Determinación de cómo recuperar el bosque

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2

La recuperación de un bosque Active Directory implica restaurarlo desde la copia de seguridad o reinstalar Active Directory Domain Services (AD DS) en cada controlador de dominio (DC) del bosque. La recuperación del bosque restaura cada dominio del bosque a su estado en el momento de la última copia de seguridad de confianza. Por lo tanto, la operación de restauración provocará la pérdida de al menos los siguientes Active Directory datos:

  • Todos los objetos (como usuarios y equipos) que se agregaron después de la última copia de seguridad de confianza
  • Todas las actualizaciones realizadas en objetos existentes desde la última copia de seguridad de confianza
  • Todos los cambios realizados en la partición de configuración o en la partición de esquema en AD DS (como cambios de esquema) desde la última copia de seguridad de confianza

Para cada dominio del bosque, se debe conocer la contraseña de una cuenta de administrador de dominio. Preferiblemente, esta es la contraseña de la cuenta de administrador integrada. También debe conocer la contraseña de DSRM para realizar una restauración del estado del sistema de un controlador de dominio. En general, es un procedimiento recomendado archivar la cuenta de administrador y el historial de contraseñas de DSRM en un lugar seguro siempre y cuando las copias de seguridad sean válidas, es decir, dentro del período de vigencia del objeto eliminado o dentro del período de duración del objeto eliminado si Active Directory papelera de reciclaje está habilitado. También puede sincronizar la contraseña de DSRM con una cuenta de usuario de dominio para que sea más fácil de recordar. Para más información, consulte el artículo de KB 961320. La sincronización de la cuenta de DSRM debe realizarse antes de la recuperación del bosque, como parte de la preparación.

Nota:

La cuenta de administrador es miembro del grupo de administradores integrado de forma predeterminada, al igual que los grupos Administradores de dominio Enterprise administradores. Este grupo tiene control total de todos los controladores de dominio del dominio.

Determinación de las copias de seguridad que se usarán

Haga una copia de seguridad de al menos dos controladores de dominio que se puedan escribir para cada dominio con regularidad, de modo que tenga varias copias de seguridad entre las que elegir. Tenga en cuenta que no puede usar la copia de seguridad de un controlador de dominio de solo lectura (RODC) para restaurar un controlador de dominio que se puede escribir. Se recomienda restaurar los DCs mediante copias de seguridad realizadas unos días antes de que se produzca el error. En general, debe determinar un equilibrio entre la reciente y la seguridad de los datos restaurados. La elección de una copia de seguridad más reciente recupera datos más útiles, pero podría aumentar el riesgo de volver a introducir datos peligrosos en el bosque restaurado.

La restauración de copias de seguridad de estado del sistema depende del sistema operativo original y del servidor de la copia de seguridad. Por ejemplo, no debe restaurar una copia de seguridad del estado del sistema en otro servidor. En este caso, es posible que vea la advertencia siguiente:

"La copia de seguridad especificada es de un servidor diferente al actual. No se recomienda realizar una recuperación del estado del sistema con la copia de seguridad en un servidor alternativo porque el servidor podría quedar inutilizable. ¿Está seguro de que desea usar esta copia de seguridad para recuperar el servidor actual?"

Si necesita restaurar el Active Directory hardware diferente, cree copias de seguridad completas del servidor y planee realizar una recuperación completa del servidor.

Importante

A partir de Windows Server 2008, no se admite la restauración de la copia de seguridad del estado del sistema en una nueva instalación de Windows Server en hardware nuevo o en el mismo hardware. Si Windows Server se vuelve a instalar en el mismo hardware, como se recomienda más adelante en esta guía, puede restaurar el controlador de dominio en este orden:

  1. Realice una restauración completa del servidor para restaurar el sistema operativo y todos los archivos y aplicaciones.
  2. Realice una restauración del estado del sistema mediante wbadmin.exe para marcar SYSVOL como autoritativo.

Para más información, consulte el artículo de Microsoft KB 249694.

Si se desconoce la hora en que se produce el error, investigue más para identificar las copias de seguridad que tienen el último estado seguro del bosque. Este enfoque es menos deseable. Por lo tanto, se recomienda encarecidamente mantener registros detallados sobre el estado de mantenimiento de AD DS a diario para que, si se produce un error en todo el bosque, se pueda identificar la hora aproximada del error. También debe mantener una copia local de copias de seguridad para permitir una recuperación más rápida.

Si Active Directory papelera de reciclaje está habilitado, la duración de la copia de seguridad es igual al valor deletedObjectLifetime o al valor tombstoneLifetime , lo que sea menor. Para obtener más información, Active Directory papelera de reciclaje guía paso a paso ().

Como alternativa, también puede usar la herramienta de montaje de bases de datos de Active Directory (Dsamain.exe) y una herramienta protocolo ligero de acceso a directorios (LDAP), como Ldp.exe o Usuarios y equipos de Active Directory, para identificar qué copia de seguridad tiene el último estado seguro del bosque. La herramienta de montaje de base de datos Active Directory, que se incluye en los sistemas operativos de Windows Server 2008 y versiones posteriores de Windows Server, expone datos de Active Directory almacenados en copias de seguridad o instantáneas como un servidor LDAP. A continuación, puede usar una herramienta LDAP para examinar los datos. Este enfoque tiene la ventaja de no requerir que reinicie ningún controlador de dominio en Modo de restauración de servicios de directorio (DSRM) para examinar el contenido de la copia de seguridad de AD DS.

Para obtener más información sobre el uso de la Active Directory de montaje de bases de datos, consulte la guía paso a paso de Active Directory database mounting tool (Guía paso a paso de la herramienta de montaje de bases de datos).

También puede usar el comando ntdsutil snapshot para crear instantáneas de la base de Active Directory datos. Al programar una tarea para crear instantáneas periódicamente, puede obtener copias adicionales de la base de datos Active Directory a lo largo del tiempo. Puede usar estas copias para identificar mejor cuándo se produjo el error en todo el bosque y, a continuación, elegir la mejor copia de seguridad para restaurar. Para crear instantáneas, use la versión de ntdsutil que se incluye con Windows Server 2008 o Herramientas de administración remota del servidor (RSAT) para Windows Vista o versiones posteriores. El controlador de dominio de destino puede ejecutar cualquier versión de Windows Server. Para obtener más información sobre el uso del comando ntdsutil snapshot , vea Instantánea.

Determinar qué controladores de dominio se restaurarán

La facilidad del proceso de restauración es un factor importante a la hora de decidir qué controlador de dominio restaurar. Se recomienda tener un controlador de dominio dedicado para cada dominio que sea el controlador de dominio preferido para una restauración. Un controlador de dominio de restauración dedicado facilita planear y ejecutar de forma confiable la recuperación del bosque porque se usa la misma configuración de origen que se usó para realizar pruebas de restauración. Puede crear scripts para la recuperación y no enfrentarse a configuraciones diferentes, como si el controlador de dominio tiene roles maestros de operaciones o no, o si es un servidor GC o DNS o no.

Nota

Aunque no se recomienda restaurar un titular de roles de maestro de operaciones por motivos de simplicidad, algunas organizaciones pueden optar por restaurar uno por otras ventajas. Por ejemplo, restaurar el maestro rid puede ayudar a evitar problemas con la administración de RID durante la recuperación.

Elija un controlador de dominio que cumpla mejor los criterios siguientes:

  • Controlador de dominio que se puede escribir. Esto es necesario.

  • Un controlador de dominio Windows Server 2012 como una máquina virtual en un hipervisor que admite VM-GenerationID. Este controlador de dominio se puede usar como origen para la clonación.

  • Un controlador de dominio accesible, ya sea físicamente o en una red virtual, y preferiblemente ubicado en un centro de datos. De este modo, puede aislarla fácilmente de la red durante la recuperación del bosque.

  • Un controlador de dominio que tenga una buena copia de seguridad completa del servidor. Una buena copia de seguridad es una copia de seguridad que se puede restaurar correctamente, se ha realizado unos días antes del error y contiene tantos datos útiles como sea posible.

  • Un controlador de dominio que era un servidor del Sistema de nombres de dominio (DNS) antes del error. Esto ahorra el tiempo necesario para volver a instalar DNS.

  • Si también usa servicios Windows implementación, elija un controlador de dominio que no esté configurado para usar el desbloqueo de red de BitLocker. En este caso, no se admite el desbloqueo de red de BitLocker para usarse para el primer controlador de dominio que restaure desde la copia de seguridad durante una recuperación de bosque.

    El desbloqueo de red de BitLocker como único protector de clave no se puede usar en controladores de dominio en los que haya implementado Windows Deployment Services (WDS), ya que esto da como resultado un escenario en el que el primer controlador de dominio requiere que Active Directory y WDS funcionen para desbloquear. Pero antes de restaurar el primer controlador de dominio, Active Directory aún no está disponible para WDS, por lo que no se puede desbloquear.

    Para determinar si un controlador de dominio está configurado para usar el desbloqueo de red de BitLocker, compruebe que se identifica un certificado de desbloqueo de red en la siguiente clave del Registro:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Mantenga los procedimientos de seguridad al controlar o restaurar archivos de copia de seguridad que incluyan Active Directory. La urgencia que acompaña a la recuperación de bosques puede dar lugar involuntariamente a procedimientos recomendados de seguridad inexplicados. Para obtener más información, vea la sección titulada "Establecimiento de estrategias de copia de seguridad y restauración del controlador de dominio" en La Guía de procedimientos recomendados para proteger las instalaciones de Active Directory y las operaciones diarias : Parte II.

Identificar la estructura de bosque actual y las funciones de controlador de dominio

Determine la estructura del bosque actual mediante la identificación de todos los dominios del bosque. Haga una lista de todos los controladores de dominio de cada dominio, especialmente los controladores de dominio que tienen copias de seguridad, y los controladores de dominio virtualizados que pueden ser un origen para la clonación. Una lista de controladores de dominio para el dominio raíz del bosque será el más importante, ya que primero recuperará este dominio. Después de restaurar el dominio raíz del bosque, puede obtener una lista de los demás dominios, controladores de dominio y los sitios del bosque mediante Active Directory complementos.

Prepare una tabla que muestre las funciones de cada controlador de dominio del dominio, como se muestra en el ejemplo siguiente. Esto le ayudará a revertir a la configuración previa al error del bosque después de la recuperación.

Nombre del controlador de dominio Sistema operativo FSMO GC RODC Backup DNS Server Core máquina virtual VM-GenID
DC_1 Windows Server 2012 Maestro de esquema, maestro de nomenclatura de dominio No No No
DC_2 Windows Server 2012 None No No
DC_3 Windows Server 2012 Maestro de infraestructura No No No
DC_4 Windows Server 2012 Emulador de PDC, maestro rid No No No No No
DC_5 Windows Server 2012 Ninguno No No No
RODC_1 Windows Server 2008 R2 None No
RODC_2 Windows Server 2008 None No No

Para cada dominio del bosque, identifique un único controlador de dominio que se pueda escribir que tenga una copia de seguridad de confianza de la base de Active Directory de datos para ese dominio. Tenga cuidado al elegir una copia de seguridad para restaurar un controlador de dominio. Si el día y la causa del error se conocen aproximadamente, la recomendación general es usar una copia de seguridad realizada unos días antes de esa fecha.

En este ejemplo, hay cuatro candidatos de copia de seguridad: DC_1, DC_2, DC_4 y DC_5. De estos candidatos de copia de seguridad, solo se restaura uno. El controlador de dominio recomendado DC_5 por los siguientes motivos:

  • Cumple los requisitos para usarlo como origen para la clonación de dc virtualizado, es decir, ejecuta Windows Server 2012 como un controlador de dominio virtual en un hipervisor que admite VM-GenerationID, ejecuta software que se puede clonar (o que se puede quitar si no se puede clonar). Después de la restauración, el rol de emulador de PDC se aprovechará en ese servidor y se puede agregar al grupo Controladores de dominio clonables para el dominio.
  • Ejecuta una instalación completa de Windows Server 2012. Un controlador de dominio que ejecuta una instalación de Server Core puede ser menos cómodo como destino de recuperación.
  • Es un servidor DNS. Por lo tanto, no es necesario volver a instalar DNS.

Nota:

Dado DC_5 no es un servidor de catálogo global, también tiene una ventaja en que no es necesario quitar el catálogo global después de la restauración. Pero el hecho de que el controlador de dominio también sea o no un servidor de catálogo global no es un factor determinante porque, a partir de Windows Server 2012, todos los dc son servidores de catálogo global de forma predeterminada y, en cualquier caso, se recomienda quitar y agregar el catálogo global después de la restauración como parte del proceso de recuperación del bosque.

Recuperación del bosque de forma aislada

El escenario preferido es apagar todos los dc que se pueden escribir antes de que el primer controlador de dominio restaurado vuelva a producción. Esto garantiza que los datos peligrosos no se replican de nuevo en el bosque recuperado. Es especialmente importante apagar todos los titulares de roles maestros de operaciones.

Nota:

Puede haber casos en los que mueva el primer controlador de dominio que planea recuperar para cada dominio a una red aislada, al tiempo que permite que otros controladores de dominio permanezcan en línea para minimizar el tiempo de inactividad del sistema. Por ejemplo, si va a recuperarse de una actualización de esquema con errores, puede optar por mantener los controladores de dominio en ejecución en la red de producción mientras realiza los pasos de recuperación de forma aislada.

Si ejecuta los DCs virtualizados, puede moverlos a una red virtual aislada de la red de producción donde realizará la recuperación. Mover los equipos de dominio virtualizados a una red independiente proporciona dos ventajas:

  • Se impide que los DCs recuperados vuelvan a producirse del problema que provocó la recuperación del bosque porque están aislados.
  • La clonación de controlador de dominio virtualizado se puede realizar en la red independiente para que se pueda ejecutar y probar un número crítico de DC antes de que se vuelvan a la red de producción.

Si ejecuta controladores de dominio en hardware físico, desconecte el cable de red del primer controlador de dominio que planea restaurar en el dominio raíz del bosque. Si es posible, desconecte también los cables de red de todos los demás DCs. Esto evita que los DCs se re replican, si se inician accidentalmente durante el proceso de recuperación del bosque.

En un bosque grande que se distribuye entre varias ubicaciones, puede ser difícil garantizar que se apaguen todos los centros de datos que se pueden escribir. Por esta razón, los pasos de recuperación, como restablecer la cuenta de equipo y la cuenta krbtgt, además de la limpieza de metadatos, están diseñados para garantizar que los DCs que se pueden escribir recuperados no se repliquen con DCs de escritura peligrosos (en caso de que algunos estén aún en línea en el bosque).

Sin embargo, solo si se desconectan los DCs que se pueden escribir, se puede garantizar que no se produzca la replicación. Por lo tanto, siempre que sea posible, debe implementar tecnología de administración remota que pueda ayudarle a apagar y aislar físicamente los DCs que se pueden escribir durante la recuperación del bosque.

Los RODC pueden seguir funcionando mientras los DCs que se pueden escribir están sin conexión. Ningún otro controlador de dominio replicará directamente los cambios de ningún RODC(especialmente, ningún cambio de esquema o contenedor de configuración), por lo que no suponen el mismo riesgo que los DC que se pueden escribir durante la recuperación. Una vez recuperados y en línea todos los DCs que se pueden escribir, debe volver a generar todos los RODC.

Los RODC seguirán permitir el acceso a los recursos locales que se almacenan en caché en sus respectivos sitios mientras las operaciones de recuperación se están haciendo en paralelo. Los recursos locales que no se almacenan en caché en el RODC tendrán solicitudes de autenticación reenviadas a un controlador de dominio que se pueda escribir. Estas solicitudes producirán un error porque los DCs que se pueden escribir están sin conexión. Algunas operaciones, como los cambios de contraseña, tampoco funcionarán hasta que se recuperen los DCs que se pueden escribir.

Si usa una arquitectura de red de concentrador y radio, puede concentrarse primero en recuperar los centros de distribución que se pueden escribir en los sitios del centro. Más adelante, puede volver a generar los RODC en sitios remotos.

Pasos a seguir