Windows Server: “Shadow Copies” (Instantáneas) y Versiones Anteriores

En mi experiencia de capacitaciones, he visto que la gran mayoría de los administradores de redes desconocen las “Shadow Copies” (Instantáneas), y es algo que puede ahorrarles mucho tiempo cuando hay que recuperar archivos desde una copia de seguridad (Backup)

El objetivo de la funcionalidad es que el propio usuario, y fácilmente, pueda recuperar archivos borrados o versiones anteriores de datos que han sido modificadas

Aunque en forma muy primitiva la funcionalidad viene desde Windows Server 2000 y está muy mejorada actualmente. En Windows Server 2000 se llamaba “Shadow Copies of Shared Folders” o sea que trabajaba sólo sobre carpetas compartidas; pero a partir de Windows Server 2008 además de no usar más esta denominación está integrado a lo que conocemos como “Versiones Anteriores”

Aunque es importante destacar que no es un reemplazo de las copias de seguridad (Backups), pero que en muchos casos puede evitar tener que ir buscando en que copia están los datos a recuperar. Y además, lo puede hacer el propio usuario muy rápidamente

La situación, a grandes rasgos, es que una vez habilitada la funcionalidad en un volumen, automáticamente y de acuerdo a una tarea programada, se creen “instantáneas”, como si fueran fotos, de los datos.
Luego, ante un borrado accidental o modificación guardada no deseada, siempre se podrán recuperar la información tal cual como cuando se creó la instantánea

No hay magia, hay que reservar un determinado espacio en disco, por omisión toma el 10% pero es configurable. Y no es algo que se llene en poco tiempo, porque en realidad los datos no son copiados en este lugar, sino que sólo los cambios y alguna información adicional

Para esta demostración utilizaré un servidor miembro de Dominio (SRV1.ad.guillermod.com.ar), y por supuesto un Controlador del Dominio (DC1.ad.guillermod.com.ar)

Es de notar que no hay que instalar ningún componente adicional, ya que la funcionalidad está incluida en el propio sistema operativo

A los fines demostrativos he creada una carpeta compartida (Datos), dentro del cual he creado dos archivos: Archivo1.txt y Archivo2.txt. También he creado una carpeta adicional, como se ve en la figura, pero al final no la he utilizado pues la recuperación de la misma es exactamente igual que con los archivos

En la siguiente captura se puede ver la estructura y el contenido de los archivos

En mi caso, abro las propiedades del disco en cuestión (E:\) y observo en la ficha “Shadow Copies” que por omisión está desactivada la protección sobre todos los discos del sistema

Antes de habilitarla es altamente conveniente ver, y eventualmente modificar la configuración por omisión

Así que marcando el disco E:\ entro a “Settings”

Podemos observar, que es configurable en qué disco se guardará la información ya que puede ser diferente a la del propio disco, como así también la cantidad de espacio asignado para proteger datos. Cuando este espacio se complete, el sistema comenzará a eliminar el contenido más antiguo

Si ingresamos por el botón “Schedule” podemos ver los momentos en que se crearán las instantáneas. Por omisión serán hechas de Lunes a Viernes a las 7 de la mañana y 12 del mediodía; controle cuál es el horario de trabajo habitual en su organización por si necesita ajustarlos; para no producir sobrecargas trate que se ejecuten en los momentos con menos actividad

Con esta configuración por omisión, en el peor de los casos se podría llegar a perder hasta medio día de trabajo. Puede hacerse que la frecuencia sea menor, pero no conviene tampoco muy seguida

Para no tener que esperar todo un día para finalizar esta demostración, utilizaré el botón para crear la instantánea en este momento

 

Primero procederé a modificar Archivo1.txt y por supuesto guardar los cambios

Seguidamente eliminaré el Archivo2.txt

Quedará así

Para observar cómo puedo recuperar la información adicional, ingreso a las propiedades de la carpeta Datos, y la ficha “Previous Versions” donde podemos observar que hay una versión anterior

Si usamos el botón “Open” y vemos el contenido veremos que están presentes tanto Archivo1.txt como Archivo2.txt

Y si abrimos Archivo1.txt podemos observar que contiene la versión anterior no modificada

Y si queremos recuperar el Archivo1.txt simplemente con un “Copy/Paste” llevándolo a la ubicación original, u otra cualquiera también podría ser, pero lo llevaré a la original para demostrar cómo se produce el conflicto y las opciones para resolverlo

Cuando lo voy a “pegar” me avisa que ya existe un archivo con el mismo nombre y me da tres opciones: reemplazarlo, dejar el original o compararlos. Elegiré el último

Me permite comparar fecha, hora y tamaño para que elija, o, si marco ambos dejará ambas versiones

Renombrando la versión “más vieja”

Si quisiéramos recuperar un archivo o carpeta eliminado accidentalmente, como Archivo2.txt, simplemente deberíamos hacer un “Copy/Paste”

Y por supuesto, así como funcionó en forma local, es exactamente igual si el acceso es a través de la red

Haciendo esta nota he descubierto lo que creo que es un “bug”. En una instalación totalmente similar me dispuse a hacer lo mismo, pero en este caso la instalación está hecha en idioma inglés, pero tiene agregado el idioma español. Y hay creada una cuenta de usuario llamada “Administrador” con esta última preferencia de idioma. La cuenta “Administrador” pertence al grupo local “Administrators” así que todo debería ser igual … pero no, no es así

Cuando esta cuenta Administrador trata de configurar las Instantáneas no muestra la opción

La única forma que he encontrado para hacer la configuración es ingresando en el “Administrador de Equipos” y sobre “Carpetas Compartidas” con botón derecho

Para el que le interese el tema y quiera profundizar o conocer cómo funciona internamente les dejo un enlace (en inglés) que me ha parecido interesante: Volume Shadow Copy Service

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 29/07/2014 at 09:37

    No te imaginas la de veces que me ha sacado de un apuro este sistema.

    Es totalmente imprescindible tenerlo activado

    • Guillermo Delprato  On 29/07/2014 at 10:47

      Hola Nacho, si, es así, muy práctico, pero sin embargo muy poco utilizado por la mayoría
      Esperemos que esta nota sirva para que muchos lo implementen, o por lo menos para que lo prueben

  • Santiago  On 29/07/2014 at 16:21

    Una inquietud, mi servidor es Win2008R2 y tengo una máquina virtual corriendo sobre el, si utilizo “shadow copies” par “proteger” la máquina y el disco de mi máquina virtual muere puedo restaurar una copia de la máquina almacenada en la copia?

    • Guillermo Delprato  On 29/07/2014 at 18:04

      Hola Santiago, no sirve para eso
      Esto no sirve para máquinas virtuales por muchos motivos. Por un lado ten en cuenta que cualquier sistema de virtualización que uses tiene su propio sistema de “snapshots” o “checkpoints”, pero aunque se aproxima más, en ambiente de Dominio se suman otros problemas porque hay procesos dependientes de fecha/hora
      Inclusive, esto último no debes aplicarlo nunca sobre Controladores de Dominio, salvo que sean W2012 o posterior

      Nada, nada, nada, reemplaza a la copia de seguridad (Backup)

  • Sandro  On 29/11/2014 at 13:52

    Hola Guillermo,buen dia.

    consulta,la herramienta de backup del server 2012 puedo usarla para restaurar una maquina virtual donde se encuentra alojado mi active directory,dhcp,dns ?.

    Gracias.

    • Guillermo Delprato  On 29/11/2014 at 17:42

      Hola Sandro, no comprendo la pregunta :(
      ¿Un backup sobre qué máquina? ¿virtual o real? ¿para recuperar dónde? ¿virtual o real?
      Generalmente los backup hechos sobre reales, no se pueden recuperar como virtuales por las diferencias de hardware

      Para AD es mucho más fácil y rápido instalar y promover, el DNS viene incluido, y salvo que tengas muchas reservaciones en DHCP esto último puede llevarte 10 minutos si tomas mientras un café :)

      Si me das más datos quizás pueda ayudar un poco más

  • Kikoelx  On 08/05/2015 at 07:50

    Hola.

    Cuando se restaura una versión anterior deja algún rastro en el visor de eventos ?

    Un saludo.

  • Susana  On 14/09/2015 at 15:50

    Buenas, hay una forma de configurar que las copias se realicen solo si hay cambios en la carpeta o archivo?

    • Guillermo Delprato  On 14/09/2015 at 16:18

      Hola Susana, no se copian los archivos según la programación, sino que de acuerdo a la programación, se copian sólo los cambios (las partes cambiadas de cada archivo, y alguna información adicional para poder hacer la reconstrucción)
      Por lo tanto, si no hay cambios, no se copia nada

      • susana  On 14/09/2015 at 16:38

        Guillermo, entonces porque yo en el listado de versiones anteriores veo todas las veces que se hace una copia segun la programación, por ejemplo una carpeta que se modifico hace una semana tiene las copias de 2 veces por dia hasta la fecha de hoy, y no se hicieron cambios. Saludos

      • Guillermo Delprato  On 14/09/2015 at 17:15

        Por lo que yo sé, pone un puntero a cada momento que “saca la foto” del estado, pero no es que hace copia del archivo
        Hay una forma fácil de comprobarlo, aunque te aconsejo no lo hagas en una máquina productiva. Si quitas las restricciones y pones permisos podrás ingresar a la carpeta oculta “System Volume Information”
        Si miras lo que ocupa, te darás cuenta que ni copia en cada momento una copia completa, ni hay múltiples. Hay que comparar por tamaño, porque no son visibles los nombres de los archivos

  • David Álvarez  On 16/10/2015 at 07:25

    Hola, ante todo muchas gracias por compartir esta información. Sin embargo me surge una duda. Es posible dar permisos de restauración? O sea me explico un poco más detalladamente. Teniendo una carpeta compartida de un departamento, pongamos Marketing por ejemplo, en la que todos los usuarios de Marketing tienen permisos NTFS para manipular los ficheros allí ubicados a su antojo. Sin embargo me interesaría que solo los jefes de departamento pudieran restaurar. Sería esto posible? Gracias.

    • Guillermo Delprato  On 16/10/2015 at 07:46

      Hola David, no, lamentablemente eso no se puede hacer
      No hay forma de cambiar los permisos para restaurar, son exactamente los mismos que tiene sobre el archivo
      Esto es así por la forma que trabaja el sistema, porque no es que en cada versión se copia completo el archivo, sino sólo las partes que cambian, por lo tanto en la restauración se intercalan las partes cambiadas

  • Jason Greenlight  On 16/02/2016 at 03:06

    Muy buena data Guillermo!!!

    Como verás, soy todo un proyecto de novato, apenas… Antes que nada tengo que aclarar que mi sistema es Seven Ultimate x64, y no Server.

    Quisiera saber si puedes darme una mano con la siguiente situación, este es el escenario;

    VSS fue deshabilitado, System Restore fué deshabilitado, las Volume Shadow Copies desaparecieron junto con los puntos de restauración.

    Conectando el disco a otra máquina como externo, fui capaz de recuperar (a través de programas de recuperación de datos) archivos de cierto tamaño (3gb, 5gb, etc..) con este tipo de nombres;

    {3cfc80e0-be42-11e5-a950-f46d04d75d0c}{3808876b-c176-4e48-b7ae-04046e6cc752}

    Asumo que se trata de puntos de restauración, verdad? Estaban dentro de la carpeta “System Volume Information”, como archivos borrados. Tomé uno de ellos y lo copié a otra máquina, a través de un programa de virtualización pude montarlo como si fuese una imagen de disco DVD. Pudiendo ya “verlo” como “unidad”, con su correspondiente letra, con Testdisk hice de dicho archivo otra imágen. Luego usé Photorec para rescatar desde allí lo que ese archivo de largo nombre contenía. Lo que encontré fueron miles de pequeños archivos, básicamente txt, jpg, gif, de sistema, archivos de office, en general parece tratarse de archivos temporales, más que nada de temporales de navegación web.

    Una cosa que me entristeció es que en dicho punto de restauración no estaban las antiguas versiones de, por ejemplo, los archivos de mi escritorio…, y los archivos de office están ilegibles, aunque no son importantes, porque parecen ser también archivos temporales referidos a la instalación de ciertos drivers de impresoras. Es extraño porque todos los archivos que no fuesen de office están en perfecto estado…

    La bronca es haber encontrado gigas y gigas de pavadas y no apenas unos pocos y muy valiosos (para mí) planos y escritos en Word…, jajajajaaaa…

    Aquí viene lo que estoy tratando de lograr; según tu opinión, es posible recuperar shadow copies borradas? El problema es que no sé cual sería el nombre de dichas shadow copies en el disco, no sé qué buscar…

    También me di cuenta de que puedo reconstruír completamente la carpeta “System Volume Information” el problema es que en los puntos de restauración no parecen estar las instantáneas de volumen sinó apenas algunos archivos de sistema y archivos temporales. Por otro lado, si bien es posible reconstruír dicha carpeta “System Volume Information”…, cómo hacer que el sistema la reconozca?, es decir, en gran medida, cómo establecer correctamente las rutas del registro de Windows en relación a dicha carpeta? Porque he reconstruído la carpeta y la he colocado en su lugar, dentro del disco tratado, pero al iniciar Windows normalmente el sistema no “ve” dichos puntos de restauración….

    Bueno, en fin, parece que me he topado con otro de mis enormes límites, y espero por todos los cielos que exista una posibilidad de que esos puntos de restauración pudiesen estar disponibles nuevamente…

    Tú que opinas?

    Muchas gracias por el sacrificio de esta parte de tu valioso tiempo.

    • Guillermo Delprato  On 16/02/2016 at 07:02

      Hola Jason, primero aclarar que estos son comentarios sobre la nota, y que cuando puedo oriento, pero no es soporte :)
      Podrías plantear el problema, por ejemplo, en los foros de Technet en español https://social.technet.microsoft.com/Forums/es-ES/home
      De lo que me comentas dudo que puedas recuperar algo, porque con “shadow copies” no se copian los archivos, sino sólo los sectores que cambian más informarción de “offset” de cómo intercalar esa información

  • Jason Greenlight  On 19/02/2016 at 19:50

    Gracias Guillermo!

  • Antonio  On 31/05/2016 at 14:43

    Hola he sufrido un ransomware y se han encriptado mis archivos en un equipo con xp. Qué hago? Como los recupero?

  • JORGE RAMIREZ YTO  On 05/07/2016 at 11:03

    Que tal,

    Gracias por el manual,

    Tengo una consulta si quiero activar esta funcion para todos mis usuarios?, es posible activarlo por gpo? como?

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: