Continuando al nota anterior “Windows Server 2012 (R2): Crear un Dominio – Copia de Seguridad del Estado del Sistema (“System State Backup”)” en esta ocasión veremos cómo podemos recuperar una cuenta de usuario eliminada por error, utilizando la copia de seguridad mencionada
Recuerdo que este procedimiento es necesario, pues no sirve crear un nuevo usuario que se llame igual, pues tendrá diferente SID (“Security ID”) y por lo tanto será otro diferente
Aprovecharé, como he comentado en la nota anterior, el posible “bug”. Y digo posible, pues mis máquinas virtuales no tienen puestas ninguna actualización, pero es una falla grave y no fácil de solucionar si no se tienen conocimientos de versiones anteriores del sistema operativo
La infraestructura utilizada es la misma de las notas anteriores, dos Controladores de Dominio: DC1.ad.guillermod.com.ar y DC2.ad.guillermod.com.ar donde de DC1 se tiene una copia de seguridad del Estado del Sistema (“System State Backup”)
Usando la misma infraestructura ya creada, en la Unidad Organizativa Test procederé a borrar a “User Uno” (U1)
De un Controlador de Dominio se pueden hacer copias de seguridad (“Backup”) en funcionamiento, pero no se pueden recuperar de la misma forma las copias de seguridad. Hay que arrancar usando la opción “Directory Service Repair Mode”, que antes se llamaba “Directory Service Restore Mode” pero que es lo mismo y se sigue abreviando como “DSRM”
Mostraré las tres formas que conozco para inciar el Controlador de Dominio
El método que personalmente me resulta más cómodo a mí, es durante el incio pulsando la tecla “F8” y llegaremos a la siguiente pantalla donde podremos seleccionar la opción necesaria
Otra opción es utilizando “System Configuration”
Luego hay que volver a “System Configuration” y elegir el arranque normal
Y la tercera, para los que prefieran la línea de comando, es utilizando:
BCDEDIT /SET SAFEBOOT DSREPAIR
Y luego, para volver al incio normal utilizar:
BCDEDIT /DELETEVALUE SAFEBOOT
Reinicio DC1 y como hay otro Controlador de Dominio disponible (DC2) puedo inciar sesión como administrador del Dominio, de otra forma debería inciar con la cuenta Administrator y la contraseña DSRM que hemos puesto durante el proceso de promoción (¿la recuerda?)
Vamos a la utilidad “Windows Server Backup”
Y seleccionamos “Recover”
Y seguimos el asistente
Y acá viene lo interesante y el “bug”. Cuando tenemos más de un Controlador de Dominio se puede dar una situación compleja cuando se quiere recuperar un objeto eliminado accidentalmente
Supongamos que tenemos una copia de seguridad hecha a la hora 6 de la madrugada, que tiene a “User Uno”. Pero hoy a la hora 9 el administrador lo ha borrado, y eso se ha replicado a otro Controlador de Domino (DC2)
En cuanto se recupera la copia de seguridad, y se reinicie en modo normal, el Controlador de Dominio con los cambios más recientes replicará al restaurado los cambios que se han producido desde que se hizo la copia de seguridad, y por lo tanto volverá a borrar la cuenta de “User Uno”
Para evitar esto, y porque queremos efectivamente recuperar a “User Uno” se debe hacer lo que se llama un “Authoritative Restore” de la cuenta. Esto es, marcar que la recuperación de esta cuenta vale por sobre los útlimos cambios
Anteriormente, esto se hacía por línea de comandos con NTDSUTIL.EXE, pero ahora veo que la opción está disponible ya en la interfaz gráfica del asistente
Primero ¡qué bueno! pero luego me doy cuenta que no funciona, aunque marquemos la opción va a haber que hacerlo como con las versiones anteriores
Este es el “bug” que vengo comentando. De todas formas lo haré primero como que no conozco el problema, y luego mostraré cómo solucionarlo
Si, sí, seguí advirtiendo que no te creo 😀
Podemos marcar la opción para que reincie automáticamente, ya que se tomará su tiempo
Cuando se incia sesión informa que ha sido exitosa la restauración (mentís mentís)
Y el usuario borrado, no está
Si volvemos a ingresar a “Windows Server Backup” veremos que informa que la restauración fue exitosa, aunque no lo ha sido como "autoritaria"
Así que inciemos nuevamente el procedimiento de recuperación, todo igual que en el caso anterior, salvo que no marcaremos la opción de reincio automático al finalizar
Por lo tanto cuando finalice la recuperación mostrará la siguente pantalla. Cuidado no pulsar “Restart”
Debemos utilizar línea de comandos ejecutada como Administrador, y utilizando NTDSUTIL.EXE algunos comandos, indicando que la recuperación de “User Uno” es "autoritaria", es decir, esto vale
Debemos ejecutar:
NTDSUTIL
ACTIVATE INSTANCE NTDS
AUTHORITATIVE RESTORE
RESTORE OBJECT <Distinguished Name del objeto>
Si fuera una Unidad Organizativa, en lugar de “RESTORE OBJECT” deberíamos utilizar “RESTORE SUBTREE”, el resto igual. En este caso se recuperaría la Unidad Organizativa y su contenido
Y confirmamos que se ha recuperado correctamente y marcado como “autoritario”
Y ahora sí, podemos reiniciar la máquina, y que arranque en modo normal como Controlador de Dominio (Cuidado de acuerdo a qué opción usaron para el arranque DSRM)
Ahora sí, ya recuperamos la cuenta de usuario borrada accidentalmente
Buenos, dejamos acá, en la próxima nota veremos cómo hacer lo mismo pero si habilitaron la papelera de reciclaje de Active Directory, y en la siguiente, veremos cómo hacerlo si no tienen ni copia de seguridad ni habilitaron la papelera de reciclaje