Recuperación de bosques de Active Directory: recuperación de un único dominio dentro de un bosque de varios dominios

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y 2012

En ciertas ocasiones, puede que sea necesario recuperar solo un dominio dentro de un bosque que tenga varios, en lugar de una recuperación del bosque completo. En este tema se tratan las consideraciones para recuperar un dominio único y las posibles estrategias.

De forma similar al proceso de recuperación del bosque, se restauran uno o varios controladores de dominio de la copia de seguridad en el dominio y se realiza la limpieza de metadatos de los controladores de dominio restantes. A continuación, se agregan nuevos controladores de dominio mediante la unión de nuevos miembros, la instalación de roles de AD DS y su promoción. También puede usar Clonación de controlador de dominio o Instalar desde medios para la tarea.

La recuperación de un dominio único presenta un desafío exclusivo para volver a generar servidores de catálogo global (GC). Por ejemplo, si el primer controlador de dominio (DC) del dominio se restaura a partir de una copia de seguridad que se creó una semana antes, todos los demás catálogos globales del bosque tendrán datos más actualizados para ese dominio que el controlador de dominio restaurado. Para volver a establecer la coherencia de los datos del catálogo global, hay un par de opciones:

  • Anule el hospedaje de la partición de dominios recuperados de todos los catálogos globales del bosque, excepto los del dominio recuperado. Al mismo tiempo y una vez completados, vuelva a hospedar todos los catálogos globales del bosque. Asegúrese también de no sobrecargar los catálogos globales restantes. En entornos grandes, coordinar esta actividad podría resultar muy complejo.

  • Siga el proceso de recuperación del bosque para recuperar el dominio y, a continuación, quite los objetos persistentes de los catálogos globales de otros dominios.

En las secciones siguientes se proporcionan los aspectos generales de cada opción. El conjunto completo de pasos que se deben realizar para la recuperación variará para los distintos entornos de Active Directory.

Volver a crear cuentas de servicio administradas de grupo (gMSA)

Advertencia

Si los objetos KDS Root Key del bosque estaban en peligro, deberá volver a crear las cuentas de gMSA en varios dominios, incluso si el propio dominio no estaba en peligro.

El problema y la resolución se tratan en Cómo recuperarse de un ataque Golden gMSA.

Deberá impedir que un atacante use datos recopilados de una copia de seguridad de controlador de dominio robada para autenticarse mediante credenciales calculadas de gMSA. Reemplace todos los gMSA de los dominios del bosque que usen los objetos KDS Root Key expuestos, por cuentas de gMSA mediante un nuevo objeto KDS Root Key. El procedimiento se describe en Introducción a las cuentas de servicio administradas de grupo con algunos cambios importantes:

  • Deshabilite todas las cuentas de gMSA existentes, establezca el atributo userAccountControl en 4098 (tipo de estación de trabajo + deshabilitado).

  • Cree un nuevo objeto KDS Root Key, tal y como se describe en Crear KDS Root Key de servicios de distribución de claves.

    Importante

    Reinicie el servicio de distribución de claves de Microsoft (KDSSVC) en el mismo controlador de dominio. Esto es necesario para que KDSSVC recoja el nuevo objeto. Cree nuevas cuentas de gMSA para reemplazar las cuentas existentes en el mismo controlador de dominio. En este momento, edite la cuenta de gMSA existente, ya que los nombres de entidad de seguridad de servicio únicos deben asignarse a la gMSA activa.

  • Después de que los servidores miembros se vuelvan a unir al dominio, actualice los componentes que usaron gMSA con las nuevas cuentas.

Para asegurarse de que la nueva gMSA use el nuevo objeto KDS Root Key, compruebe que los datos binarios msDS-ManagedPasswordId del atributo tienen el GUID del objeto de KDS Root Key coincidente. El objeto tendría el CN de CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6.

gmsa cn value

msDS-ManagedPasswordId de la gMSA debería tener el GUID desde el desplazamiento 24 con las tres primeras partes del GUID en orden intercambiado por bytes (rojo, verde y azul) y el resto en orden de bytes normal (naranja):

guid with color coding

Si la primera gMSA se creó con la nueva KDS Root Key, todas las creaciones posteriores de gMSA serán correctas.

Limpieza

  • Elimine las cuentas de gMSA antiguas que usaron los objetos de KDS Root Key antiguos.
  • Elimine los objetos de KDS Root Key antiguos.

Rehospedaje de todos los catálogos globales

Advertencia

El nombre de inicio de sesión y la contraseña de la cuenta de usuario de administrador de dominio predeterminada (“RID-500”) para todos los dominios deben estar disponibles y las cuentas habilitadas para su uso en caso de incidencias que impidieran el acceso a un catálogo global para el inicio de sesión.

Nota:

Para permitir el inicio de sesión sin la comprobación de catálogo global, también es posible configurar el valor de HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures en 1.

Si fuera desconocido, obtenga elidentificador de dominiomediante whoami /all para otra cuenta de cada dominio o ejecute el siguiente comando para identificar el RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Se pueden volver a hospedar todos los catálogos globales mediante los comandos repadmin /unhost y repadmin /rehost (parte de repadmin /experthelp). Debe ejecutar los comandos repadmin en todos los catálogos globales de cada dominio que no se recupere. Debe asegurarse de que todos los catálogos globales ya no contengan una copia del dominio recuperado. Para ello, anule el hospedaje primero de la partición de dominio de todos los controladores de dominio de todos los dominios no recuperados del bosque. Como todos los catálogos globales ya no contienen la partición, puede volver a hospedarla. Al volver a hospedar, considere la estructura de sitio y replicación del bosque. Por ejemplo, finalice el rehospedaje de un controlador de dominio por sitio antes de volver a hospedar los otros controladores de dominio de ese sitio.

Esta opción puede ser ventajosa para una organización pequeña que solo tiene unos pocos controladores de dominio para cada dominio. Todos los catálogos globales se podrían volver a generar un viernes por la noche y, si es necesario, completar la replicación de todas las particiones de dominio de solo lectura antes del lunes por la mañana. Sin embargo, si necesitase recuperar un dominio grande que abarque sitios de todo el mundo, volver a hospedar la partición de dominios de solo lectura en todos los catálogos globales de otros dominios podría afectar significativamente a las operaciones y, posiblemente, requerir un tiempo de inactividad.

Buscar y quitar objetos persistentes

En los catálogos globales de todos los demás dominios del bosque, compruebe y quite los objetos potencialmente persistentes para la partición de solo lectura del dominio recuperado.

El origen de la limpieza de objetos persistentes debe ser un controlador de dominio del dominio recuperado. Para asegurarse de que el controlador de dominio de origen no tenga ningún objeto persistente para ninguna partición de dominio, puede eliminar el catálogo global.

La eliminación de objetos persistentes resulta ventajosa para organizaciones más grandes que no pueden arriesgar el tiempo de interoperabilidad asociado al rehospedaje del contexto de nomenclatura de dominio.

Para obtener más información, consulte Uso de repadmin para eliminar objetos persistentes.

Pasos siguientes