Executar a recuperação inicial

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e 2012 R2, Windows Server 2008 e 2008 R2

Esta seção inclui as etapas a seguir:

Restaurar o primeiro controlador de domínio que pode ser escrito em cada domínio

Começando com um DC writeable no domínio raiz da floresta, conclua as etapas nesta seção para restaurar o primeiro controlador de domínio. O domínio raiz da floresta é importante porque armazena os grupos administradores de esquema e Enterprise administradores. Ele também ajuda a manter a hierarquia de confiança na floresta. Além disso, o domínio raiz da floresta geralmente contém o servidor raiz DNS para o namespace DNS da floresta. Consequentemente, a zona DNS integrada ao Active Directory para esse domínio contém os registros de recurso de alias (CNAME) para todos os outros DCs na floresta (que são necessários para replicação) e os registros de recursos DNS do catálogo global.

Depois de recuperar o domínio raiz da floresta, repita as mesmas etapas para recuperar os domínios restantes na floresta. Você pode recuperar mais de um domínio simultaneamente; no entanto, sempre recupere um domínio pai antes de recuperar um filho para evitar qualquer quebra na hierarquia de confiança ou na resolução de nomes DNS.

Para cada domínio recuperado, restaure apenas um DC que pode ser escrito do backup. Essa é a parte mais importante da recuperação porque o DC deve ter um banco de dados que não tenha sido influenciado por qualquer que tenha causado a falha da floresta. É importante ter um backup confiável que seja totalmente testado antes de ser introduzido no ambiente de produção.

Em seguida, siga estas etapas. Os procedimentos para executar determinadas etapas estão na Recuperação de Floresta do AD – Procedimentos.

  1. Se você planeja restaurar um servidor físico, verifique se o cabo de rede do DC de destino não está anexado e, portanto, não está conectado à rede de produção. Para uma máquina virtual, você pode remover o adaptador de rede ou usar um adaptador de rede que está anexado a outra rede em que você pode testar o processo de recuperação enquanto estiver isolado da rede de produção.

  2. Como esse é o primeiro DC writeable no domínio, você deve executar uma restauração não autoritativa do AD DS e uma restauração autoritativa de SYSVOL. A operação de restauração deve ser concluída usando um aplicativo de backup e restauração com suporte do Active Directory, como o backup do servidor Windows (ou seja, você não deve restaurar o DC usando métodos sem suporte, como restaurar um instantâneo de VM).

    • Uma restauração autoritativa do SYSVOL é necessária porque a replicação da pasta replicada SYSVOL deve ser iniciada após a recuperação de um desastre. Todos os controladores de domínio subsequentes adicionados ao domínio devem ressincronizar sua pasta SYSVOL com uma cópia da pasta que foi selecionada para ser autoritativa antes que a pasta possa ser anunciada.

    Cuidado

    Execute uma operação de restauração autoritativa (ou primária) de SYSVOL somente para o primeiro CONTROLADOR de domínio a ser restaurado no domínio raiz da floresta. Executar incorretamente as operações de restauração primária do SYSVOL em outros DCs leva a conflitos de replicação de dados SYSVOL.

    • Há duas opções para executar uma restauração não autoritativa de AD DS e uma restauração autoritativa de SYSVOL:
    • Execute uma recuperação de servidor completa e, em seguida, force uma sincronização autoritativa de SYSVOL. Para procedimentos detalhados, consulte Executando uma recuperação completa do servidor e Executar uma sincronização autoritativa do SYSVOLreplicado por DFSR.
    • Execute uma recuperação de servidor completa seguida por uma restauração de estado do sistema. Essa opção requer que você crie os dois tipos de backups com antecedência: um backup completo do servidor e um backup de estado do sistema. Para procedimentos detalhados, consulte Executando uma recuperação completa do servidor e Executando uma restauração não autoritativa do Active Directory Domain Services.
  3. Depois de restaurar e reiniciar o DC grave, verifique se a falha não afetou os dados no DC. Se os dados do DC estão danificados, repita a etapa 2 com um backup diferente.

    • Se o controlador de domínio restaurado hospeda uma função mestre de operações, talvez seja necessário adicionar a seguinte entrada do Registro para evitar AD DS ficar indisponível até que ele tenha concluído a replicação de uma partição de diretório que pode ser escrita:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Executar sincronizações iniciais

      Crie a entrada com o tipo de dados REG_DWORD e um valor de 0. Depois que a floresta for completamente recuperada, você poderá redefinir o valor dessa entrada para 1, o que requer um controlador de domínio que reinicia e mantém as funções mestra AD DS s de operações para ter uma replicação de entrada e saída bem-sucedida com seus parceiros de réplica conhecidos antes que ela se anuncie como controlador de domínio e comece a fornecer serviços aos clientes. Para obter mais informações sobre os requisitos de sincronização iniciais, consulte o artigo da KB 305476.

      Continue para as próximas etapas somente depois de restaurar e verificar os dados e antes de ingressar este computador na rede de produção.

  4. Se você suspeitar que a falha em toda a floresta estava relacionada a invasão de rede ou ataque mal-intencionado, redefina as senhas da conta para todas as contas administrativas, incluindo membros dos grupos Administradores do Enterprise, Administradores de Domínio, Administradores de Esquema, Operadores de Servidor, Operadores de Conta e assim por diante. A redefinição de senhas de conta administrativa deve ser concluída antes que controladores de domínio adicionais sejam instalados durante a próxima fase da recuperação da floresta.

  5. No primeiro controlador de domínio restaurado no domínio raiz da floresta, aproveite todas as funções mestras de operações em todo o domínio e em toda a floresta. Enterprise administradores e administradores de esquema são necessárias para capturar funções mestras de operações em toda a floresta.

    Em cada domínio filho, aproveite as funções mestras de operações em todo o domínio. Embora você possa manter as funções mestras de operações no DC restaurado apenas temporariamente, o uso dessas funções garante que o DC as hospeda neste momento no processo de recuperação de floresta. Como parte do processo de pós-recuperação, você pode redistribuir as funções mestras de operações conforme necessário. Para obter mais informações sobre como obter funções mestras de operações, consulte Como obter uma função mestra de operações. Para recomendações sobre onde colocar funções mestras de operações, consulte O que são mestres de operações?.

  6. Limpe os metadados de todos os outros DCs que podem ser escritos no domínio raiz da floresta que você não está restaurando do backup (todos os DCs que podem ser escritos no domínio, exceto esse primeiro CONTROLADOR de Domínio). Se você usar a versão do Usuários e Computadores do Active Directory ou sites e serviços do Active Directory incluído no Windows Server 2008 ou posterior ou RSAT para o Windows Vista ou posterior, a limpeza de metadados será executada automaticamente quando você excluir um objeto DC. Além disso, o objeto de servidor e o objeto de computador para o DC excluído também são excluídos automaticamente. Para obter mais informações, consulte Limpando metadados de DCs que podem ser escritos removidos.

    A limpeza de metadados impedirá a possível duplicação de objetos de configurações NTDS se AD DS estiver instalado em um DC em um site diferente. Potencialmente, isso também pode salvar o Knowledge Consistency Checker (KCC) do processo de criação de links de replicação quando os próprios DCs podem não estar presentes. Além disso, como parte da limpeza de metadados, os registros de recurso DNS do localizador de DC para todos os outros controladores de domínio serão excluídos do DNS.

    Até que os metadados de todos os outros controladores de domínio sejam removidos, esse controlador de domínio, se ele fosse um mestre RID antes da recuperação, não assumirá a função mestre RID e, portanto, não poderá emitir novos RIDs. Você pode ver a ID do evento 16650 no log do sistema no Visualizador de Eventos indicando essa falha, mas verá a ID do evento 16648 indicando êxito um pouco depois de limpar os metadados.

  7. Se você tiver zonas DNS armazenadas no AD DS, verifique se o serviço servidor DNS local está instalado e em execução no DC que você restaurou. Se esse DC não era um servidor DNS antes da falha da floresta, você deve instalar e configurar o servidor DNS.

    Observação

    Se o DC restaurado for executado no Windows Server 2008, você precisará instalar o hotfix no artigo de KB 975654 ou conectar o servidor a uma rede isolada temporariamente para instalar o servidor DNS. O hotfix não é necessário para nenhuma outra versão do Windows Server.

    No domínio raiz da floresta, configure o DC restaurado com seu próprio endereço IP (ou um endereço de loopback, como 127.0.0.1) como seu servidor DNS preferencial. Você pode definir essa configuração nas propriedades TCP/IP do adaptador de REDE local (LAN). Este é o primeiro servidor DNS na floresta. Para obter mais informações, consulte Configurar TCP/IP para usar o DNS.

    Em cada domínio filho, configure o controlador de domínio restaurado com o endereço IP do primeiro servidor DNS no domínio raiz da floresta como seu servidor DNS preferencial. Você pode definir essa configuração nas propriedades TCP/IP do adaptador de LAN. Para obter mais informações, consulte Configurar TCP/IP para usar o DNS.

    Nas zonas DNS _msdcs domínio e domínio, exclua registros NS de DCs que não existem mais após a limpeza de metadados. Verifique se os registros SRV dos DCs limpos foram removidos. Para ajudar a acelerar a remoção de registro SRV dns, execute:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. Aumente o valor do pool RID disponível em 100.000. Para obter mais informações, consulte Raising the value of available RID pools. Se você tiver motivos para acreditar que aumentar o pool rid em 100.000 é insuficiente para sua situação específica, determine o menor aumento que ainda é seguro de usar. RIDs são um recurso finito que não deve ser usado de forma descarada.

    Se novas entidades de segurança foram criadas no domínio após o momento do backup que você usa para a restauração, essas entidades de segurança podem ter direitos de acesso em determinados objetos. Essas entidades de segurança não existem mais após a recuperação porque a recuperação foi revertida para o backup; no entanto, seus direitos de acesso ainda podem existir. Se o pool RID disponível não for gerado após uma restauração, novos objetos de usuário criados após a recuperação da floresta poderão obter SIDs (IDs de segurança) idênticos e poderão ter acesso a esses objetos, o que não foi originalmente pretendido.

    Para ilustrar, considere o exemplo da nova funcionário chamada Amy que foi mencionada na introdução. O objeto de usuário para Ela não existe mais após a operação de restauração porque ele foi criado após o backup que foi usado para restaurar o domínio. No entanto, todos os direitos de acesso atribuídos a esse objeto de usuário podem persistir após a operação de restauração. Se o SID desse objeto de usuário for reatribuido a um novo objeto após a operação de restauração, o novo objeto obterá esses direitos de acesso.

  9. Invalidar o pool RID atual. O pool RID atual é invalidado após uma restauração de estado do sistema. Mas se uma restauração de estado do sistema não tiver sido executada, o pool RID atual precisará ser invalidado para impedir que o DC restaurado emula riDs do pool RID atribuído no momento em que o backup foi criado. Para obter mais informações, consulte Invalidando o pool RID atual.

    Observação

    Na primeira vez que você tentar criar um objeto com um SID depois de invalidar o pool RID, receberá um erro. A tentativa de criar um objeto dispara uma solicitação para um novo pool RID. A nova tentativa da operação é bem-sucedida porque o novo pool RID será alocado.

  10. Redefinir a senha da conta de computador deste DC duas vezes. Para obter mais informações, consulte Redefinindo a senha da conta de computador do controlador de domínio.

  11. Redefinir a senha krbtgt duas vezes. Para obter mais informações, consulte Redefinindo a senha krbtgt.

    Como o histórico de senha krbtgt é de duas senhas, Redefina senhas duas vezes para remover a senha original (de falha) do histórico de senha.

    Observação

    Se a recuperação de floresta estiver em resposta a uma violação de segurança, você também poderá redefinir as senhas de confiança. Para obter mais informações, consulte redefinindo uma senha de confiança em um lado da relação de confiança.

  12. se a floresta tiver vários domínios e o controlador de domínio restaurado for um servidor de catálogo global antes da falha, desmarque a caixa de seleção catálogo global nas propriedades NTDS Configurações para remover o catálogo global do controlador de domínio. A exceção a essa regra é o caso comum de uma floresta com apenas um domínio. Nesse caso, não é necessário remover o catálogo global. Para obter mais informações, consulte removendo o catálogo global.

    Ao restaurar um catálogo global de um backup mais recente do que outros backups usados para restaurar controladores de domínio em outros domínios, você pode introduzir objetos remanescentes. Considere o exemplo a seguir. No domínio A, o DC1 é restaurado de um backup que foi realizado no tempo T1. No domínio B, o DC2 é restaurado de um backup de catálogo global que foi realizado no momento T2. Suponha que T2 é mais recente do que T1 e alguns objetos foram criados entre T1 e T2. Depois que esses DCs são restaurados, o DC2, que é um catálogo global, mantém os dados mais recentes da réplica parcial do domínio A que o domínio A se mantém. O DC2, nesse caso, mantém objetos remanescentes porque esses objetos não estão presentes no DC1.

    A presença de objetos remanescentes pode levar a problemas. Por exemplo, mensagens de email podem não ser entregues a um usuário cujo objeto de usuário foi movido entre domínios. Depois que você colocar o controlador de domínio ou o servidor de catálogo global desatualizado novamente, as duas instâncias do objeto de usuário aparecerão no catálogo global. Ambos os objetos têm o mesmo endereço de email; Portanto, as mensagens de email não podem ser entregues.

    Um segundo problema é que uma conta de usuário que não existe mais pode ainda aparecer na lista de endereços global. Um terceiro problema é que um grupo universal que não existe mais ainda pode aparecer no token de acesso de um usuário.

    Se você tiver restaurado um controlador de domínio que era um catálogo global, seja inadvertidamente ou porque esse era o backup solitários confiável, recomendamos que você impeça a ocorrência de objetos remanescentes desabilitando o catálogo global logo após a conclusão da operação de restauração. Desabilitar o sinalizador de catálogo global fará com que o computador perca todas as suas réplicas parciais (partições) e se reabilite para o status normal do DC.

  13. Configure o serviço de tempo de Windows. No domínio raiz da floresta, configure o emulador do PDC para sincronizar a hora de uma fonte de tempo externa. para obter mais informações, consulte configurar o serviço de tempo de Windows no emulador de PDC no domínio raiz da floresta.

Reconecte cada controlador de domínio gravável restaurado a uma rede comum

Nesse estágio, você deve ter um DC restaurado (e as etapas de recuperação executadas) no domínio raiz da floresta e em cada um dos domínios restantes. Junte esses controladores de domínio a uma rede comum isolada do restante do ambiente e conclua as etapas a seguir para validar a integridade e a replicação da floresta.

Observação

Ao unir os DCs físicos a uma rede isolada, talvez seja necessário alterar seus endereços IP. Como resultado, os endereços IP dos registros DNS estarão errados. Como um servidor de catálogo global não está disponível, as atualizações dinâmicas seguras para o DNS falharão. Os DCs virtuais são mais vantajosos nesse caso porque podem ser Unidos a uma nova rede virtual sem alterar seus endereços IP. Essa é uma das razões pelas quais os DCs virtuais são recomendados como os primeiros controladores de domínio a serem restaurados durante a recuperação da floresta.

Após a validação, ingresse os controladores de domínio na rede de produção e conclua as etapas para verificar a integridade da replicação da floresta.

  • Para corrigir a resolução de nomes, crie registros de delegação de DNS e configure as dicas de encaminhamento e raiz de DNS conforme necessário. Execute repadmin/replsum para verificar a replicação entre os DCS.
  • Se os controladores de domínio restaurados não forem parceiros de replicação direta, a recuperação de replicação será muito mais rápida criando objetos de conexão temporários entre eles.
  • Para validar a limpeza de metadados, execute repadmin/viewlist \* para obter uma lista de todos os DCS na floresta. Execute nltest/DCList: Domain para obter uma lista de todos os DCS no domínio.
  • Para verificar a integridade do DC e do DNS, execute DCDiag/v para relatar erros em todos os DCs na floresta.

Adicionar o catálogo global a um controlador de domínio no domínio raiz da floresta

Um catálogo global é necessário por esses e outros motivos:

  • Para habilitar logons para usuários.
  • Para habilitar o serviço de logon de rede em execução nos DCs em cada domínio filho para registrar e remover registros no servidor DNS no domínio raiz.

Embora seja preferível que o controlador de domínio raiz da floresta se torne um catálogo global, é possível escolher qualquer um dos DCs restaurados para se tornar um catálogo global.

Observação

Um controlador de domínio não será anunciado como um servidor de catálogo global até que tenha concluído uma sincronização completa de todas as partições de diretório na floresta. Portanto, o DC deve ser forçado a replicar com cada um dos controladores de domínio restaurados na floresta.

Monitore o log de eventos do serviço de diretório em Visualizador de Eventos para a ID de evento 1119, que indica que esse DC é um servidor de catálogo global ou verifique se a seguinte chave do registro tem um valor de 1:

Promoção do catálogo do HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global concluída

Para obter mais informações, consulte adicionando o catálogo global.

Nesse estágio, você deve ter uma floresta estável, com um DC para cada domínio e um catálogo global na floresta. Você deve fazer um novo backup de cada um dos DCs que acabou de restaurar. Agora você pode começar a reimplantar outros controladores de domínio na floresta instalando AD DS.

Próximas etapas