Ripristino foresta Active Directory - Eseguire il ripristino iniziale
Questa sezione è costituita dai passaggi seguenti:
- Ripristinare il primo controller di dominio scrivibile in ogni dominio
- Riconnettere ogni controller di dominio scrivibile ripristinato alla rete
- Aggiungere il catalogo globale a un controller di dominio nel dominio radice della foresta
Ripristinare il primo controller di dominio scrivibile in ogni dominio
A partire da un controller di dominio scrivibile nel dominio radice della foresta, completare i passaggi descritti in questa sezione per ripristinare il primo controller di dominio. Il dominio radice della foresta è importante perché archivia i gruppi Schema Admins ed Enterprise Admins. Consente inoltre di mantenere la gerarchia di attendibilità nella foresta. Inoltre, il dominio radice della foresta contiene in genere il server radice DNS per lo spazio dei nomi DNS della foresta. Di conseguenza, la zona DNS integrata di Active Directory per tale dominio contiene i record di risorse alias (CNAME) per tutti gli altri controller di dominio nella foresta (necessari per la replica) e i record di risorse DNS del catalogo globale.
Dopo aver ripristinato il dominio radice della foresta, ripetere gli stessi passaggi per ripristinare i domini rimanenti nella foresta. È possibile recuperare più domini contemporaneamente; tuttavia, ripristinare sempre un dominio padre prima di ripristinare un elemento figlio per evitare interruzioni nella gerarchia di attendibilità o nella risoluzione dei nomi DNS.
Per ogni dominio ripristinato, ripristinare un controller di dominio scrivibile dal backup. Questa è la parte più importante del ripristino, perché il controller di dominio deve avere un database che non è stato influenzato da ciò che ha causato l’esito negativo della foresta. È importante disporre di un backup attendibile testato accuratamente prima che venga introdotto nell'ambiente di produzione.
Quindi, eseguire i passaggi seguenti. Le procedure per l'esecuzione di determinati passaggi si trovano in Ripristino foresta Active Directory - Procedure.
Se si prevede di ripristinare un server fisico, assicurarsi che il cavo di rete del controller di dominio di destinazione non sia collegato e che non sia quindi connesso alla rete di produzione. Per una macchina virtuale, è possibile rimuovere la scheda di rete o usare una scheda di rete collegata a un'altra rete in cui è possibile testare il processo di ripristino mentre è isolata dalla rete di produzione.
Poiché si tratta del primo controller di dominio scrivibile nel dominio, è necessario eseguire un ripristino non autorevole di Active Directory Domain Services e un ripristino autorevole di SYSVOL. L'operazione di ripristino deve essere completata usando un'applicazione di backup e ripristino compatibile con Active Directory, ad esempio Windows Server Backup (scelta consigliata). Se nell'host è supportato l'ID di generazione Hyper-Vistor, è possibile eseguire il ripristino non autorevole usando anche uno snapshot della macchina virtuale.
È necessario un ripristino autorevole di SYSVOL nel primo controller di dominio ripristinato, perché la replica della cartella SYSVOL deve essere riavviata con le nuove istanze dopo il ripristino da un'emergenza. Tutti i controller di dominio successivi aggiunti nel dominio devono risincronizzare la cartella SYSVOL con una copia della cartella selezionata perché risulti autorevole.
Avviso
Eseguire un'operazione di ripristino autorevole (o primaria) di SYSVOL solo per il primo controller di dominio da ripristinare nel dominio radice della foresta. L'esecuzione non corretta delle operazioni di ripristino primarie di SYSVOL in altri controller di dominio comporta conflitti di replica dei dati SYSVOL. Esistono due opzioni per eseguire un ripristino non autorevole di Active Directory Domain Services e un ripristino autorevole di SYSVOL:
Eseguire un ripristino completo del server e quindi forzare una sincronizzazione autorevole di SYSVOL. Per le procedure dettagliate, vedere Esecuzione di un ripristino completo del server ed Esecuzione di una sincronizzazione autorevole di SYSVOL con Replica DFS.
Eseguire un ripristino completo del server seguito da un ripristino dello stato del sistema. Questa opzione richiede la creazione anticipata di entrambi i tipi di backup: un backup completo del server e un backup dello stato del sistema. Per le procedure dettagliate, vedere Esecuzione di un ripristino completo del server ed Esecuzione di un ripristino non autorevole di Active Directory Domain Services.
Dopo aver ripristinato e riavviato il controller di dominio scrivibile, verificare che l'errore non abbia interessato i dati nel controller di dominio. Se i dati del controller di dominio sono danneggiati, ripetere il passaggio 2 con un backup diverso.
Se il controller di dominio ripristinato ospita un ruolo master operazioni, potrebbe essere necessario aggiungere la voce del Registro di sistema seguente per evitare che Active Directory Domain Services non sia disponibile fino al completamento della replica di una partizione di directory scrivibile:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations
Creare la voce con il tipo di dati REG_DWORD e il valore 0. Dopo aver ripristinato completamente la foresta, è possibile reimpostare il valore di questa voce su 1, che richiede un controller di dominio che riavvii e mantenga i ruoli master operazioni per avere la corretta replica di Active Directory Domain Services in ingresso e in uscita con i partner di replica noti prima di annunciare se stessa come controller di dominio e iniziare a fornire servizi ai client. Per altre informazioni sui requisiti di sincronizzazione iniziali, vedere Ruoli FSMO di Active Directory.
Continuare con i passaggi successivi solo dopo il ripristino e la verifica dei dati e prima di aggiungere il computer alla rete di produzione.
Se si sospetta che l'errore a livello di foresta sia correlato a intrusioni di rete o ad attacchi dannosi, reimpostare le password dell'account per tutti gli account amministrativi, inclusi i membri di Enterprise Admins, Domain Admins, Schema Admins, Server Operators, Gruppi account Operators e così via. È necessaria anche la procedura di reimpostazione della password completa dell'account krbtgt. La reimpostazione delle password dell'account amministrativo deve essere completata prima dell'installazione di controller di dominio aggiuntivi durante la fase successiva del ripristino della foresta.
In questo caso, inoltre, lavorare sulla sostituzione di tutte le password GMSA come se fosse stato rilevato un account amministrativo, l'utente malintenzionato potrebbe aver recuperato informazioni che gli consentono di eseguire l'autenticazione come GMSA. Per informazioni dettagliate, vedere l'articolo sull’attacco Golden GMSA.
Se si sospetta che gli account utente siano stati compromessi, è necessario pianificare anche la reimpostazione della password utente per tutti gli utenti nel dominio.
Nel primo controller di dominio ripristinato nel dominio radice della foresta, recuperare tutti i ruoli master operazioni a livello di dominio e di foresta. Le credenziali di Enterprise Admins e Schema Admins sono necessarie per recuperare i ruoli master delle operazioni a livello di foresta in base alle esigenze.
In ogni dominio figlio, impostare i ruoli master delle operazioni a livello di dominio in base alle esigenze. Anche se è possibile conservare temporaneamente i ruoli master delle operazioni nel controller di dominio ripristinato, il recupero di questi ruoli garantisce che il controller di dominio li ospiti a questo punto nel processo di ripristino della foresta. Come parte del processo post-ripristino, è possibile ridistribuire i ruoli master operazioni in base alle esigenze. Per altre informazioni sulla cessazione dei ruoli master operazioni, vedere Cessazione di un ruolo master operazioni. Per consigli su dove posizionare i ruoli di master operazioni, vedere Che cosa sono i master operazioni?. Vedere anche Posizionamento e ottimizzazione FSMO (Flexible Single Master Operation) nei controller di dominio Active Directory.
Pulire i metadati di tutti gli altri controller di dominio scrivibili nel dominio radice della foresta che non vengono ripristinati dal backup (tutti i controller di dominio scrivibili nel dominio, ad eccezione di questo primo controller di dominio). Se si usa la versione di Utenti e computer di Active Directory o Siti e servizi di Active Directory inclusi in Windows Server 2012 o versione successiva o RSAT per Windows 10 o versioni successive, la pulizia dei metadati viene eseguita automaticamente quando si elimina un oggetto DC (controller di dominio). Inoltre, anche l'oggetto server e l'oggetto computer per il controller di dominio eliminato vengono eliminati automaticamente. Per altre informazioni, vedere Pulizia dei metadati dei controller di dominio scrivibili rimossi e Pulizia dei metadati del server di Active Directory Domain Services.
La pulizia dei metadati impedisce possibili duplicazioni di oggetti NTDS-settings se Active Directory Domain Services è installato in un controller di dominio in un sito diverso. Potenzialmente, questo potrebbe anche risparmiare al Controllo di coerenza informazioni, il processo di creazione di collegamenti di replica quando i controller di dominio stessi potrebbero non essere presenti. Inoltre, come parte della pulizia dei metadati, i record di risorse DNS del localizzatore del controller di dominio per tutti gli altri controller di dominio nel dominio verranno eliminati dal DNS.
Finché non vengono rimossi i metadati di tutti gli altri controller di dominio nel dominio, questo controller di dominio, se era un master RID prima del ripristino, non assumerà il ruolo di master RID e di conseguenza non potrà emettere nuovi RID. È possibile che venga visualizzato l'ID evento 16650 nel Registro di sistema del Visualizzatore eventi a indicare tale errore, ma dovrebbe essere visualizzato l'ID evento 16648, che indica l'esito positivo dopo la pulizia dei metadati.
Se sono presenti zone DNS archiviate in Active Directory Domain Services, assicurarsi che il servizio server DNS locale sia installato e in esecuzione nel DC ripristinato. Se il DC non era un server DNS prima dell'esito negativo della foresta, è necessario installare e configurare il ruolo del server DNS nel DC oppure un server DNS deve essere disponibile nell'ambiente di ripristino.
Nel dominio radice della foresta configurare il controller di dominio ripristinato con il proprio indirizzo IP come server DNS preferito. È possibile configurare questa impostazione nelle proprietà TCP/IP della scheda LAN (Local Area Network). Si tratta del primo server DNS nella foresta. Per altre informazioni, vedere Raccomandazioni per le impostazioni client DNS (Domain Name System).
In ogni dominio figlio, configurare il DC ripristinato con l'indirizzo IP del primo server DNS nel dominio radice della foresta come server DNS preferito. È possibile configurare questa impostazione nelle proprietà TCP/IP della scheda LAN. Per altre informazioni, vedere Raccomandazioni per le impostazioni client DNS (Domain Name System).
Nelle zone DNS di _msdcs e di dominio, eliminare i record NS dei DC che non esistono più dopo la pulizia dei metadati. Controllare se i record SRV dei controller di dominio puliti sono stati rimossi. Per accelerare la rimozione del record SRV DNS, eseguire:
nltest.exe /dsderegdns:server.domain.tld
Aumentare il valore del pool di RID disponibili di 100.000. Per altre informazioni, vedere Aumento del valore dei pool RID disponibili. Se si ha motivo di credere che l'aumento del pool RID di 100.000 non sia sufficiente per la situazione specifica, è necessario determinare, tenendo conto del consumo medio di RID nell'ambiente, l'aumento più basso ancora sicuro da usare. I RID sono una risorsa limitata che non deve essere usata inutilmente.
Se nel dominio sono state create nuove entità di sicurezza dopo l'ora del backup usato per il ripristino, queste entità di sicurezza potrebbero avere diritti di accesso per determinati oggetti. Queste entità di sicurezza non esistono più dopo il ripristino, perché l'operazione ha ripristinato i dati al momento del backup, tuttavia, i diritti di accesso potrebbero essere ancora presenti. Se il pool RID disponibile non viene generato dopo un ripristino, i nuovi oggetti utente creati dopo il ripristino della foresta potrebbero ottenere ID di sicurezza identici (SID) e potrebbero avere accesso a tali oggetti, che non sono stati originariamente previsti.
Ad esempio, potrebbe essere stato assunto un nuovo dipendente. L'oggetto utente non esiste più dopo l'operazione di ripristino perché è stato creato dopo il backup usato per ripristinare il dominio. Tuttavia, tutti i diritti di accesso assegnati a tale oggetto utente potrebbero persistere dopo l'operazione di ripristino. Se il SID per tale oggetto utente viene riassegnato a un nuovo oggetto dopo l'operazione di ripristino, il nuovo oggetto otterrà tali diritti di accesso.
Invalidare il pool di RID corrente. Il pool di RID corrente viene invalidato dopo un ripristino dello stato del sistema. Tuttavia, se non è stato eseguito un ripristino dello stato del sistema, il pool di RID corrente deve essere invalidato per impedire al controller di dominio ripristinato di riemettere i RID dal pool di RID assegnato al momento della creazione del backup. Per altre informazioni, vedere Invalidare il pool di RID corrente.
Nota
La prima volta che si tenta di creare un oggetto con un SID dopo aver invalidato il pool di RID, verrà restituito un messaggio di errore. Il tentativo di creare un oggetto attiva una richiesta per un nuovo pool di RID. Il nuovo tentativo dell'operazione ha esito positivo perché verrà allocato il nuovo pool di RID.
Reimpostare la password dell'account computer di questo controller di dominio due volte. Per altre informazioni, vedere Reimpostazione della password dell'account computer del controller di dominio.
Reimpostare la password krbtgt due volte. Per altre informazioni, vedere Reimpostazione della password krbtgt. Poiché la cronologia delle password krbtgt è costituita da due password, reimpostare le password due volte per rimuovere la password originale (prima dell'errore) dalla cronologia delle password.
Nota
Se il ripristino della foresta avviene in risposta a una violazione della sicurezza, è anche possibile reimpostare le password del trust. Per altre informazioni, vedere Reimpostazione di una password del trust su un lato del trust.
Se la foresta contiene più domini e il controller di dominio ripristinato era un server di catalogo globale prima dell'errore, deselezionare la casella di controllo Catalogo globale nelle proprietà delle Impostazioni NTDS per rimuovere il catalogo globale dal controller di dominio. L'eccezione a questa regola è il caso comune di una foresta con un solo dominio. In questo caso, non è necessario rimuovere il catalogo globale. Per altre informazioni, vedere Rimozione del catalogo globale.
Ripristinando un catalogo globale da un backup più recente di altri backup usati per ripristinare i controller di dominio in altri domini, è possibile introdurre oggetti residui. Si consideri l'esempio seguente. Nel dominio A, DC1 viene ripristinato da un backup eseguito all'ora T1. Nel dominio B, DC2 viene ripristinato da un backup del catalogo globale eseguito all'ora T2. Si supponga che T2 sia più recente di T1 e che alcuni oggetti siano stati creati tra l'ora T1 e l'ora T2. Dopo il ripristino di questi controller di dominio, DC2, che è un catalogo globale, contiene dati più recenti per la replica parziale del dominio A rispetto al dominio A stesso. DC2, in questo caso, contiene oggetti residui perché questi oggetti non sono presenti in DC1.
La presenza di oggetti residui può causare problemi. Ad esempio, i messaggi di posta elettronica potrebbero non essere recapitati a un utente il cui oggetto utente è stato spostato tra domini. Dopo aver riportato online il controller di dominio o il server di catalogo globale non aggiornato, entrambe le istanze dell'oggetto utente vengono visualizzate nel catalogo globale. Entrambi gli oggetti hanno lo stesso indirizzo di posta elettronica; pertanto, i messaggi di posta elettronica non possono essere recapitati.
Un altro problema è che un account utente che non esiste più può essere ancora visualizzato nell'elenco indirizzi globale.
Inoltre, un gruppo universale che non esiste più potrebbe essere ancora visualizzato nel token di accesso di un utente.
Se è stato ripristinato un DC che era un catalogo globale, inavvertitamente o perché si tratta del backup solitario considerato attendibile, è consigliabile impedire l'occorrenza di oggetti residui disabilitando il catalogo globale subito dopo il completamento dell'operazione di ripristino. La disabilitazione del catalogo globale comporterà la perdita di tutte le repliche parziali (partizioni) e la retrocessione a uno stato regolare del DC.
Se si usano account gMSA, potrebbe essere necessario ricrearli perché i dettagli di generazione delle password possono essere esposti a un utente malintenzionato; vedere:
Come eseguire il ripristino da un attacco Golden gMSAPer informazioni su come sostituire gli account del servizio gestito del gruppo e assicurarsi di usare il materiale con chiave sicura, vedere Ripristino della foresta AD - Ripristino di un singolo dominio all'interno di una foresta multidominio.
Configurare il servizio Ora di Windows. Nel dominio radice della foresta, configurare l'emulatore PDC per sincronizzare l'ora da un'origine ora esterna. Per altre informazioni, vedere Configurare il servizio Ora di Windows nell'emulatore PDC nel dominio radice della foresta.
Riconnettere ogni controller di dominio scrivibile ripristinato a una rete comune
In questa fase, è necessario avere un controller di dominio ripristinato (e i passaggi di ripristino eseguiti) nel dominio radice della foresta e in ognuno dei domini residui. Aggiungere questi controller di dominio a una rete comune isolata dal resto dell'ambiente e completare i passaggi seguenti per convalidare l'integrità e la replica della foresta.
Nota
Quando si aggiungono i controller di dominio fisici a una rete isolata, potrebbe essere necessario modificare gli indirizzi IP. Di conseguenza, gli indirizzi IP dei record DNS non saranno corretti. Poiché non è disponibile un server di catalogo globale, gli aggiornamenti dinamici sicuri per il DNS avranno esito negativo. In questo caso, i controller di dominio virtuali offrono maggiori vantaggi perché possono essere aggiunti a una nuova rete virtuale senza modificare gli indirizzi IP. Questo è uno dei motivi per cui i DC virtuali sono consigliati come primi controller di dominio da ripristinare durante il ripristino della foresta.
Verificare l'integrità della replica della foresta
Dopo la convalida, aggiungere i DC alla rete di produzione e completare i passaggi per verificare l'integrità della replica della foresta.
- Per correggere la risoluzione dei nomi, creare record di delega DNS e configurare l'inoltro DNS e i parametri radice in base alle esigenze.
- Eseguire
repadmin /replsum
per controllare la replica tra DC. - Se i DC ripristinati non sono partner di replica diretta, il ripristino della replica sarà molto più veloce creando oggetti di connessione temporanea tra di essi.
- Per convalidare la pulizia dei metadati, eseguire
Repadmin /viewlist \*
per un elenco di tutti i DC nella foresta. EseguireNltest /DCList:***\<domain\>*
per un elenco di tutti i DC nel dominio. - Per controllare l'integrità di DC e DNS, eseguire
DCDiag /v
per segnalare errori in tutti i DC nella foresta.
Aggiungere il catalogo globale a un controller di dominio nel dominio radice della foresta
Per questi e altri motivi è necessario un catalogo globale:
- Per abilitare gli accessi per gli utenti.
- Per abilitare il servizio Accesso rete in esecuzione nei DC di ogni dominio figlio al fine di registrare e rimuovere record nel server DNS nel dominio radice.
Sebbene sia preferibile che il DC radice della foresta sia un catalogo globale, è in genere consigliabile decidere che tutti i DC siano un catalogo globale.
Nota
Un controller di dominio non verrà annunciato come server di catalogo globale fino a quando non avrà completato una sincronizzazione completa di tutte le partizioni di directory nella foresta. Di conseguenza, è necessario forzare la replica del controller di dominio con ognuno dei controller di dominio ripristinati nella foresta.
Monitorare il registro eventi del servizio directory nel Visualizzatore eventi per l'ID evento 1119, ovvero che il DC è un server di catalogo globale, oppure verificare che la chiave del Registro di sistema seguente abbia il valore 1:
**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**
Per altre informazioni, vedere Aggiungere il catalogo globale.
A questo punto, dovrebbe essere presente una foresta stabile, con un controller di dominio per ogni dominio e un catalogo globale nella foresta. È consigliabile eseguire un nuovo backup di ciascun DC non appena ripristinato. È ora possibile iniziare a ridistribuire altri DC nella foresta installando Active Directory Domain Services e configurando altri server di catalogo globale.
Passaggi successivi
- Ripristino della foresta di Active Directory - Prerequisiti
- Ripristino foresta Active Directory - Elaborare un piano di ripristino della foresta personalizzato
- Ripristino foresta Active Directory - Passaggi per ripristinare la foresta
- Ripristino foresta Active Directory - Identificare il problema
- Ripristino di una foresta di Active Directory - Determinare la modalità di ripristino
- Ripristino di una foresta di Active Directory - Eseguire il ripristino iniziale
- Ripristino della foresta di Active Directory - Procedure
- Ripristino foresta Active Directory - Domande frequenti
- Ripristino foresta Active Directory - Ripristinare un singolo dominio in una foresta multidominio
- Ripristino foresta Active Directory - Ridistribuire i controller di dominio rimanenti
- Ripristino della foresta di Active Directory - Virtualizzazione
- Ripristino foresta Active Directory - Pulizia