Restauración no autorizada del controlador de dominio AD desde la copia de seguridad – informaticamadridmayor

por | Mar 12, 2022 | Admin

Si su controlador de dominio de Active Directory falla y tiene una copia de seguridad de DC (creado usando Windows Server Backup u otras herramientas de copia de seguridad), puede restaurar un único controlador de dominio o todo el dominio de AD. En este artículo, le mostraremos cómo realizar una sin autoridad Recuperación de AD DS usando Windows Server Backup. Se supone que tiene una copia de seguridad de DC y conoce el DSRM contraseña (si pierde la contraseña de DSRM, puede restablecerla).

Hay dos modos de recuperación del controlador de dominio:

  • Restauración no autorizada de los servicios de dominio de Active Directory—en este modo, se supone que uno de sus controladores de dominio ha fallado y usted no desea agregar un DC adicional en el dominio. Durante la recuperación no autorizada, todos los controladores de dominio entienden que su DC se ha restaurado desde la copia de seguridad y le envían todos los cambios que se acumularon en AD desde que se creó la copia de seguridad;
  • Restauración autorizada de ADDS—realizado extremadamente raramente. Por ejemplo, cuando la base NTDS en todos los controladores de dominio de un dominio se destruye o corrompe (o solo tenía un controlador de dominio implementado en el dominio). En este caso, la base de datos de AD en el controlador de dominio restaurado se considera principal y sus objetos se replicado a todos los demás DC. Tenga en cuenta que la recuperación autorizada incorrecta puede generar nuevos problemas con su AD.

En la gran mayoría de los casos, si tiene varios controladores de dominio implementados en su dominio, se utiliza la recuperación no autorizada. Puede usar la recuperación de DC no autorizada si:

  1. El servidor físico con la función ADDS ha fallado y desea implementar la función del controlador de dominio anterior en el servidor recién implementado;
  2. Debe realizar la recuperación desde una instantánea, clonar o revertir un DC virtual. Este modo es compatible con invitados de DC virtualizados con Windows Server 2012 y versiones posteriores. La plataforma de host del hipervisor debe ser compatible ID de generación de máquina virtual (VMGID) (al menos Hyper-V 2012 o VMWare vSphere 5.0 Update 2).

Al realizar una recuperación de DC no autorizada, se seguirán los siguientes pasos:

  1. El estado del sistema operativo vuelve al estado en el momento de la copia de seguridad;
  2. Se genera un nuevo ID de invocación de DSA: este es un GUID único para la base de datos ntds.dit. Al restablecer este parámetro, el controlador de dominio informa a otros controladores de dominio del bosque que se restauró a partir de una copia de seguridad;
  3. El conjunto de RID actual se restablecerá y se recibirá uno nuevo. Si no restablece el grupo de RID y solicita uno nuevo, las entidades principales de seguridad con el mismo SID aparecerán en el bosque. El grupo RID se solicita desde el controlador de dominio con el FSMO papel Maestro RID;
  4. Se producirá una recuperación de SYSVOL no autorizada (los archivos del directorio SYSVOL se copian desde otros DC).

Insinuación. Sin embargo, puede realizar una autoritario Restaure SYSVOL simplemente marcando la casilla correspondiente en el asistente de WSB o configurando el indicador -authsysvol en el comando wbadmin. Por ejemplo: wbadmin start systemstaterecovery -versión:03/01/2020-13:00 -authsysvol

Por lo tanto, realiza una instalación limpia de la misma versión de Windows Server en un nuevo servidor y desea restaurar la función de DC desde la copia de seguridad en él. Establezca la dirección IP estática del controlador de dominio antiguo para el servidor e instale el AÑADE rol (sin configurarlo) y el Copia de seguridad del servidor de Windows rasgo.

Para restaurar Active Directory, debe iniciar el servidor en el Modo de restauración de servicios de directorio (DSRM). Para hacer esto, ejecute el msconfig comando, vaya a la Bota pestaña, seleccione la Arranque seguro > Reparación de directorio activo opción.

O simplemente ejecute los comandos:

bcdedit /set safeboot dsrepair
shutdown -t 0 –r

Reinicie el servidor. Debería arrancar en modo DSRM. Ejecute la copia de seguridad del servidor de Windows (wbadmin) y seleccione Recuperar desde el panel de acción.

copia de seguridad y restauración del controlador de dominio

En el asistente de recuperación, seleccione Una copia de seguridad almacenada en otra ubicación.

restauración del controlador de dominio desde la copia de seguridad

Seleccione Unidad local como ubicación de copia de seguridad.

restaurar el controlador de dominio desde la copia de seguridad 2016

Seleccione la versión de la copia de seguridad, la fecha y la hora de la copia de seguridad del estado del sistema que estamos restaurando.

restaurar el controlador de dominio desde la copia de seguridad 2019

restaurar el controlador de dominio desde el servidor de respaldo 2019

Sobre el Seleccione Recuperación pantalla, seleccione Estado del sistema.

copia de seguridad y restauración del controlador de dominio 2016

Seleccione Ubicación original para realizar una restauración no autorizada.

copia de seguridad y restauración del controlador de dominio 2019

Haga clic en "Recuperar” en el paso de Confirmación para iniciar el proceso de recuperación.

Espere hasta que se complete la recuperación del controlador de dominio AD. El nombre de su nuevo servidor cambiará al nombre del antiguo DC.

ejecutar el msconfig y deshabilite el modo de inicio seguro (de lo contrario, su servidor se iniciará nuevamente en el modo DSRM).

Después de que se inicie el servidor, ejecute Usuarios y equipos de Active Directory (ADUC) consola y verifique que se conectó con éxito a su DC.

Recomendado para ti

Artículos relacionados: