Agora, antes de falarmos sobre Active Directory Forest Recovery, vamos tentar ver quais são os diferentes cenários de recuperação e quando é que vou precisar de cada um deles?

(Nota: se estiveres aqui só pelo título, vai até ao fim do post).

A primeira e mais fácil é a recuperação de objectos.

A recuperação de objectos é o processo de recuperação de um objecto (ou objectos) que foi eliminado. Isto pode ser resultado de erro humano, erro de máquina (a solução de gestão de identidades desprovisiona um utilizador por engano) ou violação de segurança, para os quais teremos uma secção separada.

A recuperação de objectos é relativamente fácil, especificamente com a funcionalidade da Reciclagem introduzida no Windows 2008 R2 (mais sobre isto aqui: https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

A segunda, que também não é muito difícil, é a recuperação do servidor.

Digamos que tem um Controlador de Domínio, de entre 2 (pelo menos, se não tiver , promova imediatamente o segundo), e este servidor sofre uma falha de hardware. Qual é a coisa mais fácil a fazer para recuperar um DC? Bem, basta promovê-lo! Como não existe qualquer diferença entre um DC e outro, recuperar um servidor é tão simples como promover esse controlador de domínio específico a partir do zero. Obviamente, poderá querer manter o mesmo nome e o endereço IP, mas esperamos que tenha obtido um guia de construção, pelo que deverá saber como construir um DC a partir do zero.

A terceira seria a recuperação de domínios.

Com uma recuperação de domínio, está a recuperar um único domínio numa floresta inteira. Qual poderia ser a causa disso? Bem, a começar por erro humano, mas normalmente isso é causado por várias falhas de hardware (todos os DCs no DomainX desapareceram, ou se houver apenas um), eliminações em massa na base de dados ou problemas de configuração. A recuperação do domínio é um pouco difícil de explicar numa única publicação do blogue, mas irei certamente abordar o tema da recuperação de um único domínio num ambiente Forest numa publicação posterior.

É aqui que as coisas se complicam

Recuperação de atributos

Imaginemos que executou acidentalmente um script que modificou o conteúdo do atributo do primeiro nome de toda a gente. Como é que se recupera disso? Bem, pode recorrer à recuperação de objectos para todos os utilizadores, mas nesse caso pode perder alterações, dependendo da data em que a cópia de segurança foi efectuada.

Agora imaginemos que isto foi feito por outra pessoa, como um bug num software, ou uma falha de segurança na organização que permitiu a um atacante manipular o seu conteúdo?

De momento, não existe uma solução perfeita para o problema. Pode usar snapshots e usá-los como referência, mas obter o conteúdo correcto do snapshot para a base de dados activa pode facilmente tornar-se num pesadelo ldifde (além disso, encontrar a diferença entre snapshot e live também não é uma tarefa fácil).

E o meu favorito, o Active Directory Forest Recovery

Para isso, vou recorrer ao livro branco sobre recuperação florestal da Microsoft: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

E cite a secção intitulada "Decidir quando efectuar uma recuperação florestal":

Todos os controladores de domínio foram logicamente corrompidos ou fisicamente danificados a um ponto em que a continuidade do negócio é impossível; por exemplo, todas as aplicações empresariais que dependem do AD DS não funcionam.

Um administrador desonesto comprometeu o ambiente do Active Directory.

Um atacante intencionalmente ou um administrador executa acidentalmente um script que espalha a corrupção de dados pela floresta.

Um atacante intencionalmente ou um administrador acidentalmente estende o esquema do Active Directory com alterações maliciosas ou conflituosas.

Nenhum dos controladores de domínio pode replicar com os seus parceiros de replicação.

Não podem ser efectuadas alterações ao AD DS em nenhum controlador de domínio.

Os novos controladores de domínio não podem ser instalados em nenhum domínio.

Como é que se faz isso? Bem, isso está nas páginas 29 a 54 do livro branco, que descreve os passos pormenorizados necessários.