Как правильно сделать изолированный стенд AD из резервной копии?
Имеется AD (уровень 2012r2): основной домен (4 DC) + 7 дочерних доменов в каждом по 2 DC. 9 сайтов. На каждом DC поднят DNS, каждый является сервером GC. Всё в виртуализации, есть резервные копии ВМ DC.
Необходимо получить минимальный рабочий стенд AD для проверки совместимости со сторонним софтом.
Я надеялся сделать стенд, восстановив из резервной копии один DC со всеми ролями FSMO. Но живое AD не получилось: я могу зайти на DC с УЗ администратора предприятия-домена, работает DNS ( ругается на синхронизацию с AD, но на запросы отвечает ), оснастки AD не запускаются: "Указанный домен не существует или к нему невозможно подключиться." dcdiag, вполне ожидаемо, выдает множество ошибок в части репликации.
Как правильно сделать стенд АД ? Неужели нужно воспроизводить всю инфраструктуру ?
В изолированной среде со старым адресом.
Почистить лишнее не удается, так как ни оснастки, ни утилиты домена не видят.
DNS записи почистить можно. Зоны: _msdcs.domen.ru и domen.ru
Удалять все упоминания о всех несуществующих доменах, DC, сайтах ?
В организации с такой сложной AD по идее должен быть пошаговый план восстановления AD, который по хорошему ещё и проверять раз в год именно в изолированной структуре должны были.
Если вам нужен 1 дочерний домен, то нужно поднять по одному DC, обеспечить их сетевую связность и вычистить хвосты от всего остального.
Пробросил в изолированную сеть точное время (linux-chrony).
Ошибка не ушла: DcGetDcName ошибка 1355. Не удается найти сервер точного времени.
Помогло вот это решение:
В реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolReady установил в 1. Оснастки заработали сразу, без перезагрузки. Проверка dcdiag FsmoCheck - пройдена.
ntdsutil - подключаемся к тому серверу что развернули и ручками удаляем все остальные сервера, немного муторно, но вполне действенно. Помним о важности совпадения времени, истечении срока kerberos, dns записях которые придется почистить тоже. Стендовые машинки вообще лучше с нуля завести в домен. Ну и про пересечение рабочей и тестовой сети помним ка про страшный сон и не допускаем.
ntdsutil я пробовал. Нашел статью, где описано ручное удаление отсутствующих DC. На каком-то этапе получил ошибку про отсутствующий домен и дальше двигаться не получилось.
Сегодня еще раз внимательно перечитал вывод dcdiag.
Увидел ошибку при проверке LocatorCheck: DcGetDcName ошибка 1355. Не удается найти сервер точного времени.
Все было настроено на внешние NTP сервера, сейчас они соответственно не доступны. Вопрос видимо надо переформулировать: как заставить windows думать, что ее время и является точным временем ?
Вячеслав, самый надежный способ - это использовать w32tm и прописать доступный сервер времени, сервер синхронизируется, успокоится и позволит спокойно работать дальше.