Restaurar Active Directory desde una copia de seguridad

En este artículo, mostraremos cómo restaurar el controlador de dominio de Active Directory a partir de una copia de seguridad del estado del sistema creada anteriormente (consulte el artículo Copia de seguridad de Active Directory) y discutiremos los tipos y principios de la recuperación de AD DC.

Suponga que su controlador de dominio de AD ha fallado y desea restaurarlo desde una copia de seguridad. Antes de comenzar a restaurar su DC, debe comprender qué escenario usar. Depende de si tiene otros controladores de dominio en su red y del estado de la base de datos de Active Directory en ellos.

¿Cómo restaurar un controlador de dominio mediante la replicación?

La recuperación de DC a través de la replicación de AD estándar no es una restauración de un DC a partir de una copia de seguridad. Puede utilizar este escenario si tiene varios controladores de dominio en la red de su empresa y todos están operativos. Este escenario implica la instalación de un nuevo servidor con su posterior promoción a un nuevo controlador de dominio ADDS en el mismo sitio. El antiguo DC simplemente se elimina de AD.

Es la forma más sencilla que no está relacionada con ningún cambio de AD irreversible. En este escenario, la base de datos ntds.dit, los archivos de GPO y el contenido de la carpeta SYSVOL se replicarán automáticamente en el nuevo controlador de dominio desde los controladores de dominio que permanecieron en línea.

Si la base de datos ADDS es pequeña y hay otro DC disponible a través de un enlace de red de alta velocidad, el método descrito anteriormente es más rápido que restaurar un DC a partir de una copia de seguridad.

Tipos de restauración de Active Directory: autorizado y no autorizado

Hay dos tipos de restauración de Active Directory DC a partir de una copia de seguridad que debe comprender claramente antes de intentar realizarla:

  • Restauración autorizada – una vez que haya restaurado sus objetos de AD, la replicación se realiza desde el DC restaurado a todos los demás controladores de dominio. Este tipo de restauración se utiliza en situaciones en las que un único controlador de dominio o todos los controladores de dominio han fallado al mismo tiempo (por ejemplo, después de un ransomware o ataque de virus) o una base de datos NTDS.DIT ​​dañada se ha replicado en un dominio. En este modo el USN El valor (Número de secuencia de actualización) de todos los objetos de AD restaurados aumenta en 100.000. Por lo tanto, los controladores de dominio verán todos los objetos restaurados como nuevos y se replicarán en el dominio. ¡Utilice la restauración autorizada con mucho cuidado!
    En la restauración autorizada, perderá la mayoría de los cambios de AD realizados después de haber creado su copia de seguridad (membresía del grupo de AD, atributos de Exchange, etc.).
  • Restauración no autorizada – después de que haya restaurado su base de datos de AD, el controlador informa a otros DC que se ha restaurado a partir de una copia de seguridad y necesita los últimos cambios de AD (se crea un nuevo ID de invocación de DSA para el DC). Puede utilizar este método de recuperación en sitios remotos cuando sea difícil replicar rápidamente una gran base de datos de AD a través de un canal WAN lento o si tenía algunos datos o aplicaciones importantes en su servidor.

Restaurar el controlador de dominio de Active Directory desde una copia de seguridad del estado del sistema

Supongamos que solo tiene un DC en su dominio. Por alguna razón, un servidor físico en el que se estaba ejecutando falló.

Tiene un estado del sistema relativamente reciente de su controlador de dominio y desea restaurar Active Directory en un servidor nuevo mediante la restauración autorizada.

Para iniciar la restauración de DC, debe instalar la misma versión de Windows Server que tenía en un DC fallido. Instala el AGREGA rol (no lo configure) y Copia de seguridad de Windows Server característica en el servidor de Windows que acaba de instalar.

instalar la función de copia de seguridad de Windows Server

Para restaurar su Active Directory, debe iniciar el servidor en el DSRM (Modo de restauración de servicios de directorio). Para hacerlo, corre msconfig y seleccione la opción Safe Boot -> Reparación de Active Directory en el Bota pestaña.

inicie su servidor en un modo de reparación de Active Directory (DSRM

Reinicie su servidor. Arrancará en el DSRM. Ejecute la copia de seguridad de Windows Server (wbadmin) y seleccione Recuperar en el menú de la derecha.
ejecutar el asistente de recuperación en la herramienta de copia de seguridad del servidor de Windows
En el Asistente de recuperación, marque ‘Una copia de seguridad almacenada en otra ubicación.
Copia de seguridad del servidor de Windows: restaure una copia de seguridad almacenada en otra ubicación
A continuación, seleccione el disco en el que se almacena la copia de seguridad del antiguo controlador de dominio AD o especifique la ruta UNC al mismo.

Para que WSB vea su copia de seguridad en el disco, coloque el Copia de seguridad de imágenes de Windows directorio con su copia de seguridad en la carpeta de la unidad raíz. Puede asegurarse de que haya copias de seguridad en su disco usando este comando:
wbadmin get versions -backupTarget:D:

Seleccione la fecha de la copia de seguridad que se utilizará para la recuperación.
seleccione la fecha de copia de seguridad de CC
Cheque Estado del sistema para restaurarlo.
recuperar la copia de seguridad del estado del sistema en el controlador de dominio del directorio activo
Seleccione Ubicación original y comprueba Realizar una restauración autorizada de archivos de Active Directory.
Realizar una restauración autorizada de archivos de Active Directory
El sistema mostrará una advertencia de que se trata de otra copia de seguridad del servidor y, si se recupera en un servidor diferente, es posible que no funcione. Haga clic en Aceptar.
la copia de seguridad especificada en un servidor diferente al actual
Acepte otra advertencia también:

Windows Server Backup
Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.

Copia de seguridad de Windows Server Nota: esta opción de recuperación hará que el contenido replicado en el servidor local se vuelva a sincronizar después de la recuperación. Esto puede causar posibles problemas de latencia o interrupción.
Luego, se iniciará el proceso de recuperación del controlador de dominio AD en un nuevo servidor. Cuando termine, el servidor requerirá un reinicio (el nombre del nuevo servidor se cambiará al nombre de host DC de la copia de seguridad).
Windows Server Backup Recovery Ad Estado del sistema del controlador de dominio
Arranque el servidor en el modo normal (desactive el DSRM usando msconfig).

Inicie sesión en el servidor utilizando una cuenta con privilegios de administrador de dominio.

Cuando ejecuté la consola de usuarios y equipos de Active Directory (ADUC) por primera vez, recibí el siguiente error:

Active Directory Domain Services
Naming information cannot be located for the following reason:
The server is not operational.

La información de nombres de los servicios de dominio de Active Directory no se puede localizar por el siguiente motivo: El servidor no está operativo.

No había carpetas SYSVOL y NETLOGON en el controlador de dominio restaurado. Para corregir este error:

  1. Ejecute regedit.exe;
  2. Ir a la clave de registro HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Netlogon Parameters;
  3. Cambiar el SysvolReady valor de 0 a 1; dc registro SysvolReady establecido en 1
  4. Luego reinicie el NetLogon Servicio: net stop netlogon & net start netlogon

Intente abrir ADUC nuevamente. Verá la estructura de su dominio.
objetos publicitarios recuperados en el directorio activo
Así que ha recuperado con éxito su controlador de dominio AD en el Restauración autorizada modo. Luego, todos los objetos de Active Directory se replicarán automáticamente en otros controladores de dominio.

Si le queda el único DC, asegúrese de que posee los 5 roles de FSMO y consígalos si es necesario.

¿Cómo restaurar objetos AD separados de una copia de seguridad?

Si desea restaurar objetos específicos de AD, utilice el Papelera de reciclaje de Active Directory. Si la vida útil de desecho ya ha expirado o la Papelera de reciclaje de Active Directory no está habilitada, puede recuperar objetos de AD separados mediante el modo de restauración autorizada.

En resumen, el procedimiento tiene los siguientes pasos:

  1. Inicie el DC en el modo DSRM;
  2. Muestre la lista de copias de seguridad disponibles: wbadmin get versions
  3. Inicie la recuperación de la copia de seguridad seleccionada: wbadmin start systemstaterecovery –version:[your_version]
  4. Confirme la restauración de DC (en el modo no autorizado)
  5. Después del reinicio, ejecute el ntdsutil
  6. activate instance ntds
  7. authoritative restore

Especifique la ruta LDAPl completa al objeto que desea restaurar. Puede restaurar la unidad organizativa completa:

restore subtree ″OU=Users,DC=woshub,DC=com″

O un solo objeto AD:

restore object “cn=Test,OU=Users,DC=woshub,DC=com”

ntdsutil autoritario restaurar un solo objeto de anuncio

Este comando denegará la replicación de los objetos especificados (rutas) de otros controladores de dominio y aumentará el USN del objeto en 100.000.

Salga de ntdsutil: quit

Inicie el DC en el modo normal y asegúrese de que el objeto se haya restaurado.

Artículos Interesantes