Un tema que es recurrente en todos los foros de soporte es el de Copia de Seguridad de los Controladores de Dominio (Backup Domain Controllers). Y para ser más exactos en realidad, no es éste, sino su complemento: la Recuperación de la Copia de Seguridad (Restore Domain Controllers)
Lo IMPORTANTE no es hacer sólo la Copia de Seguridad (Backup), lo realmente importante es que podamos hacer correctamente la Recuperación (Restore). Repito la frase de un amigo: “Backup hacen todos, Restore sólo algunos pocos”
Y por lo tanto no sólo debemos hacer los Backups de acuerdo a las necesidades y estrategia elegida, sino que periódicamente hagamos Restores de prueba, en las diferentes condiciones que pueden darse, y verificar que todo sucede de acuerdo a lo planificado.
Una simple pregunta para hacerlos pensar ¿probó qué sucede si la recuperación la tiene que hacer en un hardware diferente? por modelo de servidor discontinuado por ejemplo, puede ser una pesadilla…
Otra pregunta para inquietar ¿conoce la contraseña de Directory Service Restore Mode de cada Controlador de Dominio? porque si no la conoce no podrá hacer la Recuperación. Una ayuda: NTDSUTIL.EXE
Para acotar el alcance de esta nota vamos a hacer una asunción: “los Controladores de Dominio, son Controladores de Dominio”, lo que implica que aunque tengan además otras funciones como servidor de archivos, impresoras o aplicaciones, en este caso no tendremos en cuenta esas funciones
Quizás la primera consideración es “¿Necesito hacer Backup de los Controladores de Dominio? si tengo dos (o más), y uno fallara siempre hay otro que cumple su función (Ver Controladores de Dominio – Tolerancia a fallas)
Lo anterior además está basado en que reinstalar un nuevo servidor y promoverlo a Controlador de Dominio, es más rápido que recuperarlo (Restore), y además prácticamente no tiene riesgos. Sólo habría que hacer el proceso de remoción de referencias al Controlador de Dominio perdido (How to remove data in Active Directory after an unsuccessful domain controller demotion)
Parece todo muy bueno, pero en realidad no es así, hay algunas posibilidades que no está cubiertas, por ejemplo, borrados o cambios accidentales, corrupción de datos replicados, y similares.
Para esto, la única forma de recuperar es teniendo una Copia de Seguridad (Backup) de por lo menos nuestro Dominio, o completo de un Controlador de Dominio.
La Copia de Seguridad de nuestro Dominio la tenemos como una parte del elemento “Estado del Sistema” (System State). Este elemento no es sólo el Dominio, sino que incluye el Registro (Registry), archivos críticos del sistema, y dependiendo los roles instalados puede contener otros como por ejemplo, base de Autoridad Certificadora, metadata de IIS, información del servicio de Cluster, etc. Todos los componentes antes mencionados se deben copiar y recuperar en forma conjunta, por las dependencias entre ellos. No se pueden ni copiar ni recuperar en forma independiente.
Importante: el Estado del Sistema (System State), por los componentes que incluye es específico de cada instancia de instalación del servidor. No se debe recuperar en una nueva instalación, ni menos en diferente hardware.
He puesto que no se “debe”, y no que no se “puede”, porque es posible, aunque el resultado puede ser impredecible (experiencia propia) y además no está soportado (Referencia How to move a Windows installation to different hardware)
Una consideración sobre la frecuencia de las Copias de Seguridad, la pregunta siempre es “¿cada cuanto conviene hacerla?”
Como siempre, toda respuesta es relativa, pero hay una forma fácil de que cada uno pueda deducir “su” respuesta. Debe contestar la siguiente pregunta ¿Cuánto tiempo de trabajo está dispuesto a perder o a rehacer?
Supongo que nadie pensará en tiempos demasiado extensos, pero tengan en cuenta que no se podrá Recuperar una Copia de Seguridad que tiene una antigüedad mayor al “Tombstone Life Time”
El valor de este parámetro está definido por la versión y service pack de la instalación del primer Controlador de Dominio del Bosque. Si fue anterior a Windows Server 2003 con SP1 integrado es de 60 días, en otro caso es de 180 días. Si tiene dudas y quiere verificarlo vea Determine the tombstone lifetime for the forest
Entonces debemos plantearnos cuál es la estrategia de Copia de Seguridad que debemos hacer en nuestros Controladores de Dominio para protegernos de diferentes problemas.
Para plantear solamente algunas, y que desarrollaré en futuras notas:
- Borrado accidental de objetos del Dominio
- Recuperar uno de los Controladores de Dominio, si no funciona ya sea por problemas de configuración o hardware
- Recuperar en idéntico o diferente hardware
Vamos a dejar los puntos pendientes para futuras notas de la serie que continuaré en unos días
Además, en las futuras notas veremos las diferentes posibilidades de Copia de Seguridad que nos brinda Windows Server 2008-R2
