Partilhar via


Recuperação de Floresta do Ative Directory - Execute a recuperação inicial

Esta seção inclui as seguintes etapas:

Restaurar o primeiro controlador de domínio com capacidade de gravação em cada domínio

Comece com um Controlador de Domínio (DC) gravável no domínio raiz da floresta. Conclua as etapas nesta seção para restaurar o primeiro Controlador de Domínio. O domínio raiz da floresta é importante porque armazena os grupos Administradores de Esquema e Administradores Corporativos. Também ajuda a manter a hierarquia de confiança na floresta. Além disso, o domínio raiz da floresta geralmente contém o servidor raiz DNS para o namespace DNS da floresta. Consequentemente, a zona DNS integrada ao Active Directory para esse domínio contém os registos de recurso de alias (CNAME) para todos os outros DCs na floresta (que são necessários para replicação) e os registos de recursos DNS do catálogo global.

Depois de recuperar o domínio raiz da floresta, repita as mesmas etapas para recuperar os domínios restantes na floresta. Você pode recuperar mais de um domínio simultaneamente; no entanto, sempre recupere um domínio pai antes de recuperar um filho para evitar qualquer quebra na hierarquia de confiança ou na resolução de nomes DNS.

Para cada domínio recuperado, restaure um DC gravável a partir do backup. Essa é a parte mais importante da recuperação porque o DC deve ter um banco de dados que não tenha sido influenciado por tudo o que causou a falha da floresta. É importante ter um backup confiável que seja exaustivamente testado antes de ser introduzido no ambiente de produção.

Em seguida, execute as etapas a seguir. Os procedimentos para executar determinadas etapas estão em Procedimentos de Recuperação Florestal do AD.

  1. Se planeia restaurar um servidor físico, certifique-se de que o cabo de rede do controlador de domínio de destino não está ligado e, portanto, não está conectado à rede de produção. Para uma máquina virtual, você pode remover o adaptador de rede ou usar um adaptador de rede conectado a outra rede onde você pode testar o processo de recuperação enquanto estiver isolado da rede de produção.

  2. Como este é o primeiro controlador de domínio gravável no domínio, você deve executar uma restauração não autoritativa do AD DS e uma restauração autoritativa do SYSVOL. A operação de restauração deve ser concluída usando um aplicativo de backup e restauração com reconhecimento do Ative Directory, como o Backup do Windows Server (recomendado). Se o ID Hyper-Visor de Geração for suportado no host, é possível também fazer a restauração não autoritativa usando um instantâneo de máquina virtual.

    • Uma restauração autoritativa do SYSVOL é necessária no primeiro DC recuperado, porque a replicação da pasta SYSVOL deve ser reiniciada com as novas instâncias após a recuperação de um desastre. Todos os DCs subsequentes que são adicionados no domínio devem ressincronizar sua pasta SYSVOL com uma cópia da pasta que foi selecionada para ser autoritativa.

      Advertência

      Execute uma operação de restauração autoritativa (ou primária) do SYSVOL somente para o primeiro controlador de domínio a ser restaurado no domínio raiz da floresta. A execução incorreta de operações de restauração primária do SYSVOL em outros DCs leva a conflitos de replicação de dados SYSVOL. Há duas opções para executar uma restauração não autoritativa do AD DS e uma restauração autoritativa do SYSVOL:

    • Execute uma recuperação completa do servidor e, em seguida, force uma sincronização autoritativa do SYSVOL. Para obter procedimentos detalhados, consulte Executar uma recuperação completa do servidor e Executar uma sincronização autoritativa do SYSVOL replicado pelo DFSR.

    • Execute uma recuperação completa do servidor seguida por uma restauração do estado do sistema. Essa opção requer que você crie os dois tipos de backups com antecedência: um backup completo do servidor e um backup do estado do sistema. Para obter procedimentos detalhados, consulte Executando um de recuperação completa do servidor e Executando uma restauração não autoritativa dos Serviços de Domínio Ative Directory.

  3. Depois de restaurar e reiniciar o DC gravável, verifique se a falha não afetou os dados no DC. Se os dados do DC estiverem danificados, repita a etapa 2 com um backup diferente.

    • Se o controlador de domínio restaurado hospedar uma função de mestre de operações, talvez seja necessário adicionar a seguinte entrada do Registro para evitar que o AD DS fique indisponível até que ele tenha concluído a replicação de uma partição de diretório gravável:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
      Perform Initial Synchronizations
      

      Crie a entrada com o tipo de dados REG_DWORD e um valor de 0. Depois de a floresta estar completamente recuperada, pode redefinir o valor desta entrada para 1, o que requer que um controlador de domínio, que reinicia e detém funções de mestre de operações, tenha uma replicação de entrada e saída do AD DS bem-sucedida com os seus parceiros de réplica conhecidos antes de se anunciar como controlador de domínio e começar a fornecer serviços aos clientes. Para obter mais informações sobre os requisitos iniciais de sincronização, consulte Funções FSMO do Ative Directory.

  4. Continue para as próximas etapas somente depois de restaurar e verificar os dados e antes de ingressar este computador na rede de produção.

  5. Se você suspeitar que a falha em toda a floresta estava relacionada a invasão de rede ou ataque mal-intencionado, redefina as senhas de conta de todas as contas administrativas, incluindo membros dos grupos Administradores de Empresa, Administradores de Domínio, Administradores de Esquema, Operadores de Servidor, Operadores de Conta e assim por diante. O procedimento completo de redefinição de senha da conta krbtgt também é necessário. A redefinição de senhas de contas administrativas deve ser concluída antes que controladores de domínio adicionais sejam instalados durante a próxima fase da recuperação da floresta.

    Neste caso também, trabalhe na substituição de todas as senhas GMSA como se uma conta administrativa tivesse sido comprometida, pois o invasor pode ter recuperado informações que lhe permitem autenticar-se como GMSA. Para mais detalhes, consulte o artigo sobre o ataque GMSA dourado .

  6. Se você suspeitar que as contas de usuário foram comprometidas, também precisará planejar uma redefinição de senha de usuário para todos os usuários no domínio.

  7. No primeiro controlador de domínio restaurado no domínio raiz da floresta, aproveite todas as funções de mestre de operações em todo o domínio e em toda a floresta. As credenciais de Administradores de Empresa e Administradores de Esquema são necessárias para assumir as funções de mestre de operações em toda a floresta, quando necessário.

    Em cada domínio filho, aproveite as funções de mestre de operações em todo o domínio, conforme necessário. Embora você possa manter as funções de mestre de operações no DC restaurado apenas temporariamente, a apropriação dessas funções garante qual DC as hospeda neste ponto do processo de recuperação de floresta. Como parte do processo de pós-recuperação, você pode redistribuir as funções de mestre de operações conforme necessário. Para obter mais informações sobre como aproveitar funções de mestre de operações, consulte Aproveitando uma função de mestre de operações. Para obter recomendações sobre onde colocar funções de mestre de operações, consulte O que são mestres de operações?. Consulte também posicionamento e otimização de FSMO (Operação de Single-Master flexível) em DCs AD.

  8. Limpe os metadados de todos os outros DCs graváveis no domínio raiz da floresta que você não está restaurando do backup (todos os DCs graváveis no domínio, exceto este primeiro DC). Se você usar a versão de Usuários e Computadores do Ative Directory ou Sites e Serviços do Ative Directory incluída no Windows Server 2012 ou posterior ou RSAT para Windows 10 ou posterior, a limpeza de metadados será executada automaticamente quando você excluir um objeto DC. Além disso, o objeto de servidor e o objeto de computador para o controlador de domínio eliminado também são eliminados automaticamente. Para obter mais informações, consulte Limpeza de metadados de DCs graváveis removidose Limpeza de metadados do servidor AD DS.

    A limpeza de metadados evita a possível duplicação de objetos de configurações NTDS se o AD DS estiver instalado em um controlador de domínio em um site diferente. Potencialmente, isso também poderá poupar o Knowledge Consistency Checker (KCC) do processo de criação de links de replicação quando os próprios DCs podem não estar presentes. Além disso, como parte da limpeza de metadados, os registros de recursos DNS do Localizador de DC para todos os outros DCs no domínio serão excluídos do DNS.

    Até que os metadados de todos os outros DCs no domínio sejam removidos, esse DC, se fosse um mestre RID antes da recuperação, não assumirá a função de mestre RID e, portanto, não poderá emitir novos RIDs. Poderá ver o ID de evento 16650 no registo do sistema no Visualizador de Eventos a indicar esta falha, mas deverá ver o ID de evento 16648 a indicar o êxito algum tempo depois de ter limpo os metadados.

  9. Se você tiver zonas DNS armazenadas no AD DS, verifique se o serviço Servidor DNS local está instalado e em execução no controlador de domínio restaurado. Se esse DC não era um servidor DNS antes da falha na floresta, você deve instalar e configurar a função de servidor DNS no DC ou um servidor DNS precisa estar disponível no ambiente de restauração.

    No domínio raiz da floresta, configure o DC restaurado com seu próprio endereço IP como seu servidor DNS preferencial. Você pode definir essa configuração nas propriedades TCP/IP do adaptador de rede local (LAN). Este é o primeiro servidor DNS na floresta. Para obter mais informações, consulte Recomendações para configurações de cliente DNS (Sistema de Nomes de Domínio).

    Em cada domínio filho, configure o DC restaurado para usar o endereço IP do primeiro servidor DNS no domínio raiz da floresta como servidor DNS preferencial. Você pode definir essa configuração nas propriedades TCP/IP do adaptador LAN. Para obter mais informações, consulte Recomendações para configurações de cliente DNS (Sistema de Nomes de Domínio).

    Nas zonas DNS de _msdcs e domínio, exclua registros NS de DCs que não existem mais após a limpeza de metadados. Verifique se os registros SRV dos DCs limpos foram removidos. Para ajudar a acelerar a remoção de registros SRV DNS, execute:

    nltest.exe /dsderegdns:server.domain.tld

  10. Aumente o valor do pool de RID disponível em 100.000. Para obter mais informações, consulte Aumentando o valor dos pools de RID disponíveis. Se você tem motivos para acreditar que aumentar o Pool de RID em 100.000 é insuficiente para sua situação particular, você deve determinar, levando em conta o consumo médio de RID em seu ambiente, o menor aumento que ainda é seguro usar. Os RIDs são um recurso finito que não deve ser usado desnecessariamente.

    Se novas entidades de segurança foram criadas no domínio após o tempo do backup que você usa para a restauração, essas entidades de segurança podem ter direitos de acesso em determinados objetos. Essas entidades de segurança não existem mais após a recuperação porque a recuperação foi revertida para o estado do backup; no entanto, os seus direitos de acesso ainda podem existir. Se o pool de RID disponível não for gerado após uma restauração, novos objetos de usuário criados após a recuperação da floresta poderão obter IDs de segurança (SIDs) idênticos e poderão ter acesso a esses objetos, o que não foi originalmente pretendido.

    Por exemplo, pode ter havido um novo funcionário. O objeto de usuário não existe mais após a operação de restauração porque foi criado após o backup usado para restaurar o domínio. No entanto, quaisquer direitos de acesso atribuídos a esse objeto de usuário podem persistir após a operação de restauração. Se o SID desse objeto de usuário for reatribuído a um novo objeto após a operação de restauração, o novo objeto obterá esses direitos de acesso.

  11. Invalide o pool de RID atual. O pool RID atual é invalidado após uma restauração do estado do sistema. Mas se uma restauração do estado do sistema não foi executada, o pool de RID atual precisa ser invalidado para impedir que o DC restaurado reemita RIDs do pool de RID atribuído no momento em que o backup foi criado. Para obter mais informações, consulte Invalidando o pool de RID atual.

    Observação

    A primeira vez que você tentar criar um objeto com um SID depois de invalidar o pool RID, você receberá um erro. A tentativa de criar um objeto dispara uma solicitação para um novo pool de RID. A repetição da operação é bem-sucedida porque o novo pool RID será alocado.

  12. Redefina a senha da conta de computador deste DC duas vezes. Para obter mais informações, consulte Redefinindo a senha da conta de computador do controlador de domínio.

  13. Redefina a senha krbtgt duas vezes. Para obter mais informações, consulte Redefinindo a senha krbtgt. Como o histórico de senhas krbtgt é de duas senhas, redefina as senhas duas vezes para remover a senha original (pré-falha) do histórico de senhas.

    Observação

    Se a recuperação da floresta for em resposta a uma violação de segurança, você também poderá redefinir as senhas de confiança. Para obter mais informações, consulte Redefinição de uma senha de confiança de um lado do.

  14. Se a floresta tiver vários domínios e o Controlador de Domínio (DC) recuperado era um servidor de catálogo global antes da falha, desmarque a caixa de seleção Catálogo Global nas propriedades Configurações NTDS para remover o catálogo global do DC. A exceção a esta regra é o caso comum de uma floresta com apenas um domínio. Nesse caso, não é necessário remover o catálogo global. Para obter mais informações, consulte Removendo o catálogo global.

    Ao restaurar um catálogo global a partir de um backup mais recente do que outros backups usados para restaurar DCs em outros domínios, você pode introduzir objetos persistentes. Considere o exemplo a seguir. No domínio A, DC1 é restaurado a partir de um backup que foi feito no momento T1. No domínio B, o DC2 é restaurado a partir de um backup de catálogo global que foi feito no momento T2. Suponha que T2 é mais recente do que T1, e alguns objetos foram criados entre T1 e T2. Depois que esses DCs são restaurados, o DC2, que é um catálogo global, armazena dados mais recentes para a réplica parcial do domínio A do que o próprio domínio A. DC2, neste caso, mantém objetos residuais porque esses objetos não estão presentes no DC1.

    A presença de objetos persistentes pode levar a problemas. Por exemplo, as mensagens de email podem não ser entregues a um usuário cujo objeto de usuário foi movido entre domínios. Depois de colocar o DC desatualizado ou o servidor de catálogo global online novamente, ambas as instâncias do objeto de usuário aparecem no catálogo global. Ambos os objetos têm o mesmo endereço de e-mail; portanto, as mensagens de email não podem ser entregues.

    Outro problema é que uma conta de usuário que não existe mais ainda pode aparecer na lista de endereços global.

    Além disso, um grupo universal que não existe mais ainda pode aparecer no token de acesso de um usuário.

    Se você restaurou um controlador de domínio que era um catálogo global, inadvertidamente ou porque esse era o backup solitário em que você confiava, recomendamos evitar a ocorrência de objetos persistentes desativando o catálogo global logo após a conclusão da operação de restauração. A desativação do sinalizador de catálogo global fará com que o computador perca todas as suas réplicas parciais (partições) e se relegue ao status de controlador de domínio regular.

  15. Se você estiver usando contas gMSA, talvez seja necessário recriá-las, pois os detalhes de geração de senha podem ser expostos a um invasor, consulte:
    Como se recuperar de um ataque Golden gMSA

    Consulte Recuperação de Floresta do Active Directory - Recuperação de um Domínio Único numa Floresta Multidomínio para obter as etapas sobre como substituir os gMSAs e garantir que utilizem material de chave seguro.

  16. Configure o Serviço de Tempo do Windows. No domínio raiz da floresta, configure o emulador de PDC para sincronizar a hora a partir de uma fonte externa. Para obter mais informações, consulte Configurar o serviço de Horário do Windows no emulador PDC no Domínio Raiz da Floresta.

Reconecte cada controlador de domínio gravável restaurado a uma rede comum

Nesta etapa, deve-se ter um controlador de domínio restaurado (e etapas de recuperação concluídas) no domínio raiz da floresta e em cada um dos domínios restantes. Junte esses DCs a uma rede comum isolada do resto do ambiente e conclua as etapas a seguir para validar a integridade e a replicação da floresta.

Observação

Quando você une os DCs físicos a uma rede isolada, talvez seja necessário alterar seus endereços IP. Como resultado, os endereços IP dos registros DNS estarão errados. Como um servidor de catálogo global não está disponível, as atualizações dinâmicas seguras para DNS falharão. Os DCs virtuais são mais vantajosos neste caso porque podem ser unidos a uma nova rede virtual sem alterar seus endereços IP. Essa é uma das razões pelas quais os DCs virtuais são recomendados como os primeiros controladores de domínio a serem restaurados durante a recuperação da floresta.

Verificar a saúde da replicação florestal

Após a validação, associe os DCs à rede de produção e conclua as etapas para verificar a integridade da replicação da floresta.

  • Para corrigir a resolução de nomes, crie registos de delegação DNS e configure o encaminhamento DNS e as dicas de raiz conforme necessário.
  • Execute repadmin /replsum para verificar a replicação entre DCs.
  • Se os DCs restaurados não forem parceiros diretos de replicação, a recuperação da replicação será muito mais rápida criando objetos de conexão temporários entre eles.
  • Para validar a limpeza de metadados, execute Repadmin /viewlist \* para obter uma lista de todos os DCs na floresta. Execute Nltest /DCList:***\<domain\>* para obter uma lista de todos os DCs no domínio.
  • Para verificar a integridade do DC e do DNS, execute DCDiag /v para relatar erros em todos os DCs na floresta.

Adicionar o catálogo global a um controlador de domínio no domínio raiz da floresta

Um catálogo global é necessário por estes e outros motivos:

  • Para habilitar logons para usuários.
  • Para habilitar o serviço Net Logon, em execução nos DCs em cada domínio filho, a registar e remover registos no servidor DNS no domínio raiz.

Embora seja preferível que o DC raiz da floresta seja um catálogo global, geralmente é recomendado decidir que todos os DCs sejam um catálogo global.

Observação

Um controlador de domínio não será anunciado como um servidor de catálogo global até que tenha concluído uma sincronização completa de todas as partições de diretório na floresta. Portanto, o CD deve ser forçado a replicar com cada um dos CDs restaurados na floresta.

Monitore o log de eventos do Serviço de Diretório no Visualizador de Eventos para obter a ID de evento 1119, que indica que esse DC é um servidor de catálogo global, ou verifique se a seguinte chave do Registro tem o valor 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Para obter mais informações, consulte Adicionar o catálogo global.

Nesta fase, você deve ter uma floresta estável, com um DC para cada domínio e um catálogo global na floresta. Você deve fazer um novo backup de cada um dos DCs que acabou de restaurar. Agora você pode começar a reimplantar outros DCs na floresta instalando o AD DS e configurando servidores adicionais do Catálogo Global.

Próximos passos