backup controladores de dominio

7/14/2019 Backup Controladores de Dominio

http://slidepdf.com/reader/full/backup-controladores-de-dominio 1/46

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Parte 1 de …

Un tema que es recurrente en todos los foros de soporte es el de Copia de Seguridad delos Controladores de Dominio (Backup Domain Controllers). Y para ser más exactos en

realidad, no es éste, sino su complemento: la Recuperación de la Copia de Seguridad(Restore Domain Controllers)

Lo IMPORTANTE no es hacer sólo la Copia de Seguridad (Backup), lo realmenteimportante es que podamos hacer correctamente la Recuperación (Restore). Repito lafrase de un amigo: “Backup hacen todos, Restore sólo algunos pocos”

Y por lo tanto no sólo debemos hacer los Backups de acuerdo a las necesidades yestrategia elegida, sino que periódicamente hagamos Restores de prueba, en lasdiferentes condiciones que pueden darse, y verificar que todo sucede de acuerdo a loplanificado.

Una simple pregunta para hacerlos pensar ¿probó qué sucede si la recuperación la tieneque hacer en un hardware diferente? por modelo de servidor discontinuado por ejemplo,puede ser una pesadilla… Otra pregunta para inquietar ¿conoce la contraseña de Directory Service Restore Mode decada Controlador de Dominio? porque si no la conoce no podrá hacer la Recuperación.Una ayuda: NTDSUTIL.EXE

Para acotar el alcance de esta nota vamos a hacer una asunción: “los Controladores deDominio, son Controladores de Dominio”, lo que implica que aunque tengan además otrasfunciones como servidor de archivos, impresoras o aplicaciones, en este caso notendremos en cuenta esas funciones

Quizás la primera consideración es “¿Necesito hacer Backup de los Controladores deDominio? si tengo dos (o más), y uno fallara siempre hay otro que cumple su función(Ver Controladores de Dominio – Tolerancia a fallas) Lo anterior además está basado en que reinstalar un nuevo servidor y promoverlo aControlador de Dominio, es más rápido que recuperarlo (Restore), y ademásprácticamente no tiene riesgos. Sólo habría que hacer el proceso de remoción dereferencias al Controlador de Dominio perdido (How to remove data in Active Directoryafter an unsuccessful domain controller demotion)

Parece todo muy bueno, pero en realidad no es así, hay algunas posibilidades que no estácubiertas, por ejemplo, borrados o cambios accidentales, corrupción de datos replicados, ysimilares.

Para esto, la única forma de recuperar es teniendo una Copia de Seguridad (Backup) depor lo menos nuestro Dominio, o completo de un Controlador de Dominio.

La Copia de Seguridad de nuestro Dominio la tenemos como una parte del elemento“Estado del Sistema” (System State). Este elemento no es sólo el Dominio, sino queincluye el Registro (Registry), archivos críticos del sistema, y dependiendo los rolesinstalados puede contener otros como por ejemplo, base de Autoridad Certificadora,metadata de IIS, información del servicio de Cluster, etc. Todos los componentes antesmencionados se deben copiar y recuperar en forma conjunta, por las dependencias entreellos. No se pueden ni copiar ni recuperar en forma independiente.Importante: el Estado del Sistema (System State), por los componentes que incluye esespecífico de cada instancia de instalación del servidor. No se debe recuperar en una

nueva instalación, ni menos en diferente hardware.He puesto que no se “debe”, y no que no se “puede”, porque es posible, aunque el

http://windowserver.wordpress.com/2011/05/25/controladores-de-dominio-tolerancia-a-fallas/





http://support.microsoft.com/kb/216498









resultado puede ser impredecible (experiencia propia) y además no está soportado(Referencia How to move a Windows installation to different hardware)

Una consideración sobre la frecuencia de las Copias de Seguridad, la pregunta siempre es“¿cada cuanto conviene hacerla?” Como siempre, toda respuesta es relativa, pero hay una forma fácil de que cada uno

pueda deducir “su” respuesta. Debe contestar la siguiente pregunta ¿Cuánto tiempo detrabajo está dispuesto a perder o a rehacer?

Supongo que nadie pensará en tiempos demasiado extensos, pero tengan en cuenta queno se podrá Recuperar una Copia de Seguridad que tiene una antigüedad mayor al“Tombstone Life Time”

El valor de este parámetro está definido por la versión y service pack de la instalación delprimer Controlador de Dominio del Bosque. Si fue anterior a Windows Server 2003 conSP1 integrado es de 60 días, en otro caso es de 180 días. Si tiene dudas y quiereverificarlo vea Determine the tombstone lifetime for the forest

Entonces debemos plantearnos cuál es la estrategia de Copia de Seguridad que debemoshacer en nuestros Controladores de Dominio para protegernos de diferentes problemas.Para plantear solamente algunas, y que desarrollaré en futuras notas:

Borrado accidental de objetos del Dominio Recuperar uno de los Controladores de Dominio, si no funciona ya sea por

problemas de configuración o hardware Recuperar en idéntico o diferente hardware

Vamos a dejar los puntos pendientes para futuras notas de la serie que continuaré en unosdías

Además, en las futuras notas veremos las diferentes posibilidades de Copia de Seguridadque nos brinda Windows Server 2008-R2




http://technet.microsoft.com/en-us/library/cc784932(WS.10).aspx







Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Backup – Parte 2de …

En esta ocasión, y continuando la serie, vamos a comenzar con las opciones de Copia deSeguridad, enfocándonos específicamente en el caso de Controladores de Dominio

Para ello vamos a describir las formas y opciones de Copia de Seguridad (Backup) de unControlador de Dominio con Windows Server 2008-R2

Utilizaremos el programa de copia de seguridad incluido con el propio sistema operativo,que debemos tener en cuenta que permitirá hacer copia sobre discos internos, o externos,DVDs o carpetas compartidas en la red; pero no permite copias a cinta. Para esto últimonecesitaremos aplicaciones de terceros, o un producto específico de Microsoft llamadoSystem Center Data Protection Manager.

Como primera configuración debemos instalar la Característica (Feature) Windows Server Backup, ya que por omisión no la instala.No demostraré el procedimiento ya que supongo que todos los que estén leyendo estosaben cómo hacerlo. Agregaré solamente la interfaz gráfica de la Característica.

Luego en Administrative Tools, ya podemos abrir la aplicación. Lo primero que haremos esefectuar una Copia de Seguridad no programada

Y seguimos el asistente



Veamos primero qué nos provee la opción “Full Server”

Vemos que nos da las opciones para hacer la copia en disco local (interno o externo)

incluyendo DVD; o en una carpeta compartida en la red. Seleccionemos ahora la primera



En mi caso, la máquina dispone de un segundo disco que había previsto justamente para

este caso, así que lo selecciono de la lista desplegable.

Como habíamos elegido la opción “Full Server” el disco Z: estaba incluido en la copia de

seguridad, pero como no se puede hacer copia de un disco sobre el mismo disco nos

ofrece excluirlo; que por supuesto aceptaremos.



Continuamos el asistente

Y esperamos que se complete la copia



Notemos el tamaño de la copia, que luego nos referiremos a esto; un poco más de 7GB

No lo haré, pero si en lugar de un disco local para hacer la copia hubiéramos elegido una

carpeta compartida de red, nos mostraría las siguientes dos pantallas.3



Comencemos nuevamente el asistente de Copia de Seguridad (Backup) pero en esta

ocasión seleccionemos “Backup Schedule” y en lugar de “Full Server”, vamos a elegir

“Custom”.



Ingresemos por el botón “Add Items” para seleccionar lo que deseamos copiar y notemoslo siguiente:

Si seleccionamos la opción “Bare Metal Recovery”, automáticamente marcará: Estado del

Sistema (System State), la partición de arranque (System Reserved) y el volumen dondese encuentra el sistema operativo (C:\).Mientras esté seleccionado “Bare Metal Recovery) que permite la recuperación del sistema



desde un hardware “limpio”, no podremos desmarcar ninguna de las opciones antesnombradas.Esto es así, porque es lo que necesita el sistema para recuperar completamente lainstalación.

Desmarcando “Bare Metal Recovery” podremos seleccionar individualmente losvolúmenes, carpetas y archivos de los que queramos copia.

En este caso, y para futuras demostraciones, haré copia del Estado del Sistema (System

State) solamente.



Si entramos por el botón Advanced Settings, veremos que podemos excluir archivos, y

elegir el tipo de Copia de Seguridad



Al estar haciendo una copia programada ahora nos muestra la siguiente pantalla.

Observemos que nos permite programar más de una copia por día.

Atención con la siguiente pantalla. La primera opción, y método recomendado es hacer la

copia en un disco dedicado, y que el sistema eliminará todo el contenido pre-existente.

Dejemos marcada esta opción y veamos qué siguientes opciones nos ofrece



Seleccionamos el disco interno que tenemos



Nos recuerda que todos los datos existentes serán borrados

Después de esto, ya sólo falta el botón “Finish” para que comience. No lo haré en este

momento



En lugar del botón “Finish” y que comience la copia, retrocederé en el asistente y probaréotra opción

Si elegimos la segunda opción “Backup to a Volume” nos ofrecerá las mismas opciones,salvo que no procederá al borrado de datos existentes



Pero retrocedamos nuevamente en el asistente, y elijamos la tercera opción “Backup to a

network shared folder”

Nos avisa que con esta configuración dispondremos solamente de la última versión de la

Copia de Seguridad



Y completamos el asistente



Observemos el tamaño de la copia de seguridad del “Estado del Sistema” (System State) ycomparemos, con el tamaño de la copia anterior (“Full Server”). Realmente no es muchomenor, apenas 1GB

Y como veremos más adelante, esta última copia, la del Estado del Sistema (System

State) no me servirá para recuperar un servidor perdido, aunque sí para otras opciones ;)



Resumiendo lo hecho hasta acá. Hemos hechos dos copias de seguridad:

Una copia, por única vez de “Full Server” en disco local Una copia programada del Estado del Sistema (System State) en una carpeta

compartida de la red

En las siguientes notas vemos en qué caso utilizar cada una, para recuperar el servidor ante un problema



Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Restore – Parte 3de …

Continuando con esta serie de notas, vamos a comenzar ahora planteando diferentescasos donde deberemos recurrir a la copia de seguridad.

Son muy variados los casos y configuraciones que se pueden plantear, así que veremossolamente algunos de ellos, en esta, y en futuras notas. Los casos que tengo pensadosson:

Teniendo un único Controlador de Dominio en el Dominio

Recuperación completa del servidor Recuperación de objetos eliminados accidentalmente

Teniendo más de un Controlador de Dominio en el Dominio

Recuperación de objetos eliminados accidentalmente Recuperación por reinstalación

Analicemos por qué he elegido estos casos. Comencemos por el primero, esto es si tengoun único Controlador de Dominio en el Dominio.En este caso es crítico que ante un problema del servidor podamos recuperarlocompletamente, o la pérdida del Dominio será total. Aunque alguno crea que reinstalando con el mismo nombre y direcciones IP puedesolucionar el problema, está equivocado. El sistema utiliza internamente Identificadores deSeguridad (SIDs = Security IDs) que son análogos a números de documento y que éstos

no se repetirán, ni es posible cambiarlos a uno específico. Por lo tanto aunque se llameigual, será otro diferente.

También, teniendo un único Controlador de Dominio, nunca estaremos libres de quealguien, con buena o mala intención, elimine accidentalmente algún objeto que no deberíaser borrado. Análogamente al caso anterior, deberemos recuperarlo ya que sucede lomismo con referencia a los SIDs.Este paso quedará para la nota siguiente, pues es interesante plantear los dos métodosdisponibles: el método de “Undelete”, y el de recuperar desde una copia de seguridad.

Y a continuación haré otra nota sobre la recuperación en un ambiente con más de unControlador de Dominio en el Dominio, que como veremos plantes situaciones especiales.

Recordemos la situación como la habíamos dejado en la nota anterior. Un únicoControlador de Dominio en nuestro único Dominio donde tengo creados algunos objetos(Unidades Organizativas, Usuarios y Grupos), y del cual he hecho dos copias deseguridad:

Un backup de tipo “Full Server” sobre un disco local Un backup del “System State” sobre una carpeta de red

Comenzaremos por el primer caso:



Recuperación Completa del servidor Controlador de Dominio

Para esto deberemos recurrir a la copia tipo “Full Server”; no podemos usar la copia del“System State” por varios motivos.

El “System State” incluye entre otros elementos copia del Registr o de Windows y de variosservicios y su configuración, si estaban instalados.No sólo Active Directory, sino además Autoridad Certificadora, metadatos de IIS, base deCOM+, información del servicio de Cluster, etc.Y además, aunque en algunos pocos casos pueda dar resultado, no está soportado por Microsoft. Personalmente no he tenido buenas experiencias.

Otro tema a considerar, y que es de suma importancia, es si la recuperación se hará sobrela misma configuración de hardware, u otra diferente. La primera es sencilla, pero lasegunda a veces es sencilla y otras realmente una pesadilla que no tiene garantizado un“final feliz”

De todas formas, si quieren leer dos artículos interesantes sobre el tema no se los pierdan:

How to move a Windows installation to different hardware

How to perform a disaster recovery restoration of Active Directory on a computer with adifferent hardware configuration

En este caso haré una recuperación sobre la misma configuración de hardware

Un dato importante es el tamaño del disco duro: este debe ser por lo menos del mismotamaño del que se hizo la copia, ni un bit menos ya que en ese caso no se podrárecuperar.

Para este procedimiento he creado una nueva máquina virtual con la misma configuraciónque la primera (Si, hago todo con máquinas virtuales ;-)) a la que además de un disco enblanco igual al de la otra máquina, le he pasado el disco que contiene el Backup

Iniciamos este equipo con el DVD del producto, seleccionamos la configuración regional, yen el momento que se dispone a instalar, en lugar de ello elegimos la opcióncorrespondiete a la reparación



http://support.microsoft.com/kb/263532/en-us








Más sencillo imposible :-)

Sólo nos resta verificar que podemos iniciar sesión, y que todos nuestros objetos delDominio están presentes

Algo que hay que tener en cuenta, para que podamos recuperar la copia de seguridad, esque no tenga una antigüedad mayor al TombstoneTime.

Este tiempo está difinido por la versión del sistema operativo y service pack del primer

Controlador de Dominio que se instaló en el Bosque. Pero puede ser modificado.

Si el primer Controlador de Dominio del Bosque fue Windows Server 2003 integrado conSP1 es de 180 días. Si fue anterior entonces es de 60 días

Podemos verlo usando el procedimiento detallado en:Determine the tombstone lifetime for the forest

Ya hemos visto qué rápido y sencillamente podemos recuperar nuestro único Controlador de Dominio teniendo una copia de seguridad del mismo. En la próxima nota veremos cómopoder recuperar objetos eliminados accidentalmente.







Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup) deControladores de Dominio, y las diferentes formas de recuperación, en esta vamos a ver cómo podemos recuperar una cuenta de usuario eliminada accidentalmente.

Para esto hay varias posibilidades. En este caso veremos un procedimiento que permitiríarecuperar la cuenta, teniendo un único Controlador de Dominio en el Dominio, y además sino contamos con copia de seguridad.

O sea, que en este caso nos valdremos únicamente con las herramientas disponibles en elpropio sistema operativo

Es importante aclarar que esto lo podremos hacer únicamente si no ha pasado el

“Tombstone time”, ya que en dicho caso ya no estará más en la base de Active Directory

Este procedimiento lo podremos ejecutar, porque en realidad cuando borramos unacuenta, el sistema no la elimina totalmente, sino que la *marca como borrada* y eliminacasi todos sus atributos. Específicamente los únicos cuatro atributos que se conservanson: SID, ObjectGUID, LastKnownParent y SAMAccountName

Seguramente alguno se preguntará cuál es la ventaja de recuperar la cuenta, ya quepierde prácticamente todos sus atributos, lo que implica entre otras cosas que deberéreconfigurar la pertenencia a grupos y todos sus restantes atributos. La importancia radicaen que tendremos una cuenta con el mismo SID, o sea con la misma identidad, con todo loque implica.

Comenzaré con un ejemplo muy sencillo, donde eliminaré una cuenta llamada “Use Uno”



Bien, no está más la cuenta. Pero ahora supongamos que en realidad no la queríamosborrar, entonces comencemos el proceso de recuperación

Hay una utilidad muy poderosa para acceder a Active Directory, que está incluida en elsistema operativo, y que yo pienso que Microsoft “la esconde” justamente porque al ser tan

poderosa, si cayera en manos inexpertas podría generar problemas graves de resolver.

Vamos a verla ahora, se llama LDP.EXE y la ejecutamos desde Inicio / Ejecutar



¿Se ve poco amigable no? :-)

No nos preocupemos, ingresemos por el menú Connection / Connect y conectémonos anuestro Controlador de Dominio.

Ahora nuevamente desde el menú Connections elijamos la opción Bind. Estandoconectados con la cuenta Administrator no hace falta seleccionar nada, sino botón Aceptar



Ahora debemos ingresar al menú Options y seleccionar Control. Dentro de este cuadro, en

la parte “Load predefined options” elejimos “Return Deleted Objects” y aceptamos

Ingresamos al menú View y elegimos Tree. No hace falta que seleccionemos ningunapartición del Directorio, simplemente botón Ok



Veremos que sobre la izquierda aparece un árbol, con nuestro dominio, el cual iremosexpandiendo con doble click hasta que encontremos el contenedor cuyo nombre comienzacon “CN=Deleted Objects …”

Lo expandimos con doble click, y buscamos la cuenta en cuestión

Sobre dicha cuenta, con botón derecho elejimos la opción Modify. Y cuidado que ahoraviene lo difícil, hay que cuidar el detalle y no apurarse



En “Edit Entry Attribute” escribimos “IsDeleted” (sin comillas por supuesto) En “Operation” seleccionamos “Delete” Por último el botón “Enter” NO PULSEN CLOSE NI LA TECLA ENTER

Quedará así

Seguimos. Ahora completamos

En “Edit Entry Attribute” escribimos “DistinguishedName” En “Value” ingresamos el DN de la cuenta a recuperar, en mi caso usé “CN=U1 -Recuperado,ou=OU1,DC=gu illermod,dc=local” En “Operation” seleccionamos “Replace” Y por último el botón Enter

Quedará así



Por último marcamos la opción “Extended” y el botón “Run” para que se ejcute

Si todo salió bien, podremos ver nuestro “usuario recuperado”

Observen que de acuerdo al DN que le he puesto lo he podido recuperar con diferente

nombre, o inclusive, lo podría haber recuperado en una unidad organizativa específica



No digamos que el procedimiento es sencillo, pero si no hay una copia de seguridaddisponible y debemos recuperar una cuenta, lo justifica

Existen también varios métodos y aplicaciones que se podrían aplicar, a quien le intereseprofundizar el tema le recomiendo ver How to restore deleted user accounts and their group memberships in Active Directory

En la siguiente nota veremos alguna de las soluciones y complicaciones que se presentanen un ambiente con múltiples Controladores de Dominio en el Dominio







Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup) deControladores de Dominio, y las diferentes formas de recuperación, en esta vamos a ver cómo podemos recuperar una cuenta de usuario eliminada accidentalmente, pero adiferencia del caso anterior, en este contamos con una copia (Backup) del Estado delSistema (System State)

Así que comencemos, voy a borrar la cuenta de “Usuario Dos”. Es de aclarar que estacuenta pertenece al grupo Global-1

Esta es la prueba :)



¿Cómo recuperamos la cuenta de usuario eliminada? Bien, recordemos que de notasanteriores habíamos dejado programada una copia del Estado del Sistema (System State)sobre una carpeta compartida de red, así que la recuperaremos desde ese lugar.

La copia de seguridad (Backup) de nuestro Active Directory, como hemos visto, se puedehacer con el Controlador de Dominio en funcionamiento. Pero para recuperar la copia(Restore) no se puede.Debemos reiniciar al Controlador de Dominio, y durante el arranque pulsar la tecla F8 paraque nos muestre las opciones avanzadas de arranque.

Dentro de las mismas seleccionamos la opción “Directory Service Restore Mode”



Hará un arranque similar al Modo Seguro (Safe Mode)

Atención a lo que sigue ¿Recuerda la contraseña que puso durante el proceso depromoción a Controlador de Dominio del servidor? Esa es justamente la que necesita. Por



motivos de seguridad, esta contraseña, además de que no tiene relación con la deladministrador del Dominio, debería ser diferente

Y segundo a tener en cuenta, es que como tenemos un único Controlador de Dominio ennuestro Dominio de pruebas, no hay quien pueda validar la cuenta de administrador delDominio, así que deberemos obligatoriamente usar la cuenta de “administrador local”, lo

cual indicaremos escribiendo en el nombre de usuario: “.\ Administrator” y la contraseñaantes mencionada

Ingresamos a la aplicación de Copia de Seguridad (Backup), elegimos Recover, y como la

copia la hemos hecho en una carpeta de red marcamos la opción: “A backup stored on

another location”



Y seguimos el asistente como indican las figuras



Como nos había avisado el sistema cuando elegimos hacer la copia en una carpeta de

red, sólo está disponible la última versión.



Recordemos que lo que queremos recuperar es el Estado del Sistema (System State)

Detengámosnos un momento y observervemos una opción, que no marcaré en este caso,

pero que se denomina “Perform an authoritative restore of Active Directory Files”.

Describiré su uso al final de la nota.



Siguen varias advertencias. Tenerlas en cuenta



Y comienza a recuperar

Como habíamos marcado la opción para que reincie automáticamente al finalizar, lo hace,y nos muestra un mensaje indicando que ha completado la recuperación



Verificamos que hemos recuperado la cuenta de usuario “User Dos”, y que además se harecuperado la pertenencia al grupo

Final feliz del proceso de recuperación de la cuenta de usuario borrada accidentalmente :)

Pero vamos a ver para qué casos se debe utilizar la opción que nombrábamos hace unrato (“Perform an authoritative restore of Active Directory Files”)

En este caso tenemos un único Controlador de Dominio, pero ¿qué sucedería situviéramos más de uno?Supongamos que hacemos la copia de seguridad programa a las 2 de la madrugada (2 AM), se resguarda como está todo en ese momento.Luego a las 9 de la mañana, borramos la cuenta de usuario, y por supuesto ese cambio sereplica a otro/s Controladores de Dominio.

Luego que nosotros recuperamos desde nuestra copia de seguridad de la hora (2 AM) yreinciamos el servidor, va a haber otro Controlador de Domino, que dirá “yo tengo cambiosmás recientes: a las 9 AM el administrador borró la cuenta de este usuario”. La consecuencia es inmediata, nuestro usuario de prueba es nuevamente eliminado :(

Se soluciona fácil. Cuando marcamos que la restauración es Autoritaria (Authoritative),significa que “esto vale”. Y por lo tanto lo que hemos recuperado va a replicarse al resto delos Controladores de Domino

Esta nueva forma de hacer un “Authoritative Restore” es novedad en Windows Server 2008-R2. En sistemas anteriores no aparece esta opción, aunque por supuesto puedehacerse de otra manera que describiré brevemente a continuación.



La comento porque puede solucionarnos, aún con Windows 2008-R2, alguna situaciónespecífica.

Marcando la opción en el asistente, implica que todos los objetos de nuestro dominio son“autoritarios” (valen por sobre los otros), y se puede presentar la situación donde sólo queramos marcar como “autoritarios” sólo un objeto, o sólo el contenido de una Unidad

Organizativa.

En este caso, no debemos marcar la opción antes nombrada, y tampoco hacer que reinicieautomáticamente.Luego de la recuperación, abrir la línea de comandos (CMD.EXE), ejecutar

NTDSUTIL.EXE

ACTIVATE INSTANCE NTDS

AUTHORITATIVE RESTORE

RESTORE OBJECT … oRESTORE SUBTREE … De acuerdo a quieran marcar como “autoritario” un objeto en particular, o toda una UnidadOrganizativaDejo la sintaxis a vuestro cargo :)

Resumiendo, hemos podido recuperar desde una copia de seguridad (Backup) del Estadodel Sistema (System State), un objeto borrado accidentalmente, y de forma totalmenteanáloga si en lugar de ser un objeto hubiera sido una Unidad Organizativa con todo sucontenido

backup controladores de dominio

Documents