En mi experiencia de capacitaciones, he visto que la gran mayoría de los administradores de redes desconocen las “Shadow Copies” (Instantáneas), y es algo que puede ahorrarles mucho tiempo cuando hay que recuperar archivos desde una copia de seguridad (Backup)
El objetivo de la funcionalidad es que el propio usuario, y fácilmente, pueda recuperar archivos borrados o versiones anteriores de datos que han sido modificadas
Aunque en forma muy primitiva la funcionalidad viene desde Windows Server 2000 y está muy mejorada actualmente. En Windows Server 2000 se llamaba “Shadow Copies of Shared Folders” o sea que trabajaba sólo sobre carpetas compartidas; pero a partir de Windows Server 2008 además de no usar más esta denominación está integrado a lo que conocemos como “Versiones Anteriores”
Aunque es importante destacar que no es un reemplazo de las copias de seguridad (Backups), pero que en muchos casos puede evitar tener que ir buscando en que copia están los datos a recuperar. Y además, lo puede hacer el propio usuario muy rápidamente
La situación, a grandes rasgos, es que una vez habilitada la funcionalidad en un volumen, automáticamente y de acuerdo a una tarea programada, se creen “instantáneas”, como si fueran fotos, de los datos.
Luego, ante un borrado accidental o modificación guardada no deseada, siempre se podrán recuperar la información tal cual como cuando se creó la instantánea
No hay magia, hay que reservar un determinado espacio en disco, por omisión toma el 10% pero es configurable. Y no es algo que se llene en poco tiempo, porque en realidad los datos no son copiados en este lugar, sino que sólo los cambios y alguna información adicional
Para esta demostración utilizaré un servidor miembro de Dominio (SRV1.ad.guillermod.com.ar), y por supuesto un Controlador del Dominio (DC1.ad.guillermod.com.ar)
Es de notar que no hay que instalar ningún componente adicional, ya que la funcionalidad está incluida en el propio sistema operativo
A los fines demostrativos he creada una carpeta compartida (Datos), dentro del cual he creado dos archivos: Archivo1.txt y Archivo2.txt. También he creado una carpeta adicional, como se ve en la figura, pero al final no la he utilizado pues la recuperación de la misma es exactamente igual que con los archivos
En la siguiente captura se puede ver la estructura y el contenido de los archivos
En mi caso, abro las propiedades del disco en cuestión (E:\) y observo en la ficha “Shadow Copies” que por omisión está desactivada la protección sobre todos los discos del sistema
Antes de habilitarla es altamente conveniente ver, y eventualmente modificar la configuración por omisión
Así que marcando el disco E:\ entro a “Settings”
Podemos observar, que es configurable en qué disco se guardará la información ya que puede ser diferente a la del propio disco, como así también la cantidad de espacio asignado para proteger datos. Cuando este espacio se complete, el sistema comenzará a eliminar el contenido más antiguo
Si ingresamos por el botón “Schedule” podemos ver los momentos en que se crearán las instantáneas. Por omisión serán hechas de Lunes a Viernes a las 7 de la mañana y 12 del mediodía; controle cuál es el horario de trabajo habitual en su organización por si necesita ajustarlos; para no producir sobrecargas trate que se ejecuten en los momentos con menos actividad
Con esta configuración por omisión, en el peor de los casos se podría llegar a perder hasta medio día de trabajo. Puede hacerse que la frecuencia sea menor, pero no conviene tampoco muy seguida
Para no tener que esperar todo un día para finalizar esta demostración, utilizaré el botón para crear la instantánea en este momento
Primero procederé a modificar Archivo1.txt y por supuesto guardar los cambios
Seguidamente eliminaré el Archivo2.txt
Quedará así
Para observar cómo puedo recuperar la información adicional, ingreso a las propiedades de la carpeta Datos, y la ficha “Previous Versions” donde podemos observar que hay una versión anterior
Si usamos el botón “Open” y vemos el contenido veremos que están presentes tanto Archivo1.txt como Archivo2.txt
Y si abrimos Archivo1.txt podemos observar que contiene la versión anterior no modificada
Y si queremos recuperar el Archivo1.txt simplemente con un “Copy/Paste” llevándolo a la ubicación original, u otra cualquiera también podría ser, pero lo llevaré a la original para demostrar cómo se produce el conflicto y las opciones para resolverlo
Cuando lo voy a “pegar” me avisa que ya existe un archivo con el mismo nombre y me da tres opciones: reemplazarlo, dejar el original o compararlos. Elegiré el último
Me permite comparar fecha, hora y tamaño para que elija, o, si marco ambos dejará ambas versiones
Renombrando la versión “más vieja”
Si quisiéramos recuperar un archivo o carpeta eliminado accidentalmente, como Archivo2.txt, simplemente deberíamos hacer un “Copy/Paste”
Y por supuesto, así como funcionó en forma local, es exactamente igual si el acceso es a través de la red
Haciendo esta nota he descubierto lo que creo que es un “bug”. En una instalación totalmente similar me dispuse a hacer lo mismo, pero en este caso la instalación está hecha en idioma inglés, pero tiene agregado el idioma español. Y hay creada una cuenta de usuario llamada “Administrador” con esta última preferencia de idioma. La cuenta “Administrador” pertence al grupo local “Administrators” así que todo debería ser igual … pero no, no es así
Cuando esta cuenta Administrador trata de configurar las Instantáneas no muestra la opción
La única forma que he encontrado para hacer la configuración es ingresando en el “Administrador de Equipos” y sobre “Carpetas Compartidas” con botón derecho
Para el que le interese el tema y quiera profundizar o conocer cómo funciona internamente les dejo un enlace (en inglés) que me ha parecido interesante: Volume Shadow Copy Service
WindowServer 
Comentarios
No te imaginas la de veces que me ha sacado de un apuro este sistema.
Es totalmente imprescindible tenerlo activado
Hola Nacho, si, es así, muy práctico, pero sin embargo muy poco utilizado por la mayoría
Esperemos que esta nota sirva para que muchos lo implementen, o por lo menos para que lo prueben
Una inquietud, mi servidor es Win2008R2 y tengo una máquina virtual corriendo sobre el, si utilizo «shadow copies» par «proteger» la máquina y el disco de mi máquina virtual muere puedo restaurar una copia de la máquina almacenada en la copia?
Hola Santiago, no sirve para eso
Esto no sirve para máquinas virtuales por muchos motivos. Por un lado ten en cuenta que cualquier sistema de virtualización que uses tiene su propio sistema de «snapshots» o «checkpoints», pero aunque se aproxima más, en ambiente de Dominio se suman otros problemas porque hay procesos dependientes de fecha/hora
Inclusive, esto último no debes aplicarlo nunca sobre Controladores de Dominio, salvo que sean W2012 o posterior
Nada, nada, nada, reemplaza a la copia de seguridad (Backup)
Hola Guillermo,buen dia.
consulta,la herramienta de backup del server 2012 puedo usarla para restaurar una maquina virtual donde se encuentra alojado mi active directory,dhcp,dns ?.
Gracias.
Hola Sandro, no comprendo la pregunta :(
¿Un backup sobre qué máquina? ¿virtual o real? ¿para recuperar dónde? ¿virtual o real?
Generalmente los backup hechos sobre reales, no se pueden recuperar como virtuales por las diferencias de hardware
Para AD es mucho más fácil y rápido instalar y promover, el DNS viene incluido, y salvo que tengas muchas reservaciones en DHCP esto último puede llevarte 10 minutos si tomas mientras un café :)
Si me das más datos quizás pueda ayudar un poco más
Hola.
Cuando se restaura una versión anterior deja algún rastro en el visor de eventos ?
Un saludo.
Hola Kikoelx, creo que no, peo puedes probarlo tu mismo en forma muy sencilla y rápida
Buenas, hay una forma de configurar que las copias se realicen solo si hay cambios en la carpeta o archivo?
Hola Susana, no se copian los archivos según la programación, sino que de acuerdo a la programación, se copian sólo los cambios (las partes cambiadas de cada archivo, y alguna información adicional para poder hacer la reconstrucción)
Por lo tanto, si no hay cambios, no se copia nada
Guillermo, entonces porque yo en el listado de versiones anteriores veo todas las veces que se hace una copia segun la programación, por ejemplo una carpeta que se modifico hace una semana tiene las copias de 2 veces por dia hasta la fecha de hoy, y no se hicieron cambios. Saludos
Por lo que yo sé, pone un puntero a cada momento que «saca la foto» del estado, pero no es que hace copia del archivo
Hay una forma fácil de comprobarlo, aunque te aconsejo no lo hagas en una máquina productiva. Si quitas las restricciones y pones permisos podrás ingresar a la carpeta oculta «System Volume Information»
Si miras lo que ocupa, te darás cuenta que ni copia en cada momento una copia completa, ni hay múltiples. Hay que comparar por tamaño, porque no son visibles los nombres de los archivos
Hola, ante todo muchas gracias por compartir esta información. Sin embargo me surge una duda. Es posible dar permisos de restauración? O sea me explico un poco más detalladamente. Teniendo una carpeta compartida de un departamento, pongamos Marketing por ejemplo, en la que todos los usuarios de Marketing tienen permisos NTFS para manipular los ficheros allí ubicados a su antojo. Sin embargo me interesaría que solo los jefes de departamento pudieran restaurar. Sería esto posible? Gracias.
Hola David, no, lamentablemente eso no se puede hacer
No hay forma de cambiar los permisos para restaurar, son exactamente los mismos que tiene sobre el archivo
Esto es así por la forma que trabaja el sistema, porque no es que en cada versión se copia completo el archivo, sino sólo las partes que cambian, por lo tanto en la restauración se intercalan las partes cambiadas
Ok, muchas gracias por tu pronta respuesta.
Muy buena data Guillermo!!!
Como verás, soy todo un proyecto de novato, apenas… Antes que nada tengo que aclarar que mi sistema es Seven Ultimate x64, y no Server.
Quisiera saber si puedes darme una mano con la siguiente situación, este es el escenario;
VSS fue deshabilitado, System Restore fué deshabilitado, las Volume Shadow Copies desaparecieron junto con los puntos de restauración.
Conectando el disco a otra máquina como externo, fui capaz de recuperar (a través de programas de recuperación de datos) archivos de cierto tamaño (3gb, 5gb, etc..) con este tipo de nombres;
{3cfc80e0-be42-11e5-a950-f46d04d75d0c}{3808876b-c176-4e48-b7ae-04046e6cc752}
Asumo que se trata de puntos de restauración, verdad? Estaban dentro de la carpeta “System Volume Information”, como archivos borrados. Tomé uno de ellos y lo copié a otra máquina, a través de un programa de virtualización pude montarlo como si fuese una imagen de disco DVD. Pudiendo ya «verlo» como «unidad», con su correspondiente letra, con Testdisk hice de dicho archivo otra imágen. Luego usé Photorec para rescatar desde allí lo que ese archivo de largo nombre contenía. Lo que encontré fueron miles de pequeños archivos, básicamente txt, jpg, gif, de sistema, archivos de office, en general parece tratarse de archivos temporales, más que nada de temporales de navegación web.
Una cosa que me entristeció es que en dicho punto de restauración no estaban las antiguas versiones de, por ejemplo, los archivos de mi escritorio…, y los archivos de office están ilegibles, aunque no son importantes, porque parecen ser también archivos temporales referidos a la instalación de ciertos drivers de impresoras. Es extraño porque todos los archivos que no fuesen de office están en perfecto estado…
La bronca es haber encontrado gigas y gigas de pavadas y no apenas unos pocos y muy valiosos (para mí) planos y escritos en Word…, jajajajaaaa…
Aquí viene lo que estoy tratando de lograr; según tu opinión, es posible recuperar shadow copies borradas? El problema es que no sé cual sería el nombre de dichas shadow copies en el disco, no sé qué buscar…
También me di cuenta de que puedo reconstruír completamente la carpeta “System Volume Information” el problema es que en los puntos de restauración no parecen estar las instantáneas de volumen sinó apenas algunos archivos de sistema y archivos temporales. Por otro lado, si bien es posible reconstruír dicha carpeta “System Volume Information”…, cómo hacer que el sistema la reconozca?, es decir, en gran medida, cómo establecer correctamente las rutas del registro de Windows en relación a dicha carpeta? Porque he reconstruído la carpeta y la he colocado en su lugar, dentro del disco tratado, pero al iniciar Windows normalmente el sistema no “ve” dichos puntos de restauración….
Bueno, en fin, parece que me he topado con otro de mis enormes límites, y espero por todos los cielos que exista una posibilidad de que esos puntos de restauración pudiesen estar disponibles nuevamente…
Tú que opinas?
Muchas gracias por el sacrificio de esta parte de tu valioso tiempo.
Hola Jason, primero aclarar que estos son comentarios sobre la nota, y que cuando puedo oriento, pero no es soporte :)
Podrías plantear el problema, por ejemplo, en los foros de Technet en español https://social.technet.microsoft.com/Forums/es-ES/home
De lo que me comentas dudo que puedas recuperar algo, porque con «shadow copies» no se copian los archivos, sino sólo los sectores que cambian más informarción de «offset» de cómo intercalar esa información
Gracias Guillermo!
Hola he sufrido un ransomware y se han encriptado mis archivos en un equipo con xp. Qué hago? Como los recupero?
Hola Antonio, esto no es un foro de soporte
Dirígete por ejemplo a los Technet https://social.technet.microsoft.com/Forums/es-ES/home
Que tal,
Gracias por el manual,
Tengo una consulta si quiero activar esta funcion para todos mis usuarios?, es posible activarlo por gpo? como?
Hola Jorge, no es tan fácil :)
https://social.technet.microsoft.com/Forums/windowsserver/en-US/664a6083-0cd5-4cb1-9e7e-81d98612ad1c/gpo-to-activate-previous-versions-shadow-copy-on-domain-clients-windows-7?forum=winserverGP
Guillermo.
Hacerlo sobre el disco c: (donde esta el sistema operativo) windows 2016 Server
genera problemas, o lentitud. ???
Gracias.
Hola Fernando, en cuanto a baja de rendimiento es muy poco, en su momento Microsoft hablaba de menos de 5%, pero lo que sí hay que tener cuidado es el espacio (oculto) que ocupan las instantáneas, todo dependerá de cómo lo configures
Hola
He configurado que las instantáneas del disco D se almacenen en el disco E, ¿como puedo recuperar instantáneas del disco E en caso del que el disco D falle?
Muchas gracias por explicar estos temas.
«Shadow copies» no es para eso, no es para tolerancia a fallas de disco, es simplemente para recuperar versiones anteriores o archivos borrados accidentalmente
Buenas tatrdes, muy completa la nota, te hago una consulta, puedo configurar de alguna forma qeu las instantaneas se hagan en otro disco que no sea el C:? tenia configuradas las copias en un windows server2008 y de un dia para el otro me las ha dejado de hacer dandome el error de qeu no hay esopacio suficiente para realizar la instantanea, agranda rmi disco C me generaria una serie de conflictos que preferiria evitar,… desde ya muchas gracias
Sí, la tercera captura de pantalla lo muestra
Buenas tardes tenia configurada unas instantane en el disco d y tenian instalado windows server disco c, formate el disco c para reinstalar windows como hago para recuperar las instantanea del dico d ya que no me sale las instantaneas
Si no tienes copia de seguridad para recuperar, a mi entender, toda esa información se ha perdido