Antes de hablar de Active Directory Forest Recovery, veamos cuáles son los distintos escenarios de recuperación y cuándo necesitaré cada uno de ellos.

(Nota: si estás aquí sólo por el título, desplázate hasta el final del post).

La primera y más sencilla es la Recuperación de Objetos.

La recuperación de objetos es el proceso de recuperar un objeto (u objetos) que ha sido eliminado. Esto puede ser el resultado de un error humano, un error de la máquina (la solución de gestión de identidades desprovisiona por error a un usuario) o un fallo de seguridad para el que tendremos una sección separada.

La recuperación de objetos es relativamente fácil, en concreto con la función Papelera de reciclaje introducida por Windows 2008 R2 (más información al respecto aquí: https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

La segunda, que tampoco es muy difícil, es la recuperación del servidor.

Digamos que usted tiene un Controlador de Dominio, de un total de 2 (al menos, si no por favor, promocione inmediatamente el segundo), y este servidor sufre un fallo de hardware. ¿Qué es lo más fácil de hacer para recuperar un DC? Pues, ¡simplemente promocionarlo! Como no hay diferencia entre un DC y el siguiente, recuperar un servidor es tan sencillo como promocionar ese controlador de dominio específico desde cero. Obviamente, es posible que desee mantener el mismo nombre, y la dirección IP, pero espero que usted se consiguió una guía de construcción, por lo que debe saber cómo construir un DC desde cero.

La tercera sería la Recuperación de Dominios.

Con una Recuperación de Dominio estás recuperando un único dominio en un Bosque entero. ¿Cuál puede ser la causa? Pues empezando por un error humano, pero normalmente estos son causados por múltiples fallos de hardware (todos los DCs en DomainX han desaparecido, o si sólo hay uno), borrados masivos en la base de datos, o problemas de configuración. La recuperación de dominios es un poco difícil de explicar en una sola entrada del blog, pero seguro que tocaré el tema de la recuperación de un único dominio en un entorno Forest en una entrada posterior.

Ahora, ahí es donde las cosas se complican

Recuperación de atributos

Imaginemos que ejecutas accidentalmente un script que modifica y borra el contenido del atributo del nombre de pila de todo el mundo. ¿Cómo se recuperaría de eso? Bueno, puede ir a Recuperación de Objetos para todos los usuarios, pero entonces podría estar perdiendo cambios, dependiendo de cuándo se tomó la copia de seguridad.

Ahora imaginemos que esto lo ha hecho otra persona, como un fallo en un programa informático o una brecha de seguridad en la organización que ha permitido a un atacante manipular tus contenidos?

Por el momento no hay una solución perfecta al problema. Podrías usar snapshots, y usarlos como referencia, pero conseguir el contenido correcto desde el snapshot a la base de datos en vivo podría convertirse fácilmente en una pesadilla ldifde (además, encontrar la diferencia entre snapshot y live tampoco es una tarea fácil).

Y mi favorito, Active Directory Forest Recovery

Para ello, voy a recurrir al libro blanco Forest Recovery de Microsoft: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

Y cita la sección llamada "Decidir cuándo realizar la recuperación forestal":

Todos los controladores de dominio se han corrompido lógicamente o se han dañado físicamente hasta el punto de que la continuidad del negocio es imposible; por ejemplo, todas las aplicaciones de negocio que dependen de AD DS no funcionan.

Un administrador deshonesto ha comprometido el entorno de Active Directory.

Un atacante intencionadamente o un administrador accidentalmente ejecuta un script que propaga la corrupción de datos a través del bosque.

Un atacante intencionadamente o un administrador accidentalmente amplía el esquema de Active Directory con cambios maliciosos o conflictivos.

Ninguno de los controladores de dominio puede replicarse con sus socios de replicación.

No se pueden realizar cambios en AD DS en ningún controlador de dominio.

No se pueden instalar nuevos controladores de dominio en ningún dominio.

¿Cómo se hace? En las páginas 29-54 del libro blanco se detallan los pasos necesarios.