RESTAURACIÓN NORMAL, PRIMARIA Y AUTORITARIA DEL DIRECTORIO ACTIVO EN SERVER 2003
Si hemos realizado una backup del Directorio Activo para restaurarlo disponemos de varias opciones según como queramos que se comporten los objetos restaurados. Cada vez que se realiza un cambio a un objeto del active directory se incrementa una propiedad del objeto llamada USN (Update sequence number). Cuando se replican cambios en el directorio activo lo que hace un controlador de dominio contra otro es comparar el numero USN que contiene el objeto en cada DC de manera que siempre se replica la copia que tiene el USN mayor, en caso de que sean iguales se compara la marca horaria (timestamp) y se replica el mas reciente. Primero explicare cual es el cometido de cada tipo de restauración:
Primaria (primary): en este tipo de restauración lo que haremos sera sobrescribir todos los datos del directorio activo con los que restauremos, de manera que es tipo de restauración no la debemos usar a menos que solo tengamos un domain controller ya que aparte de que provocaría gran cantidad de trafico de replicación innecesario entre controladores de dominio.
Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero con los objetos teniendo su USN original de manera que no se replicaran a otros controladores de dominio ya que su USN siempre será anterior al actual, a excepción de que algún objeto que contenga no se hubiera replicado en su momento.
Authoritative restore: este es una combinación de los dos procesos anteriores ya que primero realizaremos una restauración normal y después gracias a NTDSutil marcaremos algunos objetos con un USN nuevo para que se repliquen a otros controladores, nos sirve si por ejemplo queremos recuperar un determinado objeto como un grupo o usuario que ha sido borrado ahorrándonos tener que sobrescribir con una copia de seguridad todo el contenido del directorio activo
Lo primero que debemos hacer para restaurar el directorio activo es iniciar el servidor en modo de de restauración de servicios de directorio para lo que durante el arranque de Windows debemos pulsar F8 y esperar que aparezca el menú donde tendremos la opción en que modo queremos iniciar.
Tras realizar un CHKDSK de los discos y arrancar nos pedirá una contraseña que nos puede llevar a error pensando que es la de administrador local, esta contraseña se fija cuando se realiza el dcpromo, en el link tenéis mas información de como recuperarla o cambiarla.
Tras entrar en el sistema debemos ejecutar NTBackup, seleccionar System State e ir a Trabajo -> Iniciar para comenzar la recuperación.
Es importante detenernos en el cuadro que nos aparece tras iniciar el restore e ir a las opciones avanzadas.
En el dialogo de opciones avanzadas si marcamos la opción Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos princípales para todas las réplicas realizaremos un backup primaria si no la marcamos realizaremos una restauración normal o autoritaria (authoritative) según los pasos que sigamos después.
La restauración llevara un tiempo...
En este paso, antes de reiniciar el servidor, es en el que si hemos realizado una recuperación normal (non-authoritative) debemos hacer uso de NTDSutil para que los objetos que seleccionemos se repliquen, la sintaxis a usar es básicamente ntdsutil "authoritative restore" "CN del objeto o subtree a restaurar" podéis ver una descripción completa de la sintaxis en un articulo kb de Microsoft.
Esta metodología es igual de valida tanto para Windows 2000 como para 2003 Server, también es importante que a la hora de restaurar backups del system state tengamos en cuenta el periodo de caducidad de los backups del Directorio Activo debido a los atributo Tombstone y garbageCollPeriod.
1 comentario:
Muchísimas gracias por compartir tus conocimientos. Me has sido de gran ayuda.
Publicar un comentario