En esta tercera nota que complementa las dos anteriores (“Copia de Seguridad (“Backup”) de Controlador de Dominio” y “Copia de Seguridad (“Backup”) – Recuperación Completa de un Controlador de Dominio”) en esta ocasión vamos a ver cómo podemos utilizar la copia de seguridad del Estado del Sistema para recuperar objetos eliminados en Active Directory
La infraestructura que usaré es la misma utilizada en todas las notas de este blog, sólo dos máquinas virtuales, sólo que en la primera de las notas he hecho la copia de seguridad en una carpeta compartida en SRV1:
- dc1.ad.guillermod.com.ar (Controlador de Dominio)
- srv1.ad.guillermod.com.ar (Servidor miembro del Dominio)
En esta caso vamos a borrar la Unidad Organizativa “OU2” que contiene una cuenta de usuario “User Tres”, para luego hacer la recuperación completa de los elementos
Ya ha sido eliminada
Para poder hacer la recuperación del Estado del Sistema debemos arrancar el Controlador de Dominio en un modo especial, en el que no está activo el servicio de Directorios. Antes se llamaba “Active Directory Restore Mode”, actualmente se llama “Active Directory Repair Mode”, y la sigla sigue siendo la misma “ADRM”
El arranque de este modo puede hacerse pulsado la tecla F8 durante el arranque, pero como en algunos casos llegar a pulsar la tecla a tiempo puede ser difícil, mostraré otro método, utilizando MSCONFIG.EXE donde debemos seleccionar las opciones mostradas
Al aceptar ya pedirá reiniciar en el modo solicitado
Como en este caso, disponemos de un único Controlador de Dominio, y estando el servicio detenido no podemos inciar sesión con la cuenta del Dominio
Debemos hacer con la cuenta de administrador local y la contraseña de DSRM que pusimos en el momento de la promoción del Controlador de Dominio. Una nota sobre algo quizás no conocido por muchos, a semejanza del sistema de archivos y carpetas la utilización de “.\” indica este servidor. En el sistema de archivos es esta carpeta
Vamos a la aplicación de copia de segurida y elegiremos la opción para recuperar
Y seguimos el asistente como se muestra, y por supuesto de acuerdo a cómo habíamos hecho la copia de seguridad anterior
Una aclaración con respecto a la siguiente pantalla. Observen que da la opción de marcar la copia como autoritaria (“Authoritative Restore”). Esta es una opción necesaria si tuviéramos más de un Controlador de Dominio porque como el borrado fue posterior a la copia de seguridad, si recuperamos otro Controlador de Dominio replicaría la informa más actualizada, volviendo a eliminar la Unidad Organizativa recuperada
Aunque no lo he hecho en esta nota he verificado que no funciona de la forma prevista, aunque sea marcada, no recupera autoritariamente
Para poder hacer esto, debemos antes de reiniciar, marcar lo deseado como autoritario para que no sea sobreescrito
Esto se hace desde CMD con NTDSUTIL.EXE y los siguientes comandos:
NTDSUTIL
ACTIVATE INSTANCE NTDS
AUTHORITATIVE RESTORE
Para marcar como autoritaria una Unidad Organizativa se usa:
RESTORE SUBTREE <NombreDistintivoOU>
Y para una cuenta en particular se utiliza:
RESTORE OBJECT <NombreDistintivoCuenta>
Más claro un ejemplo. Si tuviera que recuperar en forma autoritaria a mi Unidad Organizativa OU2, debería utilizar:
RESTORE SUBTREE “OU=OU2,DC=ad,DC=guillermod,DC=com,DC=ar”
Y leemos y aceptamos todas las siguientes advertencias
Y comenzamos la recuperación
Seguimos leyendo y aceptando advertencias
Atención que cuando finaliza muestra el siguiente cuadro. Supongo que se debe a que la máquina que estoy utilizando no tienen ninguna actualización, y es un bug corregido
Pero cuidado que si tuvieran que utilizar NTDSUTIL, como vimos antes, porque con sólo pulsar el botón comenzará el reinicio
Inicia nuevamente en modo DSRM, y nos avisa que la recuperación ha sido exitosa
Para inciar en modo normal al Controlador de Domino, utilizaré nuevamente MSCONFIG.EXE
Y podemos comprobar que se han recuperado los objetos borrados, tanto la Unidad Organizativa como la cuenta de usuario que está contenida
Con esta doy por finalizada esta serie de tres notas relativas a las posibilidades y recomendaciones de copia de seguridad de Controladores de Dominio, y sus posibles usos para recuperar
WindowServer 
Comentarios
Muy bueno el Truco de “.\” no lo conocía.
Y vaya Bug que no funcione correctamente marcar (“Authoritative Restore”)
No nos vamos a poner a contar la historia de todo esto, pero viene de la época de DOS
El uso de «..» indicaba el directorio superior
Y el símbolo «.\» era «este directorio». Este último lo ha recuperado PowerShell, aún estando en la misma carpeta (antes directorio) para ejecutar por ejemplo un script debes usar «.\NombreScript.ps1»
El tema de marcar el «Authoritative Restore» y que no funcionara lo descubrí por casualidad, quizás sea porque se refiere sólo a la parte del Sysvol, o quizás alguna actualización ya lo solucionó, porque las máquinas que utilizo para las notas sobre RTM sin ninguna actualización
Hola
No se si por aqui puedo preguntar una duda de Server 2012, resulta que tengo Server 2012 y las estaciones de trabajo son XPs profesionales, esta tienen impresoras configuradas, al conectarse al escritorio remoto y compartir las impresoras para que puedan imprimir desde el servidor, en la impresora de Etiquetas y la laser en cuanto se conecta empiza a mandar infinidad de reportes y no se que hacer para que no los mande y me permita operar noprmal, con el Windows server 2008 no teniamos ese problema. ( en windows 2012 es 64 bits y los XPs son 32) solo en conecxiones de escritorio remoto da este problema.
GRacias
Hola Carlos, estos son comentarios sobre la nota, o por lo menos relacionados al tema, y oriento cuando puedo
Tienes un foro de soporte, por ejmplo en https://social.technet.microsoft.com/Forums/es-ES/home
Estimado Guillermo, consultando en tu blog y viendo esta guia no logro quedar claro sobre lo que requiero, tengo la siguiente «duda», si requiero restaurar unicamente mi active directory este es el proceso o este proceso recupera tambien otras configuraciones del servidor.
Ej: en una empresa pusimos el windows server 2012 estandar r2 y creamos la estructura del AD con grupos de usuarios, carpetas, etc. y lo pusimos a funcionar para avanzar mientras llegaban los datos de la licencia pero ahora nos damos cuenta que para activar la licencia debemos quitar active directory por que segun los blogs que consultamos no es posible activar una version Evaluation a Comercial mientras ejecute un controlador de dominio por lo tanto debemos quitar el active diretory y luego volver a ponerlo mi pregunta es si consideras que este es el proceso correcto o si recomiendas otro procedimiento?
Saludos,
Yo creo que no vas a poder lamentablemente
El «System State» es un conjunto de archivos que están interrelacionados, por lo cual la única forma de no crear inconsistencias es «copiar todo» y «recuperar todo»
Como, por ejemplo, el Registro es parte del «System State», si lo recuperaras todo me da a entender que haz «tirado» una licencia, e inclusive también incluye archivos críticos y de arranque del sistema
Así que me parece que toca «comenzar de nuevo» como única alternativa :(
Trackbacks
[…] Copia de Seguridad (“Backup”) – Recuperación del Estado del Sistema (“System State”) de u… […]
[…] Copia de Seguridad (“Backup”) – Recuperación del Estado del Sistema (“System State”) de u… […]