Eseguire il ripristino iniziale

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e 2012 R2, Windows Server 2008 e 2008 R2

Questa sezione è costituita dai passaggi seguenti:

Ripristinare il primo controller di dominio scrivibile in ogni dominio

A partire da un controller di dominio scrivibile nel dominio radice della foresta, completare i passaggi descritti in questa sezione per ripristinare il primo controller di dominio. Il dominio radice della foresta è importante perché archivia i gruppi Schema Admins e Enterprise Admins. Consente inoltre di mantenere la gerarchia di trust nella foresta. Inoltre, il dominio radice della foresta contiene in genere il server radice DNS per lo spazio dei nomi DNS della foresta. Di conseguenza, la zona DNS integrata di Active Directory per tale dominio contiene i record di risorse alias (CNAME) per tutti gli altri controller di dominio nella foresta (necessari per la replica) e i record di risorse DNS del catalogo – globale.

Dopo aver ripristinato il dominio radice della foresta, ripetere gli stessi passaggi per ripristinare i domini rimanenti nella foresta. È possibile ripristinare più di un dominio contemporaneamente. Tuttavia, ripristinare sempre un dominio padre prima di ripristinare un elemento figlio per evitare interruzioni nella gerarchia di trust o nella risoluzione dei nomi DNS.

Per ogni dominio ripristinato, ripristinare un solo controller di dominio scrivibile dal backup. Questa è la parte più importante del ripristino perché il controller di dominio deve avere un database che non è stato influenzato da ciò che ha causato l'errore della foresta. È importante avere un backup attendibile che venga testato accuratamente prima di essere introdotto nell'ambiente di produzione.

Quindi, eseguire i passaggi seguenti. Le procedure per l'esecuzione di determinati passaggi sono disponibili in Ad Forest Recovery - Procedures.

  1. Se si prevede di ripristinare un server fisico, assicurarsi che il cavo di rete del controller di dominio di destinazione non sia collegato e pertanto non sia connesso alla rete di produzione. Per una macchina virtuale, è possibile rimuovere la scheda di rete o usare una scheda di rete collegata a un'altra rete in cui è possibile testare il processo di ripristino mentre è isolato dalla rete di produzione.

  2. Poiché si tratta del primo controller di dominio scrivibile nel dominio, è necessario eseguire un ripristino non autorevole di Servizi di dominio Active Directory e un ripristino autorevole di SYSVOL. L'operazione di ripristino deve essere completata usando un'applicazione di backup e ripristino in grado di riconoscere Active Directory, ad esempio backup del server Windows, ovvero non ripristinare il controller di dominio usando metodi non supportati, ad esempio il ripristino di uno snapshot di macchina virtuale.

    • È necessario un ripristino autorevole di SYSVOL perché la replica della cartella replicata SYSVOL deve essere avviata dopo il ripristino di emergenza. Tutti i controller di dominio successivi aggiunti nel dominio devono risincronizzare la cartella SYSVOL con una copia della cartella selezionata come autorevole prima che la cartella possa essere annunciata.

    Attenzione

    Eseguire un'operazione di ripristino autorevole (o primaria) di SYSVOL solo per il primo controller di dominio da ripristinare nel dominio radice della foresta. L'esecuzione non corretta di operazioni di ripristino primarie di SYSVOL in altri controller di dominio causa conflitti di replica dei dati SYSVOL.

    • Sono disponibili due opzioni per eseguire un ripristino non autorevole di Servizi di dominio Active Directory e un ripristino autorevole di SYSVOL:
    • Eseguire un ripristino completo del server e quindi forzare una sincronizzazione autorevole di SYSVOL. Per procedure dettagliate, vedere Esecuzione di un ripristino completo del server ed Eseguire una sincronizzazione autorevole di SYSVOL replicata da DFSR.
    • Eseguire un ripristino completo del server seguito da un ripristino dello stato del sistema. Questa opzione richiede di creare in anticipo entrambi i tipi di backup: un backup completo del server e un backup dello stato del sistema. Per procedure dettagliate, vedere Esecuzione di un ripristino completo del server e Esecuzione di un ripristino non autorevole di Active Directory Domain Services.
  3. Dopo aver ripristinato e riavviato il controller di dominio scrivibile, verificare che l'errore non influisca sui dati nel controller di dominio. Se i dati del controller di dominio sono danneggiati, ripetere il passaggio 2 con un backup diverso.

    • Se il controller di dominio ripristinato ospita un ruolo master operazioni, potrebbe essere necessario aggiungere la voce del Registro di sistema seguente per evitare che Servizi di dominio Active Directory non sia disponibile fino al completamento della replica di una partizione di directory scrivibile:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Eseguire sincronizzazioni iniziali

      Creare la voce con il tipo di dati REG_DWORD e il valore 0. Dopo aver ripristinato completamente la foresta, è possibile reimpostare il valore di questa voce su 1,che richiede un controller di dominio che riavvia e mantiene i ruoli di master operazioni per la corretta replica in ingresso e in uscita di Servizi di dominio Active Directory con i partner di replica noti prima di annunciarsi come controller di dominio e iniziare a fornire servizi ai client. Per altre informazioni sui requisiti di sincronizzazione iniziali, vedere l'articolo della Knowledge Base 305476.

      Continuare con i passaggi successivi solo dopo aver ripristinato e verificato i dati e prima di aggiungere il computer alla rete di produzione.

  4. Se si sospetta che l'errore a livello di foresta sia correlato a intrusioni di rete o attacchi dannosi, reimpostare le password dell'account per tutti gli account amministrativi, inclusi i membri dei gruppi Enterprise Admins, Domain Admins, Schema Admins, Server Operators, Account Operators e così via. La reimpostazione delle password degli account amministrativi deve essere completata prima dell'installazione di controller di dominio aggiuntivi durante la fase successiva del ripristino della foresta.

  5. Nel primo controller di dominio ripristinato nel dominio radice della foresta, sezionare tutti i ruoli di master operazioni a livello di dominio e a livello di foresta. Enterprise credenziali admins e schema admins sono necessarie per il controllo dei ruoli di master operazioni a livello di foresta.

    In ogni dominio figlio, creare ruoli di master operazioni a livello di dominio. Anche se è possibile mantenere i ruoli di master operazioni solo temporaneamente nel controller di dominio ripristinato, il controllo di questi ruoli garantisce il controller di dominio che li ospita a questo punto del processo di ripristino della foresta. Come parte del processo di post-ripristino, è possibile ridistribuire i ruoli di master operazioni in base alle esigenze. Per altre informazioni sul ridimensionamento dei ruoli master operazioni, vedere Seizing an operations master role. Per consigli su dove posizionare i ruoli di master operazioni, vedere Che cosa sono i master operazioni?.

  6. Pulire i metadati di tutti gli altri controller di dominio scrivibili nel dominio radice della foresta che non si sta ripristinando dal backup (tutti i controller di dominio scrivibili nel dominio, ad eccezione di questo primo controller di dominio). Se si usa la versione di Utenti e computer di Active Directory o Siti e servizi di Active Directory inclusa in Windows Server 2008 o versioni successive o RSAT per Windows Vista o versioni successive, la pulizia dei metadati viene eseguita automaticamente quando si elimina un oggetto controller di dominio. Inoltre, vengono eliminati automaticamente anche l'oggetto server e l'oggetto computer per il controller di dominio eliminato. Per altre informazioni, vedere Pulizia dei metadati dei controller di dominio scrivibili rimossi.

    La pulizia dei metadati impedisce la possibile duplicazione degli oggetti ntDS-settings se Servizi di dominio Active Directory è installato in un controller di dominio in un sito diverso. Potenzialmente, questo potrebbe anche salvare il controllo di coerenza delle informazioni (KCC, Knowledge Consistency Checker) nel processo di creazione dei collegamenti di replica quando i controller di dominio stessi potrebbero non essere presenti. Inoltre, come parte della pulizia dei metadati, i record di risorse DNS dc locator per tutti gli altri controller di dominio nel dominio verranno eliminati dal DNS.

    Finché i metadati di tutti gli altri controller di dominio nel dominio non vengono rimossi, questo controller di dominio, se si tratta di un master RID prima del ripristino, non assumerà il ruolo master RID e pertanto non sarà in grado di rilasciare nuovi RID. Potrebbe essere visualizzato l'ID evento 16650 nel registro di sistema nel Visualizzatore eventi che indica l'errore, ma dovrebbe essere visualizzato l'ID evento 16648 che indica l'esito positivo poco dopo la pulizia dei metadati.

  7. Se si dispone di zone DNS archiviate in Servizi di dominio Active Directory, assicurarsi che il servizio Server DNS locale sia installato e in esecuzione nel controller di dominio ripristinato. Se questo controller di dominio non era un server DNS prima dell'errore della foresta, è necessario installare e configurare il server DNS.

    Nota

    Se il controller di dominio ripristinato viene eseguito Windows Server 2008, è necessario installare l'hotfix nell'articolo della Knowledge Base 975654 o connettere temporaneamente il server a una rete isolata per installare il server DNS. L'hotfix non è necessario per altre versioni di Windows Server.

    Nel dominio radice della foresta configurare il controller di dominio ripristinato con il proprio indirizzo IP (o un indirizzo di loopback, ad esempio 127.0.0.1) come server DNS preferito. È possibile configurare questa impostazione nelle proprietà TCP/IP della scheda di rete locale (LAN). Si tratta del primo server DNS nella foresta. Per altre informazioni, vedere Configurare TCP/IP per l'uso di DNS.

    In ogni dominio figlio configurare il controller di dominio ripristinato con l'indirizzo IP del primo server DNS nel dominio radice della foresta come server DNS preferito. È possibile configurare questa impostazione nelle proprietà TCP/IP della scheda LAN. Per altre informazioni, vedere Configurare TCP/IP per l'uso di DNS.

    Nelle zone DNS _msdcs dominio eliminare i record NS dei controller di dominio che non esistono più dopo la pulizia dei metadati. Controllare se i record SRV dei controller di dominio puliti sono stati rimossi. Per velocizzare la rimozione dei record DNS SRV, eseguire:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. Aumentare il valore del pool di RID disponibili di 100.000. Per altre informazioni, vedere Aumento del valore dei pool di RID disponibili. Se si ha motivo di ritiene che l'aumento del pool di RID di 100.000 non sia sufficiente per la situazione specifica, è necessario determinare l'aumento più basso che è ancora sicuro da usare. I RID sono una risorsa finita che non deve essere usata in modo inutile.

    Se sono state create nuove entità di sicurezza nel dominio dopo l'ora del backup utilizzato per il ripristino, queste entità di sicurezza potrebbero avere diritti di accesso per determinati oggetti. Queste entità di sicurezza non esistono più dopo il ripristino perché il ripristino è stato ripristinato al backup. Tuttavia, i diritti di accesso potrebbero ancora esistere. Se il pool di RID disponibili non viene generato dopo un ripristino, i nuovi oggetti utente creati dopo il ripristino della foresta potrebbero ottenere ID di sicurezza (SID) identici e potrebbero avere accesso a tali oggetti, che non erano originariamente destinati.

    Per illustrare, si consideri l'esempio del nuovo dipendente denominato Amy menzionato nell'introduzione. L'oggetto utente per Amy non esiste più dopo l'operazione di ripristino perché è stato creato dopo il backup usato per ripristinare il dominio. Tuttavia, tutti i diritti di accesso assegnati a tale oggetto utente potrebbero persistere dopo l'operazione di ripristino. Se il SID per tale oggetto utente viene riassegnato a un nuovo oggetto dopo l'operazione di ripristino, il nuovo oggetto o ottiene tali diritti di accesso.

  9. Invalidare il pool di RID corrente. Il pool di RID corrente viene invalidato dopo un ripristino dello stato del sistema. Se tuttavia non è stato eseguito un ripristino dello stato del sistema, il pool di RID corrente deve essere invalidato per impedire al controller di dominio ripristinato di riemettere rid rid dal pool rid assegnato al momento della creazione del backup. Per altre informazioni, vedere Invalidating the current RID pool.

    Nota

    La prima volta che si tenta di creare un oggetto con un SID dopo aver invalidato il pool di RID, si riceverà un errore. Il tentativo di creare un oggetto attiva una richiesta per un nuovo pool di RID. Il nuovo tentativo dell'operazione ha esito positivo perché verrà allocato il nuovo pool di RID.

  10. Reimpostare la password dell'account computer di questo controller di dominio due volte. Per altre informazioni, vedere Reimpostazione della password dell'account computer del controller di dominio.

  11. Reimpostare la password krbtgt due volte. Per altre informazioni, vedere Reimpostazione della password krbtgt.

    Poiché la cronologia delle password krbtgt è di due password, reimpostare le password due volte per rimuovere la password originale (prefailure) dalla cronologia delle password.

    Nota

    Se il ripristino della foresta è in risposta a una violazione della sicurezza, è anche possibile reimpostare le password di attendibilità. Per altre informazioni, vedere Reimpostazione di una password di trust su un lato del trust.

  12. Se la foresta ha più domini e il controller di dominio ripristinato era un server di catalogo globale prima dell'errore, deselezionare la casella di controllo Catalogo globale nelle proprietà di NTDS Impostazioni per rimuovere il catalogo globale dal controller di dominio. L'eccezione a questa regola è il caso comune di una foresta con un solo dominio. In questo caso, non è necessario rimuovere il catalogo globale. Per altre informazioni, vedere Rimozione del catalogo globale.

    Ripristinando un catalogo globale da un backup più recente rispetto ad altri backup usati per ripristinare i controller di dominio in altri domini, è possibile introdurre oggetti residui. Si consideri l'esempio seguente. Nel dominio A, DC1 viene ripristinato da un backup eseguito al momento T1. Nel dominio B DC2 viene ripristinato da un backup del catalogo globale eseguito al momento T2. Si supponga che T2 sia più recente di T1 e che alcuni oggetti sono stati creati tra T1 e T2. Dopo il ripristino di questi controller di dominio, DC2, che è un catalogo globale, contiene i dati più nuovi per la replica parziale del dominio A rispetto al dominio A stesso. DC2, in questo caso, contiene oggetti residui perché questi oggetti non sono presenti in DC1.

    La presenza di oggetti residui può causare problemi. Ad esempio, i messaggi di posta elettronica potrebbero non essere recapitati a un utente il cui oggetto utente è stato spostato tra domini. Dopo aver portato online il controller di dominio obsoleto o il server di catalogo globale, entrambe le istanze dell'oggetto utente vengono visualizzate nel catalogo globale. Entrambi gli oggetti hanno lo stesso indirizzo di posta elettronica. Pertanto, i messaggi di posta elettronica non possono essere recapitati.

    Un secondo problema è che un account utente che non esiste più potrebbe ancora essere visualizzato nell'elenco indirizzi globale. Un terzo problema è che un gruppo universale che non esiste più potrebbe ancora essere visualizzato nel token di accesso di un utente.

    Se è stato ripristinato un controller di dominio che era un catalogo globale inavvertitamente o perché si tratta del backup solitario considerato attendibile, è consigliabile evitare la presenza di oggetti residui disabilitando il catalogo globale subito dopo il completamento dell'operazione di —— ripristino. La disabilitazione del flag del catalogo globale comporterà la perdita di tutte le repliche parziali (partizioni) del computer e la retrocessione dello stato normale del controller di dominio.

  13. Configurare Windows time service. Nel dominio radice della foresta configurare l'emulatore PDC per sincronizzare l'ora da un'origine ora esterna. Per altre informazioni, vedere Configurare il servizio Ora Windows nell'emulatore PDC nel dominio radice della foresta.

Riconnettere ogni controller di dominio scrivibile ripristinato a una rete comune

In questa fase è necessario ripristinare un controller di dominio (e vengono eseguiti i passaggi di ripristino) nel dominio radice della foresta e in ognuno dei domini rimanenti. Aggiungere questi controller di dominio a una rete comune isolata dal resto dell'ambiente e completare i passaggi seguenti per convalidare l'integrità e la replica della foresta.

Nota

Quando si uniscono i controller di dominio fisici a una rete isolata, potrebbe essere necessario modificarne gli indirizzi IP. Di conseguenza, gli indirizzi IP dei record DNS non saranno validi. Poiché un server di catalogo globale non è disponibile, gli aggiornamenti dinamici sicuri per DNS avranno esito negativo. I controller di dominio virtuali sono più vantaggiosi in questo caso perché possono essere aggiunti a una nuova rete virtuale senza modificare gli indirizzi IP. Questo è uno dei motivi per cui i controller di dominio virtuali sono consigliati come primi controller di dominio da ripristinare durante il ripristino della foresta.

Dopo la convalida, aggiungere i controller di dominio alla rete di produzione e completare i passaggi per verificare l'integrità della replica della foresta.

  • Per correggere la risoluzione dei nomi, creare record di delega DNS e configurare l'inoltro DNS e gli hint radice in base alle esigenze. Eseguire repadmin /replsum per controllare la replica tra controller di dominio.
  • Se i controller di dominio ripristinati non sono partner di replica diretta, il ripristino della replica sarà molto più veloce creando oggetti di connessione temporanei tra di essi.
  • Per convalidare la pulizia dei metadati, eseguire Repadmin /viewlist \* per un elenco di tutti i controller di dominio nella foresta. Eseguire Nltest /DCList: dominio per un elenco di tutti i controller di dominio nel dominio.
  • Per controllare l'integrità di CONTROLLER e DNS, eseguire DCDiag /v per segnalare gli errori in tutti i controller di dominio nella foresta.

Aggiungere il catalogo globale a un controller di dominio nel dominio radice della foresta

Per questi e altri motivi è necessario un catalogo globale:

  • Per abilitare gli accessi per gli utenti.
  • Per abilitare il servizio Accesso rete in esecuzione nei controller di dominio in ogni dominio figlio per registrare e rimuovere record nel server DNS nel dominio radice.

Anche se è preferibile che il controller di dominio radice della foresta diventi un catalogo globale, è possibile scegliere uno dei controller di dominio ripristinati per diventare un catalogo globale.

Nota

Un controller di dominio non verrà annunciato come server di catalogo globale finché non ha completato una sincronizzazione completa di tutte le partizioni di directory nella foresta. Pertanto, è necessario forzare la replica del controller di dominio con ognuno dei controller di dominio ripristinati nella foresta.

Monitorare il registro eventi del servizio directory nel Visualizzatore eventi per l'ID evento 1119, che indica che questo controller di dominio è un server di catalogo globale, oppure verificare che il valore della chiave del Registro di sistema seguente sia 1:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Promotion Complete

Per altre informazioni, vedere Aggiunta del catalogo globale.

In questa fase dovrebbe essere presente una foresta stabile, con un controller di dominio per ogni dominio e un catalogo globale nella foresta. È necessario eseguire un nuovo backup di ognuno dei controller di dominio appena ripristinati. È ora possibile iniziare a ridistribuire altri controller di dominio nella foresta installando Servizi di dominio Active Directory.

Passaggi successivi