{"id":1104,"date":"2010-10-29T12:43:33","date_gmt":"2010-10-29T15:43:33","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1104"},"modified":"2010-10-29T12:43:33","modified_gmt":"2010-10-29T15:43:33","slug":"restauracion-autoritativa-si-o-no","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1104","title":{"rendered":"Restauracion Autoritativa, SI o NO ???"},"content":{"rendered":"<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/hard-drive-backups-1.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; float: left; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"hard-drive-backups-1\" border=\"0\" alt=\"hard-drive-backups-1\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/hard-drive-backups-1_thumb.png\" width=\"170\" height=\"177\" \/><\/a>Hace unos d\u00edas recib\u00ed algunas consultas por mail sobre el tema de backup, autoritativo o no; y que implicaba eso y que no. Entonces ese es el motivo de esta nota.<\/p>\n<p align=\"justify\">Durante una operaci\u00f3n t\u00edpica de restauraci\u00f3n de archivos, Microsoft Windows Backup funciona en modo de restauraci\u00f3n no autoritativa. De esta forma, se restauran todos los archivos, incluyendo objetos de Active Directory, con su n\u00famero o n\u00fameros de secuencia de actualizaci\u00f3n (USN) originales. El sistema de replicaci\u00f3n de Active Directory utiliza el USN para detectar y replicar los cambios efectuados a Active Directory en todos los controladores de dominio de la red. <\/p>\n<p align=\"justify\">Debemos tener en cuenta que todos los datos que se restauran de forma no autoritativa aparecen en el sistema de replicaci\u00f3n de Active Directory como datos antiguos. Los datos antiguos nunca se replican entre los controladores de dominio. La replicaci\u00f3n de Active Directory actualiza los datos restaurados con datos m\u00e1s recientes de otros controladores de dominio. Al realizar una restauraci\u00f3n autoritativa se resuelve este problema.<\/p>\n<p align=\"justify\">Ahora, debemos utilizar una restauraci\u00f3n autoritativa con suma precauci\u00f3n, debido al efecto que puede tener sobre nuestro Active Directory. Debemos realizar una restauraci\u00f3n autoritativa inmediatamente despu\u00e9s de haber restaurado el equipo a partir de una copia de seguridad anterior, antes de reiniciar el controlador de dominio en modo normal. Una restauraci\u00f3n autoritativa replica todos los objetos que est\u00e1n marcados como autoritativos en cada controlador de dominio que aloja los naming contexts donde est\u00e1n los objetos. Para realizar una restauraci\u00f3n autoritativa en el equipo, lo hacemos con la herramienta <font style=\"background-color: #ffffff\"><\/font><font color=\"#ffc000\"><strong><em><font style=\"style\">Ntdsutil.exe<\/font> <\/em><\/strong><\/font>para efectuar los cambios de USN necesarios en la base de datos de Active Directory.<\/p>\n<p align=\"justify\">Hay ciertas partes de Active Directory que no se pueden o no se deben restaurar de manera autoritativa, como por ejemplo: <\/p>\n<ul>\n<li>\n<div align=\"justify\">No puede restaurar de forma autoritativa el esquema. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">La configuraci\u00f3n del naming context tambi\u00e9n es muy sensible, ya que los cambios afectar\u00e1n a todo el bosque. Por ejemplo, no tiene sentido restaurar los objetos de conexi\u00f3n. El <strong><font color=\"#ffc000\">Knowledge Consistency Checker<\/font><\/strong> (KCC) creara nuevamente dichos objetos o los podemos volver a crear manualmente. Si tiene sentido restaurar objetos de configuraci\u00f3n del servidor y los objetos NTDS cuando no se ha realizado antes ning\u00fan workarround destructivo. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">En el contexto del dominio, no restauremos ning\u00fan objeto que trate con los pools de Relative Identifier (RID). Esto incluye el subobjeto &quot;Rid Set&quot; de las cuentas de equipo del controlador de dominio y el objeto RidManager$ del contenedor SYSTEM. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">Otro problema es que muchos v\u00ednculos del tipo <strong><em>distinguished name <\/em><\/strong>pueden romperse al realizar este tipo de restauraci\u00f3n. Esto puede afectar a objetos utilizados por el Servicio de replicaci\u00f3n de archivos (File Replication Service FRS). \u00c9stos existen bajo CN=File Replication Service,CN=System,DC=<var>yourdomain<\/var> and CN=NTFRS Subscriptions,CN=<var>DC computer account<\/var>. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">Los intentos de restaurar autoritativamente un naming context completo siempre incluir\u00e1n objetos que pueden romper la funcionalidad adecuada de partes cruciales de Active Directory. Siempre debemos intentar restaurar autoritativamente un conjunto m\u00ednimo de objetos. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">Por \u00faltimo, puede haber otros problemas similares para los objetos creados por otras aplicaciones. Estos problemas habr\u00eda que evaluarlos y analizarlos puntualmente en cada caso.<\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\">Una restauraci\u00f3n del System State reemplaza todos los objetos nuevos, eliminados o modificados en el controlador de dominio que se est\u00e1 restaurando.<\/p>\n<p align=\"justify\">Una restauraci\u00f3n del System State de un naming context que contiene dos o m\u00e1s r\u00e9plicas es una combinaci\u00f3n autoritativa. En una combinaci\u00f3n autoritativa, todos los objetos eliminados o modificados se deshacen hasta el momento en que se realiz\u00f3 la copia de seguridad. <\/p>\n<p align=\"justify\">Los objetos que se crearon una vez realizada la la copia de seguridad se replican desde las r\u00e9plicas del naming context. Una combinaci\u00f3n autoritativa representa una combinaci\u00f3n del estado que exist\u00eda cuando se hizo la copia de seguridad con los nuevos objetos creados despu\u00e9s de la copia de seguridad.<\/p>\n<p align=\"justify\">En definitiva, cuando restauramos de forma no autoritativa un naming context que contiene una \u00fanica r\u00e9plica, realmente est\u00e1 realizando una restauraci\u00f3n autoritativa.   <br \/><b>     <br \/><\/b>Ahora, despu\u00e9s de realizar una restauraci\u00f3n autoritativa, podemos eliminar las cuentas de usuario y los grupos a los cuales pertenecen de nuestro Active Directory. Para solucionar este problema, debemos agregar los usuarios restaurados de nuevo a sus grupos. Si necesitamos ayuda con esto pongo un link al final de la nota.<\/p>\n<p align=\"justify\">Una vez restaurados los datos, utilice <font color=\"#ffc000\"><em><strong>Ntdsutil.exe <\/strong><\/em><\/font>para realizar la restauraci\u00f3n autoritativa. El <strong><em><u><font color=\"#ffc000\">procedimiento para realizar una restauraci\u00f3n autoritativa<\/font><\/u><\/em><\/strong> es el siguiente:<\/p>\n<ul>\n<li>\n<div align=\"justify\">Mediante l\u00ednea de comando (<em><strong>cmd.exe<\/strong><\/em>), ejecutamos la herramienta <font color=\"#ffc000\"><em><strong>Ntdsutil.exe <\/strong><\/em><\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Escribimos <font color=\"#ffc000\"><strong><em>activate instance ntds<\/em><\/strong><\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Escribimos <font color=\"#ffc000\"><strong><em>authoritative restore<\/em><\/strong><\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Escribimos <font color=\"#ffc000\"><strong><em>restore database<\/em><\/strong><\/font>, y hacemos clic en <b><font color=\"#ffc000\"><em>OK<\/em><\/font> <\/b>y, a continuaci\u00f3n, haga clic en <font color=\"#ffc000\"><em><strong>Yes<\/strong><\/em><\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore.jpg\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px auto; padding-left: 0px; padding-right: 0px; display: block; float: none; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2010\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2010\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_thumb.jpg\" width=\"544\" height=\"272\" \/><\/a><\/p>\n<p align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_01.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px auto; padding-left: 0px; padding-right: 0px; display: block; float: none; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2010\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2010\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_01_thumb.png\" width=\"344\" height=\"134\" \/><\/a><\/p>\n<p align=\"justify\">Tambi\u00e9n podemos encontrarnos con la necesidad de no restaurar toda la base de datos por completo, debido a las consecuencias que tendr\u00eda la replicaci\u00f3n sobre nuestro dominio o nuestro bosque. Para <u><em><strong><font color=\"#ffc000\">restaurar autoritativamente un sub\u00e1rbol dentro de un bosque<\/font><\/strong><\/em><\/u>, debemos hacer lo siguiente:<\/p>\n<ul>\n<li>\n<div align=\"justify\">Reiniciamos nuestro controlador de dominio; cuando se muestre el men\u00fa Inicio de Windows 2008, debemos seleccionar <strong><font color=\"#ffc000\"><em>Directory Services Restore Mode<\/em><\/font> <\/strong>y presione ENTRAR.        <br \/><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_02.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px auto; padding-left: 0px; padding-right: 0px; display: block; float: none; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2010\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2010\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_02_thumb.png\" width=\"544\" height=\"432\" \/><\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Restauramos los datos a partir del medio de copia de seguridad para una restauraci\u00f3n autoritativa, de la siguiente manera:<\/div>\n<\/li>\n<ul>\n<li>\n<div align=\"justify\">En el Modo Directory Services Restore, hacemos clic inicio y seleccionamos Windows Server Backup<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Hacemos clic en <strong>Asistente para restauraci\u00f3n<\/strong> y, despu\u00e9s, haga clic en <strong>Siguiente<\/strong><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Seleccionamos la ubicaci\u00f3n adecuada de la copia de seguridad y debemos asegurarnos&#160; de que est\u00e9n seleccionados al menos los contenedores <strong>System State <\/strong>y <strong><strong>System Disk<\/strong><\/strong><\/div>\n<\/li>\n<li>\n<div align=\"justify\">Hacemos un clic en <strong>Advanced <\/strong>y seleccionamos <strong>Restore Files to<\/strong>&#160;<strong>Original Location<\/strong>.<\/div>\n<\/li>\n<li>\n<div align=\"justify\">Hacemos clic en <strong>Aceptar<\/strong> y completamos el proceso de restauraci\u00f3n. <\/div>\n<\/li>\n<li>\n<div align=\"justify\">Cuando nos pregunte si deseamos reiniciar el equipo, decimos que no, no lo reiniciamos<\/div>\n<\/li>\n<\/ul>\n<li>\n<div align=\"justify\">Mediante l\u00ednea de comando (<em><strong>cmd.exe<\/strong><\/em>), ejecutamos la herramienta <font color=\"#ffc000\"><em><strong>Ntdsutil.exe <\/strong><\/em><\/font><\/div>\n<\/li>\n<li>Escribimos <font color=\"#ffc000\"><strong><em>activate instance ntds<\/em><\/strong><\/font><\/li>\n<li>Escribimos <font color=\"#ffc000\"><strong><em>authoritative restore<\/em><\/strong><\/font><\/li>\n<li><var>Escribimos <\/var><strong><em><font color=\"#ffc000\">Restore subtree OU=OrganizationUnit,DC=dominio,DC=com,DC=ar <\/font><\/em><\/strong><b>(En este comando, <var>OU<\/var> es el nombre de la unidad organizativa que desea restaurar, <var>dominio<\/var> es el nombre de dominio en el que reside la OU)        <br \/><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_04.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px auto; padding-left: 0px; padding-right: 0px; display: block; float: none; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2010\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2010\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/02c24494cf3f_88D9\/AuthoritativeRestore_04_thumb.png\" width=\"544\" height=\"400\" \/><\/a><\/b><\/li>\n<li>Despu\u00e9s cerramos la consola, saliendo con el comando q; y de la l\u00ednea de comando con exit, y reiniciamos el controlador de dominio.<\/li>\n<\/ul>\n<p align=\"justify\">Espero que les sea de utilidad. Saludos, Roberto Di Lello.<\/p>\n<h2 align=\"justify\">Informaci\u00f3n Adicional:<\/h2>\n<ul>\n<li>\n<div align=\"justify\"><a href=\"http:\/\/support.microsoft.com\/kb\/840001\/\">C\u00f3mo restaurar cuentas <\/a><a href=\"http:\/\/support.microsoft.com\/kb\/840001\/\">de usuario eliminadas y sus pertenencias a grupos en Active Directory<\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/blog\/?p=1005\"><em><strong>Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 1) {ScreenCast}<\/strong><\/em><\/a><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><a href=\"http:\/\/www.radians.com.ar\/blog\/?p=1010\">Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 2) {ScreenCast}<\/a><\/div>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Hace unos d\u00edas recib\u00ed algunas consultas por mail sobre el tema de backup, autoritativo o&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[12,11],"tags":[],"class_list":["post-1104","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2003-r2","category-2008-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1104"}],"version-history":[{"count":0,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1104\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}