Restauración de Active Directory

 

En el post Copia de Seguridad del Active Directory vimos como respaldar el estado de sistema en un domain controller.

A la hora de restaurar ese backup debemos tener claro qué es lo que necesitamos recuperar. De aquí se desprenden dos opciones posibles de restauración, no autoritativa y autoritativa.

Restauración normal (no autoritativa): este tipo de restauración debe hacerse cuando queremos recuperar un domain controller dañado. Una vez restaurada la información, el DC restaurado recibirá la réplica de Active Directory desde otro de los DC que tienen la versión actualizada de la base de datos de Active Directory.

Restauración autoritativa: debe usarse cuando tenemos que recuperar objetos eliminados de Active Directory o cuando queremos volver atrás su estado ante modificaciones indebidas, por ejemplo cuando se eliminó incorrectamente una Unidad Organizativa (OU).

Si en este caso hiciéramos una restauración normal para recuperar la OU eliminada, la próxima réplica del Active Directory volverá a eliminar este objeto (la versión actual del Active Directory  es sin esa OU)

 

Escenario: nuestro Active Directory tiene un forest de dominio único, windowsmct.com con dos DCs: DC01 y SVR01

En el ejemplo siguiente eliminamos la Unidad Organizativa IT simulando un borrado accidental

 

 

 

 

 

 

 

 

 

 

Confirmamos la operación

 

 

 

 

 

 

 

 

NOTA: en forma predeterminada las unidades organizativas vienen protegidas contra borrado accidental pero un administrador puede quitar la protección y eliminar el objeto.

 

Procedimiento para la restauración:

Para restaurar Active Directory debemos reiniciar el Controlador de Dominio en el modo “Directory Services Restore Mode” (conocido como DSRM por sus siglas)

Iniciar el Domain Controller en el modo DSRM

Aunque la opción DSRM puede seleccionarse pulsando F8 en el inicio de Windows, este método no suele ser útil cuando accedemos remotamente al servidor.

La forma más sencilla para iniciar en este modo es configurando el inicio mediante Msconfig.exe. En el menú Boot, en Boot Options elegimos la opción Safe Boot, Active Directory repair.

 

 

 

 

 

 

 

 

 

 

 

 

 

 
 

Cuando reiniciemos el equipo lo hará en ese modo y solicitará credenciales de inicio de sesión. En el modo DSRM Active Directory está detenido, con lo cual las cuentas de dominio no están disponibles. Un DC tampoco tiene cuentas locales.

La única cuenta disponible para inicio de sesión DSRM es la que se configuró a tal fin cuando se promovió el servidor a DC.

Iniciamos sesión como .\Administrator (usuario local DSRM) con la contraseña de DSRM.

 

Para identificar los backups existentes abrimos un CMD o PowerShell como Administrador y ejecutamos:

wbadmin get versions

Podemos ver dos versiones de System State (el identificador es la fecha del backup)

 

 

 

 

 

 

 

 

 

 

Copiamos el identificador (Version Identifier) para usarlo en el siguiente comando

wbadmin start systemstaterecovery -version:<ID> -backuptarget:E: -machine:DC01

Luego pide confirmación dos veces (pulsamos Y en ambas ocasiones)
 

 

 

 

 

 

 

 

 

 

 

 

La restauración tarda varios minutos. Al finalizar pide pulsar Y para reiniciar el equipo.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Cuando reinicie el servidor debemos iniciar sesión nuevamente usando la cuenta .\Administrator

Ni bien iniciamos sesión aparece un mensaje de Wbadmin diciendo que la restauración de estado de sistema fue exitosa. Pulsamos Enter para continuar

 

 

 

 

 

 

Marcar la restauración como Autoritativa

A continuación abrimos CMD o PowerShell como administrador y marcamos la restauración como autoritativa. Restauraremos el subárbol (subtree) correspondiente a la OU eliminada.

El DN (distinguished name) de la OU es: “OU=IT,dc=windowsmct,dc=com”

El procedimiento detallado es el siguiente:

Ejecutar Ntdsutil

Escribir activate instance ntds

Escribir authoritative restore

Escribir restore subtree "ou=IT,dc=windowsMCT,dc=com"

 

 

 

 

 

 

 

 

 

 

 

 

Confirmamos la restauración (Yes)

Vemos la pantalla que indica la cantidad de registros actualizados

 

La operación guardó un archivo de texto con la lista de objetos y un archivo LDF (importable con LDIFDE.exe) con los atributos inversos de los objetos (backlinks).

NOTA: un ejemplo de atributo inverso de un usuario sería MemberOf (miembro de)

 Salimos de Ntdsutil con quit hasta que devuelva el Símbolo de Sistema

Volvemos a ejecutar msconfig y desmarcamos la opción Safe Boot para que el servidor reinicie en modo normal.

 

 

 

 

 

 

 

 

 

 

 

 

 

Después de iniciar el DC normalmente forzamos una réplica del Active Directory mediante el comando Repadmin /syncall

 

 

 

 

 

Luego de la restauración autoritaria verificamos que recuperamos la Unidad Organizativa IT y todos sus objetos.