Dia 1 : Apenas um Controlador de Domínio (DC1) está presente. O Backup do Windows Server está configurado em DC1 para salvar o estado do sistema. Exclua um usuário importante do AD.
Dia 2 : Promova Controlador de Domínio adicional (DC2).
Dia 3 : Inicialize o DC1 no DSRM e reverta para o Dia 1 por meio do System State Recovery (não autorativo). Marque o usuário importante para restauração via ntdsutil (autorizado). Reinicie o DC1.
DC1 não sincroniza com DC2 e DC2 não sabe aparecer em Usuários e Computadores do Active Directory em DC1. Os Sites e Serviços do Active Directory mostram o objeto NTDS do DC2 (sincronizado de volta ao DC1 de outros domínios na floresta, presumo), mas não podemos executar uma limpeza de metadados, pois ele não consegue encontrar o objeto do computador. Neste ponto, como o DC1 não sincroniza com outros controladores de domínio, todo o AD foi revertido para o Dia 1, em vez de apenas restaurar o usuário importante.
Podemos recuperar desta situação? Esse comportamento é esperado ou faltou um pré-requisito no ambiente?
Sua milhagem pode variar, mas na minha opinião, no Active Directory, não há uma maneira sensata de fazer restaurações de objeto único. As coisas estão interconectadas e os objetos estão mudando o tempo todo (provavelmente é o "ativo" no Active Directory).
Eu sugeriria ativar a Lixeira do Active Directory para casos como o que você encontrou.
Fazer uma Recuperação do Estado do Sistema quase sempre só é viável para recuperação de desastres (ou seja, quando você perde todos os seus DCs). No entanto, nesse caso, você provavelmente perdeu muito mais do que isso, então começar do zero pode ser a melhor opção nesse caso.
O problema que você tem é que no seu backup (dia 1) não havia nenhum segundo DC. O método que você seguiu normalmente funcionaria e permitiria restaurar apenas um objeto SE o DC2 fizesse parte do domínio quando você fez o backup no DC1.
Você meio que tem um cenário do ovo e da galinha - quando você restaura o DC1 (como você apontou corretamente), ele não tem conhecimento do DC2, então não confiará nele (para replicação). E o DC2 não pode se tornar autoritário sobre o DC1 pelo mesmo motivo. Então você acaba com duas versões separadas do seu AD porque os DCs não confiam um no outro. Você não pode consertar isso, você apenas teve azar porque excluiu um objeto importante antes de ter seu segundo DC online.
Há suporte para fazer uma restauração autorativa em qualquer momento, desde que o backup não seja mais antigo que o tombstoneLifetime na floresta do Active Directory (180 dias). Você também pode adicionar controladores de domínio adicionais ao domínio e ainda restaurar um backup feito quando havia apenas um controlador de domínio presente.
A única coisa que você deve prestar atenção é que todos os controladores de domínio recém-promovidos estão totalmente sincronizados com o Active Directory e concluíram sua sincronização SYSVOL inicial. Certifique-se de que os compartilhamentos NETLOGON e SYSVOL estejam presentes em todos os controladores de domínio do domínio antes de fazer a recuperação de objetos por meio da restauração autorativa.
No meu cenário com dois controladores de domínio, o DC2 não foi totalmente replicado e estava aguardando a sincronização inicial do SYSVOL. DC1 foi então restaurado e após a reinicialização também no mesmo estado da sincronização SYSVOL inicial. Isso fez com que ambos os controladores de domínio não replicassem mais e, efetivamente, ambos tivessem sua própria cópia do Active Directory a partir desse momento.