Ripristino foresta Active Directory - Ripristinare un singolo dominio in una foresta multidominio
In alcuni scenari, potrebbe essere necessario ripristinare solo un singolo dominio all'interno di una foresta con più domini, anziché un ripristino completo della foresta. Questo argomento illustra le considerazioni relative al recupero di un singolo dominio e alle possibili strategie.
Analogamente al processo di ripristino della foresta, è possibile ripristinare uno o più controller di dominio dal backup nel dominio ed eseguire la pulizia dei metadati dei controller di dominio rimanenti. I nuovi controller di dominio vengono quindi aggiunti inserendo nuovi membri, installando i ruoli di Active Directory Domain Services e promuovendoli. Inoltre, è possibile usare Clonazione controller di dominio o Installazione da supporti per l'attività.
Un ripristino a singolo dominio presenta una sfida univoca per la ricompilazione dei server del catalogo globale (GC). Se ad esempio il primo controller di dominio (DC) per il dominio viene ripristinato da un backup creato una settimana prima, tutti gli altri cataloghi globali nella foresta avranno dati più aggiornati per tale dominio rispetto al controller di dominio ripristinato. Per ristabilire la coerenza dei dati GC, sono disponibili due opzioni:
Annullare l'hosting della partizione dei domini ripristinati da tutti i controller di dominio nella foresta, ad eccezione di quelli nel dominio ripristinato, contemporaneamente e una volta completati, eseguire il rehosting di tutti i controller di dominio nella foresta. Assicurarsi anche di non eseguire l'overload dei controller di dominio rimanenti. In ambienti di grandi dimensioni, il coordinamento di questa attività può essere molto complesso.
Seguire il processo di ripristino della foresta per ripristinare il dominio e quindi rimuovere gli oggetti persistenti dai controller di dominio in altri domini.
Le sezioni seguenti forniscono considerazioni generali per ogni opzione. Il set completo di passaggi da eseguire per il ripristino varia a seconda degli ambienti di Active Directory.
Eseguire il rehosting di tutti i cataloghi globali
Avviso
In caso di problema che impedisce l'accesso a un GC per effettuare il logon, il nome di accesso e la password dell'account utente amministratore di dominio predefinito ("RID-500") per tutti i domini devono essere disponibili e gli account abilitati per l'uso.
Nota
Inoltre, per consentire l'accesso senza la verifica GC, è possibile configurare il valore HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures su 1.
Se sconosciuto, ottenere l'ID di dominio usando whoami /all per un altro account in ogni dominio o eseguire il comando seguente per identificare rid 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value
È possibile eseguire il rehosting di tutti i GC usando i comandi repadmin /unhost e repadmin /rehost (parte di repadmin /experthelp). È possibile eseguire i comandi repadmin per ogni GC in ogni dominio che non viene ripristinato. È necessario assicurarsi che tutti i GC non contengano più una copia del dominio ripristinato. A tale scopo, per prima cosa annullare l'hosting della partizione di dominio da tutti i controller di dominio in tutti i domini non ripristinati della foresta. Poiché i controller di dominio non contengono più la partizione, è possibile eseguirne il rehosting. Quando si esegue il rehosting, prendere in considerazione la struttura del sito e della replicazione della foresta. Ad esempio, completare il rehosting di un controller di dominio per sito prima di eseguire il rehosting degli altri controller di dominio del sito.
Questa opzione può essere vantaggiosa per una piccola organizzazione che ha solo pochi controller di dominio per ciascun dominio. Tutti i controller di dominio possono essere ricompilati il venerdì sera e, se necessario, completarne la replicazione per tutte le partizioni di dominio di sola lettura prima del lunedì mattina. Tuttavia, se è necessario ripristinare un dominio di grandi dimensioni che copre siti in tutto il mondo, il rehosting della partizione di dominio di sola lettura in tutti i GC per gli altri domini può influire in modo significativo sulle operazioni e potenzialmente richiedere tempi di inattività.
Verificare e rimuovere oggetti residui
Nei GC di tutti gli altri domini della foresta è possibile controllare e rimuovere gli oggetti potenzialmente residui per la partizione di sola lettura del dominio ripristinato.
L'origine per la pulizia dell'oggetto residuo deve essere un controller di dominio nel dominio ripristinato. Per essere certi che il controller di dominio di origine non abbia oggetti residui per le partizioni di dominio, è possibile rimuovere il catalogo globale.
La rimozione di oggetti residui è vantaggiosa per le organizzazioni di grandi dimensioni che non possono rischiare il tempo di inattività associato al rehosting del contesto di denominazione del dominio.
Per altre informazioni, vedere Usare repadmin per rimuovere gli oggetti residui.
Passaggi successivi
- Ripristino della foresta di Active Directory - Prerequisiti
- Ripristino foresta Active Directory - Elaborare un piano di ripristino della foresta personalizzato
- Ripristino foresta Active Directory - Passaggi per ripristinare la foresta
- Ripristino foresta Active Directory - Identificare il problema
- Ripristino di una foresta di Active Directory - Determinare la modalità di ripristino
- Ripristino di una foresta di Active Directory - Eseguire il ripristino iniziale
- Ripristino della foresta di Active Directory - Procedure
- Ripristino foresta Active Directory - Domande frequenti
- Ripristino foresta Active Directory - Ripristinare un singolo dominio in una foresta multidominio
- Ripristino foresta Active Directory - Ridistribuire i controller di dominio rimanenti
- Ripristino della foresta di Active Directory - Virtualizzazione
- Ripristino foresta Active Directory - Pulizia