- Articolo
- 08/16/2021
- 12 minuti a leggere
-
-
i -
v -
d -
v -
e -
+5
-
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e 2012 R2, Windows Server 2008 e 2008 R2
Recupero di un’intera foresta di Active Directory coinvolge il ripristino da backup o la reinstallazione di Servizi di Dominio Active Directory (AD DS) su ogni controller di dominio (DC) nella foresta. Il ripristino della foresta ripristina ogni dominio nella foresta al suo stato al momento dell’ultimo backup attendibile. Di conseguenza, l’operazione di ripristino comporterà la perdita di almeno i seguenti dati di Active Directory:
- Tutti gli oggetti (ad esempio, utenti e computer) che sono stati aggiunti dopo l’ultimo backup sicuro
- Tutti gli aggiornamenti che sono stati fatti oggetto esistente dall’ultimo backup sicuro
- Tutte le modifiche che sono state apportate per la partizione di configurazione o lo schema di partizione in servizi di dominio active directory (ad esempio modifiche dello schema) dopo l’ultimo backup sicuro
Per ogni dominio della foresta, la password di un account di Amministratore di Dominio deve essere conosciuto. Preferibilmente, questa è la password dell’account amministratore integrato. È inoltre necessario conoscere la password DSRM per eseguire un ripristino dello stato di sistema di un DC. In generale, è buona norma archiviare l’account amministratore e la cronologia delle password DSRM in un luogo sicuro per tutto il tempo in cui i backup sono validi, ovvero entro il periodo di vita di tombstone o entro il periodo di vita dell’oggetto eliminato se Active Directory Recycle Bin è abilitato. È inoltre possibile sincronizzare la password DSRM con un account utente di dominio al fine di rendere più facile da ricordare. Per ulteriori informazioni, consultare l’articolo KB 961320. La sincronizzazione dell’account DSRM deve essere effettuata prima del recupero della foresta, come parte della preparazione.
Nota
L’account Amministratore è un membro del gruppo built-in Administrators per impostazione predefinita, così come i gruppi Domain Admins e Enterprise Admins. Questo gruppo ha il pieno controllo di tutti i DCS nel dominio.
Determinare quali backup utilizzare
Eseguire regolarmente il backup di almeno due DC scrivibili per ogni dominio in modo da avere diversi backup tra cui scegliere. Si noti che non è possibile utilizzare il backup di un controller di dominio di sola lettura (RODC) per ripristinare un DC scrivibile. Si consiglia di ripristinare il DCS utilizzando i backup che sono stati presi alcuni giorni prima del verificarsi dell’errore. In generale, è necessario determinare un compromesso tra la recentness e la sicurezza dei dati ripristinati. La scelta di un backup più recente recupera dati più utili, ma potrebbe aumentare il rischio di reintrodurre dati pericolosi nella foresta ripristinata.
Il ripristino dei backup dello stato del sistema dipende dal sistema operativo e dal server originali del backup. Ad esempio, non è necessario ripristinare un backup dello stato del sistema su un server diverso. In questo caso, è possibile visualizzare il seguente avviso:
“Il backup specificato è di un server diverso da quello corrente. Non è consigliabile eseguire un ripristino dello stato del sistema con il backup su un server alternativo perché il server potrebbe diventare inutilizzabile. Utilizzare veramente questo backup per ripristinare il server corrente?”
Se è necessario ripristinare Active Directory su hardware diverso, creare backup completi del server e pianificare l’esecuzione di un ripristino completo del server.
Importante
A partire da Windows Server 2008, non è supportato il ripristino del backup dello stato del sistema su una nuova installazione di Windows Server sul nuovo hardware o sullo stesso hardware. Se Windows Server viene reinstallato sullo stesso hardware, come raccomandato più avanti in questa guida, è possibile ripristinare il controller di dominio in questo ordine:
- Eseguire un ripristino completo del server per ripristinare il sistema operativo e tutti i file e le applicazioni.
- Eseguire un ripristino dello stato del sistema utilizzando wbadmin.exe per contrassegnare SYSVOL come autorevole.
Per ulteriori informazioni, vedere Microsoft KB articolo 249694.
Se l’ora del verificarsi dell’errore è sconosciuta, indagare ulteriormente per identificare i backup che contengono l’ultimo stato sicuro della foresta. Questo approccio è meno desiderabile. Pertanto, si consiglia vivamente di tenere registri dettagliati sullo stato di salute di AD DS su base giornaliera in modo che, se c’è un guasto a livello di foresta, il tempo approssimativo di guasto può essere identificato. Si dovrebbe anche tenere una copia locale di backup per consentire il recupero più veloce.
Se Active Directory Recycle Bin è abilitato, la durata del backup è uguale al valore deletedObjectLifetime o al valore tombstoneLifetime, a seconda di quale valore è minore. Per ulteriori informazioni, vedere Active Directory Recycle Bin Guida passo-passo (https://go.microsoft.com/fwlink/?LinkId=178657).
In alternativa, è anche possibile utilizzare lo strumento di montaggio del database di Active Directory (Dsamain.exe) e uno strumento LDAP (Lightweight Directory Access Protocol), come Ldp.utenti e computer exe o Active Directory, per identificare quale backup ha l’ultimo stato sicuro della foresta. Lo strumento di montaggio del database di Active Directory, incluso nei sistemi operativi Windows Server 2008 e versioni successive, espone i dati di Active Directory memorizzati nei backup o nelle istantanee come server LDAP. Quindi, è possibile utilizzare uno strumento LDAP per sfogliare i dati. Questo approccio ha il vantaggio di non richiedere di riavviare qualsiasi DC in Directory Services Restore Mode (DSRM) per esaminare il contenuto del backup di AD DS.
Per ulteriori informazioni sull’utilizzo dello strumento di montaggio del database di Active Directory, consultare la Guida passo-passo dello strumento di montaggio del database di Active Directory.
È inoltre possibile utilizzare il comando ntdsutil snapshot per creare istantanee del database di Active Directory. Pianificando un’attività per creare periodicamente istantanee, è possibile ottenere ulteriori copie del database di Active Directory nel tempo. È possibile utilizzare queste copie per identificare meglio quando si è verificato l’errore in tutta la foresta e quindi scegliere il backup migliore da ripristinare. Per creare istantanee, utilizzare la versione di ntdsutil fornita con Windows Server 2008 o gli strumenti di amministrazione server remoto (RSAT) per Windows Vista o versioni successive. Il DC di destinazione può eseguire qualsiasi versione di Windows Server. Per ulteriori informazioni sull’utilizzo del comando ntdsutil snapshot, vedere Snapshot.
Determinare quali controller di dominio ripristinare
La facilità del processo di ripristino è un fattore importante quando si decide quale controller di dominio ripristinare. Si consiglia di avere un DC dedicato per ogni dominio che è il DC preferito per un ripristino. Un CC di ripristino dedicato semplifica la pianificazione ed esecuzione affidabile del ripristino della foresta poiché si utilizza la stessa configurazione di origine utilizzata per eseguire i test di ripristino. È possibile eseguire lo script di ripristino e non gestire configurazioni diverse, ad esempio se il DC detiene o meno i ruoli master delle operazioni o se si tratta o meno di un server GC o DNS.
Nota
Sebbene non sia consigliabile ripristinare un titolare del ruolo operations master per motivi di semplicità, alcune organizzazioni possono scegliere di ripristinarne uno per altri vantaggi. Ad esempio, il ripristino del master RID può aiutare a prevenire problemi con la gestione dei RID durante il ripristino.
Scegliere un DC che meglio soddisfa i seguenti criteri:
-
Un DC che è scrivibile. Questo è obbligatorio.
-
Un DC che esegue Windows Server 2012 come macchina virtuale su un hypervisor che supporta VM-GenerationID. Questo DC può essere utilizzato come fonte per la clonazione.
-
Un DC che è accessibile, fisicamente o su una rete virtuale, e preferibilmente situato in un datacenter. In questo modo, puoi facilmente isolarlo dalla rete durante il recupero della foresta.
-
Un DC che ha un buon backup completo del server. Un buon backup è un backup che può essere ripristinato con successo, è stato preso pochi giorni prima dell’errore e contiene quanti più dati utili possibili.
-
Un DC che era un server DNS (Domain Name System) prima dell’errore. Ciò consente di risparmiare il tempo necessario per reinstallare DNS.
-
Se si utilizzano anche i servizi di distribuzione di Windows, scegliere un DC non configurato per utilizzare BitLocker Network Unlock. In questo caso, BitLocker Network Unlock non è supportato per essere utilizzato per il primo DC che si ripristina dal backup durante un ripristino della foresta.
BitLocker Network Unlock as the only Key protector non può essere utilizzato su DCS in cui è stato distribuito Windows Deployment Services (WDS) perché in questo modo si ottiene uno scenario in cui il primo DC richiede che Active Directory e WDS funzionino per sbloccare. Ma prima di ripristinare il primo DC, Active Directory non è ancora disponibile per WDS, quindi non può essere sbloccato.
Per determinare se un DC è configurato per utilizzare BitLocker Network Unlock, verificare che un certificato di sblocco di rete sia identificato nella seguente chiave di registro:
HKEY_LOCAL_MACHINESoftwarePolitiesMicrosoftSystemCertificatesFVE_NKP
Mantenere le procedure di sicurezza durante la gestione o il ripristino dei file di backup che includono Active Directory. L’urgenza che accompagna il recupero delle foreste può portare involontariamente a trascurare le migliori pratiche di sicurezza. Per ulteriori informazioni, vedere la sezione intitolata “Stabilire strategie di backup e ripristino del controller di dominio” nella Guida alle migliori pratiche per la protezione delle installazioni di Active Directory e delle operazioni quotidiane: Parte II.
Identificare la struttura forestale corrente e le funzioni DC
Determinare la struttura forestale corrente identificando tutti i domini nella foresta. Fare un elenco di tutti i DCS in ogni dominio, in particolare i DCS che hanno backup e DCS virtualizzati che possono essere una fonte per la clonazione. Un elenco di DCS per il dominio radice della foresta sarà il più importante perché prima recupererai questo dominio. Dopo aver ripristinato il dominio radice della foresta, è possibile ottenere un elenco degli altri domini, dei DCS e dei siti nella foresta utilizzando gli snap-in di Active Directory.
Prepara una tabella che mostri le funzioni di ogni DC nel dominio, come mostrato nell’esempio seguente. Questo ti aiuterà a tornare alla configurazione pre-errore della foresta dopo il ripristino.
| nome DC | sistema Operativo | FSMO | GC | CONTROLLER | Backup | DNS | Server Core | VM | VM-GenID |
|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | Schema master, master dei nomi di Dominio | Sì | No | Sì | No | No | Sì | Sì |
| DC_2 | Windows Server 2012 | Nessuno | Sì | No | Sì | Sì | No | Sì | Sì |
| DC_3 | Windows Server 2012 | Master Infrastrutture | No | No | No | Sì | Sì | Sì | Sì |
| DC_4 | Windows Server 2012 | emulatore PDC, Master RID | Sì | No | No | No | No | Sì | No |
| DC_5 | Windows Server 2012 | Nessuno | No | No | Sì | Sì | No | Sì | Sì |
| RODC_1 | Windows Server 2008 R2 | Nessuno | Sì | Sì | Sì | Sì | Sì | Sì | No |
| RODC_2 | Windows Server 2008 | Nessuno | Sì | Sì | No | Sì | Sì | Sì | No |
Per ogni dominio della foresta, identificare un singolo scrivibile DC che ha una fiducia di backup del database di Active Directory per il dominio. Prestare attenzione quando si sceglie un backup per ripristinare un DC. Se il giorno e la causa dell’errore sono approssimativamente noti, la raccomandazione generale è di utilizzare un backup effettuato alcuni giorni prima di tale data.
In questo esempio, ci sono quattro candidati di backup: DC_1, DC_2, DC_4 e DC_5. Di questi candidati di backup, si ripristina solo uno. Il DC consigliato è DC_5 per i seguenti motivi:
- Soddisfa i requisiti per utilizzarlo come sorgente per la clonazione DC virtualizzata, ovvero esegue Windows Server 2012 come DC virtuale su un hypervisor che supporta VM-GenerationID, esegue software che può essere clonato (o che può essere rimosso se non è in grado di essere clonato). Dopo il ripristino, il ruolo dell’emulatore PDC verrà sequestrato su quel server e può essere aggiunto al gruppo di controller di dominio clonabili per il dominio.
- Esegue un’installazione completa di Windows Server 2012. Un DC che esegue un’installazione Core del server può essere meno conveniente come destinazione per il ripristino.
- È un server DNS. Pertanto, DNS non deve essere reinstallato.
Nota
Poiché DC_5 non è un server di catalogo globale, presenta anche un vantaggio in quanto il catalogo globale non deve essere rimosso dopo il ripristino. Ma se il DC è anche un server di catalogo globale non è un fattore decisivo perché a partire da Windows Server 2012, tutti i DCS sono server di catalogo globale per impostazione predefinita e la rimozione e l’aggiunta del catalogo globale dopo il ripristino è consigliata come parte del processo di recupero della foresta in ogni caso.
Recuperare la foresta in isolamento
Lo scenario preferito è quello di chiudere tutti i DC scrivibili prima che il primo DC ripristinato venga riportato in produzione. Ciò garantisce che tutti i dati pericolosi non si replichino nella foresta recuperata. È particolarmente importante chiudere tutti i titolari del ruolo principale delle operazioni.
Nota
Ci possono essere casi in cui si sposta il primo DC che si prevede di recuperare per ogni dominio in una rete isolata, consentendo altri DC di rimanere in linea al fine di ridurre al minimo i tempi di inattività del sistema. Ad esempio, se si esegue il ripristino da un aggiornamento dello schema non riuscito, è possibile scegliere di mantenere i controller di dominio in esecuzione sulla rete di produzione mentre si eseguono le fasi di ripristino in modo isolato.
Se si eseguono DCS virtualizzati, è possibile spostarli in una rete virtuale isolata dalla rete di produzione in cui verrà eseguito il ripristino. Lo spostamento di DCS virtualizzati su una rete separata offre due vantaggi:
- I DC recuperati sono impediti dal ripetersi del problema che ha causato il recupero della foresta perché sono isolati.
- La clonazione DC virtualizzata può essere eseguita sulla rete separata in modo che un numero critico di DC possa essere eseguito e testato prima di essere riportato alla rete di produzione.
Se si esegue DCs su hardware fisico, scollegare il cavo di rete del primo DC che si intende ripristinare nel dominio radice della foresta. Se possibile, scollegare anche i cavi di rete di tutti gli altri DCS. Ciò impedisce ai DCS di replicarsi, se vengono avviati accidentalmente durante il processo di recupero della foresta.
In una grande foresta che si sviluppa su più posizioni, può essere difficile garantire che tutti i DCS scrivibili vengano chiusi. Per questo motivo, i passaggi di ripristino, come il ripristino dell’account del computer e dell’account krbtgt, oltre alla pulizia dei metadati, sono progettati per garantire che i DCS scrivibili recuperati non si replichino con DCS scrivibili pericolosi (nel caso in cui alcuni siano ancora online nella foresta).
Tuttavia, solo prendendo DCs scrivibile offline è possibile garantire che la replica non si verifichi. Pertanto, quando possibile, è necessario distribuire la tecnologia di gestione remota che può aiutare a spegnere e isolare fisicamente il DCS scrivibile durante il recupero della foresta.
RODCs può continuare a funzionare mentre i DCS scrivibili sono offline. Nessun altro DC replicherà direttamente le modifiche da qualsiasi RODC, in particolare nessuna modifica dello schema o del contenitore di configurazione, in modo da non comportare lo stesso rischio dei DCS scrivibili durante il ripristino. Dopo che tutti i DCS scrivibili sono stati recuperati e online, dovresti ricostruire tutti i RODC.
RODCS continuerà a consentire l’accesso alle risorse locali memorizzate nella cache nei rispettivi siti mentre le operazioni di ripristino sono in corso in parallelo. Le risorse locali che non sono memorizzate nella cache del RODC avranno richieste di autenticazione inoltrate a un DC scrivibile. Queste richieste falliranno perché i DCS scrivibili non sono in linea. Alcune operazioni come le modifiche della password non funzioneranno fino a quando non si recupera DCS scrivibile.
Se si utilizza un’architettura di rete hub-and-spoke, è possibile concentrarsi innanzitutto sul recupero dei DCS scrivibili nei siti hub. In seguito, è possibile ricostruire i RODC in siti remoti.
- ANNUNCIO di Recupero di una Foresta – Prerequisiti
- ANNUNCIO di Recupero di una Foresta – creazione di un custom foresta di piano di recupero
- ANNUNCIO di Recupero di una Foresta – Identificare il problema
- ANNUNCIO di Recupero di una Foresta – di Determinare come recuperare
- ANNUNCIO di Recupero di una Foresta – Eseguire iniziale di recupero
- ANNUNCIO di Recupero di una Foresta – Procedure
- ANNUNCIO di Recupero di una Foresta – Domande Frequenti
- ANNUNCIO Foresta di Recupero – Ripristino di un Singolo Dominio all’interno di un Multidominio Foresta
- ANNUNCIO di Recupero di una Foresta – Foresta di Ripristino con Windows Server 2003 Controller di Dominio