Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup) de Controladores de Dominio, y las diferentes formas de recuperación, en esta vamos a ver cómo podemos recuperar una cuenta de usuario eliminada accidentalmente, pero a diferencia del caso anterior, en este contamos con una copia (Backup) del Estado del Sistema (System State)
Así que comencemos, voy a borrar la cuenta de “Usuario Dos”. Es de aclarar que esta cuenta pertenece al grupo Global-1
Esta es la prueba 🙂
¿Cómo recuperamos la cuenta de usuario eliminada? Bien, recordemos que de notas anteriores habíamos dejado programada una copia del Estado del Sistema (System State) sobre una carpeta compartida de red, así que la recuperaremos desde ese lugar.
La copia de seguridad (Backup) de nuestro Active Directory, como hemos visto, se puede hacer con el Controlador de Dominio en funcionamiento. Pero para recuperar la copia (Restore) no se puede.
Debemos reiniciar al Controlador de Dominio, y durante el arranque pulsar la tecla F8 para que nos muestre las opciones avanzadas de arranque.
Dentro de las mismas seleccionamos la opción “Directory Service Restore Mode”
Hará un arranque similar al Modo Seguro (Safe Mode)
Atención a lo que sigue ¿Recuerda la contraseña que puso durante el proceso de promoción a Controlador de Dominio del servidor? Esa es justamente la que necesita. Por motivos de seguridad, esta contraseña, además de que no tiene relación con la del administrador del Dominio, debería ser diferente
Y segundo a tener en cuenta, es que como tenemos un único Controlador de Dominio en nuestro Dominio de pruebas, no hay quien pueda validar la cuenta de administrador del Dominio, así que deberemos obligatoriamente usar la cuenta de “administrador local”, lo cual indicaremos escribiendo en el nombre de usuario: “.Administrator” y la contraseña antes mencionada
Ingresamos a la aplicación de Copia de Seguridad (Backup), elegimos Recover, y como la copia la hemos hecho en una carpeta de red marcamos la opción: “A backup stored on another location”
Y seguimos el asistente como indican las figuras
Como nos había avisado el sistema cuando elegimos hacer la copia en una carpeta de red, sólo está disponible la última versión
Recordemos que lo que queremos recuperar es el Estado del Sistema (System State)
Detengámosnos un momento y observervemos una opción, que no marcaré en este caso, pero que se denomina “Perform an authoritative restore of Active Directory Files”. Describiré su uso al final de la nota.
Siguen varias advertencias. Tenerlas en cuenta
Y comienza a recuperar
Como habíamos marcado la opción para que reincie automáticamente al finalizar, lo hace, y nos muestra un mensaje indicando que ha completado la recuperación
Verificamos que hemos recuperado la cuenta de usuario “User Dos”, y que además se ha recuperado la pertenencia al grupo
Final feliz del proceso de recuperación de la cuenta de usuario borrada accidentalmente 🙂
Pero vamos a ver para qué casos se debe utilizar la opción que nombrábamos hace un rato (“Perform an authoritative restore of Active Directory Files”)
En este caso tenemos un único Controlador de Dominio, pero ¿qué sucedería si tuviéramos más de uno?
Supongamos que hacemos la copia de seguridad programa a las 2 de la madrugada (2 AM), se resguarda como está todo en ese momento.
Luego a las 9 de la mañana, borramos la cuenta de usuario, y por supuesto ese cambio se replica a otro/s Controladores de Dominio.
Luego que nosotros recuperamos desde nuestra copia de seguridad de la hora (2 AM) y reinciamos el servidor, va a haber otro Controlador de Domino, que dirá “yo tengo cambios más recientes: a las 9 AM el administrador borró la cuenta de este usuario”.
La consecuencia es inmediata, nuestro usuario de prueba es nuevamente eliminado 🙁
Se soluciona fácil. Cuando marcamos que la restauración es Autoritaria (Authoritative), significa que “esto vale”. Y por lo tanto lo que hemos recuperado va a replicarse al resto de los Controladores de Domino
Esta nueva forma de hacer un “Authoritative Restore” es novedad en Windows Server 2008-R2. En sistemas anteriores no aparece esta opción, aunque por supuesto puede hacerse de otra manera que describiré brevemente a continuación.
La comento porque puede solucionarnos, aún con Windows 2008-R2, alguna situación específica.
Marcando la opción en el asistente, implica que todos los objetos de nuestro dominio son “autoritarios” (valen por sobre los otros), y se puede presentar la situación donde sólo queramos marcar como “autoritarios” sólo un objeto, o sólo el contenido de una Unidad Organizativa.
En este caso, no debemos marcar la opción antes nombrada, y tampoco hacer que reincie automáticamente.
Luego de la recuperación, abrir la línea de comandos (CMD.EXE), ejecutar
NTDSUTIL.EXE
ACTIVATE INSTANCE NTDS
AUTHORITATIVE RESTORE
RESTORE OBJECT … o RESTORE SUBTREE …
De acuerdo a quieran marcar como “autoritario” un objeto en particular, o toda una Unidad Organizativa
Dejo la sintaxis a vuestro cargo 🙂
Resumiendo, hemos podido recuperar desde una copia de seguridad (Backup) del Estado del Sistema (System State), un objeto borrado accidentalmente, y de forma totalmente análoga si en lugar de ser un objeto hubiera sido una Unidad Organizativa con todo su contenido
Trackbacks
[…] Controladores de Dominio: Copia de Seguridad y Recuperar (Domain Controllers Backup – Restore)… […]