Recuperación de bosques de Active Directory: Determinar cómo recuperar el bosque
La recuperación de un bosque completo de Active Directory implica restaurar al menos un controlador de dominio (DC) en cada dominio a partir de una copia de seguridad disponible. La recuperación del bosque restaura cada dominio del bosque a su estado en el momento de la última copia de seguridad de confianza.
Qué se perderá
La operación de restauración provocará la pérdida de al menos los siguientes datos de Active Directory:
- Todos los objetos (como usuarios y equipos) que se agregaron después de la última copia de seguridad de confianza
- Todas las actualizaciones realizadas en objetos existentes desde la última copia de seguridad de confianza
- Todos los cambios realizados en la partición de configuración o en la partición de esquema en AD DS (como los cambios de esquema) desde la última copia de seguridad de confianza
Conocimientos de contraseñas
- Debe conocer la contraseña de una cuenta de administrador de dominio para cada dominio del bosque. Preferiblemente, esta es la contraseña de la cuenta de administrador integrada.
- También debe conocer la contraseña DSRM para realizar una restauración de estado del sistema de un controlador de dominio.
Es recomendable archivar la cuenta de administrador y el historial de contraseñas de DSRM en un lugar seguro siempre que las copias de seguridad sean válidas. Es decir, dentro del período de duración de la lápida o dentro del período de duración del objeto eliminado si está habilitada la Papelera de reciclaje de Active Directory.
También puede sincronizar la contraseña DSRM con una cuenta de usuario de dominio para que sea más fácil de recordar. Para obtener más información, consulte este artículo. La sincronización de la cuenta DSRM se debe realizar antes que la recuperación del bosque, como parte de la preparación.
Nota
La cuenta de administrador es miembro del grupo Administradores integrado de forma predeterminada, como sucede con los grupos Administradores de dominio y Administradores de empresa. Este grupo tiene control total de todos los controladores de dominio del dominio.
Determinación de las copias de seguridad que se van a usar
Realice una copia de seguridad de al menos dos controladores de dominio grabables para cada dominio con regularidad, por lo que tiene varias copias de seguridad entre las que elegir. Seleccione uno o varios controladores de dominio según sea necesario y el patrón de operaciones del emulador de PDC para la recuperación de datos SYSVOL.
Nota:
No puede usar la copia de seguridad de un controlador de dominio de solo lectura (RODC) para restaurar un controlador de dominio que se pueda escribir. Se recomienda restaurar los controladores de dominio mediante copias de seguridad realizadas unos días antes de la aparición del error. En general, debe determinar un equilibrio entre la actualidad y la seguridad de los datos restaurados. La elección de una copia de seguridad más reciente permite recuperar datos más útiles, pero podría aumentar el riesgo de volver a introducir datos peligrosos en el bosque restaurado.
La restauración de copias de seguridad de estado del sistema depende del sistema operativo original y del servidor de la copia de seguridad. Por ejemplo, no debe restaurar una copia de seguridad de estado del sistema en otro servidor. En este caso, es posible que vea la advertencia siguiente:
Advertencia
La copia de seguridad especificada es de un servidor diferente al actual. No se recomienda realizar una recuperación de estado del sistema con la copia de seguridad en un servidor alternativo porque es posible que el servidor no se pueda usar. ¿Está seguro de que desea usar esta copia de seguridad para recuperar el servidor actual?
Si tiene que restaurar Active Directory en otro hardware, cree copias de seguridad completas del servidor y planee realizar una recuperación completa del servidor.
Importante
No se admite la restauración de la copia de seguridad del estado del sistema en una nueva instalación de Windows Server en el nuevo hardware o en el mismo hardware. Si Windows Server se vuelve a instalar en el mismo hardware (recomendado), puede restaurar el controlador de dominio en este orden:
- Realice una restauración completa del servidor para restaurar el sistema operativo y todos los archivos y aplicaciones.
- Realice una restauración de estado del sistema mediante wbadmin.exe para marcar SYSVOL como autoritativo.
Para obtener más información, vea Cómo restaurar una instalación de Windows 7.
Si se desconoce la hora del error, investigue aún más para identificar las copias de seguridad que contienen el último estado seguro del bosque.
Este enfoque es menos recomendable. Por tanto, se recomienda encarecidamente mantener registros detallados sobre el estado de mantenimiento de AD DS diariamente para que, si se produce un error en todo el bosque, se puede identificar su hora aproximada. También debe mantener una copia local de las copias de seguridad para permitir una recuperación más rápida.
Si la Papelera de reciclaje de Active Directory está habilitada, la duración de la copia de seguridad es igual al valor deletedObjectLifetime o al valor tombstoneLifetime, el que sea menor. Para obtener más información, vea Guía paso a paso de la papelera de reciclaje de Active Directory.
Como alternativa, puede usar la herramienta de montaje de bases de datos de Active Directory Dsamain.exe
y una herramienta de Protocolo ligero de acceso a directorios (LDAP), como Ldp.exe
o Usuarios y equipos de Active Directory, para identificar qué copia de seguridad tiene el último estado seguro del bosque. La herramienta de montaje de bases de datos de Active Directory, que se incluye en los sistemas operativos Windows Server, expone los datos de Active Directory almacenados en copias de seguridad o instantáneas como servidor LDAP. Puede usar una herramienta LDAP para examinar los datos. Este enfoque tiene la ventaja de que no es necesario reiniciar ningún controlador de dominio en modo de restauración de servicios de directorio (DSRM) para examinar el contenido de la copia de seguridad de AD DS.
Para más información sobre el uso de la herramienta de montaje de bases de datos de Active Directory, vea la Guía paso a paso de la herramienta de montaje de bases de datos de Active Directory.
También puede usar el comando ntdsutil snapshot
para crear instantáneas de la base de datos de Active Directory. Al programar una tarea para crear instantáneas de manea periódica, puede obtener copias adicionales de la base de datos de Active Directory en el tiempo. Puede usar estas copias para identificar mejor cuándo se ha producido el error en todo el bosque y, después, elegir la mejor copia de seguridad para restaurar. Para crear instantáneas, use ntdsutil
o las Herramientas de administración remota del servidor (RSAT).
El controlador de dominio de destino puede ejecutar cualquier versión de Windows Server. Para obtener más información sobre el uso del comando ntdsutil snapshot
, vea Snapshot.
Determinar qué controladores de dominio se van a restaurar
La facilidad del proceso de restauración es un factor importante al decidir qué controlador de dominio se va a restaurar. Se recomienda tener un controlador de dominio dedicado para cada dominio que sea el controlador de dominio preferido para una restauración. Un controlador de dominio de restauración dedicado facilita la planificación y ejecución confiables de la recuperación del bosque porque se usa la misma configuración de origen que se ha utilizado para realizar pruebas de restauración. Puede generar scripts para la recuperación y evitar tener diferentes configuraciones, como si el controlador de dominio contiene roles de maestros de operaciones o si es un servidor GC o DNS.
Nota:
No se recomienda restaurar un titular de roles de maestros de operaciones en interés de la simplicidad, ya que siempre se asignan todos los roles. Hay el caso de una recuperación SYSVOL mediante una copia de seguridad tomada del maestro de operaciones del emulador de PDC, ya que normalmente el PDC tiene la mejor copia de datos SYSVOL.
Una buena copia de seguridad es la que se puede restaurar correctamente, se ha realizado unos días antes del error y contiene tantos datos útiles como sea posible. Elija el controlador de dominio que mejor cumpla los criterios siguientes:
Un controlador de dominio que sea grabable. Esto es necesario.
Un controlador de dominio que ejecuta Windows Server 2012 o posterior como una máquina virtual en un hipervisor que admite VM-GenerationID. Este controlador de dominio se puede usar como origen para la clonación. En general, use un controlador de dominio con una buena copia de seguridad que tenga el sistema operativo más actual.
Un controlador de dominio al que se puede acceder, ya sea físicamente o en una red virtual, y preferiblemente ubicado en un centro de datos. De este modo, puede aislarlo fácilmente de la red durante la recuperación del bosque.
Un controlador de dominio que tenga una buena copia de seguridad completa del servidor.
Un controlador de dominio que ejecuta el rol sistema de nombres de dominio (DNS) y hospeda la zona de bosque y dominios.
Un controlador de dominio configurado como catálogo global (GC).
Un controlador de dominio que no configure usar el desbloqueo de red de BitLocker, si usa servicios de implementación de Windows. No se admite el desbloqueo de red de BitLocker para el primer controlador de dominio que restaure desde la copia de seguridad durante una recuperación del bosque. En los controladores de dominio en los que ha implementado Servicios de implementación de Windows (WDS),,Desbloqueo de red de BitLocker como la solo protector de claves no se puede usar porque el primer controlador de dominio requeriría que Active Directory y WDS funcionen para poder desbloquearse. Antes de restaurar el primer controlador de dominio, Active Directory aún no está disponible para WDS, por lo que no se puede desbloquear.
Para determinar si un controlador de dominio está configurado para usar el desbloqueo de red de BitLocker, compruebe que se identifica un certificado de desbloqueo de red en la siguiente clave del Registro:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Importante
Mantenga los procedimientos de seguridad al controlar o restaurar archivos de copia de seguridad que incluyan Active Directory. La urgencia propia de la recuperación de bosques puede hacer que, involuntariamente, se pasen por alto los procedimientos recomendados de seguridad.
Identificación de la estructura del bosque actual y las funciones de controlador de dominio
Determine la estructura del bosque actual mediante la identificación de todos los dominios del bosque. Haga una lista de todos los controladores de dominio de cada dominio, en especial de los que tienen copias de seguridad, y de los controladores de dominio virtualizados que puedan ser un origen para la clonación.
Una lista de controladores de dominio para el dominio raíz del bosque es la más importante porque recuperará primero este dominio. Después de restaurar el dominio raíz del bosque, puede obtener una lista de los demás dominios, controladores de dominio y los sitios del bosque mediante complementos de Active Directory.
Para cada dominio del bosque, identifique un único controlador de dominio grabable que tenga una copia de seguridad de confianza de la base de datos de Active Directory para ese dominio. Tenga cuidado al elegir una copia de seguridad para restaurar un controlador de dominio. Si se conoce el día y la causa del error, la recomendación general es identificar y usar una copia de seguridad segura que se realizó unos días antes de esa fecha.
Prepare una tabla en la que se muestren las funciones de cada controlador de dominio del dominio, como se muestra en el ejemplo siguiente. Esto le ayudará a revertir a la configuración previa al error del bosque después de la recuperación.
Nombre del controlador de dominio | Sistema operativo | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
---|---|---|---|---|---|---|---|---|
DC_1 | Windows Server 2019 | Maestro de esquema, maestro de nomenclatura de dominio | Sí | No | Sí | No | No | Sí |
DC_2 | Windows Server 2019 | Ninguno | Sí | No | Sí | Sí | No | Sí |
DC_3 | Windows Server 2022 | Maestro de infraestructura | No | N.º | No | Sí | Sí | Sí |
DC_4 | Windows Server 2022 | Emulador de PDC, maestro RID | Sí | No | N.º | N.º | No | Sí |
DC_5 | Windows Server 2022 | Ninguno | No | No | Sí | Sí | No | Sí |
RODC_1 | Windows Server 2016 | Ninguno | Sí | Sí | Sí | Sí | Sí | Sí |
RODC_2 | Windows Server 2022 | Ninguno | Sí | Sí | No | Sí | Sí | Sí |
En este ejemplo anterior, hay cuatro candidatos de copia de seguridad: DC_1, DC_2, DC_4 y DC_5. De estos candidatos de copia de seguridad, solo se restaura uno. El controlador de dominio recomendado es DC_5 por los motivos siguientes:
- Es un buen origen para la clonación de controlador de dominio virtualizado, ya que ejecuta Windows Server 2022 como controlador de dominio virtual y ejecuta software que se permite clonar (o que se puede quitar si no se puede clonar). Después de la restauración, el rol del emulador de PDC se usará en ese servidor y se puede agregar al grupo Controladores de dominio clonables para el dominio.
- Ejecuta una instalación completa de Windows Server 2022. Un controlador de dominio que ejecuta una instalación de Server Core puede ser menos cómodo como destino para la recuperación. Esto puede no ser un factor si está bien con la administración de servidores de Windows mediante la interfaz de la línea de comandos.
- Es un servidor DNS.
Nota:
Dado que DC_5 no es un servidor de catálogo global, tiene una ligera ventaja en que no es necesario quitar el catálogo global después de la restauración. Sin embargo, tendría que iniciar la recuperación con la cuenta de administrador predeterminada con Rid 500 o usar el valor del Registro ignoregcfailures:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
Otros factores suelen ser más importantes que el paso adicional de quitar el rol de GC. DC_3 o DC_4 también son buenas opciones, ya que los roles de maestros de operación que no tienen ningún problema. Tenga en cuenta las opciones y elija en función de su situación de recuperación real. Normalmente, puede planear y probar restaurando la copia de seguridad maestra de operaciones de PDC, pero si esta copia de seguridad no funciona, por ejemplo, porque es desde el momento incorrecto, elija una copia de seguridad de un GC del mismo dominio.
Recuperación del bosque de forma aislada
El escenario preferido consiste en apagar todos los controladores de dominio grabables antes de que el primer controlador de dominio restaurado se devuelva a producción. Esto garantiza que los datos peligrosos no se vuelvan a replicar en el bosque recuperado. Es especialmente importante apagar todos los titulares de roles de maestros de operaciones.
Nota:
Puede haber casos en los que mueva el primer controlador de dominio que planea recuperar para cada dominio a una red aislada, al tiempo que permite que otros controladores de dominio permanezcan en línea para minimizar el tiempo de inactividad del sistema. Por ejemplo, si va a recuperarse de una actualización de esquema con errores, puede optar por mantener los controladores de dominio en ejecución en la red de producción mientras realiza pasos de recuperación de forma aislada.
Controladores de dominio virtualizados
Si ejecuta controladores de dominio virtualizados, puede moverlos a una red virtual aislada de la red de producción en la que realizará la recuperación. El movimiento de controladores de dominio virtualizados a una red independiente proporciona dos ventajas:
- Se impide que los controladores de dominio recuperados reproduzcan el problema que provocó la recuperación del bosque.
- La clonación de DC virtualizada se puede realizar en la red aislada para que se pueda ejecutar y probar un número crítico de controladores de dominio antes de volver a la red de producción.
Controladores de dominio físicos
Si ejecuta controladores de dominio en hardware físico, desconecte el cable de red del primero que planee restaurar en el dominio raíz del bosque. Si es posible, desconecte también los cables de red de los demás controladores de dominio. Esto impide que los controladores de dominio se repliquen, en caso de iniciarse accidentalmente durante el proceso de recuperación del bosque.
Bosques grandes
En un bosque grande distribuido entre varias ubicaciones, puede ser difícil garantizar que todos los controladores de dominio que se puedan escribir se apaguen. Por este motivo, los pasos de recuperación, como restablecer la cuenta de equipo y la cuenta krbtgt, además de la limpieza de metadatos, están diseñados para asegurarse de que los controladores de dominio grabables recuperados no se repliquen con controladores de dominio grabables peligrosos (en caso de que haya algunos todavía en línea en el bosque).
Pero solo al desconectar los controladores de dominio grabables puede garantizar que no se produzca la replicación. Por tanto, siempre que sea posible, debe implementar la tecnología de administración remota que puede ayudarle a apagar y aislar físicamente los controladores de dominio grabables durante la recuperación del bosque.
RODC
Los RODC pueden seguir funcionando mientras los controladores de dominio grabables están sin conexión. Ningún otro controlador de dominio replicará directamente los cambios de ningún RODC (en especial, sin cambios de contenedor de esquema o configuración) por lo que no suponen el mismo riesgo que los controladores de dominio editables durante la recuperación. Después de recuperar y conectar todos los controladores de dominio grabables, debe recompilar todos los RODC.
Los RODC seguirán permitiendo el acceso a los recursos locales que se almacenan en caché en sus respectivos sitios mientras las operaciones de recuperación se realizan en paralelo. Los recursos locales que no están almacenados en caché en el RODC tendrán solicitudes de autenticación reenviadas a un controlador de dominio grabable. Estas solicitudes producirán un error porque los controladores de dominio grabables están sin conexión. Algunas operaciones, como los cambios de contraseña, tampoco funcionarán hasta que recupere los controladores de dominio grabables.
Si usa una arquitectura de red en estrella tipo hub-and-spoke, puede concentrarse primero en recuperar los controladores de dominio grabables en los sitios centrales. Más adelante, puede recompilar los RODC en sitios remotos.
Base de datos de AD en peligro
Si la base de datos de AD de un controlador de dominio editable está en peligro, se debe crear una nueva clave raíz KDS después de la recuperación y se deben volver a crear todas las cuentas de servicio administradas de grupo (gMSA) en función del escenario de prestación. Los detalles se describen aquí: Cómo recuperarse de un ataque gMSA golden.
Pasos siguientes
- Recuperación del bosque de AD: requisitos previos
- Recuperación de bosques de AD: diseñar un plan de recuperación de bosques personalizado
- Recuperación de bosques de AD: pasos para restaurar el bosque
- Recuperación del bosque de AD: identificar el problema
- Recuperación del bosque de AD: determinar cómo realizar la recuperación
- Recuperación del bosque de AD: realizar una recuperación inicial
- Recuperación del bosque de AD: procedimientos
- Recuperación de bosques de AD: preguntas más frecuentes (P+F)
- Recuperación de bosques de AD: recuperación de un único dominio dentro de un bosque de varios dominios
- Recuperación de bosques de AD: volver a implementar los controladores de dominio restantes
- Recuperación del bosque de AD: virtualización
- Recuperación de bosques de AD: limpieza