Recuperação de Floresta do Active Directory: como recuperar um único domínio em uma floresta de vários domínios

Pode haver momentos em que é necessário recuperar apenas um único domínio dentro de uma floresta que tenha vários domínios, em vez de fazer uma recuperação completa da floresta. Esse tópico aborda considerações para recuperar um único domínio e possíveis estratégias de recuperação.

Semelhante ao processo de recuperação de floresta, você restaura um ou mais DCs do backup no domínio e executa a limpeza de metadados dos DCs restantes. Em seguida, novos controladores de domínio são adicionados unindo novos membros, instalando funções do AD DS e promovendo-os. Você também pode usar a Clonagem de DC ou Instalar da Mídia para a tarefa.

Uma única recuperação de domínio apresenta um desafio exclusivo para recompilar servidores GC (catálogo global). Por exemplo, se o primeiro DC (controlador de domínio) para o domínio for restaurado de um backup que foi criado uma semana antes, todos os outros GCs na floresta terão dados mais atualizados para esse domínio do que o DC restaurado. Para restabelecer a consistência de dados do GC, há algumas opções:

  • Cancele a hospedagem das partições de domínios recuperados de todos os GCs na floresta, exceto aqueles no domínio recuperado, ao mesmo tempo e depois de concluídos. Em seguida, hospede novamente todos os GCs na floresta. Além disso, certifique-se de não sobrecarregar os GCs restantes. Em ambientes grandes, a coordenação dessa atividade pode ser muito complexa.

  • Siga o processo de recuperação de floresta para recuperar o domínio e, em seguida, remova objetos remanescentes de GCs em outros domínios.

As seções a seguir fornecem considerações gerais para cada opção. O conjunto completo de etapas que precisam ser feitas para a recuperação vai variar para diferentes ambientes do Active Directory.

Hospedar novamente todos os GCs

Aviso

O nome de logon e a senha da conta de usuário padrão do Administrador de Domínio ("RID-500") para todos os domínios devem estar disponíveis e as contas habilitadas para uso no caso de um problema que impeça o acesso a um GC para logon.

Observação

Para permitir o logon sem a verificação do GC, também é possível configurar o valor HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures como 1.

Se desconhecido, obtenha o ID de domínio usando whoami /all para outra conta em cada domínio ou execute o comando a seguir para identificar o RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

A re-hospedagem de todos os GCs pode ser feita usando os comandos repadmin /unhost e repadmin /rehost (parte de repadmin /experthelp). Execute os comandos repadmin em cada GC de cada domínio que não foi recuperado. É necessário garantir que todos os GCs não mantenham mais uma cópia do domínio recuperado. Para fazer isso, cancele a hospedagem da partição de domínio de todos os controladores de domínio em todos os domínios não recuperados da floresta primeiro. Como os GCs não contêm mais a partição, você pode hospedá-la novamente. Ao hospedar novamente, considere o site e a estrutura de replicação da floresta. Por exemplo, conclua o re-hospedagem de um DC por site antes de hospedar novamente os outros DCs desse site.

Essa opção pode ser vantajosa para uma organização pequena que tem apenas alguns controladores de domínio para cada domínio. Todos os GCs podem ser recriados em uma sexta-feira à noite e, se necessário, conclua a replicação para todas as partições de domínio somente leitura antes da manhã de segunda-feira. Mas se você precisar recuperar um domínio grande que abrange sites em todo o mundo, hospedar novamente a partição de domínio somente leitura em todos os GCs para outros domínios poderá afetar as operações de forma significativa e potencialmente exigir tempo de inatividade.

Verificar e remover objetos persistentes

Nos GCs de todos os outros domínios na floresta, remova os objetos remanescentes para a partição somente leitura do domínio recuperado.

A origem da limpeza do objeto remanescente deve ser um DC no domínio recuperado. Para ter certeza de que o DC de origem não tem objetos remanescentes para nenhuma partição de domínio, você poderá remover o catálogo global se ele for um GC.

A remoção de objetos remanescentes é vantajosa para organizações maiores que não podem arriscar o tempo de inatividade associado às outras opções.

Para obter mais informações, consulte Usar repadmin para remover objetos remanescentes.

Próximas etapas