Raffaele Valensise

Procedure di Ripristino di Domain Controller – Parte II

Visualizzazioni: 85

Nel primo articolo di questa serie (https://www.ictpower.it/sistemi-operativi/procedure-di-ripristino-di-domain-controller-parte-i.htm) dedicata ad approfondire i metodi per affrontare scenari di perdita di un Domain Controller, abbiamo fornito una breve introduzione ad Active Directory, descrivendo sia la struttura logica che quella fisica di AD DS, ricordandone gli elementi base: Domini, Unità Organizzative (OU), Tree, Forest, Siti, Global Catalog (GC).

L’articolo discute anche i ruoli Flexible Single Master Operation (FSMO), che sono cruciali per mantenere la coerenza ed evitare conflitti nelle operazioni di Active Directory:

  • Schema Master
  • Domain Naming Master
  • RID Master
  • PDC Emulator
  • Infrastructure Master

Per concludere, abbiamo sottolineato la dipendenza di Active Directory dal DNS per individuare i DC, autenticare gli utenti e sincronizzare la replica, evidenziando l’importanza di una configurazione DNS corretta e ridondante.

Disclaimer: Le informazioni tecniche fornite in questo articolo sono pubblicate a solo scopo illustrativo e non costituiscono garanzia implicita o esplicita di correttezza, completezza o idoneità all’uso in ambienti di produzione. Le procedure descritte devono essere adottate esclusivamente da personale qualificato, previa validazione in ambienti di test controllati. L’autore e l’editore non potranno in alcun caso essere ritenuti responsabili per danni diretti, indiretti, consequenziali, perdite di dati, interruzioni operative o altri effetti negativi derivanti dall’utilizzo, applicazione o interpretazione delle informazioni contenute nel presente articolo, anche laddove tali danni siano stati segnalati come potenziali. È responsabilità esclusiva del lettore garantire la conformità alle policy aziendali, alle normative vigenti (ad esempio, GDPR, ISO/IEC 27001) e alle best practice dei vendor ufficiali (ad esempio, Microsoft).

Come indentificare quali Domain Controller detengono quali ruoli?

La perdita improvvisa di un Domain Controller in un ambiente Active Directory può rappresentare un evento critico, specialmente se il server non disponibile ospitava uno o più dei ruoli FSMO. Come detto, questi ruoli, distribuiti tra i DC di un Dominio o di una Foresta, gestiscono operazioni delicate che richiedono un punto di riferimento unico per garantire la coerenza e l’integrità di Active Directory: in caso di guasto del DC che li detiene, è fondamentale intervenire tempestivamente per ripristinare la piena funzionalità dell’ambiente.

La mancanza di un Domain Controller che funge anche da Global Catalog
Server può avere impatti significativi, soprattutto in ambienti multi-dominio o distribuiti geograficamente: se non esistono altri GC disponibili nella rete, gli utenti potrebbero non riuscire ad accedere alle risorse, a eseguire il login o a effettuare ricerche globali nella directory. Inoltre, applicazioni che dipendono dalla presenza del GC (come Exchange Server) potrebbero smettere di funzionare correttamente.

Se, infine, viene a mancare un DC che non detiene alcun ruolo FSMO né funge da Global Catalog Server, l’impatto sull’infrastruttura Active Directory è generalmente minimo, soprattutto se sono presenti altri DC attivi e sincronizzati. Le funzionalità di autenticazione, replica e gestione della directory continueranno a funzionare normalmente, poiché queste operazioni sono distribuite e ridondanti tra i DC. Tuttavia, la perdita va comunque gestita: eventuali client o applicazioni configurati per (o forzati a) usare esclusivamente quel DC potrebbero riscontrare problemi, e la ridondanza complessiva dell’ambiente ne risulterebbe ridotta. È quindi importante valutare la sostituzione o il ripristino del DC per mantenere la resilienza e la disponibilità del sistema.

Qualora non si disponga di una documentazione completa sulla struttura di Active Directory, è necessario inventariare i ruoli critici: Global Catalog (GC), ruoli FSMO e DNS server: questa operazione consente di determinare quali procedure effettuare in caso di perdita di uno dei DC, in base ai ruoli da esso detenuti.

Identificare i GC Server

Metodo 1: Tramite GUI (dssite.msc)

Avviare la console Active Directory Sites and Services.

Espandere la cartella Sites, poi il sito contenente il DC da verificare, poi la cartella Servers.

Espandere l’oggetto server relativo al DC.

Fai clic con il pulsante destro su NTDS Settings e selezionare Properties.

Nella scheda General, verificare se la casella Global Catalog è selezionata.

Metodo 2: Tramite Riga di Comando (nslookup)

Avviare una sessione Command Prompt con privilegi amministrativi.

Eseguire i comandi:

Nslookup

set type=srv

_gc._tcp.<FQDN_Foresta> (ad esempio, _gc._tcp.labnet.local)

L’output mostrerà i nomi e gli indirizzi IP dei server GC.

Metodo 3: Tramite Riga di Comando (dsquery)

Accedere ad uno dei Domain Controller.

Avviare una sessione Command Prompt con privilegi amministrativi.

Eseguire il comando:

dsquery server -isgc

L’output elenca tutti i DC che sono configurati come Global Catalog.

Identificare i detentori dei Ruoli FSMO

Metodo 1: Tramite riga di comando

Accedere ad uno dei Domain Controller.

Avviare una sessione Command Prompt con privilegi amministrativi.

Eseguire il comando:

netdom query fsmo

L’output elenca tutti e cinque i ruoli FSMO e i DC che li detengono.

Metodo 2: Tramite PowerShell

Accedere ad uno dei Domain Controller.

Avviare una sessione PowerShell con privilegi amministrativi.

Eseguire il comando:

Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

per i ruoli a livello di Forest.

Eseguire il comando:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

per i ruoli a livello di Dominio.

Metodo 3: Tramite GUI

Per lo Schema Master, accedere ad uno dei Domain Controller.

Avviare una sessione Command Prompt con privilegi amministrativi per (nel caso non sia già stato fatto prima) registrare la libreria dello snap-in di gestione dello Schema, eseguendo il comando:

regsvr32 schmmgmt.dll

Poi, nella message box di conferma, fare clic su OK.

Avviare una console MMC vuota con il comando

mmc.exe

Dal menu File selezionare Add/Remove Snap-in.


Selezionare Active Directory Schema, fare clic su Add e poi su OK.

Nella console, fare clic con il pulsante destro del mouse su Active Directory Schema nel pannello di sinistra e selezionare Operations Master.

Verrà visualizzato il detentore del ruolo Schema Master.

Per il Domain Naming Master, avviare la console Active Directory Domains and Trusts (domain.msc).

Fare clic con il pulsante destro su Active Directory Domains and Trusts nel pannello di sinistra e selezionare Operations Master.

Verrà visualizzato il detentore del ruolo Domain Naming Master.

Per PDC Emulator, RID Master, Infrastructure Master, avviare la console Active Directory Users and Computers (dsa.msc).

Fare clic con il pulsante destro sul nome del Dominio nel pannello di sinistra e selezionare Operations Master.

Saranno mostrate tre schede: RID, PDC e Infrastructure, ognuna delle quali riporta il DC che detiene il rispettivo ruolo.



Identificare quali Domain Controller sono Server DNS

Metodo 1: Tramite GUI

Avviare la console DNS (dnsmgmt.msc).

Espandere il nome del server DNS, poi espandere Forward Lookup Zones.

Selezionare la zona DNS del dominio Active Directory (ad esempio, labnet.local).

Nel pannello di destra, sono elencati i server dei nomi (tipicamente i DC) autorevoli per quella zona.

Alternativamente, fare clic con il tasto destro sulla zona DNS del dominio Active Directory e selezionare Properties.

Nella scheda Names Servers saranno elencati i nomi e gli indirizzi IP dei server DNS.

Metodo 2: Tramite Riga di Comando

Avviare una sessione di Command Prompt con privilegi amministrativi ed eseguire il comando:

dcdiag /test:dns /v /e

Verranno effettuati dei test su tutti i server DNS, verificandone la disponibilità.

Conclusioni

In questo secondo articolo abbiamo visto come creare un inventario dei ruoli critici in carico ai Domain Controller della Foresta.

Nel prossimo, inizieremo ad esaminare le procedure di ripristino per rimediare alla perdita di un Domain Controller, procedure che dipenderanno proprio da quali ruoli tale DC ricopriva prima del disastro.