Recuperação de Floresta do Active Directory: como recuperar um único domínio em uma floresta de vários domínios

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e 2012

Pode haver momentos em que é necessário recuperar apenas um único domínio dentro de uma floresta que tenha vários domínios, em vez de fazer uma recuperação completa da floresta. Esse tópico aborda considerações para recuperar um único domínio e possíveis estratégias de recuperação.

Semelhante ao processo de recuperação de floresta, você restaura um ou mais DCs do backup no domínio e executa a limpeza de metadados dos DCs restantes. Em seguida, novos controladores de domínio são adicionados unindo novos membros, instalando funções do AD DS e promovendo-os. Você também pode usar a Clonagem de DC ou Instalar da Mídia para a tarefa.

Uma única recuperação de domínio apresenta um desafio exclusivo para recompilar servidores GC (catálogo global). Por exemplo, se o primeiro DC (controlador de domínio) para o domínio for restaurado de um backup que foi criado uma semana antes, todos os outros GCs na floresta terão dados mais atualizados para esse domínio do que o DC restaurado. Para restabelecer a consistência de dados do GC, há algumas opções:

• Cancele a hospedagem das partições de domínios recuperados de todos os GCs na floresta, exceto aqueles no domínio recuperado, ao mesmo tempo e depois de concluídos. Em seguida, hospede novamente todos os GCs na floresta. Além disso, certifique-se de não sobrecarregar os GCs restantes. Em ambientes grandes, a coordenação dessa atividade pode ser muito complexa.

• Siga o processo de recuperação de floresta para recuperar o domínio e, em seguida, remova objetos remanescentes de GCs em outros domínios.

As seções a seguir fornecem considerações gerais para cada opção. O conjunto completo de etapas que precisam ser feitas para a recuperação vai variar para diferentes ambientes do Active Directory.

Como recriar Contas de Serviço Gerenciado de Grupo (gMSA)

Aviso

Se os objetos de Chave Raiz do KDS na floresta foram comprometidos, você deverá recriar as contas gMSA em vários domínios, mesmo que o próprio domínio não tenha sido comprometido.

O problema e a resolução são discutidos em Como se recuperar de um ataque Golden de gMSA.

Você deve impedir que um invasor use dados coletados de um backup roubado do Controlador de Domínio para autenticar usando credenciais calculadas do gMSA. Substitua todos os gMSAs nos domínios da floresta que usam os objetos de Chave Raiz do KDS expostos, por contas gMSA usando um novo objeto de Chave Raiz KDS. O procedimento é descrito em Introdução às Contas de Serviço Gerenciado de Grupo com algumas alterações importantes :

• Desabilite todas as contas gMSA existentes, defina o atributo userAccountControl como 4098 (tipo de estação de trabalho + desabilitado).

• Crie um novo objeto de Chave Raiz KDS, conforme descrito em Criar a Chave Raiz KDS dos Serviços de Distribuição de Chaves.

  Importante

  Reinicie o Serviço de Distribuição de Chaves da Microsoft (KDSSVC) no mesmo controlador de domínio. Isso é necessário para que o novo objeto seja captado pelo KDSSVC. Crie novas contas gMSA para substituir as contas existentes no mesmo controlador de domínio. Nesse ponto, edite a conta gMSA existente como nomes de entidade de serviço exclusivos deve ser atribuído ao gMSA ativo.

• Depois que você tiver os servidores membros novamente ingressados no domínio, atualize os componentes que usaram gMSA com as novas contas.

Para garantir que o novo gMSA use o novo objeto Chave Raiz KDS, verifique se os dados binários de atributo msDS-ManagedPasswordId têm o GUID do objeto de Chave Raiz KDS correspondente. O objeto teria o CN de CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6.

O msDS-ManagedPasswordId do gMSA deve ter o GUID iniciando o deslocamento 24 com as três primeiras partes do GUID em ordem trocada por bytes (vermelho, verde, azul) e o restante em ordem de byte normal (laranja):

Se o primeiro gMSA tiver sido criado usando a nova Chave Raiz do KDS, todas as criações do gMSA subsequentes ficarão ok.

Limpeza

• Exclua as contas gMSA antigas que usavam os objetos de Chave Raiz KDS antigos.
• Exclua os objetos de Chave Raiz KDS antigos.

Hospedar novamente todos os GCs

Aviso

O nome de logon e a senha da conta de usuário padrão do Administrador de Domínio ("RID-500") para todos os domínios devem estar disponíveis e as contas habilitadas para uso no caso de um problema que impeça o acesso a um GC para logon.

Observação

Para permitir o logon sem a verificação do GC, também é possível configurar o valor HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures como 1.

Se for desconhecido, obtenha a ID de Domínio usando whoami /all para outra conta em cada domínio ou execute o comando a seguir para identificar o RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

A re-hospedagem de todos os GCs pode ser feita usando os comandos repadmin /unhost e repadmin /rehost (parte de repadmin /experthelp). Execute os comandos repadmin em cada GC de cada domínio que não foi recuperado. É necessário garantir que todos os GCs não mantenham mais uma cópia do domínio recuperado. Para fazer isso, cancele a hospedagem da partição de domínio de todos os controladores de domínio em todos os domínios não recuperados da floresta primeiro. Como os GCs não contêm mais a partição, você pode hospedá-la novamente. Ao hospedar novamente, considere o site e a estrutura de replicação da floresta. Por exemplo, conclua o re-hospedagem de um DC por site antes de hospedar novamente os outros DCs desse site.

Essa opção pode ser vantajosa para uma organização pequena que tem apenas alguns controladores de domínio para cada domínio. Todos os GCs podem ser recriados em uma sexta-feira à noite e, se necessário, conclua a replicação para todas as partições de domínio somente leitura antes da manhã de segunda-feira. Mas se você precisar recuperar um domínio grande que abrange sites em todo o mundo, hospedar novamente a partição de domínio somente leitura em todos os GCs para outros domínios poderá afetar as operações de forma significativa e potencialmente exigir tempo de inatividade.

Verificar e remover objetos persistentes

Nos GCs de todos os outros domínios na floresta, remova os objetos remanescentes para a partição somente leitura do domínio recuperado.

A origem da limpeza do objeto remanescente deve ser um DC no domínio recuperado. Para ter certeza de que o DC de origem não tem objetos remanescentes para nenhuma partição de domínio, você poderá remover o catálogo global se ele for um GC.

A remoção de objetos remanescentes é vantajosa para organizações maiores que não podem arriscar o tempo de inatividade associado às outras opções.

Para obter mais informações, consulte Usar repadmin para remover objetos remanescentes.

Próximas etapas

• Recuperação de floresta do AD – Pré-requisitos
• Recuperação de Floresta do AD - Elaborar um plano personalizado de recuperação da floresta
• Recuperação de Floresta do AD - Etapas para restaurar a floresta
• Recuperação de florestas do AD – Identificar o problema
• Recuperação de florestas do AD – Determinar como fazer a recuperação
• Recuperação de florestas do AD – Executar a recuperação inicial
• Recuperação de floresta do AD – Procedimentos
• Recuperação de Floresta do AD - Perguntas Frequentes (FAQ)
• Recuperação de Floresta do AD - Recuperar um único domínio em uma floresta multidomínio
• Recuperação da Floresta do AD - Reimplantar os DCs restantes
• Recuperação de floresta do AD – Virtualização
• Recuperação de Floresta do AD - Limpeza