Día 1: Sólo está presente un controlador de dominio (DC1). La copia de seguridad de Windows Server está configurada en DC1 para guardar el estado del sistema. Eliminar un usuario importante de AD.
Dia 2: Promocionar controlador de dominio adicional (DC2).
Día 3: Inicie DC1 en DSRM y vuelva al día 1 mediante la recuperación del estado del sistema (no autorativo). Marque el usuario importante para restaurar a través de ntdsutil (autorativo). Reinicie DC1.
DC1 no se sincroniza con DC2 y DC2 no sabe aparecer en Usuarios y computadoras de Active Directory en DC1. Los sitios y servicios de Active Directory muestran el objeto NTDS de DC2 (supongo que está sincronizado con DC1 desde otros dominios en el bosque), pero no podemos ejecutar una limpieza de metadatos porque no puede encontrar el objeto de la computadora. En este punto, debido a que DC1 no se sincroniza con otros controladores de dominio, todo el AD se revirtió al día 1 en lugar de simplemente restaurar al usuario importante.
¿Podremos recuperarnos de esta situación? ¿Es este el comportamiento esperado o faltaba un requisito previo en el entorno?
Respuesta1
Su kilometraje puede variar, pero en Active Directory, en mi opinión, no existe una forma sensata de realizar restauraciones de un solo objeto. Las cosas están muy interconectadas y los objetos cambian todo el tiempo (probablemente ese sea el "activo" en Active Directory).
Sugeriría habilitar la Papelera de reciclaje de Active Directory para casos como el que encontró.
Realizar una recuperación del estado del sistema casi siempre solo es factible para la recuperación ante desastres (es decir, cuando ha perdido todos sus controladores de dominio). Sin embargo, en tal caso probablemente hayas perdido mucho más que eso, por lo que empezar de nuevo puede ser la mejor opción en ese caso.
Respuesta2
El problema que tienes es que en tu copia de seguridad (día 1) no había un segundo DC. El método que tomó normalmente funcionaría y le permitiría restaurar solo un objeto.SIDC2 era parte del dominio cuando realizó la copia de seguridad en DC1.
Tienes un escenario como el del huevo y la gallina: cuando restauras DC1 (como bien señalaste), no conoce DC2, por lo que no confiará en él (para la replicación). Y DC2 no puede tener autoridad sobre DC1 por la misma razón. Entonces terminas con 2 versiones separadas de tu AD porque los DC no confían entre sí. No puedes arreglar esto, simplemente tuviste mala suerte porque eliminaste un objeto importante antes de tener tu segundo DC en línea.
Respuesta3
Se admite realizar una restauración autoritaria en cualquier momento, siempre y cuando esa copia de seguridad no sea anterior a la vida útil de tombstone en el bosque de Active Directory (180 días). También puede agregar controladores de dominio adicionales al dominio y aun así restaurar una copia de seguridad que se realizó cuando solo había un controlador de dominio presente.
Lo único a lo que debe prestar atención es que cualquier controlador de dominio recién promocionado esté completamente sincronizado con Active Directory y haya completado su sincronización SYSVOL inicial. Asegúrese de que los recursos compartidos NETLOGON y SYSVOL estén presentes en todos los controladores de dominio del dominio antes de realizar la recuperación de objetos mediante restauración autorativa.
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
En mi escenario con dos controladores de dominio, DC2 no estaba completamente replicado y estaba esperando la sincronización inicial de SYSVOL. Luego se restauró DC1 y, después del reinicio, también se encontraba en el mismo estado de sincronización inicial de SYSVOL. Esto provocó que ambos controladores de dominio ya no se replicaran y, efectivamente, ambos tenían su propia copia de Active Directory a partir de ese momento.