Windows Server 2012 (R2): Crear un Dominio – Recuperar un Borrado Accidental desde “System State Backup”

Continuando al nota anterior “Windows Server 2012 (R2): Crear un Dominio – Copia de Seguridad del Estado del Sistema (“System State Backup”)” en esta ocasión veremos cómo podemos recuperar una cuenta de usuario eliminada por error, utilizando la copia de seguridad mencionada

Recuerdo que este procedimiento es necesario, pues no sirve crear un nuevo usuario que se llame igual, pues tendrá diferente SID (“Security ID”) y por lo tanto será otro diferente

Aprovecharé, como he comentado en la nota anterior, el posible “bug”. Y digo posible, pues mis máquinas virtuales no tienen puestas ninguna actualización, pero es una falla grave y no fácil de solucionar si no se tienen conocimientos de versiones anteriores del sistema operativo

La infraestructura utilizada es la misma de las notas anteriores, dos Controladores de Dominio: DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar donde de DC1 se tiene una copia de seguridad del Estado del Sistema (“System State Backup”)

Usando la misma infraestructura ya creada, en la Unidad Organizativa Test procederé a borrar a “User Uno” (U1)

 

De un Controlador de Dominio se pueden hacer copias de seguridad (“Backup”) en funcionamiento, pero no se pueden recuperar de la misma forma las copias de seguridad. Hay que arrancar usando la opción “Directory Service Repair Mode”, que antes se llamaba “Directory Service Restore Mode” pero que es lo mismo y se sigue abreviando como “DSRM”

Mostraré las tres formas que conozco para inciar el Controlador de Dominio
El método que personalmente me resulta más cómodo a mí, es durante el incio pulsando la tecla “F8” y llegaremos a la siguiente pantalla donde podremos seleccionar la opción necesaria

 

Otra opción es utilizando “System Configuration”

Luego hay que volver a “System Configuration” y elegir el arranque normal

 

Y la tercera, para los que prefieran la línea de comando, es utilizando:

BCDEDIT /SET SAFEBOOT DSREPAIR

Y luego, para volver al incio normal utilizar:

BCDEDIT /DELETEVALUE SAFEBOOT

 

Reinicio DC1 y como hay otro Controlador de Dominio disponible (DC2) puedo inciar sesión como administrador del Dominio, de otra forma debería inciar con la cuenta Administrator y la contraseña DSRM que hemos puesto durante el proceso de promoción (¿la recuerda?)

Vamos a la utilidad “Windows Server Backup”

Y seleccionamos “Recover”

Y seguimos el asistente

Y acá viene lo interesante y el “bug”. Cuando tenemos más de un Controlador de Dominio se puede dar una situación compleja cuando se quiere recuperar un objeto eliminado accidentalmente

Supongamos que tenemos una copia de seguridad hecha a la hora 6 de la madrugada, que tiene a “User Uno”. Pero hoy a la hora 9 el administrador lo ha borrado, y eso se ha replicado a otro Controlador de Domino (DC2)

En cuanto se recupera la copia de seguridad, y se reinicie en modo normal, el Controlador de Dominio con los cambios más recientes replicará al restaurado los cambios que se han producido desde que se hizo la copia de seguridad, y por lo tanto volverá a borrar la cuenta de “User Uno”

Para evitar esto, y porque queremos efectivamente recuperar a “User Uno” se debe hacer lo que se llama un “Authoritative Restore” de la cuenta. Esto es, marcar que la recuperación de esta cuenta vale por sobre los útlimos cambios

Anteriormente, esto se hacía por línea de comandos con NTDSUTIL.EXE, pero ahora veo que la opción está disponible ya en la interfaz gráfica del asistente

Primero ¡qué bueno! pero luego me doy cuenta que no funciona, aunque marquemos la opción va a haber que hacerlo como con las versiones anteriores
Este es el “bug” que vengo comentando. De todas formas lo haré primero como que no conozco el problema, y luego mostraré cómo solucionarlo

Si, sí, seguí advirtiendo que no te creo :D

Podemos marcar la opción para que reincie automáticamente, ya que se tomará su tiempo

Cuando se incia sesión informa que ha sido exitosa la restauración (mentís mentís)

Y el usuario borrado, no está

Si volvemos a ingresar a “Windows Server Backup” veremos que informa que la restauración fue exitosa, aunque no lo ha sido como “autoritaria”


Así que inciemos nuevamente el procedimiento de recuperación, todo igual que en el caso anterior, salvo que no marcaremos la opción de reincio automático al finalizar

Por lo tanto cuando finalice la recuperación mostrará la siguente pantalla. Cuidado no pulsar “Restart”

Debemos utilizar línea de comandos ejecutada como Administrador, y utilizando NTDSUTIL.EXE algunos comandos, indicando que la recuperación de “User Uno” es “autoritaria”, es decir, esto vale

Debemos ejecutar:

NTDSUTIL
ACTIVATE INSTANCE NTDS
AUTHORITATIVE RESTORE
RESTORE OBJECT <Distinguished Name del objeto>

Si fuera una Unidad Organizativa, en lugar de “RESTORE OBJECT” deberíamos utilizar “RESTORE SUBTREE”, el resto igual. En este caso se recuperaría la Unidad Organizativa y su contenido

Y confirmamos que se ha recuperado correctamente y marcado como “autoritario”

Y ahora sí, podemos reiniciar la máquina, y que arranque en modo normal como Controlador de Dominio (Cuidado de acuerdo a qué opción usaron para el arranque DSRM)

Ahora sí, ya recuperamos la cuenta de usuario borrada accidentalmente

 

Buenos, dejamos acá, en la próxima nota veremos cómo hacer lo mismo pero si habilitaron la papelera de reciclaje de Active Directory, y en la siguiente, veremos cómo hacerlo si no tienen ni copia de seguridad ni habilitaron la papelera de reciclaje

 

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 22/12/2014 at 09:12

    Hola, creo que la opción selccionable de realizar una Recuperación Autoritativa desde la Consola gráfica de Recuperación es aplicable solo al SYSVOL. Si se marca esta opción lo que ocurre es que recuperará de forma autoritativa la carpeta SYSVOL (El resto de objetos se recuperan de forma no autoritativa). Esta opción nos vale por tanto para cuando hemos perdido/corrompido el SYSVOL.

    • Guillermo Delprato  On 22/12/2014 at 13:49

      Hola Nacho, me obligaste a hacer más pruebas, pero sirvieron para encontrar más problemas
      Cuando leí tu comentario pensé que podía estar bien orientado, pero textualemente el cuadro dice “Perform an authoritative restore of Active Directory FILES / This recovery option will reset ALL replicated content on this Domain Controller INCLUDING SYSVOL. Other replicated folders on this server will also be affected by this recovery”
      Para mí, no deja dudas: los “archivos” deben incluir a NTDS.DIT. Y además dice “incluyendo” SYSVOL, por lo tanto debía ser algo más que solamente SYSVOL
      Llegado acá, me puse a hacer una prueba más, igual que la del usuario, pero esta vez creando una GPO, copia de seguridad de “System State”, borrar la GPO, y restauración autoritaria de “System State”
      ¿A que no te imaginas? :)
      No restauró la GPO, por lo tanto definitivamente es “bug”, aunque por supuesto puede ser que alguna actualización corrija el problema, ya que las máquinas virtuales donde hago las capturas no tienen ninguna actualización

  • coldfran  On 26/12/2014 at 23:28

    Hola Guillermo, solo comentar algo curioso, cuando estaba realizando la primera recuperación (marcando el reinicio automático), cuando estaba a punto de terminar la recuperación tuve un problema con la alimentación eléctrica y se apagó la PC, luego cuando encendí nuevamente la PC y levanté las maquinas virtuales, los usuarios estaban recuperados(en mi caso había borrado User Uno, User Cinco, User Seis), lo cual me pareció extraño, volví a repetir el ejercicio(sin problemas de energía) y esta vez ya no recuperó los usuarios borrados, así que tuve que realizar la segunda opción de recuperación(sin reinicio automático y ingresando a la linea de comandos).
    Supongo que lo que pasó tiene algo que ver con que son máquinas virtuales.

    • Guillermo Delprato  On 27/12/2014 at 08:00

      Hola Coldran, seguramente tuvo que ver con que todavía no había replicado los borrados, o que no llegó a completar la operación
      Si hay un corte inesperado “a mitad” de cualquier operación, para seguridad de la información, el sistema anula completamente la misma

      • coldfran  On 27/12/2014 at 11:41

        Eso es lo extraño porque los borrados ya estaban replicados y mas bien al no completar la operación de recuperación no deberían haberse recuperado los usuarios borrados(por seguridad como usted dice ser debería haber anulado esta operación), sobre todo si lo estaba haciendo con la primera opción la cual no deber recuperarlos aunque no hubiera habido problemas de energía(marcando reinicio automático y sin usar los comandos de consola).
        En fin, creo que fue un escenario atípico que no lo puedo volver a reproducir exactamente.

      • Guillermo Delprato  On 27/12/2014 at 11:50

        Los cortes de energía pueden provocar problemas catastróficos en las máquinas, y sobre a los Controladores de Dominio, en ambiente productivo es un detalle importante a cuidar
        Habría que saber cuál fue la operación interrumpida, porque podría ser el borrado, o podría ser la replcación, o la escritura en los logs. ya que los cambios se hacen primero en memoria RAM. Resumiendo, un corte de energía puede hacer “cualquier cosa” :)

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: