Realización de la recuperación inicial

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2

Esta sección incluye los siguientes pasos:

Restauración del primer controlador de dominio que se puede escribir en cada dominio

A partir de un controlador de dominio que se puede escribir en el dominio raíz del bosque, complete los pasos de esta sección para restaurar el primer controlador de dominio. El dominio raíz del bosque es importante porque almacena los grupos Administradores de esquema Enterprise administradores. También ayuda a mantener la jerarquía de confianza en el bosque. Además, el dominio raíz del bosque normalmente contiene el servidor raíz DNS para el espacio de nombres DNS del bosque. Por consiguiente, la zona DNS integrada Active Directory para ese dominio contiene los registros de recursos de alias (CNAME) para todos los demás controladores de dominio del bosque (que son necesarios para la replicación) y los registros de recursos DNS del catálogo global.

Después de recuperar el dominio raíz del bosque, repita los mismos pasos para recuperar los dominios restantes del bosque. Puede recuperar más de un dominio simultáneamente. sin embargo, recupere siempre un dominio primario antes de recuperar un elemento secundario para evitar cualquier interrupción en la jerarquía de confianza o la resolución de nombres DNS.

Para cada dominio que recupere, restaure solo un controlador de dominio que se pueda escribir a partir de la copia de seguridad. Esta es la parte más importante de la recuperación porque el controlador de dominio debe tener una base de datos que no se haya visto afectada por lo que haya provocado un error en el bosque. Es importante tener una copia de seguridad de confianza que se prueba exhaustivamente antes de introducirla en el entorno de producción.

Después, lleve a cabo los siguiente pasos. Los procedimientos para realizar determinados pasos se encuentran en Recuperación de bosques de AD: procedimientos.

  1. Si tiene previsto restaurar un servidor físico, asegúrese de que el cable de red del controlador de dominio de destino no está conectado y, por tanto, no está conectado a la red de producción. Para una máquina virtual, puede quitar el adaptador de red o usar un adaptador de red que esté conectado a otra red, donde puede probar el proceso de recuperación mientras está aislado de la red de producción.

  2. Dado que este es el primer controlador de dominio que se puede escribir en el dominio, debe realizar una restauración no autenticativa de AD DS y una restauración autoritativa de SYSVOL. La operación de restauración debe completarse mediante una aplicación de copia de seguridad y restauración compatible con Active Directory, como copia de seguridad del servidor de Windows (es decir, no debe restaurar el controlador de dominio mediante métodos no admitidos, como restaurar una instantánea de máquina virtual).

    • Se requiere una restauración autoritativa de SYSVOL porque la replicación de la carpeta replicada de SYSVOL debe iniciarse después de recuperarse de un desastre. Todos los controladores de dominio posteriores que se agregan al dominio deben resincronizar su carpeta SYSVOL con una copia de la carpeta seleccionada para que sea autoritativa antes de que se pueda anunciar la carpeta.

    Precaución

    Realice una operación de restauración autoritativa (o principal) de SYSVOL solo para el primer controlador de dominio que se va a restaurar en el dominio raíz del bosque. La realización incorrecta de operaciones de restauración principales de SYSVOL en otros centros de datos provoca conflictos de replicación de datos SYSVOL.

    • Hay dos opciones para realizar una restauración no autenticativa de AD DS y una restauración autoritativa de SYSVOL:
    • Realice una recuperación completa del servidor y, a continuación, fuerce una sincronización autoritativa de SYSVOL. Para obtener procedimientos detallados, vea Realizar una recuperación completa del servidor y Realizar una sincronización autoritativa de SYSVOL replicado dfsR.
    • Realice una recuperación completa del servidor seguida de una restauración del estado del sistema. Esta opción requiere que cree ambos tipos de copias de seguridad de antemano: una copia de seguridad completa del servidor y una copia de seguridad de estado del sistema. Para obtener procedimientos detallados, vea Realizar una recuperación completa del servidor y Realizar una restauración noautenticativa de Active Directory Domain Services .
  3. Después de restaurar y reiniciar el controlador de dominio que se puede escribir, compruebe que el error no ha afectado a los datos del controlador de dominio. Si los datos del controlador de dominio están dañados, repita el paso 2 con una copia de seguridad diferente.

    • Si el controlador de dominio restaurado hospeda un rol maestro de operaciones, es posible que tenga que agregar la siguiente entrada del Registro para evitar que AD DS no esté disponible hasta que haya completado la replicación de una partición de directorio que se puede escribir:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Realizar sincronizaciones iniciales

      Cree la entrada con el tipo de datos REG_DWORD y un valor de 0. Una vez recuperado completamente el bosque, puede restablecer el valor de esta entrada en 1, que requiere un controlador de dominio que reinicie y mantenga los roles maestros de operaciones para tener correctamente una replicación entrante y saliente de AD DS con sus asociados de réplica conocidos antes de anunciarse como controlador de dominio y empezar a proporcionar servicios a los clientes. Para obtener más información sobre los requisitos de sincronización iniciales, consulte el artículo de KB 305476.

      Continúe con los pasos siguientes solo después de restaurar y comprobar los datos y antes de unir este equipo a la red de producción.

  4. Si sospecha que el error en todo el bosque está relacionado con intrusiones de red o ataques malintencionados, restablezca las contraseñas de cuenta de todas las cuentas administrativas, incluidos los miembros de los grupos administradores de Enterprise, administradores de dominio, administradores de esquemas, operadores de servidor, grupos de operadores de cuenta, entre otros. El restablecimiento de contraseñas de cuenta administrativa debe completarse antes de que se instalen controladores de dominio adicionales durante la siguiente fase de la recuperación del bosque.

  5. En el primer controlador de dominio restaurado en el dominio raíz del bosque, incauta todos los roles maestros de operaciones en todo el dominio y en todo el bosque. Enterprise credenciales de administradores y administradores de esquema se necesitan para aprovechar los roles maestros de operaciones de todo el bosque.

    En cada dominio secundario, incauta los roles maestros de operaciones de todo el dominio. Aunque puede conservar los roles maestros de operaciones en el controlador de dominio restaurado solo temporalmente, la toma de estos roles le garantiza con respecto a qué controlador de dominio los hospeda en este momento en el proceso de recuperación del bosque. Como parte del proceso posterior a la recuperación, puede redistribuir los roles maestros de operaciones según sea necesario. Para obtener más información sobre cómo aprovechar los roles maestros de operaciones, vea Seizing an operations master role. Para obtener recomendaciones sobre dónde colocar roles maestros de operaciones, vea ¿Qué son los maestros de operaciones?.

  6. Limpie los metadatos de todos los demás controladores de dominio que se pueden escribir en el dominio raíz del bosque que no va a restaurar a partir de la copia de seguridad (todos los controladores de dominio que se pueden escribir en el dominio, excepto este primer controlador de dominio). Si usa la versión de Usuarios y equipos de Active Directory o Active Directory Sites and Services que se incluye con Windows Server 2008 o posterior o RSAT para Windows Vista o versiones posteriores, la limpieza de metadatos se realiza automáticamente al eliminar un objeto de controlador de dominio. Además, el objeto de servidor y el objeto de equipo para el controlador de dominio eliminado también se eliminan automáticamente. Para obtener más información, vea Limpieza de metadatos de los DCs que se pueden escribir eliminados.

    La limpieza de metadatos evita la posible duplicación de objetos ntds-settings si AD DS se instala en un controlador de dominio en un sitio diferente. Potencialmente, esto también podría guardar al Knowledge Consistency Checker (KCC) el proceso de creación de vínculos de replicación cuando los propios DCs podrían no estar presentes. Además, como parte de la limpieza de metadatos, los registros de recursos DNS del localizador de controlador de dominio para todos los demás controladores de dominio del dominio se eliminarán de DNS.

    Hasta que no se quiten los metadatos de todos los demás controladores de dominio del dominio, este controlador de dominio, si fuera un maestro de RID antes de la recuperación, no asumirá el rol maestro de RID y, por tanto, no podrá emitir nuevos RID. Es posible que vea el identificador de evento 16650 en el registro del sistema en Visor de eventos que indica este error, pero debería ver el identificador de evento 16648 que indica que se ha correcto un poco después de limpiar los metadatos.

  7. Si tiene zonas DNS almacenadas en AD DS, asegúrese de que el servicio servidor DNS local está instalado y ejecutándose en el controlador de dominio que ha restaurado. Si este controlador de dominio no era un servidor DNS antes del error del bosque, debe instalar y configurar el servidor DNS.

    Nota

    Si el controlador de dominio restaurado ejecuta Windows Server 2008, debe instalar la revisión en el artículo de KB 975654 o conectar el servidor a una red aislada temporalmente para instalar el servidor DNS. La revisión no es necesaria para ninguna otra versión de Windows Server.

    En el dominio raíz del bosque, configure el controlador de dominio restaurado con su propia dirección IP (o una dirección de bucle atrás, como 127.0.0.1) como su servidor DNS preferido. Puede configurar esta opción en las propiedades TCP/IP del adaptador de red de área local (LAN). Este es el primer servidor DNS del bosque. Para más información, consulte Configuración de TCP/IP para usar DNS.

    En cada dominio secundario, configure el controlador de dominio restaurado con la dirección IP del primer servidor DNS del dominio raíz del bosque como su servidor DNS preferido. Puede configurar esta opción en las propiedades TCP/IP del adaptador DE LAN. Para más información, consulte Configuración de TCP/IP para usar DNS.

    En las zonas _MSDCS y DNS de dominio, elimine los registros NS de controladores de dominio que ya no existen después de la limpieza de metadatos. Compruebe si se han quitado los registros SRV de los DCs limpios. Para ayudar a acelerar la eliminación de registros SRV de DNS, ejecute:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. Aumentar el valor del grupo de RID disponible en 100 000. Para obtener más información, consulte Generación del valor de los grupos de RID disponibles. Si tiene motivos para pensar que aumentar el grupo de RID en 100 000 no es suficiente para su situación concreta, debe determinar el aumento más bajo que todavía es seguro de usar. Los RID son un recurso finito que no se debe usar de forma necesario.

    Si se crearon nuevas entidades de seguridad en el dominio después del momento de la copia de seguridad que se usa para la restauración, estas entidades de seguridad podrían tener derechos de acceso en determinados objetos. Estas entidades de seguridad ya no existen después de la recuperación porque la recuperación ha revertido a la copia de seguridad. sin embargo, sus derechos de acceso pueden seguir existiendo. Si el grupo de RID disponible no se genera después de una restauración, los nuevos objetos de usuario que se crean después de la recuperación del bosque podrían obtener id. de seguridad idénticos (SID) y podrían tener acceso a esos objetos, lo que no estaba previsto originalmente.

    Para ilustrar esto, considere el ejemplo de la nueva empleada llamadaUdia que se mencionó en la introducción. El objeto de usuario para Restore ya no existe después de la operación de restauración porque se creó después de la copia de seguridad que se usó para restaurar el dominio. Sin embargo, los derechos de acceso asignados a ese objeto de usuario pueden persistir después de la operación de restauración. Si el SID de ese objeto de usuario se reasigna a un nuevo objeto después de la operación de restauración, el nuevo objeto obtendría esos derechos de acceso.

  9. Invalide el grupo de RID actual. El grupo de RID actual se invalida después de una restauración del estado del sistema. Pero si no se realizó una restauración de estado del sistema, el grupo de RID actual debe invalidarse para evitar que el controlador de dominio restaurado vuelva a emitir RID desde el grupo de RID que se asignó en el momento en que se creó la copia de seguridad. Para más información, consulte Invalidación del grupo de RID actual.

    Nota

    La primera vez que intente crear un objeto con un SID después de invalidar el grupo de RID, recibirá un error. El intento de crear un objeto desencadena una solicitud para un nuevo grupo de RID. El reintento de la operación se realiza correctamente porque se asignará el nuevo grupo de RID.

  10. Restablezca la contraseña de la cuenta de equipo de este controlador de dominio dos veces. Para obtener más información, vea Restablecer la contraseña de la cuenta de equipo del controlador de dominio.

  11. Restablezca la contraseña krbtgt dos veces. Para obtener más información, vea Restablecer la contraseña krbtgt.

    Dado que el historial de contraseñas krbtgt es de dos contraseñas, restablezca las contraseñas dos veces para quitar la contraseña original (prefailure) del historial de contraseñas.

    Nota

    Si la recuperación del bosque es en respuesta a una infracción de seguridad, también puede restablecer las contraseñas de confianza. Para obtener más información, vea Restablecer una contraseña de confianza en un lado de la relación de confianza.

  12. Si el bosque tiene varios dominios y el controlador de dominio restaurado era un servidor de catálogo global antes del error, desactive la casilla Catálogo global en las propiedades de NTDS Configuración para quitar el catálogo global del controlador de dominio. La excepción a esta regla es el caso común de un bosque con un solo dominio. En este caso, no es necesario quitar el catálogo global. Para obtener más información, vea Eliminación del catálogo global.

    Al restaurar un catálogo global a partir de una copia de seguridad más reciente que otras copias de seguridad que se usan para restaurar los DCs en otros dominios, podría introducir objetos persistentes. Considere el ejemplo siguiente. En el dominio A, DC1 se restaura a partir de una copia de seguridad realizada en el momento T1. En el dominio B, DC2 se restaura a partir de una copia de seguridad del catálogo global realizada en el momento T2. Supongamos que T2 es más reciente que T1 y que algunos objetos se crearon entre T1 y T2. Después de restaurar estos controladores de dominio, DC2, que es un catálogo global, contiene datos más recientes para la réplica parcial del dominio A que el propio dominio A. DC2, en este caso, contiene objetos persistentes porque estos objetos no están presentes en DC1.

    La presencia de objetos persistentes puede provocar problemas. Por ejemplo, es posible que los mensajes de correo electrónico no se entreguen a un usuario cuyo objeto de usuario se movió entre dominios. Después de volver a poner en línea el controlador de dominio obsoleto o el servidor de catálogo global, ambas instancias del objeto de usuario aparecen en el catálogo global. Ambos objetos tienen la misma dirección de correo electrónico; por lo tanto, no se pueden entregar mensajes de correo electrónico.

    Un segundo problema es que una cuenta de usuario que ya no existe puede aparecer en la lista global de direcciones. Un tercer problema es que un grupo universal que ya no existe todavía puede aparecer en el token de acceso de un usuario.

    Si restauró un controlador de dominio que era un catálogo global (ya sea por accidente o porque era la copia de seguridad de confianza confiable), se recomienda evitar la aparición de objetos persistentes deshabilitando el catálogo global poco después de que se complete la operación de restauración. Al deshabilitar la marca de catálogo global, el equipo pierde todas sus réplicas parciales (particiones) y se relega al estado de controlador de dominio normal.

  13. Configure Windows Time Service. En el dominio raíz del bosque, configure el emulador de PDC para sincronizar la hora desde un origen de hora externo. Para obtener más información, vea Configurar el servicio Windows hora en el emulador de PDC en el dominio raíz del bosque.

Volver a conectar cada controlador de dominio que se puede escribir restaurado a una red común

En esta fase debe tener un controlador de dominio restaurado (y pasos de recuperación realizados) en el dominio raíz del bosque y en cada uno de los dominios restantes. Una estos centros de datos a una red común que esté aislada del resto del entorno y complete los pasos siguientes para validar el estado y la replicación del bosque.

Nota

Al unir los DCs físicos a una red aislada, es posible que tenga que cambiar sus direcciones IP. Como resultado, las direcciones IP de los registros DNS serán incorrectas. Dado que un servidor de catálogo global no está disponible, se producirá un error en las actualizaciones dinámicas seguras para DNS. Los DC virtuales son más ventajosos en este caso porque se pueden unir a una nueva red virtual sin cambiar sus direcciones IP. Este es uno de los motivos por los que se recomiendan los controladores de dominio virtuales como los primeros controladores de dominio que se restaurarán durante la recuperación del bosque.

Después de la validación, una los centros de distribución a la red de producción y complete los pasos para comprobar el estado de replicación del bosque.

  • Para corregir la resolución de nombres, cree registros de delegación DNS y configure el reenvío de DNS y las sugerencias raíz según sea necesario. Ejecute repadmin /replsum para comprobar la replicación entre los DCs.
  • Si los DC restaurados no son asociados de replicación directa, la recuperación de la replicación será mucho más rápida mediante la creación de objetos de conexión temporales entre ellos.
  • Para validar la limpieza de metadatos, ejecute Repadmin /viewlist \* para obtener una lista de todos los DCs del bosque. Ejecute Nltest /DCList: dominio para obtener una lista de todos los controladores de dominio del dominio.
  • Para comprobar el estado de DC y DNS, ejecute DCDiag /v para notificar errores en todos los DC del bosque.

Agregar el catálogo global a un controlador de dominio en el dominio raíz del bosque

Se requiere un catálogo global por estos y otros motivos:

  • Para habilitar los inicios de sesión para los usuarios.
  • Para permitir que el servicio Net Logon que se ejecuta en los controladores de dominio de cada dominio secundario registre y quite registros en el servidor DNS del dominio raíz.

Aunque es preferible que el controlador de dominio raíz del bosque se convierta en un catálogo global, es posible elegir cualquiera de los dc restaurados para convertirse en un catálogo global.

Nota

Un controlador de dominio no se anunciará como un servidor de catálogo global hasta que haya completado una sincronización completa de todas las particiones de directorio del bosque. Por lo tanto, el controlador de dominio se debe forzar a replicar con cada uno de los DC restaurados en el bosque.

Supervise el registro de eventos del servicio de directorio en Visor de eventos para el identificador de evento 1119, que indica que este controlador de dominio es un servidor de catálogo global, o compruebe que la siguiente clave del Registro tiene un valor de 1:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Promotion Complete

Para obtener más información, vea Agregar el catálogo global.

En esta fase debe tener un bosque estable, con un controlador de dominio para cada dominio y un catálogo global en el bosque. Debe realizar una nueva copia de seguridad de cada uno de los DCs que acaba de restaurar. Ahora puede empezar a volver a implementar otros controladores de dominio en el bosque instalando AD DS.

Pasos siguientes