Recuperación de bosques de Active Directory: identificar el problema

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y 2012

Cuando aparecen síntomas de un error en todo el bosque, como en registros de eventos u otras soluciones de supervisión, trabaje con el Soporte técnico de Microsoft para determinar la causa del error y evaluar las posibles soluciones.

[IMPORTANTE] Esta guía no cubre las recomendaciones de seguridad sobre cómo recuperar un bosque que ha sido hackeado o del que se ha vulnerado la seguridad. En general, se recomienda seguir los procedimientos recomendados para proteger Active Directory y las técnicas de mitigación pass-the-hash para proteger el entorno. Para más información, consulte Mitigación de ataques Pass-the-Hash (PtH) and otras técnicas de robo de credenciales.

Ejemplos de errores en todo el bosque

• Todos los controladores de dominio está dañados lógicamente o físicamente hasta un punto en que la continuidad de negocio es imposible; por ejemplo, todas las aplicaciones de negocio que dependen de AD DS no son funcionales.
• Un administrador no autorizado ha puesto en peligro el entorno de Active Directory.
• Un atacante, o accidentalmente un administrador, ejecuta un script que extiende datos dañados por todo el bosque.
• Un atacante, o accidentalmente un administrador, amplía el esquema de Active Directory con cambios malintencionados o conflictivos.
• El contenido o una copia de seguridad de un controlador de dominio se ha expuesto a una entidad externa, pero no se han usado credenciales filtradas para modificar los datos de AD. En este caso, es posible que no necesite restaurar la base de datos de AD a partir de la copia de seguridad y volver a instalar todos los controladores de dominio. Es posible que deba restablecer todas las contraseñas de usuarios, equipos, confianzas y (g)cuentas de MSA.
• Un atacante ha instalado software malintencionado en los controladores de dominio, y el Soporte técnico de Microsoft le ha aconsejado que recuperara el bosque desde una copia de seguridad.
• Ninguno de los controladores de dominio puede replicarse con sus asociados de replicación.
• No se pueden realizar cambios en AD DS en ningún controlador de dominio.
• Los nuevos controladores de dominio no se pueden instalar en ningún dominio.

Pasos siguientes

• Recuperación del bosque de AD: requisitos previos
• Recuperación de bosques de AD: diseñar un plan de recuperación de bosques personalizado
• Recuperación de bosques de AD: pasos para restaurar el bosque
• Recuperación del bosque de AD: identificar el problema
• Recuperación del bosque de AD: determinar cómo realizar la recuperación
• Recuperación del bosque de AD: realizar una recuperación inicial
• Recuperación del bosque de AD: procedimientos
• Recuperación de bosques de AD: preguntas más frecuentes (P+F)
• Recuperación de bosques de AD: recuperación de un único dominio dentro de un bosque de varios dominios
• Recuperación de bosques de AD: volver a implementar los controladores de dominio restantes
• Recuperación del bosque de AD: virtualización
• Recuperación de bosques de AD: limpieza