Hace unos días recibí algunas consultas por mail sobre el tema de backup, autoritativo o no; y que implicaba eso y que no. Entonces ese es el motivo de esta nota.
Durante una operación típica de restauración de archivos, Microsoft Windows Backup funciona en modo de restauración no autoritativa. De esta forma, se restauran todos los archivos, incluyendo objetos de Active Directory, con su número o números de secuencia de actualización (USN) originales. El sistema de replicación de Active Directory utiliza el USN para detectar y replicar los cambios efectuados a Active Directory en todos los controladores de dominio de la red.
Debemos tener en cuenta que todos los datos que se restauran de forma no autoritativa aparecen en el sistema de replicación de Active Directory como datos antiguos. Los datos antiguos nunca se replican entre los controladores de dominio. La replicación de Active Directory actualiza los datos restaurados con datos más recientes de otros controladores de dominio. Al realizar una restauración autoritativa se resuelve este problema.
Ahora, debemos utilizar una restauración autoritativa con suma precaución, debido al efecto que puede tener sobre nuestro Active Directory. Debemos realizar una restauración autoritativa inmediatamente después de haber restaurado el equipo a partir de una copia de seguridad anterior, antes de reiniciar el controlador de dominio en modo normal. Una restauración autoritativa replica todos los objetos que están marcados como autoritativos en cada controlador de dominio que aloja los naming contexts donde están los objetos. Para realizar una restauración autoritativa en el equipo, lo hacemos con la herramienta Ntdsutil.exe para efectuar los cambios de USN necesarios en la base de datos de Active Directory.
Hay ciertas partes de Active Directory que no se pueden o no se deben restaurar de manera autoritativa, como por ejemplo:
-
No puede restaurar de forma autoritativa el esquema.
-
La configuración del naming context también es muy sensible, ya que los cambios afectarán a todo el bosque. Por ejemplo, no tiene sentido restaurar los objetos de conexión. El Knowledge Consistency Checker (KCC) creara nuevamente dichos objetos o los podemos volver a crear manualmente. Si tiene sentido restaurar objetos de configuración del servidor y los objetos NTDS cuando no se ha realizado antes ningún workarround destructivo.
-
En el contexto del dominio, no restauremos ningún objeto que trate con los pools de Relative Identifier (RID). Esto incluye el subobjeto "Rid Set" de las cuentas de equipo del controlador de dominio y el objeto RidManager$ del contenedor SYSTEM.
-
Otro problema es que muchos vínculos del tipo distinguished name pueden romperse al realizar este tipo de restauración. Esto puede afectar a objetos utilizados por el Servicio de replicación de archivos (File Replication Service FRS). Éstos existen bajo CN=File Replication Service,CN=System,DC=yourdomain and CN=NTFRS Subscriptions,CN=DC computer account.
-
Los intentos de restaurar autoritativamente un naming context completo siempre incluirán objetos que pueden romper la funcionalidad adecuada de partes cruciales de Active Directory. Siempre debemos intentar restaurar autoritativamente un conjunto mínimo de objetos.
-
Por último, puede haber otros problemas similares para los objetos creados por otras aplicaciones. Estos problemas habría que evaluarlos y analizarlos puntualmente en cada caso.
Una restauración del System State reemplaza todos los objetos nuevos, eliminados o modificados en el controlador de dominio que se está restaurando.
Una restauración del System State de un naming context que contiene dos o más réplicas es una combinación autoritativa. En una combinación autoritativa, todos los objetos eliminados o modificados se deshacen hasta el momento en que se realizó la copia de seguridad.
Los objetos que se crearon una vez realizada la la copia de seguridad se replican desde las réplicas del naming context. Una combinación autoritativa representa una combinación del estado que existía cuando se hizo la copia de seguridad con los nuevos objetos creados después de la copia de seguridad.
En definitiva, cuando restauramos de forma no autoritativa un naming context que contiene una única réplica, realmente está realizando una restauración autoritativa.
Ahora, después de realizar una restauración autoritativa, podemos eliminar las cuentas de usuario y los grupos a los cuales pertenecen de nuestro Active Directory. Para solucionar este problema, debemos agregar los usuarios restaurados de nuevo a sus grupos. Si necesitamos ayuda con esto pongo un link al final de la nota.
Una vez restaurados los datos, utilice Ntdsutil.exe para realizar la restauración autoritativa. El procedimiento para realizar una restauración autoritativa es el siguiente:
-
Mediante línea de comando (cmd.exe), ejecutamos la herramienta Ntdsutil.exe
-
Escribimos activate instance ntds
-
Escribimos authoritative restore
-
Escribimos restore database, y hacemos clic en OK y, a continuación, haga clic en Yes
También podemos encontrarnos con la necesidad de no restaurar toda la base de datos por completo, debido a las consecuencias que tendría la replicación sobre nuestro dominio o nuestro bosque. Para restaurar autoritativamente un subárbol dentro de un bosque, debemos hacer lo siguiente:
-
Reiniciamos nuestro controlador de dominio; cuando se muestre el menú Inicio de Windows 2008, debemos seleccionar Directory Services Restore Mode y presione ENTRAR.
-
Restauramos los datos a partir del medio de copia de seguridad para una restauración autoritativa, de la siguiente manera:
-
En el Modo Directory Services Restore, hacemos clic inicio y seleccionamos Windows Server Backup
-
Hacemos clic en Asistente para restauración y, después, haga clic en Siguiente
-
Seleccionamos la ubicación adecuada de la copia de seguridad y debemos asegurarnos de que estén seleccionados al menos los contenedores System State y System Disk
-
Hacemos un clic en Advanced y seleccionamos Restore Files to Original Location.
-
Hacemos clic en Aceptar y completamos el proceso de restauración.
-
Cuando nos pregunte si deseamos reiniciar el equipo, decimos que no, no lo reiniciamos
-
Mediante línea de comando (cmd.exe), ejecutamos la herramienta Ntdsutil.exe
- Escribimos activate instance ntds
- Escribimos authoritative restore
- Escribimos Restore subtree OU=OrganizationUnit,DC=dominio,DC=com,DC=ar (En este comando, OU es el nombre de la unidad organizativa que desea restaurar, dominio es el nombre de dominio en el que reside la OU)
- Después cerramos la consola, saliendo con el comando q; y de la línea de comando con exit, y reiniciamos el controlador de dominio.
Espero que les sea de utilidad. Saludos, Roberto Di Lello.
Hola, muy buen Dia:
Tengo un problema con una conexion VPN, me conecto perfectamente, pero no puedo accesar a las carpetas compartidas en la LAN.
Ya he verificado la parte de quitar la palomita de “Utilizar el puente de la red remota” Pero ni asi puedo navegar en la LAN a la que me conecto. Ni siquiera puedo entrar a la Intranet.
Les agradezco de antemano y les felicito por este sitio con tan excelente informacion.
SALUDOS
Rafael, muchas gracias por participar del blog; discúlpame que tarde en responder pero estuve muy complicado con los tiempos.
Te recomiendo verificar como esta resolviendo los nombres tu conexión de VPN, y sino prueba por la ip del equipo a ver si llegas o no al recurso compartido; sino también podrías ver lo siguiente:
You cannot access SMB shares on a corporate network through a Remote Access Service (RAS) connection from a computer that is running Windows Vista http://support.microsoft.com/kb/933468
Best Regards | Saludos
Quisisera saber como hacer instalaciones de aplicaciones aplicando directivas de grupo.
Como lo tengo instalado no funciona siempre. Puede ser un problema del sistema operativo ?
Toni, muchas gracias por participar del blog y colaborar a que siga creciendo.
Te cuento que para eso debes tener o bien un SMS o un system center o algun programa que te empaquete los instaladores en un MSI.
hace un tiempo realice un video en donde distribuia un IE por Group Policy, te paso el link:
Instalacion de Internet Explorer via Group Policy {ScreenCast} http://www.radians.com.ar/blog/?p=537
Best Regards | Saludos
Tenemos un dominio Windows Server 2003, que el esquema se amplio a Windows Server 2008 R2, se instalo un controlador de dominio Windows Server 2008 R2 al cual se le pasaron todos los roles, ahora se requiere ampliar el schema para Exchange 2010, no se ha realizado laboratorio debido a que se requiere con urgencia la ampliación, para realizar la ampliación se va deshabilitar la replicación de entrada y salida en ese servidor y se haria la ampliación del esquema, en el caso de algun error en la ampliación del esquema, ¿se podria restaurar el servidor por medio de un restore full del servidor(disaster recovery) que se realizo antes de la ampliación del esquema?.
Omar, muchas gracias por participar del blog y ayudar para que siga creciendo.
En teoria si. Igualmente no deberias tener problemas para extender el schema. Igualmente te recomiendo verificar que tu entorno este bien antes de hacerlo, algunas opciones son:
-> DCDIAG /V /C /D /E /s:yourdcname > c:\dcdiag.log
-> netdiag.exe /v > c:\netdiag.log (On each dc)
-> repadmin.exe /showrepl dc* /verbose /all /intersite > c:\repl.txt
-> ntfrsutl ds your_dc_name > c:\sysvol.log
-> dnslint /ad /s “ip address of your dc”
**Note: Using the /E switch in dcdiag will run diagnostics against ALL dc’s in the forest. If you have significant numbers of DC’s this test could generate significant detail and take a long time. You also want to take into account slow links to dc’s will also add to the testing time.
Espero que te sirva. Saludos.
Roberto muy bueno tu blog y gracias por compartir tus conocimientos
Tengo una consulta o pregunta
Por lo que se y pude probar el comando restore database en Windows Server 2008 y 2008 R2 no existe.
Como puedo hacer, si hay una forma de restaurar la base de datos en modo authoritative restore en un ambiente de controladores de dominio que se replican.
Por ejemplo si es el caso que estuve probando si se borran las zonas de los dns
Desde ya muchas gracias
Saludos
Jorge Campoliete, muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.
Te paso un link con la informacion que necesitas:
* Active Directory Backup and Restore in Windows Server 2008 http://technet.microsoft.com/en-us/magazine/2008.05.adbackup.aspx
Te paso tambien la explicacion en ingles sobre el tema:
“We removed the “restore database” option from ntdsutil utility because we found that it may cause some serious problems.
As Marcin stated, an authoritative restore will not overwrite new objects that have been created after the backup was taken. It can only be carried out on objects from the configuration and domain contexts. Authoritative restores of schema naming contexts are not supported. In fact, we can use “restore subtree” to mark a whole partition as authoritative for the directory. The recommendation is to mark the lowest possible point in the tree
as authoritative but you could mark the entire domain subtree authoritative.
In addition, please remember that it is recommended to have multiple domain controllers in a domain. ”
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el. Puntualmente estoy desarrollando unos vids sobre migraciones.
Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitás ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Espero te sean de utilidad. Saludos!
Estimado
Todo muy util, pero cuando quiero aplicar ntdsutil luego de usar wbadmin
Ingreso el comando restore database y me da error de sintaxis
Yo quiero restaurar completa la base de datos del AD, no solo algunos objetos.
Diego Lagos, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.
Estas ejecutando la ventana de linea de comando como administrador por el tema del UAC???
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente.
Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!