none
Active Directory - восстановление одного контроллера в лесу RRS feed

  • Вопрос

  • Приветствую всех!

    В результате работы с многосайтовой структурой (больше 20 сайтов) появились вопросы по восстановлению отдельного сервера.

    Ориентировочная схема такая:

    Есть единый лес, с 25 сайтами. (Уровень Windows 2003)

    Каждый сайт содержит один домен. (Уровень Windows 2008 и Windows 2003)

    Домен состоит из 2 контролеров домена Windows 2008 R2, которые являются глобальными каталогами.

    Один из вопросов такой: Как в такой случае проводить процедуру восстановления при выходе из строя одного из контроллеров домена?

    поднимать из резервной копии или создавать новый сервер со старым именем и делать его глобальным каталогом?

    Но самый интересный вопрос: Как произвести восстановление одного сервера из домена в лесу с большим количеством сайтов и сделать его полностью работоспособным? Например для тестовой среды.

    Например берем копию сервера из домена в котором находится Schema Master и DN Master. Корень леса.

    DOMAIN.LOCAL

    DC01 (Schema Master, DN Master, RID Master, Inf. Master, PDC)

    DC02 <- берем для восстановления.

    После восстановления, заходим администратором и сразу обнаруживаем что папок SYSVOL и NETLOGON нет, так как DC02 не может считать себя глобальным каталогом, пока не дождется реплики. Используя утилиту Repadmin видим что собралось очень много фейловых реплик, оно и ясно.

    Но как удалить их все разом?

    Процедурой Ntdsutil захватываем роли и вычищаем через meta cle несуществующий больше контроллер домена DC01.

    Так же проходимся в зоне DNS (_msdcs, _tcp, _udp) и удаляем DC01.

    Оснастки начинают открываться. Но DCDIAG выдает страшные вещи.

    Даже папки SYSVOL и NETLOGON можно восстановить через ключ в реестре D4  в services NTFRS.

    НО! Если перезагрузиться, то войти в систему уже не выйдет (50/50 %), будет написано не верный пользователь или пароль, может через часа 2 и пустит, пока необходимые службы не запустятся или не произойдет нужное событие, но глобальным становиться он все же не захочет.

    -------------------------------------------

    Конечно я восстановил контроллер, но пришлось для этого пройтись и удалить все связи между сайтами, все связи репликации, полностью вычистить DNS и через ADSI удалить все сервера и сайты, даже доверительные отношения и т.д.. После чего он стал работать отлично, как будто он всегда был единственным сервером в сети. Никаких ошибок в логах и DCDIAG проходит все проверки. Но какой ценой, хотелось бы все же не удалять сайты и недоступные сервера из других сайтов.

    -------------------------------------------

    Буду рад любым мыслям и комментариям.

    Давайте делиться опытом.


    • Изменен тип Nikolay_KZ 15 октября 2012 г. 7:33 Нет активности, а жаль...
    • Изменен тип Nikolay_KZ 22 октября 2012 г. 7:52 Появился ответ
    11 октября 2012 г. 5:46

Ответы

  • Иногда приходиться делать виртуальную среду для тестирования различных изменений или для предоставления как стенд для тестирования нового серверного приложения. Первым что необходимо, это восстановить ADDS, для экономии ресурсов, восстанавливается всего 1 сервер, но все усложняется, если есть многосайтовая и многодоменная структура с различным уровнем домена.

     

    Естественно восстанавливаться должен корень леса и глобальный каталог, т.к. сервер один.

     

    После восстановления можно столкнуться с проблемами входа в систему, север откажется Вас аутентифицировать, ссылаясь на неверный пароль или логин. Дело в том, что сервер который восстановился перестал видеть своих партнеров по репликации и все разделы от других доменов, которые он хранит для него не самые последние и он ждет синхронизации хотя бы с одним из контролеров глобального каталога, чтобы самому объявить себя глобальным каталогом.

     

    Так называемая первичная синхронизации, если серверов очень много , например 60, можно и не дождаться когда он проверит всех на доступность.

     

    Какие действия могут ускорить синхронизацию:

    1. Необходимо помнить, что восстановление из резервной копии, автоматически переводит сервер в неавторитетное восстановление. Т.е. он будет ждать копии для репликации, т.к. его данные считаются не авторитетными. Этот метод работает, когда есть второй контроллер домена, с которого может быть взята последняя копия данных. Для того, чтобы сервер считал себя авторитетным, необходимо в реестре прописать ключ «D4» в параметре «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process\BurFlags», если используется FRS. Перед этим необходимо остановить службу. Подробнее можно узнать здесь http://support.microsoft.com/kb/315457;
    2. Убедиться, что в папке «C:\Windows\Sysvol\domain\», существуют папки polices и scripts, возможно они находится во вложенной папке, необходимо их перенести в папку sysvol\domain\;
    3. Удаление ненужных контролеров в домене через NTDSUTIL META CLE и захват всех ролей;
    4. Так же для того, чтобы отключить первоначальную синхронизацию необходимо добавить ключи реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters» , REG_DWORD, 0. Данная манипуляция не рекомендована для производственной среды, может нарушить работу AD, только для тестовой среды;
    5. Прописать адреса на сетевом интерфейсе и выполнить перезагрузку.

     

    Этот метод не очень хорошо, но он работает и достаточно быстро помогает решить проблемы с утерянными контроллерами домена.

     

    !ВНИМАНИЕ: Еще раз повторюсь, эти действия необходимо проделывать только в тестовой среде. В реальной среде, можно потерять структуру АД  полностью.


    • Помечено в качестве ответа Nikolay_KZ 22 октября 2012 г. 8:28
    • Изменено Nikolay_KZ 22 октября 2012 г. 8:29
    22 октября 2012 г. 8:28

Все ответы

  • Например для тестовой среды.

    Например берем копию сервера из домена в котором находится Schema Master и DN Master. Корень леса.

    DOMAIN.LOCAL

    DC01 (Schema Master, DN Master, RID Master, Inf. Master, PDC)

    DC02 <- берем для восстановления.

    После восстановления, заходим администратором и сразу обнаруживаем что папок SYSVOL и NETLOGON нет, так как DC02 не может считать себя глобальным каталогом, пока не дождется реплики. Используя утилиту Repadmin видим что собралось очень много фейловых реплик, оно и ясно.



    Если вы в тестовой среде неавторитетно(по умолчанию) восстанавливали копию КД из продуктивного леса - то конечно у вас SYSVOL и NETLOGON нет и не будет. Так как службе FRS требуется после восстановления партнер с авторитетной репликой, для того чтобы скачать изменения, прошедшие с момента снятия резервной копии. Так что у первого КД в тестовой среде восстанавливайте SYSVOL авторитетно (восстановление D4).
    11 октября 2012 г. 6:08
    Отвечающий

  • ... Так что у первого КД в тестовой среде восстанавливайте SYSVOL авторитетно (восстановление D4).

    Иван, спасибо за ответ. Я так и понял, что без этого все же не выйдет.

    После восстановления используя ключ D4, папки конечно появляются, и до перезагрузки многое уже работает. Но DCDIAG ругается на реплики и ожидание окончания инициализации сервера глобального каталога.

    Но после перезагрузки, в систему просто напросто не пускает, с ошибкой о неверном пароле или логине, я подозреваю что одна из служб не может запустится или контроллер ждет ответа из сети от других серверов.

    Может виновата ошибочная репликация? Так как в лесу ни кто не доступен а серверов больше 50, ошибок по репликации скапливается достаточно.

    11 октября 2012 г. 6:34

  • ... Так что у первого КД в тестовой среде восстанавливайте SYSVOL авторитетно (восстановление D4).

    Иван, спасибо за ответ. Я так и понял, что без этого все же не выйдет.

    После восстановления используя ключ D4, папки конечно появляются, и до перезагрузки многое уже работает. Но DCDIAG ругается на реплики и ожидание окончания инициализации сервера глобального каталога.

    Но после перезагрузки, в систему просто напросто не пускает, с ошибкой о неверном пароле или логине, я подозреваю что одна из служб не может запустится или контроллер ждет ответа из сети от других серверов.

    Может виновата ошибочная репликация? Так как в лесу ни кто не доступен а серверов больше 50, ошибок по репликации скапливается достаточно.


    Первый восстанавливаемый должен быть еще и сервером ГК.
    11 октября 2012 г. 6:55
    Отвечающий
  • Да он является глобальным каталогом.
    11 октября 2012 г. 8:55
  • В общем решил, пойти путем Microsoft и восстановить средствами утилиты WBAdmin с ключом authsysvol.

    Для тех кто не знает:

    wbadmin get versions -backuptarget:%BACKUPDRIVE% -machine:%SERVERNANE%

    Смотрим версию, запоминаем в буфер.

    wbadmin start systemstaterecovery -backuptarget:%BACKUPDRIVE% -machine%SERVERNAME% -version:%VERSION%

    И соглашаемся со сказанным.

    Ждем восстановления...

    15 октября 2012 г. 7:40
  • По моему я уже понял в чем причина задержки разрешением входа на контроллер.

    Дело в том, что от большого количества доменов в лесу, на домене который восстанавливается очень много партнеров по репликации и созданных разделов, около 30. Когда система стартует, доменная служба говорит, что не станет глобальным каталогом, пока не удостоверится в правильности всех хранимых разделов. Но так как ни один из партнеров не доступен, серверу нужно некоторое время на проверку всех серверов в лесу, около 60. После чего он именует себя глобальным каталогом и аутентификация начинает работать.

    Вопрос, как этого избежать? Как позволить пользователям восстанавливаемого домена все же проходит аутентификацию во время проверки разделов других доменов?

    Если удалить всех партнеров по репликации и разделы, то естественно все начинает работать без проблем. Но в моём случае, недоступность других сайтов может быть временной, например на неделю, а пользователям нужно работать и без других сайтов.

    Помогите разобраться! 


    • Изменено Nikolay_KZ 17 октября 2012 г. 7:41
    17 октября 2012 г. 7:41
  • Иногда приходиться делать виртуальную среду для тестирования различных изменений или для предоставления как стенд для тестирования нового серверного приложения. Первым что необходимо, это восстановить ADDS, для экономии ресурсов, восстанавливается всего 1 сервер, но все усложняется, если есть многосайтовая и многодоменная структура с различным уровнем домена.

     

    Естественно восстанавливаться должен корень леса и глобальный каталог, т.к. сервер один.

     

    После восстановления можно столкнуться с проблемами входа в систему, север откажется Вас аутентифицировать, ссылаясь на неверный пароль или логин. Дело в том, что сервер который восстановился перестал видеть своих партнеров по репликации и все разделы от других доменов, которые он хранит для него не самые последние и он ждет синхронизации хотя бы с одним из контролеров глобального каталога, чтобы самому объявить себя глобальным каталогом.

     

    Так называемая первичная синхронизации, если серверов очень много , например 60, можно и не дождаться когда он проверит всех на доступность.

     

    Какие действия могут ускорить синхронизацию:

    1. Необходимо помнить, что восстановление из резервной копии, автоматически переводит сервер в неавторитетное восстановление. Т.е. он будет ждать копии для репликации, т.к. его данные считаются не авторитетными. Этот метод работает, когда есть второй контроллер домена, с которого может быть взята последняя копия данных. Для того, чтобы сервер считал себя авторитетным, необходимо в реестре прописать ключ «D4» в параметре «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process\BurFlags», если используется FRS. Перед этим необходимо остановить службу. Подробнее можно узнать здесь http://support.microsoft.com/kb/315457;
    2. Убедиться, что в папке «C:\Windows\Sysvol\domain\», существуют папки polices и scripts, возможно они находится во вложенной папке, необходимо их перенести в папку sysvol\domain\;
    3. Удаление ненужных контролеров в домене через NTDSUTIL META CLE и захват всех ролей;
    4. Так же для того, чтобы отключить первоначальную синхронизацию необходимо добавить ключи реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters» , REG_DWORD, 0. Данная манипуляция не рекомендована для производственной среды, может нарушить работу AD, только для тестовой среды;
    5. Прописать адреса на сетевом интерфейсе и выполнить перезагрузку.

     

    Этот метод не очень хорошо, но он работает и достаточно быстро помогает решить проблемы с утерянными контроллерами домена.

     

    !ВНИМАНИЕ: Еще раз повторюсь, эти действия необходимо проделывать только в тестовой среде. В реальной среде, можно потерять структуру АД  полностью.


    • Помечено в качестве ответа Nikolay_KZ 22 октября 2012 г. 8:28
    • Изменено Nikolay_KZ 22 октября 2012 г. 8:29
    22 октября 2012 г. 8:28