Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore) – Parte 1 de …

Un tema que es recurrente en todos los foros de soporte es el de Copia de Seguridad de los Controladores de Dominio (Backup Domain Controllers). Y para ser más exactos en realidad, no es éste, sino su complemento: la Recuperación de la Copia de Seguridad (Restore Domain Controllers)

Lo IMPORTANTE no es hacer sólo la Copia de Seguridad (Backup), lo realmente importante es que podamos hacer correctamente la Recuperación (Restore). Repito la frase de un amigo: “Backup hacen todos, Restore sólo algunos pocos”

Y por lo tanto no sólo debemos hacer los Backups de acuerdo a las necesidades y estrategia elegida, sino que periódicamente hagamos Restores de prueba, en las diferentes condiciones que pueden darse, y verificar que todo sucede de acuerdo a lo planificado.

Una simple pregunta para hacerlos pensar ¿probó qué sucede si la recuperación la tiene que hacer en un hardware diferente? por modelo de servidor discontinuado por ejemplo, puede ser una pesadilla…
Otra pregunta para inquietar ¿conoce la contraseña de Directory Service Restore Mode de cada Controlador de Dominio? porque si no la conoce no podrá hacer la Recuperación. Una ayuda: NTDSUTIL.EXE

Para acotar el alcance de esta nota vamos a hacer una asunción: “los Controladores de Dominio, son Controladores de Dominio”, lo que implica que aunque tengan además otras funciones como servidor de archivos, impresoras o aplicaciones, en este caso no tendremos en cuenta esas funciones

Quizás la primera consideración es “¿Necesito hacer Backup de los Controladores de Dominio? si tengo dos (o más), y uno fallara siempre hay otro que cumple su función (Ver Controladores de Dominio – Tolerancia a fallas)
Lo anterior además está basado en que reinstalar un nuevo servidor y promoverlo a Controlador de Dominio, es más rápido que recuperarlo (Restore), y además prácticamente no tiene riesgos. Sólo habría que hacer el proceso de remoción de referencias al Controlador de Dominio perdido (How to remove data in Active Directory after an unsuccessful domain controller demotion)

Parece todo muy bueno, pero en realidad no es así, hay algunas posibilidades que no está cubiertas, por ejemplo, borrados o cambios accidentales, corrupción de datos replicados, y similares.
Para esto, la única forma de recuperar es teniendo una Copia de Seguridad (Backup) de por lo menos nuestro Dominio, o completo de un Controlador de Dominio.

La Copia de Seguridad de nuestro Dominio la tenemos como una parte del elemento “Estado del Sistema” (System State). Este elemento no es sólo el Dominio, sino que incluye el Registro (Registry), archivos críticos del sistema, y dependiendo los roles instalados puede contener otros como por ejemplo, base de Autoridad Certificadora, metadata de IIS, información del servicio de Cluster, etc. Todos los componentes antes mencionados se deben copiar y recuperar en forma conjunta, por las dependencias entre ellos. No se pueden ni copiar ni recuperar en forma independiente.
Importante: el Estado del Sistema (System State), por los componentes que incluye es específico de cada instancia de instalación del servidor. No se debe recuperar en una nueva instalación, ni menos en diferente hardware.
He puesto que no se “debe”, y no que no se “puede”, porque es posible, aunque el resultado puede ser impredecible (experiencia propia) y además no está soportado (Referencia How to move a Windows installation to different hardware)

Una consideración sobre la frecuencia de las Copias de Seguridad, la pregunta siempre es “¿cada cuanto conviene hacerla?”
Como siempre, toda respuesta es relativa, pero hay una forma fácil de que cada uno pueda deducir “su” respuesta. Debe contestar la siguiente pregunta ¿Cuánto tiempo de trabajo está dispuesto a perder o a rehacer?

Supongo que nadie pensará en tiempos demasiado extensos, pero tengan en cuenta que no se podrá Recuperar una Copia de Seguridad que tiene una antigüedad mayor al “Tombstone Life Time”

El valor de este parámetro está definido por la versión y service pack de la instalación del primer Controlador de Dominio del Bosque. Si fue anterior a Windows Server 2003 con SP1 integrado es de 60 días, en otro caso es de 180 días. Si tiene dudas y quiere verificarlo vea Determine the tombstone lifetime for the forest

Entonces debemos plantearnos cuál es la estrategia de Copia de Seguridad que debemos hacer en nuestros Controladores de Dominio para protegernos de diferentes problemas.
Para plantear solamente algunas, y que desarrollaré en futuras notas:

  • Borrado accidental de objetos del Dominio
  • Recuperar uno de los Controladores de Dominio, si no funciona ya sea por problemas de configuración o hardware
  • Recuperar en idéntico o diferente hardware

Vamos a dejar los puntos pendientes para futuras notas de la serie que continuaré en unos días

Además, en las futuras notas veremos las diferentes posibilidades de Copia de Seguridad que nos brinda Windows Server 2008-R2

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Neo  On 23/01/2014 at 12:14

    Hola Guillermo, muchas gracias por este artículo, deseo hacer una pregunta, cuando existen varios controladores de dominio, se debe hacer copia de seguridad a todos, o basta con hacerla solo a uno? Mil gracias de antemano

    • Guillermo Delprato  On 23/01/2014 at 13:36

      Hola Neo, gracias por el comentario
      El tema del resguardo de un Dominio, puede ser simple o muy complejo dependiendo de varios factores. Pero de todas formas si miras en esta serie de notas, verás que es imprescindible tener por lo menos copia de seguridad de uno de los Controladores de Dominio, ya que es la única forma de protegerse ante borrados accidentales (siempre y cuando exista más de un Controlador de Dominio del Dominio)
      ¿Por qué digo que puede ser complejo? entre otras consideraciones porque no es lo mismo tener un único Dominio que un Árbol o Bosque con varios Dominios; porque entran en consideración por ejemplo el tema del tiempo que puedes permanecer sin el servicio hasta que se haga la recuperación; del impacto en el negocio; etc.

      Aún teniendo en cuenta consideraciones simples, he escrito cinco notas sobre el tema :-)

      Hace un tiempo descubrí una “joya” en Internet, una nota muy completa con todas las posibilidades, te paso el enlace:
      http://www.edeconsulting.be/activedirectorypublications.asp

  • Abel Tana  On 11/03/2014 at 17:22

    Gracias Profe Guille!!!!

  • Johne856  On 31/07/2014 at 14:16

    Hey, thanks for the post.Really thank you! Really Cool

  • Neo  On 10/09/2014 at 13:52

    Hola Guillermo, he estado buscando por tu blog pero no he encontrado un tema relacionado para hacer este comentario, que pena hacerlo sobre este blog post, la verdad es que deseo saber cómo puedo hacer metada cleanup después de remover un cotrolador de dominio con /forceremoval y que además era el último en un subdominio del bosque??? cómo puedo limpiar la metadata ya que no tengo contacto con el subdominio? Mil gracias de antemano

  • Manuel Carreño Cerrutti  On 07/10/2014 at 18:56

    Hola Guillermo, mucho gusto y felicidades por el blog. Una consulta, tengo un controlador de dominio w2012 en un servidor fisico (es solo Active directory y dns). Quiero asegurarme de hacer un buen backup para evitar problemas. Si por x motivo el disco o disco caen. Como hago para, luego de poner discos nuevos, restaurar todo; pienso hacer un full backup (solo uno solo), y aparte diario backup al System State (para tener cambios que se pueden hacer diario), asi en caso de problemas restaurar el full y luego restaurar el ultimo system state que tengo.
    Ahora, es posible si pasa la caida mencionada, instalar un windows 2012 de cero en el mismo hardware, y luego restaurar solo el System State?, asi reemplazaria todo los identificadores unicos y toda configuracion?
    Gracias y saludos

    • Guillermo Delprato  On 08/10/2014 at 07:34

      Hola Manuel ¡Gracias por el comentario!
      Lo mejor es tener por lo menos dos Controladores de Dominio (por tolerancia a fallas), y backup del “System State” para prevenir posibles cambios/borrados accidentales.
      Con una configuración así, ante la falla de un Controlador de Dominio es más rápido reinstalar que recuperar, y además más seguro que lo puedes hacer. Y además el System State para, como puse, solucionar modificaciones o borrados accidentales (Authoritative Restore)

      Para recuperar un DC desde cero, lo que hay que hacer es arrancar con el DVD, ingresar a reparación, y de ahí recuperar la copia de seguridad
      Si hay más de un Controlador de Dominio, cuando recuperas uno, se actualizará automáticamente desde los otros toda la información del Dominio
      Recuperar sólo el System State sobre una instalación nueva, en mi experiencia, no funciona, he visto problemas con eso, y si no me falla la memoria tampoco está soportado

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: