Восстановление sysvol windows server 2016

Обновлено: 03.07.2024

Неполномочное восстановление AD DS выполняется средствами Windows Server Backup и может потребоваться в самых разных случаях . Сценарий восстановления также зависит от используемой версии операционной системы и версии гипервизора (если контроллеры домена работают в виртуальной среде). Большинство из возможных вариантов я рассмотрю в этой статье.

Если вам интересна тематика Windows Server, рекомендую обратиться к тегу Windows Server на моем блоге.

Неполномочное восстановление AD DS

Выполнять неполномочное восстановление будем через бэкап System State нашего КД.

Того же эффекта можно добиться, используя бэкап критически важных томов, а также при восстановлении из полного бэкапа сервера 1 .

Немного теории

Перед началом процесса восстановления контроллера домена необходимо четко себе представлять что же произойдет после, а произойдет следующее:

  1. Система возвратится в состояние на момент снятие бэкапа (это очевидно);
  2. Будет сгенерирован новый DSA Invocation ID;
  3. Текущий пул RID будет сброшен и получен новый;
  4. Произойдет неполномочное восстановление SYSVOL.

Теперь о каждом пункте подробнее, начиная со 2.

DSA Invocation ID

Этот механизм необходим, чтобы избежать отката номеров последовательных обновлений (USN Rollback 2 ), который заключается в следующем.

RID Pool

Примечание: за выдачу пулов относительных идентификаторов отвечает держатель роли FSMO RID Master, о котором я подробно рассказывал в статье RID master — Хозяин относительных идентификаторов.

Если на момент создания резервной копии у КД имеется выданный пул идентификаторов (а на деле в 99% случаев так оно и будет, за исключением ситуации, когда на момент бэкапа пул был израсходован полностью, а связи с хозяином RID для получения нового пула не было), то после восстановления из бэкапа контроллер домена начнет использовать этот пул заново и в лесу появятся принципалы безопасности с одинаковыми SID.

Чтобы такой ситуации не было, во время неполномочного восстановления пул RID сбрасывается и запрашивается новый.

Примечание: может так получиться, что восстанавливать из бэкапа придется хозяина RID. На этот счет Microsoft рекомендует не выполнять восстановление, а захватить все необходимые роли с других КД и вместо утраченного контроллера развернуть другой. Тем не менее, восстановление хозяина RID вполне возможно. Главное, чтобы на момент восстановления хозяина RID остальные КД были реплицированы друг с другом и хотя бы один из их был доступен восстановленному КД для выполнения начальной репликации, иначе роль RID master не стартанет.

Если же вы восстанавливаете весь лес AD, не забудьте повысить границу выдаваемого пула 3 и сбросить текущие пулы на контроллерах домена 4 .

Переходим к последнему пункту.

SYSVOL restore

Этот момент самый очевидный из всех рассматриваемых. По умолчанию осуществляется именно неполномочное восстановление SYSVOL, чтобы стянуть последние актуальные данные с других КД. Если же необходимо полномочное восстановление 5 , то достаточно поставить соответствующую галочку в мастере WSB или выставить флаг -sysvol, если используете командную консоль.

Когда нужно неполномочное восстановление

Неполномочное восстановление может понадобиться в нескольких ситуациях:

  1. Рабочий КД вышел из строя в связи с аппаратными/программными проблемами и нет желания разворачивать полностью свежий КД (например потому что на старом были какие-то важные приложения и данные);
  2. При откате к снимку виртуальной машины. Если:
    • КД имеет ОС старше Windows Server 2012;
    • Гипервизор не поддерживает VM-Generation ID (все до Windows Server 2012), вне зависимости от гостевой ОС.

Во всех остальных случаях используются другие сценарии восстановления.

Подготовка

К моменту восстановления у вас должны быть:

  1. Резервная копия (я подключил к виртуализованному КД отдельный диск, на который ранее был скопирован бэкап состояния системы);
  2. Пароль DSRM. Придется загружаться в режиме восстановления AD, сервисы будут остановлены, а потому зайти под доменной учеткой не получится, только под локальным админом.
Примечание: если пароль DSRM безвозвратно утерян, его можно сбросить 6 . Разумеется такой вариант возможен только при локальном входе на КД.

Переходим к кульминации.

Восстановление

Хочу отметить, что мой сервер перед операцией восстановления полностью доступен. Если же у вас более сложный случай, то возможно вам понадобится установочный диск операционной системы. В любом случае сценарий восстановления будет отличаться.

Итак, нажав F8 дожидаемся загрузки сервера и входим под учетной записью локального администратора:

Неполномочное восстановление AD DS 02

Вводим пароль DSRM, дожидаемся пока система загрузится.

Неполномочное восстановление AD DS 03

Не забудьте выбрать Восстановление системы:

Неполномочное восстановление AD DS 04

После этого увидите предупреждение:

Неполномочное восстановление AD DS 05

Подтверждаем, далее нажимаем Восстановить и снова соглашаемся с всплывшим предупреждением. Дожидаемся окончания процесса восстановления и перезагружаемся.

----
Служба репликации файлов просматривает данные на системном томе. Компьютер SERVER1 не сможет стать контроллером домена, пока этот процесс не завершится. Затем системный том станет общим ресурсом с именем SYSVOL.

Для проверки ресурса SYSVOL введите в командной строке:
net share

Когда служба репликации файлов завершит процесс сканирования, на экране появится общий ресурс SYSVOL.

Инициализация системного тома может занять некоторое время. Это время зависит от объема системного тома.
----

-------
Служба репликации файлов обнаружила, что набор реплик "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" находится в JRNL_WRAP_ERROR.

Имя набора реплик : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Путь к корню реплики : "C:\winnt\sysvol\domain"
Том корня реплики : "\\.\C:"
Набор реплик попадает в JRNL_WRAP_ERROR, когда запись, которую пытаются прочесть из USN-журнала NTFS, не найдена. Это может произойти по одной из следующих причин.

[1] Том "\\.\C:" был отформатирован.
[2] Удален USN-журнал NTFS на томе"\\.\C:".
[3] USN-журнал NTFS на томе"\\.\C:" был урезан. Программа Chkdsk может урезать журнал, если она находит поврежденные записи в конце журнала.
[4] Служба репликации файлов в течение долгого времени не работала на этом компьютере.
[5] Службе репликации файлов не удалось сохранить уровень активности дискового ввода/вывода на "\\.\C:".

Присвоение параметру системного реестра "Enable Journal Wrap Automatic Restore" значения 1 приведет к выполнению следующих автоматических шагов по восстановлению из данного ошибочного состояния.
[1] Во время первого опроса, который происходит в течение 5 минут, этот компьютер будет удален из набора реплик. Если вы не хотите ждать 5 минут, выполните последовательно команды "net stop ntfrs" и "net start ntfrs" для перезапуска службы репликации файлов.
[2] Во время следующего опроса, этот компьютер будет вновь добавлен к набору реплик. Повторное добавление компьютера инициирует полную синхронизацию дерева для данного набора реплик.

ПРЕДУПРЕЖДЕНИЕ: В процессе восстановления данные в дереве реплик могут быть недоступны. Для предотвращения неожиданного прекращения доступа к данным службой автоматического восстановления в подобной ошибочной ситуации необходимо задать значение 0 для параметра системного реестра, описанного ранее.
-------

-------
Службе репликации файлов не удалось добавить этот компьютер к следующему набору репликации:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

Это может быть вызвано следующими причинами:
-- недопустимый корневой путь,
-- отсутствующая папка,
-- отсутствующий дисковый том,
-- файловая система на этом томе не поддерживает NTFS 5.0,

Следующая информация может помочь при устранении проблем:
DNS-имя компьютера - "server1.local"
Имя набора репликации - "server1"
Корневой путь набора репликации - "c:\windows\sysvol\domain"
Путь конечной папки репликации - "c:\windows\sysvol\staging\domain"
Путь рабочей папки репликации - "c:\windows\ntfrs\jet"
Код ошибки Windows -
Код ошибки службы FRS - FrsErrorMismatchedJournalId

-------
Служба репликации файлов находится неработоспособном состоянии. Файлы не будут реплицироваться из или в наборы репликации на этом компьютере до тех пор, пока не будут выполнены следующие шаги для ее восстановления:
-------


то надо переходить к восстановлению службы NTFRS.

Итак, чтобы восстановить SYSVOL службы NTFRS нужно проделать следующие шаги:
1. Остановить службу репликации файлов.
Выполняем команду на всех контроллерах домена:
net stop ntfrs

2. Выбрать главный контроллер домена.
Выберите из всех контроллеров какой-нибудь один, где меньше всего глюков, где мощнее сервер и широкий канал связи. Для нас он будет главным (reference domain controller). Он будет содержать все реплики, которые впоследствии распространятся на подчинённые контроллеры.

3. Проверить структуру папок службы репликации файлов.
Проверяем структуру папок на всех контроллерах домена.

Если каких-то папок нет, то создайте их вручную.

4. Переместить реплики на главном контроллере.
На главном (авторитетном, опорном, эталонном, как больше нравится) контроллере домена переносим содержимое папок в укромное место на том же логическом разделе диска, чтобы не нарушить права и наследие прав в этих папках. Не удаляйте сами эти папки. Они должны остаться на месте и быть пустыми. Вот эти папки:

5. Установить авторитетный режим главного контроллера домена.
Для главного контроллера домена редактируем ключ в реестре типа DWord с именем BurFlags. Устанавливаем его значение равным D4 в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\GUID
где GUID такой же как GUID в разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets\GUID

6. Установить НЕ авторитетный режим вспомогательных контроллеров домена.
Для каждого из вспомогательных контроллеров домена редактируем ключ в реестре типа DWord с именем BurFlags. Устанавливаем его значение равным D2 в разделах:

date

07.11.2019

directory

Active Directory, Windows 10, Windows Server 2016

comments

комментариев 5

Кроме того, на проблемных компьютерах с Windows 10 могут наблюдаться проблемы с применением групповых политик. В журнале можно найти ошибки с EventID 1058:

Если у вас в домене остались компьютеры и контроллеры домены со старыми версиями Windows (Windows 7 / Windows Server 2008 R2 и ниже), вы не должны использовать опцию RequirePrivacy=1 . Иначе старые клиенты не смогут подключиться к сетевым каталогам на контроллерах домена.

Изначально эти изменения были внесены в Windows 10 еще в 2015 году в рамках бюллетеней безопасности MS15-011 и MS15-014. В результате был изменен алгоритм работы Multiple UNC Provider (MUP), который теперь использует особые правила для доступа к критичным каталогам на контроллерах домена \\*\SYSVOL и \\*\NETLOGON.

В Windows 7 и Windows 8.1 защищенные UNC пути по умолчанию отключены.

Изменить настройки UNC hardening в Windows 10 для доступа к SYSVOL и NETLOGON можно через групповые политики. Вы можете использовать различные настройки безопасности для доступа к разным UNC-путям с помощью политики Hardened UNC Paths (UNC пути с усиленной защитой).

Или можно разрешить доступ к каталогам Sysvol и Netlogon независимо от UNC пути:

Нужно указать все необходимые вам имена доменов (контроллеров домена) или IP адреса.

Microsoft рекомендует использовать следующие настройки для безопасного доступа к критичным UNC каталогам:
  • \\*\NETLOGON RequireMutualAuthentication=1, RequireIntegrity=1
  • \\*\SYSVOL RequireMutualAuthentication=1, RequireIntegrity=1

Осталось обновить политики на компьютере с помощью команды gpupdate /force и проверить, что у вас появился доступ к каталогам Sysvol и Netlogon.

Вы можете настроить эти параметры с помощью централизованной доменной политики. Или с помочью следующих команд на клиентах. (Эти команды отключат Kerberos аутентификацию при доступе к указанным каталогам на DC. Будет использоваться NTLM, в результате вы сможете открыть защищённые каталоги на DC по IP адресу):

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ /f
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\NETLOGON" /d "RequireMutualAuthentication=0" /t REG_SZ /f

ИСПРАВЛЕНИЕ: Служба репликации файлов (FRS) устарела

Ошибка «Служба репликации файлов (FRS) устарела» возникает потому, что после введения Windows Server 2008 контроллеры домена используют более новую репликацию распределенной файловой системы (DFSR) вместо службы репликации файлов (FRS) для репликации сценарии входа и объектные файлы групповой политики из папки SYSVOL на другие контроллеры домена.

Как перенести репликацию SYSVOL из FRS в DFSR.

Шаг 1. Проверьте состояние контроллеров домена с помощью DCDIAG.

1. На каждом контроллере домена откройте командную строку с повышенными правами и введите следующую команду для диагностики работоспособности контроллеров домена. *

диагностировать здоровье домена

2. Важный: Прежде чем перейти к следующим шагам, убедитесь, что все тесты, кроме теста FrsEvent, пройдены.

Шаг 2. Повышение функциональности уровня леса и домена

1. На основном контроллере домена AD откройте Диспетчер серверов.
2. От инструменты меню, выберите Active Directory Домены и трасты.

Домен Active Directory и трасты

3. Щелкните правой кнопкой мыши на доменном имени и выберите Повысить функциональный уровень домена.

повысить функциональный уровень домена

4. Установите для домена функциональный уровень Windows Server 2008 и нажмите Повышать.

образ

образ

6. Затем щелкните правой кнопкой мыши на Active Directory Домены и трасты и выбрать Повысить функциональный уровень леса

повысить функциональный уровень леса

7. Установите для функционального уровня леса значение Windows Server 2008 и нажмите Повышать.

образ

образ

Шаг 3. Создание DFSR Global AD объектов

1. На основном контроллере домена AD откройте Командная строка от имени администратора и введите следующую команду, чтобы создать необходимые объекты DFSR Global AD. (Это полезно, если контроллер домена только для чтения (RODC) не может запустить миграцию в течение длительного времени.)

образ

2. Перейдите к следующим шагам, чтобы запустить миграцию FRS в DFSR.

Шаг 4. Установите для параметра FRS для состояния миграции DFSR значение ПОДГОТОВЛЕНО. *

* Информация: в состоянии «ПОДГОТОВЛЕНО» служба репликации DFS создает копию содержимого общего ресурса SYSVOL для себя. Затем он начинает инициировать репликацию своей копии папки SYSVOL на всех других контроллерах домена, используя службу репликации DFS, которая также перешла в состояние «ПОДГОТОВЛЕНО». На этом этапе процесса миграции основным механизмом репликации для общего ресурса SYSVOL на каждом из контроллеров домена в домене по-прежнему является FRS.

1. В командной строке с повышенными привилегиями введите следующую команду:

франс до дфср подготовил состояние

2. Затем убедитесь, что все контроллеры домена успешно переведены в состояние «ПОДГОТОВЛЕНО», введя следующую команду: *

образ

3. После успешного перехода в глобальное состояние «Подготовлено» на всех контроллерах домена проверьте следующее:

образ

2. Беги adsiedit.msc

а. Щелкните правой кнопкой мыши на ADSI Edit а также Выбрать Соединить с…. -> Контекст именования по умолчанию и нажмите ХОРОШО.

б. Затем разверните Контекст именования по умолчанию > DC = Domain > CN = System и убедитесь, что CN = DFSR-GlobalSettings был создан.

образ

образ

4. Проверьте работоспособность репликации Active Directory, введя эту команду (результат должен показать, что ошибок нет на всех контроллерах домена):

Шаг 5. Установите для FRS для состояния миграции DFSR значение REDIRECTED *

* Информация: в состоянии «REDIRECTED» репликация перемещается в службу репликации DFS, которая начинает реплицировать новую папку SYSVOL (C: \ Windows \ SYSVOL_DFSR \ sysvol). В то же время FRS реплицирует старую папку SYSVOL (C: \ Windows \ SYSVOL \ sysvol) на другие контроллеры домена.

переадресация с frs в dfsr

2. Теперь подтвердите, что все контроллеры домена достигли состояния Redirected, введя эту команду: *

образ

3. После успешного перехода в глобальное состояние «Перенаправлено» на всех контроллерах домена проверьте следующее:

1. Теперь SYSVOL является общим для папки «C: \ Windows \ SYSVOL_DFSR \ sysvol» с помощью команды «net share»:

образ

2а. Откройте редактор реестра на всех контроллерах домена и перейдите по пути ниже:

  • HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ DFSR \ Parameters \ SysVols \ Мигрирующие SysVols

образ

3. Принудительная репликация Active Directory на контроллере домена. Для принудительной репликации Active Directory введите следующую команду на контроллере домена:

4. Заставьте службу репликации DFS опросить Active Directory. Чтобы вызвать опрос Active Directory, введите команду «dfsrdiag PollAd» на контроллере домена. Чтобы вызвать опрос Active Directory, введите следующую команду на контроллере домена: *

  • dfsrdiag PollAd / Участник: DC_NAME

* Примечание. Измените DC_Name с помощью контроллера домена, для которого вы хотите вызвать опрос Active Directory.

4. Если все выглядит хорошо, переходите к следующему шагу. Если что-то не так, вы можете откатиться из состояния «REDIRECTED» в состояние «START», выполнив следующую команду:

Шаг 6. Установите для FRS значение DFSR Migration State значение ELIMINATED.

Информация: в состоянии «ELIMINATED» и после того, как вы убедитесь, что репликация работает нормально, настало время заставить все контроллеры домена остановить службу FRS и удалить папку SYSVOL. Для этого:

1. В командной строке введите следующую команду:

франс до дфср ликвидировал состояние

2. Наконец, подтвердите, что все контроллеры домена достигли состояния ELIMINATED:

образ

3. После успешного перехода от FRS к DFSR следующие события будут записаны в Просмотрщик событий > Журналы приложений и услуг:

Это оно! Дайте мне знать, если это руководство помогло вам, оставив свой комментарий о вашем опыте. Пожалуйста, любите и делитесь этим руководством, чтобы помочь другим.

Читайте также: