Востановление старого бэкапа с ActiveDirectory и синхронизация/репликация его с резервным сервером ActiveDirectory

Ситуация следующая:
У вас есть два и более серверов обслуживающих ActiveDirectory в вашей сети. Один из серверов вышел из строя и вы восстановили резервную копию. Но к своему разочарованию убедились что восстановленная копия не синхронизируется с оригинальной базой AD.

В журнале "Служба каталогов" появляется запись:
"В ходе проверки согласованности знаний успешно отменены следующие уведомления об изменениях."

или

"С момента репликации данного компьютера с исходным компьютером прошло слишком много времени. Время между репликациями с исходным компьютером превышает время жизни захоронения.Репликация с этим компьютером прервана.
Продолжение репликации запрещено, поскольку представления удаленных объектов на этих двух компьютерах могут различаться. На исходном компьютере могут оставаться копии объектов, удаленных (и собранных в качестве мусора) на этом компьютере. Если для них разрешена репликация, исходный компьютер сможет вернуть уже удаленные объекты."

Имеем:

AD - основной сервер
SLAVEAD - резервный сервер

рассмотрим ситуация восстановления основного сервера т.е. AD. Ситуация не учитывает возможные повреждения AD мы считаем что выход из строя сервера был по "железной" причине. Поэтому вариант решения предложенный здесь не является единственным или лучшем решением в вашей ситуации. Так же считаем что на резервном сервере существует полная рабочая копия DNS. Рассматривается пример не базе Windows Server 2003 R2 x64 но скорее всего для других версий серверов данное руководство будет так же справедливо за возможным исключением в установочных файлах.

1) Ваш сервер хранящийся в резервной копии пролежал там достаточно долго и в AD были изменены ключи kerberos. В результате ваш восстановленный сервер не может получить доступ к основному работающему каталогу и синхронизироваться с ним. Для решения данной проблемы нужно выполнить следующие действия (команды выполняются под администратором на восстановленном сервере т.к. в нашем примере на AD):
- Остановите службу центра распространения ключей Kerberos.
- Выполните команду сброса пароля учетной записи компьютера для получение нового билета Kerberos: netdom resetpwd /server:SLAVEAD /userd:contoso.ru\administrator /passwordd:пароль администратора

где /server:SLAVEAD - указывает на резервный домен, /userd:contoso.ru\administrator - ваш домен и ваша учетная запись администратора домена (если учетная запись администратора домена была изменена необходимо использовать измененное имя), /passwordd:пароль администратора - пароль администратора домена.

После выполнения данной команды вы должны получить сообщение об успешном выполнении команды. Материал взят отсюда.

Теперь ваш сервер получил доступ до каталога для его синхронизации и тут наступает очень важный момент. К какому состоянию вы хотите откатить весь домен/лес? Вы можете откатится к старой копии которую восстановили или наоборот что бы старая копия догнала действующие настройки с резервного сервера. В нашем примере мы хотим что восстановленный сервер "догнал" действующие настройки. Для этого нам потребуется выполнить ручную репликацию домена.

2) Заходим под администратором на резервный сервер (SLAVEAD). И в командной строке выполняем команду репликации:
- Выполняем: repadmin /showreps AD
где мы говорим что с текущего сервера нужно реплицировать данные на указанный сервер т.е. AD. Возможно потребуется указать полный адрес сервера. Материал взят отсюда.

После выполнения данной команды наш восстановленный сервер "догонит" все настройки на текущий день и будет готов к дальнейшей синхронизации в автоматическом режиме.

3) Для вступления всех изменений в силу требуется перезагрузить восстановленный сервер AD. После перезагрузки он полностью в строю.

Для выполнении команды netdom требуется установка пакета WindowsServer2003-KB892777-SupportTools-x86-ENU.exe, а для выполнения команды repadmin требуется установить пакет dcdiag_setup.exe. Для удобства данные файлы так же прикреплены к данной статье в будущем.