Copia de Seguridad (“Backup”) – Recuperación del Estado del Sistema (“System State”) de un Controlador de Dominio

En esta tercera nota que complementa las dos anteriores (“Copia de Seguridad (“Backup”) de Controlador de Dominio” y “Copia de Seguridad (“Backup”) – Recuperación Completa de un Controlador de Dominio”) en esta ocasión vamos a ver cómo podemos utilizar la copia de seguridad del Estado del Sistema para recuperar objetos eliminados en Active Directory

La infraestructura que usaré es la misma utilizada en todas las notas de este blog, sólo dos máquinas virtuales, sólo que en la primera de las notas he hecho la copia de seguridad en una carpeta compartida en SRV1:

  • dc1.ad.guillermod.com.ar (Controlador de Dominio)
  • srv1.ad.guillermod.com.ar (Servidor miembro del Dominio)

En esta caso vamos a borrar la Unidad Organizativa “OU2” que contiene una cuenta de usuario “User Tres”, para luego hacer la recuperación completa de los elementos

BCK1-52

BCK1-53

BCK1-54

Ya ha sido eliminada

BCK1-55

Para poder hacer la recuperación del Estado del Sistema debemos arrancar el Controlador de Dominio en un modo especial, en el que no está activo el servicio de Directorios. Antes se llamaba “Active Directory Restore Mode”, actualmente se llama “Active Directory Repair Mode”, y la sigla sigue siendo la misma “ADRM”

El arranque de este modo puede hacerse pulsado la tecla F8 durante el arranque, pero como en algunos casos llegar a pulsar la tecla a tiempo puede ser difícil, mostraré otro método, utilizando MSCONFIG.EXE donde debemos seleccionar las opciones mostradas

BCK1-56

Al aceptar ya pedirá reiniciar en el modo solicitado

BCK1-57

Como en este caso, disponemos de un único Controlador de Dominio, y estando el servicio detenido no podemos inciar sesión con la cuenta del Dominio

BCK1-58

BCK1-59

Debemos hacer con la cuenta de administrador local y la contraseña de DSRM que pusimos en el momento de la promoción del Controlador de Dominio. Una nota sobre algo quizás no conocido por muchos, a semejanza del sistema de archivos y carpetas la utilización de “.\” indica este servidor. En el sistema de archivos es esta carpeta

BCK1-60

Vamos a la aplicación de copia de segurida y elegiremos la opción para recuperar

BCK1-61

Y seguimos el asistente como se muestra, y por supuesto de acuerdo a cómo habíamos hecho la copia de seguridad anterior

BCK1-62

BCK1-63

BCK1-64

BCK1-65

BCK1-66

Una aclaración con respecto a la siguiente pantalla. Observen que da la opción de marcar la copia como autoritaria (“Authoritative Restore”). Esta es una opción necesaria si tuviéramos más de un Controlador de Dominio porque como el borrado fue posterior a la copia de seguridad, si recuperamos otro Controlador de Dominio replicaría la informa más actualizada, volviendo a eliminar la Unidad Organizativa recuperada

Aunque no lo he hecho en esta nota he verificado que no funciona de la forma prevista, aunque sea marcada, no recupera autoritariamente

Para poder hacer esto, debemos antes de reiniciar, marcar lo deseado como autoritario para que no sea sobreescrito

Esto se hace desde CMD con NTDSUTIL.EXE y los siguientes comandos:

NTDSUTIL

ACTIVATE INSTANCE NTDS

AUTHORITATIVE RESTORE

Para marcar como autoritaria una Unidad Organizativa se usa:

RESTORE SUBTREE <NombreDistintivoOU>

Y para una cuenta en particular se utiliza:

RESTORE OBJECT <NombreDistintivoCuenta>

Más claro un ejemplo. Si tuviera que recuperar en forma autoritaria a mi Unidad Organizativa OU2, debería utilizar:

RESTORE SUBTREE “OU=OU2,DC=ad,DC=guillermod,DC=com,DC=ar”

BCK1-67

Y leemos y aceptamos todas las siguientes advertencias

BCK1-68

BCK1-69

Y comenzamos la recuperación

BCK1-70

Seguimos leyendo y aceptando advertencias

BCK1-71

BCK1-72

Atención que cuando finaliza muestra el siguiente cuadro. Supongo que se debe a que la máquina que estoy utilizando no tienen ninguna actualización, y es un bug corregido

Pero cuidado que si tuvieran que utilizar NTDSUTIL, como vimos antes, porque con sólo pulsar el botón comenzará el reinicio

BCK1-73

Inicia nuevamente en modo DSRM, y nos avisa que la recuperación ha sido exitosa

BCK1-74

Para inciar en modo normal al Controlador de Domino, utilizaré nuevamente MSCONFIG.EXE

BCK1-75

BCK1-76

Y podemos comprobar que se han recuperado los objetos borrados, tanto la Unidad Organizativa como la cuenta de usuario que está contenida

BCK1-77

 

Con esta doy por finalizada esta serie de tres notas relativas a las posibilidades y recomendaciones de copia de seguridad de Controladores de Dominio, y sus posibles usos para recuperar

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 01/09/2015 at 10:40

    Muy bueno el Truco de “.\” no lo conocía.

    Y vaya Bug que no funcione correctamente marcar (“Authoritative Restore”)

    • Guillermo Delprato  On 01/09/2015 at 11:08

      No nos vamos a poner a contar la historia de todo esto, pero viene de la época de DOS
      El uso de “..” indicaba el directorio superior
      Y el símbolo “.\” era “este directorio”. Este último lo ha recuperado PowerShell, aún estando en la misma carpeta (antes directorio) para ejecutar por ejemplo un script debes usar “.\NombreScript.ps1”

      El tema de marcar el “Authoritative Restore” y que no funcionara lo descubrí por casualidad, quizás sea porque se refiere sólo a la parte del Sysvol, o quizás alguna actualización ya lo solucionó, porque las máquinas que utilizo para las notas sobre RTM sin ninguna actualización

  • Carlos Jarero  On 01/09/2015 at 11:37

    Hola

    No se si por aqui puedo preguntar una duda de Server 2012, resulta que tengo Server 2012 y las estaciones de trabajo son XPs profesionales, esta tienen impresoras configuradas, al conectarse al escritorio remoto y compartir las impresoras para que puedan imprimir desde el servidor, en la impresora de Etiquetas y la laser en cuanto se conecta empiza a mandar infinidad de reportes y no se que hacer para que no los mande y me permita operar noprmal, con el Windows server 2008 no teniamos ese problema. ( en windows 2012 es 64 bits y los XPs son 32) solo en conecxiones de escritorio remoto da este problema.

    GRacias

  • doctorclickcr  On 30/11/2015 at 18:36

    Estimado Guillermo, consultando en tu blog y viendo esta guia no logro quedar claro sobre lo que requiero, tengo la siguiente “duda”, si requiero restaurar unicamente mi active directory este es el proceso o este proceso recupera tambien otras configuraciones del servidor.
    Ej: en una empresa pusimos el windows server 2012 estandar r2 y creamos la estructura del AD con grupos de usuarios, carpetas, etc. y lo pusimos a funcionar para avanzar mientras llegaban los datos de la licencia pero ahora nos damos cuenta que para activar la licencia debemos quitar active directory por que segun los blogs que consultamos no es posible activar una version Evaluation a Comercial mientras ejecute un controlador de dominio por lo tanto debemos quitar el active diretory y luego volver a ponerlo mi pregunta es si consideras que este es el proceso correcto o si recomiendas otro procedimiento?

    Saludos,

    • Guillermo Delprato  On 30/11/2015 at 19:05

      Yo creo que no vas a poder lamentablemente
      El “System State” es un conjunto de archivos que están interrelacionados, por lo cual la única forma de no crear inconsistencias es “copiar todo” y “recuperar todo”
      Como, por ejemplo, el Registro es parte del “System State”, si lo recuperaras todo me da a entender que haz “tirado” una licencia, e inclusive también incluye archivos críticos y de arranque del sistema
      Así que me parece que toca “comenzar de nuevo” como única alternativa :(

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: