Podemos utilizar la información de esta sección para recuperar los Servicios de dominio de Active Directory (AD DS) cuando los servicios de directorio son interrumpidas como resultado de problemas con el hardware, el software, el entorno de red, o un error humano. Para protegernos contra los daños de este tipo de interrupciones, debemos asegurarnos de que siempre estemos preparados para restaurar AD DS con un respaldo oportuno de los volúmenes y los servidores que son críticos para la operación exitosa de nuestro bosque.
Cuando es necesaria la recuperación de AD DS mediante la restauración de una copia de seguridad, la causa más común es un error administrativo o de hardware. La mejor defensa contra estos problemas es la prevención. Debemos asegurarnos de tomar medidas necesarias para proteger los datos de Active Directory de un borrado accidental. También podemos gestionar el reemplazo de hardware en el momento oportuno, antes de que conduce al fracaso y la pérdida de datos de Active Directory.
Las causas de las interrupciones
Interrupciones en los servicios de directorio puede ser causada por muchas condiciones en un controlador de dominio, en un dominio o bosque, y con los clientes de servicios y aplicaciones que usan AD DS. Las siguientes son algunas de las condiciones que pueden interrumpir los servicios de directorio:
-
Reordenando o cambios a las letras de unidad que hacen que el sistema operativo, el archivo de servicio de directorio, y los registros no estén disponibles en sus lugares previstos
-
Permisos excesivos en los objetos de AD DS, el sistema de archivos, o el registro, o explícitamente definidas y asignadas en la directiva de grupo
-
Fallo en el disco, lo que impide el acceso a, o dañino para los siguientes conjuntos de archivos: sistema operativo, servicio de directorio de sesión, SYSVOL, y el registro u otros archivos críticos del sistema
-
Incapacidad para reiniciar AD DS en el modo normal, por ejemplo, después de un corte de energía no programada o actualización de software
-
Software de terceroscomo antivirus y otras tools, como tools de optimización de disco, que impiden el libre acceso al archivo de servicio de directorio y los registros
-
Incapacidad de un controlador de dominio para responder a Lightweight Directory Access Protocol (LDAP) peticiones, solicitudes de inicio de sesión, o solicitudes de replicación
-
La incapacidad para arrancar desde AD DS, por ejemplo, después de un corte de energía no programada o actualización de software
-
Desastres en el lugar físico, tales como desastres naturales o ataques de virus u otros ataques a la seguridad
-
Eliminaciones accidentales en AD DS, el sistema de archivos, o el registro
-
Rollback a un punto conocido en el tiempo
-
Corrupción de un controlador de dominio
-
Corrupción que se ha replicado (el peor de los casos)
Claves para la protección frente a las interrupciones
Las claves para proteger su red contra las interrupciones son la preparación y la prevención. Para asegurarse de que siempre son capaces de recuperarse de una interrupción, se preparan mediante la programación de copias de seguridad de la siguiente manera:
-
Copia de seguridad de los volúmenes que se requieren para recuperar AD DS y todo el controlador de dominio.
-
Copia de seguridad de todos los controladores de dominio críticos
-
Una copia de seguridad en un horario diario y cuando se realizan cambios significativos en el registro o en el directorio.
Antes de introducir cambios en la configuración de los controladores de dominio en producción, debemos probar los cambios de configuración en un laboratorio o en un equipo de prueba que refleja el entorno de la producción de la misma manera que probamos la configuración del hardware, el servicio de carga y actualización de software, carga de rendimiento, y demas.
Algunos cambios de configuración tienen implicaciones inmediatas; algunos son evidentes cuando se produce un evento o servicio (por ejemplo, un reinicio o de inicio del servicio); y algunos han encadenado consecuencias (por ejemplo, si X e Y ambos se producen, a continuación, se produce Z). Otros cambios tienen implicaciones umbral basado basada en el tiempo. Debemos estar seguros de que estamos enterados de todos los efectos de un cambio de configuración antes de implementarlo en la producción.
Las causas más comunes de la interrupción del servicio de directorio que requiere la recuperación son errores administrativos y fallos de hardware. La mejor defensa contra estos problemas es la prevención. Podemos evitar interrupciones mediante la adopción de medidas para proteger contra los problemas fácilmente evitables:
-
Utilizar la opción “Protect object from accidental deletion” para evitar eliminaciones accidentales de datos críticos.
-
Controlar todos los servicios críticos.
-
Administra el reemplazo de hardware en el momento oportuno.
Si tenemos en cuenta las opciones de recuperación, el objetivo es utilizar el método más rápido que da como resultado la recuperación de menos intrusiva y más completa. Las opciones para la recuperación pueden variar desde la reparación de elementos individuales a la restauración de un único controlador de dominio. En el peor de los casos, la única opción podría ser la de recuperar todos los controladores de dominio de un dominio o bosque.
Prevención de borrado no deseado
La mayoría de los borrados a gran escala son accidental. En muchos casos, puede que tengamos que realizar una operación de recuperación para recuperar objetos que han sido eliminados de AD DS. En Windows Server, los usuarios y equipos de Active Directory ofrece la opción “Protect object from accidental deletion”
Cuando está activado, implementa el permiso Denegar en Deny delete subtree. Esta opción está disponible en Active Directory usuarios y equipos en el controlador de dominio y cuando se ve a través de herramientas de administración remota del servidor (RSAT) en equipos que ejecutan Windows Server 2008 en adelante.
Cuando se habilita Características avanzadas en el menú Ver, el objeto de protegerlo de la opción de borrado accidental está disponible en la ficha Objeto. Podemos abrir la página de propiedades para cada contenedor en el dominio y activar esta opción.
Utilice esta opción para proteger a todos los otros contenedores hasta el nivel de dominio. Good candidates for protection are containers that store Group Policy objects (GPOs) and Active Directory–integrated Domain Name System (DNS) zones. Los buenos candidatos para la protección son los contenedores que almacenan objetos de directiva de grupo (GPO) y las zonas integradas en Active Directory Domain Name System (DNS). Cuando se habilita el objeto de protegerlo de la opción de borrado accidental, ni el recipiente ni ningún objeto secundario se pueden eliminar por cualquier administrador u otro usuario. Un administrador con el derecho de iniciar sesión localmente en un controlador de dominio y el derecho a abrir Usuarios y equipos de Active Directory puede activar o desactivar el ajuste.
Debemos prestar especial atención a la protección de las unidades organizativas (OU) que podrían haber sido creados en una versión anterior de Windows. Cuando se crea una unidad organizativa mediante Usuarios y equipos de Active Directory en Windows Server, el contenedor Proteger de la casilla de verificación borrado accidental está seleccionada por defecto. En los controladores de dominio que ejecutan versiones anteriores de Windows, debe aplicar la entradas de control de los permisos de acceso (ACE) en la ficha Seguridad de la página de propiedades de los contenedores para implementar la protección contra el borrado accidental Deny.
Próximamente hablaremos de algunos otros métodos de recuperación:
-
Soluciones para la configuración de errores de restauración no autoritativa
-
Soluciones para la pérdida de autoridad de recuperación de datos
-
Opciones de recuperación con ninguna copia de seguridad disponibles
-
Soluciones para el fallo de hardware o corrupción de archivos
Espero les sea de interés. Saludos, y buen día del padre para todos.
Saludos. Roberto Di Lello.