Compartilhar via


Recuperação de Floresta do Active Directory – Executar a recuperação inicial

Esta seção inclui as etapas a seguir:

Restaurar o primeiro controlador de domínio gravável em cada domínio

Começando com um controlador de domínio gravável no domínio raiz da floresta, conclua as etapas nesta seção para restaurar o primeiro controlador de domínio. O domínio raiz da floresta é importante porque armazena os grupos Administradores de Esquema e Administradores Corporativos. Ele também ajuda a manter a hierarquia de confiança na floresta. Além disso, o domínio raiz da floresta geralmente contém o servidor raiz do DNS para o namespace DNS da floresta. Consequentemente, a zona DNS integrada ao Active Directory para esse domínio contém os registros de recursos de alias (CNAME) para todos os outros controladores de domínio na floresta (que são necessários para replicação) e os registros de recursos de DNS do catálogo global.

Depois de recuperar o domínio raiz da floresta, repita as mesmas etapas para recuperar os domínios restantes na floresta. É possível recuperar mais de um domínio simultaneamente, no entanto, sempre recupere um domínio pai antes de recuperar um filho para evitar qualquer interrupção na hierarquia de confiança ou resolução de nomes DNS.

Para cada domínio recuperado, restaure um controlador de domínio gravável do backup. Essa é a parte mais importante da recuperação porque o controlador de domínio deve ter um banco de dados que não tenha sido influenciado pelo que causou a falha da floresta. É importante ter um backup confiável que seja testado completamente antes de ser introduzido no ambiente de produção.

Em seguida, siga estas etapas. Os procedimentos para executar determinadas etapas estão em Recuperação de Floresta do AD – Procedimentos.

  1. Caso planeje restaurar um servidor físico, verifique se o cabo de rede do controlador de domínio de destino não está anexado e, portanto, não está conectado à rede de produção. Para uma máquina virtual, remova o adaptador de rede ou use um adaptador de rede anexado a outra rede em que é possível testar o processo de recuperação enquanto estiver isolado da rede de produção.

  2. Como este é o primeiro controlador de domínio gravável no domínio, execute uma restauração não autoritativa do AD DS e uma restauração autoritativa do SYSVOL. A operação de restauração deve ser concluída usando um aplicativo de backup e restauração com reconhecimento do Active Directory, como o Backup do Windows Server (recomendado). Se houver suporte para a ID de Geração do Hyper-Vistor no host, você também poderá fazer a restauração não autoritativa usando um instantâneo de VM.

    • Uma restauração autoritativa do SYSVOL é necessária no primeiro controlador de domínio recuperado, pois a replicação da pasta do SYSVOL deve ser reiniciada com as novas instâncias após a recuperação de um desastre. Todos os controladores de domínio subsequentes adicionados no domínio devem sincronizar novamente sua pasta do SYSVOL com uma cópia da pasta que foi selecionada para ser autoritativa.

      Aviso

      Execute uma operação de restauração autoritativa (ou primária) do SYSVOL somente para o primeiro controlador de domínio a ser restaurado no domínio raiz da floresta. Executar incorretamente operações de restauração primária do SYSVOL em outros controladores de domínio leva a conflitos de replicação de dados SYSVOL. Há duas opções para executar uma restauração não autoritativa do AD DS e uma restauração autoritativa do SYSVOL:

    • Execute uma recuperação completa do servidor e force uma sincronização autoritativa do SYSVOL. Para obter procedimentos detalhados, consulte Executando uma recuperação completa do servidor e Executar uma sincronização autoritativa do SYSVOL replicado pelo DFSR.

    • Execute uma recuperação completa do servidor seguida por uma restauração de estado do sistema. Essa opção exige criar dois tipos de backups com antecedência: um backup de servidor completo e um backup de estado do sistema. Para obter procedimentos detalhados, consulte Executar uma recuperação completa do servidor e Executar uma restauração não autoritativa do Active Directory Domain Services.

  3. Depois de restaurar e reiniciar o controlador de domínio gravável, verifique se a falha não afetou os dados no controlador de domínio. Se os dados do controlador de domínio estiverem danificados, repita a etapa 2 com um backup diferente.

    • Se o controlador de domínio restaurado hospedar uma função mestra de operações, talvez seja necessário adicionar a seguinte entrada do Registro para evitar que o AD DS esteja indisponível até concluir a replicação de uma partição de diretório gravável:

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
      Perform Initial Synchronizations
      

      Crie a entrada com o tipo de dados REG_DWORD e um valor de 0. Depois que a floresta for recuperada completamente, redefina o valor dessa entrada para 1, o que requer um controlador de domínio que reinicie e mantenha funções mestras de operações para ter uma replicação de entrada e saída do AD DS bem-sucedida com seus parceiros de réplica conhecidos, antes que ele se anuncie como controlador de domínio e comece a fornecer serviços aos clientes. Para obter mais informações sobre os requisitos iniciais de sincronização, consulte Funções FSMO do Active Directory.

  4. Continue para as próximas etapas somente depois de restaurar e verificar os dados e antes de ingressar esse computador na rede de produção.

  5. Caso suspeite que a falha em toda a floresta estava relacionada à intrusão de rede ou ataque mal-intencionado, redefina as senhas da conta para todas as contas administrativas, incluindo membros dos grupos Administradores da Empresa, Administradores de Domínio, Administradores de Esquema, Operadores de Servidor, Grupos de Operadores de Conta e assim por diante. O procedimento de redefinição de senha completo da conta krbtgt também é necessário. A redefinição de senhas de conta administrativa deve ser concluída antes que controladores de domínio adicionais sejam instalados durante a próxima fase da recuperação da floresta.

    Também nesse caso, trabalhe na substituição de todas as senhas GMSA como se o controle de uma conta administrativa tivesse sido tomado, o invasor pode ter recuperado informações que permitem que ele se autentique como GMSA. Para obter detalhes, consulte o artigo sobre o ataque GMSA dourado.

  6. Se você suspeitar que as contas de usuário foram comprometidas, também precisará planejar uma redefinição de senha para todos os usuários no domínio.

  7. No primeiro controlador de domínio restaurado no domínio raiz da floresta, assuma todas as funções mestras de operações em todo o domínio e em toda a floresta. As credenciais de administradores corporativos e administradores de esquema são necessárias para assumir as funções mestra de operações em toda a floresta, conforme exigido.

    Em cada domínio filho, assuma as funções mestras de operações em todo o domínio, conforme exigido. Embora você possa manter as funções mestras de operações no controlador de domínio restaurado apenas temporariamente, a tomada dessas funções garante que você as hospede neste ponto no processo de recuperação da floresta. Como parte do processo pós-recuperação, redistribuía as funções mestras de operações conforme necessário. Para obter mais informações sobre como assumir as funções mestras de operações, consulte Como assumir uma função mestra de operações. Para obter recomendações sobre onde alocar funções mestras de operações, consulte O que são operações mestras?. Consulte também Posicionamento e otimização da FSMO (Operação Mestra Única Flexível) nos controladores de domínio do AD.

  8. Limpe os metadados de todos os outros controladores de domínio graváveis no domínio raiz da floresta que você não está restaurando do backup (todos os controladores de domínio graváveis no domínio, exceto para este primeiro). Caso use a versão do Usuários e Computadores do Active Directory ou Sites e Serviços do Active Directory que está incluída no Windows Server 2012 ou posterior ou RSAT para Windows 10 ou posterior, a limpeza de metadados é executada automaticamente ao excluir um objeto de controlador de domínio. Além disso, o objeto de servidor e o objeto de computador do controlador de domínio excluído também são excluídos automaticamente. Para obter mais informações, consulte Como limpar metadados de controladores de domínio graváveis removidos e Como limpar metadados do servidor do AD DS.

    A limpeza de metadados impede a possível duplicação de objetos de configurações NTDS se o AD DS estiver instalado em um controlador de domínio em um site diferente. Potencialmente, isso também pode salvar o KCC (Verificador de Consistência de Conhecimento) do processo de criação de links de replicação quando os próprios controladores de domínio podem não estar presentes. Além disso, como parte da limpeza de metadados, os registros de recurso de DNS do Localizador de controle de domínio para todos os outros controladores de domínio no domínio serão excluídos do DNS.

    Até que os metadados de todos os outros controladores de domínio no domínio sejam removidos, esse controlador de domínio, se fosse um mestre de RID antes da recuperação, não assumirá a função mestra de RID e, portanto, não poderá emitir novas RIDs. Visualize a ID do evento 16650 no log do sistema de Visualizador de Eventos indicando essa falha, mas deverá visualizar a ID do evento 16648 indicando êxito um pouco depois de limpar os metadados.

  9. Caso tenha zonas DNS armazenadas no AD DS, verifique se o serviço de servidor do DNS local está instalado e em execução no controlador de domínio restaurado. Se esse controlador de domínio não era um servidor DNS antes da falha da floresta, você deverá instalar e configurar a função de servidor DNS no controlador de domínio ou em um servidor DNS que precisa estar disponível no ambiente de restauração.

    No domínio raiz da floresta, configure o controlador de domínio restaurado com seu próprio endereço IP como seu servidor DNS preferencial. Defina essa configuração nas propriedades TCP/IP do adaptador LAN (rede de área local). Esse é o primeiro servidor do DNS na floresta. Para obter mais informações, consulte Recomendações para configurações de cliente DNS (Sistema de Nomes de Domínio).

    Em cada domínio filho, configure o controlador de domínio restaurado com o endereço IP do primeiro servidor do DNS no domínio raiz da floresta como seu servidor do DNS preferido. Defina essa configuração nas propriedades TCP/IP do adaptador de LAN. Para obter mais informações, consulte Recomendações para configurações de cliente DNS (Sistema de Nomes de Domínio).

    Nas zonas DNS _msdcs e domínio, exclua registros de NS dos controladores de domínio que não existem mais após a limpeza de metadados. Verifique se os registros de SRV dos controladores de domínio limpos foram removidos. Para ajudar a acelerar a remoção de registro de SRV do DNS, execute:

    nltest.exe /dsderegdns:server.domain.tld

  10. Aumente o valor do pool do RID disponível em 100.000. Para obter mais informações, consulte Elevando o valor dos pools do RID disponíveis. Se tiver motivos para acreditar que aumentar o pool de RID em 100.000 é insuficiente para sua situação específica, você deve determinar, levando em conta o consumo médio de RID em seu ambiente, o menor aumento que ainda é seguro de usar. Os RIDs são um recurso finito que não deve ser usado desnecessariamente.

    Se novas entidades de segurança foram criadas no domínio após o tempo do backup usado para a restauração, essas entidades de segurança poderão ter direitos de acesso em determinados objetos. Essas entidades de segurança não existem mais após a recuperação porque a recuperação foi revertida para o backup, no entanto, seus direitos de acesso ainda podem existir. Se o pool do RID disponível não for gerado após uma restauração, novos objetos de usuário criados após a recuperação da floresta poderão obter IDs de segurança idênticas (SIDs) e poderão ter acesso a esses objetos, o que não foi originalmente pretendido.

    Por exemplo, pode ter surgido um novo funcionário. O objeto de usuário não existe mais após a operação de restauração porque ele foi criado após o backup usado para restaurar o domínio. No entanto, todos os direitos de acesso atribuídos a esse objeto de usuário podem persistir após a operação de restauração. Se a SID desse objeto de usuário for reatribuído a um novo objeto após a operação de restauração, o novo objeto obterá esses direitos de acesso.

  11. Invalidar o pool do RID atual. O pool do RID atual é invalidado após uma restauração de estado do sistema. Mas se uma restauração de estado do sistema não foi executada, o pool do RID atual precisa ser invalidado para impedir que o controlador de domínio restaurado emitisse novamente os RIDs do pool do RID que foi atribuído no momento em que o backup foi criado. Para obter mais informações, consulte Invalidar o pool do RID atual.

    Observação

    Na primeira vez que você tentar criar um objeto com um SID depois de invalidar o pool do RID, receberá um erro. A tentativa de criar um objeto dispara uma solicitação para um novo pool do RID. A repetição da operação é bem-sucedida porque o novo pool do RID será alocado.

  12. Redefina a senha da conta de computador deste controlador de domínio duas vezes. Para obter mais informações, consulte Redefinir a senha da conta de computador do controlador de domínio.

  13. Redefina a senha krbtgt duas vezes. Para obter mais informações, consulte Redefinir a senha krbtgt. Como o histórico de senha krbtgt é de duas senhas, redefina senhas duas vezes para remover a senha original (pré-fabricado) do histórico de senhas.

    Observação

    Se a recuperação da floresta for em resposta a uma violação de segurança, você também poderá redefinir as senhas de confiança. Para obter mais informações, consulte Redefinir uma senha de confiança em um lado da confiança.

  14. Se a floresta tiver vários domínios e o controlador de domínio restaurado for um servidor de catálogo global antes da falha, desmarque a caixa de seleção Catálogo global nas propriedades configurações do NTDS para remover o catálogo global do controlador de domínio. A exceção a essa regra é o caso comum de uma floresta com apenas um domínio. Nesse caso, não é necessário remover o catálogo global. Para obter mais informações, consulte Remover o catálogo global.

    Ao restaurar um catálogo global de um backup mais recente do que outros backups usados para restaurar os controladores de domínio em outros domínios, introduza objetos persistentes. Considere o exemplo a seguir. No domínio A, controlador de domínio 1 é restaurado de um backup que foi feito no momento T1. No domínio B, controlador de domínio 2 é restaurado de um backup de catálogo global que foi feito no momento T2. Suponha que T2 seja mais recente que T1 e alguns objetos tenham sido criados entre T1 e T2. Depois que esses controladores de domínio são restaurados, o controlador de domínio 2, que é um catálogo global, mantém dados mais recentes para a réplica parcial do domínio A do que o próprio domínio A. O controlador de domínio 2, nesse caso, mantém objetos persistentes porque esses objetos não estão presentes no controlador de domínio 1.

    A presença de objetos persistentes pode levar a problemas. Por exemplo, mensagens de email podem não ser entregues a um usuário cujo objeto de usuário foi movido entre domínios. Depois de colocar o controlador de domínio desatualizado ou o servidor de catálogo global online novamente, ambas as instâncias do objeto de usuário aparecem no catálogo global. Ambos os objetos têm o mesmo endereço de email, portanto, as mensagens de email não podem ser entregues.

    Outro problema é que uma conta de usuário que não existe mais ainda pode aparecer na lista de endereços global.

    Um problema adicional é que um grupo universal que não existe mais ainda pode aparecer no token de acesso de um usuário.

    Caso tenha restaurado um controlador de domínio que era um catálogo global, inadvertidamente ou porque esse era o backup solitário em que você confiava, recomendamos que impeça a ocorrência de objetos remanescentes desabilitando o catálogo global logo após a conclusão da operação de restauração. Desabilitar o sinalizador de catálogo global fará com que o computador perca todas as suas réplicas parciais (partições) e se relegue ao status regular do controlador de domínio.

  15. Se você estiver usando contas gMSA, talvez seja necessário criá-las novamente, pois os detalhes da geração de senha podem ser expostos a um invasor. Consulte:
    Como se recuperar de um ataque gMSA dourado

    Consulte Recuperação de Floresta do AD – Recuperando um domínio único em uma floresta multidomínio para obter etapas sobre como substituir as gMSAs e certificar-se de que elas usem material de chave segura.

  16. Configurar o Serviço de Horário do Windows. No domínio raiz da floresta, configure o emulador do PDC para sincronizar a hora de uma fonte de tempo externa. Para obter mais informações, confira Configurar o Serviço de Horário do Windows no emulador do PDC no domínio raiz da floresta.

Reconectar cada controlador de domínio gravável restaurado a uma rede comum

Neste estágio, tenha um controlador de domínio restaurado (e etapas de recuperação executadas) no domínio raiz da floresta e em cada um dos domínios restantes. Junte esses controladores de domínio a uma rede comum isolada do restante do ambiente e conclua as etapas a seguir para validar a integridade e a replicação da floresta.

Observação

Ao ingressar os controladores de domínio físicos em uma rede isolada, talvez seja necessário alterar seus endereços IP. Como resultado, os endereços IP dos registros de DNS estarão errados. Como um servidor de catálogo global não está disponível, as atualizações dinâmicas seguras para DNS falharão. Os controladores de domínio virtuais são mais vantajosos nesse caso porque podem ser ingressados em uma nova rede virtual sem alterar seus endereços IP. Esse é um dos motivos pelos quais os controladores de domínio virtuais são recomendados como os primeiros controladores de domínio a serem restaurados durante a recuperação da floresta.

Verificar a integridade da replicação da floresta

Após a validação, ingresse os controladores de domínio na rede de produção e conclua as etapas para verificar a integridade da replicação da floresta.

  • Para corrigir a resolução de nomes, crie registros de delegação de DNS e configure o encaminhamento de DNS e as dicas raiz conforme necessário.
  • Execute repadmin /replsum para verificar a replicação entre os controladores de domínio.
  • Se os controladores de domínio restaurados não forem parceiros de replicação direta, a recuperação da replicação será muito mais rápida criando objetos de conexão temporários entre eles.
  • Para validar a limpeza de metadados, execute Repadmin /viewlist \* para obter uma lista de todos os controladores de domínio na floresta. Execute Nltest /DCList:***\<domain\>* para obter uma lista de todos os controladores de domínio no domínio.
  • Para verificar a integridade do controlador de domínio e do DNS, execute DCDiag /v para relatar erros em todos os controladores de domínio na floresta.

Adicionar o catálogo global a um controlador de domínio no domínio raiz da floresta

Um catálogo global é necessário por esses e outros motivos:

  • Para habilitar logons para usuários.
  • Para habilitar o serviço de Logon de Rede em execução nos controladores de domínio em cada domínio filho para registrar e remover registros no servidor do DNS no domínio raiz.

Embora seja preferível que o controlador de domínio raiz da floresta seja um catálogo global, geralmente é recomendável decidir que todos os controladores de domínio são um catálogo global.

Observação

Um controlador de domínio não será anunciado como um servidor de catálogo global até que tenha concluído uma sincronização completa de todas as partições de diretório na floresta. Portanto, o controlador de domínio deve ser forçado a replicar com cada um dos controladores de domínio restaurados na floresta.

Monitore o log de eventos do Serviço de Diretório no Visualizador de Eventos da ID de evento 1119, que indica que esse controlador de domínio é um servidor de catálogo global ou verifique se a seguinte chave do Registro tem um valor de 1:

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

Para obter mais informações, consulte Incluir o catálogo global.

Neste estágio, tenha uma floresta estável, com um controlador de domínio para cada domínio e um catálogo global na floresta. Faça um novo backup de cada um dos controladores de domínio que acabou de restaurar. Agora você pode começar a reimplantar outros controladores de domínio na floresta instalando o AD DS e configurando servidores de Catálogo Global adicionais.

Próximas etapas