Restauración Autoritaria del Directorio Activo

Logo_Formacion_Tajamar_reducido.jpg

Para realizar una restauración autoritaria del Directorio Activo se van a necesitar tener instalados y configurados los siguientes equipos para las pruebas correspondientes:

 

  • 1 DC Principal (DC1-MAD)
  • 1 DC Secundario (DC2-MAD).
  • 1 Equipo Cliente. (LON-CL1)

 

La configuración y gestión del Directorio Activo debe controlarse muy bien y tener copia de seguridad en todo momento por los posibles accidentes imprevistos o por error que puedan surgir en cualquier momento. Por lo tanto la configuración de y restauración autoritaria es de mucha eficacia ya que restaura en todos los controladores de dominio al instante.

 

Servidores de Infraestructura utilizados:  DC1, DC2, LON-CL1.

 

Administración de Backup y recuperaciones de AD DS

 

Con el fin de realizar una copia de seguridad del estado del sistema, la función de copia de seguridad de Windows debe estar instalada, ya sea desde el Administrador de servidores para agregar funciones y características o desde el cmdlet de Windows PowerShell:

Add-windowsfeature Windows-Server-Backup –IncludeAllSubfeature

 

Se puede utilizar la Consola «Windows Server Backup» de Windows o el comando «Wbadmin» en línea de comandos para crear una copia de seguridad. Por ejemplo, si se desea crear una copia de seguridad manual del «system state» en una unidad de copia de seguridad por ejemplo la unidad «E:» se debe escribir lo siguiente en una ventana de comandos de CMD o en la ventana de Windows PowerShell y presionar la tecla «Enter»:

Wbadmin iniciar -backuptarget systemstatebackup: E: \ -quiet

El parámetro -quiet lo que hace es ejecutar la copia de seguridad en segundo plano sin mostrar mensajes de la consola.

 

Restauración de datos de AD DS

Cuando un controlador de dominio o su directorio activo está dañado, dañados, o fallaron, se tienen varias opciones con las que poder restaurar el sistema.

 

  1. Restauración No Autoritaria

Una restauración no autoritativa es una operación normal de restauración, en la que simplemente restaurar una copia de seguridad del estado del sistema (system state) a partir de una buena fecha conocida. Por ejemplo, supongamos que el controlador de dominio se averió el jueves, y que se estaban haciendo copias de seguridad del «system state» de cada controlador de dominio de cada noche. A continuación, restaurar el estado del sistema desde la noche del miércoles se consigue sacar el controlador de dominio en el tiempo. Cuando el AD DS se reinicia en el controlador de dominio, los contactos del controlador de dominio y de sus asociados de replicación y solicita todas las actualizaciones posteriores. El controlador de dominio se pone al día con el resto del dominio mediante el uso de mecanismos de replicación estándar.
Una restauración normal es útil cuando el directorio en un controlador de dominio se ha dañado o está dañado, pero el problema no se ha diseminado a otros controladores de dominio. ¿Qué pasa con una situación en la que se ha averiado, y el daño se ha replicado? Por ejemplo, ¿qué pasaría si se elimina uno o más objetos, y que la eliminación se ha replicado? En tales situaciones, una restauración normal no es suficiente. Si restaura una buena versión conocida de AD DS y reinicia el controlador de dominio, la eliminación que ocurrió después de la copia de seguridad simplemente replica de nuevo al controlador de dominio.

 

  1. Restauración Autoritaria

Cuando se ha restaurado una copia buena conocida de AD DS que contiene objetos que se deben anular del estado actual de los objetos en la base de datos de AD DS, entonces una «restauración autoritaria» es necesario. En una restauración autoritaria, se restaura la buena versión conocida de AD DS, del mismo modo que en una restauración normal. Sin embargo, antes de reiniciar el controlador de dominio, se le deben indicar o marcar los objetos que se desean conservar como autoridad para que puedan replicar desde el controlador de dominio restaurado a sus asociados de replicación. Al marcar objetos con la opción autoritaria, Windows incrementa el número de versión de todos los atributos de objeto a ser tan alto que la versión está prácticamente garantizada a ser mayor que el número de versión en todos los demás controladores de dominio.

 

Cuando se reinicie el controlador de dominio restaurado, recibe actualizaciones de sus asociados de replicación con todos los cambios que se han hecho en el directorio.

También notifica a sus asociados que tiene cambios. Los números de versión de los objetos restaurados autoritariamente aseguran que los socios tomen estos cambios y se replican entre ellos durante todo el servicio de directorio. En bosques que tienen la Papelera de reciclaje habilitada en el Directorio Activo en Windows Server 2008 R2 y versiones posteriores, puede utilizar la Papelera de reciclaje del Directorio Activo como una alternativa más sencilla para una restauración autoritaria.

 

PASOS A SEGUIR PARA REALIZAR UNA RESTAURACIÓN AUTORITARIA EN EL DC1-MAD

 

 

  1. Lo primero de todo es comprobar o resetear la contraseña del usuario Administrador del DSRM para que luego cuando realicemos la restauración autoritaria correctamente y no nos de problemas de permisos por no saber la constraseña correctamente:

 

Abrimos una ventana de comandos de CMD y ejecutamos el comando «ntdsutil» para proceder a resetear la contraseña del usuario Administrador del DSRM.

Ahora para resetear la contraseña de usuario administrador ejecutamos el siguiente comando «set dsrm password» y el siguiente paso es ejecutar el comando «reset password on server dc1-mad.adatum.com» donde le indicamos el servidor al que se le va a cambiar la contraseña del modo de restauración de los servicios de directorio “DSRM”.

Y le introducimos la contraseña que deseemos.

Activamos la instancia con el comando «actívate instance NTDS».

Ejecutamos el comando «snapshot» para crear una snapshot con el comando «create» y así tenemos una copia de seguridad de la instancia.
P2_Imagen_1

  1. A continuación nos vamos al SERVER MANAGER y abrimos la consola de «Windows Server Backup» para hacer una copia de seguridad del «system state» y poder hacer la restauración autoritaria posteriormente.

P2_Imagen_2

  1. En la siguiente pantalla hacemos clic en «Backup Once…» para realizar una copia de seguridad de los archivos que deseemos:

P2_Imagen_3

  1. Dejamos la opción que está marcada por defecto ya que no nos permite elegir y pulsamos en «Next» para continuar.

P2_Imagen_4

  1. Aquí seleccionamos la opción «Custom» para poder indicarle que archivos incluir en el Backup:

P2_Imagen_5

  1. En la página que vemos a continuación hacemos clic en «Add Items…» y pulsamos en «Next».

P2_Imagen_6

  1. Procedemos a marcar el checkbox del «System state» y hacemos clic en «OK»:

P2_Imagen_7

  1. En esta pantalla hacemos clic en “Next” para continuar con el proceso:

P2_Imagen_8

  1. A continuación le dejamos la opción que tiene marcada por defecto ya que queremos realizar la copia de seguridad en una unidad especifica que tenemos para las copias de Backups que es E:

P2_Imagen_9_1

  1. En esta pantalla le seleccionamos la unidad de red o medio donde queremos que se guarde la copia de seguridad:

P2_Imagen_10

  1. Y finalmente hacemos clic en «Backup» para que empiece el proceso de la copia de seguridad del «System State».

P2_Imagen_11

  1. Una vez finalizado el proceso de la copia de seguridad hacemos clic en «Close»:

P2_Imagen_12

  1. En las siguientes imágenes vemos que se ha realizado correctamente el Backup:

P2_Imagen_13_1

P2_Imagen_13_2

  1. Como se pude ver en la siguientes imágenes abrimos la consola «Active Directory Administrative Center» y procedemos a eliminar de forma accidental al usuario «Transporte10» y al grupo de usuarios «G_Transporte1»:

P2_Imagen_14

P2_Imagen_15_1

15.  Una vez eliminados el usuario «Transporte10» y el grupo de usuarios «G_Transporte1» aparecen en el contenedor de objetos borrados llamado «Deleted Objects»:

P2_Imagen_15_2

P2_Imagen_15_3

16.  Ahora abrimos una ventana de comandos de CMD y ejecutamos el comando «net start NTDS» para arrancar el servicio del NTDS.

Ejecutamos el comando «msconfig» para poner la máquina en modo restauración y poder proceder a la restauración autoritaria correctamente:

P2_Imagen_16

17.  En la ventana que vemos a continuación le marcamos el checbox «Safe boot» y le marcamos la opción «Active Directory repair». Le hacemos clic en «Apply» y también en «OK»:

P2_Imagen_17

18.  Nos pide reiniciar para arrancar en modo restauración. Hacemos clic en «Restart»:

P2_Imagen_18

19.  Abrimos una ventana de comandos de CMD y ejecutamos el comando «ntdsutil» para empezar a hacer la restauración.

Para proceder a la restauración autoritaria ejecutamos el comando «active instance NTDS» y  seguido ejecutamos el comando «authoritative restore»:

P2_Imagen_19

20.  A continuación le ponemos el siguiente comando para realizar la restauración autoritaria del grupo de usuarios que habíamos eliminado «G_Transporte1»:

                      Restore object «CN=G_Transporte1,OU=Transportes,DC=adatum,DC=com»
P2_Imagen_20

21.  Nos pregunta si estamos seguros de querer hacer la restauración autoritaria y le hacemos clic en «Yes»:

P2_Imagen_21

22.  Ahora hacemos lo mismo para el usuario «Transporte10»:

                      Restore object «CN=Transporte10, OU=Transportes, DC=adatum, DC=com»

P2_Imagen_22

23.  Como podemos ver nos ha salido satisfactoria la restauración de ambos objetos:

P2_Imagen_23

24.  Finalmente procedemos a cambiar la configuración para salir del modo de restauración, ejecutamos el comando «bcdedit /deletevalue safeboot» o con el comando «msconfig» y en la pestaña «Boot» le desactivamos el checkbox de «Safe boot»:

P2_Imagen_24

25.  Al reiniciar la máquina nos sale el siguiente mensaje diciendo que ha salido satisfactoria la restauración del «System state». Le pulsamos a la tecla «Enter» para continuar y que arranque correctamente la maquina:

P2_Imagen_25

26.  Nos vamos al SERVER MANAGER y abrimos la consola del Centro Administrativo del Directorio Activo «Active Directory Administrative Center» para comprobar que se han restaurado correctamente los objetos eliminados:

P2_Imagen_26

27.  Como podemos ver se han restaurado correctamente ya que aparecen en su respectiva OU  llamada «Transportes» y si nos fijamos en el número de versión ha sido aumentando en consideración para que la restauración sea exitosa en todos los controladores del bosque:

P2_Imagen_27_1

P2_Imagen_27_2
PROPUESTA DE MEJORA

 

Como propuesta de mejora para un entorno con varios dominios integrados sería instalar un  sistema de backups automatizado. Y también ser podría instalar en un Failover para tener una mejor seguridad y balanceo. Pero esto será en posteriores videotutoriales.

 

Un Punto Fuerte de hacer una restauración autoritaria es que se pueden restaurar los objetos que se deseen en todos los controladores al instante de forma que estén sincronizados y actualizados todos los controladores de dominio con la información correcta.

 

Unos puntos débiles puede ser que por el motivo que sea no te funcione correctamente el idioma o todos los signos en modo restauración y no te permita ejecutar los comandos correspondientes para que podamos hacer la restauración autoritaria y si es algún usuario con permisos administrativos puede que no te deje acceder al dominio.

 

Mejora propuesta para subsanar estos posibles problemas o errores es hacer una buena toma de requisitos y necesidades para poder configurar posteriormente toda la infraestructura correctamente con un buen sistema de backup y de copias de seguridad con las herramientas y con las opciones necesarias para el servidor y así podemos ajustar más la configuración con una auditoría de grano fino.

 

Mi opinión personal Como propuesta de mejora para un entorno con varios dominios integrados sería instalar o configurar un software de backups de forma automatizada que permita la restauración en sus diferentes modalidades. Y también ser podría instalar un Failover para tener una mejor seguridad y balanceo. Pero esto será en posteriores videotutoriales.

 

En relación a la restauración autoritaria del Active Directory y del Azure Active Directory todavía hay que seguir probando y haciendo auditorias de grano fino para que finalmente puedan funcionar 100% correctamente ambos sistemas y así podamos tener el resto de servicios, roles y características funcionando correctamente 100% de forma paralela y enlazada porque por el momento no funciona haciéndolo solamente en uno de ellos.

 

Autor:          Jorge Caro Guerrero

Alumno del curso Microsoft MCSE

Centro Tajamar

Año académico:   2015-2016

 

 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.