Il backup di Active Directory si esegue attraverso il salvataggio del cosiddetto System State. Il System State è un insieme di componenti di sistema strettamente correlati tra loro e indivisibili. Il contenuto del System State può variare a seconda del sistema operativo o dei servizi installati sul computer.
Gli elementi minimi comuni del System State sono i seguenti:
Gli elementi minimi comuni del System State sono i seguenti:
- File di avvio (NTLDR, BOOT.INI, NTDETECT.COM)
- File di sistema
- Registro di sistema
- Database delle classi di registrazione COM+
- Database di Active Directory: nel caso di un server promosso a Domain Controller
- SYSVOL: nel caso di un server promosso a Domain Controller
- Metabase di IIS: nel caso di un server con il servizio IIS installato
- Database del servizio Certificati: nel caso di un server con il servizio Certificate Service installato
- Configurazione del servizio cluster: nel caso di un server configurato come nodo di un sistema cluster
- Il backup del System State è soggetto a scadenza (60 giorni per Windows 2000/2003 e 180 giorni per Windows 2003 SP1). Questo significa che non è possibile ripristinare il backup di un System State effettuato in data antecedente i 60 o i 180 giorni (a seconda del S.O. utilizzato).
- Per ottimizzare un’eventuale fase di ripristino è consigliabile effettuare i backup del System State in modalità Completa/Normale (non incrementale né differenziale).
- Per ottenere un salvataggio completo di tutta l’infrastruttura AD, è necessario salvare la configurazione del servizio DNS. Se le zone DNS sono integrate in AD, allora nel System State saranno contenuti anche i dati del DNS. In caso contrario, è necessario procedere con il backup della directory di sistema del DNS (%SystemRoot%\System32\DNS).
- In presenza di più domini, è necessario effettuare il backup del System State di almeno un DC per ciascun dominio. Dovendo scegliere tra tanti DC, è consigliato selezionare sempre i DC che detengono i ruoli FSMO o che sono anche Global Catalog. Oltre ai DC, è necessario ricordarsi di effettuare il backup dei server che forniscono servizi all’infrastruttura AD (es. DNS, DHCP, WINS etc...).
In generale esistono quattro possibilità di ripristino del System State in un contesto AD:
- Ripristino in una posizione alternativa (Alternate location)
- Ripristino primario (Primary restore)
- Ripristino normale o non autorevole (Normal restore)
- Ripristino autorevole (Authoritative restore)
Il ripristino del System State in una posizione alternativa si effettua selezionando l’opzione “Percorso alternativo”, nella scheda “Ripristina e gestisci supporti” dell'utility ntbackup. Nel caso di un Domain Controller Windows 2003, i componenti ripristinati nella directory indicata come locazione alternativa sono i seguenti:
- Active Directory
- File di avvio
- Database delle classi di registrazione COM+
- Registro di sistema
- SYSVOL
Ripristino Primario
Il ripristino primario si effettua nel caso in cui un server o DC è l’unico all’interno di un dominio oppure se si desidera forzare intenzionalmente il contenuto del System State a tutti gli altri server del dominio. Viene utilizzato solamente in caso di ricostruzione di un’infrastruttura AD o FRS (es. DFS) in cui tutti i DC di uno stesso dominio hanno avuto problemi e devono essere ripristinati.
Per effettuare un ripristino primario è necessario seguire la seguente procedura:
- Avviare l’utility ntbackup;
- Selezionare la scheda “Ripristina e gestisci supporti”;
- Selezionare il set di backup del System State da ripristinare;
- Fare clic sul pulsante “Avvia Ripristino”;
- Fare clic sul pulsante “Avanzate” e selezionare la voce “Durante il ripristino di insiemi di dati replicati, contrassegna i dati ripristinati come i dati primari per ogni replica”.
Ripristino normale o non autorevole
Questa è la modalità predefinita di ripristino del System State di un Domain Controller. In questa modalità il DC viene riportato esattamente allo stato in cui si trovava al momento del backup. Successivamente al primo evento di replica, gli oggetti che nel frattempo sono stati modificati, eliminati o aggiunti nel database AD, verranno sovrascritti, eliminati o aggiunti alla copia del database precedentemente ripristinato.
Per effettuare un ripristino non autorevole è necessario seguire la seguente procedura:
- Riavviare il DC in modalità provvisoria (tenendo premuto il tasto F8 durante l'avvio) e selezionare la voce “Modalità ripristino servizi directory”;
- Eseguire il logon utilizzando l’account Administrator e la password di ripristino scelta durante la procedura di installazione di Active Directory;
- Avviare l’utility ntbackup;
- Selezionare la scheda “Ripristina e gestisci supporti”;
- Selezionare il set di backup del System State da ripristinare;
- Fare clic sul pulsante “Avvia Ripristino”;
- Confermare premendo il pulsante OK quando viene mostrato il messaggio di sovrascrittura del System State corrente;
- Verificare che il ripristino sia andato a buon fine e fare clic sul pulsante “Chiudi” nella finestra “Stato ripristino”;
- Riavviare il DC in modalità normale.
- Il DC danneggiato (a causa della corruzione del database o di un guasto hardware) è l’unico di un dominio/foresta: in tal caso non esiste la possibilità di replicare con altri DC e quindi il System State ripristinato sarà definitivo.
- Il DC danneggiato (a causa della corruzione del database o di un guasto hardware) non è l’unico di un dominio/foresta: in tal caso il System State ripristinato sarà in parte (relativamente a tutti gli oggetti modificati e/o aggiunti successivamente alla data e ora di esecuzione del backup) sovrascritto dagli altri DC partner di replica.
Ripristino autorevole
Il ripristino autorevole di un DC viene effettuato nel caso in cui occorra ripristinare oggetti erroneamente cancellati, avendo la garanzia che essi vengano considerati come se fossero stati appena ricreati e in modo da essere forzatamente replicati verso gli altri DC partner di replica. Il ripristino autorevole può essere eseguito per un singolo oggetto, per un contenitore (ad es. una OU con il relativo contenuto) o per l’intero database AD. In quest’ultimo caso occorre prestare attenzione ai potenziali problemi che potrebbero sorgere relativamente alla gestione delle password dei computer e delle relazioni di trust tra eventuali altri domini. Per default, infatti, queste password vengono rinegoziate ad intervalli predefiniti (per i computer account ogni 5 giorni) ed effettuando un restore autorevole di tutto il database AD, si rischia di ripristinarle ad un valore non più congruente con lo stato attuale. Pertanto in casi del genere, è necessario procedere con il reset dei computer account e/o la ricreazione delle relazioni di trust manualmente o attraverso l’utility Netdom contenuta nei Support Tools di Windows Server 2003.
Per effettuare un ripristino autorevole è necessario seguire la seguente procedura:
- Effettuare un ripristino non autorevole avendo cura di NON riavviare il DC al termine dell'operazione;
- Aprire una sessione di Prompt dei Comandi ed eseguire l’utility ntdsutil;
- Al prompt di ntdsutil inserire i seguenti comandi:
- Inserire il comando authoritative restore e premere Invio;
- Al prompt authoritative restore inserire il comando restore subtree “DN-Oggetto” per marcare come autorevole l’oggetto AD da ripristinare;
- Cliccare sul pulsante “Sì” per confermare l’operazione;
- Ripetere l’operazione restore subtree per tutti gli oggetti da ripristinare;
- Digitare il comando quit per uscire dal contesto authoritative restore;
- Digitare il comando quit per uscire da ntdsutil;
- Riavviare il Domain Controller in modalità normale.
L’effetto del comando di ripristino autorevole è quello di rimarcare l’oggetto con un timestamp aggiornato e far avanzare il contatore USN (Update Sequence Number) ad un valore che risulti sicuramente superiore a quello di qualsiasi altro oggetto all’interno dell’infrastruttura AD. Al riavvio del DC in modalità normale e alla successiva replica con eventuali altri DC, si verifica un “authoritative merge”, nel senso che tutti gli oggetti ripristinati autorevolmente verranno replicati agli altri DC, mentre eventuali nuovi oggetti creati o modificati successivamente al backup del System State, verranno replicati dagli altri DC al DC ripristinato autorevolmente.
Quelli che seguono sono alcuni esempi di comandi di ripristino autorevole (da eseguirsi con l'utility ntdsutil):
Esempio 1: Ripristino di un oggetto utente inserito nell’Unità Organizzativa “Sistemi” del dominio visivagroup.it
- restore subtree “CN=Mario Rossi, OU=Sistemi, DC=visivagroup, DC=it”
- restore subtree “OU=Sistemi, DC=visivagroup, DC=it”
- restore database
[update 30 novembre 2011]
Segnalo un ottimo articolo sul restore autoritativo di Active Directory in ambiente 2003 e 2008 a questo link : http://blogs.technet.com/b/askds/archive/2010/03/30/best-practices-around-active-directory-authoritative-restores-in-windows-server-2003-and-2008.aspx