Realización de la recuperación inicial

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2

Esta sección incluye los siguientes pasos:

Restaurar el primer controlador de dominio que se puede escribir en cada dominio

A partir de un controlador de dominio que se puede escribir en el dominio raíz del bosque, complete los pasos de esta sección para restaurar el primer controlador de dominio. El dominio raíz del bosque es importante porque almacena los grupos Administradores de esquema y Administradores de empresa. También ayuda a mantener la jerarquía de confianza en el bosque. Además, el dominio raíz del bosque normalmente contiene el servidor raíz DNS para el espacio de nombres DNS del bosque. Por lo tanto, la zona DNS integrada de Active Directory para ese dominio contiene los registros de recursos de alias (CNAME) para todos los demás controladores de dominio del bosque (que son necesarios para la replicación) y los registros de recursos DNS del catálogo global.

Después de recuperar el dominio raíz del bosque, repita los mismos pasos para recuperar los dominios restantes del bosque. Puede recuperar más de un dominio simultáneamente; Sin embargo, siempre recupere un dominio primario antes de recuperar un elemento secundario para evitar cualquier interrupción en la jerarquía de confianza o la resolución de nombres DNS.

Para cada dominio que recupere, restaure solo un controlador de dominio que se pueda escribir desde la copia de seguridad. Esta es la parte más importante de la recuperación porque el controlador de dominio debe tener una base de datos que no haya sido influenciada por lo que haya provocado el error en el bosque. Es importante tener una copia de seguridad de confianza que se pruebe exhaustivamente antes de que se introduzca en el entorno de producción.

Después, lleve a cabo los siguiente pasos. Los procedimientos para realizar determinados pasos se encuentran en Recuperación de bosques de AD: procedimientos.

  1. Si tiene previsto restaurar un servidor físico, asegúrese de que el cable de red del controlador de dominio de destino no esté conectado y, por tanto, no esté conectado a la red de producción. Para una máquina virtual, puede quitar el adaptador de red o usar un adaptador de red conectado a otra red donde puede probar el proceso de recuperación mientras está aislado de la red de producción.

  2. Dado que este es el primer controlador de dominio que se puede escribir en el dominio, debe realizar una restauración no autenticada de AD DS y una restauración autoritativa de SYSVOL. La operación de restauración debe completarse mediante una aplicación de copia de seguridad y restauración compatible con Active Directory, como Copias de seguridad de Windows Server (es decir, no debe restaurar el controlador de dominio mediante métodos no admitidos, como restaurar una instantánea de máquina virtual).

    • Se requiere una restauración autoritativa de SYSVOL porque la replicación de la carpeta replicada de SYSVOL debe iniciarse después de recuperarse de un desastre. Todos los controladores de dominio posteriores que se agreguen en el dominio deben resincronizar su carpeta SYSVOL con una copia de la carpeta que se ha seleccionado para ser autoritativa antes de que se pueda anunciar la carpeta.

    Precaución

    Realice una operación de restauración autoritativa (o principal) de SYSVOL solo para que el primer controlador de dominio se restaure en el dominio raíz del bosque. La realización incorrecta de las operaciones de restauración principal de SYSVOL en otros controladores de dominio conduce a conflictos de replicación de datos SYSVOL.

  3. Después de restaurar y reiniciar el controlador de dominio que se puede escribir, compruebe que el error no afecta a los datos del controlador de dominio. Si los datos del controlador de dominio están dañados, repita el paso 2 con una copia de seguridad diferente.

    • Si el controlador de dominio restaurado hospeda un rol maestro de operaciones, es posible que tenga que agregar la siguiente entrada del Registro para evitar que AD DS no esté disponible hasta que haya completado la replicación de una partición de directorio que se pueda escribir:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Realizar sincronizaciones iniciales

      Cree la entrada con el tipo de datos REG_DWORD y un valor de 0. Después de recuperar completamente el bosque, puede restablecer el valor de esta entrada a 1, que requiere un controlador de dominio que reinicie y contenga roles maestros de operaciones para tener replicación entrante y saliente correcta de AD DS con sus asociados de réplica conocidos antes de anunciarse como controlador de dominio y empezar a proporcionar servicios a los clientes. Para más información sobre los requisitos de sincronización iniciales, consulte Funcionamiento de la sincronización en Azure AD Domain Services.

      Continúe con los pasos siguientes solo después de restaurar y comprobar los datos y antes de unir este equipo a la red de producción.

  4. Si sospecha que el error en todo el bosque estaba relacionado con la intrusión de red o un ataque malintencionado, restablezca las contraseñas de cuenta para todas las cuentas administrativas, incluidos los miembros de los administradores de empresa, los administradores de dominio, los administradores de esquemas, los operadores de servidor, los grupos operadores de cuenta, etc. El restablecimiento de las contraseñas de la cuenta administrativa debe completarse antes de que se instalen controladores de dominio adicionales durante la siguiente fase de la recuperación del bosque.

  5. En el primer controlador de dominio restaurado del dominio raíz del bosque, aproveche todos los roles maestros de operaciones en todo el dominio y en todo el bosque. Se necesitan credenciales de administradores de empresa y administradores de esquemas para aprovechar los roles maestros de operaciones en todo el bosque.

    En cada dominio secundario, aproveche los roles maestros de operaciones en todo el dominio. Aunque puede conservar los roles maestros de operaciones en el controlador de dominio restaurado solo temporalmente, el tamaño de estos roles garantiza que el controlador de dominio los hospeda en este momento en el proceso de recuperación del bosque. Como parte del proceso posterior a la recuperación, puede redistribuir los roles maestros de operaciones según sea necesario. Para obtener más información sobre cómo cambiar el tamaño de los roles maestros de operaciones, consulte Cambio de tamaño de un rol maestro de operaciones. Para obtener recomendaciones sobre dónde colocar roles maestros de operaciones, consulte ¿Qué son los maestros de operaciones?.

  6. Limpie los metadatos de todos los demás controladores de dominio que se puedan escribir en el dominio raíz del bosque que no va a restaurar desde la copia de seguridad (todos los controladores de dominio que se pueden escribir en el dominio, excepto para este primer controlador de dominio). Si usa la versión de Usuarios y equipos de Active Directory o Sitios y servicios de Active Directory que se incluye con Windows Server 2008 o posterior o RSAT para Windows Vista o posterior, la limpieza de metadatos se realiza automáticamente al eliminar un objeto de controlador de dominio. Además, el objeto de servidor y el objeto de equipo para el controlador de dominio eliminado también se eliminan automáticamente. Para obtener más información, consulte Limpieza de metadatos de controladores de dominio grabables eliminados.

    La limpieza de metadatos evita la posible duplicación de objetos ntDS-settings si AD DS está instalado en un controlador de dominio en otro sitio. Potencialmente, esto también podría guardar el Comprobador de coherencia del conocimiento (KCC) en el proceso de creación de vínculos de replicación cuando los propios controladores de dominio podrían no estar presentes. Además, como parte de la limpieza de metadatos, los registros de recursos DNS del localizador de controladores de dominio para todos los demás controladores de dominio del dominio se eliminarán de DNS.

    Hasta que se quiten los metadatos de todos los demás controladores de dominio del dominio, este controlador de dominio, si fuera un maestro rid antes de la recuperación, no asumirá el rol maestro rid y, por lo tanto, no podrá emitir nuevos RID. Es posible que vea el identificador de evento 16650 en el registro del sistema en el Visor de eventos que indica este error, pero debería ver el identificador de evento 16648 que indica que se ha realizado correctamente un poco después de haber limpiado los metadatos.

  7. Si tiene zonas DNS almacenadas en AD DS, asegúrese de que el servicio del servidor DNS local esté instalado y ejecutándose en el controlador de dominio que ha restaurado. Si este controlador de dominio no era un servidor DNS antes del error del bosque, debe instalar y configurar el servidor DNS.

    Nota

    Si el controlador de dominio restaurado ejecuta Windows Server 2008, debe instalar la revisión en el artículo de KB 975654 o conectar el servidor a una red aislada temporalmente para instalar el servidor DNS. La revisión no es necesaria para ninguna otra versión de Windows Server.

    En el dominio raíz del bosque, configure el controlador de dominio restaurado con su propia dirección IP (o una dirección de bucle invertido, como 127.0.0.1) como su servidor DNS preferido. Puede configurar esta opción en las propiedades TCP/IP del adaptador de red de área local (LAN). Este es el primer servidor DNS del bosque. Para obtener más información, consulte Configuración de TCP/IP para usar DNS.

    En cada dominio secundario, configure el controlador de dominio restaurado con la dirección IP del primer servidor DNS del dominio raíz del bosque como su servidor DNS preferido. Puede configurar esta opción en las propiedades TCP/IP del adaptador laN. Para obtener más información, consulte Configuración de TCP/IP para usar DNS.

    En las zonas DNS de _msdcs y dominio, elimine los registros NS de los controladores de dominio que ya no existen después de la limpieza de metadatos. Compruebe si se han quitado los registros SRV de los controladores de dominio limpiados. Para ayudar a acelerar la eliminación de registros SRV de DNS, ejecute:

    nltest.exe /dsderegdns:server.domain.tld
    
  8. Aumente el valor del grupo de RID disponible en 100 000. Para obtener más información, consulte Aumentar el valor de los grupos de RID disponibles. Si tiene motivos para creer que aumentar el grupo de RID en 100 000 no es suficiente para su situación en particular, debe determinar el aumento más bajo que sigue siendo seguro de usar. Los RID son un recurso finito que no se debe usar innecesariamente.

    Si se crearon nuevas entidades de seguridad en el dominio después del momento de la copia de seguridad que usa para la restauración, estas entidades de seguridad podrían tener derechos de acceso en determinados objetos. Estas entidades de seguridad ya no existen después de la recuperación porque la recuperación se ha revertido a la copia de seguridad; sin embargo, es posible que sus derechos de acceso sigan existiendo. Si el grupo de RID disponible no se genera después de una restauración, los nuevos objetos de usuario que se crean después de la recuperación del bosque podrían obtener identificadores de seguridad idénticos (SID) y podrían tener acceso a esos objetos, que no estaba previsto originalmente.

    Para ilustrarlo, considere el ejemplo del nuevo empleado llamado Amy que se mencionó en la introducción. El objeto de usuario de Amy ya no existe después de la operación de restauración porque se creó después de la copia de seguridad que se usó para restaurar el dominio. Sin embargo, los derechos de acceso asignados a ese objeto de usuario pueden conservarse después de la operación de restauración. Si el SID de ese objeto de usuario se reasigna a un nuevo objeto después de la operación de restauración, el nuevo objeto obtendría esos derechos de acceso.

  9. Invalide el grupo de RID actual. El grupo de RID actual se invalida después de una restauración de estado del sistema. Pero si no se realizó una restauración de estado del sistema, el grupo de RID actual debe invalidarse para evitar que el controlador de dominio restaurado vuelva a emitir los RID del grupo de RID que se asignó en el momento en que se creó la copia de seguridad. Para obtener más información, consulte Invalidación del grupo de RID actual.

    Nota

    La primera vez que intente crear un objeto con un SID después de invalidar el grupo de RID recibirá un error. El intento de crear un objeto desencadena una solicitud para un nuevo grupo de RID. El reintento de la operación se realiza correctamente porque se asignará el nuevo grupo de RID.

  10. Restablezca la contraseña de la cuenta de equipo de este controlador de dominio dos veces. Para obtener más información, vea Restablecer la contraseña de la cuenta de equipo del controlador de dominio.

  11. Restablezca la contraseña krbtgt dos veces. Para obtener más información, consulte Restablecimiento de la contraseña krbtgt.

    Dado que el historial de contraseñas krbtgt es dos contraseñas, restablece las contraseñas dos veces para quitar la contraseña original (anterior) del historial de contraseñas.

    Nota

    Si la recuperación del bosque está en respuesta a una infracción de seguridad, también puede restablecer las contraseñas de confianza. Para obtener más información, vea Restablecer una contraseña de confianza en un lado de la confianza.

  12. Si el bosque tiene varios dominios y el controlador de dominio restaurado era un servidor de catálogo global antes del error, desactive la casilla Catálogo global en las propiedades de configuración de NTDS para quitar el catálogo global del controlador de dominio. La excepción a esta regla es el caso común de un bosque con un solo dominio. En este caso, no es necesario quitar el catálogo global. Para obtener más información, consulte Eliminación del catálogo global.

    Al restaurar un catálogo global a partir de una copia de seguridad más reciente que otras copias de seguridad que se usan para restaurar controladores de dominio en otros dominios, puede introducir objetos persistentes. Considere el ejemplo siguiente. En el dominio A, DC1 se restaura a partir de una copia de seguridad que se tomó en el momento T1. En el dominio B, DC2 se restaura a partir de una copia de seguridad de catálogo global que se tomó en el momento T2. Supongamos que T2 es más reciente que T1 y que algunos objetos se crearon entre T1 y T2. Después de restaurar estos controladores de dominio, DC2, que es un catálogo global, contiene datos más recientes para la réplica parcial del dominio A que el dominio A se mantiene. DC2, en este caso, contiene objetos persistentes porque estos objetos no están presentes en DC1.

    La presencia de objetos persistentes puede provocar problemas. Por ejemplo, es posible que los mensajes de correo electrónico no se entreguen a un usuario cuyo objeto de usuario se haya movido entre dominios. Después de poner en línea el controlador de dominio obsoleto o el servidor de catálogo global, ambas instancias del objeto de usuario aparecen en el catálogo global. Ambos objetos tienen la misma dirección de correo electrónico; por lo tanto, no se pueden entregar mensajes de correo electrónico.

    Un segundo problema es que una cuenta de usuario que ya no existe todavía puede aparecer en la lista global de direcciones. Un tercer problema es que un grupo universal que ya no existe todavía puede aparecer en el token de acceso de un usuario.

    Si restauró un controlador de dominio que era un catálogo global (ya sea accidentalmente o porque era la copia de seguridad solitaria de la que confía), se recomienda evitar la aparición de objetos persistentes deshabilitando el catálogo global poco después de que se complete la operación de restauración. Al deshabilitar la marca de catálogo global, el equipo perderá todas sus réplicas parciales (particiones) y se relegará al estado de controlador de dominio normal.

  13. Configurar el servicio de hora de Windows. En el dominio raíz del bosque, configure el emulador de PDC para sincronizar la hora desde un origen de hora externo. Para obtener más información, vea Configurar el servicio de hora de Windows en el emulador de PDC en el dominio raíz del bosque.

Vuelva a conectar cada controlador de dominio grabable restaurado a una red común.

En esta fase, debe tener un controlador de dominio restaurado (y pasos de recuperación realizados) en el dominio raíz del bosque y en cada uno de los dominios restantes. Una estos controladores de dominio a una red común aislada del resto del entorno y complete los pasos siguientes para validar el estado y la replicación del bosque.

Nota

Al unir los controladores de dominio físicos a una red aislada, es posible que tenga que cambiar sus direcciones IP. Como resultado, las direcciones IP de los registros DNS serán incorrectas. Dado que un servidor de catálogo global no está disponible, se producirá un error en las actualizaciones dinámicas seguras para DNS. Los controladores de dominio virtuales son más ventajosos en este caso porque se pueden unir a una nueva red virtual sin cambiar sus direcciones IP. Este es un motivo por el que se recomiendan los controladores de dominio virtuales como los primeros controladores de dominio que se restaurarán durante la recuperación del bosque.

Después de la validación, una los controladores de dominio a la red de producción y complete los pasos para comprobar el estado de replicación del bosque.

  • Para corregir la resolución de nombres, cree registros de delegación DNS y configure el reenvío dns y las sugerencias raíz según sea necesario. Ejecute repadmin /replsum para comprobar la replicación entre controladores de dominio.
  • Si los controladores de dominio restaurados no son asociados de replicación directa, la recuperación de la replicación será mucho más rápida mediante la creación de objetos de conexión temporales entre ellos.
  • Para validar la limpieza de metadatos, ejecute Repadmin /viewlist \* para obtener una lista de todos los controladores de dominio del bosque. Ejecute Nltest /DCList:<domain> para obtener una lista de todos los controladores de dominio del dominio.
  • Para comprobar el estado de DC y DNS, ejecute DCDiag /v para notificar errores en todos los controladores de dominio del bosque.

Agregar el catálogo global a un controlador de dominio en el dominio raíz del bosque

Se requiere un catálogo global por estos y otros motivos:

  • Para habilitar los inicios de sesión para los usuarios.
  • Para habilitar el servicio Net Logon que se ejecuta en los controladores de dominio de cada dominio secundario para registrar y quitar registros en el servidor DNS del dominio raíz.

Aunque es preferible que el controlador de dominio raíz del bosque se convierta en un catálogo global, es posible elegir cualquiera de los controladores de dominio restaurados para convertirse en un catálogo global.

Nota

Un controlador de dominio no se anunciará como un servidor de catálogo global hasta que haya completado una sincronización completa de todas las particiones de directorio del bosque. Por lo tanto, el controlador de dominio debe verse obligado a replicarse con cada uno de los controladores de dominio restaurados del bosque.

Supervise el registro de eventos del Servicio de directorio en el Visor de eventos para ver el identificador de evento 1119, que indica que este controlador de dominio es un servidor de catálogo global o compruebe que la siguiente clave del Registro tiene un valor de 1:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Promotion Complete

Para obtener más información, consulte Adición del catálogo global.

En esta fase, debe tener un bosque estable, con un controlador de dominio para cada dominio y un catálogo global en el bosque. Debe realizar una nueva copia de seguridad de cada uno de los controladores de dominio que acaba de restaurar. Ahora puede empezar a volver a implementar otros controladores de dominio en el bosque instalando AD DS.

Pasos siguientes