальную проблему для перестроения серверов глобального каталога (GC). Например, если первый контроллер домена (DC) для домена восстанавливается из резервной копии, созданной за неделю ранее, то все остальные контроллеры домена в лесу будут иметь более актуальные данные для этого домена, чем восстановленный контроллер домена. Чтобы повторно установить согласованность данных GC, существует несколько вариантов:
Отключить раздел восстановленных доменов от всех GC в лесу, за исключением тех, которые в восстановленном домене, одновременно. После завершения этого процесса, повторно подключить все GC в лесу. Кроме того, убедитесь, что вы не перегружаете оставшиеся GCs. В больших средах координация этого действия может быть очень сложной.
Выполните процесс восстановления леса, чтобы восстановить домен, а затем удалите неустранимые объекты из GCs в других доменах.
В следующих разделах приведены общие рекомендации по каждому варианту. Полный набор шагов, которые необходимо выполнить для восстановления, зависит от разных сред Active Directory.
Повторное размещение всех GCs
Предупреждение
Имя входа и пароль учетной записи администратора домена по умолчанию («RID-500») для всех доменов должны быть доступны, а учетные записи включены для использования в случае возникновения проблемы, которая препятствует доступу к Глобальному Каталогу для входа.
Примечание.
Чтобы разрешить вход без проверки GC, можно также настроить HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures значение на 1.
Если неизвестно, получитеидентификатордомена с помощью whoami /all другой учетной записи в каждом домене или выполните следующую команду, чтобы определить RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value
Повторное размещение всех GCs можно выполнить с помощью команд repadmin /unhost и repadmin /rehost (частью repadmin /experthelp). Вы будете выполнять команды repadmin для каждого сборщика мусора в каждом домене, который не восстановленных. Необходимо убедиться, что все GCs больше не содержат копию восстановленного домена. Чтобы добиться этого, сначала отключите раздел домена от всех контроллеров домена во всех невосстановленных доменах леса. Так как в GC больше не содержится раздел, его можно повторно разместить. При переноса рассмотрите структуру сайтов и репликации вашего леса. Например, завершите повторное размещение одного контроллера домена на сайте до повторного размещения других контроллеров домена на этом же сайте.
Этот вариант может быть выгодным для небольшой организации, которая имеет только несколько контроллеров домена для каждого домена. Все GCs можно перестроить в пятницу ночью и, при необходимости, завершить репликацию для всех разделов домена, доступных только для чтения, к утру понедельника. Однако если вам нужно восстановить большой домен, охватывающий сайты по всему миру, повторное размещение секции домена только для чтения на всех контроллерах GCs для других доменов может значительно повлиять на операции и, возможно, потребует времени простоя.
Поиск и удаление оставшихся объектов
На контроллерах GC всех остальных доменов в лесу проверьте и удалите потенциально оставшиеся объекты для раздела только для чтения восстановленного домена.
Источник для очистки застоявшегося объекта должен быть контроллером домена в восстановленном после сбоя домене. Чтобы убедиться, что начальный контроллер домена не содержит оставшихся объектов для каких-либо разделов домена, вы можете удалить глобальный каталог.
Удаление задерживающихся объектов выгодно для крупных организаций, которые не могут рисковать временем простоя, связанным с повторной размещением контекста именования домена.
Дополнительные сведения см. в разделе Использование repadmin для удаления устаревших объектов.
Следующие шаги
- Восстановление леса AD — необходимые условия
- AD Forest Recovery — создание настраиваемого плана восстановления леса
- Восстановление леса AD— шаги по восстановлению леса
- Восстановление леса AD. Определение проблемы
- Восстановление леса AD — определение метода восстановления
- Восстановление леса AD — выполнение первоначального восстановления
- Восстановление леса AD — процедуры
- Восстановление леса AD— часто задаваемые вопросы (часто задаваемые вопросы)
- Ad Forest Recovery — восстановление одного домена в многодоменном лесу
- Восстановление леса AD— повторное развертывание оставшихся контроллеров домена
- Восстановление леса AD — виртуализация
- Восстановление леса AD — очистка