Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup Restore) Parte 1 de

Un tema que es recurrente en todos los foros de soporte es el de Copia de Seguridad de los Controladores de Dominio (Backup Domain Controllers). Y para ser ms exactos en realidad, no es ste, sino su complemento: la Recuperacin de la Copia de Seguridad (Restore Domain Controllers) Lo IMPORTANTE no es hacer slo la Copia de Seguridad (Backup), lo realmente importante es que podamos hacer correctamente la Recuperacin (Restore). Repito la frase de un amigo: Backup hacen todos, Restore slo algunos pocos Y por lo tanto no slo debemos hacer los Backups de acuerdo a las necesidades y estrategia elegida, sino que peridicamente hagamos Restores de prueba, en las diferentes condiciones que pueden darse, y verificar que todo sucede de acuerdo a lo planificado. Una simple pregunta para hacerlos pensar prob qu sucede si la recuperacin la tiene que hacer en un hardware diferente? por modelo de servidor discontinuado por ejemplo, puede ser una pesadilla Otra pregunta para inquietar conoce la contrasea de Directory Service Restore Mode de cada Controlador de Dominio? porque si no la conoce no podr hacer la Recuperacin. Una ayuda: NTDSUTIL.EXE Para acotar el alcance de esta nota vamos a hacer una asuncin: los Controladores de Dominio, son Controladores de Dominio, lo que implica que aunque tengan adems otras funciones como servidor de archivos, impresoras o aplicaciones, en este caso no tendremos en cuenta esas funciones Quizs la primera consideracin es Necesito hacer Backup de los Controladores de Dominio? si tengo dos (o ms), y uno fallara siempre hay otro que cumple su funcin (Ver Controladores de Dominio Tolerancia a fallas) Lo anterior adems est basado en que reinstalar un nuevo servidor y promoverlo a Controlador de Dominio, es ms rpido que recuperarlo (Restore), y adems prcticamente no tiene riesgos. Slo habra que hacer el proceso de remocin de referencias al Controlador de Dominio perdido (How to remove data in Active Directory after an unsuccessful domain controller demotion) Parece todo muy bueno, pero en realidad no es as, hay algunas posibilidades que no est cubiertas, por ejemplo, borrados o cambios accidentales, corrupcin de datos replicados, y similares. Para esto, la nica forma de recuperar es teniendo una Copia de Seguridad (Backup) de por lo menos nuestro Dominio, o completo de un Controlador de Dominio. La Copia de Seguridad de nuestro Dominio la tenemos como una parte del elemento Estado del Sistema (System State). Este elemento no es slo el Dominio, sino que incluye el Registro (Registry), archivos crticos del sistema, y dependiendo los roles instalados puede contener otros como por ejemplo, base de Autoridad Certificadora, metadata de IIS, informacin del servicio de Cluster, etc. Todos los componentes antes mencionados se deben copiar y recuperar en forma conjunta, por las dependencias entre ellos. No se pueden ni copiar ni recuperar en forma independiente. Importante: el Estado del Sistema (System State), por los componentes que incluye es especfico de cada instancia de instalacin del servidor. No se debe recuperar en una nueva instalacin, ni menos en diferente hardware. He puesto que no se debe, y no que no se puede, porque es posible, aunque el

resultado puede ser impredecible (experiencia propia) y adems no est soportado (Referencia How to move a Windows installation to different hardware) Una consideracin sobre la frecuencia de las Copias de Seguridad, la pregunta siempre es cada cuanto conviene hacerla? Como siempre, toda respuesta es relativa, pero hay una forma fcil de que cada uno pueda deducir su respuesta. Debe contestar la siguiente pregunta Cunto tiempo de trabajo est dispuesto a perder o a rehacer? Supongo que nadie pensar en tiempos demasiado extensos, pero tengan en cuenta que no se podr Recuperar una Copia de Seguridad que tiene una antigedad mayor al Tombstone Life Time El valor de este parmetro est definido por la versin y service pack de la instalacin del primer Controlador de Dominio del Bosque. Si fue anterior a Windows Server 2003 con SP1 integrado es de 60 das, en otro caso es de 180 das. Si tiene dudas y quiere verificarlo vea Determine the tombstone lifetime for the forest Entonces debemos plantearnos cul es la estrategia de Copia de Seguridad que debemos hacer en nuestros Controladores de Dominio para protegernos de diferentes problemas. Para plantear solamente algunas, y que desarrollar en futuras notas:

Borrado accidental de objetos del Dominio Recuperar uno de los Controladores de Dominio, si no funciona ya sea por problemas de configuracin o hardware Recuperar en idntico o diferente hardware

Vamos a dejar los puntos pendientes para futuras notas de la serie que continuar en unos das Adems, en las futuras notas veremos las diferentes posibilidades de Copia de Seguridad que nos brinda Windows Server 2008-R2

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup Restore) Backup Parte 2 de
En esta ocasin, y continuando la serie, vamos a comenzar con las opciones de Copia de Seguridad, enfocndonos especficamente en el caso de Controladores de Dominio Para ello vamos a describir las formas y opciones de Copia de Seguridad (Backup) de un Controlador de Dominio con Windows Server 2008-R2 Utilizaremos el programa de copia de seguridad incluido con el propio sistema operativo, que debemos tener en cuenta que permitir hacer copia sobre discos internos, o externos, DVDs o carpetas compartidas en la red; pero no permite copias a cinta. Para esto ltimo necesitaremos aplicaciones de terceros, o un producto especfico de Microsoft llamado System Center Data Protection Manager. Como primera configuracin debemos instalar la Caracterstica (Feature) Windows Server Backup, ya que por omisin no la instala. No demostrar el procedimiento ya que supongo que todos los que estn leyendo esto saben cmo hacerlo. Agregar solamente la interfaz grfica de la Caracterstica. Luego en Administrative Tools, ya podemos abrir la aplicacin. Lo primero que haremos es efectuar una Copia de Seguridad no programada

Y seguimos el asistente

Veamos primero qu nos provee la opcin Full Server

Vemos que nos da las opciones para hacer la copia en disco local (interno o externo) incluyendo DVD; o en una carpeta compartida en la red. Seleccionemos ahora la primera

En mi caso, la mquina dispone de un segundo disco que haba previsto justamente para este caso, as que lo selecciono de la lista desplegable.

Como habamos elegido la opcin Full Server el disco Z: estaba incluido en la copia de seguridad, pero como no se puede hacer copia de un disco sobre el mismo disco nos ofrece excluirlo; que por supuesto aceptaremos.

Continuamos el asistente

Y esperamos que se complete la copia

Notemos el tamao de la copia, que luego nos referiremos a esto; un poco ms de 7GB

No lo har, pero si en lugar de un disco local para hacer la copia hubiramos elegido una carpeta compartida de red, nos mostrara las siguientes dos pantallas.3

Comencemos nuevamente el asistente de Copia de Seguridad (Backup) pero en esta ocasin seleccionemos Backup Schedule y en lugar de Full Server, vamos a elegir Custom.

Ingresemos por el botn Add Items para seleccionar lo que deseamos copiar y notemos lo siguiente: Si seleccionamos la opcin Bare Metal Recovery, automticamente marcar: Estado del Sistema (System State), la particin de arranque (System Reserved) y el volumen donde se encuentra el sistema operativo (C:\). Mientras est seleccionado Bare Metal Recovery) que permite la recuperacin del sistema

desde un hardware limpio, no podremos desmarcar ninguna de las opciones antes nombradas. Esto es as, porque es lo que necesita el sistema para recuperar completamente la instalacin.

Desmarcando Bare Metal Recovery podremos seleccionar individualmente los volmenes, carpetas y archivos de los que queramos copia. En este caso, y para futuras demostraciones, har copia del Estado del Sistema (System State) solamente.

Si entramos por el botn Advanced Settings, veremos que podemos excluir archivos, y elegir el tipo de Copia de Seguridad

Al estar haciendo una copia programada ahora nos muestra la siguiente pantalla. Observemos que nos permite programar ms de una copia por da.

Atencin con la siguiente pantalla. La primera opcin, y mtodo recomendado es hacer la copia en un disco dedicado, y que el sistema eliminar todo el contenido pre-existente. Dejemos marcada esta opcin y veamos qu siguientes opciones nos ofrece

Seleccionamos el disco interno que tenemos

Nos recuerda que todos los datos existentes sern borrados

Despus de esto, ya slo falta el botn Finish para que comience. No lo har en este momento

En lugar del botn Finish y que comience la copia, retroceder en el asistente y probar otra opcin Si elegimos la segunda opcin Backup to a Volume nos ofrecer las mismas opciones, salvo que no proceder al borrado de datos existentes

Pero retrocedamos nuevamente en el asistente, y elijamos la tercera opcin Backup to a network shared folder

Nos avisa que con esta configuracin dispondremos solamente de la ltima versin de la Copia de Seguridad

Y completamos el asistente

Observemos el tamao de la copia de seguridad del Estado del Sistema (System State) y comparemos, con el tamao de la copia anterior (Full Server). Realmente no es mucho menor, apenas 1GB Y como veremos ms adelante, esta ltima copia, la del Estado del Sistema (System State) no me servir para recuperar un servidor perdido, aunque s para otras opciones ;)

Resumiendo lo hecho hasta ac. Hemos hechos dos copias de seguridad:

Una copia, por nica vez de Full Server en disco local Una copia programada del Estado del Sistema (System State) en una carpeta compartida de la red

En las siguientes notas vemos en qu caso utilizar cada una, para recuperar el servidor ante un problema

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup Restore) Restore Parte 3 de
Continuando con esta serie de notas, vamos a comenzar ahora planteando diferentes casos donde deberemos recurrir a la copia de seguridad. Son muy variados los casos y configuraciones que se pueden plantear, as que veremos solamente algunos de ellos, en esta, y en futuras notas. Los casos que tengo pensados son:

Teniendo un nico Controlador de Dominio en el Dominio Recuperacin completa del servidor Recuperacin de objetos eliminados accidentalmente

Teniendo ms de un Controlador de Dominio en el Dominio

Recuperacin de objetos eliminados accidentalmente Recuperacin por reinstalacin

Analicemos por qu he elegido estos casos. Comencemos por el primero, esto es si tengo un nico Controlador de Dominio en el Dominio. En este caso es crtico que ante un problema del servidor podamos recuperarlo completamente, o la prdida del Dominio ser total. Aunque alguno crea que reinstalando con el mismo nombre y direcciones IP puede solucionar el problema, est equivocado. El sistema utiliza internamente Identificadores de Seguridad (SIDs = Security IDs) que son anlogos a nmeros de documento y que stos no se repetirn, ni es posible cambiarlos a uno especfico. Por lo tanto aunque se llame igual, ser otro diferente. Tambin, teniendo un nico Controlador de Dominio, nunca estaremos libres de que alguien, con buena o mala intencin, elimine accidentalmente algn objeto que no debera ser borrado. Anlogamente al caso anterior, deberemos recuperarlo ya que sucede lo mismo con referencia a los SIDs. Este paso quedar para la nota siguiente, pues es interesante plantear los dos mtodos disponibles: el mtodo de Undelete, y el de recuperar desde una copia de seguridad. Y a continuacin har otra nota sobre la recuperacin en un ambiente con ms de un Controlador de Dominio en el Dominio, que como veremos plantes situaciones especiales. Recordemos la situacin como la habamos dejado en la nota anterior. Un nico Controlador de Dominio en nuestro nico Dominio donde tengo creados algunos objetos (Unidades Organizativas, Usuarios y Grupos), y del cual he hecho dos copias de seguridad:

Un backup de tipo Full Server sobre un disco local Un backup del System State sobre una carpeta de red

Comenzaremos por el primer caso:

Recuperacin Completa del servidor Controlador de Dominio

Para esto deberemos recurrir a la copia tipo Full Server; no podemos usar la copia del System State por varios motivos. El System State incluye entre otros elementos copia del Registro de Windows y de varios servicios y su configuracin, si estaban instalados. No slo Active Directory, sino adems Autoridad Certificadora, metadatos de IIS, base de COM+, informacin del servicio de Cluster, etc. Y adems, aunque en algunos pocos casos pueda dar resultado, no est soportado por Microsoft. Personalmente no he tenido buenas experiencias. Otro tema a considerar, y que es de suma importancia, es si la recuperacin se har sobre la misma configuracin de hardware, u otra diferente. La primera es sencilla, pero la segunda a veces es sencilla y otras realmente una pesadilla que no tiene garantizado un final feliz De todas formas, si quieren leer dos artculos interesantes sobre el tema no se los pierdan: How to move a Windows installation to different hardware How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration En este caso har una recuperacin sobre la misma configuracin de hardware Un dato importante es el tamao del disco duro: este debe ser por lo menos del mismo tamao del que se hizo la copia, ni un bit menos ya que en ese caso no se podr recuperar. Para este procedimiento he creado una nueva mquina virtual con la misma configuracin que la primera (Si, hago todo con mquinas virtuales ;-)) a la que adems de un disco en blanco igual al de la otra mquina, le he pasado el disco que contiene el Backup Iniciamos este equipo con el DVD del producto, seleccionamos la configuracin regional, y en el momento que se dispone a instalar, en lugar de ello elegimos la opcin correspondiete a la reparacin

Ms sencillo imposible :-) Slo nos resta verificar que podemos iniciar sesin, y que todos nuestros objetos del Dominio estn presentes Algo que hay que tener en cuenta, para que podamos recuperar la copia de seguridad, es que no tenga una antigedad mayor al TombstoneTime. Este tiempo est difinido por la versin del sistema operativo y service pack del primer Controlador de Dominio que se instal en el Bosque. Pero puede ser modificado. Si el primer Controlador de Dominio del Bosque fue Windows Server 2003 integrado con SP1 es de 180 das. Si fue anterior entonces es de 60 das Podemos verlo usando el procedimiento detallado en: Determine the tombstone lifetime for the forest Ya hemos visto qu rpido y sencillamente podemos recuperar nuestro nico Controlador de Dominio teniendo una copia de seguridad del mismo. En la prxima nota veremos cmo poder recuperar objetos eliminados accidentalmente.

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup Restore) Restore Parte 4 de
Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup) de Controladores de Dominio, y las diferentes formas de recuperacin, en esta vamos a ver cmo podemos recuperar una cuenta de usuario eliminada accidentalmente. Para esto hay varias posibilidades. En este caso veremos un procedimiento que permitira recuperar la cuenta, teniendo un nico Controlador de Dominio en el Dominio, y adems si no contamos con copia de seguridad. O sea, que en este caso nos valdremos nicamente con las herramientas disponibles en el propio sistema operativo Es importante aclarar que esto lo podremos hacer nicamente si no ha pasado el Tombstone time, ya que en dicho caso ya no estar ms en la base de Active Directory Este procedimiento lo podremos ejecutar, porque en realidad cuando borramos una cuenta, el sistema no la elimina totalmente, sino que la *marca como borrada* y elimina casi todos sus atributos. Especficamente los nicos cuatro atributos que se conservan son: SID, ObjectGUID, LastKnownParent y SAMAccountName Seguramente alguno se preguntar cul es la ventaja de recuperar la cuenta, ya que pierde prcticamente todos sus atributos, lo que implica entre otras cosas que deber reconfigurar la pertenencia a grupos y todos sus restantes atributos. La importancia radica en que tendremos una cuenta con el mismo SID, o sea con la misma identidad, con todo lo que implica. Comenzar con un ejemplo muy sencillo, donde eliminar una cuenta llamada Use Uno

Bien, no est ms la cuenta. Pero ahora supongamos que en realidad no la queramos borrar, entonces comencemos el proceso de recuperacin Hay una utilidad muy poderosa para acceder a Active Directory, que est incluida en el sistema operativo, y que yo pienso que Microsoft la esconde justamente porque al ser tan poderosa, si cayera en manos inexpertas podra generar problemas graves de resolver. Vamos a verla ahora, se llama LDP.EXE y la ejecutamos desde Inicio / Ejecutar

Se ve poco amigable no? :-) No nos preocupemos, ingresemos por el men Connection / Connect y conectmonos a nuestro Controlador de Dominio.

Ahora nuevamente desde el men Connections elijamos la opcin Bind. Estando conectados con la cuenta Administrator no hace falta seleccionar nada, sino botn Aceptar

Ahora debemos ingresar al men Options y seleccionar Control. Dentro de este cuadro, en la parte Load predefined options elejimos Return Deleted Objects y aceptamos

Ingresamos al men View y elegimos Tree. No hace falta que seleccionemos ninguna particin del Directorio, simplemente botn Ok

Veremos que sobre la izquierda aparece un rbol, con nuestro dominio, el cual iremos expandiendo con doble click hasta que encontremos el contenedor cuyo nombre comienza con CN=Deleted Objects

Lo expandimos con doble click, y buscamos la cuenta en cuestin

Sobre dicha cuenta, con botn derecho elejimos la opcin Modify. Y cuidado que ahora viene lo difcil, hay que cuidar el detalle y no apurarse

En Edit Entry Attribute escribimos IsDeleted (sin comillas por supuesto) En Operation seleccionamos Delete Por ltimo el botn Enter NO PULSEN CLOSE NI LA TECLA ENTER Quedar as

Seguimos. Ahora completamos En Edit Entry Attribute escribimos DistinguishedName En Value ingresamos el DN de la cuenta a recuperar, en mi caso us CN=U1Recuperado,ou=OU1,DC=guillermod,dc=local En Operation seleccionamos Replace Y por ltimo el botn Enter Quedar as

Por ltimo marcamos la opcin Extended y el botn Run para que se ejcute Si todo sali bien, podremos ver nuestro usuario recuperado

Observen que de acuerdo al DN que le he puesto lo he podido recuperar con diferente nombre, o inclusive, lo podra haber recuperado en una unidad organizativa especfica

No digamos que el procedimiento es sencillo, pero si no hay una copia de seguridad disponible y debemos recuperar una cuenta, lo justifica Existen tambin varios mtodos y aplicaciones que se podran aplicar, a quien le interese profundizar el tema le recomiendo ver How to restore deleted user accounts and their group memberships in Active Directory En la siguiente nota veremos alguna de las soluciones y complicaciones que se presentan en un ambiente con mltiples Controladores de Dominio en el Dominio

Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup Restore) Restore Parte 5 de
Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup) de Controladores de Dominio, y las diferentes formas de recuperacin, en esta vamos a ver cmo podemos recuperar una cuenta de usuario eliminada accidentalmente, pero a diferencia del caso anterior, en este contamos con una copia (Backup) del Estado del Sistema (System State) As que comencemos, voy a borrar la cuenta de Usuario Dos. Es de aclarar que esta cuenta pertenece al grupo Global-1

Esta es la prueba :)

Cmo recuperamos la cuenta de usuario eliminada? Bien, recordemos que de notas anteriores habamos dejado programada una copia del Estado del Sistema (System State) sobre una carpeta compartida de red, as que la recuperaremos desde ese lugar. La copia de seguridad (Backup) de nuestro Active Directory, como hemos visto, se puede hacer con el Controlador de Dominio en funcionamiento. Pero para recuperar la copia (Restore) no se puede. Debemos reiniciar al Controlador de Dominio, y durante el arranque pulsar la tecla F8 para que nos muestre las opciones avanzadas de arranque. Dentro de las mismas seleccionamos la opcin Directory Service Restore Mode

Har un arranque similar al Modo Seguro (Safe Mode)

Atencin a lo que sigue Recuerda la contrasea que puso durante el proceso de promocin a Controlador de Dominio del servidor? Esa es justamente la que necesita. Por

motivos de seguridad, esta contrasea, adems de que no tiene relacin con la del administrador del Dominio, debera ser diferente Y segundo a tener en cuenta, es que como tenemos un nico Controlador de Dominio en nuestro Dominio de pruebas, no hay quien pueda validar la cuenta de administrador del Dominio, as que deberemos obligatoriamente usar la cuenta de administrador local, lo cual indicaremos escribiendo en el nombre de usuario: .\Administrator y la contrasea antes mencionada

Ingresamos a la aplicacin de Copia de Seguridad (Backup), elegimos Recover, y como la copia la hemos hecho en una carpeta de red marcamos la opcin: A backup stored on another location

Y seguimos el asistente como indican las figuras

Como nos haba avisado el sistema cuando elegimos hacer la copia en una carpeta de red, slo est disponible la ltima versin.

Recordemos que lo que queremos recuperar es el Estado del Sistema (System State)

Detengmosnos un momento y observervemos una opcin, que no marcar en este caso, pero que se denomina Perform an authoritative restore of Active Directory Files. Describir su uso al final de la nota.

Siguen varias advertencias. Tenerlas en cuenta

Y comienza a recuperar

Como habamos marcado la opcin para que reincie automticamente al finalizar, lo hace, y nos muestra un mensaje indicando que ha completado la recuperacin

Verificamos que hemos recuperado la cuenta de usuario User Dos, y que adems se ha recuperado la pertenencia al grupo

Final feliz del proceso de recuperacin de la cuenta de usuario borrada accidentalmente :)

Pero vamos a ver para qu casos se debe utilizar la opcin que nombrbamos hace un rato (Perform an authoritative restore of Active Directory Files) En este caso tenemos un nico Controlador de Dominio, pero qu sucedera si tuviramos ms de uno? Supongamos que hacemos la copia de seguridad programa a las 2 de la madrugada (2 AM), se resguarda como est todo en ese momento. Luego a las 9 de la maana, borramos la cuenta de usuario, y por supuesto ese cambio se replica a otro/s Controladores de Dominio. Luego que nosotros recuperamos desde nuestra copia de seguridad de la hora (2 AM) y reinciamos el servidor, va a haber otro Controlador de Domino, que dir yo tengo cambios ms recientes: a las 9 AM el administrador borr la cuenta de este usuario. La consecuencia es inmediata, nuestro usuario de prueba es nuevamente eliminado :( Se soluciona fcil. Cuando marcamos que la restauracin es Autoritaria (Authoritative), significa que esto vale. Y por lo tanto lo que hemos recuperado va a replicarse al resto de los Controladores de Domino Esta nueva forma de hacer un Authoritative Restore es novedad en Windows Server 2008-R2. En sistemas anteriores no aparece esta opcin, aunque por supuesto puede hacerse de otra manera que describir brevemente a continuacin.

La comento porque puede solucionarnos, an con Windows 2008-R2, alguna situacin especfica. Marcando la opcin en el asistente, implica que todos los objetos de nuestro dominio son autoritarios (valen por sobre los otros), y se puede presentar la situacin donde slo queramos marcar como autoritarios slo un objeto, o slo el contenido de una Unidad Organizativa. En este caso, no debemos marcar la opcin antes nombrada, y tampoco hacer que reinicie automticamente. Luego de la recuperacin, abrir la lnea de comandos (CMD.EXE), ejecutar

NTDSUTIL.EXE ACTIVATE AUTHORITATIVE RESTORE OBJECT

INSTANCE o RESTORE

NTDS RESTORE SUBTREE

De acuerdo a quieran marcar como autoritario un objeto en particular, o toda una Unidad Organizativa Dejo la sintaxis a vuestro cargo :) Resumiendo, hemos podido recuperar desde una copia de seguridad (Backup) del Estado del Sistema (System State), un objeto borrado accidentalmente, y de forma totalmente anloga si en lugar de ser un objeto hubiera sido una Unidad Organizativa con todo su contenido