Удалил компьютер из домена как вернуть

Обновлено: 07.07.2024

Итак, что делать, если вы случайно удалили из Active Directory нужного пользователя (компьютер, группу, контейнер и т.п. )?

Поэтому, чтобы избежать проблем (да и просто для общего развития) стоит иметь представление о способах восстановления удаленных объектов в Active Directory.

Что происходит с объектом AD при удалении

Для начала разберемся с тем, что происходит после того как вы нажали Delete и объект исчез из оснастки управления.

Объект-захоронение невидим в оснастках управления MMC, а для большинства служебных программ его вообще не существует. Однако физически данные все еще здесь — просто они невидимы. Зачем же Active Directory хранит удаленные объекты в базе данных?

А вот зачем: будучи невидимым для остальных процессов, объект-захоронение все еще видим для процесса репликации. Чтобы удостовериться в том, что удаление выполнено полностью, на всех контроллерах домена, содержащих удаленный объект, AD реплицирует объект-захоронение на все контроллеры в домене. Другими словами, объект-захоронение используется для репликации удаления по всей Active Directory.

Естесственно, удаленные объекты не могут храниться в контейнере Deleted Objects вечно. С периодичностью раз в 12 часов контроллер домена производит сборку мусора. Сборщик мусора проверяет все объекты-захоронения и физически удаляет те, чей срок жизни больше, чем срок жизни объектов-захоронений.

Срок жизни объекта-захоронения определяется атрибутом tombstoneLifetime и по умолчанию составляет 180 дней (60 дней для лесов Windows 2000). Посмотреть текущее значение tombstoneLifetime и изменить его можно следующим способом.

запуск ADSIEdit и подключение к контексту именования

Нажимаем OK и в оснастке появляется новый контекст именования. Разворачиваем его и в открывшемся окне находим интересующий нас атрибут tombstoneLifetime. Как видите, он действительно равен 180 дням.

параметр tombsoneLifetime в ADSIEdit

Получается что пока не истек срок жизни объекта-захоронения, удаленный объект физически находится в базе AD, и соответственно может быть поднят из могилы восстановлен.

Процедура восстановления

В качестве примера возьмем учетную запись пользователя Ivanov Vasiliy и удалим ее. Прощай Vasiliy 🙁

удаляем пользователя в оснастке ADUC

Для восстановления воспользуемся утилитой LDP. LDP — это служебная программа для работы с Active Directory, немного схожая с проводником Windows. В Windows Server 2008 она включена в состав операционной системы, в Server 2003 входит в средства поддержки (Support tools) и устанавливается отдельно, с установочного диска.

Для запуска LDP нажимаем Win+R и в строке выполнить вводим ldp. Затем идем в меню Connection, выбираем пункт Connect и в открывшемся окне вводим имя контроллера домена, к которому надо подключиться. Если вы запускаете LDP на контроллере домена, то можно просто ввести localhost.

запуск утилиты ldp

Теперь необходимо пройти проверку подлинности. Открываем меню Connection, выбираем Bind (Привязка), вводим учетные данные и жмем OK. Для работы нам понадобятся учетные данные пользователя с правами администратора домена или предприятия (только они имеют право просматривать и восстанавливать объекты в контейнере Deleted Objects).

привязка к учетным данным в ldp

Контейнер Deleted objects надежно скрыт от посторонних глаз, и для того, чтобы его увидеть, необходимо включить элемент управления LDAP «Возврат удаленных объектов». Для этого открываем меню Options и выбираем пункт Controls, чтобы вывести диалог элементов управления. Открываем список Load Predefined, в нем выбираем пункт Return Deleted Objects (Вернуть удаленные объекты) и нажимаем кнопку Check in. Это добавит идентификатор объекта (OID) для элемента управления «Вернуть удаленные объекты» (1.2.840.113556.1.4.417) в список активных элементов управления. Нажимаем OK, чтобы сохранить настройки элемента управления.

включение элемента управления ldap

Затем открываем меню View, выбираем режим просмотра Tree, в поле BaseDN выбираем DC=contoso,DC=com.

открываем дерево объектов домена

Заходим в корень, раскрываем контейнер Deleted Objects и видим перечень удалённых объектов. В этом перечне находим нужный нам объект-пользователя CN=Ivanov Vasily. Кликаем правой клавишей мыши на найденом объекте и в выпадающем меню выбираем пункт Modify. Кстати, будьте готовы к тому, что в Deleted Objects очень много объектов, что может затруднить поиск.

выбираем удаленный объект

Для восстановления объекта надо провести две операции:

Далее отмечаем оба пункта Synchronous и Extended и жмём кнопку Run.

восстанавливаем удаленный объект c помощью ldp

Всё! Теперь объект пользователя полностью восстановлен, в чем можно убедиться, открыв консоль Active Directory Users and Computers.

Процедура восстанавления с помощью LDP достаточно проста, если разобраться 🙂 , но очень громоздка и неудобна. Попробуем немного упростить себе жизнь и используем для восстановления утилиту командной строкиAdRestore от компании Sysinternals. Эта программа не требует установки, достаточно скопировать исполняемый файл на диск компьютера и запустить его.

AdRestore предлагает достаточно удобный и простой интерфейс командной строки для восстановления объектов Active Directory. Хотя он не очень гибок, использовать его гораздо легче, чем LDP. При запуске без параметров AdRestore выдаст список всех объектов-захоронений в контейнере Deleted Objects дефолтного домена. Для поиска конкретного объекта в качестве параметра можно использовать имя (частично или полностью) объекта, например:

В результате этой команды будут выведены все объекты-захоронения в контейнере CN=Deleted Objects, которые содержат строку ivanov в атрибуте CN или OU — программа использует поисковый фильтр LDAP cn=*ivanov* и ou=*ivanov*. Не самый гибкий способ поиска, но в большинстве ситуаций он работает.

Если нужно не только найти объект, но и восстановить его, необходимо вместе с именем объекта указать параметр –r , вот так:

adrestore -r ivanov

Эта команда предложит восстановить каждый подходящий объект-захоронение. И еще, AdRestore всегда восстанавливает объект в контейнер, указанный в атрибуте lastKnownParent объекта-захоронения, нет никакого способа указать другой контейнер.

восстановление объектов с помощью утилиты adrestore

восстановление объектов с помощью утилиты adrestore.NET

Атрибуты объекта

При удалении объекта и помещении его в контейнер Deleted Objects удаляется большая часть его атрибутов. Так у объекта пользователя сохраняются только идентификаторы SID и GUID, а также LastKnownParent (контейнер, в котором находился объект до удаления) и SAMAccountName (имя учетной записи SAM). Соответственно, при возвращении объекта к жизни любым из вышеописанных способов восстановятся только эти атрибуты, все остальное придется вводить заново.

Для наглядности возьмем восстановленную нами учетную запись и попробуем ее активировать. Система тут же выдаст нам ошибку и сообщит о том, что пароль не соответствует требованиям безопасности домена. На самом деле все проще, пароль был удален вместе с другими атрибутами и теперь его просто нет.

попытка включить восстановленную учетную запись

Путем несложных манипуляций некоторые атрибуты объектов можно заставить сохраняться при удалении. Сделать это можно, внеся изменения в схему Active Directory. Скажу сразу, атрибуты уже удаленных записей это не вернет.

Для внесения изменений воспользуемся редактором ADSIEdit. Открываем его и подключаемся к разделу Schema нашей Active Directory.

подключение к схеме с помощью ADSIEdit

Для примера возьмем атрибут Description учетной записи пользователя.

выбор атрибута пользователя

Теперь ищем нужный нам атрибут. Схема содержит огромный список атрибутов, и чтобы найти свой, как минимум нужно знать, как он называется в схеме. Имейте в виду, что названия атрибутов, которые указаны в свойствах объекта Active Directory в схеме могут различаться.

выбор атрибута пользователя в ADSIEdit

Найдя атрибут, открываем его двойным щелчком мыши и заходим в свойства. Нас интересует параметр searchFlags, который отвечает за сохранение атрибута в объекте-захоронении. У каждого атрибута он свой, в нашем случае searchFlags вообще не задан, т.е. равен 0.

свойства атрибута Descriptions объекта AD

Для того, чтобы заданный атрибут не удалялся, необходимо у searchFlags включить третий бит, или другими словами, выставить третий бит равным 1. Поскольку searchFlags представлен в десятичном виде, то сначала переведем его в двоичный. Получится двоичное число 0000. Биты нумеруются справа-налево, начиная с нулевого бита. Находим третий бит (он будет четвертым по счету справа) и ставим его равным 1. Получаем двоичное число 1000. Переводим его обратно и получаем 8 в десятичной системе. Ставим 8 в значении searchFlags. Если все сделано правильно, то в значении параметра появится надпись «Сохранять при удалении» (PRESERVE_ON_DELETE).

изменение свойств атрибута Descriptions объекта AD



Несомненно, многие из Вас неоднократно сталкивались с такой проблемой – удалены учетные записи пользователей. Статей по восстановлению учетных записей много, и, наверное, самая лучшая написана Microsoft, однако им всем не хватает наглядности. Мы постараемся преодолеть этот недостаток, сведя процедуру восстановления учетных записей к простым шагам.
Как Вы знаете, восстанавливать объекты можно различными способами, каждый из которых подходит наилучшим образом в той или иной ситуации.
При этом предпочтительным является восстановление из tombstone-объектов. На это есть несколько причин:

  • не требуется выведение контроллера домена в автономный режим (все работают, ничего не отключено)
  • восстановление объектов-захоронений гораздо лучше, чем простое воссоздание новой версии удаленного объекта

Часть атрибутов удаляется вместе с удалением объекта – их уже не восстановить. Например, членство в группах безопасности.
Если вы вновь создаете объект, он всегда будет иметь новые атрибуты objectGUID и objectSid (если это участник политики безопасности, такой как пользователь). В результате любые внешние ссылки на объект, такие как ACL, необходимо будет обновлять для отражения нового идентификатора объекта. Это может стать очень большой проблемой.
Поэтому в данном посте сначала будут рассмотрены способы, использующие tombstone-объекты, и лишь в конце приведена информация по принудительному восстановлению. В конце поста будут рассмотрены возможности утилиты восстановления NetWrix Active Directory Object Restore Wizard. Информация для поста взята из документа «Восстановление объектов Active Directory: сборник сценариев», подготовленного NetWrix. Заинтересованных приглашаем под кат.

Что необходимо восстановить: пример

И решаться эта задача будет всеми возможными способами.

1. Восстановление объектов с помощью ldp.exe

Порядок действий:
1) Включаем отображение в консоли удаленных объектов (CN=Deleted Objects)
Сначала необходимо сделать так, чтобы удаленные объекты отображались (а по умолчанию контейнер CN=Deleted Objects не отображается. Используем ldp.exe в Active Directory (требует членства в Domain Admins).
1. Запускаем ldp.exe. (Пуск – Выполнить – ldp.exe)
2. В меню Options (Параметры) выбираем пункт Controls (Элементы управления)


Восстанавливаем объекты:
Рассмотрим восстановление на примере учетной записи Oleg, входящей в OU Finance_Department.

1) Запускаем ldp.exe
2) В разделе Connections (Подключение) выбираем пункт Connect (Подключить) — Bind (Привязка) Подключаемся и осуществляем привязку к серверу, на котором находится корневой домен леса среды Active Directory


3) В дереве консоли переходим в контейнер CN=Deleted Objects (прописываем также DC=acme,DC=com для взятого за пример домена)

4) Находим в оснастке в контейнере CN=Deleted Objects объект, который хотим восстановить, щелкаем правой кнопкой на него и выбираем пункт Modify (Изменить).
5) В окне Modify (Изменение) меняем следующие параметры
a. В поле Edit Entry (Изменить запись) атрибута вводим isDeleted
b. Оставляем поле Values (Значение) пустым
c. В разделе Operation (Операция) выбираем Delete (Удалить) и нажимаем клавишу Enter (ВВОД)

d. В поле Edit Entry Attribute (Изменить запись Атрибута) вводим distinguishedName
e. В поле Values (Значения) вводим первоначальное различающееся имя (DN) этого объекта Active Directory.
f. В разделе Operation (Операция) выбираем Replace (Заменить)
g. Устанавливаем флажок Extended (Расширенный), нажимаем клавишу Enter (ВВОД), а затем Run (Выполнить)

Учетная запись восстановлена, но деактивирована. Включить ее необходимо будет вручную. Также вручную необходимо восстановить членство в группах и сбросить пароль.
Те же самые действия повторяем для оставшихся объектов:
OU Finance_Department
OU Admins
Учетной записи Dmitry
Учетной записи Sergey

Необходимо проделать много действий, прежде чем объект будет восстановлен.
Все действия придется повторить для каждого из удаленных объектов.

2. Используем ADRESTORE

Восстановление объектов-захоронений с помощью LDP дело несложное. Однако неудобное и долгое. Для этих целей есть ADRESTORE, которая предназначена специально для восстановления объектов AD.

Утилита работает в двух режимах:
• Запуск без параметров. Она выведет список всех объектов-захоронений в контейнере CN=Deleted Objects домена по умолчанию. Можно добавить строку для поиска в командной строке, чтобы выбрать объекты для показа:

Выводятся все объекты в контейнере CN=Deleted Objects, которые содержат строку «Finance_Department» в атрибуте CN или OU — используется поисковый фильтр LDAP cn=*Finance_Department* и ou=*Finance_Department*. На рисунке ниже показаны результаты поиска, возвращенного программой ADRESTORE.

• Восстановление объектов
Если нужно восстановить объект-захоронение, а не только найти его, необходимо указать параметр –r вместе с дополнительной строкой, например, вот так:

Для восстановления учетных записей используем команды:

Команда предложит восстановить каждый удовлетворяющий условию объект-захоронение. Объект восстанавливается в контейнер, указанный атрибутом lastKnownParent объекта-захоронения (и никакой другой).
Эта команда предложит восстановить каждый подходящий объект-захоронение. ADRESTORE всегда восстанавливает объект в контейнер, указанный атрибутом lastKnownParent объекта-захоронения, нет никакого способа указать другой контейнер.

ADRESTORE легче использовать, чем LDP.
Утилита позволяет относительно быстро восстановить объекты, но опять-таки без необходимых атрибутов — членство в группах и пароли придется восстановить вручную. Один из самых популярных способов восстановления объектов.

3. Использование AD Recycle Bin (Windows Server 2008 R2)

В Windows Server 2008 R2 появилась корзина Active Directory Recycle Bin (AD RB), Чтобы ее активировать, необходимо, чтобы уровень леса был Windows Server 2008 R2. AD RB напоминает обыкновенную корзину Windows — случайно удаленный объект может быть быстро и со всеми атрибутами восстановлен. Причем восстановленный из AD RB объект сразу же получает и все свои атрибуты. По умолчанию время «жизни» удаленного объекта в AD RB составляет 180 дней, после этого переходит в состояние Recycle Bin Lifetime, теряет атрибуты и через некоторое время полностью удаляется.
В самом простом случае восстановление объекта происходит с помощью Powershell командлетов Get-ADObject и Restore-ADObject (в том случае, если Вы точно знаете, что именно Вам необходимо восстановить). Командлет Get-ADObject используется для извлечения удаленного объекта, который затем передается с помощью конвейера в командлет Restore-ADObject:

1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell введите следующую команду:

В данном примере
-Filter указывает, что какую информацию об объекте AD необходимо получить (в примере – об объекте с отображаемым именем пользователя “user),
-IncludeDeletedObjects означает, что поиск осуществляется по удаленным объектам
Restore-ADObject непосредственно осуществляет восстановление объекта AD.

Поиск удаленных объектов
1. Запускаем от имени администратора Модуль Active Directory для Windows PowerShell.
2. В командной строке Active Directory module for Windows PowerShell вводим следующие команды для получения необходимой информации:

Получаем информацию о том, в какой OU состоял удаленный пользователь


Где User – отображаемое имя пользователя

В итоге получаем информацию о принадлежности к OU указанного пользователя (с помощью -Properties lastKnownParent)

Поиск всех удаленных объектов, которые входили в данную OU

В качестве примера берем различающееся имя OU Finance_Department, которое было получено после запуска предыдущего командлета (Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a).

Внимание! Если у Вас имеется вложенная OU, восстановление осуществляется начиная с наивысшего уровня иерархии. В данном случае таковым является OU=Finance_Department.

Восстановление объектов

1. Запускаем Модуль Active Directory для Windows PowerShell
2. Восстанавливаем подразделение Finance_Department, выполнив в командной строке следующую команду:

3. Восстанавливаем учетные записи и OU, которые являются непосредственными дочерними объектами OU Finance_Department (помните, что на этом этапе различающееся имя Finance_Department уже восстановлено в значение OU=Finance_Department,DC=acme,DC=com)

Опционально (восстановление вложенных OU)

4. Восстанавливаем учетные записи, входящие во вложенную OU (например, OU Admins, которая входит в состав OU Finance Department. Различающееся имя в нашем примере было восстановлено в значение OU=Admins,OU=Finance_Department,DC=acme,DC=com)

Подробную справку о командлетах и их параметрах вызвав командлет Get-Help, например Get-Help Get-ADObject

Итог:
Объекты будут восстановлены в первоначальный вид – со всеми атрибутами.
Однако, как мы можем видеть, данный метод довольно сложен, когда приходится работать с большим количеством объектов.
Также требуется, все сервера в лесу должны быть Windows 2008 R2.
Для восстановления объектов с атрибутами при включенной корзине AD можно использовать описанные выше инструменты LDP и AdRestore.

4. Принудительное восстановление с помощью NTDSUTIL

Стандартным способом (но, однако, не самым подходящим) является принудительное восстановление из резервной копии в режиме Directory Service Restore Mode. Он обладает серьезными недостатками: нужно перезагружать сервер, а во-вторых, восстанавливать из резервной копии состояние системы и помечать, какие объекты не будут перезаписаны процессом репликации.
Восстановление осуществляется с помощью утилиты командной строки NTDSUTIL. Утилита становится доступной после установки роли AD DS. Используя ее, можно восстановить как OU со всем содержимым, так и отдельный объект.
Работа утилиты основана на мгновенных снимках (снапшотах) Active Directory, которые делаются при помощи службы VSS.

Внимание! В ходе принудительного восстановления AD внутренний номер версии восстанавливаемых объектов увеличивается. После подключения контроллера домена к сети эти объекты будут реплицированы по всему домену, а восстановленная версия становится глобально действующей.

Внимание! Невозможно выполнить восстановление, если на контроллерах домена Server 2008 и выше остановлена служба NTDS AD.

3. Восстановите системное состояние из резервной копии, созданной до аварии.

Внимание! Не перезагружайте компьютер.

В снимке, полученном при помощи ntdsutil, присутствует как сам объект, так и его атрибуты. Образ можно монтировать и подключать в качестве виртуального LDAP-сервера, экспортирующего объекты. Запускаем ntdsutil:

Просматриваем список доступных снимков:

Монтируем командой mount c указанием номера или :

4. Запустите команду

Для восстановления подразделения Finance_Department

В итоге будет восстановлена OU Finance_Department с входящими в нее учетными записями и вложенной OU Admins
Для восстановления отдельной учетной записи, например, c отображаемым именем Oleg


Перезагрузите DC в нормальном режиме запуска операционной системы.
7. Зарегистрируйтесь на DC и откройте командную строку. Импортируйте LDIF-файл, экспортированный на шаге 5, выполнив команду

Внимание! Если в лесу содержится несколько доменов, необходимо использовать текстовый файл, экспортированный на шаге 6 для восстановления членства в локальных группах других доменов.

Итог:
Учетные записи и объекты восстановлены, однако база Active Directory была недоступна в течение определенного периода времени. Вы также зависите от наличия актуальных баз данных AD, полагаясь на данный метод восстановления.

5. NetWrix Active Directory Object Restore Wizard

Процесс восстановления объектов можно очень сильно упростить, если воспользоваться утилитой NetWrix Active Directory Object Restore Wizard.
Сразу хочется отметить, что в нашу компанию постоянно обращаются администраторы, которые удалили объекты AD и теперь хотят их восстановить. Предлагаемое нами решение – NetWrix Active Directory Object Restore Wizard — хоть и позволяет упростить процесс восстановления объектов (например, восстановить OU со всеми объектами и их атрибутами за пару кликов), однако все равно не творит чудеса – программа должна быть установлена в домене и периодически делать снимки AD. Поэтому рекомендуем после прочтения статьи все-таки поставить программу работать (есть бесплатная версия с периодом восстановления за последние 4 дня), чтобы в следующий раз не испытывать таких проблем с восстановлением объектов.
Утилита позволяет восстанавливаться удаленные объекты за пару кликов, а в том случае, если программа работала до удаления объектов в домене, то восстановление происходит со всеми атрибутами. В итоге Вы получаете возвращенные учетные записи за пару минут без серьезных сбоев в работе организации. Также следует отметить то, что программа позволяет восстанавливать удаленные почтовые ящики.

Работа с программой сводится к следующим шагам:
1. Запускается мастер NetWrix Active Directory Object Restore Wizard.


2. Выбирается режим восстановления:
• Только из tombstone-объектов (если программа не была установлена до этого в домене)
• Восстановление с использованием снапшотов (если программа была установлена и был сделан хотя бы один снапшот)


3. По результатам анализа выводится список удаленных объектов с их первоначальной иерархией и объектами


4. Выберите те OU или объекты, которые необходимо восстановить, и нажмите далее
5. В зависимости от того, была ли установлена программа раньше или нет:
• Если не была, то необходимо вручную восстановить членство в группах и пароли пользователей
• Если программа была установлена, то восстановление на этом закончено и все будет работать так, как будто ничего не произошло.


Как Вы можете видеть, восстановление объектов занимает гораздо меньше времени, нежели с использованием штатных инструментов восстановления объектов Active Directory.
Но восстановление объектов – это только одна из сторон программы. Вы также можете откатывать изменения объектов – вплоть до значения одного атрибута – программа предназначена и для этого.

Итог:
Восстановление объектов с атрибутами сводится к паре простых шагов. Возможно не только восстановить объекты, но и откатить лишь их некоторые значения.

Все эти способы восстановления приведены в «Наборе первой помощи для восстановления объектов AD», который Вы можете скачать на нашем сайте

В этой статье описывается, как восстановить удаленный объект компьютера, который поддерживает ресурс Network Name в кластере неудачной передачи данных.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 950805

Сводка

По умолчанию новая модель безопасности в Windows Server 2008 или Windows Server 2008 R2 включает проверку подлинности Kerberos. Чтобы создать эту модель безопасности, каждый пункт клиентского доступа (CAP), созданный в Windows Server 2008 или Windows Server 2008 R2, содержит ресурс network Name. Ресурс Network Name имеет соответствующую учетную запись компьютера, которая создается в службе каталогов Active Directory, когда ресурс впервые находится в сети.

По умолчанию учетная запись компьютера создается в контейнере Computers. Однако учетная запись компьютера может быть перенаправлена в другое организационное подразделение (OU). Компьютерная учетная запись также может быть предварительно этапизирована в OU до создания CAP. Если эти учетные записи компьютера будут удалены из Active Directory, доступность ресурса Network Name будет снижена.

Учетные записи компьютеров, созданные в Active Directory, представляют ресурсы Network Name в кластере неудачных действий. Эти учетные записи имеют следующие типы:

Уровень событий: ошибка

Источник событий: failoverClustering

ID события: 1207

Описание. Ресурс ResourceName для кластерных сетевых имен не может быть доставлен в Интернет. Объект компьютера, связанный с ресурсом, не может быть обновлен в доменном домене DomainName по следующей причине:

Текст связанного кода ошибок: на сервере такого объекта нет.

CNO$Name идентификатора кластера может не иметь разрешений, необходимых для обновления объекта. Работайте с администратором домена, чтобы убедиться, что идентификатор кластера может обновлять объекты компьютера в домене.

Имя сети WARN [RES]: попытка удалить учетные данные для возвращаемого состояния LocalSystem C0000225, STATUS_NOT_FOUND является некритичным сбой для удаления операции INFO [RES] Имя сети : Начало операции имя сети: "Проверка объекта компьютера, связанного с сетевым именем ресурса FSCAP01" Info [RES] Сетевое имя : Попытка найти учетную запись компьютера <FSCAP01> <FSCAP01> объект <FSCAP01> GUID(d66e09d8857e84da1f3a26fb1903e38) на любом доступном контроллере домена. Warn [RES] Network Name <FSCAP01> : Поиск существующей учетной записи компьютера не удалось. состояние 80072030 WARN [RES] Сетевое <FSCAP01> имя: поиск существующей учетной записи компьютера не удалось. состояние 80072030 INFO [RES] Имя сети: Попытка найти объект <FSCAP01> d66e09dd8857e84da1f3a26fb1903e38 на PDC. Warn [RES] Network Name <FSCAP01> : Поиск существующей учетной записи компьютера не удалось. состояние 80072030 INFO [RES] Имя сети: Невозможно найти объект <FSCAP01> d66e09dd8857e84da1f3a26fb1903e38 на PDC. INFO [RES] Имя <FSCAP01> сети: GetComputerObjectViaGUIDEx() не удалось, состояние 80072030. Имя сети WARN [RES]. Попытка удалить учетные данные для возвращаемого состояния LocalSystem C0000225 STATUS_NOT_FOUND является некритичным сбоем для удаления операции <FSCAP01> WARN [RHS] Ресурс FSCAP01 показал, что он не может выйти в интернет на этом узле. WARN [RCM] HandleMonitorReply: ONLINERESOURCE для "FSCAP01", gen(8) результат 5015.

Примечание. состояние 80072030 = На сервере такого объекта нет

Однако проблемы возникнут еще до того, как ресурс Network Name будет циклизоваться в автономном режиме и в Интернете. Например, пользователь или приложение с высокой доступностью могут быть не в состоянии получить доступ к ресурсам, если не удается получить маркер безопасности, который представляет объект кластерного компьютера в Active Directory.

Восстановление после удаления объекта компьютеров, связанного с ресурсом кластерного сетевого имени, отличается для CNO, чем восстановление после удаления объекта компьютера для VCO.

Чтобы восстановить удаленный объект компьютера, соответствующий CNO, выполните следующие действия:

Согласование с администратором домена, чтобы сначала восстановить удаленный объект компьютера из контейнера Удаленные объекты в Active Directory.

Убедитесь, что объект computer был восстановлен в правильном расположении, а затем включить учетную запись.

Принудительное копирование домена или ожидание установленного интервала репликации.

В оснастке microsoft Management Console (MMC) управления кластером failover щелкните правой кнопкой мыши неудалось имя сети, соответствующее имени кластера, указать дополнительные действия, а затем нажмите кнопку Ремонт Active Directory Object.

Пользователь, который следует этим шагам в оснастке MMC по управлению кластерами failover, также должен иметь разрешение "Reset Passwords" в домене.

Чтобы восстановить удаленный объект компьютера, соответствующий VCO, выполните следующие действия:

  1. Согласование с администратором домена, чтобы сначала восстановить удаленный объект компьютера из контейнера Удаленные объекты в Active Directory.
  2. Убедитесь, что объект компьютера был восстановлен в правильном расположении, а затем включить учетную запись.
  3. Просмотр параметров безопасности для объекта компьютера, а затем убедитесь, что CNO по-прежнему имеет разрешения на объект.
  4. Принудительное копирование домена или ожидание установленного интервала репликации.
  5. В оснастке MMC по управлению кластерами неудачной работы щелкните правой кнопкой мыши неудачный ресурс Network Name, а затем нажмите кнопку **Bring this resource online. Если удаленный объект компьютера больше не существует в контейнере Удаленные объекты, то объект никогда не существовал или он был удален и мусор, собранный после собрания или превышения срока службы надгробия. Никогда не восстанавливать AD из резервной копии, которая старше срока службы надгробия. Это может вызвать затяжные объекты в среду.

Ссылки

Дополнительные сведения можно получить на следующих веб-сайтах Майкрософт:


После того, как установлена роль Доменные службы Active Directory , пришло врем создать пользователя в домене в Windows Server 2016. Начиная с версии Windows Server 2008 появилась возможность восстанавливать из корзины обьекты Active Directory, в том числе пользователей домена. Если в Windows Server 2008 было возможно восстанавливать объекты из корзины из Power Shell, то начиная с версии Windows Server 2012 появилась возможнсоть работать с графическим интерфейсом.

Создание учётной записи в Windows server 2016.

1. Нажимаем Пуск, далее выбираем Диспетчер серверов.

create del restore user 2016 1

2. В "Диспетчер серверов" выбираем "Средства", затем "Пользователи и компьютеры Active Directory".

create del restore user 2016 2

3. В окне "Active Directory" выбираем домен, правой клавишей мыши - "Создать", далее "Подразделение".

create del restore user 2016 3

4. Создаём новое подразделение в домене. Для защиты контейнера отслучайного удаления не снимаем чекбокс. Нажимаем "ОК".

create del restore user 2016 4

5. В новом подразделении заведём пользователя домена. Для этого правой клавишей мыши на подразделение - "Создать" - "Пользователь".

create del restore user 2016 5

6. При создании пользователя в графе "Полное Имя" пользователь отображается в виде Имя-Отчество-Фамилие. Для удобства изменим отображение на более привычный вид Фамилие-Имя-Отчество.

create del restore user 2016 6

7. Для этого в "Диспетчер серверов" выбираем "Средства", далее "Редактирование ADSI".

create del restore user 2016 7

8. В новом окне нажимаем "Действие" - "Подключение к. ".

create del restore user 2016 8

9. В поле "Известный контекст именования:" выбираем "Конфигурация", нажимаем "ОК".

create del restore user 2016 9

10. Открываем "Конфигурация [домен]" - "CN=DisplaySpecifiers" - "CN=419". Далее "CN=user-Display" - "createDialog".

create del restore user 2016 10

11. В редакторе строковых атрибутов устанавливаем значение: %<sn> %<givenName>. Не забываем пробел в устанавливаемом значении и нажимаем "ОК".

create del restore user 2016 11

12. Теперь при заполнении полей создания пользователя графа "Полное имя" будет отображаться в виде Фамилия\е-Имя-Отчество. Заполняем все графы в окне "Новый объект - Пользователь" и нажимаем "Далее".

create del restore user 2016 12

13. В следующем окне вводим пароль и подтверждение пароля для пользователя и нажимаем "Далее".

create del restore user 2016 13

14. Проверяем параметры создания нового пользователя, затем "Готово".

create del restore user 2016 14

15. Удалить пользователя в домене очень просто. Выбираем пользователя, правой клавишей мыши на обьекте, далее "Удалить".

create del restore user 2016 15

16. Появится предупреждение "Вы действительно ходите удалить Пользователь . ". При выборе "Да" пользователь будет удален из Active Directory.

create del restore user 2016 16

17. Для восстановления объектов Active Directory, в том числе пользователей", необходимо включить корзину. По умолчанию корзина выключена. В "Диспетчере серверов" выбираем "Средства", далее "Центр администрирования Active Directory".

create del restore user 2016 17

18. В новом окне выбираем наш домен, затем в правой части выбираем "Включить корзину. ".

create del restore user 2016 18

19. Появится подтверждение включения корзины в Active Directory. Нажимаем "ОК".

create del restore user 2016 19

20. Для актуализации состояния корзины в домене необходимо обновить центр администрирования Active Directory. Нажимаем "ОК".

create del restore user 2016 20

21. Обновляем состояния центра администрирования.

create del restore user 2016 21

22. Для проверки работоспособности корзины удаляем пользователя в домене.

create del restore user 2016 22

23. Отвечаем "Да" на появление запроса на подтверждение удаления пользователя.

create del restore user 2016 23

24. Переходим в Центр администрирования Active Directory. Выбираем наш домен. Справа появится удаленный объект. Нажимаем правой клавишей мыши на удаленного пользователя, далее "Восстановить". Удаленный пользователь будет восстановлен в Active Directory.

Читайте также: