Recuperación de bosques de AD: volver a implementar los controladores de dominio restantes

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y 2012 R2, Windows Server 2008 y 2008 R2

Los pasos hasta este momento son válidos para todos los bosques: localizar una copia de seguridad válida para cada dominio, recuperar los dominios aislados, volver a conectarlos, restablecer el catálogo global y limpiar. En el paso siguiente, volverá a implementar el bosque. La manera de hacerlo dependerá en gran medida del diseño del bosque, de los Acuerdos de Nivel de Servicio, de la estructura del sitio, del ancho de banda disponible y de otros muchos factores. Tendrá que diseñar un plan de nueva implementación propio según los principios y las sugerencias de esta sección, y de la forma más acorde a los requisitos empresariales.

El siguiente paso consiste en instalar AD DS en todos los controladores de dominio que había antes de que se llevara a cabo la recuperación del bosque. Si los controladores de dominio siguen existiendo, el servicio de AD DS se deberá quitar forzadamente, o se pueden volver a instalar los controladores de dominio. No se pueden reutilizar las copias de seguridad existentes de estos controladores de dominio, ya que los metadatos correspondientes se han quitado durante la recuperación del bosque. En un entorno sencillo, este proceso de nueva implementación puede ser tan simple como volver a conectar los controladores de dominio recuperados a la red de producción y promover los nuevos controladores de dominio según sea necesario.

En una gran empresa con una infraestructura mundial, se necesita un plan más elaborado. La primera fase suele ser restaurar AD como servicio; es decir, instalar controladores de dominio estratégicamente colocados de modo que todas las divisiones empresariales y las aplicaciones críticas puedan empezar a funcionar de nuevo. (Como consecuencia de ello, puede que el rendimiento de las sucursales se reduzca temporalmente, lo cual es admisible). En la segunda fase, todos los controladores de dominio restantes (y menos críticos) se vuelven a implementar.

Hay dos métodos para instalar controladores de dominio adicionales, y ambos que se pueden automatizar:

Clonar

Se puede automatizar la recuperación de todos los controladores de dominio virtualizados en un dominio después de restaurar un único controlador de dominio virtualizado a partir de una copia de seguridad. Para obtener más información sobre la clonación y los requisitos previos, vea Introducción a la virtualización de Active Directory Domain Services (AD DS) (nivel 100).

Reinstalar AD DS mediante Windows PowerShell

Para acelerar la reinstalación de AD DS, puede usar la opción Instalar desde el medio (IFM) a fin de reducir el tráfico de replicación durante la instalación. Para obtener más información sobre cómo usar el comando ntdsutil ifm para crear medios de instalación, consulte Instalación de AD DS desde un medio.

Tenga en cuenta estos otros puntos en cada controlador de dominio de réplica que se recupere en el bosque mediante la clonación del controlador de dominio virtualizado o mediante la instalación de AD DS (en lugar de restaurar a partir de una copia de seguridad):

• Todo el software de un controlador de dominio que se usa como origen de la clonación debe poder clonarse. Las aplicaciones y los servicios que no se puedan clonar se deben quitar antes de iniciar la clonación. Si eso no es posible, se debe elegir otro controlador de dominio virtualizado como origen.
• Si se clonan más controladores de dominio virtualizados del primer controlador de dominio virtualizado que se va a restaurar, el controlador de dominio de origen deberá apagarse mientras su archivo VHDX correspondiente se copia. Tras ello, deberá estar en funcionamiento y disponible en línea cuando se inicien por primera vez los controladores de dominio virtuales clonados. Si el tiempo de inactividad necesario durante el apagado no es aceptable para el primer controlador de dominio recuperado, implemente un controlador de dominio virtualizado adicional, e instale AD DS para que actúe como origen de la clonación.
• No existe ninguna restricción en el nombre de host del controlador de dominio virtualizado clonado o del servidor en el que se quiere instalar AD DS. Puede usar un nombre de host nuevo o el nombre de host que se usaba anteriormente. Para obtener más información sobre la sintaxis de los nombres de host DNS, vea Creación de nombres de equipo DNS (https://go.microsoft.com/fwlink/?LinkId=74564).
• Configure cada servidor con el primer servidor DNS del bosque (el primer controlador de dominio que se restauró en el dominio raíz) como el servidor DNS preferido en las propiedades TCP/IP del adaptador de red. Para obtener más información, vea Configuración de TCP/IP para usar DNS.
• Vuelva a implementar todos los RODC en el dominio, ya sea mediante la clonación del controlador de dominio virtualizado (si hay varios RODC implementados en una ubicación central) o con el método tradicional de volver a crearlos mediante la eliminación y reinstalación de AD DS (si están implementados individualmente en ubicaciones aisladas, como sucursales).
  • Volver a crear los RODC garantiza que no contengan ningún objeto persistente, y puede ayudar a evitar que se produzcan conflictos de replicación más adelante. Al quitar AD DS de un RODC, seleccione la opción para conservar los metadatos del controlador de dominio. El uso de esta opción conserva tanto la cuenta krbtgt del RODC como los permisos de la cuenta de administrador de RODC delegada y la Directiva de replicación de contraseñas (PRP), y evita que haya que usar credenciales administrador de dominio para quitar y reinstalar AD DS en un RODC. También se conserva el servidor DNS y los roles de catálogo global, si están instalados originalmente en el RODC.
  • Al volver a crear los controladores de dominio (RODC o controladores de dominio grabables), puede haber un mayor tráfico de replicación durante su reinstalación. Para ayudar a reducir el impacto de esto, puede escalonar la programación de las instalaciones de RODC y usar la opción Instalar desde el medio (IFM). Si usa la opción de IFM, ejecute el comando ntdsutil ifm en un controlador de dominio que sea grabable y en el que tenga la seguridad de que no hay datos dañados. Esto evita que los posibles datos dañados aparezcan en el RODC una vez completada la reinstalación de AD DS. Para obtener más información sobre IFM, vea Instalación de AD DS desde un medio.
  • Para obtener más información sobre cómo volver a crear los RODC, vea Eliminación y reinstalación de RODC.
• Si un controlador de dominio ejecutaba el servicio del servidor DNS antes de que el bosque dejara de funcionar correctamente, instale y configure el servicio del servidor DNS durante la instalación de AD DS. Si no, configure los clientes DNS anteriores con otros servidores DNS.
• Si necesita más catálogos globales para compartir la autenticación o la carga de consultas de usuarios o aplicaciones, puede agregar el catálogo global al controlador de dominio virtualizado de origen antes de la clonación, o bien hacer que un controlador de dominio actúe como servidor de catálogo global durante la instalación de AD DS.

Pasos siguientes

• Recuperación del bosque de AD: requisitos previos
• Recuperación de bosques de AD: diseñar un plan de recuperación de bosques personalizado
• Recuperación de bosques de AD: pasos para restaurar el bosque
• Recuperación del bosque de AD: identificar el problema
• Recuperación del bosque de AD: determinar cómo realizar la recuperación
• Recuperación del bosque de AD: realizar una recuperación inicial
• Recuperación del bosque de AD: procedimientos
• Recuperación de bosques de AD: preguntas más frecuentes (P+F)
• Recuperación de bosques de AD: recuperación de un único dominio dentro de un bosque de varios dominios
• Recuperación de bosques de AD: volver a implementar los controladores de dominio restantes
• Recuperación del bosque de AD: virtualización
• Recuperación de bosques de AD: limpieza