Come ripristinare un controller di dominio: best practice per la protezione di AD (Parte 2)

Esplora la serie:

Parte 1 — Il backup del controller di dominio
Parte 2 — Come ripristinare un controller di dominio


Questo è il secondo articolo della mia serie sulla protezione di Active Directory (AD) con Veeam. Nel post precedente ho preso in esame le procedure di backup fisico e virtuale del controller di dominio. Oggi parlerò delle procedure di ripristino.

Precisazione:
Questo post non vuole essere una guida completa al ripristino di AD Domain Services. Il post offre invece informazioni importanti da considerare per il ripristino di AD o di un particolare controller di dominio (DC), oltre a spiegare come Veeam esegue questo processo. Se sei interessato nel ripristino granulare di un oggetto AD cancellato, passa all’articolo successivo.

Conoscere la propria infrastruttura al 100% è molto utile nella pianificazione del ripristino di AD. Possiedi un ambiente con un solo DC o con più DC? Read/Write Domain Controller (RWDC) o Read-Only Domain Controller (RODC)? Hai perso solo un DC oppure è stata danneggiata o corrotta un’intera infrastruttura di AD? Se possiedi più DC, utilizzi ancora File Replication Service (FRS) oppure sei passato a un servizio Distributed File System Replication (DFSR) per la sincronizzazione delle modifiche tra i vari DC? Queste sono alcune delle domande a cui dovresti essere in grado di rispondere per il successo del tuo ripristino.

Attenzione:
FRS è un servizio per la distribuzione dei file condivisi e dei Group Policy Object (GPO) in Windows Server 2000 e Windows Server 2003. È stato sostituito da DFSR nelle versioni successive del sistema operativo Windows Server. A partire da Windows Server 2008, DFSR è l’opzione predefinita per la replica SYSVOL. Se il primo controller di dominio del dominio è stato promosso al livello funzionale di Windows Server 2008 (o superiore), significa che stai utilizzando DFSR. Leggi questo articolo per determinare se nel tuo dominio viene utilizzato FRS o DFSR. Ecco alcuni dei vantaggi dell’utilizzo di DFSR rispetto a FRS.

Eseguire il ripristino di un controller di dominio in modalità non autorevole

Quando stai per ripristinare un DC, per prima cosa devi determinare se un ripristino non autorevole sia sufficiente, oppure se sia meglio procedere con un ripristino autorevole. La differenza tra questi due tipi di ripristino è che, in un ripristino non autorevole, il DC capisce di non essere stato disponibile per un po’ e quindi consente ad altri DC del sito di aggiornare il suo database con le ultime modifiche avvenute durante la sua interruzione. Con un ripristino autorevole, il DC si dichiara l’unico con le informazioni corrette e un database valido e aggiorna gli altri DC con i propri dati.

Nella maggior parte degli scenari, ciò che ti serve è un ripristino non autorevole, perché solitamente si tratta di un ambiente con più DC. Inoltre, il ripristino di un DC in modalità autorevole può essere pericoloso e causare ulteriori danni. A causa di ciò, la logica di Veeam Backup & Replication è stata sviluppata di conseguenza e, per impostazione predefinita, esegue il ripristino automatico e non autorevole del DC, partendo dal presupposto che non si tratti dell’unico DC presente. Per un ripristino autorevole con Veeam, più avanti vengono riportati alcuni ulteriori passaggi necessari.

NOTA:
Un’altra pratica importante consiste nell’escludere un DC guasto e acquisire i suoi ruoli, così come eseguire una pulizia dei metadati se è probabile che il DC non torni a essere disponibile. In questo modo si consente agli altri DC di subentrare e non è necessario aggiustare un DC guasto.

Torniamo ora ai file di backup che ho creato durante la stesura dell’articolo precedente. Il ripristino di un DC da un backup Veeam Backup & Replication è abbastanza semplice. Basta semplicemente:

L’aspetto positivo è che qui, grazie all’elaborazione delle immagini application-aware utilizzata nel backup di una VM, per il momento non è necessario fare altro. Veeam riconosce il ruolo di DC di questa VM ed esegue il ripristino utilizzando una logica speciale:

Il DC sarà al corrente dello stato ripristinato dal backup e inizierà a comportarsi di conseguenza, invalidando il database esistente e consentendo ai partner di replica di aggiornarlo con le informazioni più recenti.

Figura 1. Veeam Backup & Replication: ripristino dell’intera VM

Qui puoi trovare informazioni sul ripristino bare-metal di un backup utilizzando Veeam Endpoint Backup. Sarà necessario un supporto di ripristino Veeam preparato in precedenza, oltre all’accesso al file di backup stesso (disco USB o condivisione di rete). Ricorda che la logica speciale di Veeam Backup & Replication qui non sarà applicata. Dopo un ripristino con Veeam Endpoint Backup, il tuo DC sarà avviato in modalità di ripristino e dovrai decidere se riconfigurare le chiavi di registro o riavviare immediatamente in modalità normale. Questo articolo della KB sarà utile a questo proposito.

Figura 2. Veeam Endpoint Backup: ripristino bare-metal

Eseguire il ripristino di un controller di dominio in modalità autorevole

Ti ricordiamo che è probabile che tu non abbia bisogno di questo tipo di ripristino. Diamogli uno sguardo comunque, per comprenderne il funzionamento. Questa operazione può essere eseguita quando si cerca di ripristinare una copia valida del DC in un ambiente con più DC, mentre l’intero AD è stato danneggiato ad un certo punto (ad ed. ransomware, virus, ecc.) Vorrai quindi forzare i DC ad accettare le modifiche da un DC ripristinato.

ATTENZIONE:
Segui delle procedure simili a ciò che il job Veeam SureBackup esegue durante il ripristino di un DC in un ambiente isolato.

Per ripristinare uno specifico oggetto cancellato oppure una sottostruttura (ad es. unità organizzativa) in modalità autoritativa e costringere questo DC a replicarli in altri DC:

  1. Seleziona il ripristino dell’intera VM con Veeam e lascia che il programma esegua automaticamente un ripristino standard non autorevole del DC (vedi sopra).
  2. Quando il DC si riavvia per la seconda volta, apri il wizard di avvio (premi F8), seleziona la modalità Directory Services Restore Mode (DSRM), quindi accedi a un sistema utilizzando le credenziali DSRM (le credenziali fornite quando questo computer è stato promosso a DC).
  3. Apri una riga di comando ed esegui ntdsutil
  4. Usa i seguenti comandi: activate instance ntds, quindi authoritative restore, quindi restore object “distinguishedName” o restore subtree “distinguishedName”
    Esempio: restore subtree “OU=Branch,DC=dc,DC=lab, DC=local.
  5. Conferma il ripristino autorevole e, al completamento, riavvia il server.

La procedura di ripristino autorevole SYSVOL (utilizzando il servizioDFSR ) funziona così:

  1. Ripristino non autorevole di un DC (esempio: ripristino di un’intera VM in Veeam Backup & Replication).
  2. Al secondo riavvio, raggiungi l’hive del registro HKLM\System\CurrentControlSet\Services\DFSR , crea una chiave Restore e crea una stringa SYSVOL con il valore autorevole.
    Questo valore viene letto dal servizio DFSR. Se questo valore non è impostato, il ripristino SYSVOL viene eseguito per impostazione predefinita in modo non autorevole.
  3. Cerca HKLM\System\CurrentControlSet\Control\BackupRestore, crea una chiave SystemStateRestore e crea una stringa LastRestoreId con un qualsiasi valore GUID. (Esempio: 10000000-0000-0000-0000-000000000000).
  4. Riavvia il servizio DFSR.
Figura 3. Ripristino SYSVOL autorevole (servizio DFSR)

Procedura di ripristino autorevole SYSVOL (utilizzando il vecchio servizioFSR ):

  1. Ripristino non autorevole di un DC (esempio: ripristino di un’intera VMin Veeam Backup & Replication).
  2. Al secondo riavvio, raggiungi l’hive del registro HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup e modifica il valore della chiave Burflag a 000000D4 (hex) 212 (dec).
    Di fatto, ciò costringe i controller di dominio a utilizzare ancora la vecchia tecnologia FRS per avviare la replica in modalità autorevole. Maggiori dettagli sul ripristino FRS.
  3. Riavvia il servizio NTFRS.

Sebbene in questo articolo io sia stato in grado di eseguire il ripristino di uno specifico DC, i casi d’uso più frequenti con AD richiedono di ripristinare l’oggetto AD cancellato erroneamente e, in questi casi, questo non è il modo migliore per ripristinare l’intero DC.


Risorse utili:

Exit mobile version