درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
دوره های مرتبط
دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
مدرس: aliaghamiri
این دوره را در 10 قسط خریداری کنید
دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
مدرس: UNITY
این دوره را در 3 قسط خریداری کنید
دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
مدرس: isaac
این دوره را در 37 قسط خریداری کنید
بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
مدرس: UNITY
این دوره را در 64 قسط خریداری کنید
دوره آموزشی مقدماتی نرم افزار Wireshark
مدرس: mabedini
این دوره را در 8 قسط خریداری کنید
دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
مدرس: taghandiki
این دوره را در 7 قسط خریداری کنید
دوره آموزشی سیسکو آسان است
مدرس: emasis
این دوره را در 35 قسط خریداری کنید
دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
مدرس: taghandiki
این دوره را در 11 قسط خریداری کنید
دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
مدرس: emasis
این دوره را در 2 قسط خریداری کنید
نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
مدرس: milad.fashi
این دوره را در 4 قسط خریداری کنید

بخش دوم ریکاوری کردن کل Active Directory Forest

0 نظرات
35 بازدیدها
  1. ریکاوری کردن کل Active Directory Forest

در چند روز گذشته مطالبی درباره Recovery کردن کل Forest در این انجمن نوشتم که می توانید از لینک بالا به آن دسترسی داشته باشید. در این جلسه قصد دارم یک سناریو تعریف کنم و مراحل Recovery کردن Forest را بصورت عملی و تصویری به شما نشان دهم.کل سناریوی در تصویر زیر واضح و تعریف شدس :
Image


Contoso.Local یک Parent Domain هستش و Itpro.Contoso.Local یک Child Domain که هر کدام از نقشها و عملکرد DC ها را در تصویر بالا مشخص کردم. توجه : حتما قبل از اینکه بقیه مطالب را بخوایند قسمت اول Forest Recovery که در بالا لینک آن را قرار دادم را بخوانید. ثانیا سناریو بالا را با دقت نگاه و درک کنید. قبل از اینکه فاجعه Failure در Forest من رخ دهد و کل شبکه را Down کند من یک Full Backup Backup از DC ها گرفتم. برای گرفتن Full Backup از لینک زیر کمک بگیرید :
https://technet.microsoft.com/en-us/library/cc771045
برای گرفتن System State Backup از لینک زیر کمک بگیرید:
https://technet.microsoft.com/en-us/library/cc772482 
  • نکته مهم : شما با گرفتن یک System State Backup قابلیت disaster recovery را ندارید یعنی اگر هارد یا منابع سخت افزاری از بین رفت نمی توانید AD را Recovery کنید.
  • نکته : System State Backup فقط بر روی همان سیستم عامل و همان سخت افزار قابل ریستور شدن می باشد.

بعد از گرفتن Backup از تمام Writeable DCهای ساختار یکی از اعضای تیم IT آن سازمان Exchangeی یا هر برنامه دیگری که Schema را تعقیر می دهد را اشتباه نصب کرد(بگذریم که چند بار این پروسه را انجام داد) و کل تعقیرات اشتباه در کل Forest توزیع شد. (این یک نمونه از چیزهای می باشد که می تواند کل Forest را تحت تاثیر و باعث Failure شود) الان نمی توانیم دوباره Exchange را نصب کنیم!!!! عملیات Replication با خطا متوقف می شود!!!! هیچ کس نمی تواند Objectی در کل Forest ایجاد کند!!!! بهترین راه برای برگرداندن کل ساختار قبل از ایجاد این وضعیت, ریکاوری کردن کل Forest بوسیله Backup می باشد. شاید یکی به این نکته بدیهی اشاره کند که شما نیاز به ریکاوری کردن کل Forest ندارید فقط DCهای مشکل دار را Format کنید و دوباره OS and Active Directory نصب کنید و همه چیز بوسیله Replication به حالت اول بر می گردد!!!!
  • جواب: لازمه انجام کار بالا داشتن یک DC سالم که Schema آن تعقیر نکرده. که در سناریوی ما همه DCها درگیر این مشکل هستن.

  1. قبل از اینکه پروسه Recovery را اغاز کنم باید تعین کنم هر یک از DCها چه نقشی دارد؟؟؟؟؟
  2. اولین DC در هر Domain که قرار اولین DCی باشه که ریستور بشه را باید تعیین کرد؟؟؟
  3. Backup ی که قراره ریستور بشه را تعیین و ارزیابی بشه؟؟؟
  4. اولین DC را باید ایزوله کرد.

در مقاله اولی در رابطه با چهار ایتم بالا و پارامترهای که باعث انتخاب DCها و Backup می شود را کاملا توضیح دادم. اولین DC در ساختار که قبل از همه باید ریستور شود DCی در Forest root Domain می باشد. من در Forest root domain دوتا DC دارم که DC انتخابی DC-2 می باشد. چرا؟؟؟؟؟ چون DC-01 رولهای RID master and Schema را نگهداری می کند و ریستور کردن آن باعث اختلال در دیتابیس AD می شود. گرچه این روش توسط مایکروسافت توصیه نشده ولی اگر در مواقعی که فقط یک DC در سازمان دارید یکی از روشهای بازیابی کردن این دو رل بوسیله، Backup می باشد.! اولین قدم باید DC تعیین شده را ایزوله کرد که برای اینکار می توانید بقیه Writeable DCها را خاموش کنید یا کابل شبکه DC مورد نظر را بیرون بکشید یا Virtual network آن را تعقیر دهید یا غیرفعال کنید. بعد از تست و ارزیابی Backupهای گرفته شده من یک System State Backup برای ریستور کردن این DC در نظر گرفتم. در DC-02 در حالت DSRM بوت میکنم و دستور زیر را برای ریستور کردن System state Backup اجرا می کنم :
wbadmin start systemstaterecovery -version: 10/16/2015-14:20 –autsysvol
Image

با پارامتر –autsysvol همراه ریستور کردن System state بک آپ Authoritative resort Sysvol را نیز انجام می دهیم. دراقع با اجرای دستور بالا سه پارامتر مهم Forest Recovery بصورت اتوماتیک انجام می شود :
  1. System State Backup
  2. Authoritative Restore Sysvol
  3. Invalidating RID Pool
  4. قدم دوم غیر فعال کردن Global Catalog می باشد برای اینکار :

Image

Image

قدم سوم باید FSMO بقیه DCهای Forest root domain را به این DC مصادره یا Seize کرد:

برای اینکار من از دستور :
Move-ADDirectoryServerOperationMasterRole
استفاده می کنم برای اطلاع بیشتر لینک زیر را بخوانید :
http://social.technet.microsoft.com/wiki/contents/articles/6736.move-transfering-or-seizing-fsmo-roles-with-ad-powershell-command-to-another-domain-controller.aspx
قبل از اینکار دستور netdom query FSMO را بر روی DC-02 اجرا می کنم ببینم چه رلهای روی این سرور میزبانی می شود :
Image

Schema Master and RID master بر روی DC-01 میزبانی می شود و باید این دو رل را Seize کرد. برای اینکار دستور زیر را اجرا می کنم :
Move-ADDirectoryServerOperationMasterRole -Identity "DC-02" –OperationMasterRole 1,3 –force
Image

بعد از آن با دستور netdom query FSMO چک کنید رلها Seize شدن.

قدم چهارم ایجاد یک کلید ریجستری برای جلوگیری از initial synchronization FSMO:

به مسیر زیر بروید و یک کلید با نوع Reg-Dword ومقدار 0 ایجاد کنید:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations
Image

قدم پنجم بالا بردن مقدار RID Pool می باشد :

برای اینکار شما دو روش دارید: روش اول در منوی RUN دستور Adsiedit.msc را وارد و اینتر کنید. در پنجره باز شده از منوی Action گذینه Connect to را انتخاب و به Default Naming Context وصل شوید :
Image

CN=System را انتخاب و بعد از آن CN=RID Manager$ را انتخاب کنید :
Image

از پنجره باز شده گذینه riDAvailablePool را انتخاب کنید و مقدار آن را کپی کنید :
Image

ماشین حساب سیستم را اجرا کنید و آن را در مد Scientific Mode ست کنید، مقدار بالا را در ماشین حساب کپی کنید و آن را با عدد 100000 جمع بزنید و حاصل آن را در کادر بالا (riDAvilablePool) کپی کنید و Apply و Ok کنید.
روش دوم دستور LDP.exe را در منوی RUN اجرا کنید : از منوی Connection گذینه Connect را کلیک کنید و بدون هیچ تنظیم خاصی Ok کنید، دوباره از منوی Connection گذینه Bind را انتخاب و با User ی که عضو Enterprise Admins باشد Login کنید.از منوی View گذینه Tree را کلیک کنید و بدون هیچ تنظیم خاصی Ok کنید. از سمت چپ گذینه CN=System,DC=<Domain Name> دابل کلیک کنید :
Image

از منوی باز شده گذینه CN=RID Manager$,CN=System,DC را انتخاب کنید :
Image

بر روی گذینه بالا راست کلیک کنید و Modify را کلیک کنید در فیلد Attribute متن rIDAvailablePool را وارد کنید و مقداری که در عکس بالا سمت راست صفحه مشخص کردم را دوباره با 100000 جمع بزنید و حاصل را در فیلد Values پست کنید. در قسمت Operations گذینه Replace را انتخاب کنید و Enter کنید. در آخر گذینه Synchronous را انتخاب کنید :
Image

الان دکمه RUN را کلیک کنید. خروجی دستور بالا باید شبیه متن زیر باشد:
***Call Modify... 
ldap_modify_s(ld, 'CN=RID Manager$,CN=System,DC=<Contoso>,DC=Local',[1] 
attrs); 
Modified "CN=RID Manager$,CN=System,DC=Contoso,DC=Local>".

قدم ششم Clean Up Metadata می باشد :

شما در این مرحله باید اطلاعات DCهای قبلی را از Metadataی این DC پاک کنید : برای این کار به کنسول Active Directory Users and Computers رفته و Computer Account های DCهای دیگر را پاک کنید :
Image

الان به کنسول Active Directory Sites and Services رفته و Objectهای دیگر DCها را پاک کنید.
  • نکته مهم : دست به Objectهای DCهای Child Domain نزنید.
الان به DNS بروید و NC وبقیه رکوردهای باقی مانده از DC-01 (دست به رکوردهای DC-03 که همون Child Domain ماست نزنید) را پاک کنید. در پروسه Metadata شما فقط DCهای Additional مربوط به یک Domain را پاک می کنید.

قدم هفتم تنظیمات DNS مربوط به همین سرور :

تنظیمات TCP/IP مربوط به DNS را بر روی IP همین سرور ست کنید :
Image

قدم هشتم ریست کردن Computer Account Password می باشد :

قبل از اینکار لینک زیر را مطالعه کنید :
https://support.microsoft.com/en-us/kb/325850
دستور زیر را دوبار بر روی سرور DC-02 اجرا می کنید و بعد از آن سرور را Restart می کنید :
netdom resetpwd /s:DC-02 /ud:Contoso.Local\Administrator /pd:*
Image

قدم نهم باید krbtgt password را ریست کنیم :

قبل از انجام اینکار اجازه بدید یک تعریف کلی از krbtgt Account بدم: اگر با کارکرد پروتکل Kerberos اشنائی دارید می دانید که هر User در ساختار دومین برای Login کردن به دومین و دسترسی به منابع باید یک Ticket با نام ticket-granting ticket (TGT) از Key Distribution Center که همان DC می باشد دریافت کند. قبل از اینکه Kerberos این کلید را تحویل User دهد این کلید را با پسورد krbtgt password رمزگذاری می کند.وقتی Active Directory را نصب می کند این اکانت ایجاد می شود. خود اکانت krbtgt و پسورد آن بین همه DCهای دومین به اشتراک گذاشته می شود. برای ریست کردن krbtgt password مراحل زیر را انجام دهید : به کنسول Active Directory users and computers رفته و Advanced Features را از منوی View فعال کنید و به کانتینر Users رفته و بر روی krbtgt راست کلیک کنید و Rest Password را کلیک کنید و یک پسورد برای این اکانت ست کنید.
Image

  • نکته : مراحل بالا را دوبار انجام دهید.
  • نکته : نگران پسوردی که ست کردید نباشید چون این پسورد توسط DC بصورت اتوماتیک ایجاد می شود.
  • قدم دهم شما باید Trust Password بین Parent/Child Domain را Reset کنید:

اینکار برای Replicate شدن DCها با DCهای مجاز ساختار می باشد. و از Replicate شدن با Dcهای غیر مجاز جلوگیری می کند. (گرچه این پروسه در سناریو های دیگر شامل جزئیات بیشتری می باشد) برای اینکار دستور زیر را بر روی Parent Domain اجرا کنید :
netdom trust <parent domain name> /domain:<child domain name> /resetOneSide /passwordT:<password> /userO:administrator /passwordO:*
Image

نکته : مقدار PasswordT: باید بین Parent/Child domain یکی باشد. دستور زیر را بعد از ریکاوری کردن اولین DC در Child Domain اجرا می کنیم :
netdom trust <child domain name> /domain:<parent domain name> /resetOneSide /passwordT:<password> /userO:administrator /passwordO:*
Image

قدم یازدهم فعال کردن Global Catalog بر روی سرور DC-02 می باشد:

Image

کار ما در سرور DC-02 تمام شد. سرور را خاموش کنید.

الان به سراغ Domain های دیگر رفته عملیات بالا را بر روی DC انتخابی انجام دهید. قبل از اینکار به این چند نکته مهم توجه کنید:
  • برای ریستور کردن System state backup از پارامتر –authsysvol استفاده نکنید. (این پارامتر باید بر روی DCهای Forest root domain اجرا شود)
  • Global Catalog را بر روی DCهای غیر از Forest root domain غیرفعال کنید. ( بعد از ریکاوری کامل ساختار می توانید نقش GC را بر روی بقیه DCها فعال کرد)
  • فقط رلهای (FSMO) Domain-wide را بر روی DCهای غیر Forest root domain جابجا کنید. رلهای Forest-wide را دستکاری نکنید.
  • هنگام ریکاوری کردن DC های دومین های دیگر ساعت وتاریخ آنها را دستکاری نکنید.
  • وقتی Child Domainی را ریستور کردید Preferred DNS آن در با اولین DC ی ریستور شده در Forest Root Domain ست کنید.

بعد از انجام مراحل بالا الان شما باید در هر Domain یک DC ریکاور شده داشته باشید. DCهای ریکاور شده را از حالت ایزوله درآورید و به شبکه اصلی وصل کنید.
ساعت و تارخ همه DC ها را یکسان کنید.الان باید توسط دستور Repadmin.exe چک کنیم Replication بین DCهای ریکاور شده برقرار است یا نه؟
Image

Image

الان باید در Event Viewer دنبال Eventی به شماره ID: 4602 باشید. این Event مراحل موفقیت امیز DFS Replication مربوط به پوشه Sysvol در کل Forest می باشد.
Image

چک کنید که بتوانید به Resourceهای دومین های دیگر را فراخوانی و به آنها Permission دهید:
Image

در مرحله آخر یا دستور dcdiag.exe /v سلامت DC و DNS را چک کنید که Errorی دریافت نکنید.
بعد از اینکه مطمئن شدید DCها ریکاور شده با هم Replicate می کنند کلید رجیستری مربوط به initial synchronization FSMO را به 1 تعقیر دهید:
Image

سرورهای که پروسه بالا بر روی آنها انجام شده را Reset کنید و بعد از Reset وضعیت replication آنها را چک کنید.در این مرحله شما یک DC ریکاور شده در هر یک از دومین های Forest دارید که بصورت موفقیت امیز با هم در ارتباط هستن.در مرحله نهائی شما باید تمام Additional DC دومین های دیگر را به وسیله متد recovery active directory thought reinstall به مدار بر گردونید که پروسه راحت و اسانی هستش که برای طولانی نشدن مقاله می توانید به سایت زیر رجوع کنید :
https://technet.microsoft.com/en-us/library/cc816620(v=ws.10).aspx
بعد از اینکه کل Forest بصورت صحیح ریکاوری شد و هیچگونه مشکلی در ارتباط و Replication دومین کنترولرها مشاهده نشد می توانید رلهای FSMO را بین DCهای مناسب منتقل کرد یا نقش Global Catalog را در بین DCها فعال کرد.

منبع :
https://technet.microsoft.com/en-us/library/cc781218(v=ws.10).aspx
موفق و پیروز باشید
نویسنده :احمد جهلولی
منبع:انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر نام نویسنده و منبع دارای اشکال اخلاقی و شرعی می باشد.
برچسب ها
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید

    arrow