recuperación de desastres en directorio activo miguel angel vigara – tam- microsoft premier...
TRANSCRIPT
Recuperación de desastres Recuperación de desastres en Directorio Activoen Directorio Activo
Miguel Angel Vigara – TAM- Microsoft Premier SupportMiguel Angel Vigara – TAM- Microsoft Premier Support
[email protected]@microsoft.com
Jose Parada Gimeno – ITE - Microsoft TechnetJose Parada Gimeno – ITE - Microsoft Technet
[email protected]@microsoft.com
AgendaAgenda Componentes del Directorio ActivoComponentes del Directorio Activo
Base de DatosBase de Datos SysVol. FRSSysVol. FRS
Tareas PreventivasTareas Preventivas Herramientas Herramientas Recuperación de desastresRecuperación de desastres
Reinstalación Reinstalación RecuperaciónRecuperación ReparaciónReparación
AgendaAgenda Componentes del Directorio ActivoComponentes del Directorio Activo
Base de DatosBase de Datos SysVol. FRSSysVol. FRS
Tareas PreventivasTareas Preventivas Herramientas Herramientas Recuperación de desastresRecuperación de desastres
Reinstalación Reinstalación RecuperaciónRecuperación ReparaciónReparación
El Directorio ActivoEl Directorio Activo Es el Servicio de Directorio de Windows Es el Servicio de Directorio de Windows
2003. Está integrado en el SO2003. Está integrado en el SO Utiliza un modo de replicación Utiliza un modo de replicación
Multimaster, sin consistencia y con Multimaster, sin consistencia y con convergencia.convergencia.
Soporta la mayoría de los cambios en Soporta la mayoría de los cambios en cualquier DC.cualquier DC.
A nivel Físico, los principales A nivel Físico, los principales componentes son:componentes son: Base de Datos. Base de Datos. El SysVol. Replica mediante FRSEl SysVol. Replica mediante FRS
A nivel Lógico se divide en particiones.A nivel Lógico se divide en particiones.
Arquitectura de la BDArquitectura de la BD
Extensible Storage Engine (ESE) Extensible Storage Engine (ESE)
Database layerDatabase layerSistema
DeFicheros
ReplicaciónTransportes
(RPC ,SMTP, IP)ClientesOutlook
Windows NT 4.0 NET
APIs
Replicación Windows
NT 4.0 BDCLDAP/ADSI
Clientes Outlook
REPLREPL LDAPLDAP SAMSAM MAPIMAPI
Directory System Agent (DSA)Directory System Agent (DSA)
IntegridadIntegridad
Las operaciones de escritura en la BD Las operaciones de escritura en la BD son transacciones atómicas.son transacciones atómicas.
Uncommitted Entries in Transaction Logs
Base de DatosActual
Base de DatosActualBase de Datos
Fichero .ditBase de Datos
Fichero .dit
IntegridadIntegridad Los procesos de Log y Recuperación Los procesos de Log y Recuperación
garantizan la integridad y consistencia.garantizan la integridad y consistencia. EDB.chk. EDB.chk. EDB.log y Edb00001.logEDB.log y Edb00001.log
Edb.chk
.dit.dit
Entradasen el Log deTransaccionesEscritas en la BD
Entradasen el Log deTransacciones NOEscritas en la BD
Edb.log
Memory Buffers
DesfragmentaciónDesfragmentación
OnlineOnline No reduce el tamaño de la BDNo reduce el tamaño de la BD Automática con el proceso de GCAutomática con el proceso de GC Opción de Manual en W2K3 y se puede Opción de Manual en W2K3 y se puede
separar del Garbage Collectionseparar del Garbage Collection OfflineOffline
Si reduce el Tamaño de la BDSi reduce el Tamaño de la BD Usar solo en caso de que hayan Usar solo en caso de que hayan
disminuido mucho los objetos de la BDdisminuido mucho los objetos de la BD Mantener la NTDS.dit original hasta Mantener la NTDS.dit original hasta
comprobar que todo funciona comprobar que todo funciona correctamente.correctamente.
Particiones Lógicas.Particiones Lógicas.
AplicaciónAplicación
Todas las particiones Juntas forman la Base de Datos del Directorio Activo.
DominioDominio
ConfiguraciónConfiguración
EsquemaEsquema
Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo.
Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo.
Contiene información sobre la estructura Directorio ActivoContiene información sobre la estructura Directorio Activo
Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos
Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos
Contiene datos de AplicaciónForestDNSZoneDomainDNSZone
Contiene datos de AplicaciónForestDNSZoneDomainDNSZone
USN: 4710USN: 4710 USN: 4711USN: 4711
Añadir nuevo usuarioAñadir nuevo usuario
DS1DS1
Object: Object: usnCreated : 4711 : 4711
P1:P1: 47114711
Version#Version#
TSTSValueValue 11
Org. DB GUIDOrg. DB GUID
47114711DS1 DB GUIDDS1 DB GUID
PropertyProperty ValueValue USNUSN Timest.Timest. Org USNOrg USN
P2:P2: 47114711 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P3:P3: 47114711 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P4:P4: 47114711 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
Object: Object: usnChanged : 4711 : 4711
Creación de ObjetosCreación de Objetos
USN: 4711USN: 4711
Replicación del UsuarioReplicación del Usuario
DS1DS1 DS2DS2
USN: 1745USN: 1745 USN: 1746USN: 1746
P1:P1: 17461746
Version#Version#
TSTSValueValue 11
Org. DB GUIDOrg. DB GUID
47114711DS1 DB GUIDDS1 DB GUID
PropertyProperty ValueValue USNUSN Timest.Timest. Org USNOrg USN
P2:P2: 17461746 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P3:P3: 17461746 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P4:P4: 17461746 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
Object: Object: usnCreated : 1746 : 1746 Object: Object: usnChanged : 1746 : 1746
Replicación de ObjetosReplicación de Objetos
Cambio del TeléfonoCambio del Teléfono
DS2DS2 USN: 2001USN: 2001 USN: 2002USN: 2002
P1:P1: 17461746
Version#Version#
TSTSValueValue 11
Org. DB GUIDOrg. DB GUID
47114711DS1 DB GUIDDS1 DB GUID
PropertyProperty ValueValue USNUSN Timest.Timest. Org USNOrg USN
P2:P2: 20022002 TSTSValueValue 22 20022002DS2 DB GUIDDS2 DB GUID
P3:P3: 17461746 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P4:P4: 17461746 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
Object: Object: usnCreated : 1746 : 1746 Object: Object: usnChanged : 2002 : 2002
Modificación del ObjetoModificación del Objeto
USN: 5039USN: 5039
Replicación del Teléfono modificadoReplicación del Teléfono modificado
DS1DS1 DS2DS2
USN: 5040USN: 5040 USN: 2002USN: 2002
P1:P1: 47114711
Version#Version#
TSTSValueValue 11
Org. DB GUIDOrg. DB GUID
47114711DS1 DB GUIDDS1 DB GUID
PropertyProperty ValueValue USNUSN Timest.Timest. Org USNOrg USN
P2:P2: 50405040 TSTSValueValue 22 20022002DS2 DB GUIDDS2 DB GUID
P3:P3: 47114711 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
P4:P4: 47114711 TSTSValueValue 11 47114711DS1 DB GUIDDS1 DB GUID
Object: Object: usnCreated : 4711 : 4711 Object: Object: usnChanged : 5040 : 5040
Replicación de CambiosReplicación de Cambios
Borrado de RegistrosBorrado de Registros Tombstone=Delete=BorrarTombstone=Delete=Borrar
Es un borrado lógico.Es un borrado lógico. Quita casi todos los atributos y añade Quita casi todos los atributos y añade
IsDeletedIsDeleted Sirve para Replicar el borrado de ObjetosSirve para Replicar el borrado de Objetos Default= 60 días ; Min = 2 díasDefault= 60 días ; Min = 2 días
Garbage Collection=Purge=Purgar.Garbage Collection=Purge=Purgar. Borra objetos con Tombstone caducadosBorra objetos con Tombstone caducados Borra fichero de log innecesariosBorra fichero de log innecesarios Defragmenta la Base de DatosDefragmenta la Base de Datos Default = 12 horas ; Min = 1 hora ; Max =TT/3Default = 12 horas ; Min = 1 hora ; Max =TT/3
SYSVOLSYSVOL Es un recurso compartido que se genera Es un recurso compartido que se genera
en cada DC al realizar DCpromo.en cada DC al realizar DCpromo. Contiene:Contiene:
Políticas de Sistema (Windows NT, 9X)Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominioGPO para los miembros del dominio Scripts de Logon y Logoff.Scripts de Logon y Logoff.
Utiliza el FRS para replicar el contenido Utiliza el FRS para replicar el contenido entre DC’sentre DC’s Siempre comprime el contenidoSiempre comprime el contenido Al igual que el la BD utiliza el KCC y sus Al igual que el la BD utiliza el KCC y sus
objetos de conexión para la replicación entre objetos de conexión para la replicación entre Sitios.Sitios.
DemoDemo
Ubicación de componentesUbicación de componentes
AgendaAgenda Componentes del Directorio ActivoComponentes del Directorio Activo
Base de Datos-FSMOBase de Datos-FSMO SysVol-FRSSysVol-FRS
Tareas PreventivasTareas Preventivas Herramientas Herramientas Recuperación de desastresRecuperación de desastres
Reinstalación Reinstalación RecuperaciónRecuperación ReparaciónReparación
Tareas PreventivasTareas Preventivas
BackupBackup Guardar información necesariaGuardar información necesaria Automated System Recovery ( ASR ) Automated System Recovery ( ASR ) Consola de recuperaciónConsola de recuperación Administración remota (Terminal Administración remota (Terminal
Services o Escritorio Remoto)Services o Escritorio Remoto) /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI
(DCs) (DCs) DS Restore Mode DS Restore Mode Opciones de inicio avanzado (Opción F8)Opciones de inicio avanzado (Opción F8)
Support Tools, Kit de RecursosSupport Tools, Kit de Recursos
BackupBackup Política de Backups:Política de Backups:
Buen BackupBuen Backup ComprobarComprobar RendimientoRendimiento
W2K-Cada DC requiere su propio W2K-Cada DC requiere su propio BackupBackup
W2K3-Un Backup de cualquier DC de W2K3-Un Backup de cualquier DC de su dominio (IFM)su dominio (IFM)
Mínimo: Mínimo: System State de un DC de cada dominioSystem State de un DC de cada dominio
Guardar información necesariaGuardar información necesaria Nombre de máquinaNombre de máquina Direcciones IPDirecciones IP Configuración de VideoConfiguración de Video Configuración de discosConfiguración de discos Información del dominioInformación del dominio Contraseña de AdministradorContraseña de Administrador
Contraseña usada cuando se realizó el DCPromo. Contraseña usada cuando se realizó el DCPromo. Necesaria para iniciar sesión con la Consola de Necesaria para iniciar sesión con la Consola de
Recuperación y el Modo de Restauración del AD.Recuperación y el Modo de Restauración del AD. Necesaria para restaurar System State en un Necesaria para restaurar System State en un
Controlador de Dominio.Controlador de Dominio.
Backup del ‘System State’Backup del ‘System State’Registro (Regback)Base de datos de clases COM+ registradasFicheros de inicio de sistema
Base de datos de Directorio ActivoVolumen SYSVOL
Y si están instalados:Metadata de IISBase de datos de Certificate Services y COM+Base de datos de configuración de Cluster ServiceZonas de DNS
System State
240363 How to Back Up and Restore the System State
Excepciones en el Backup y Excepciones en el Backup y RestoreRestore
HKEY_LOCAL_MACHINE\SYSTEM\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CurrentControlSet\Control\BackupRestore\FilesNotToBackupBackupRestore\FilesNotToBackup
HKEY_LOCAL_MACHINE\SYSTEM\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CurrentControlSet\Control\BackupRestore\KeysNotToRestoreBackupRestore\KeysNotToRestore
Automatic System Recovery-W2K3Automatic System Recovery-W2K3
Se genera un Disquete y un fichero Se genera un Disquete y un fichero *.BKF con la información del sistema*.BKF con la información del sistema Con NTBACKUPCon NTBACKUP Solo hace backup de los ficheros del Solo hace backup de los ficheros del
sistema.sistema.
Para recuperar necesitamos:Para recuperar necesitamos: El DisqueteEl Disquete El *.BKFEl *.BKF El CD de Windows 2003El CD de Windows 2003
Con la opción F2 de arranque.Con la opción F2 de arranque.
Consola de RecuperaciónConsola de Recuperación
Acceso sin cargar completamente el Acceso sin cargar completamente el Sistema OperativoSistema Operativo
Requiere contraseña de AdministradorRequiere contraseña de Administrador Net user administrator * (F8)Net user administrator * (F8) Setpwd /s:servername (Windows 2000 SP2)Setpwd /s:servername (Windows 2000 SP2) Cómo cambiar la contraseña de administrador Consola de Cómo cambiar la contraseña de administrador Consola de
recuperación en un controlador de dominio 239803recuperación en un controlador de dominio 239803 W2K3 se cambia con NTDSUTILW2K3 se cambia con NTDSUTIL
Instalada localmente o ejecutada desde Instalada localmente o ejecutada desde CDCD
Administración Remota Administración Remota 256588256588
Sólo en DCsSólo en DCsCrear una nueva entrada en el archivo Crear una nueva entrada en el archivo
Boot.ini con /SAFEBOOT:DSREPAIR Boot.ini con /SAFEBOOT:DSREPAIR /SOS/SOS Definir la opción de arranque apropiada y Definir la opción de arranque apropiada y
reiniciar el sistemareiniciar el sistema multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your
server name” /fastdetectserver name” /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your
server name“ /fastdetect /SAFEBOOT:DSREPAIR /SOSserver name“ /fastdetect /SAFEBOOT:DSREPAIR /SOS
Accesible con Mstsc.exe vía Escritorio Accesible con Mstsc.exe vía Escritorio Remoto (RDP)Remoto (RDP)
AgendaAgenda1.1. Componentes del Directorio ActivoComponentes del Directorio Activo
1.1. Base de Datos-FSMOBase de Datos-FSMO
2.2. SysVol-FRSSysVol-FRS
2.2. Tareas PreventivasTareas Preventivas
3.3. Herramientas Herramientas
4.4. Recuperación de desastresRecuperación de desastres1.1. Reinstalación Reinstalación
2.2. RecuperaciónRecuperación
3.3. ReparaciónReparación
HerramientasHerramientasIPCONFIGPATHPINGNSLOOKUPDCPROMOVisor de EventosNTDSUTILNTBACKUPSECEDIT…
DNSCMDDCDIAGNETDIAGREPADMINLDPNETDOMNLTESTREPLMONDSACLSADSIEDITACLDIAGDSASTAT…
NTFRSUTILADDIAGXCACLSSHOWACLS…
LIBROS ONLINE
NTDSUTILNTDSUTIL Gestión de los Servicios de DirectorioGestión de los Servicios de Directorio
FSMOsFSMOs Almacenamiento del ADAlmacenamiento del AD
Cambio de la contraseña local de Cambio de la contraseña local de AdministradorAdministrador
Eliminar DCs y dominios huérfanosEliminar DCs y dominios huérfanos Conectar a un DC determinadoConectar a un DC determinado Authoritative RestoreAuthoritative Restore RepararReparar Ver particiones del directorio, Sites, Ver particiones del directorio, Sites,
Servidores, Dominios y FSMOsServidores, Dominios y FSMOs
HerramientasHerramientas
NetdiagNetdiag Diagnostico de los servicios localesDiagnostico de los servicios locales
DcdiagDcdiag Diagnostico de los servicios de DCDiagnostico de los servicios de DC
RepadminRepadmin Diagnostico de la replicación de ADDiagnostico de la replicación de AD
y… ¿Qué está fallando?y… ¿Qué está fallando?Algo falla
¿Funciona la red?
¿Funciona DC?
¿Resuelven nombres?
Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor
Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD
Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM
¿Funciona replicación?
Detectado
Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL
Group PolicyGroup Policy File Relication File Relication
ServicesServices Replicación de Replicación de
Directorio ActivoDirectorio Activo Configuración DNS y Configuración DNS y
TCP/IPTCP/IP
Diagnóstico de la instalación Diagnóstico de la instalación de DCde DC
298143 How to Verify an Active Directory Installationhttp://support.microsoft.com/kb/298143816106 How to Verify an Active Directory Installation in Windows Server 2003 http://support.microsoft.com/kb/816106
DemoDemo
Backup del System StateBackup del System State Claves de registro de BackupClaves de registro de Backup Consola de recuperaciónConsola de recuperación Ntdsutil.exeNtdsutil.exe
AgendaAgenda Componentes del Directorio ActivoComponentes del Directorio Activo
Base de Datos-FSMOBase de Datos-FSMO SysVol-FRSSysVol-FRS
Tareas PreventivasTareas Preventivas Herramientas Herramientas Recuperación de desastresRecuperación de desastres
Reinstalación Reinstalación RecuperaciónRecuperación ReparaciónReparación
Recuperación de Recuperación de DesastresDesastres Tipos de DesastreTipos de Desastre
Corrupción de la BD.Corrupción de la BD. Borrado de Datos.Borrado de Datos.
Métodos de recuperación preferidosMétodos de recuperación preferidos1.1. ReinstalaciónReinstalación
Winnt32 + DCPromo + ReplicaciónWinnt32 + DCPromo + Replicación Winnt32 + DCPromo /Adv + ReplicaciónWinnt32 + DCPromo /Adv + Replicación
2.2. RestauraciónRestauración NTBackup + ReplicaciónNTBackup + Replicación
3.3. Reparación: Última opción para ADReparación: Última opción para AD
Re-Instalación y ReplicaciónRe-Instalación y Replicación
Consideraciones:Consideraciones:
Debe existir un DC sano en el dominioDebe existir un DC sano en el dominio Localización física del DCLocalización física del DC Ancho de BandaAncho de Banda Podría ser necesario borrar el Objeto Server Podría ser necesario borrar el Objeto Server
borrarlo del AD. Metadata Cleanup. (216498)borrarlo del AD. Metadata Cleanup. (216498) Servidor MultipropositoServidor Multiproposito
Re-Instalación y ReplicaciónRe-Instalación y Replicación
Pasos:Pasos:1.1. Operación de limpieza: Eliminar el objeto del Operación de limpieza: Eliminar el objeto del
DC dañado del Active DirectoryDC dañado del Active Directory1.1. NTDSUTILNTDSUTIL2.2. ADSIEDITADSIEDIT3.3. Dar tiempo para que se replique la eliminación Dar tiempo para que se replique la eliminación
del objeto.del objeto.4.4. Realizar una instalación nueva de Windows Realizar una instalación nueva de Windows
usando el mismo nombre de DCusando el mismo nombre de DC
2.2. Promover el equipo a DC (DCPromo)Promover el equipo a DC (DCPromo)1.1. Comprobar DCPROMO.logComprobar DCPROMO.log
3.3. Replicación.Replicación.1.1. Usar “Repadmin /showreps” para verificar que Usar “Repadmin /showreps” para verificar que
se han restablecido los objetos de conexiónse han restablecido los objetos de conexión
Re-Instalación y ReplicaciónRe-Instalación y Replicación El Servidor es un DC Multiproposito que no podemos El Servidor es un DC Multiproposito que no podemos
formatearformatear
Si tenemos Windows 2000 SP1:Si tenemos Windows 2000 SP1: Modificar entrada Registry.Modificar entrada Registry.
HKLM\System\CurrentControlSet\Control\ProductOptions\ProductTypeHKLM\System\CurrentControlSet\Control\ProductOptions\ProductType Reiniciar y logear con la Contraseña de recuperaciónReiniciar y logear con la Contraseña de recuperación Ejecutar DCPromo en un forest nuevo.Ejecutar DCPromo en un forest nuevo. Ejecutar DCPromo para despromocionarlo.Ejecutar DCPromo para despromocionarlo. Metadata Cleanup en un DC operativo del Dominio.Metadata Cleanup en un DC operativo del Dominio.
Si Windows 2000 Sp2 o posterior:Si Windows 2000 Sp2 o posterior: DCPromo /forceremovalDCPromo /forceremoval Metadata Cleanup en un DC operativo del DominioMetadata Cleanup en un DC operativo del Dominio
332199 Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory
DemoDemo
Metadata CleanupMetadata Cleanup
NTDSUTILNTDSUTIL Como quitar un DC de la base de datos de ADComo quitar un DC de la base de datos de AD
IFM (Install From Media)IFM (Install From Media)1.1. Instalar un DC con Windows 2003 en un Instalar un DC con Windows 2003 en un
dominio.dominio.
2.2. Realizar un Backup del “system state” de un Realizar un Backup del “system state” de un DC 2003 en ese dominio.DC 2003 en ese dominio.
3.3. Restaurar el “system state” a una ubicación Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va ha ser alternativa en el Servidor 2003 que va ha ser promovido.promovido.
4.4. Ejecutar DCPROMO con el modificador /ADV Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde y especificar el path en el disco local donde restauramos el “system state”restauramos el “system state”
311078 How to use the Install from Media feature to promote Windows Server 2003-based domain controllers
http://support.microsoft.com/kb/311078/en
DemoDemo
DCPromo con ‘Install from media’DCPromo con ‘Install from media’
RestauraciónRestauración
Restaurar a estado bueno usando Restaurar a estado bueno usando NTBACKUPNTBACKUP
TiposTipos Non-Authoritative RestoreNon-Authoritative Restore
Reiniciar en modo AD para sincronizar Reiniciar en modo AD para sincronizar cambioscambios
Authoritative RestoreAuthoritative Restore Hacer que los objetos en el DC de referencia Hacer que los objetos en el DC de referencia
sean una “copia maestra” para el forestsean una “copia maestra” para el forest
Restauración No autoritariaRestauración No autoritaria
Método de restauración por defectoMétodo de restauración por defecto Cuando usarloCuando usarlo
Problemas de hardwareProblemas de hardware Problemas con aplicaciones o perdida de datosProblemas con aplicaciones o perdida de datos
OpcionesOpciones Reconstruir el servidor desde cero. Volver a Reconstruir el servidor desde cero. Volver a
ejecutar DCPROMOejecutar DCPROMO Restaurar la máquina a un buen punto conocido y Restaurar la máquina a un buen punto conocido y
sincronizarsincronizar
Verificar la restauraciónVerificar la restauración
Restauración AutoritariaRestauración Autoritaria Cuando usarloCuando usarlo
Borrado accidental o modificación de objetos Borrado accidental o modificación de objetos o contenedores en el dominio o configuración o contenedores en el dominio o configuración NCNC
Corrupción de objetos/atributos en el Corrupción de objetos/atributos en el directoriodirectorio
Lo que no haceLo que no hace No sobrescribe objetos creados después del No sobrescribe objetos creados después del
backupbackup Sólo sobre objetos de las particiones de Sólo sobre objetos de las particiones de
directorio de Configuración, Dominio y directorio de Configuración, Dominio y AplicacionAplicacion
No soportado con “Schema Naming Context”No soportado con “Schema Naming Context”
Restauración AutoritariaRestauración Autoritaria Pasos:Pasos:
1.1. Realizar un restore No AutoritativoRealizar un restore No Autoritativo1.1. Entrar en Modo ‘Recuperación de Directorio’Entrar en Modo ‘Recuperación de Directorio’
1.1. Login con la cuenta de recuperaciónLogin con la cuenta de recuperación
2.2. Restauración del System StateRestauración del System State
2.2. Marcar objetos en NTDSUTIL como Marcar objetos en NTDSUTIL como autoritarios:autoritarios:
1.1. ‘‘Restore Subtree’ + DN completo del usuario a Restore Subtree’ + DN completo del usuario a restaurar: “restaurar: “cn=username,cn=users,dc=DOM,dc=COM”cn=username,cn=users,dc=DOM,dc=COM”
3.3. Reiniciar.Reiniciar.
DemoDemo
Restauración autoritativaRestauración autoritativa
Consideraciones de la Consideraciones de la restauración autoritariarestauración autoritaria Perdida de cuentas de máquinaPerdida de cuentas de máquina
http://support.microsoft.com/kb/216243http://support.microsoft.com/kb/216243
Perdida de pertenencia a gruposPerdida de pertenencia a grupos http://support.microsoft.com/kb/280079http://support.microsoft.com/kb/280079
Reanimación de objetos borradosReanimación de objetos borrados http://support.microsoft.com/kb/840001/#6http://support.microsoft.com/kb/840001/#6
ReparaciónReparación
Último recursoÚltimo recurso Elegir backup si existeElegir backup si existe Consume Tiempo y además ….Consume Tiempo y además ….
!!! NO HAY GARANTIAS !!!
Reparación BD del ADReparación BD del AD
NTDS.dit NTDS.dit La base de datos. La base de datos. Edbxxxx.log Edbxxxx.log log de transaciones (10 log de transaciones (10
MB cada uno)MB cada uno) Edb.chk Edb.chk fichero de checkpoint fichero de checkpoint Res1.log & Res2.log Res1.log & Res2.log Logs de reserva Logs de reserva
de espaciode espacio NTDSUTIL - FilesNTDSUTIL - Files
Proporciona información, y permite Proporciona información, y permite realizar operaciones de mantenimiento, realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.sobre los ficheros de la BD de AD.
Reparación BD del ADReparación BD del AD
La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de ‘Built-in consistency checking’ en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR
http://support.microsoft.com/kb/315131
Reparación BD del ADReparación BD del ADNTDSUTIL: Files
Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la base de datos de Directorio Activo
• Información de la ubicación de los ficheros de AD• Compresión Offline de NTDS.DIT• Check de integridad Offline de NTDS.DIT• Reubicación de los ficheros de AD• Restauración ‘soft recovery’ de la la base de datos de AD• Soft recovery (Repair) usa los ficheros de Log y los de base
de datos en disco (no los de backup) para recuperación de un fallo.
• Reparación de NTDS.DIT
Algunos Comandos disponibles: Repair, Recover, Integrity
Reubicar NTDS (DB y logs)Reubicar NTDS (DB y logs)NTDSUTIL: Files
- Para mover NTDS.DIT "move db to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover el fichero NTDS.DIT
- Para mover los ficheros de Log "move logs to <%s>" (sin
comillas), donde <%s> es la ruta a donde se desea mover los ficheros de log.
- Para ver los ficheros de log o de base de datos info
-Para verificar la integridad de la base de datos en su nueva localización integrity.
NOTA: Cuando se mueven los ficheros del AD (B.D. y/o Logs) se debe realizar un backup del DC.
http://support.microsoft.com/kb/257420
Reparación BD del ADReparación BD del ADNTDSUTIL: Semantic Database Analysis
Ejecuta un análisis semántico de la base de datos. Debe ejecutarse después de llevar a cabo un ‘Soft Recovery’
NTDSUTIL: Security Account Management
Permite localizar y eliminar SIDs duplicados en la base de datos de AD
http://support.microsoft.com/kb/315136
CuestionesCuestiones
Dudas …Dudas … Temas que no hemos tratado …Temas que no hemos tratado … Temas que no han quedado claro …Temas que no han quedado claro … Sugerencias, feedback …Sugerencias, feedback …
¿Preguntas?¿[email protected]@microsoft.com
Your potential. Our passion.Your potential. Our passion.