Compartir a través de

Recuperación de bosques de Active Directory: recuperación de un único dominio dentro de un bosque de varios dominios

En ciertas ocasiones, puede que sea necesario recuperar solo un dominio dentro de un bosque que tenga varios, en lugar de una recuperación del bosque completo. En este tema se tratan las consideraciones para recuperar un dominio único y las posibles estrategias.

De forma similar al proceso de recuperación del bosque, se restauran uno o varios controladores de dominio de la copia de seguridad en el dominio y se realiza la limpieza de metadatos de los controladores de dominio restantes. A continuación, se agregan nuevos controladores de dominio mediante la unión de nuevos miembros, la instalación de roles de AD DS y su promoción. También puede usar Clonación de controlador de dominio o Instalar desde medios para la tarea.

La recuperación de un dominio único presenta un desafío exclusivo para volver a generar servidores de catálogo global (GC). Por ejemplo, si el primer controlador de dominio (DC) del dominio se restaura a partir de una copia de seguridad que se creó una semana antes, todos los demás catálogos globales del bosque tendrán datos más actualizados para ese dominio que el controlador de dominio restaurado. Para volver a establecer la coherencia de los datos del catálogo global, hay un par de opciones:

  • Anule el hospedaje de la partición de dominios recuperados de todos los catálogos globales del bosque, excepto los del dominio recuperado. Al mismo tiempo y una vez completados, vuelva a hospedar todos los catálogos globales del bosque. Asegúrese también de no sobrecargar los catálogos globales restantes. En entornos grandes, coordinar esta actividad podría resultar muy complejo.

  • Siga el proceso de recuperación del bosque para recuperar el dominio y, a continuación, quite los objetos persistentes de los catálogos globales de otros dominios.

En las secciones siguientes se proporcionan los aspectos generales de cada opción. El conjunto completo de pasos que se deben realizar para la recuperación variará para los distintos entornos de Active Directory.

Rehospedaje de todos los catálogos globales

Advertencia

El nombre de inicio de sesión y la contraseña de la cuenta de usuario de administrador de dominio predeterminada (“RID-500”) para todos los dominios deben estar disponibles y las cuentas habilitadas para su uso en caso de incidencias que impidieran el acceso a un catálogo global para el inicio de sesión.

Nota:

Para permitir el inicio de sesión sin la comprobación de catálogo global, también es posible configurar el valor de HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures en 1.

Si se desconoce, obtenga el identificador de dominio mediante whoami /all para otra cuenta de cada dominio o ejecute el siguiente comando para identificar el RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Se pueden volver a hospedar todos los catálogos globales mediante los comandos repadmin /unhost y repadmin /rehost (parte de repadmin /experthelp). Debe ejecutar los comandos repadmin en todos los catálogos globales de cada dominio que no se recupere. Debe asegurarse de que todos los catálogos globales ya no contengan una copia del dominio recuperado. Para ello, anule el hospedaje primero de la partición de dominio de todos los controladores de dominio de todos los dominios no recuperados del bosque. Como todos los catálogos globales ya no contienen la partición, puede volver a hospedarla. Al volver a hospedar, considere la estructura de sitio y replicación del bosque. Por ejemplo, finalice el rehospedaje de un controlador de dominio por sitio antes de volver a hospedar los otros controladores de dominio de ese sitio.

Esta opción puede ser ventajosa para una organización pequeña que solo tiene unos pocos controladores de dominio para cada dominio. Todos los catálogos globales se podrían volver a generar un viernes por la noche y, si es necesario, completar la replicación de todas las particiones de dominio de solo lectura antes del lunes por la mañana. Sin embargo, si necesitase recuperar un dominio grande que abarque sitios de todo el mundo, volver a hospedar la partición de dominios de solo lectura en todos los catálogos globales de otros dominios podría afectar significativamente a las operaciones y, posiblemente, requerir un tiempo de inactividad.

Buscar y quitar objetos persistentes

En los catálogos globales de todos los demás dominios del bosque, compruebe y quite los objetos potencialmente persistentes para la partición de solo lectura del dominio recuperado.

El origen de la limpieza de objetos persistentes debe ser un controlador de dominio del dominio recuperado. Para asegurarse de que el controlador de dominio de origen no tenga ningún objeto persistente para ninguna partición de dominio, puede eliminar el catálogo global.

La eliminación de objetos persistentes resulta ventajosa para organizaciones más grandes que no pueden arriesgar el tiempo de interoperabilidad asociado al rehospedaje del contexto de nomenclatura de dominio.

Para obtener más información, consulte Uso de repadmin para eliminar objetos persistentes.

Pasos siguientes