Микрософт сподобился выпустить руководство по размещению контроллеров домена в виртуальной среде.
В документе в очередной раз повторяют прописные истины про зло P2V и проблемы со временем.
А также там руководство по восстановлению контроллера домена в случае, когда у вас нет валидного бэкапа, но есть файл жесткого диска. Под катом инструкция (вроде как мануал для Windows 2008, вроде работает для 2003 и 2000 SP4 ):
0) Берете восстановленный файл жесткого диска;
1) Обязательно запускаете DC в режиме DSRM. Если не получилось, см. пункт 1. При нормальном запуске DC тут же увеличит счетчик USN и будет вам несчастье;
2) В разделе “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters” смотрим параметр “DSA Previous Restore Count” и запоминаем его значение. Если параметра нет, считаем, что он равен нулю. Создавать его не нужно;
3) Создаем там же параметр DWORD (32-bit) “Database restored from backup”, значение равно 1;
4) Перезапускаем DC в обычном режиме;
5) Открываете просмотрщик событий и ищете событие с кодом 1109 примерно такого содержания
Active Directory has been restored from backup media, or has been configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created is
InvocationID attribute (old value):
InvocationID attribute (new value):
Update sequence number:
The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.
6) Запускаете реестр и смотрите значение “DSA Previous Restore Count” – оно должно увеличиться на 1.
7) Если значение не увеличилось и в журнале нет такого события, попробуйте снова всю последовательность действий.
В общем, к проглядыванию рекомендуется…
Ух ты как интересно! Спасибо за информацию…
Если не ошибаюсь, эта последовательность действий эмулирует неавторитативное восстановление контроллера домена. Когда он восстановлен до более-менее работоспособного состояния и теперь скачивает изменения из сети.
Да, именно неавторитативное. Я опробовал эту процедуру – действительно работает. От себя добавлю, что, во-первых, в случае с RODC достаточно просто запустить виртуалку с сохраненной копией жесткого диска, без правки реестра – я так понимаю, благодаря свойству однонаправленной репликации для RODC.А во-вторых, authoritative restore в данном случае выполнить не получиться.
В случае, если ты хочешь выполнить авторитативное восстановление, просто “убей” остальные сервера (с зачисткой AD и переносом ролей) 😉
http://blog.laspina.ca/ubiquitous/protecting-active-directory-with-snapshot-strategies
Статья об использовании снапшотов для защиты Active Directory.
Видим в ней уже знакомый нам параметр реестра, правда, используемый в VBS-скрипте. Как мне кажется, это более правильный вариант!
На днях довелось обкатать эту инструкцию на w2k sp4, все получилось. Так что если кому доведется восстанавливать контроллер домена с этой осью, возьмите на заметку.
Супер. Спасибо, Паша, за отзыв!
Вчера пришлось решать как раз эту задачу на 2003, помогло, спасибо за “пилюлю” ))