Intero Active Directory cancellato per errore [chiuso]

20

Durante il ricondizionamento di un controller di dominio Server 2003 R2, abbiamo eliminato per errore la partizione che conteneva la cartella del database di Active Directory ( D:\AD\Data). L' D:\era una partizione su un disco condiviso con C:\.

Abbiamo eliminato l' D:\unità non rendendoci conto che conteneva la cartella dei dati di Active Directory. Non abbiamo altri controller di dominio e nessun backup di questi dati di Active Directory.

C'è qualche possibilità di ripristinare l'AD?

active-directory  windows-server-2003-r2 
matalaweb
fonte
4
È ora di chiamare un servizio di recupero dati e spedire il disco ..
pauska,
8
Oppure, è il 2003 e non è supportato. Crea due nuovi controller di dominio e fallo correttamente su un sistema operativo supportato.
Michael Hampton
21
Pensa a questa come una benedizione sotto mentite spoglie. Puoi creare un ambiente AD greenfield (perché non hai altre opzioni), ma puoi costruirlo nel modo giusto , questa volta. Oh, e hai anche un buon inizio su cosa non fare questa volta (conto 3 biggie), quindi c'è un altro rivestimento d'argento.
HopelessN00b,
6
Hai fatto un backup dello stato del sistema? solo per essere sicuri, in quanto può includere la directory attiva anche se non sapevi che era il backup.
yagmoth555 - GoFundMe Monica
6
Supponendo che tu abbia appena eliminato la partizione, non stai usando alcun tipo di gestore di volumi e non hai fatto nulla con lo spazio in cui si trovava la partizione dopo. Dovrebbe essere semplice come leggere la sua entrata in MBR / GPT e tornerebbe ...
Vality,

Risposte:

49

Se hai appena eliminato la partizione e non hai creato una nuova partizione, è probabile che sia possibile ripristinarla.

Per prima cosa, estrarre l'unità, metterla in una scatola di Linux ed eseguire un clone non elaborato. La prima regola del recupero dei dati è che fai il tuo lavoro su un clone, non sull'originale.

Ora sul clone eseguire uno strumento Linux chiamato testdisk . Se il filesystem non è stato cancellato, è necessario ricreare la voce della tabella delle partizioni e consentire nuovamente l'accesso.

Se hai creato una nuova partizione o se testdisk non è in grado di trovare il filesystem, le possibilità di successo del recupero sono molto più basse. A questo punto, potresti considerare di parlare con gli specialisti del recupero dei dati.

Peter Green
fonte
1
L'uso di un disco di avvio come il CD di avvio di Hiren includerà tutti gli strumenti necessari per eseguire tutte le fasi elencate, incluso testdisk
SnakeDoc
Dovrei sottolineare, oltre ad essere la migliore risposta a questa domanda, è possibile in alcuni casi in cui il software può scansionare i dischi del disco rigido e recuperare quei file cancellati con il tempo (può richiedere del tempo per scansionare e recuperare). Oltre a cercare un software di recupero in grado di ripristinare i file cancellati, non c'è alcuna garanzia che qualcuno di questi funzionerà (specialmente se si basano sul file system per essere intatti). L'unico modo per garantire di non perdere nulla è eseguire il backup spesso e / o chiamare uno specialista del recupero specializzato nella riparazione e nel ripristino del disco rigido (non in medicina legale e recupero).
dakre18,
Anche se ha fatto creare una nuova partizione, TestDisk sarà in grado di determinare in quale misura il filesystem è stato che si estende, in modo efficace che permette di ricreare la vecchia partizione. Se la nuova partizione non è stata solo creata ma anche formattata, le possibilità non sono altrettanto buone.
the-wabbit il
20

No. Hai eliminato i dati per i quali non hai backup. È andato.

HopelessN00b
fonte
2
A meno che non abbia un backup dello stato del sistema. Ma non sembra probabile ...
Massimo
1
OP ha detto di avere un backup C: drive; si spera che SysState sia stato selezionato di default o sia stato verificato.
user339468,
7
L'eliminazione di una partizione non cancella alcun dato. In effetti, tutti i dati sono recuperabili al 100%, anche se vengono utilizzate le altre partizioni, perché nessuna partizione scriverà MAI al di fuori del loro spazio allocato ... che è completamente ritardato se accade.
Nelson,
4
@Nelson Questo è tecnicamente accurato, ma rilevante solo se lo spazio non è stato riassegnato. Poiché in genere non esiste alcun motivo per eliminare una partizione a meno che non si stia riallocando il suo spazio, le probabilità sono estremamente elevate che questo sia ciò che è successo. Sentiti libero di chiedere chiarimenti al PO o di fornire una tua risposta in base alla possibilità che l'unica azione intrapresa fosse l'eliminazione della partizione, ma questo mi sembra uno scenario così improbabile che non pensavo che valesse la pena di considerarlo.
HopelessN00b,
2
Questa risposta è derisoria e di fatto errata, non "linea dura". Sì, l'OP ha sbagliato, ma l'unica cosa a cui questa risposta è buona è il tuo rappresentante.
Lilienthal,
18

Solo per enfatizzare e chiarire il commento di yagmoth - Active Directory non è sottoposto a backup da un backup del file system - è eseguito il backup da un backup dello stato del sistema. Se ne hai uno, basta cercare le istruzioni della modalità di ripristino della directory di Active Directory e potresti avere una possibilità. Dovrai conoscere la password di ripristino della directory.

Potrebbe essere necessario ricreare manualmente D: Drive prima, ma se lo si fa, ciò interferirà con gli sforzi di un servizio di ripristino manuale del disco se si decide di perseguire tale opzione. Fare prima una clonazione grezza a livello di settore dell'unità non sarebbe una cattiva idea.

user339468
fonte
5
+1 per il clone. Passare alle procedure forensi complete: estrarre l'unità e clonarla e provare solo a salvare dal clone. Teoricamente credo che dovresti essere in grado di ricreare la partizione - forse sotto Linux - e il filesystem sottostante potrebbe essere ancora in atto.
rrauenza,
4
@ HopelessN00b: Quindi hai problemi di fiducia. L'eliminazione di una partizione modifica solo pochi byte nell'MBR a 512 byte all'inizio del disco e non tocca in alcun modo i dati effettivi. Capire i valori corretti per ripristinare la partizione non è scienza missilistica, e anche se in qualche modo li avessi sbagliati, non otterresti dati magicamente leggermente danneggiati, non otterresti dati, poiché il filesystem non verrebbe trovato affatto . Tutti i tuoi "consigli" su questa domanda sono decisamente dannosi.
Aleksi Torhamo,
1
@AleksiTorhamo No, ciò che è assolutamente dannoso è basare la struttura portante di un ambiente informatico aziendale sui dati recuperati, la cui integrità non può essere convalidata. Quel tipo di pratica sconsiderata è esattamente ciò che li ha portati in questa posizione precaria in primo luogo, eseguendo un dominio su un singolo controller di dominio, senza backup, su una piattaforma che è in esaurimento. Detto questo, il tuo commento dovrebbe essere una risposta, quindi falla una cosa sola e l'OP sarà in grado di chiarire i cui presupposti sono corretti, tuoi o miei.
HopelessN00b,
1
@ HopelessN00b: abbastanza giusto. Non sono un madrelingua. :) (Non che io sia particolarmente bravo a comunicare anche nella mia lingua madre ...) Tuttavia, l'analogia è un po 'arretrata, dal momento che ha parlato di "pellet BB" e si assume "a .45". Dato il tuo ultimo commento sulla tua risposta, tuttavia, il presupposto che stai facendo è abbastanza ragionevole. Se la tua risposta fosse preceduta da "Supponendo che oltre a eliminare la partizione, hai allocato una nuova partizione e formattata, ...", rendendo esplicito il presupposto [ragionevole, ma pericoloso se sbagliato], non avrei avuto scrupoli a proposito.
Aleksi Torhamo,
1
@BlueCompute In realtà, svelare i dettagli e fare chiarimenti è esattamente ciò a cui i signori SE intendono fare commenti.
HopelessN00b,
1

Dipende da quanto vale per te e dal factoring nella tempestività. Se hai eliminato la partizione e nient'altro, ci sono aziende di recupero dati che "ripristinano" i file per te.

Ciò dipende totalmente dal non scrivere alcun dato sui blocchi del disco. Quindi, se hai creato una partizione o espanso l'unità C, tutte le scommesse di recupero sono disattivate.

Si noti che l'uso continuato dell'unità ridurrà la probabilità di recupero, quindi se si desidera farlo, spegnere immediatamente. Non fare nemmeno uno spegnimento sicuro.

Ma arriva anche la tempestività: stai cercando giorni / settimane per fare qualsiasi tipo di ripresa commerciale.

Altrimenti è la tua occasione perfetta per costruire da zero un nuovo annuncio supportato e ripulire tutta la vecchia immondizia. Fodera d'argento su una nuvola scura.

Criggie
fonte
3
Dipende molto più dal non sovrascrivere i dati. Il recupero dei dati è un'attività complessa (e costosa e che richiede tempo) senza garanzie.
Todd Wilcox,
1
@ToddWilcox è assolutamente d'accordo con tutti i tuoi punti. Il mio intento era quello di mostrare all'utente che può rendere il recupero ancora più difficile sfogliando invece di isolare il dispositivo.
Criggie,
2
Solo perché hai creato una nuova partizione non significa che tutte le scommesse di recupero sono disattivate. Si prega di fare ulteriori ricerche sulla questione prima di fare una dichiarazione vaga come quella.
Marc DiMillo,
@MarcDiMillo Come ho detto a Todd, "Il mio intento era quello di mostrare all'utente che può rendere il recupero ancora più difficile sfuggendo invece di isolare il dispositivo."
Criggie,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.