- Artículo
- 08/16/2021
- 12 minutos para leer
-
- i
- v
- d
- v
- e
-
+5
se Aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2
La recuperación de un bosque de Active Directory completo implica restaurarlo desde una copia de seguridad o reinstalar los Servicios de dominio de Active Directory (AD DS) en todos los controladores de dominio (DC) del bosque. La recuperación del bosque restaura cada dominio del bosque a su estado en el momento de la última copia de seguridad de confianza. En consecuencia, la operación de restauración resultará en la pérdida de al menos los siguientes datos de Active Directory:
- Todos los objetos (como usuarios y equipos) que se agregaron después de la última copia de seguridad de confianza
- Todas las actualizaciones realizadas en objetos existentes desde la última copia de seguridad de confianza
- Todos los cambios realizados en la partición de configuración o en la partición de esquema de AD DS (como los cambios de esquema) desde la última copia de seguridad de confianza
Para cada dominio del bosque, la contraseña de debe conocerse una cuenta de Administrador de dominio. Preferiblemente, esta es la contraseña de la cuenta de Administrador integrada. También debe conocer la contraseña de DSRM para realizar una restauración del estado del sistema de un DC. En general, es una buena práctica archivar la cuenta de administrador y el historial de contraseñas de DSRM en un lugar seguro mientras las copias de seguridad sean válidas, es decir, dentro del período de vida de tombstone o dentro del período de vida del objeto eliminado si la papelera de reciclaje de Active Directory está habilitada. También puede sincronizar la contraseña de DSRM con una cuenta de usuario de dominio para que sea más fácil de recordar. Para obtener más información, consulte el artículo 961320 de KB. La sincronización de la cuenta DSRM debe hacerse antes de la recuperación del bosque, como parte de la preparación.
Nota
La cuenta de Administrador es miembro del grupo de Administradores integrado de forma predeterminada, al igual que los grupos Administradores de dominio y Administradores de empresa. Este grupo tiene el control total de todos los DCs del dominio.
Determinar qué copias de seguridad usar
Realizar copias de seguridad de al menos dos DCs de escritura para cada dominio de forma regular para que tenga varias copias de seguridad para elegir. Tenga en cuenta que no puede usar la copia de seguridad de un controlador de dominio de solo lectura (RODC) para restaurar un DC grabable. Le recomendamos que restaure el DCs utilizando copias de seguridad que se tomaron unos días antes de que se produjera el error. En general, debe determinar una compensación entre la actualidad y la seguridad de los datos restaurados. La elección de una copia de seguridad más reciente recupera datos más útiles, pero podría aumentar el riesgo de reintroducir datos peligrosos en el bosque restaurado.
La restauración de copias de seguridad del estado del sistema depende del sistema operativo y el servidor originales de la copia de seguridad. Por ejemplo, no debe restaurar una copia de seguridad del estado del sistema en un servidor diferente. En este caso, puede ver la siguiente advertencia:
«La copia de seguridad especificada es de un servidor diferente al actual. No recomendamos realizar una recuperación del estado del sistema con la copia de seguridad en un servidor alternativo porque el servidor podría quedar inutilizable. ¿Está seguro de que desea utilizar esta copia de seguridad para recuperar el servidor actual?»
Si necesita restaurar Active Directory a un hardware diferente, cree copias de seguridad de servidor completas y planee realizar una recuperación de servidor completa.
Importante
A partir de Windows Server 2008, no se admite restaurar la copia de seguridad del estado del sistema en una nueva instalación de Windows Server en hardware nuevo o en el mismo hardware. Si Windows Server se reinstala en el mismo hardware, como se recomienda más adelante en esta guía, puede restaurar el controlador de dominio en este orden:
- Realice una restauración completa del servidor para restaurar el sistema operativo y todos los archivos y aplicaciones.
- Realice una restauración del estado del sistema utilizando wbadmin.exe para marcar SYSVOL como autoritativo.
Para obtener más información, consulte el artículo 249694 de Microsoft KB.
Si se desconoce la hora en que se produjo el error, investigue más a fondo para identificar copias de seguridad que contengan el último estado seguro del bosque. Este enfoque es menos deseable. Por lo tanto, le recomendamos encarecidamente que mantenga registros detallados sobre el estado de mantenimiento de AD DS a diario para que, si se produce un error en todo el bosque, se pueda identificar el momento aproximado del error. También debe conservar una copia local de las copias de seguridad para permitir una recuperación más rápida.
Si la papelera de reciclaje de Active Directory está habilitada, la duración de la copia de seguridad es igual al valor deletedObjectLifetime o al valor tombstoneLifetime, el que sea menor. Para obtener más información, consulte Guía Paso a paso de la papelera de reciclaje de Active Directory (https://go.microsoft.com/fwlink/?LinkId=178657).
Como alternativa, también puede utilizar la herramienta de montaje de base de datos de Active Directory (Dsamain.exe) y una herramienta ligera de Protocolo de Acceso a Directorios (LDAP), como Ldp.Usuarios y equipos de exe o Active Directory, para identificar qué copia de seguridad tiene el último estado seguro del bosque. La herramienta de montaje de base de datos de Active Directory, que se incluye en los sistemas operativos Windows Server 2008 y versiones posteriores de Windows Server, expone los datos de Active Directory que se almacenan en copias de seguridad o instantáneas como un servidor LDAP. A continuación, puede utilizar una herramienta LDAP para explorar los datos. Este enfoque tiene la ventaja de que no es necesario reiniciar ningún DC en el Modo de restauración de Servicios de directorio (DSRM) para examinar el contenido de la copia de seguridad de AD DS.
Para obtener más información sobre el uso de la herramienta de montaje de la base de datos de Active Directory, consulte la Guía Paso a paso de la Herramienta de montaje de la base de datos de Active Directory.
También puede usar el comando ntdsutil snapshot para crear instantáneas de la base de datos de Active Directory. Al programar una tarea para crear instantáneas periódicamente, puede obtener copias adicionales de la base de datos de Active Directory con el tiempo. Puede usar estas copias para identificar mejor cuándo se produjo el error en todo el bosque y, a continuación, elegir la mejor copia de seguridad para restaurar. Para crear instantáneas, utilice la versión de ntdsutil que se incluye con Windows Server 2008 o las Herramientas de Administración remota de servidores (RSAT) para Windows Vista o posterior. El DC de destino puede ejecutar cualquier versión de Windows Server. Para obtener más información sobre el uso del comando ntdsutil snapshot, consulte Snapshot.
Determinar qué controladores de dominio restaurar
La facilidad del proceso de restauración es un factor importante a la hora de decidir qué controlador de dominio restaurar. Se recomienda tener un DC dedicado para cada dominio que sea el DC preferido para una restauración. Un DC de restauración dedicado facilita la planificación y ejecución confiables de la recuperación del bosque porque utiliza la misma configuración de origen que se utilizó para realizar pruebas de restauración. Puede crear scripts para la recuperación y no lidiar con diferentes configuraciones, como si el DC tiene roles maestros de operaciones o no, o si se trata de un servidor GC o DNS o no.
Nota
Si bien no se recomienda restaurar un titular de rol de maestro de operaciones en aras de la simplicidad, algunas organizaciones pueden optar por restaurar uno para obtener otras ventajas. Por ejemplo, restaurar el maestro RID puede ayudar a evitar problemas con la gestión de los RID durante la recuperación.
Elija un DC que cumpla mejor con los siguientes criterios:
-
Un DC que se puede escribir. Esto es obligatorio.
-
Un DC que ejecuta Windows Server 2012 como máquina virtual en un hipervisor que admite VM-GenerationID. Este DC se puede utilizar como fuente para la clonación.
-
Un DC accesible, ya sea físicamente o en una red virtual, y preferiblemente ubicado en un centro de datos. De esta manera, puede aislarlo fácilmente de la red durante la recuperación del bosque.
-
Un DC que tiene una buena copia de seguridad de servidor completa. Una buena copia de seguridad es una copia de seguridad que se puede restaurar con éxito, se tomó unos días antes del fallo y contiene la mayor cantidad de datos útiles posible.
-
Un DC que era un servidor de Sistema de Nombres de Dominio (DNS) antes del fallo. Esto ahorra el tiempo necesario para reinstalar DNS.
-
Si también usa Servicios de implementación de Windows, elija un DC que no esté configurado para usar Desbloqueo de red de BitLocker. En este caso, no se admite el desbloqueo de red de BitLocker para usarlo en el primer DC que restaure desde la copia de seguridad durante la recuperación de un bosque.
El desbloqueo de red de BitLocker como único protector de claves no se puede usar en DCs donde haya implementado Servicios de implementación de Windows (WDS) porque al hacerlo, se produce un escenario en el que el primer DC requiere que Active Directory y WDS funcionen para desbloquearlo. Pero antes de restaurar el primer DC, Active Directory aún no está disponible para WDS, por lo que no se puede desbloquear.
Para determinar si un DC está configurado para usar Desbloqueo de red de BitLocker, compruebe que se ha identificado un certificado de desbloqueo de red en la siguiente clave de registro:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Mantenga los procedimientos de seguridad al manejar o restaurar archivos de copia de seguridad que incluyen Active Directory. La urgencia que acompaña a la recuperación forestal puede llevar involuntariamente a pasar por alto las mejores prácticas de seguridad. Para obtener más información, consulte la sección titulada «Establecimiento de Estrategias de Copia de seguridad y Restauración de Controladores de dominio» en la Guía de Prácticas recomendadas para Proteger las Instalaciones de Active Directory y las Operaciones Cotidianas: Parte II.
Identifique la estructura del bosque actual y las funciones de CC
Determine la estructura del bosque actual identificando todos los dominios del bosque. Haga una lista de todos los DCs de cada dominio, en particular los DCs que tienen copias de seguridad, y los DCs virtualizados que pueden ser una fuente para la clonación. Una lista de DCs para el dominio raíz del bosque será lo más importante porque primero recuperará este dominio. Después de restaurar el dominio raíz del bosque, puede obtener una lista de los demás dominios, DCs y sitios del bosque mediante complementos de Active Directory.
Prepare una tabla que muestre las funciones de cada DC en el dominio, como se muestra en el siguiente ejemplo. Esto le ayudará a volver a la configuración previa al fallo del bosque después de la recuperación.
nombre de DC | sistema Operativo | FSMO | GC | RODC | Copia de seguridad | DNS | Server Core | VM | VM-GenID |
---|---|---|---|---|---|---|---|---|---|
DC_1 | Windows Server 2012 | maestro de Esquema, maestro de nombres de Dominio | Sí | No | Sí | No | No | Sí | Sí |
DC_2 | Windows Server 2012 | Ninguno | Sí | No | Sí | Sí | No | Sí | Sí |
DC_3 | Windows Server 2012 | Maestro de Infraestructura | No | No | No | Sí | Sí | Sí | Sí |
DC_4 | Windows Server 2012 | emulador de PDC, Maestro de RID | Sí | No | No | No | No | Sí | No |
DC_5 | Windows Server 2012 | Ninguno | No | No | Sí | Sí | No | Sí | Sí |
RODC_1 | Windows Server 2008 R2 | Ninguno | Sí | Sí | Sí | Sí | Sí | Sí | No |
RODC_2 | Windows Server 2008 | Ninguno | Sí | Sí | No | Sí | Sí | Sí | No |
Para cada dominio en el bosque, identificar una sola escritura de la DC que tiene una confianza de copia de seguridad de la base de datos Active Directory para ese dominio. Tenga cuidado al elegir una copia de seguridad para restaurar un DC. Si el día y la causa de la falla se conocen aproximadamente, la recomendación general es usar una copia de seguridad que se hizo unos días antes de esa fecha.
En este ejemplo, hay cuatro candidatos de respaldo: DC_1, DC_2, DC_4 y DC_5. De estos candidatos de respaldo, solo restaura uno. El DC recomendado es DC_5 por las siguientes razones:
- Cumple los requisitos para usarlo como fuente para la clonación de CC virtualizada, es decir, ejecuta Windows Server 2012 como CC virtual en un hipervisor que admite VM-GenerationID, ejecuta software que se puede clonar (o que se puede quitar si no se puede clonar). Después de la restauración, el rol de emulador de PDC se asignará a ese servidor y se podrá agregar al grupo de Controladores de dominio Clonables para el dominio.
- Ejecuta una instalación completa de Windows Server 2012. Un DC que ejecuta una instalación de Server Core puede ser menos conveniente como destino para la recuperación.
- Es un servidor DNS. Por lo tanto, no es necesario reinstalar DNS.
Nota
Porque DC_5 no es un servidor de catálogo global, también tiene la ventaja de que el catálogo global no necesitan ser removidos después de la restauración. Pero el hecho de que el DC sea o no un servidor de catálogo global no es un factor decisivo, ya que a partir de Windows Server 2012, todos los DCS son servidores de catálogo global de forma predeterminada, y se recomienda eliminar y agregar el catálogo global después de la restauración como parte del proceso de recuperación del bosque en cualquier caso.
Recuperar el bosque de forma aislada
El escenario preferido es apagar todos los DC grabables antes de que el primer DC restaurado vuelva a entrar en producción. Esto garantiza que los datos peligrosos no se reproduzcan de nuevo en el bosque recuperado. Es particularmente importante cerrar todos los titulares de roles de maestro de operaciones.
Nota
Puede haber casos en los que mueva el primer DC que planea recuperar para cada dominio a una red aislada mientras permite que otros DC permanezcan en línea para minimizar el tiempo de inactividad del sistema. Por ejemplo, si se está recuperando de una actualización de esquema fallida, puede optar por mantener los controladores de dominio en ejecución en la red de producción mientras realiza los pasos de recuperación de forma aislada.
Si ejecuta DCs virtualizado, puede moverlos a una red virtual aislada de la red de producción donde realizará la recuperación. Mover DCs virtualizado a una red separada proporciona dos beneficios:
- Se impide que los CC recuperados vuelvan a ocurrir el problema que causó la recuperación de los bosques porque están aislados.
- La clonación de CC virtualizada se puede realizar en la red separada para que se pueda ejecutar y probar un número crítico de CC antes de volver a la red de producción.
Si está ejecutando DCs en hardware físico, desconecte el cable de red del primer DC que planea restaurar en el dominio raíz del bosque. Si es posible, desconecte también los cables de red de todos los demás DCs. Esto evita que los DCS se replicen, si se inician accidentalmente durante el proceso de recuperación del bosque.
En un bosque grande que se extiende por múltiples ubicaciones, puede ser difícil garantizar que todos los DCs escribibles se cierren. Por esta razón, los pasos de recuperación, como el restablecimiento de la cuenta de equipo y la cuenta krbtgt, además de la limpieza de metadatos, están diseñados para garantizar que los DCS recuperables de escritura no se replicen con DCs peligrosos de escritura (en caso de que algunos aún estén en línea en el bosque).
Sin embargo, solo al desconectar DCs grabable puede garantizar que no se produzca la replicación. Por lo tanto, siempre que sea posible, debe implementar tecnología de administración remota que pueda ayudarlo a apagar y aislar físicamente el DCs grabable durante la recuperación del bosque.
Los RODCs pueden seguir funcionando mientras los DCs grabables están desconectados. Ningún otro DC replicará directamente ningún cambio de ningún RODC, especialmente, ningún cambio de esquema o contenedor de configuración, por lo que no representan el mismo riesgo que los DCs grabables durante la recuperación. Después de que todos los DCs grabables se recuperen y estén en línea, debe reconstruir todos los RODCs.
Los RODC seguirán permitiendo el acceso a los recursos locales almacenados en caché en sus respectivos sitios mientras las operaciones de recuperación se llevan a cabo en paralelo. Los recursos locales que no se almacenan en caché en el RODC tendrán solicitudes de autenticación reenviadas a un DC con capacidad de escritura. Estas solicitudes fallarán porque los DCs que se pueden escribir están desconectados. Algunas operaciones, como los cambios de contraseña, tampoco funcionarán hasta que recupere los DCs de escritura.
Si está utilizando una arquitectura de red de hub y radio, puede concentrarse primero en recuperar los DCs grabables en los sitios de hub. Más tarde, puede reconstruir los RODC en sitios remotos.
- Recuperación Forestal AD – Requisitos previos
- Recuperación Forestal AD – Diseñar un plan de recuperación forestal personalizado
- Recuperación Forestal AD – Identificar el problema
- Recuperación Forestal AD – Determinar cómo recuperar
- Recuperación Forestal AD – Realizar la recuperación inicial
- Recuperación Forestal AD – Procedimientos
- Recuperación del Bosque de AD – Preguntas frecuentes
- Recuperación del Bosque de AD – Recuperación de un solo Dominio dentro de un Bosque Multidominio
- Recuperación del Bosque de AD – Recuperación del Bosque con Controladores de dominio de Windows Server 2003