RaDians.com.ar

Microsoft MVP – Microsoft 365, Trainer, Mentor and Technical Writer. MCP, MCSA: Messaging, Microsoft Certified and former MCT and Xbox gamer…

2008 & R2 2012 & R2 2016 Directory Services

Recuperacion de los Servicios de dominio de Active Directory {ADDS} – Parte 1

Avatar photo

ByRoberto Di Lello

Jun 17, 2016 , , ,

www.radians.com.ar  Podemos utilizar la información de esta sección para recuperar los Servicios de dominio de Active Directory (AD DS) cuando los servicios de directorio son interrumpidas como resultado de problemas con el hardware, el software, el entorno de red, o un error humano. Para protegernos contra los daños de este tipo de interrupciones, debemos asegurarnos de que siempre estemos preparados para restaurar AD DS con un respaldo oportuno de los volúmenes y los servidores que son críticos para la operación exitosa de nuestro bosque.

Cuando es necesaria la recuperación de AD DS mediante la restauración de una copia de seguridad, la causa más común es un error administrativo o de hardware. La mejor defensa contra estos problemas es la prevención. Debemos asegurarnos de tomar medidas necesarias para proteger los datos de Active Directory de un borrado accidental. También podemos gestionar el reemplazo de hardware en el momento oportuno, antes de que conduce al fracaso y la pérdida de datos de Active Directory.

Las causas de las interrupciones

Interrupciones en los servicios de directorio puede ser causada por muchas condiciones en un controlador de dominio, en un dominio o bosque, y con los clientes de servicios y aplicaciones que usan AD DS. Las siguientes son algunas de las condiciones que pueden interrumpir los servicios de directorio:

  • Reordenando o cambios a las letras de unidad que hacen que el sistema operativo, el archivo de servicio de directorio, y los registros no estén disponibles en sus lugares previstos

  • Permisos excesivos en los objetos de AD DS, el sistema de archivos, o el registro, o explícitamente definidas y asignadas en la directiva de grupo
  • Fallo en el disco, lo que impide el acceso a, o dañino para los siguientes conjuntos de archivos: sistema operativo, servicio de directorio de sesión, SYSVOL, y el registro u otros archivos críticos del sistema
  • Incapacidad para reiniciar AD DS en el modo normal, por ejemplo, después de un corte de energía no programada o actualización de software
  • Software de terceroscomo antivirus y otras tools, como tools de optimización de disco, que impiden el libre acceso al archivo de servicio de directorio y los registros
  • Incapacidad de un controlador de dominio para responder a Lightweight Directory Access Protocol (LDAP) peticiones, solicitudes de inicio de sesión, o solicitudes de replicación
  • La incapacidad para arrancar desde AD DS, por ejemplo, después de un corte de energía no programada o actualización de software
  • Desastres en el lugar físico, tales como desastres naturales o ataques de virus u otros ataques a la seguridad
  • Eliminaciones accidentales en AD DS, el sistema de archivos, o el registro
  • Rollback a un  punto conocido en el tiempo
  • Corrupción de un controlador de dominio
  • Corrupción que se ha replicado (el peor de los casos)

Claves para la protección frente a las interrupciones

Las claves para proteger su red contra las interrupciones son la preparación y la prevención. Para asegurarse de que siempre son capaces de recuperarse de una interrupción, se preparan mediante la programación de copias de seguridad de la siguiente manera:

  • Copia de seguridad de los volúmenes que se requieren para recuperar AD DS y todo el controlador de dominio.
  • Copia de seguridad de todos los controladores de dominio críticos
  • Una copia de seguridad en un horario diario y cuando se realizan cambios significativos en el registro o en el directorio.

Antes de introducir cambios en la configuración de los controladores de dominio en producción, debemos probar los cambios de configuración en un laboratorio o en un equipo de prueba que refleja el entorno de la producción de la misma manera que probamos la configuración del hardware, el servicio de carga y actualización de software, carga de rendimiento, y demas.

Algunos cambios de configuración tienen implicaciones inmediatas; algunos son evidentes cuando se produce un evento o servicio (por ejemplo, un reinicio o de inicio del servicio); y algunos han encadenado consecuencias (por ejemplo, si X e Y ambos se producen, a continuación, se produce Z). Otros cambios tienen implicaciones umbral basado basada en el tiempo. Debemos estar seguros de que estamos enterados de todos los efectos de un cambio de configuración antes de implementarlo en la producción.

Las causas más comunes de la interrupción del servicio de directorio que requiere la recuperación son errores administrativos y fallos de hardware. La mejor defensa contra estos problemas es la prevención. Podemos evitar interrupciones mediante la adopción de medidas para proteger contra los problemas fácilmente evitables:

  • Utilizar la opción “Protect object from accidental deletion” para evitar eliminaciones accidentales de datos críticos.
  • Controlar todos los servicios críticos.
  • Administra el reemplazo de hardware en el momento oportuno.

Si tenemos en cuenta las opciones de recuperación, el objetivo es utilizar el método más rápido que da como resultado la recuperación de menos intrusiva y más completa. Las opciones para la recuperación pueden variar desde la reparación de elementos individuales a la restauración de un único controlador de dominio. En el peor de los casos, la única opción podría ser la de recuperar todos los controladores de dominio de un dominio o bosque.

Prevención de borrado no deseado

La mayoría de los borrados a gran escala son accidental. En muchos casos, puede que tengamos que realizar una operación de recuperación para recuperar objetos que han sido eliminados de AD DS. En Windows Server, los usuarios y equipos de Active Directory ofrece la opción “Protect object from accidental deletion

Cuando está activado, implementa el permiso Denegar en Deny delete subtree. Esta opción está disponible en Active Directory usuarios y equipos en el controlador de dominio y cuando se ve a través de herramientas de administración remota del servidor (RSAT) en equipos que ejecutan Windows Server 2008 en adelante.

Cuando se habilita Características avanzadas en el menú Ver, el objeto de protegerlo de la opción de borrado accidental está disponible en la ficha Objeto. Podemos abrir la página de propiedades para cada contenedor en el dominio y activar esta opción.

Utilice esta opción para proteger a todos los otros contenedores hasta el nivel de dominio. Good candidates for protection are containers that store Group Policy objects (GPOs) and Active Directory–integrated Domain Name System (DNS) zones. Los buenos candidatos para la protección son los contenedores que almacenan objetos de directiva de grupo (GPO) y las zonas integradas en Active Directory Domain Name System (DNS). Cuando se habilita el objeto de protegerlo de la opción de borrado accidental, ni el recipiente ni ningún objeto secundario se pueden eliminar por cualquier administrador u otro usuario. Un administrador con el derecho de iniciar sesión localmente en un controlador de dominio y el derecho a abrir Usuarios y equipos de Active Directory puede activar o desactivar el ajuste.

Debemos prestar especial atención a la protección de las unidades organizativas (OU) que podrían haber sido creados en una versión anterior de Windows. Cuando se crea una unidad organizativa mediante Usuarios y equipos de Active Directory en Windows Server, el contenedor Proteger de la casilla de verificación borrado accidental está seleccionada por defecto. En los controladores de dominio que ejecutan versiones anteriores de Windows, debe aplicar la entradas de control de los permisos de acceso (ACE) en la ficha Seguridad de la página de propiedades de los contenedores para implementar la protección contra el borrado accidental Deny.

Próximamente hablaremos de algunos otros métodos de recuperación:

  • Soluciones para la configuración de errores de restauración no autoritativa
  • Soluciones para la pérdida de autoridad de recuperación de datos
  • Opciones de recuperación con ninguna copia de seguridad disponibles
  • Soluciones para el fallo de hardware o corrupción de archivos

Espero les sea de interés. Saludos, y buen día del padre para todos.

Saludos. Roberto Di Lello.

Post Relacionados:

  1. Active Directory Error “Administrative limit for this request was exceeded" como solucionarlo?
  2. Hyper-V Replica, que es y como funciona? {ScreenCast}
  3. Virtualizacion de Directory Services Domain Controllers con Hyper-V {Parte 1}
  4. Windos Server 2012 R2, Como apagar correctamente un Failover Cluster o un Nodo {HowTo}
  5. Como liberar espacio y reducir el tamaño del directorio WinSxS en Windows Server 2012 R2 y Windows 8.1 {HowTo}
Avatar photo

By Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

Related Post

2012 & R2 2016 2019 Directory Services

C�mo verificar los requisitos de complejidad de las contrase�as en Active Directory [Howto]

Feb 15, 2024 Roberto Di Lello
2008 & R2 2012 & R2 2016

Windows Server: No existe carpetas SYSVOL y Netlogon en nuestro Controlador de�Dominio [segunda opcion]

Oct 10, 2023 Roberto Di Lello
2008 & R2 2012 & R2 2016 2019 Windows 10 Windows 11 Windows 7

Entendiendo el protocolo NTLM: Evaluaci�n de su entorno para la reducci�n de NTLM [Parte4]

Oct 3, 2023 Roberto Di Lello

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

You missed

Windows 11

Copilot en Windows y Windows 365: Ayudando a los clientes a avanzar en la nueva era del trabajo

Jun 28, 2024 Roberto Di Lello
Uncategorized

Mejoras de Microsoft Copilot para Windows 11

Jun 24, 2024 Roberto Di Lello
Windows 11

Windows 11: cómo ver el rendimiento {HowTo}

Jun 18, 2024 Roberto Di Lello
Windows 11

Windows 11: publicidad en el menu inicio?

Jun 14, 2024 Roberto Di Lello