Share via

Ripristino foresta Active Directory - Ridistribuire i controller di dominio rimanenti

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e 2012 R2, Windows Server 2008 e 2008 R2

I passaggi fino a questo punto si applicano a tutte le foreste: trovare un backup valido per ogni dominio, ripristinare i domini in isolamento, riconnetterli, reimpostare il catalogo globale e pulire. In questo passaggio successivo si ridistribuirà la foresta. Il modo per eseguire questa operazione dipenderà notevolmente dalla progettazione della foresta, dai contratti di servizio, dalla struttura del sito, dalla larghezza di banda disponibile e da numerosi altri fattori. Si dovrà progettare un piano di ridistribuzione personalizzato in base ai principi e ai suggerimenti in questa sezione, in modo che sia più adatto ai requisiti aziendali.

Il passaggio successivo consiste nell'installare Active Directory Domain Services in tutti i controller di dominio presenti prima del ripristino della foresta. Se i controller di dominio esistono ancora, Active Directory Domain Services dovrà essere rimosso forzatamente o i controller di dominio possono essere reinstallati. I backup esistenti per questi controller di dominio non possono essere riutilizzati perché i metadati corrispondenti sono stati rimossi durante il ripristino della foresta. In un ambiente non replicato questo processo di ridistribuzione può essere semplice come riconnettere i controller di dominio ripristinati alla rete di produzione e promuovere nuovi controller di dominio in base alle esigenze.

In un'azienda di grandi dimensioni rispetto a un'infrastruttura mondiale, è necessario un piano più sofisticato. La prima fase consiste in genere nel ripristinare AD come un servizio; installare controller di dominio posizionati in modo strategico in modo che tutte le divisioni aziendali e le applicazioni critiche possano ricominciare a funzionare. (Può risultare accettabile che le succursali abbiano temporaneamente prestazioni ridotte a causa di questo.) Come seconda fase, tutti i controller di dominio rimanenti e meno critici vengono ridistribuiti.

Esistono due metodi per installare controller di dominio aggiuntivi, entrambi automatizzati:

Clona

È possibile automatizzare il ripristino di tutti i controller di dominio virtualizzati in un dominio dopo aver ripristinato un singolo controller di dominio virtualizzato dal backup. Per altre informazioni sulla clonazione e sui prerequisiti, vedere Introduzione alla visualizzazione di Servizi di dominio Active Directory (livello 100).

Installare Servizi di dominio Active Directory mediante Windows PowerShell

Per accelerare la reinstallazione di Active Directory Domain Services, è possibile usare l'opzione Installa da supporti (IFM) per ridurre il traffico di replica durante l'installazione. Per altre informazioni sull'uso del comando ntdsutil ifm per creare supporti di installazione, vedere Installazione di Active Directory Domain Services dai supporti.

Si considerino i punti aggiuntivi seguenti per ogni controller di dominio di replica recuperato nella foresta tramite clonazione del controller di dominio virtualizzato o installando Active Directory Domain Services (anziché il ripristino dal backup):

  • Tutti i software in un controller di dominio usato come origine per la clonazione devono essere clonati. Le applicazioni e i servizi che non possono essere clonati devono essere rimossi prima dell'avvio della clonazione. Se non è possibile, un controller di dominio virtualizzato alternativo deve essere scelto come origine.
  • Se si clonano controller di dominio virtualizzati aggiuntivi dal primo controller di dominio virtualizzato da ripristinare, il controller di dominio di origine dovrà essere arrestato mentre viene copiato il relativo file VHDX. Sarà quindi necessario che sia in esecuzione e disponibile online al primo avvio dei controller di dominio virtuali clonati. Se il tempo di inattività richiesto dall'arresto non è accettabile per il primo controller di dominio ripristinato, distribuire un controller di dominio virtualizzato aggiuntivo installando Active Directory Domain Services per fungere da origine per la clonazione.
  • Non esiste alcuna restrizione sul nome host del controller di dominio virtualizzato clonato o sul server in cui si vuole installare Active Directory Domain Services. È possibile usare un nuovo nome host o il nome host usato in precedenza. Per altre informazioni sulla sintassi del nome host DNS, vedere Creazione nomi di computer DNS (https://go.microsoft.com/fwlink/?LinkId=74564).
  • Configurare ogni server con il primo server DNS nella foresta (il primo controller di dominio ripristinato nel dominio radice) come server DNS preferito nelle proprietà TCP/IP della scheda di rete. Per altre informazioni, vedere Configurare TCP/IP per l'uso del DNS.
  • Ridistribuire tutti i controller di dominio di sola lettura nel dominio, tramite la clonazione dei controller di dominio virtualizzati se diversi controller di dominio di sola lettura vengono distribuiti in una posizione centrale o tramite il metodo tradizionale di ricompilazione, rimuovendo e reinstallando Active Directory Domain Services se vengono distribuiti singolarmente in posizioni isolate, ad esempio succursali.
    • La ricompilazione dei controller di dominio di sola lettura garantisce che non contengano oggetti residui e può impedire che si verifichino conflitti di replica in un secondo momento. Quando si rimuove Active Directory Domain Services da un controller di dominio di sola lettura, scegliere l'opzione per conservare i metadati del controller di dominio. L'uso di questa opzione mantiene l'account krbtgt per il controller di dominio di sola lettura e mantiene le autorizzazioni per l'account amministratore del controller di dominio di sola lettura delegato e i criteri di replica delle password e impedisce di dover usare le credenziali di amministratore del dominio per rimuovere e reinstallare Active Directory Domain Services in un controller di dominio di sola lettura. Mantiene anche i ruoli del server DNS e del catalogo globale, se installati in origine nel controller di dominio di sola lettura.
    • Quando si ricompilano controller di dominio (controller di dominio di sola lettura o controller di dominio scrivibili), durante la reinstallazione potrebbe verificarsi un aumento del traffico di replica. Per ridurre l'impatto, è possibile sfalsare la pianificazione delle installazioni del controller di dominio di sola lettura ed è possibile usare l'opzione Installazione da supporto (IFM). Se si usa l'opzione IFM, eseguire il comando ntdsutil ifm in un controller di dominio scrivibile che si considera attendibile essendo privo di dati danneggiati. Ciò consente di evitare che il danneggiamento venga visualizzato nel controller di dominio di sola lettura dopo il completamento della reinstallazione di Active Directory Domain Services. Per altre informazioni su IFM, vedere Installazione di Active Directory Domain Services dai supporti.
    • Per altre informazioni sulla ricompilazione dei controller di dominio di sola lettura, vedere Rimozione e reinstallazione del controller di dominio di sola lettura.
  • Se un controller di dominio esegue il servizio server DNS prima del malfunzionamento della foresta, installare e configurare il servizio server DNS durante l'installazione di Active Directory Domain Services. In caso contrario, configurare i client DNS precedenti con altri server DNS.
  • Se sono necessari cataloghi globali aggiuntivi per condividere l'autenticazione o il carico di query per utenti o applicazioni, è possibile aggiungere il catalogo globale al controller di dominio virtualizzato di origine prima della clonazione oppure creare un server di catalogo globale durante l'installazione di Active Directory Domain Services.

Passaggi successivi