The Master of Disaster. Recuperación de Active Directory
Vamos a hablar en este post sobre como restaurar un controlador de dominio en un ambiente Active Directory basado en Windows Server 2012.
La mejor manera para garantizar disponibilidad en nuestras infraestructuras, como contábamos en el primer artículo de la serie, es implementar servicios redundantes. Para mi, sin duda, el servicio de Active Directory, y en este caso, controlador de dominio es básico ya que estableciendo dos controladores de dominio, replican la información entre ellos y en caso de caída, no perderemos todo el trabajo.
En un ambiente como este, no necesitaríamos realizar una copia de seguridad, sino configurar la restauración que queremos realizar, ya que la información de Active Directory de ese controlador de dominio debe estar replicado en un segundo controlador.
El tipo de restauración como podemos llevar a cabo es autoritativa o no-autoritativa. En el caso de la restauración no autoritativa "subiremos " el controlador de dominio a Active Directory, y este recibirá la información de un segundo controlador de dominio. De la manera autoritativa, será se recuperará el estado del primer controlador de dominio, y este replicará de la manera habitual hacia el resto. Importante estos matices. Imaginemos un caso. Se cae un Controlador de dominio el Viernes por la tarde, nadie se da cuenta, y tenemos a un administrador el sábado modificando objetos de AD sobre otro controlador de dominio.
El lunes cuando nos ponemos en marcha, queremos tener esos datos en el "restaurado" ?.
Lo más sencillo es tener Controladores de dominio dedicados, es decir, que no desempeñan ningún otro rol, ni almacenan datos de usuario, es decir, DC puro y duro. Podemos usar versiones Core virtualizadas para minimizar el gasto de hardware. Con Controladores de dominio dedicados, no importa un caída de uno de ellos, simplemente realizamos una instalación basada en la imagen de un controlador de dominio disponible, y elevamos el nuevo servidor a Controlador de dominio, el cual obtendrá su "configuración" A.Directory de la replica.
Seguro que todos estáis pensando que un servidor DC sin ningún otro rol es tirar un poco el dinero... Según los casos xD.
Si queremos restaurar un servidor Controlador de dominio que alberga otro tipo de roles o datos, debemos realizar una copia de seguridad previa y realizar una restauración al igual que hacemos con cualquier servidor. Debemos tener en cuenta que Active Directory no borra completamente los objetos del dominio, sino que los deja en "stand-by" borrados durante 60 días, para evitar borrados no deseados. Para evitar restaurar objetos borrados, el sistema no nos dejará restaurar copias de seguridad de estado de Active Directory obsoletas ( 60 o más días desde su realización).
Cuando realizamos una restauración autoritativa, en la que vamos a restaurar un Controlador de dominio y posteriormente replicar hacia el resto, debemos de tener en cuenta que la copia de seguridad de estado de Active Directory almacena las claves NTLM de los equipos necesaria para su "unión" o participación en el dominio. Esta clave cambia automáticamente cada 7 días, por lo que si la copia de seguridad del DC contiene información NTLM de un equipo, y la fecha de restauración sobrepasa el límite del cambio de 7 días, podemos encontrarnos con problemas a la hora de iniciar sesión los equipos en Active Directory.
En este caso, debemos situarnos en la consola de administración de Usuarios y Equipos de Active Directory, colocarnos sobre el pc que esté experimentando problemas de inicio, y resetear su cuenta.
En el caso de que esto no fuera suficiente, deberíamos borrar el objeto de Active Directory, y unir de nuevo el pc al dominio.
Vamos a realizar una copia de seguridad del controlador de dominio con la herramienta de Backup de Windows Server 2012 y posteriormente realizar una restauración. Para ello, voy a usar el post sobre la instalación del servicio de backup del amigo Roberto de 1gb de información.
Una vez hecha la copia de seguridad de nuestro controlador de dominio, vamos a restaurar desde ese backup. Reiniciamos el servidor y entramos en las opciones de arranque pulsando la tecla F8. Pulsamos la opción de Reparación de servicios de directorio.
Las credenciales que queremos pasar para iniciar sesión deben ser las del administrador del modo de reparación del dominio ( creada en la instalación de AD), no la del administrador del dominio.
Entramos en una consola PowerShell y lanzamos la herramienta de recuperación de Active Directory Ntdsutil con el parámetro "Activate Instance NTDS". Indicamos que vamos a realizar una Authoritative Restore. Una vez aquí, seleccionamos el objeto que queremos restaurar, ya que nos permite resturar solo una parte del dominio, como por ejemplo, un usuario, una unidad organizativa, etc. Para este caso le voy a decir "Restore subtree dc=miempresa,dc=local" es decir, todo el dominio miempresa.local. Lo lanzamos y en unos segundos se restaura el dominio, y al ser autoritativo, se propagará al resto de controladores de dominio en el caso de que los hubiera.
Dentro de las copias de seguridad de estado de Windows Server 2012, necesaría para salvaguardar el estado de Active Directory está carpeta SYSVOL, que contiene scripts de inicio, plantillas de seguridad, G.P.O etc. Esta carpeta se almacen automáticamente como he dicho en la copia de seguridad de estado. Como hemos visto, si hacemos una restauración autoritativa, el contenido de esta carpeta será replicado hacia el resto de controladores de dominio, mientras que si hacemos una restauración no autoritativa, aunque se restaure el contenido de dicha carpeta en el controlador de dominio restaurado, será replicada desde otro controlador de dominio hacia el.
*** Cuando realizamos una copia de seguridad de estado de un controlador de dominio estamos salvaguardando, entre otros, estos elementos:
Registry
COM+ Class Registration database
Boot files
Active Directory Certificate Services (AD CS) database
Active Directory database (Ntds.dit)
SYSVOL directory
Cluster service information
Microsoft Internet Information Services (IIS) metadirectory
System files that are under Windows Resource Protection
Active Directory Federation Services
The volume that hosts the boot files, which consist of the Bootmgr file and the Boot
Configuration Data (BCD) store
The volume that hosts the Windows operating system and the registry
The volume that hosts the SYSVOL tree
The volume that hosts the Active Directory database (Ntds.dit)
The volume that hosts the Active Directory database log files ***
Otra manera de resturar un controlador de dominio, sin utilizar una copia de seguridad es mediante la reconstrucción de roles. Mediante shadow Copy, papelera de reciclaje de Active Directory, proceso Tmbstone, etc. En próximas entregas hablaremos de distintos métodos.
Como siempre, espero que os guste y gracias por leerme.
La mejor manera para garantizar disponibilidad en nuestras infraestructuras, como contábamos en el primer artículo de la serie, es implementar servicios redundantes. Para mi, sin duda, el servicio de Active Directory, y en este caso, controlador de dominio es básico ya que estableciendo dos controladores de dominio, replican la información entre ellos y en caso de caída, no perderemos todo el trabajo.
En un ambiente como este, no necesitaríamos realizar una copia de seguridad, sino configurar la restauración que queremos realizar, ya que la información de Active Directory de ese controlador de dominio debe estar replicado en un segundo controlador.
El tipo de restauración como podemos llevar a cabo es autoritativa o no-autoritativa. En el caso de la restauración no autoritativa "subiremos " el controlador de dominio a Active Directory, y este recibirá la información de un segundo controlador de dominio. De la manera autoritativa, será se recuperará el estado del primer controlador de dominio, y este replicará de la manera habitual hacia el resto. Importante estos matices. Imaginemos un caso. Se cae un Controlador de dominio el Viernes por la tarde, nadie se da cuenta, y tenemos a un administrador el sábado modificando objetos de AD sobre otro controlador de dominio.
El lunes cuando nos ponemos en marcha, queremos tener esos datos en el "restaurado" ?.
Lo más sencillo es tener Controladores de dominio dedicados, es decir, que no desempeñan ningún otro rol, ni almacenan datos de usuario, es decir, DC puro y duro. Podemos usar versiones Core virtualizadas para minimizar el gasto de hardware. Con Controladores de dominio dedicados, no importa un caída de uno de ellos, simplemente realizamos una instalación basada en la imagen de un controlador de dominio disponible, y elevamos el nuevo servidor a Controlador de dominio, el cual obtendrá su "configuración" A.Directory de la replica.
Seguro que todos estáis pensando que un servidor DC sin ningún otro rol es tirar un poco el dinero... Según los casos xD.
Si queremos restaurar un servidor Controlador de dominio que alberga otro tipo de roles o datos, debemos realizar una copia de seguridad previa y realizar una restauración al igual que hacemos con cualquier servidor. Debemos tener en cuenta que Active Directory no borra completamente los objetos del dominio, sino que los deja en "stand-by" borrados durante 60 días, para evitar borrados no deseados. Para evitar restaurar objetos borrados, el sistema no nos dejará restaurar copias de seguridad de estado de Active Directory obsoletas ( 60 o más días desde su realización).
Cuando realizamos una restauración autoritativa, en la que vamos a restaurar un Controlador de dominio y posteriormente replicar hacia el resto, debemos de tener en cuenta que la copia de seguridad de estado de Active Directory almacena las claves NTLM de los equipos necesaria para su "unión" o participación en el dominio. Esta clave cambia automáticamente cada 7 días, por lo que si la copia de seguridad del DC contiene información NTLM de un equipo, y la fecha de restauración sobrepasa el límite del cambio de 7 días, podemos encontrarnos con problemas a la hora de iniciar sesión los equipos en Active Directory.
En este caso, debemos situarnos en la consola de administración de Usuarios y Equipos de Active Directory, colocarnos sobre el pc que esté experimentando problemas de inicio, y resetear su cuenta.
En el caso de que esto no fuera suficiente, deberíamos borrar el objeto de Active Directory, y unir de nuevo el pc al dominio.
Una vez hecha la copia de seguridad de nuestro controlador de dominio, vamos a restaurar desde ese backup. Reiniciamos el servidor y entramos en las opciones de arranque pulsando la tecla F8. Pulsamos la opción de Reparación de servicios de directorio.
Entramos en una consola PowerShell y lanzamos la herramienta de recuperación de Active Directory Ntdsutil con el parámetro "Activate Instance NTDS". Indicamos que vamos a realizar una Authoritative Restore. Una vez aquí, seleccionamos el objeto que queremos restaurar, ya que nos permite resturar solo una parte del dominio, como por ejemplo, un usuario, una unidad organizativa, etc. Para este caso le voy a decir "Restore subtree dc=miempresa,dc=local" es decir, todo el dominio miempresa.local. Lo lanzamos y en unos segundos se restaura el dominio, y al ser autoritativo, se propagará al resto de controladores de dominio en el caso de que los hubiera.
Dentro de las copias de seguridad de estado de Windows Server 2012, necesaría para salvaguardar el estado de Active Directory está carpeta SYSVOL, que contiene scripts de inicio, plantillas de seguridad, G.P.O etc. Esta carpeta se almacen automáticamente como he dicho en la copia de seguridad de estado. Como hemos visto, si hacemos una restauración autoritativa, el contenido de esta carpeta será replicado hacia el resto de controladores de dominio, mientras que si hacemos una restauración no autoritativa, aunque se restaure el contenido de dicha carpeta en el controlador de dominio restaurado, será replicada desde otro controlador de dominio hacia el.
*** Cuando realizamos una copia de seguridad de estado de un controlador de dominio estamos salvaguardando, entre otros, estos elementos:
Registry
COM+ Class Registration database
Boot files
Active Directory Certificate Services (AD CS) database
Active Directory database (Ntds.dit)
SYSVOL directory
Cluster service information
Microsoft Internet Information Services (IIS) metadirectory
System files that are under Windows Resource Protection
Active Directory Federation Services
The volume that hosts the boot files, which consist of the Bootmgr file and the Boot
Configuration Data (BCD) store
The volume that hosts the Windows operating system and the registry
The volume that hosts the SYSVOL tree
The volume that hosts the Active Directory database (Ntds.dit)
The volume that hosts the Active Directory database log files ***
Otra manera de resturar un controlador de dominio, sin utilizar una copia de seguridad es mediante la reconstrucción de roles. Mediante shadow Copy, papelera de reciclaje de Active Directory, proceso Tmbstone, etc. En próximas entregas hablaremos de distintos métodos.
Como siempre, espero que os guste y gracias por leerme.