В этой статье мы покажем, как восстановить контроллер домена Active Directory из резервной копии System State, созданной ранее (см. статью Резервное копирование Active Directory) и рассмотрим типы и принципы восстановления DC в AD.
Допустим у вас вышел из строя контроллер домена AD, и вы хотите восстановить его из созданной ранее резервной копии. Прежде чем приступить к восстановлению DC, нужно понять какой сценарий восстановления контроллера домена вам нужно использовать. Это зависит от того, есть ли у вас в сети другие DC и повреждена ли база Active Directory на них.
Восстановление контроллера домена AD через репликацию
Восстановление DC через репликацию – это не совсем процесс восстановления DC из бэкапа. Этот сценарий может использоваться, если у вас в сети есть несколько дополнительных контроллеров домена, и все они работоспособны. Этот сценарий предполагает установку нового сервера, повышение его до нового DC в этом же сайте. Старый контроллер нужно просто удалить из AD.
Это самый простой способ, который гарантирует что вы не внесете непоправимых изменений в AD. В этом сценарии база ntds.dit, объекты GPO и содержимое папки SYSVOL будут автоматически реплицированы на новый DC с DC-ов, оставшихся онлайн.
Если размер базы ADDS небольшой и другой DC доступен по скоростному каналу, это намного быстрее, чем восстанавливать DC из бэкапа.
Типы восстановления Active Directory: полномочное и неполномочное
Есть два типа восстановления Active Directory DS из резервной копии, в которых нужно четко разобраться перед началом восстановления:
- Authoritative Restore (полномочное или авторитативное восстановление) – после восстановления объектов AD выполняется репликация с восстановленного DC на все остальные контроллеры в домене. Этот тип восстановления используется в сценариях, когда упал единственный DC или все DC одновременно (например, в результате атаки шифровальщика или вируса), или когда по домену реплицировалась поврежденная база NTDS.DIT. В этом режиме у всех восстановленных объектов AD значение USN (Update Sequence Number) увеличивается на 100000. Таким образом восстановленные объекты будут восприняты всеми DC как более новые и будут реплицированы по домену. Полномочный способ восстановления нужно использовать очень аккуратно!!!При полномочном восстановлении вы потеряете большинство изменений в AD, произошедших с момента создания бэкапа (членство в группах AD, атрибуты Exchange и т.д.).
- Non-authoritative Restore (неполномочное или не-авторитиативное восстановление) – после восстановления базы AD этот контроллер сообщает другим DC, что он восстановлен из резервной копии и ему нужны последние изменения в AD (для DC создается новый DSA Invocation ID). Этот способ восстановления можно использовать на удаленных площадках, когда сложно сразу реплицировать большую базу AD по медленному WAN каналу; или когда на сервере имелись какие-то важные данные или приложения.
Восстановление контроллера домена AD из system state бэкапа
Итак, предположим, что у вас в домене только один DC. По какой-то причине вышел из строя физический сервер, на котором он запущен.
У вас есть относительно свежий бэкап System State старого контроллера домена, и вы хотите восстановить Active Directory на новом сервере в режиме полномочного восстановления.
Чтобы приступить к восстановлению, вам нужно установить на новом сервер туже версию Windows Server, которая была установлена на неисправном DC. В чистой ОС на новом сервере нужно установить роль ADDS (не настраивая ее) и компонент Windows Server Backup.
Для восстановления Actve Directory вам нужно загрузить сервер в режиме восстановления служб каталогов DSRM (Directory Services Restore Mode). Для этого запустите msconfig и на вкладе Boot выберите Safe Boot -> Active Directory repair.
Перезагрузите сервер. Он должен загрузиться в режиме DSRM. Запустите Windows Server Backup (wbadmin) и в правом меню выберите Recover.
В мастере восстановления выберите, что резервная копия хранится в другом месте (A backup stored on another location).
Заметем выберите диск, на котором находится резервная копия старого контроллера AD, или укажите UNC путь к ней.
wbadmin get versions -backupTarget:D:
Выберите дату, на которую нужно восстановить резервную копию.
Укажите, что вы восстанавливаете состояние System State.
Выберите для восстановления «Исходное размещение» (Original location) и обязательно установите галочку «Выполнить заслуживающее доверия восстановление файлов Active Directory» (Perform an authoritative restore of Active Directory files).

Согласитесь с еще одним предупреждением:
Windows Server Backup Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.
После этого запустится процесс восстановления контроллера домена AD на новом сервере. По завершении сервер потребует перезагрузку (имя нового сервера будет изменено на имя DC из бэкапа).
Загрузите сервер в обычном режиме (отключите загрузку в DSRM режиме)
Авторизуйтесь на сервере под учетной записью с правами администратора домена.
При первом запуске консоли ADUC я получил ошибку:
Active Directory Domain Services Naming information cannot be located for the following reason: The server is not operational.
При этом на сервере нет сетевых папок SYSVOL and NETLOGON. Чтобы исправить ошибку:
- Запустите regedit.exe;
- Перейдите в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Измените значение параметра SysvolReady с 0 на 1;
- Потом перезапустите службу NetLogon:
net stop netlogon & net start netlogon
Попробуйте открыть консоль ADUC еще раз. Вы должны увидеть структуру вашего домена.
Итак, вы успешно восстановили свой контроллер домен AD в режиме Authoritative Restore. Теперь все объекты в Active Directory будут автоматически реплицированы на другие контроллеры домена.
Если у вас остался единственный DC, проверьте что он является хозяином всех 5 FSMO ролей и выполните их захват, если нужно.
Восстановление отдельных объектов в AD
Если вам нужно восстановить отдельные объекты в AD, воспользуйтесь корзиной Active Directory. Если время захоронения уже просрочено, или ActiveDirectory RecycleBin не включена, вы можете восстановить отдельные объекты AD в режиме авторитаивного восстановления.
Вкратце процедура выглядит следующим образом:
- Загрузите DC в DSRM режиме;
- Выведите список доступных резервных копий:
wbadmin get versions
- Запустите восстановление выбранной резервной копии:
wbadmin start systemstaterecovery –version:[your_version]
- Подтвердите восстановление DC (в не полномочном режиме);
- После перезагрузки запустите:
ntdsutil
-
activate instance ntds
-
authoritative restore
Укажите полный путь к объекту, который нужно восстановить. Можно восстановить OU целиком:
restore subtree ″OU=Users,DC=winitpro,DC=ru″
Или один объект:
restore object “cn=Test,OU=Users,DC=winitpro,DC=ru”
Данная команда запретит репликацию указанных объектов (путей) с других контроллеров домена и увеличит USN объекта на 100000.
Выйдите из ntdsutil:
quit
Загрузите сервер в обычном режиме и убедитесь, что удаленный объект был восстановлен.
Браво! Все описано четко и по делу. Теперь мне падение DC не страшно. 🙂
Делал бэкапы основного контроллера, но вот конкретного плана восстановления при аварии не было.
Однозначно в закладки!
а если надо восстановить упавший КД в филиале (на физике) на новое железо? Надо сделать тоже самое за исключением установки галки «Perform an authoritative restore of Active Directory files» ?
Да. Выполняйте не-авторитиативное восстановление контроллера.
Подскажите пжлста а если у меня два сервера AD, один главный и он хозяин всех ролей, а второй имеет роль только RODC AD. Мне нужно восстановить с недельного бэкапа состояние системы моего главного сервера, мне выбирать Authoritative Restore или None-Authoritative Restore???
Я нашел только один вариант восстановления, это установка новой ОС и потом уже восстановление из бэкапа, меня ещё интересует вопрос, в процессе восстановления сетевой провод от главного КД должен быть отключён? Потому что когда я первый раз сделал восстановление на нём у меня сеть была включена и он стал ругаться что сервер не имеет доверительных отношений. И при том восстановлении я кажется выбирал Authoritative Restore. Это я не верно поступил?
Есть один важный нюанс для ОС с русской локализацией. По моему мнению не очевидный и не описанный ни в одной статье (уж я то начитался одних и тех же рекомендация вдоль и поперек)
При входе в режиме восстановления AD используется РУССКАЯ учетная запись «Администратор» взамен ранее установленной/переименованной как у меня Administrator.
Всю голову сломал пока понял почему меня под действующей учетной и паролем не пускает.
В общем верно. Но тут моя позиция — локализованные версии Windows и другого ПО на серверах — зло.
а как в итоге удалось войти?
а как быть если всего 1 сервер 1 контролер домена? вообщем 1 машина и все на ней??За ранее спасибо!
Принципиально ничего не меняется. В вашем случае используется Authoritative Restore для восстановления контроллера домена
восстановить удаленные объекты можно не только при помощи корзины,но и утилитой adrestore(есть и gui),утилита lazarus которая дает доступ к контейнеру ‘Удаленные объекты’
После скачка напряжения упал DC — бэкапов не было
Есть старый ДС но данные на нем практически годичной давности
При загрузке постоянный ребут и вылет в меню восстановления (сначала вообще диск не хотел видеть (пришлось восстанавливать через bcdboot C:\Windows), после постоянная ошибка на загрузке 0xc00002e2
При входе по F8 и запуске Directory Service Repair Mode пускает только под локальным админом, но прав на какие-либо действия по сути нет из—за этого. Например esentutl /g c:\windows\ntds\ntds.dit выполнить невозможно.
Если по статье то: wbadmin get versions ни чего не возвращает (копий нет).
Есть ли какие-то варианты восстановить АД?