Esecuzione di un ripristino autorevole di un controller di dominio in Windows 2000

In questo articolo viene descritto come eseguire un ripristino autorevole di Active Directory su un controller di dominio basato su Windows 2000.

Durante una normale operazione di ripristino di file, Microsoft Windows Backup viene eseguito in modalità di ripristino non autorevole. Quando è attiva questa modalità, vengono ripristinati tutti i file, inclusi gli oggetti di Active Directory, con i relativi numeri di sequenza di aggiornamento (USN) originali. Il sistema di replica di Active Directory utilizza i numeri USN per rilevare e replicare le modifiche di Active Directory a tutti i controller di dominio della rete. Tutti i dati ripristinati in modo non autorevole vengono visti dal sistema di replica di Active Directory come dati obsoleti. I dati obsoleti non vengono mai replicati ad altri controller di dominio. Il sistema di replica di Active Directory aggiorna i dati ripristinati con i dati più recenti da altri controller di dominio. L'esecuzione di un ripristino autorevole consente di risolvere questo problema.

Nota Utilizzare il ripristino autorevole con estrema cautela a causa delle conseguenze che potrebbe avere per Active Directory. Un ripristino autorevole deve essere eseguito subito dopo il ripristino del computer da un precedente backup, prima di riavviare il controller di dominio in modalità normale. Un ripristino autorevole consente di replicare tutti gli oggetti contrassegnati come autorevoli a ogni controller di dominio che ospita i contesti dei nomi in cui si trovano gli oggetti stessi. Per eseguire un ripristino autorevole nel computer, è necessario utilizzare lo strumento Ntdsutil.exe per apportare le necessarie modifiche degli USN al database di Active Directory.

Alcune parti di Active Directory non possono e non devono essere ripristinate in modalità autorevole:

• Non è possibile ripristinare lo schema in modalità autorevole.
• Anche il contesto dei nomi di configurazione è molto sensibile in quanto eventuali modifiche possono incidere sull'intero insieme di strutture. Ad esempio, evitare di ripristinare gli oggetti connessione, in quanto tali oggetti devono essere ricreati mediante il Controllo di coerenza informazioni o manualmente. Il ripristino di oggetti server e impostazioni NTDS è opportuno se in precedenza non è stata eseguita alcuna risoluzione dei problemi distruttiva. In caso di dubbio, rivolgersi al Servizio Supporto Tecnico Clienti Microsoft per assistenza:
  http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS

  (http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
• Nel contesto del dominio non ripristinare alcun oggetto correlato con i pool RID. Ciò vale anche per l'oggetto secondario "Rid Set" degli account computer dei controller di dominio e per l'oggetto RidManager$ del contenitore SYSTEM.
• Un altro problema è rappresentato dal fatto che molti collegamenti con nome distinto possono essere interrotti dopo il ripristino. Ciò può incidere sugli oggetti utilizzati da Replica file. Tali oggetti si trovano in CN=File Replication Service,CN=System,DC=nomedominio e CN=NTFRS Subscriptions,CN=account computer controller di dominio.
• I tentativi di ripristino autorevole di un intero contesto dei nomi includono sempre oggetti che possono interferire con la regolare funzionalità di parti cruciali di Active Directory. Procedere sempre al ripristino autorevole di un set minimo di oggetti.
• Problemi analoghi potrebbero infine manifestarsi anche per gli oggetti creati da altre applicazioni. Questo argomento tuttavia esula dall'ambito di questo articolo.

Il ripristino dello stato del sistema sostituisce tutti gli oggetti nuovi, eliminati o modificati nel controller di dominio che viene ripristinato.

Il ripristino dello stato del sistema relativo a un contesto dei nomi che contiene due o più repliche è un'unione autorevole. In un'unione autorevole tutti gli oggetti eliminati o modificati vengono ripristinati allo stato precedente all'esecuzione del backup. Gli oggetti creati dopo il backup vengono replicati dalle repliche del contesto dei nomi. Un'unione autorevole rappresenta l'unione dello stato esistente al momento dell'esecuzione del backup con i nuovi oggetti creati dopo il backup.

Quando si esegue il ripristino non autorevole di un contesto dei nomi contenente una sola replica, viene in realtà eseguito un ripristino autorevole.

Nota Dopo l'esecuzione di un ripristino autorevole, sarà possibile eliminare account utente e le relative appartenenze a gruppi in Active Directory. Per risolvere il problema, aggiungere di nuovo gli utenti ripristinati ai relativi gruppi. Per ulteriori informazioni su come aggiungere di nuovo utenti ai relativi gruppi, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Esecuzione di un ripristino autorevole

Dopo il ripristino dei dati, utilizzare Ntdsutil.exe per eseguire il ripristino autorevole. A questo scopo, attenersi alla seguente procedura:

1. Al prompt dei comandi digitare ntdsutil e premere INVIO.
2. Digitare authoritative restore, quindi premere INVIO.
3. Digitare restore database, premere INVIO, fare clic su OK, quindi scegliere Sì.

Ripristino di una sottostruttura

In molti casi potrebbe essere inopportuno ripristinare l'intero database, a causa dell'impatto che la replica avrebbe sul dominio e sull'insieme di strutture. Per eseguire il ripristino autorevole di una sottostruttura in un insieme di strutture, attenersi alla seguente procedura:

1. Riavviare il controller di dominio.
2. Quando viene visualizzato il menu di avvio di Windows 2000 selezionare Modalità di ripristino servizi directory, quindi premere INVIO.
3. Ripristinare i dati dai supporti di backup per il ripristino autorevole. A questo scopo, attenersi alla seguente procedura:
   1. Nella Modalità di ripristino servizi directory, fare clic sul pulsante Start, scegliere Programmi, Accessori, Utilità di sistema, Backup per avviare l'utilità di backup di Windows 2000 Server.
   2. Fare clic su Ripristino guidato, quindi scegliere Avanti.
   3. Selezionare il percorso di backup appropriato, quindi assicurarsi che siano selezionati almeno i contenitori Disco di sistema e Stato del sistema.
   4. Scegliere Avanzate, quindi assicurarsi di ripristinare i punti di giunzione. Se non si utilizza il menu Avanzate, il processo di ripristino non verrà eseguito correttamente.
   5. Nell'elenco Destinazione file ripristinati selezionare Posizioni originali.
   6. Scegliere OK, quindi completare il processo di ripristino. Verrà visualizzato un indicatore di stato.
   7. Riavviare il computer quando richiesto.
4. Al prompt dei comandi digitare ntdsutil e premere INVIO.
5. Digitare authoritative restore, quindi premere INVIO.
6. Digitare il comando seguente, quindi premere INVIO:
   restore subtree ou=Nome_OU,dc=Nome_Dominio,dc=xxx
   
   
   Nota In questo comando, Nome_OU è il nome dell'unità organizzativa da ripristinare, Nome_Dominio è il nome di dominio in cui risiede l'unità organizzativa e xxx è il nome di dominio di livello superiore del controller di dominio, ad esempio "com","org" o "net".
7. Digitare quit, premere INVIO, digitare quit, quindi premere INVIO.
8. Digitare exit, quindi premere INVIO.
9. Riavviare il controller di dominio.

Per ulteriori informazioni sul ripristino dello stato del sistema su un controller di dominio da un backup precedente, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito: Per ulteriori informazioni sull'impatto di un ripristino autorevole, fare clic sui numeri degli articoli della Knowledge Base riportati di seguito: