none
Восстановление Active Directory RRS feed

  • Вопрос

  • Здравствуйте!

     

    Вопрос такого характера, имеется DC на основе ОС Server 2003 EE SP2 R2, также имеется его резервная копия SystemSate на ДВД-диске.

    Предполагаю, что сдохла вся машина на которой был DC и пытаюсь восстановить контроллер домена на абсолютно другой машине используя этот SystemState.

    1. Устанавливаю занового ОС ( с тем же именем компьютера, что и сдох)
    2. Устанавливаю все обновления на ОС
    3. Гружусь в режим восстановления Directory Services
    4. Из ntbackup восстанавливаю SystemSate убитого DC

    Далее пробывал вот такие варианты

    Вариант 1

    1. Перезагружался сразу в защищенный режим, доустанавливал все дрова на которые ругалась восстановленая ОС
    2. Перезагружался уже в нормальный режим, ОС долго упорно грузилась, но всетаки в нее зашел уже под учетными данными от мертвого DC
    3. И увы ни один сервис от AD не работал (DNS, DHCP, AD) на попытки открыть консоли или запустить сервисы через оснаску вываливается ошибка

    Вариант 2

    1. Прежде чем восстанавливаться в режиме Directory Services, устанавливал зановго DC с теми же параметрами, что и сдохший (доменное имя, DNS,DHCP)
    2. Потом восстанавливался
    3. Пробывл через ntdsutil в авторитарном режиме восстановить
    4. Результата никакого, службы не запускаються и не пашут

    Возможно ли восстановить DC на совершенно новом оборудовании с резервной копии SystemSate при отсутсвии других контроллеров.

    И как правильно восстанавливаться?

    12 июня 2008 г. 18:05

Ответы

  • Это я уже видел и читал, равно как и все остальное что на сайте написано про восстановление АД.

    Просто ситуация какая, для полного понимания плана восстановления (как по продному MOF написано), надо персонал тренировать на разные уровни критических ситуаций..так вот одна из них (не дай Бог конечно) сдохло железо с доменом, но выжила резервная копия и по ней я восстанавливаю на Virtual PC.

    Что в итоге у меня получилось

    1. Установил ОС

    2. Натянул все обновления на нее

    3. Дал одинаковое имя

    4. Восстановил состояние системы на момент гипотетического краха

    5. Перезагрузился в БЕЗПАСНЫЙ режим, для установки дров на новое оборудование

    6. Перезагрузился

    7. Залогинился в систему

    8. Выолнил очисту winsock netsh winsock reset

    9. Перезарузился

    10. Зашел в системы, настроил сетевые интерфейсы занового

    11. Заработала частично АД, юзеров создавать не хочет, но все остальное в ней есть (Правда пока нет возможности проверить будет ли физическая машина из родного домена проходить авторизацию на виртуальном, смогу выяснить только на работе)

    12. Осталось восстановить RID ....пока не знаю как.....

     

    у кого есть какие идей? для окончательной реинкорнации домена?

     

     

    П.С.

    Как можно сбросить пароль на восстановления АД в режиме Directory Services...а то увы я его забыл (((((

    ....Вопрос с восстановлением пароля уже не актуален (ntdsutil рулит)

     

    стоило немного подождать как все заработало после правки RID пула

    13 июня 2008 г. 7:39

Все ответы

  • Это я уже видел и читал, равно как и все остальное что на сайте написано про восстановление АД.

    Просто ситуация какая, для полного понимания плана восстановления (как по продному MOF написано), надо персонал тренировать на разные уровни критических ситуаций..так вот одна из них (не дай Бог конечно) сдохло железо с доменом, но выжила резервная копия и по ней я восстанавливаю на Virtual PC.

    Что в итоге у меня получилось

    1. Установил ОС

    2. Натянул все обновления на нее

    3. Дал одинаковое имя

    4. Восстановил состояние системы на момент гипотетического краха

    5. Перезагрузился в БЕЗПАСНЫЙ режим, для установки дров на новое оборудование

    6. Перезагрузился

    7. Залогинился в систему

    8. Выолнил очисту winsock netsh winsock reset

    9. Перезарузился

    10. Зашел в системы, настроил сетевые интерфейсы занового

    11. Заработала частично АД, юзеров создавать не хочет, но все остальное в ней есть (Правда пока нет возможности проверить будет ли физическая машина из родного домена проходить авторизацию на виртуальном, смогу выяснить только на работе)

    12. Осталось восстановить RID ....пока не знаю как.....

     

    у кого есть какие идей? для окончательной реинкорнации домена?

     

     

    П.С.

    Как можно сбросить пароль на восстановления АД в режиме Directory Services...а то увы я его забыл (((((

    ....Вопрос с восстановлением пароля уже не актуален (ntdsutil рулит)

     

    стоило немного подождать как все заработало после правки RID пула

    13 июня 2008 г. 7:39
  • Корректность работы контроллера лучше проверять утилитами dcdiag и netdiag, а не визуально

    Насчет захвата ролей можно посмотреть здесь

    13 июня 2008 г. 10:26
  • Спасибо, но я естесвенно в первую очередь и проверял....ругается не репликацию и отсутсвия второго ДС, ну и черт с ним, он тут вообще не при делах.

    фишка то вдругом, через ntdsutil пробую роль переназначить, так он говорит что ДС и является владельцем.

    (по факту и в оснасках АД и юзверы) там все как положено, все 5 ролей на нем завязаны...

    но при создании учеток пользователей ругается : The directory service was unable to allocate a relative identifier.

    Как вот это поборот я пока не знаю....(Пробывал пул RID переназначить руками через ldp, эффекта никакого)

    Для хохмы, так же на виртуальной машине также реанимировал второй ДС, пробую ему назначить роль RID, так мне ОС сообщает: The current FSMO holder could not be contacted....

    Соответсвенно получается что оснаска на перовом ДС врет...и ntdsutil тоже врет...или я что-то упустил...

    С таким расскладом кто-нибудь сталкивался?

     

     

    Так все заработало почти на 95%....после настроек ручками пула RID......надобыло просто подождать Smile)

    остался небольшой косяк с ДНС, а все отсальное работает

    13 июня 2008 г. 10:41
  • Думаю, никто там не врёт. Для поиска ролей контроллера домена используется DNS. У меня почему-то возникает ощущение, что проблема в записях зоны DNS, отвечающей за всё это дело (_msdcs).
    13 июня 2008 г. 12:43