Вопрос или проблема
У нас есть родительский сайт (называется SHORE) и сайт дочернего домена (называется CHILD).
На родительском контроллере домена кто-то удалил сайт CHILD и все, что было в нем (настройки NTDS и компьютер контроллера домена дочернего домена, использовавшийся для подключения).
У нас нет корзины AD, и воскрешение гробницы не показывает удаленный сайт.
Я воссоздал сайт CHILD, а также связанную с ним подсеть и ссылку, однако KCC не создает настройки NTDS.
Какова правильная процедура?
.
Ответ или решение
Удаление дочерней области DNS-сервера Active Directory (AD) может нанести значительный ущерб инфраструктуре сети. Для того чтобы рассмотреть пути решения описанной проблемы, необходимо понимать основные принципы работы AD и конкретного конфигурационного контекста системы.
Теория
Active Directory – это служба каталогов для Windows-доменов, которая управляет централизованной системой доступа к ресурсам, позволяет контролировать версии конфигураций и управляет путями репликации информации между серверами. В контексте Active Directory, понятие "сайт" в основном относится к физическому расположению (или сегменту сети) и определяет последовательность репликации. В вашем случае, у вас было два сайта – главный SHORE и дочерний CHILD.
Удаление дочернего сайта и его настроек, включая NTDS Settings и связанные с ним объекты, такие как контроллеры доменов, приводит к разрыву связи. Это значит, что репликация данных между контроллерами на этих сайтах невозможна, а ресурсы дочернего сайта могут потерять доступ к главному домену SHORE.
Пример
Представьте, что у вас есть два крупных офиса в разных городах, причем каждый из них соответствует сайтам SHORE и CHILD. Оба офиса имеют свои контроллеры домена, которые управляют локальной сетью. Удаление CHILD равно удалению управленческого звена в одном из офисов, что приведет к тому, что сотрудник из другого офиса не сможет получать информацию или взаимодействовать с ресурсами этого офиса, поскольку маршруты репликации данных были утрачены.
Применение
Теперь приступим к реставрации и повторной настройке удаленного дочернего сайта в AD.
1. Реконструкция сайта и подсети
Вы уже выполнили часть работы, повторно создав сайт CHILD, ассоциированную подсеть и связь. Это важно, так как без этих элементов физическое разделение сети не определится, и репликация между сайтами не начнется.
2. Ручное создание NTDS Settings
Поскольку KCC (Knowledge Consistency Checker) автоматически не создает NTDS Settings, вам потребуется сделать это вручную:
- Подключитесь к контроллеру домена через AD Sites and Services (Сайты и службы AD).
- В контекстном меню выберите опцию "Новый объект" и создайте новый NTDS Settings, привязав его к существующему серверу контроллера домена.
- Убедитесь, что настройки репликации правильные и соответствуют тем, что были до удаления.
3. Репликация и диагностика
После восстановления связей и настройке NTDS Settings, проверьте, работают ли они корректно:
- Используйте команды PowerShell, такие как
Get-ADReplicationSiteLinkиGet-ADReplicationSite, чтобы удостовериться в существовании всех необходимых объектов и связей. - Убедитесь через команду
repadmin /showrepl, что репликация данных между сайтами происходит без ошибок.
4. Мониторинг и аудит
После воссоздания всех утраченных объектов и связей, рекомендуется настроить аудит изменений в AD, чтобы предотвратить случайное удаление в будущем. Включите детализированный мониторинг и ведите запись всех изменений в структуре домена.
5. Резервное копирование
Поскольку у вас нет внедренного AD Recycle Bin, рассмотрите внедрение регулярного резервного копирования и, если возможно, включите такие функции как Active Directory Recycle Bin, что позволит в будущем быстро восстанавливать удаленные объекты.
Использование вышеописанных процедур поможет восстановить утраченную часть системы и предотвратить подобные инциденты в будущем. Важно следовать вышеприведенной инструкции максимально тщательно, чтобы избежать возможных ошибок и остановок в работе сети.