Networking, Security & Post-it di tecnologia
Lavorare con le group policy richiede attenzione. Un momento di distrazione, un valore di registro sbagliato e si chiude la porta di casa lasciando le chiavi all’interno senza possibilità di riaprirla.
In questo articolo vi spiego una procedura di emergenza per cancellare la cache delle group policy applicate in un dominio Windows Active Directory. Vi avviso che per compiere correttamente i passaggi che vi illustrerà sono necessari privilegi di administrator locale sul computer incriminato.
Quando un domain controller è spento o non raggiungibile per troppo tempo, soglia di Tombstone, viene considerato non più affidabile e non può più replicare con gli altri domain controller.
Tombstone, questo sconosciuto. Quando un oggetto viene eliminato da Active Directory diventa invisibile ma rimane ancora al suo interno fino al termine del count-down per la rimozione definitiva. La durata di rimozione definitiva è molto importante: rappresenta il periodo di tempo durante il quale è possibile ripristinare un oggetto AD eliminato e anche la quantità massima di tempo per cui un domain controller DC può rimanere scollegato dagli altri DC. I DC non in grado di eseguire la replica per un periodo più lungo rispetto alla durata di rimozione definitiva disattiveranno automaticamente la replica in ingresso e in uscita per evitare di replicare oggetti residui, ovvero gli oggetti AD eliminati da un DC, ma che rimangono sugli altri per problemi di replica.
Quando questo avviene utenti, gruppi e oggetti del dominio non sono più sincronizzati. Questo disallineamento può essere causa di disservizi e problemi. Ovviamente, come sempre accade, doveva capitare allo sfigato di turno che stava cercando di migrare un vecchio dominio non più utilizzato su Azure e accendendo le macchine si trova la sorpresa!
Ogni amministratore IT con qualche anno di esperienza sa che ‘la fortuna è bendata ma la sfiga ci vede benissimo‘ ed avere un backup anche dell’improbabile è meglio che non averne. Una delle componenti che in una rete va salvaguardata in quanto “componente cardine” è Active Directory presente nel o nei Domain Controller (DC).
Malfunzionamenti o crash di Active Directory possono mettere in ginocchio la rete e se questa è di grandi dimensioni … un biglietto open per una meta esotica non è da scartare!
Ci sono molti software utilizzabili per effettuare backup di Active Directory ma non ne parlerò in questo articolo. Quello che invece vorrei descrivere è una semplice procedura per effettuare il backup di Active Directory con una feature nativa di Windows Server 2012 e il successivo ripristino.
E’ il peggior caso che può capitare ad un amministratore IT e non si smette mai di imparare. Il domain controller è morto e va ripristinato. Hai un backup fatto a regola d’arte? Se la risposta è no … prega … se si allora continua a leggere!
Quale procedura di ripristino di Active Directory scegliere? Authoritative o Non-Authoritative Restore di Active Directory? Quel’è la differenza?
