Ripristino foresta Active Directory - Ripristinare un singolo dominio in una foresta multidominio

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e 2012

In alcuni scenari, potrebbe essere necessario ripristinare solo un singolo dominio all'interno di una foresta con più domini, anziché un ripristino completo della foresta. Questo argomento illustra le considerazioni relative al recupero di un singolo dominio e alle possibili strategie.

Analogamente al processo di ripristino della foresta, è possibile ripristinare uno o più controller di dominio dal backup nel dominio ed eseguire la pulizia dei metadati dei controller di dominio rimanenti. I nuovi controller di dominio vengono quindi aggiunti inserendo nuovi membri, installando i ruoli di Active Directory Domain Services e promuovendoli. Inoltre, è possibile usare Clonazione controller di dominio o Installazione da supporti per l'attività.

Un ripristino a singolo dominio presenta una sfida univoca per la ricompilazione dei server del catalogo globale (GC). Se ad esempio il primo controller di dominio (DC) per il dominio viene ripristinato da un backup creato una settimana prima, tutti gli altri cataloghi globali nella foresta avranno dati più aggiornati per tale dominio rispetto al controller di dominio ripristinato. Per ristabilire la coerenza dei dati GC, sono disponibili due opzioni:

• Annullare l'hosting della partizione dei domini ripristinati da tutti i controller di dominio nella foresta, ad eccezione di quelli nel dominio ripristinato, contemporaneamente e una volta completati, eseguire il rehosting di tutti i controller di dominio nella foresta. Assicurarsi anche di non eseguire l'overload dei controller di dominio rimanenti. In ambienti di grandi dimensioni, il coordinamento di questa attività può essere molto complesso.

• Seguire il processo di ripristino della foresta per ripristinare il dominio e quindi rimuovere gli oggetti persistenti dai controller di dominio in altri domini.

Le sezioni seguenti forniscono considerazioni generali per ogni opzione. Il set completo di passaggi da eseguire per il ripristino varia a seconda degli ambienti Active Directory.

Ricreare Account dei servizi gestiti di gruppo (gMSA)

Avviso

Se gli oggetti chiave radice KDS nella foresta sono stati compromessi, è necessario ricreare gli account dei servizi gestiti di gruppo in più domini, anche se il dominio stesso non è stato compromesso.

Il problema e la risoluzione sono descritti in Come ripristinare da un attacco Golden gMSA.

È necessario impedire a un utente malintenzionato di usare i dati raccolti da un backup del controller di dominio sottratto per eseguire l'autenticazione usando credenziali calcolate dell'account del servizio gestito di gruppo. Sostituire tutti gli account del servizio gestito di gruppo nei domini della foresta che usano gli oggetti chiave radice KDS esposti, con account del servizio gestito di gruppo usando un nuovo oggetto chiave radice KDS. La procedura è descritta in Introduzione agli account del servizio gestito di gruppo con alcune importanti modifiche:

• Disabilitare tutti gli account del servizio gestito di gruppo esistenti, impostare l'attributo userAccountControl su 4098 (tipo di workstation + disabilitato).

• Creare un nuovo oggetto chiave radice KDS come descritto in Creare la chiave radice KDS di Servizi di distribuzione chiavi.

  Importante

  Riavviare Microsoft Key Distribution Service (KDSSVC) nello stesso controller di dominio. Questa operazione è necessaria in modo che il nuovo oggetto venga prelevato da KDSSVC. Creare nuovi account del servizio gestito di gruppo per sostituire gli account esistenti nello stesso controller di dominio. A questo punto, modificare l'account del servizio gestito di gruppo esistente come nomi univoci dell'entità servizio deve essere assegnato all'account del servizio gestito di gruppo attivo.

• Dopo aver aggiunto nuovamente i server membri al dominio, aggiornare i componenti che utilizzavano l'account del servizio gestito di gruppo con i nuovi account.

Per assicurarsi che il nuovo account del servizio gestito di gruppo usi il nuovo oggetto chiave radice KDS, verificare che i dati binari dell'attributo msDS-ManagedPasswordIdabbiano il GUID, o identificatore univoco globale, dell'oggetto chiave radice KDS corrispondente. L'oggetto avrà il CN di CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6.

Il msDS-ManagedPasswordId dell'account del servizio gestito di gruppo deve avere l'offset iniziale GUID 24 con le prime tre parti del GUID in ordine di byte scambiato (rosso, verde, blu) e il resto nell’ordine di byte normale (arancione):

Se il primo account del servizio gestito di gruppo è stato creato usando la nuova chiave radice KDS, tutte le creazioni dell'account del servizio gestito di gruppo successive saranno OK.

Pulizia

• Eliminare i vecchi account del servizio gestito di gruppo che usavano gli oggetti chiave radice KDS precedenti.
• Eliminare i vecchi oggetti chiave radice KDS.

Eseguire il rehosting di tutti i GC

Avviso

In caso di problema che impedisce l'accesso a un GC per effettuare il logon, il nome di accesso e la password dell'account utente amministratore di dominio predefinito ("RID-500") per tutti i domini devono essere disponibili e gli account abilitati per l'uso.

Nota

Inoltre, per consentire l'accesso senza la verifica GC, è possibile configurare il valore HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures su 1.

Se sconosciuto, ottenere l'ID del dominiousando whoami /all per un altro account in ogni dominio o eseguire il comando seguente per identificare il RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

È possibile eseguire il rehosting di tutti i GC usando i comandi repadmin /unhost e repadmin /rehost (parte di repadmin /experthelp). È possibile eseguire i comandi repadmin per ogni GC in ogni dominio che non viene ripristinato. È necessario assicurarsi che tutti i GC non contengano più una copia del dominio ripristinato. A tale scopo, per prima cosa annullare l'hosting della partizione di dominio da tutti i controller di dominio in tutti i domini non ripristinati della foresta. Poiché i controller di dominio non contengono più la partizione, è possibile eseguirne il rehosting. Quando si esegue il rehosting, prendere in considerazione la struttura del sito e della replicazione della foresta. Ad esempio, completare il rehosting di un controller di dominio per sito prima di eseguire il rehosting degli altri controller di dominio del sito.

Questa opzione può essere vantaggiosa per una piccola organizzazione che ha solo pochi controller di dominio per ciascun dominio. Tutti i controller di dominio possono essere ricompilati il venerdì sera e, se necessario, completarne la replicazione per tutte le partizioni di dominio di sola lettura prima del lunedì mattina. Tuttavia, se è necessario ripristinare un dominio di grandi dimensioni che copre siti in tutto il mondo, il rehosting della partizione di dominio di sola lettura in tutti i GC per gli altri domini può influire in modo significativo sulle operazioni e potenzialmente richiedere tempi di inattività.

Verificare e rimuovere oggetti residui

Nei GC di tutti gli altri domini della foresta è possibile controllare e rimuovere gli oggetti potenzialmente residui per la partizione di sola lettura del dominio ripristinato.

L'origine per la pulizia dell'oggetto residuo deve essere un controller di dominio nel dominio ripristinato. Per essere certi che il controller di dominio di origine non abbia oggetti residui per le partizioni di dominio, è possibile rimuovere il catalogo globale.

La rimozione di oggetti residui è vantaggiosa per le organizzazioni di grandi dimensioni che non possono rischiare il tempo di inattività associato al rehosting del contesto di denominazione del dominio.

Per altre informazioni, vedere Usare repadmin per rimuovere gli oggetti residui.

Passaggi successivi

• Ripristino della foresta di Active Directory - Prerequisiti
• Ripristino foresta Active Directory - Elaborare un piano di ripristino della foresta personalizzato
• Ripristino foresta Active Directory - Passaggi per ripristinare la foresta
• Ripristino foresta Active Directory - Identificare il problema
• Ripristino di una foresta di Active Directory - Determinare la modalità di ripristino
• Ripristino di una foresta di Active Directory - Eseguire il ripristino iniziale
• Ripristino della foresta di Active Directory - Procedure
• Ripristino foresta Active Directory - Domande frequenti
• Ripristino foresta Active Directory - Ripristinare un singolo dominio in una foresta multidominio
• Ripristino foresta Active Directory - Ridistribuire i controller di dominio rimanenti
• Ripristino della foresta di Active Directory - Virtualizzazione
• Ripristino foresta Active Directory - Pulizia