En las notas anteriores vimos cómo recuperar un borrado accidental utilizando dos opciones diferentes:
- Windows Server 2012 (R2): Crear un Dominio – Recuperar un Borrado Accidental desde “System State Backup”
- Windows Server 2012 (R2): Crear un Dominio – Recuperar un Borrado Accidental Usando la Papelera de Reciclaje
¿Y si no tenemos ni copia de seguridad ni hemos habilitado la papelera de reciclaje de Active Directory? bueno, tenmos una opción más, dará un poco más de trabajo y hay que ser cuidadoso, pero si aún estamos dentro del “Tombstone Lifetime” que nombrábamos en la anterior nota, todavía podemos recuperarlo
La infraestructura que utilizaré es siempre la misma: DC1.ad.guillermod.com.ar y una Unidad Organizativa donde he borrado “accidentalmente” una cuenta “User Uno” (U1)
En esta ocasión se nos pone un poco más difícil y hay que ser cuidadoso con el procedimiento, pero no es imposible
Debemos utilizar una aplicación, incluida con el sistema, pero muy poco usada y documentada, y además casi oculta, pero que está, y es llamada LDP.EXE
Si siguen los procedimientos atentamente no tendrán problemas :)
Primero debemos conectarnos a un Controlador de Dominio
Y luego debemos indicar las credenciales de la conexión
Debemos ir al menú “Options / Control” y especificar que queremos ver los objetos borrados, pero que aún permancen en la base (“Tombstoned”)
Configuramos para ver el árbol de contenidos seleccionando la partición del Dominio
Haciendo doble click sobre el árbol de la izquierda expandimos el Dominio y el contenedor “Deleted Objects …”. Donde veremos nuestro objeto borrado, que vamos a modificar sus propiedades para recuperarlo
Cuidado ahora con el cuadro siguiente, no apurarse, ni pulsar la tecla Enter del teclado
En “Edit Entry Attribute” escribir “IsDeleted”
En “Operation” seleccionar “Delete”
Pulsar el botón “Enter”
Lo que hemos solicitado hacer es borrar el atributo “IsDeleted”
Uno de los atributos que el sistema ha eliminado es el “Distinguished Name”, imprescindible tenerlo ya que es un atributo requerido
Así que debemos agregar este atributo a mano; puede ser el original o uno diferente. Por ejemplo yo he utilizado uno diferente, en lugar de “User Uno” he utilizado “Recuperado”
Para esto debemos hacer:
En “Edit Entry Attribute” escribir “DistinguishedName”
En “Values” escribir el “Distinguished Name” que seleccionemos, o el original
En “Operation” seleccionar “Replace”
Pulsar el botón “Enter”
Controlamos que hemos hecho todo correctamente ;)
Y ahora sí, a ejecutar. Seleccionamos “Extended” y pulsamos el botón “Run”
Cerramos el cuadro
Y podemos ver que hemos recuperado exitosamente la cuenta de usuario
Lamentablemente esto no termina acá. Hemos recuperado la cuenta preservando su SID (“Security ID”) y GUID (“Global Unique ID”) pero todos los demás atributos se han perdido, debemos reingresarlos manualmente
Comentarios
Hola, Para usar este método es necesario que no hayamos activado la papelera de reciclaje? porque a mi no me funciona desde el mismo DC1 y he tenido que recuperarlos desde DC2.
Hola Coldran, no no tiene relación con la papelera de reciclaje, son independientes. Sin habilitarla siempre se puede hacer la recuperación de manera manual
Por lo que pusiste en el otro comentario, y ahora leyendo este estoy casi seguro que tienes algún problema de replicación, que no se debe estar haciendo bien
Revisa la replicación, y si hay problemas eso hay que solucionarlo primero que todo
La replicación está bien, siempre verifico los cambios en ambos DC antes de seguir con el siguiente paso. Sobre la papelera de reciclaje, es mas bien al revés, en el DC1 que tenía activado la papelera de reciclaje(por el ejercicio anterior) no me resultó usar el LDP, me genera un error.
***Call Modify…
ldap_modify_ext_s(ld, ‘CN=User UnoADEL:843dad30-82f6-43d8-9385-fe12ab3175b2,CN=Deleted Objects,DC=ad,DC=coldfran,DC=com,DC=pe’,[2] attrs, SvrCtrls, ClntCtrls);
Error: Modify: Extensión crítica no disponible.
Server error: 00000057: LdapErr: DSID-0C090CA5, comment: Error processing control, data 0, v2580
Error 0x57 El parámetro no es correcto.
Y en el DC2 que no tenía activado la papelera de reciclaje, pude utilizar el LDP.EXE sin problemas.
Hola Coldran, la habilitación de la papelera de reciclaje de AD, es a nivel de todo el Bosque, no es ni por Dominio, ni por Controlador de Dominio
Por lo tanto no es lógico que funcione en un DC sí, y en otro no. Por lo tanto es evidente que uno de los dos está dañado
Hmm, no sabía que la papelera se activaba en todo el bosque, pero ya lo verifiqué y en el DC2 también está activa, seguro mi DC1 ya está muy corrupto por el problema que tuvo con la energía! :(
Tendré que agregar un nuevo controlador para continuar con los laboratorios :)
Hola Coldfran, hay varias operaciones a hacer para quitar el Controlador de Dominio, son justamente los temas de las notas siguientes que estoy preparando
Habría que ver primero si se puede despromover por lo medios normales, también habría que mover los «FSMO Roles» o quizás apoderarse, luego tratar de despromoverlo, por las buenas o por las malas, en este último caso habría que hacer luego el proceso de limpieza de metadatos
Si tienes paciencia, porque saldrán recién el año que viene ;) las siguientes notas, serán justamente cómo mover los «FSMO Roles», y cómo quitar y reemplazar a un Controlador de Dominio borrando los metadatos
Estoy de suerte entonces! estaré pendiente de las siguientes notas…
Que pase Feliz Año Nuevo :)
Igualmente para ti Coldran ¡que lo pases muy bien!
hola Guillermo soy seguidor tuyo y algunos post que haz publicado me han sacado de algunos rollos que he tenido pero que pena te pregunto algo fuera de este post,
hay algún comando o cmdlets para consultar el tamaño de la base de datos del directorio activo ya que estoy implementando algunas tareas y esta podria ser una gracias y quedo atento
saludos desde colombia
Hola borbones, gracias por el comentario y me alegro te sirvan las notas
No termino de comprender la pregunta :(
El tamaño de la base lo puedes sacar por la carpeta NTDS, donde está la base (NTDS.DIT y los Logs). O si quieres más exacto en cuanto al tamaño total, deberías sumar el tamaño de la carpeta SYSVOL
¿O es otra pregunta?