Odzyskiwanie AD w Windows 2008 Server

Odzyskiwanie AD w Windows 2008 Server – czyli Recovery System State. Zadanie to nie jest już takie proste jak to miało miejsce w poprzednich systemach operacyjnych (Windows 2003 Server i starsze). Największa trudność tego zadania polega na uruchomieniu serwera w trybie DSRM (Directory Service Restore Mode). Wynika ona z tego faktu, że standardowo serwer nie jest przygotowany do wejścia w ten tryb – serwer musi być przygotowany.

Przygotowanie serwera do uruchomienia w trybie DSRM polega na dodaniu odpowiedniej opcji startu systemu za pomocą narzędzi BCDEDIT. Wiele źródeł podaje aby modyfikować domyślną opcję bootloadera, ale jest to zabieg co-nieco niebezpieczny i może przynieść nam w niedalekiej przyszłości bardzo wiele niepotrzebnych problemów. Podam więc sposób pozwalający w razie wpadki bez problemu wrócić do standardowego trybu pracy serwera bez dodatkowych, sztucznych zabiegów.

Cały zabieg zaczynamy od uruchomienia polecenia CMD jako administrator. Następnie wykonujemy skopiowanie domyślnej pozycji bootloadera, nadając mu jednak już odpowiednią nazwę:

C:\bcdedit /copy {default} /d "Directory Service Repair Mode"

W wyniku tej operacji otrzymamy komunikat mówiący o powodzeniu wykonania komendy i stworzeniu nowej pozycji bootloadera z nowym, określonym GUID:

The entry was successfully copied to {GUID_wygenerowany_przez_serwer}

Następnie musimy zmodyfikować tę pozycję, aby uruchamiała nam serwer w trybie DSRM:

C:\bcdedit /set { GUID_wygenerowany_przez_serwer} safeboot dsrepair

Teraz mamy podczas startu do wyboru już dwie opcje (pod warunkiem zaznaczenia opcji, aby system czekał na nasz wybór):


Teraz mamy już z górki.
Uruchamiamy serwer w trybie DSRM i po zalogowaniu (będzie potrzebne hasła odzyskiwania AD) z linii komend uruchomionej jako administrator uruchamiamy komendę sprawdzającą jakie mamy dostępne backupy (należy pamiętać, aby je wcześniej dołączyć do serwera!):

C:\wbadmin get versions

W wyniku tego polecenia dostaniemy coś na wzór:


Wybieramy właściwy backup, z którego chcemy odzyskać System State (AD) i wpisujemy polecenie:

C:\wbadmin start systemstaterecovery –version:12/13/2016-17:00

I teraz uzbrajamy się w cierpliwość, jako że odzyskiwanie potrafi trwać ponad godzinę przy bardzo małej AD.

Ten sposób wyzwala tzw. nieautorytatywne odzyskanie AD, więc jest przydatne, gdy mamy tylko jeden kontroler domeny, lub uszkodzony mamy tylko jeden kontroler domeny i chcemy tylko naprawić uszkodzenia zaciągając najświeższe dane z innego kontrolera domeny. Jeśli chcemy odzyskać System State (wraz z AD) w trybie autorytatywnym należy nieco zmodyfikować polecenie odzyskiwania:

C:\wbadmin start systemstaterecovery –version:12/13/2016-17:00 -authsysvol