Odzyskiwanie AD w Windows 2008 Server

Odzyskiwanie AD w Windows 2008 Server – czyli Recovery System State. Zadanie to nie jest już takie proste jak to miało miejsce w poprzednich systemach operacyjnych (Windows 2003 Server i starsze). Największa trudność tego zadania polega na uruchomieniu serwera w trybie DSRM (Directory Service Restore Mode). Wynika ona z tego faktu, że standardowo serwer nie jest przygotowany do wejścia w ten tryb – serwer musi być przygotowany.

Przygotowanie serwera do uruchomienia w trybie DSRM polega na dodaniu odpowiedniej opcji startu systemu za pomocą narzędzi BCDEDIT. Wiele źródeł podaje aby modyfikować domyślną opcję bootloadera, ale jest to zabieg co-nieco niebezpieczny i może przynieść nam w niedalekiej przyszłości bardzo wiele niepotrzebnych problemów. Podam więc sposób pozwalający w razie wpadki bez problemu wrócić do standardowego trybu pracy serwera bez dodatkowych, sztucznych zabiegów.

Cały zabieg zaczynamy od uruchomienia polecenia CMD jako administrator. Następnie wykonujemy skopiowanie domyślnej pozycji bootloadera, nadając mu jednak już odpowiednią nazwę:

C:\bcdedit /copy {default} /d "Directory Service Repair Mode"

W wyniku tej operacji otrzymamy komunikat mówiący o powodzeniu wykonania komendy i stworzeniu nowej pozycji bootloadera z nowym, określonym GUID:

The entry was successfully copied to {GUID_wygenerowany_przez_serwer}

Następnie musimy zmodyfikować tę pozycję, aby uruchamiała nam serwer w trybie DSRM:

C:\bcdedit /set { GUID_wygenerowany_przez_serwer} safeboot dsrepair

Teraz mamy podczas startu do wyboru już dwie opcje (pod warunkiem zaznaczenia opcji, aby system czekał na nasz wybór):


Teraz mamy już z górki.
Uruchamiamy serwer w trybie DSRM i po zalogowaniu (będzie potrzebne hasła odzyskiwania AD) z linii komend uruchomionej jako administrator uruchamiamy komendę sprawdzającą jakie mamy dostępne backupy (należy pamiętać, aby je wcześniej dołączyć do serwera!):

C:\wbadmin get versions

W wyniku tego polecenia dostaniemy coś na wzór:


Wybieramy właściwy backup, z którego chcemy odzyskać System State (AD) i wpisujemy polecenie:

C:\wbadmin start systemstaterecovery –version:12/13/2016-17:00

I teraz uzbrajamy się w cierpliwość, jako że odzyskiwanie potrafi trwać ponad godzinę przy bardzo małej AD.

Ten sposób wyzwala tzw. nieautorytatywne odzyskanie AD, więc jest przydatne, gdy mamy tylko jeden kontroler domeny, lub uszkodzony mamy tylko jeden kontroler domeny i chcemy tylko naprawić uszkodzenia zaciągając najświeższe dane z innego kontrolera domeny. Jeśli chcemy odzyskać System State (wraz z AD) w trybie autorytatywnym należy nieco zmodyfikować polecenie odzyskiwania:

C:\wbadmin start systemstaterecovery –version:12/13/2016-17:00 -authsysvol

Problem z dodaniem/usunięciem roli/funkcji w Windows 2008

W serwerze Windows 2008 (także w SBS, R2) zdarzają się bardzo często problemy z dodawaniem lub usuwaniem ról/funkcji. Gdy odpalamy Server Manager to w miejscu informacji dotyczących zainstalowanych ról i funkcji wyświetla się błąd. W pasku stanu można natomiast kliknąć "Pokaż szczegóły błędu". Tam odnajdujemy błąd:

hresult 0x80070543

Przeszukałem wiele zasobów internetowych i większość prowadziła do dwóch rozwiązań:

• problem z aktualizacjami, który rozwiązuje się z pomocą Microsoft Update Readiness Tool,
• problem z ustawieniem usług składowych

W moim przypadku ten pierwszy sposób to był niecelny strzał (u mnie aktualizacje chodziły bez zastrzeżeń a narzędzie nie pokazało żadnych problemów). Ten drugi sposób dotyczył mojego przypadku . Problem polega na tym, że Internet donosi o różnych ustawieniach domyślnych usług składowych, dla których będzie to działać poprawnie. 

W moim przypadku zadziałało:

• uruchamiamy dcomcnfg.exe i przechodzimy do Usługi Składowe -> Komputery -> Mój Komputer,
• tu wybieramy prawym przyciskiem i Właściwości,
• przechodzimy do zakładki Właściwości domyślne
• a tu wybieramy Połącz w Domyślnym poziomie uwierzytelnienia oraz Identyfikuj w Domyślnym poziomie personifikacji.

Powinno zacząć działać bez restartu. 

Warto tu jeszcze wspomnieć o tym, że zmiana tych ustawień, może mieć pewien wpływ na inne zainstalowane na serwerze aplikacje. Po zmianie należy więc przeprowadzić pełne procedury testowe.