To już ostatni wpis z serii Odzyskiwanie Active Directory, no chyba, że chcecie abym poruszył jeszcze jakieś tematy związane właśnie z przywracaniem AD do poprawnego działania. W pierwszym wpisie poruszałem temat odzyskania samej maszyny z dysku z backupem. W 2-gim natomiast kroki potrzebne do zapewnienia poprawnego działania środowiska po odzyskaniu, tak aby nie doszło do przypadkowego zatrzymania, np. przez wyczerpanie puli RIDów, lub niezgodności czasu.
Teraz artykule skupie się na kwestiach mniej technicznych, a bardziej proceduralnych. Wiecie już jakie kroki są niezbędne do przywrócenia środowiska Active Directory do działania po poważnej awarii, ataku ransomware, itp. Jednak aby takie działanie było skuteczne konieczne jest stworzenie dedykowanej procedury (krok po kroku) dla Waszej infrastruktury, głównie ze względu na:
- Inny wirtualizator, albo także fizyczne kontrolery domeny
- Inne narzędzie do backupu
- Schemat sieci
- Ilość domen, lasów,
- itd.
Można długo wymieniać, właśnie dlatego procedura jest istotna. Zawarte w niej powinno być krok po kroku jak przejść przez wszystkie etapy. Warto zawrzeć w niej adresy IP hostów, kontrolerów, systemów backupu, aby w sytuacji użycia tej procedury nie zastanawiać się, jak się dostać do kopii zapasowej, czy też jakie były adresy kontrolerów. Warto również mieć sposób na przechowywanie haseł, np. w zewnętrznym menadżerze haseł (nie powiązanym z zasobami firmowymi).
W procedurze warto również załączyć checkliste, czy jak po polsku listę kontrolną, z punktami niezbędnymi do pełnego odzyskania systemu.
| Zadanie | Zrealizowano |
| Zalogowanie kontem Administratora SID 500 – weryfikacja | |
| Weryfikacja członkostwa w grupach konta Administrator | |
| Konfiguracja adresu IP i DNS | |
| Weryfikacja nazwy domeny wyświetlanej na karcie sieciowej | |
| Zmiana hasła konta Administrator | |
| Weryfikacja udziałów NETLOGON i SYSVOL | |
| Weryfikacja działania Active Directory (DSA.MSC) | |
| Konfiguracja autorytarnego zasobu SYSVOL | |
| Weryfikacja ról FSMO – migracja na odzyskany kontroler | |
| Ręczne usunięcie kontrolerów domeny | |
| Zmiana puli RIDów | |
| Odświeżenie relacji zaufania pomiędzy domenami | |
| Wyłączenie Global catalogu |
Im bardziej szczegółowa będzie procedura, tym mniejsze ryzyko popełnienia błędu, co w sytuacji gdy cała firma na Was patrzy i pogania jest spore. Dodatkowo szczegółowa procedura przyspiesza przeprowadzenie całej operacji.
Podsumowując jest to procedura, której nikt nie chciałby użyć, ale dobrze ją mieć i co ważniejsze to regularnie testować.
