{"id":1389,"date":"2011-07-08T16:05:50","date_gmt":"2011-07-08T19:05:50","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1389"},"modified":"2011-07-08T16:05:50","modified_gmt":"2011-07-08T19:05:50","slug":"restaurando-objetos-borrados-de-nuestro-active-directory-utilizando-la-herramienta-ad-dslds-browsing-utility-ldp-exe-tombstone-reanimation-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1389","title":{"rendered":"Restaurando Objetos borrados de nuestro Active Directory, utilizando la herramienta AD DS\/LDS Browsing Utility (LDP.EXE – Tombstone Reanimation) {HowTo}"},"content":{"rendered":"

\"ADRecovery\"<\/a>Hoy vamos a ver otra forma de recuperar objetos borrados de nuestro Active Directory. Como hemos visto a lo largo del blog, sabemos que Active Directory es una base de datos jer\u00e1rquica que almacena informaci\u00f3n acerca de los recursos de la red, tales como computadoras, servidores, usuarios, grupos, permisos y dem\u00e1s. <\/font><\/p>\n

El objetivo principal de Active Directory para proporcionar autenticaci\u00f3n y autorizaci\u00f3n centralizados. Tareas administrativas comunes cuando se trabaja con Active Directory podr\u00edan ser la creaci\u00f3n, gesti\u00f3n, mover, editar y, a veces – la eliminaci\u00f3n – de diversos objetos, tales como cuentas de usuario, cuentas de equipo, grupos, contactos y otros objetos. La base de datos de Active Directory se almacena en los controladores de dominio (o DC), en un archivo llamado NTDS.DIT<\/font>.<\/font><\/p>\n

Obviamente como vimos anteriormente en la nota de <\/font>Recycle Bin, la nueva funcionalidad de Active Directory en Windows Server 2008 R2<\/font><\/a>, con la nueva versi\u00f3n de 2008 podr\u00edamos estar cubiertos ante un error eventual y tambi\u00e9n deber\u00edamos tener un backup de nuestro Active Directory al d\u00eda, por cualquier inconveniente. Tengamos en cuenta que la restauraci\u00f3n de los elementos eliminados de una copia de seguridad del estado del sistema anterior no es tan simple como parece; hay que iniciar nuestro sistema en "Modo de restauraci\u00f3n de DS". Obviamente para Windows Server 2008 R2, se recomienda el uso de Active Directory Recycle Bin. Pero, hay que hacer un restore de todo nuestro AD si borramos por error un objeto y no tenemos el feature de Recycle Bin habilitado, o aun tengo Windows Server 2003 implementado ???<\/font><\/em><\/strong><\/font><\/p>\n

Bueno, no. Tenemos otra opci\u00f3n. En realidad, cuando eliminamos un objeto de Active Directory, no estamos borr\u00e1ndolo de inmediato, sino que marcamos dicho objeto para eliminarlo en un futuro. Active Directory utiliza un modelo de replicaci\u00f3n que se caracteriza por ser "multi-master loose consistency with convergence", entonces se pueden hacer cambios en cualquier DC en el bosque, y los cambios se replicaran gradualmente por toda nuestra arquitectura de domain controllers. <\/font><\/p>\n

Entonces repetimos, cuando se elimina un objeto del directorio, no elimina f\u00edsicamente los objetos de la base de datos. En su lugar, Active Directory marca el objeto como eliminado por valor de atributo isDeleted<\/strong><\/font> del objeto a TRUE<\/strong><\/font>, despojando a la mayor\u00eda de los atributos del objeto, cambiar el nombre del objeto, y despu\u00e9s de mover el objeto a un contenedor especial en el contexto de nombres del objeto (CN) llamado CN = DeletedObjects<\/font>.<\/strong> El objeto, que ahora se llama una tombstone,<\/strong> es invisible para las operaciones de directorio normal.<\/font><\/p>\n

Obviamente, los objetos no se quedan en este contenedor indefinidamente. La duraci\u00f3n de este estado es por defecto es de 60 d\u00edas para los bosques construidos inicialmente utilizando Windows 2000 y Windows Server 2003, y 180 d\u00edas para los bosques que fueron construidos inicialmente con Windows Server 2003 SP1. <\/font><\/p>\n

Tambi\u00e9n podemos cambiar este tiempo de vida en el limbo, cambiando el atributo tombstoneLifetime<\/font> de CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC= object<\/font>.<\/font><\/p>\n

Cada 12 horas, cada controlador de dominio se inicia el proceso de recolecci\u00f3n de basura (garbage collection process). <\/strong>Esto se puede cambiar modificando el valor del atributo garbageCollPeriod<\/font> de la CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC= object<\/font>. Est\u00e1 recolecci\u00f3n de basura analiza todos los Tombstone del DC y se eliminan f\u00edsicamente los que son m\u00e1s antiguos que la fecha de dicho Tombstone.<\/font><\/p>\n

El contenedor  DeletedO<\/font>bjects<\/font> <\/strong>se encuentra oculta y no se puede ver mediante la consola Active Directory Users and Computers o por ADSIEDIT.MSC, pero podemos usar el LDP.EXE<\/font><\/strong>.<\/font><\/p>\n

Lo que vamos a hacer es b\u00e1sicamente borrar un usuario y recuperarlo. En nuestro caso voy a eliminar la cuenta Roberto Di Lello, que tiene el distinguishedName: CN=Roberto Di Lello,OU=IT Department,DC=radians,DC=com,DC=ar<\/strong><\/font>.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-12-31-24\"<\/font><\/a><\/strong><\/p>\n

\"RT_DC2008-2011-07-08-12-30-19\"<\/font><\/a><\/strong><\/p>\n

Borramos este usuario.<\/font>\"Delete01\"<\/font><\/a><\/strong><\/p>\n

\"RT_DC2008-2011-07-08-12-36-08\"<\/font><\/a><\/strong><\/p>\n

Ejecutamos el comando LDP.exe (AD DS\/LDS Browsing Utility<\/font>) como administrador. esta utilidad se encuentra en 2003 en el support tools.<\/font><\/strong><\/p>\n

\"LDP\"<\/font><\/a><\/p>\n

Nos conectamos a nuestro servidor controlador de dominio:<\/font><\/p>\n

\"Delete02\"<\/font><\/a><\/p>\n

\"RT_DC2008-2011-07-08-12-43-45\"<\/font><\/a><\/p>\n

\"RT_DC2008-2011-07-08-12-44-01\"<\/font><\/a><\/p>\n

Hacemos clic en el men\u00fa Connection<\/font>,<\/strong> haga clic en Bind<\/font>,<\/strong> y el tipo de la cuenta de administrador y contrase\u00f1a.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-12-47-48\"<\/font><\/a><\/p>\n

\"RT_DC2008-2011-07-08-12-48-09\"<\/font><\/a><\/p>\n

Haga clic en el men\u00fa Options<\/font>,<\/strong> haga clic en Controls<\/font>, <\/strong>y en el combo Load Predefined<\/font>, seleccionamos Return Deleted Objects<\/strong><\/font>. Esta opci\u00f3n muestra el contenedor de objetos eliminados que se oculta de manera predeterminada.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-12-49-11\"<\/font><\/a><\/p>\n

Hacemos un clic en el men\u00fa View<\/font><\/strong> y seleccionamos Tree<\/font><\/strong>, luego seleccionamos el distinguished name de nuestro dominio. Sobre la izquierda, seleccionamos DC=radians,DC=com,DC=ar<\/strong><\/font>.<\/font><\/p>\n

\"tree\"<\/font><\/a><\/p>\n

Expandimos el contenedor Deleted Objects<\/strong><\/font><\/font>, y buscamos el objeto que corresponde a Roberto Di Lello. Hacemos un clic con el bot\u00f3n derecho sobre la cuenta y seleccionamos Modify<\/font><\/strong>. <\/font><\/p>\n

\"RT_DC2008-2011-07-08-14-18-09\"<\/font><\/a><\/p>\n

\"Modify\"<\/font><\/a><\/p>\n

Aqu\u00ed podemos ver que el valor isDeleted<\/strong><\/font> esta en true<\/strong><\/font>.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-05-44\"<\/font><\/a><\/p>\n

En el cuadro de atributos, ingresamos isDeleted<\/font>.<\/strong> En el cuadro Operation<\/font>, hacemos clic en el radio button Delete<\/font><\/strong> , y luego en el bot\u00f3n Enter<\/font><\/strong>. <\/font><\/p>\n

\"RT_DC2008-2011-07-08-14-35-29\"<\/font><\/a><\/p>\n

En el cuadro Attribute, distinguishedName<\/font><\/strong>, en el cuadro valores, escribimos CN=Roberto Di Lello, OU=IT Department,DC=radians,DC=com,DC=ar<\/font>, que es la ubicaci\u00f3n en donde se encontraba nuestro usuario al momento de eliminarlo. En el cuadro Operation<\/strong><\/font>, hacemos clic en Replace<\/font>,<\/strong> y a continuaci\u00f3n hacemos clic en Enter<\/font><\/strong>. Seleccionamos Extended<\/font><\/strong> para que quede seleccionado, y luego hacemos un clic en Run<\/strong><\/font>.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-22-21\"<\/font><\/a><\/p>\n

Como resultado de este procedimiento no es perfecto al 100% como si lo es recycle bin. Podemos ver que la restauraci\u00f3n de los objetos eliminados con el procedimiento de reanimaci\u00f3n de Tombstone nos recupera la cuenta pero tenemos que tener en cuenta que vamos a tener que reestablecer la contrase\u00f1a y activar la cuenta.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-27-46\"<\/font><\/a><\/p>\n

\"RT_DC2008-2011-07-08-15-27-46\"<\/font><\/a><\/p>\n

En Windows Server 2008, tenemos que primero reemplazar la contrase\u00f1a para despu\u00e9s si, poder habilitar la cuenta.<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-29-58\"<\/font><\/a><\/p>\n

Otra cosa que este procedimiento no hace es traer el resto de los atributos, como podemos ver en el siguiente screenshoot:<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-30-37\"<\/font><\/a><\/p>\n

De esta forma podr\u00e1 acceder a los  recursos compartidos que tenia anteriormente el usuario, solo que debemos completar los datos faltantes, incluyendo su membres\u00eda (los grupos a los que pertenec\u00eda antes de ser eliminado, si es que pertenec\u00eda a alguno).<\/font><\/p>\n

\"RT_DC2008-2011-07-08-15-33-00\"<\/font><\/a><\/p>\n

Si deseamos tener una restauraci\u00f3n exitosa incluidos todos los atributos del usuario, deber\u00edamos considerar al hacer una restauraci\u00f3n autoritativa<\/font><\/strong> desde una backup previo utilizando el modo Active Directory Restore Mode<\/strong><\/font>. Para mas informaci\u00f3n sobre este m\u00e9todo les dejo el link de una nota que escrib\u00ed hace un tiempo sobre Restauraci\u00f3n Autoritativa en la secci\u00f3n de links de esta nota.<\/font><\/p>\n

Espero que les sea de utilidad. Saludos, Roberto Di Lello.<\/font><\/p>\n

Mas Informaci\u00f3n:<\/h2>\n