Esplora la serie:
Parte 1 — Il backup del controller di dominio |
Questo è il secondo articolo della mia serie sulla protezione di Active Directory (AD) con Veeam. Nel post precedente ho preso in esame le procedure di backup fisico e virtuale del controller di dominio. Oggi parlerò delle procedure di ripristino.
Conoscere la propria infrastruttura al 100% è molto utile nella pianificazione del ripristino di AD. Possiedi un ambiente con un solo DC o con più DC? Read/Write Domain Controller (RWDC) o Read-Only Domain Controller (RODC)? Hai perso solo un DC oppure è stata danneggiata o corrotta un’intera infrastruttura di AD? Se possiedi più DC, utilizzi ancora File Replication Service (FRS) oppure sei passato a un servizio Distributed File System Replication (DFSR) per la sincronizzazione delle modifiche tra i vari DC? Queste sono alcune delle domande a cui dovresti essere in grado di rispondere per il successo del tuo ripristino.
Eseguire il ripristino di un controller di dominio in modalità non autorevole
Quando stai per ripristinare un DC, per prima cosa devi determinare se un ripristino non autorevole sia sufficiente, oppure se sia meglio procedere con un ripristino autorevole. La differenza tra questi due tipi di ripristino è che, in un ripristino non autorevole, il DC capisce di non essere stato disponibile per un po’ e quindi consente ad altri DC del sito di aggiornare il suo database con le ultime modifiche avvenute durante la sua interruzione. Con un ripristino autorevole, il DC si dichiara l’unico con le informazioni corrette e un database valido e aggiorna gli altri DC con i propri dati.
Nella maggior parte degli scenari, ciò che ti serve è un ripristino non autorevole, perché solitamente si tratta di un ambiente con più DC. Inoltre, il ripristino di un DC in modalità autorevole può essere pericoloso e causare ulteriori danni. A causa di ciò, la logica di Veeam Backup & Replication è stata sviluppata di conseguenza e, per impostazione predefinita, esegue il ripristino automatico e non autorevole del DC, partendo dal presupposto che non si tratti dell’unico DC presente. Per un ripristino autorevole con Veeam, più avanti vengono riportati alcuni ulteriori passaggi necessari.
Torniamo ora ai file di backup che ho creato durante la stesura dell’articolo precedente. Il ripristino di un DC da un backup Veeam Backup & Replication è abbastanza semplice. Basta semplicemente:
- Selezionare un wizard per i ripristini nella GUI
- Trovare il DC desiderato
- Selezionare l’opzione Restore Entire VM dal menu di ripristino
- Selezionare il punto di ripristino
- Scegliere se il ripristino deve avvenire nella posizione originale o in una nuova posizione
- Completare la procedura
L’aspetto positivo è che qui, grazie all’elaborazione delle immagini application-aware utilizzata nel backup di una VM, per il momento non è necessario fare altro. Veeam riconosce il ruolo di DC di questa VM ed esegue il ripristino utilizzando una logica speciale:
- Ripristinare file della VM e dischi rigidi
- Avviare in Modalità ripristino servizi directory (Directory Services Restore Mode, DSRM)
- Applicare le impostazioni
- Riavviare in modalità normale
Il DC sarà al corrente dello stato ripristinato dal backup e inizierà a comportarsi di conseguenza, invalidando il database esistente e consentendo ai partner di replica di aggiornarlo con le informazioni più recenti.
Qui puoi trovare informazioni sul ripristino bare-metal di un backup utilizzando Veeam Endpoint Backup. Sarà necessario un supporto di ripristino Veeam preparato in precedenza, oltre all’accesso al file di backup stesso (disco USB o condivisione di rete). Ricorda che la logica speciale di Veeam Backup & Replication qui non sarà applicata. Dopo un ripristino con Veeam Endpoint Backup, il tuo DC sarà avviato in modalità di ripristino e dovrai decidere se riconfigurare le chiavi di registro o riavviare immediatamente in modalità normale. Questo articolo della KB sarà utile a questo proposito.
Eseguire il ripristino di un controller di dominio in modalità autorevole
Ti ricordiamo che è probabile che tu non abbia bisogno di questo tipo di ripristino. Diamogli uno sguardo comunque, per comprenderne il funzionamento. Questa operazione può essere eseguita quando si cerca di ripristinare una copia valida del DC in un ambiente con più DC, mentre l’intero AD è stato danneggiato ad un certo punto (ad ed. ransomware, virus, ecc.) Vorrai quindi forzare i DC ad accettare le modifiche da un DC ripristinato.
Per ripristinare uno specifico oggetto cancellato oppure una sottostruttura (ad es. unità organizzativa) in modalità autoritativa e costringere questo DC a replicarli in altri DC:
- Seleziona il ripristino dell’intera VM con Veeam e lascia che il programma esegua automaticamente un ripristino standard non autorevole del DC (vedi sopra).
- Quando il DC si riavvia per la seconda volta, apri il wizard di avvio (premi F8), seleziona la modalità Directory Services Restore Mode (DSRM), quindi accedi a un sistema utilizzando le credenziali DSRM (le credenziali fornite quando questo computer è stato promosso a DC).
- Apri una riga di comando ed esegui ntdsutil
- Usa i seguenti comandi: activate instance ntds, quindi authoritative restore, quindi restore object “distinguishedName” o restore subtree “distinguishedName”
Esempio: restore subtree “OU=Branch,DC=dc,DC=lab, DC=local. - Conferma il ripristino autorevole e, al completamento, riavvia il server.
La procedura di ripristino autorevole SYSVOL (utilizzando il servizioDFSR ) funziona così:
- Ripristino non autorevole di un DC (esempio: ripristino di un’intera VM in Veeam Backup & Replication).
- Al secondo riavvio, raggiungi l’hive del registro HKLM\System\CurrentControlSet\Services\DFSR , crea una chiave Restore e crea una stringa SYSVOL con il valore autorevole.
Questo valore viene letto dal servizio DFSR. Se questo valore non è impostato, il ripristino SYSVOL viene eseguito per impostazione predefinita in modo non autorevole. - Cerca HKLM\System\CurrentControlSet\Control\BackupRestore, crea una chiave SystemStateRestore e crea una stringa LastRestoreId con un qualsiasi valore GUID. (Esempio: 10000000-0000-0000-0000-000000000000).
- Riavvia il servizio DFSR.
Procedura di ripristino autorevole SYSVOL (utilizzando il vecchio servizioFSR ):
- Ripristino non autorevole di un DC (esempio: ripristino di un’intera VMin Veeam Backup & Replication).
- Al secondo riavvio, raggiungi l’hive del registro HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup e modifica il valore della chiave Burflag a 000000D4 (hex) o 212 (dec).
Di fatto, ciò costringe i controller di dominio a utilizzare ancora la vecchia tecnologia FRS per avviare la replica in modalità autorevole. Maggiori dettagli sul ripristino FRS. - Riavvia il servizio NTFRS.
Sebbene in questo articolo io sia stato in grado di eseguire il ripristino di uno specifico DC, i casi d’uso più frequenti con AD richiedono di ripristinare l’oggetto AD cancellato erroneamente e, in questi casi, questo non è il modo migliore per ripristinare l’intero DC.
Risorse utili:
- Best practice per il ripristino autoritativo (TechNet)
- Ripristinare la foresta Active Directory
- Chiavi di registro e valori per backup e ripristino
- Ripristinare il SYSVOL in modo non autorevole quando si usano NTFRS o DFSR
- Ripristino granulare di oggetti di Active Directory
- Forum della Community Veeam: Backup del controller di dominio in un’altra istanza di dominio AD