AD_Active_Directory Troubleshooting

Problemi comuni di backup e ripristino su Active Directory

20 Marzo 2023
Luca Angeli
()

I problemi comuni di backup e ripristino su Active Directory includono:

  1. Incomplete backups: Se non si esegue un backup completo di Active Directory, si possono perdere importanti informazioni di configurazione e dati utente durante il ripristino.
  2. Corruzione del database: I dati di Active Directory possono diventare corrotti a causa di errori hardware, software o di sistema. In questo caso, il ripristino potrebbe non funzionare correttamente.
  3. Problemi di compatibilità: Se si tenta di ripristinare un backup di Active Directory su un’istanza che utilizza una versione diversa del sistema operativo o di Active Directory, potrebbero verificarsi problemi di compatibilità.
  4. Tempi di ripristino prolungati: Il ripristino di un backup di Active Directory può richiedere molto tempo, soprattutto se si tratta di grandi directory con molti oggetti.
  5. Backup programmati non effettuati: Se non si effettuano backup regolari di Active Directory, si rischia di perdere importanti informazioni in caso di guasti hardware o software.
  6. Backup non protetti: Se i backup di Active Directory non sono protetti da password o crittografia, potrebbero essere accessibili a persone non autorizzate.

Per evitare questi problemi, è importante effettuare backup regolari di Active Directory, mantenere i backup in un luogo sicuro e verificare periodicamente che i backup siano completi e che funzionino correttamente. Inoltre, è consigliabile utilizzare software di backup e ripristino specifico per Active Directory e testare il ripristino in un ambiente di prova prima di utilizzarlo in produzione.

Ecco una panoramica dettagliata dei problemi comuni di backup e ripristino su Active Directory (AD), insieme alle soluzioni per affrontarli.

1. Backup incompleti o corrotti

Problema:

  • Il backup di AD potrebbe risultare incompleto o corrotto a causa di errori di sistema, problemi di spazio su disco o interruzioni durante il processo.
  • Il backup potrebbe non includere tutte le informazioni necessarie, come oggetti della directory, criteri di gruppo o configurazioni DNS.

Soluzione:

  • Verificare l’integrità del backup con il comando: wbadmin get versions
  • Utilizzare strumenti Microsoft consigliati: Windows Server Backup, System State Backup o soluzioni di terze parti certificate.
  • Salvare i backup in più posizioni e verificare regolarmente i file di backup.

2. Impossibilità di ripristinare un Domain Controller (DC)

Problema:

  • Dopo un crash o una perdita di dati, il tentativo di ripristinare un DC può fallire se il backup non è aggiornato o se il ripristino non viene eseguito correttamente.
  • Un DC ripristinato può avere problemi di sincronizzazione con altri controller, causando incoerenze nei dati.

Soluzione:

  • Utilizzare il ripristino autorevole o non autorevole, a seconda del contesto:
    • Ripristino autorevole (perdite di dati critiche): ntdsutil “activate instance ntds” authoritative restore
    • Ripristino non autorevole (perdite di sistema, ma dati ancora replicati da altri DC): wbadmin start systemstaterecovery
  • Verificare la sincronizzazione con gli altri DC con il comando: repadmin /showrepl
  • Testare il ripristino su un ambiente di test prima di applicarlo in produzione.

3. Conflitti di ID e oggetti duplicati dopo il ripristino

Problema:

  • Dopo un ripristino autorevole, possono verificarsi conflitti tra gli ID di oggetti, causando duplicazioni di utenti, computer o gruppi.
  • Gli UUID (Unique Identifier) possono essere riutilizzati, portando a errori di accesso.

Soluzione:

  • Pulire gli oggetti duplicati con lo strumento ntdsutil o rimuoverli manualmente tramite Active Directory Users and Computers.
  • Eseguire un controllo della coerenza con: dcdiag /v
  • Forzare la sincronizzazione con altri DC per allineare i dati: repadmin /syncall /APeD

4. Errori di ripristino dei criteri di gruppo (GPO)

Problema:

  • Dopo il ripristino, alcuni criteri di gruppo potrebbero non essere applicati correttamente o risultare mancanti.
  • Il collegamento tra i GPO e le unità organizzative potrebbe essere perso.

Soluzione:

  • Verificare i GPO attivi con: Get-GPO -All
  • Forzare l’aggiornamento delle policy sui client con: gpupdate /force
  • Ripristinare i GPO manualmente da backup se necessario.

5. DNS corrotto o incoerente dopo il ripristino

Problema:

  • Dopo il ripristino di AD, il DNS può risultare corrotto o desincronizzato, causando errori di risoluzione dei nomi.
  • I record DNS possono essere mancanti o duplicati.

Soluzione:

  • Verificare lo stato del DNS con: dcdiag /test:dns
  • Forzare la registrazione dei record DNS con: ipconfig /registerdns
  • Eliminare e ricreare i record DNS corrotti, se necessario.

6. Password di utenti e account computer non sincronizzate

Problema:

  • Dopo il ripristino, alcuni utenti potrebbero avere problemi di accesso perché le password non sono aggiornate su tutti i DC.
  • Gli account computer possono perdere la fiducia con il dominio.

Soluzione:

  • Forzare la replica tra i DC: repadmin /syncall
  • Reimpostare le password degli utenti, se necessario.
  • Ripristinare la relazione di trust per i computer: nltest /sc_verify:domainname
  • Riaggiungere i computer al dominio, se richiesto.

7. Problemi di USN rollback dopo un ripristino non corretto

Problema:

  • Se un DC viene ripristinato da un’istantanea o un backup non supportato, può verificarsi un USN rollback, impedendo la corretta replicazione con altri DC.
  • I dati tra i controller potrebbero non essere aggiornati, causando inconsistenze.

Soluzione:

  • Verificare l’USN rollback con: repadmin /showutdvec
  • Non usare snapshot VM per ripristinare DC, ma solo backup di sistema.
  • Forzare la rimozione del DC problematico e reinstallarlo.

8. Ripristino di oggetti eliminati accidentalmente (Active Directory Recycle Bin)

Problema:

  • Utenti, gruppi o computer possono essere cancellati accidentalmente e devono essere ripristinati.

Soluzione:

  • Se il Cestino di AD è abilitato, ripristinare gli oggetti con: Get-ADObject -Filter 'isDeleted -eq $true' -IncludeDeletedObjects
  • Se il Cestino di AD è disabilitato, eseguire un ripristino autorevole con ntdsutil.

Conclusione

Il backup e il ripristino di Active Directory sono operazioni critiche che devono essere eseguite con attenzione. È fondamentale:
Effettuare backup regolari e testarli periodicamente.
Utilizzare strumenti ufficiali come Windows Server Backup.
Eseguire ripristini controllati, preferibilmente in ambienti di test prima di applicarli in produzione.

/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Mappa del Sito - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario