Windows Server 2012 (R2): Crear un Dominio – Recuperar un Borrado Accidental sin Copia de Seguridad ni Papelera de Reciclaje

En las notas anteriores vimos cómo recuperar un borrado accidental utilizando dos opciones diferentes:

¿Y si no tenemos ni copia de seguridad ni hemos habilitado la papelera de reciclaje de Active Directory? bueno, tenmos una opción más, dará un poco más de trabajo y hay que ser cuidadoso, pero si aún estamos dentro del “Tombstone Lifetime” que nombrábamos en la anterior nota, todavía podemos recuperarlo

La infraestructura que utilizaré es siempre la misma: DC1.ad.guillermod.com.ar y una Unidad Organizativa donde he borrado “accidentalmente” una cuenta “User Uno” (U1)

En esta ocasión se nos pone un poco más difícil y hay que ser cuidadoso con el procedimiento, pero no es imposible

Debemos utilizar una aplicación, incluida con el sistema, pero muy poco usada y documentada, y además casi oculta, pero que está, y es llamada LDP.EXE

Si siguen los procedimientos atentamente no tendrán problemas :)

Primero debemos conectarnos a un Controlador de Dominio

Y luego debemos indicar las credenciales de la conexión

Debemos ir al menú “Options / Control” y especificar que queremos ver los objetos borrados, pero que aún permancen en la base (“Tombstoned”)

Configuramos para ver el árbol de contenidos seleccionando la partición del Dominio

Haciendo doble click sobre el árbol de la izquierda expandimos el Dominio y el contenedor “Deleted Objects …”. Donde veremos nuestro objeto borrado, que vamos a modificar sus propiedades para recuperarlo

Cuidado ahora con el cuadro siguiente, no apurarse, ni pulsar la tecla Enter del teclado

En “Edit Entry Attribute” escribir “IsDeleted”
En “Operation” seleccionar “Delete”
Pulsar el botón “Enter”

Lo que hemos solicitado hacer es borrar el atributo “IsDeleted”

Uno de los atributos que el sistema ha eliminado es el “Distinguished Name”, imprescindible tenerlo ya que es un atributo requerido
Así que debemos agregar este atributo a mano; puede ser el original o uno diferente. Por ejemplo yo he utilizado uno diferente, en lugar de “User Uno” he utilizado “Recuperado”

Para esto debemos hacer:

En “Edit Entry Attribute” escribir “DistinguishedName”
En “Values” escribir el “Distinguished Name” que seleccionemos, o el original
En “Operation” seleccionar “Replace”
Pulsar el botón “Enter”

Controlamos que hemos hecho todo correctamente ;)

Y ahora sí, a ejecutar. Seleccionamos “Extended” y pulsamos el botón “Run”

Cerramos el cuadro

Y podemos ver que hemos recuperado exitosamente la cuenta de usuario

 

Lamentablemente esto no termina acá. Hemos recuperado la cuenta preservando su SID (“Security ID”) y GUID (“Global Unique ID”) pero todos los demás atributos se han perdido, debemos reingresarlos manualmente

By Guillermo Delprato, on 23/12/2014 at 07:31, under Active Directory - Directorio Activo, How To - Step-by-step - Paso a paso, Windows Server, Windows Server 2012, Windows Server 2012 R2. Etiquetas: , , , , , , . 10 comentarios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • coldfran  El 27/12/2014 a las 07:41
    Permalink | Responder

    Hola, Para usar este método es necesario que no hayamos activado la papelera de reciclaje? porque a mi no me funciona desde el mismo DC1 y he tenido que recuperarlos desde DC2.

    • Guillermo Delprato  El 27/12/2014 a las 08:03
      Permalink | Responder

      Hola Coldran, no no tiene relación con la papelera de reciclaje, son independientes. Sin habilitarla siempre se puede hacer la recuperación de manera manual
      Por lo que pusiste en el otro comentario, y ahora leyendo este estoy casi seguro que tienes algún problema de replicación, que no se debe estar haciendo bien
      Revisa la replicación, y si hay problemas eso hay que solucionarlo primero que todo

      • coldfran  El 27/12/2014 a las 11:59
        Permalink

        La replicación está bien, siempre verifico los cambios en ambos DC antes de seguir con el siguiente paso. Sobre la papelera de reciclaje, es mas bien al revés, en el DC1 que tenía activado la papelera de reciclaje(por el ejercicio anterior) no me resultó usar el LDP, me genera un error.

        ***Call Modify…
        ldap_modify_ext_s(ld, ‘CN=User UnoADEL:843dad30-82f6-43d8-9385-fe12ab3175b2,CN=Deleted Objects,DC=ad,DC=coldfran,DC=com,DC=pe’,[2] attrs, SvrCtrls, ClntCtrls);
        Error: Modify: Extensión crítica no disponible.
        Server error: 00000057: LdapErr: DSID-0C090CA5, comment: Error processing control, data 0, v2580
        Error 0x57 El parámetro no es correcto.

        Y en el DC2 que no tenía activado la papelera de reciclaje, pude utilizar el LDP.EXE sin problemas.

      • Guillermo Delprato  El 27/12/2014 a las 17:13
        Permalink

        Hola Coldran, la habilitación de la papelera de reciclaje de AD, es a nivel de todo el Bosque, no es ni por Dominio, ni por Controlador de Dominio
        Por lo tanto no es lógico que funcione en un DC sí, y en otro no. Por lo tanto es evidente que uno de los dos está dañado

      • coldfran  El 28/12/2014 a las 00:10
        Permalink

        Hmm, no sabía que la papelera se activaba en todo el bosque, pero ya lo verifiqué y en el DC2 también está activa, seguro mi DC1 ya está muy corrupto por el problema que tuvo con la energía! :(
        Tendré que agregar un nuevo controlador para continuar con los laboratorios :)

      • Guillermo Delprato  El 28/12/2014 a las 07:19
        Permalink

        Hola Coldfran, hay varias operaciones a hacer para quitar el Controlador de Dominio, son justamente los temas de las notas siguientes que estoy preparando
        Habría que ver primero si se puede despromover por lo medios normales, también habría que mover los «FSMO Roles» o quizás apoderarse, luego tratar de despromoverlo, por las buenas o por las malas, en este último caso habría que hacer luego el proceso de limpieza de metadatos
        Si tienes paciencia, porque saldrán recién el año que viene ;) las siguientes notas, serán justamente cómo mover los «FSMO Roles», y cómo quitar y reemplazar a un Controlador de Dominio borrando los metadatos

      • coldfran  El 28/12/2014 a las 07:51
        Permalink

        Estoy de suerte entonces! estaré pendiente de las siguientes notas…
        Que pase Feliz Año Nuevo :)

      • Guillermo Delprato  El 28/12/2014 a las 08:27
        Permalink

        Igualmente para ti Coldran ¡que lo pases muy bien!

  • borbones  El 29/12/2014 a las 22:54
    Permalink | Responder

    hola Guillermo soy seguidor tuyo y algunos post que haz publicado me han sacado de algunos rollos que he tenido pero que pena te pregunto algo fuera de este post,

    hay algún comando o cmdlets para consultar el tamaño de la base de datos del directorio activo ya que estoy implementando algunas tareas y esta podria ser una gracias y quedo atento

    saludos desde colombia

    • Guillermo Delprato  El 30/12/2014 a las 06:59
      Permalink | Responder

      Hola borbones, gracias por el comentario y me alegro te sirvan las notas
      No termino de comprender la pregunta :(
      El tamaño de la base lo puedes sacar por la carpeta NTDS, donde está la base (NTDS.DIT y los Logs). O si quieres más exacto en cuanto al tamaño total, deberías sumar el tamaño de la carpeta SYSVOL
      ¿O es otra pregunta?

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: