Recuperación de bosques de Active Directory: realizar la recuperación inicial

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 y 2012

Esta sección incluye los siguientes pasos:

• Restauración del primer controlador de dominio con posibilidad de escritura en cada dominio
• Reconexión a la red de cada controlador de dominio restaurado con posibilidad de escritura
• Adición del catálogo global a un controlador de dominio del dominio raíz del bosque

Restauración del primer controlador de dominio con posibilidad de escritura en cada dominio

Comenzando por un controlador de dominio con posibilidad de escritura del dominio raíz del bosque, complete los pasos de esta sección para restaurar el primer controlador de dominio. El dominio raíz del bosque es importante porque almacena los grupos Administradores de esquema y Administradores de empresa. También ayuda a mantener la jerarquía de confianza en el bosque. Además, el dominio raíz del bosque normalmente contiene el servidor raíz DNS para el espacio de nombres DNS del bosque. Por lo tanto, la zona DNS integrada de Active Directory para ese dominio contiene los registros de recursos de alias (CNAME) de todos los demás controladores de dominio del bosque (que son necesarios para la replicación) y los registros de recursos DNS del catálogo global.

Después de recuperar el dominio raíz del bosque, repita los mismos pasos para recuperar los dominios restantes del bosque. Puede recuperar más de un dominio simultáneamente; sin embargo, recupere siempre un dominio primario antes de recuperar uno secundario para evitar cualquier interrupción en la jerarquía de confianza o la resolución de nombres DNS.

Para cada dominio que recupere, restaure un controlador de dominio grabable a partir de la copia de seguridad. Esta es la parte más importante de la recuperación porque el controlador de dominio debe tener una base de datos que no se haya visto influida por lo que haya provocado un error en el bosque. Es importante tener una copia de seguridad de confianza que se haya probado exhaustivamente antes de que se introduzca en el entorno de producción.

Después, lleve a cabo los siguiente pasos. Los procedimientos para realizar determinados pasos se encuentran en Recuperación del bosque de AD: procedimientos.

1. Si tiene previsto restaurar un servidor físico, asegúrese de que el cable de red del controlador de dominio de destino esté desconectado y, por tanto, no esté conectado a la red de producción. En el caso de una máquina virtual, puede quitar el adaptador de red o usar un adaptador de red conectado a otra red donde pueda probar el proceso de recuperación mientras permanece aislado de la red de producción.

2. Dado que este es el primer controlador de dominio con posibilidad de escritura del dominio, debe realizar una restauración no autoritativa de AD DS y una restauración autoritativa de SYSVOL. La operación de restauración debe completarse mediante una aplicación de copia de seguridad y restauración compatible con Active Directory, como Copias de seguridad de Windows Server (recomendado). Si el identificador de generación de Hyper-Vistor se admite en el host, también puede realizar la restauración no autenticada mediante una instantánea de máquina virtual.

   • Se requiere una restauración autoritativa de SYSVOL en el primer controlador de dominio recuperado, ya que la replicación de la carpeta SYSVOL debe reiniciarse con las nuevas instancias después de recuperarse de un desastre. Todos los controladores de dominio posteriores que se agreguen al dominio deben volver a sincronizar su carpeta SYSVOL con una copia de la carpeta que se ha seleccionado para ser autoritativa.

     Advertencia

     Realice una operación de restauración autoritativa (o primaria) de SYSVOL solo para el primer controlador de dominio que se va a restaurar en el dominio raíz del bosque. La realización incorrecta de las operaciones de restauración primaria de SYSVOL en otros controladores de dominio provoca conflictos de replicación de los datos de SYSVOL. Hay dos opciones para realizar una restauración no autoritativa de AD DS y una restauración autoritativa de SYSVOL:

   • Realice una recuperación completa del servidor y, a continuación, fuerce una sincronización autoritativa de SYSVOL. Para obtener los procedimientos detallados, consulte Recuperación del bosque de AD: realización de una recuperación completa del servidor y Recuperación del bosque de AD: realización de una sincronización autoritativa de SYSVOL replicada por DFSR.

   • Realice una recuperación completa del servidor seguida de una restauración del estado del sistema. Esta opción requiere que cree ambos tipos de copias de seguridad de antemano: una copia de seguridad completa del servidor y una copia de seguridad del estado del sistema. Para obtener los procedimientos detallados, consulte Recuperación del bosque de AD: realización de una recuperación completa del servidor y Realización de una restauración no autoritativa de Active Directory Domain Services.

3. Después de restaurar y reiniciar el controlador de dominio con posibilidad de escritura, compruebe que el error no afecte a los datos del controlador de dominio. Si los datos del controlador de dominio están dañados, repita el paso 2 con una copia de seguridad diferente.

   • Si el controlador de dominio restaurado hospeda un rol maestro de operaciones, es posible que tenga que agregar la siguiente entrada del Registro para evitar que AD DS no esté disponible hasta que haya completado la replicación de una partición de directorio con posibilidad de escritura:

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     Cree la entrada con el tipo de datos REG_DWORD y un valor de 0. Después de recuperar completamente el bosque, puede restablecer el valor de esta entrada a 1, que requiere un controlador de dominio que reinicie y contenga los roles maestros de operaciones para tener una replicación entrante y saliente correcta de AD DS con sus asociados de réplica conocidos antes de anunciarse como controlador de dominio y comenzar a proporcionar servicios a los clientes. Para obtener más información sobre los requisitos de sincronización iniciales, consulte Roles FSMO de Active Directory.

4. Continúe con los pasos siguientes solo después de restaurar y comprobar los datos, y antes de unir este equipo a la red de producción.

5. Si sospecha que el error en todo el bosque estaba relacionado con una intrusión en la red o ataques malintencionados, restablezca las contraseñas de cuenta de todas las cuentas administrativas, incluidos los miembros de los grupos Administradores de empresa, Administradores de dominio, Administradores de esquemas, Operadores del servidor, Operadores de cuenta, etc. También se necesita el procedimiento de restablecimiento de contraseña completo de la cuenta krbtgt. El restablecimiento de contraseñas de las cuentas administrativas se debe completar antes de instalar controladores de dominio adicionales durante la siguiente fase de la recuperación del bosque.

   También, en este caso, trabaje en reemplazar todas las contraseñas de GMSA como si se hubiera tomado una cuenta administrativa. Es posible que el atacante haya recuperado información que le permita autenticarse como GMSA. Para obtener más información, consulte el artículo sobre el ataque Golden GMSA.

6. Si sospecha que las cuentas de usuario están en peligro, también debe planear un restablecimiento de contraseña de usuario para todos los usuarios del dominio.

7. En el primer controlador de dominio restaurado del dominio raíz del bosque, aproveche todos los roles maestros de operaciones en todo el dominio y en todo el bosque. Se necesitan credenciales de administradores de empresa y administradores de esquemas para aprovechar los roles maestros de operaciones de todo el bosque, según sea necesario.

   En cada dominio secundario, aproveche los roles maestros de operaciones de todo el dominio, según sea necesario. Aunque puede conservar los roles maestros de operaciones en el controlador de dominio restaurado solo temporalmente, el uso de estos roles le garantiza qué controlador de dominio los hospeda en este momento en el proceso de recuperación del bosque. Como parte del proceso posterior a la recuperación, puede redistribuir los roles maestros de operaciones según sea necesario. Para obtener más información sobre el uso de los roles maestros de operaciones, consulte Recuperación del bosque de AD: aprovechamiento de un rol maestro de operaciones. Para obtener recomendaciones sobre dónde colocar los roles maestros de operaciones, consulte ¿Qué son los maestros de operaciones?. Consulte también Colocación y optimización de la operación de un solo maestro flexible (FSMO) en los controladores de dominio de AD.

8. Limpie los metadatos de todos los demás controladores de dominio con posibilidad de escritura del dominio raíz del bosque que no vaya a restaurar a partir de la copia de seguridad (todos los controladores de dominio con posibilidad de escritura del dominio, excepto este primero). Si usa la versión de Usuarios y equipos de Active Directory o Sitios y servicios de Active Directory que se incluye con Windows Server 2012 o posterior, o RSAT para Windows 10 o posterior, la limpieza de metadatos se realiza automáticamente al eliminar un objeto de controlador de dominio. Además, el objeto de servidor y el objeto de equipo del controlador de dominio eliminado también se eliminan automáticamente. Para obtener más información, consulte Limpieza de metadatos de los controladores de dominio grabables eliminados y Limpieza de metadatos del servidor de AD DS.

   La limpieza de metadatos evita la posible duplicación de objetos de configuración NTDS si AD DS está instalado en un controlador de dominio de otro sitio. Potencialmente, esto también podría ahorrar al Comprobador de coherencia de la información (KCC) el proceso de creación de vínculos de replicación cuando los propios controladores de dominio pudieran no estar presentes. Además, como parte de la limpieza de metadatos, los registros de recursos DNS del localizador de controladores de dominio de todos los demás controladores de dominio del dominio se eliminarán del sistema DNS.

   Hasta que se quiten los metadatos de todos los demás controladores de dominio del dominio, este controlador de dominio, si era un maestro RID antes de la recuperación, no asumirá el rol de maestro RID y, por tanto, no podrá emitir nuevos RID. Es posible que aparezca el identificador de evento 16650 en el registro del sistema en el Visor de eventos para indicar este error, pero debería ver el identificador de evento 16648 que indica que se ha realizado correctamente un poco después de haber limpiado los metadatos.

9. Si tiene zonas DNS almacenadas en AD DS, asegúrese de que el servicio de servidor DNS local esté instalado y en ejecución en el controlador de dominio que ha restaurado. Si este controlador de dominio no era un servidor DNS antes del error del bosque, debe instalar y configurar el rol de servidor DNS en el controlador de dominio, o un servidor DNS debe estar disponible en el entorno de restauración.

   En el dominio raíz del bosque, configure el controlador de dominio restaurado con su propia dirección IP como su servidor DNS preferido. Puede configurar esta opción en las propiedades de TCP/IP del adaptador de red de área local (LAN). Este es el primer servidor DNS del bosque. Para obtener más información, consulte Recomendaciones para la configuración del cliente del sistema de nombres de dominio (DNS).

   En cada dominio secundario, configure el controlador de dominio restaurado con la dirección IP del primer servidor DNS del dominio raíz del bosque como su servidor DNS preferido. Puede configurar esta opción en las propiedades de TCP/IP del adaptador de LAN. Para obtener más información, consulte Recomendaciones para la configuración del cliente del sistema de nombres de dominio (DNS).

   En las zonas DNS del dominio y _msdcs, elimine los registros NS de los controladores de dominio que ya no existan después de la limpieza de metadatos. Compruebe si se han quitado los registros SRV de los controladores de dominio que se han limpiado. Para ayudar a acelerar la eliminación de registros SRV de DNS, ejecute:

   nltest.exe /dsderegdns:server.domain.tld

10. Aumente el valor del grupo de RID disponible en 100 000. Para más información, consulte Recuperación del bosque de AD: aumento del valor de los grupos de RID disponibles. Si tiene razón para creer que aumentar el grupo de RID en 100 000 no es suficiente para su situación en particular, debe determinar, teniendo en cuenta el consumo medio de RID en su entorno, el aumento más bajo que sigue siendo seguro de usar. Los RID son un recurso finito que no se debe usar innecesariamente.

    Si se crearon nuevas entidades de seguridad en el dominio después del momento de la copia de seguridad que se utiliza para la restauración, estas entidades de seguridad podrían tener derechos de acceso en determinados objetos. Estas entidades de seguridad ya no existen después de la recuperación porque la recuperación se ha revertido a la copia de seguridad; sin embargo, es posible que sus derechos de acceso sigan existiendo. Si no se aumenta el grupo de RID disponibles después de una restauración, los objetos de usuario creados después de la recuperación del bosque podrían obtener identificadores de seguridad (SID) idénticos y tener acceso a esos objetos, lo que no estaba previsto originalmente.

    Por ejemplo, puede haber un nuevo empleado. El objeto de usuario ya no existe después de la operación de restauración porque se ha creado después de la copia de seguridad que se ha usado para restaurar el dominio. Sin embargo, los derechos de acceso asignados a ese objeto de usuario podrían conservarse después de la operación de restauración. Si el SID de ese objeto de usuario se reasigna a un nuevo objeto después de la operación de restauración, el nuevo objeto obtendría esos derechos de acceso.

11. Invalide el grupo de RID actual. El grupo de RID actual se invalida después de una restauración del estado del sistema. Pero si no se ha realizado una restauración de estado del sistema, se debe invalidar el grupo de RID actual para evitar que el controlador de dominio restaurado vuelva a emitir los RID del grupo de RID que estaba asignado en el momento en el de crear la copia de seguridad. Para obtener más información, consulte Recuperación del bosque de AD: invalidación del grupo de RID actual.

    Nota

    La primera vez que intente crear un objeto con un SID después de invalidar el grupo de RID, recibirá un error. El intento de crear un objeto desencadena una solicitud para un nuevo grupo de RID. El reintento de la operación se realiza correctamente porque se asignará el nuevo grupo de RID.

12. Restablezca la contraseña de la cuenta de equipo de este controlador de dominio dos veces. Para obtener más información, consulte Recuperación del bosque de AD: restablecimiento de la cuenta de equipo en el controlador de dominio.

13. Restablezca la contraseña de krbtgt dos veces. Para obtener más información, consulte Recuperación del bosque de AD: restablecimiento de la contraseña de krbtgt. Dado que el historial de contraseñas de krbtgt es de dos contraseñas, restablezca las contraseñas dos veces para quitar la contraseña original (anterior) del historial de contraseñas.

    Nota

    Si la recuperación del bosque se produce en respuesta a una infracción de seguridad, también puede restablecer las contraseñas de confianza. Para obtener más información, consulte Restablecimiento de una contraseña de confianza en un lado de la confianza.

14. Si el bosque tiene varios dominios y el controlador de dominio restaurado era un servidor de catálogo global antes del error, desactive la casilla Catálogo global en las propiedades de configuración de NTDS para quitar el catálogo global del controlador de dominio. La excepción a esta regla es el caso común de un bosque con un solo dominio. En este caso, no es necesario quitar el catálogo global. Para obtener más información, consulte Recuperación del bosque de AD: eliminación del catálogo global.

    Al restaurar un catálogo global a partir de una copia de seguridad más reciente que otras copias de seguridad que se usaron para restaurar controladores de dominio en otros dominios, puede introducir objetos persistentes. Considere el ejemplo siguiente. En el dominio A, se restaura DC1 a partir de una copia de seguridad que se tomó en el momento T1. En el dominio B, se restaura DC2 a partir de una copia de seguridad del catálogo global que se tomó en el momento T2. Supongamos que T2 es más reciente que T1 y que se crearon algunos objetos entre T1 y T2. Después de restaurar estos controladores de dominio, DC2, que es un catálogo global, contiene datos más recientes para la réplica parcial del dominio A que los que mantiene el propio dominio A. DC2, en este caso, contiene objetos persistentes porque estos objetos no están presentes en DC1.

    La presencia de objetos persistentes puede provocar problemas. Por ejemplo, es posible que los mensajes de correo electrónico no se entreguen a un usuario cuyo objeto de usuario se haya movido entre dominios. Después de volver a poner en línea el controlador de dominio obsoleto o el servidor de catálogo global, ambas instancias del objeto de usuario aparecen en el catálogo global. Los dos objetos tienen la misma dirección de correo electrónico; por tanto, no se pueden entregar mensajes de correo electrónico.

    Otro problema es que una cuenta de usuario que ya no existe podría aparecer aún en la lista global de direcciones.

    Además, un grupo universal que ya no existe podría aparecer aún en el token de acceso de un usuario.

    Si restauró un controlador de dominio que era un catálogo global (ya sea accidentalmente o porque era la copia de seguridad solitaria en la que confía), se recomienda evitar la aparición de objetos persistentes deshabilitando el catálogo global poco después de que se complete la operación de restauración. Al deshabilitar la marca de catálogo global, el equipo perderá todas sus réplicas parciales (particiones) y se relegará a sí mismo al estado de controlador de dominio normal.

15. Si usa cuentas gMSA, es posible que tenga que volver a crearlas, ya que los detalles de generación de contraseñas pueden exponerse a un atacante. Consulte:
    Cómo recuperarse de un ataque Golden gMSA

    Consulte Recuperación de bosques de AD: recuperación de un único dominio dentro de un bosque de varios dominios para ver los pasos sobre cómo reemplazar las gMSA y asegurarse de que usan material de clave segura.

16. Configure el servicio de hora de Windows. En el dominio raíz del bosque, configure el emulador de PDC para sincronizar la hora desde un origen de hora externo. Para obtener más información, consulte Configuración del servicio de hora de Windows en el emulador de PDC del dominio raíz del bosque.

Reconexión a una red común de cada controlador de dominio restaurado con posibilidad de escritura

En esta fase, debe tener un controlador de dominio restaurado (y algunos pasos de recuperación realizados) en el dominio raíz del bosque y en cada uno de los dominios restantes. Una estos controladores de dominio a una red común aislada del resto del entorno y complete los pasos siguientes para validar el estado del bosque y la replicación.

Nota

Al unir los controladores de dominio físicos a una red aislada, es posible que tenga que cambiar sus direcciones IP. Como resultado, las direcciones IP de los registros DNS serán incorrectas. Dado que no hay disponible un servidor de catálogo global, se producirá un error en las actualizaciones dinámicas seguras para DNS. Los controladores de dominio virtuales tienen más ventajas en este caso porque se pueden unir a una nueva red virtual sin cambiar sus direcciones IP. Este es un motivo por el que se recomiendan los controladores de dominio virtuales como los primeros controladores de dominio que se restaurarán durante la recuperación del bosque.

Comprobación del estado de replicación del bosque

Después de la validación, una los controladores de dominio a la red de producción y complete los pasos para comprobar el estado de replicación del bosque.

• Para corregir la resolución de nombres, cree registros de delegación DNS y configure el reenvío DNS y las sugerencias raíz según sea necesario.
• Ejecute repadmin /replsum para comprobar la replicación entre controladores de dominio.
• Si los controladores de dominio restaurados no son partners de replicación directa, la recuperación de la replicación será mucho más rápida mediante la creación de objetos de conexión temporales entre ellos.
• Para validar la limpieza de metadatos, ejecute Repadmin /viewlist \* para obtener una lista de todos los controladores de dominio del bosque. Ejecute Nltest /DCList:***\<domain\>* para obtener una lista de todos los controladores de dominio del dominio.
• Para comprobar el estado de los controladores de dominio y DNS, ejecute DCDiag /v para notificar errores de todos los controladores de dominio del bosque.

Adición del catálogo global a un controlador de dominio del dominio raíz del bosque

Se requiere un catálogo global por estos y otros motivos:

• Para habilitar los inicios de sesión de los usuarios.
• Para habilitar el servicio Net Logon que se ejecuta en los controladores de dominio de cada dominio secundario para registrar y quitar registros en el servidor DNS del dominio raíz.

Aunque se prefiere que el controlador de dominio raíz del bosque sea un catálogo global, por lo general se recomienda decidir que todos los controladores de dominio sean un catálogo global.

Nota:

Un controlador de dominio no se anunciará como un servidor de catálogo global hasta que haya completado una sincronización completa de todas las particiones de directorio del bosque. Por lo tanto, el controlador de dominio debe verse obligado a replicarse con cada uno de los controladores de dominio restaurados del bosque.

Supervise el registro de eventos del servicio de directorio en el Visor de eventos en busca del identificador de evento 1119, lo que indica que este controlador de dominio es un servidor de catálogo global, o compruebe que la siguiente clave del Registro tenga un valor de 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Para obtener más información, consulte Recuperación del bosque de AD: adición del catálogo global.

En esta fase, debe tener un bosque estable, con un controlador de dominio para cada dominio y un catálogo global en el bosque. Debe realizar una nueva copia de seguridad de cada uno de los controladores de dominio que acaba de restaurar. Ahora puede empezar a volver a implementar otros controladores de dominio en el bosque instalando AD DS y configurando servidores de catálogo global adicionales.

Pasos siguientes

• Recuperación del bosque de AD: requisitos previos
• Recuperación de bosques de AD: diseñar un plan de recuperación de bosques personalizado
• Recuperación de bosques de AD: pasos para restaurar el bosque
• Recuperación del bosque de AD: identificar el problema
• Recuperación del bosque de AD: determinar cómo realizar la recuperación
• Recuperación del bosque de AD: realizar una recuperación inicial
• Recuperación del bosque de AD: procedimientos
• Recuperación de bosques de AD: preguntas más frecuentes (P+F)
• Recuperación de bosques de AD: recuperación de un único dominio dentro de un bosque de varios dominios
• Recuperación de bosques de AD: volver a implementar los controladores de dominio restantes
• Recuperación del bosque de AD: virtualización
• Recuperación de bosques de AD: limpieza