Ripristino della foresta di Active Directory - Domande frequenti

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e 2012 R2 Questo documento contiene domande frequenti sul ripristino della foresta:

Cosa posso fare per velocizzare il ripristino?

Anche se la velocità di ripristino non è l'obiettivo principale di questa guida, è possibile ottenere tempi di ripristino più brevi per:

  • Creare un piano di ripristino dettagliato della foresta, aggiornare regolarmente e praticarlo in un ambiente di test simulato di dimensioni ragionevoli almeno una volta all'anno.
  • Eseguire un backup COMPLETO di Windows Server Backup che fornisce sia il ripristino bare metal (BMR) che un ripristino dello stato del sistema.
  • Uso della clonazione del controller di dominio virtualizzato. La clonazione di controller di dominio virtualizzati accelera il processo per distribuire controller di dominio aggiuntivi per ripristinare la larghezza di banda originale dei servizi di dominio. Controller di dominio in esecuzione dopo il ripristino di un controller di dominio dal backup in ogni dominio; poiché si tratta di un ripristino non autoritario, l'emulatore PDC deve essere disponibile anche durante l'operazione di clonazione. I controller di dominio virtualizzati aggiuntivi possono essere clonati anziché attendere il completamento di installazioni di Active Directory Domain Services potenzialmente lunghe e il completamento della replica non critica dopo l'installazione. Le foreste in cui i controller di dominio virtuali sono ospitati in un numero relativamente ridotto di data center ben connessi possono trarre vantaggio dalla maggior parte dalla clonazione durante il ripristino. Tuttavia, dovrebbe trarne vantaggio qualsiasi ambiente in cui più controller di dominio virtualizzati per lo stesso dominio si trovano nello stesso host hypervisor.
  • Uso di Install From Media IFM per ridurre il tempo necessario per la replica completa, riducendo il traffico di replica, in quanto verrà replicato solo il delta. Abilita anche l'installazione rapida di più controller di dominio.
  • Se si usano scenari di siti remoti complessi (rari): -** Installare Active Directory Domain Services in uno o più server in un sito hub o di gestione temporanea**, quindi inviarli al sito remoto.
    • Implementare procedure di backup/ripristino per controller di dominio con connettività scarsa/intermittente, oltre ai controller di dominio designati come sistemi di backup e ripristino di emergenza (BDR) primari nelle posizioni dei data center primari. Sarà necessario aggiungere dei passaggi per sincronizzare i controller di dominio ripristinati in altre posizioni con i principali controller di dominio del datacenter. A tale scopo, designare un controller di dominio come riferimento dell'account computer e solo lì consentire l'esecuzione di KDCSVC. Negli altri controller di dominio ripristinati seguire la procedura descritta in Reimpostare la password del controller di dominio con Netdom.exe
  • Distribuzione di controller di dominio di sola lettura (RODC) I controller di dominio di sola lettura possono fornire continuità aziendale durante il processo di ripristino perché non è necessario disconnetterli dalla rete come controller di dominio scrivibili. I controller di dominio di sola lettura non eseguono la replica in uscita. Pertanto, non presentano lo stesso rischio che i controller di dominio scrivibili comportano per la replica di dati dannosi nell'ambiente ripristinato.

Altri fattori che influiscono sulla durata del processo di ripristino della foresta includono:

  • Quando i controller di dominio sono macchine virtuali, è possibile sfruttare il ripristino dello snapshot per eseguire il rollback di un controller di dominio a uno stato valido noto. Questo non è l'approccio consigliato perché gli snapshot usati per i backup includono alcune avvertenze, ad esempio la disponibilità di spazio su disco per gli snapshot nel server di macchine virtuali per avere una cronologia di backup utilizzabile. È consigliabile usare backup regolari come mezzo principale per il ripristino. Gli snapshot delle macchine virtuali possono essere utili per il ripristino da problemi dopo modifiche sensibili, ad esempio aggiornamenti a livello di foresta come la ridenominazione del dominio o gli aggiornamenti dello schema di grandi dimensioni. Nota: bisogna contrassegnare SYSVOL come autorevole per DFSR manualmente quando necessario. Per altre informazioni sul controller di dominio virtualizzato, vedere Architettura di controller di dominio virtualizzati.

  • Quando si ripristinano controller di dominio dai backup, è necessario del tempo per individuare e recuperare i supporti di backup fisici, ad esempio i nastri, reinstallare il sistema operativo, a seconda dello scenario di ripristino, e ripristinare i dati dai supporti di backup.

    Nota

    È possibile ridurre il tempo necessario per reinstallare il sistema operativo e ripristinare i dati dal backup eseguendo un ripristino bare metal anziché il ripristino dello stato del sistema. Poiché il ripristino bare metal è basato su binario, viene completato molto più velocemente rispetto al ripristino dello stato del sistema. Tuttavia, se il server contiene dati esclusi dai dati sullo stato del sistema che non si desidera ripristinare, il ripristino bare metal potrebbe non essere un'alternativa praticabile al ripristino dello stato del sistema. Considerare i vantaggi dell'esecuzione di un ripristino completo del server anziché di un ripristino dello stato del sistema per i server in modo specifico e prepararsi di conseguenza eseguendo il tipo di backup appropriato che si prevede di ripristinare in un secondo momento. In generale si consiglia di eseguire un backup COMPLETO che consenta di ripristinare sia il BMR che lo Stato del sistema.

    • Quando si ricompilano controller di dominio in base alla replica, la replica dei dati per promozioni basate sulla rete richiede tempo. È possibile ridurre il tempo necessario per il ripristino dei controller di dominio inserendo il nuovo controller di dominio nella stessa subnet del partner da promuovere. Ciò riduce al minimo i ritardi causati dal round trip di rete e dalla velocità effettiva.
  • Ridurre il tempo necessario per il recupero dei supporti di backup in base a:

    • Uso dello strumento di montaggio del database di Active Directory (Dsamain.exe) per identificare il backup migliore da usare per le operazioni di ripristino. Per altre informazioni sull'utilizzo dello strumento di montaggio del database di Active Directory, vedere Guida dettagliata allo strumento di montaggio del database di Active Directory.
    • Etichettatura dei supporti di backup in modo chiaro e archiviazione dei supporti in modo organizzato in una posizione comoda, ma sicura, che consenta il recupero rapido. Assicurarsi di disporre di credenziali valide in base ai backup.
  • Forzare la rimozione di Active Directory Domain Services dai controller di dominio anziché reinstallare il sistema operativo. Se la causa dell'errore a livello di foresta è stata identificata esclusivamente nell'ambito di Servizi di dominio Active Directory, non è necessario reinstallare il sistema operativo nei controller di dominio. Per altre informazioni sull'uso forzato della rimozione di Servizi di dominio Active Directory da un controller di dominio, vedere Uso forzato della rimozione di un controller di dominio di Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=132627).

  • Usare dispositivi nastro o backup su disco più veloci per ridurre il tempo necessario per le operazioni di ripristino. Le aziende che hanno un contratto di servizio più aggressivo potrebbero prendere in considerazione la possibilità di modificare le procedure di ripristino della foresta per velocizzare il ripristino.

È possibile automatizzare il processo di ripristino della foresta?

A causa della natura complessa e critica del processo di ripristino della foresta, attualmente non esiste alcuna automazione end-to-end. Il processo di ripristino della foresta è più una sfida logistica e organizzativa di ripristino della continuità aziendale che un problema tecnico di automazione dei processi. Di conseguenza, l'utente che gestisce l'ambiente deve creare un piano di ripristino della foresta specifico per tale ambiente e quindi automatizzare le sezioni che possono essere automatizzate correttamente.

È possibile eseguire la maggior parte dei passaggi di ripristino della foresta usando gli strumenti da riga di comando. Pertanto, la maggior parte dei passaggi è gestibile tramite script. Ad esempio, Ntdsutil.exe è uno degli strumenti usati più di frequente nel processo di ripristino della foresta.

Anche se gli script possono velocizzare il ripristino, è necessario testare accuratamente questi script prima di applicarli in un ambiente reale. Inoltre, è necessario aggiornarli in base alle modifiche nell'ambiente Active Directory, ad esempio l'aggiunta di un nuovo dominio o controller di dominio o una nuova versione di Active Directory.