Recomendaciones para recuperar el controlador de dominio

Versión del producto: 9.3

Último modificado: 20 de marzo de 2020

Pregunta

¿Cuáles son las recomendaciones para recuperar un controlador de dominio para Active Directory con NAKIVO Backup & Replication?

Respuesta

Recomendaciones para hacer backup del controlador de dominio:

  • Defina los controladores de dominio que tienen la mayoría de los roles de Flexible Single Master Operations (FSMO) en su entorno. De la línea de comandos, ejecute el siguiente comando para obtener la lista:

    netdom query fsmo

    El controlador de dominio con el rol de PDC es el principal candidato para hacer backup.

  • No es necesario hacer backups de todos los controladores de dominio (si tiene varios controladores de dominio) porque basta con una copia de la base de datos de Active Directory. Sin embargo, para evitar posibles errores de replicación en el futuro, se recomienda hacer backup de todos los controladores de dominio.

Existen dos formas de recuperar un controlador de dominio:

  • En una recuperación no autoritativa, se recupera primero el controlador de dominio. A continuación, los objetos de Active Directory se actualizan replicando la última versión de dichos objetos desde otros controladores de dominio del dominio.

  • En una recuperación autoritativa, los datos que se han recuperado tienen prioridad sobre los datos que existen en otros controladores de dominio del dominio. Esto significa que las versiones actuales de los objetos del Directorio Activo se sobrescriben con las versiones de los objetos recuperados.

En la mayoría de los casos, recuperar un controlador de dominio en el modo no autoritativo es suficiente porque suele haber varios controladores de dominio. Si este es su caso, proceda con una recuperación completa del controlador de dominio. Gracias al modo App-aware, NAKIVO Backup & Replication reconoce el rol de controlador de dominio del equipo en recuperación.

Si necesita que sus controladores de dominio acepten cambios de un controlador de dominio restaurado, puede utilizar el modo autoritativo. Proceda del siguiente modo para restaurar un objeto o un subárbol de Active Directory:

  1. Realice la recuperación completa del controlador de dominio.

  2. Reinicie el controlador de dominio y acceda a su modo de restauración de servicios de directorio con la tecla F8.

  3. Abra el símbolo del sistema como administrador.

  4. Ejecute la herramienta Ntdsutil.

  5. Ejecute los siguientes comandos de Ntdsutil:

    activar instancia ntds

    restauración autorizada

    restaurar objeto <nombre_objeto>

    restaurar subárbol <nombre_subárbol>

    donde <nombre_objeto>/ nombre_subárbol> es el nombre del objeto/subárbol que se va a restaurar.

  6. Confirme los comandos y reinicie el controlador de dominio.

Si necesita restaurar la carpeta SYSVOL - el almacenamiento de elementos importantes de los objetos y scripts de la política de grupo de AD - en modo autoritativo, proceda como se indica a continuación:

  1. Determinar si SYSVOL es replicado por DFSF o FRS:

    1. Abra el Editor del Registro.

    2. Vaya a la subclave del registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalState. Si existe esta subclave de registro y su valor es 3 (ELIMINADO ), se está utilizando DFSR. Si la subclave no existe o tiene un valor diferente, se está utilizando FRS.

  2. Para la carpeta SYSVOL replicada por FRS, vaya a HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process en el hive del registro de inicio e introduzca 000000D4 (hex) o 212 (dec) en el valor de la clave Burflag. Para más detalles, consulte el tema de Microsoft Knowledge Base.

  3. Para la carpeta SYSVOL replicada por DFSR, proceda del siguiente modo:

    1. Abra la consola ADSIEdit (adsiedit.msc), expanda el contexto de nomenclatura por defecto y localice el objeto de suscripción SYSVOL para el DC en cuestión:
      CN=SYSVOL Subscription,CN=Domain System Volume,CN=DFSR-LocalSettings,CN=<DC_name>,OU=Domain Controllers,DC=<domain>

    2. Haga clic con el botón derecho del ratón en el objeto CN=SYSVOL Suscripción y seleccione Propiedades.

    3. En la pestaña Editor de atributos de la ventana de propiedades, establezca el atributo msDFSR-Activar en FALSE y establezca el atributo msDFSR-Options en 1. Haga clic en Aceptar para cerrar la ventana de propiedades.

    4. Localice los objetos de suscripción SYSVOL para los demás DC del dominio. Consulte el DN del paso 1 pero sustituya los nombres de los otros DC en la parte CN=<DC_name> .

    5. Modifique las propiedades de cada objeto de suscripción SYSVOL en el paso 4 y establezca el atributo msDFSR-Activar en FALSE.

    6. Forzar la replicación de AD en todo el dominio y verificar que la replicación se ha realizado correctamente.

    7. Escriba dfsrdiag pollad en un símbolo del sistema elevado en todos los DC. Sus registros de eventos de Replicación DFS deberían contener el evento 4114, que indica que SYSVOL ya no se está replicando. También pueden aparecer otros eventos informativos, pero este paso no debería dar lugar a la aparición de advertencias o errores en el registro.

    8. En el DC designado como autoritativo, utilice ADSIEdit para establecer el atributo msDFSR-Activar en TRUE en la ubicación de los pasos 1 y 2. Haga clic en Aceptar para cerrar la ventana de propiedades.

    9. Forzar la replicación de AD en todo el dominio y verificar que la replicación se ha realizado correctamente.

    10. En el DC designado como autoritativo, ejecute dfsrdiag pollad desde un símbolo del sistema elevado. Su registro de eventos DFS-R debería contener ahora el ID de evento 4602, indicando que SYSVOL ha sido inicializado.

    11. En los objetos de suscripción SYSVOL de los otros centros de distribución (consulte los pasos 4 y 5), establezca el atributo msDFSR-Activar en TRUE.

    12. Forzar la replicación de AD en todo el dominio y verificar que la replicación se ha realizado correctamente.

    13. En todos los DC además del autoritativo, escriba dfsrdiag pollad en un símbolo del sistema elevado. Sus registros de eventos DFS-R deben contener los IDs de evento 4614 y 4604, indicando que SYSVOL ha sido inicializado y replicado desde el DC autoritativo. Para obtener más detalles sobre la recuperación autoritativa (no autoritativa) de SYSVOl replicado en DFSR, consulte el tema de Microsoft Knowledge Base.

  4. Reinicie el servicio FRS/DFSR.