Copia de Seguridad y Restauración de Active Directory en Windows Server 2008 - 1

Imparten: Gustavo Garca Manzano
Francisco Bermejo Daz

Copia de seguridad y restauracin de Active Directory en
Windows Server 2008

RESUMEN: Copias de seguridad de NT y de Windows Server frente a frente
Herramientas y opciones de copia de seguridad
Herramientas y opciones de restauracin
Claves para una estrategia acertada de copia de seguridad de Active Directory

Es por todos conocido que los Servicios de dominio de Active Directory (ADDS, Active Directory
Domain Services) constituyen un componente crtico en su infraestructura de Windows. Si Active
Directory deja de funcionar, la red es, esencialmente, intil. Como consecuencia, sus planes de
copia de seguridad y restauracin de Active
Directory son fundamentales para la seguridad, la continuidad del negocio y el cumplimiento de las
normas.
Windows Server 2008 aporta numerosas caractersticas nuevas a Active Directory, dos de las
cuales tienen un impacto significativo en sus planes de copia de seguridad y recuperacin: la nueva
utilidad Copias de seguridad de Windows Server y la capacidad de capturar y trabajar con
instantneas del Servicio de instantneas de volumen de Active Directory. En este artculo
describir los cambios que suponen estas mejoras y cmo puede sacar ventaja de estos cambios
para optimizar sus actividades de copia de seguridad de Active Directory.

Copias de seguridad de NT y de Windows Server frente a frente
Configuracin de la directiva de grupo
Copias de seguridad de Windows Server ofrece varias configuraciones de las directivas de grupo
que le proporcionan un control limitado sobre el funcionamiento de las copias de seguridad en sus
servidores. Con estas directivas de copia de seguridad, es posible mitigar algunos de los riesgos
asociados a las personas que llevan a cabo copias de seguridad no autorizadas con el objeto de
obtener acceso a datos no autorizados. Las opciones incluyen:
Permitir slo copia de seguridad del sistema En el caso de configurar esta opcin, Copias de
seguridad de Windows Server slo podr realizar copias de seguridad de los volmenes crticos del
sistema. No puede realizar copias de seguridad del volumen. No permitir como destino de copia de
seguridad un medio de almacenamiento conectado localmente. Si esta configuracin est
habilitada, no se permitirn las copias de seguridad en las unidades conectadas localmente. Slo
puede realizar copias de seguridad en un recurso compartido de red.


No permitir como destino de copia de seguridad una red Esta configuracin no permite la
realizacin de copias de seguridad en ningn recurso compartido de red.
No permitir como destino de copia de seguridad un medio ptico En el caso de configurar esta
opcin, Copias de seguridad de Windows Server no podr realizar copias de seguridad en ningn
dispositivo ptico, por ejemplo, una unidad de DVD grabable.
No permitir copias de seguridad de una sola ejecucin Esta configuracin no permite que
Copias de seguridad de Windows Server ejecute copias de seguridad sin programar, ad hoc. Slo
se podrn ejecutar las copias de seguridad programadas a travs del complemento MMC de
Copias de seguridad de Windows Server.

La Copia de seguridad de NT que ha conocido y que adoraba desde Windows NT 3.5 ya no
existe. Se ha reemplazado con Copias de seguridad de Windows Server. Esta nueva herramienta
no es simplemente una copia de seguridad de NT con adornos; es una tecnologa de copias de
seguridad totalmente nueva que le obligar a replantearse la forma de realizar copias de seguridad
de sus sistemas.
Aunque Copias de seguridad de Windows Server constituye la nica solucin de copia de
seguridad original para Windows Server 2008, no constituye una sustitucin de caracterstica por
caracterstica para Copia de seguridad de NT. La mayor diferencia es que Copias de seguridad de
Windows Server es una solucin de copia de seguridad disco a disco; no es compatible con las
copias de seguridad en cinta. Puede crear imgenes de copia de seguridad en volmenes de disco
directamente conectados, en recursos compartidos de red e, incluso, en unidades de disco duro
USB externas y en DVDs grabables multivolumen. Pero no puede realizar copias de seguridad en
cinta. Para ser claro, an es posible colgar una unidad de cinta en un servidor Windows Server
2008 y copiar las imgenes de copia de seguridad generadas por Copias de seguridad de Windows
Server en la unidad de cinta, pero tendr que usar software de terceros para hacerlo.
Mientras que Copia de seguridad de NT es una herramienta de copia de seguridad y restauracin
basada en archivos, Copias de seguridad de Windows Server se basa en volmenes y bloques.
Copias de seguridad de Windows Server administra el origen de la copia de seguridad como un
conjunto de volmenes, considerando cada volumen como una coleccin de bloques de discos.
Esto es considerablemente ms eficaz que realizar copias de seguridad de los archivos a travs del
sistema de archivos. La administracin de las copias de seguridad basadas en bloques tambin
permite a Copias de seguridad de Windows Server hacer uso de las instantneas del Servicio de
instantneas de volumen para realizar copias de seguridad incrementales a nivel de bloque, as
como crear instantneas en el volumen de destino para simplificar el uso de (y reducir el espacio
usado por) varias copias de seguridad.
Incluso si realiza copias de seguridad completas, Copias de seguridad de Windows Server ofrece
una gran eficiencia de espacio en los discos de destino. Por ejemplo, puede realizar varias copias


de seguridad completas del mismo volumen. Puesto que Copias de seguridad de Windows Server
usa instantneas del Servicio de instantneas de volumen en los discos de destino donde
almacena las imgenes de copia de seguridad, las instantneas slo almacenarn los bloques que
han cambiado. Esto reduce sustancialmente el espacio usado por varias copias de seguridad
completas y elimina la necesidad de realizar varias operaciones de restauracin para recuperar un
copia de seguridad incremental. Aunque la instantnea slo almacena los deltas de cada copia de
seguridad, el Servicio de instantneas de volumen hace aparecer completa cada una de las copias
de seguridad.
No obstante, debe tener en cuenta que slo obtiene los beneficios del Servicio de instantneas de
volumen en el destino si realiza una copia de seguridad en una unidad de disco duro local, Copias
de seguridad de Windows Server no puede llevar a cabo las operaciones del Servicio de
instantneas de volumen en las copias de seguridad almacenadas en un DVD o en recursos
compartidos de red.
Como beneficio extra, Copias de seguridad de Windows Server almacena sus imgenes de copia
de seguridad en el formato de disco duro virtual (VHD) de Microsoft. De hecho, puede capturar
una imagen de copia de seguridad y montarla como un volumen en un equipo virtual que se ejecuta
bajo Microsoft Virtual Server 2005. Puede, simplemente, montar los VHD en un equipo virtual y
buscar un archivo en particular en lugar de tener que llevar a cabo restauraciones de prueba de las
cintas para ver cul de ellas hospeda el archivo. (Un nota de advertencia: no puede capturar una
imagen de copia de seguridad y arrancar un equipo virtual a partir de la misma. Puesto que la
configuracin del hardware del que se ha realizado copia de seguridad no se corresponde con la
configuracin del equipo virtual, no puede usar Copias de seguridad de Windows Server como una
herramienta de migracin fsica a virtual).
Existe una desventaja en el enfoque de los volmenes y bloques de Copias de seguridad de
Windows Server. Puesto que esta nueva herramienta considera el origen de la copia de seguridad
como un conjunto de volmenes y bloques, no le permite realizar nicamente copias de seguridad
de archivos seleccionados. Tiene que realizar copia de seguridad de todo el volumen. Y lo que es
an ms problemtico, de forma predeterminada, no es posible almacenar una imagen de la copia
de seguridad en uno de los volmenes de los que se realiza la copia de seguridad (existen algunas
maneras de solucionar esto; consulte support.microsoft.com/kb/944530). Esto tiene profundas
implicaciones en la copia de seguridad de estado del sistema, lo cual tratar ms adelante en este
artculo.

Instalacin de Copias de seguridad de Windows Server
Copias de seguridad de Windows Server es una "caracterstica" de Windows Server 2008 y no est
instalada de forma predeterminada. Antes de poder realizar una copia de seguridad con Copias de


seguridad de Windows Server, debe instalar la caracterstica, mediante el Administrador de
servidores o mediante la utilidad de lnea de comandos SERVERMANAGERCMD:

Copiar cdigo C:\> servermanagercmd -install Backup-Features
Copias de seguridad de Windows Server consta de dos subcaractersticas: Copias de seguridad de
Windows Server y las Herramientas de lnea de comandos. Tenga en cuenta que las Herramientas
de lnea de comandos se refieren a un conjunto de cmdlets de Windows PowerShellTM, no a la
herramienta de lnea de comandos WBADMIN.EXE. Por lo tanto, si elige instalar ambas
subcaractersticas, debe instalar la caracterstica de Windows PowerShell.
Tras instalar Copias de seguridad de Windows Server, puede encontrar el complemento Microsoft
Management Console (MMC) bajo el nodo Almacenamiento en el Administrador de servidores y en
el men Herramientas administrativas. Si instala Copias de seguridad de Windows Server en una
instalacin Server Core de Windows Server 2008, use el comando OCSETUP (es importante tener
en cuenta que el comando OCSETUP distingue maysculas de minsculas).

Copiar cdigo C:\> ocsetup WindowsServerBackup
Hay disponible una descripcin completa del proceso de instalacin en
go.microsoft.com/fwlink/?LinkId=113146.
Tenga en cuenta que Copias de seguridad de Windows Server no puede restaurar las imgenes
creadas con Copia de seguridad de NT. Para este escenario poco probable, Microsoft ha puesto a
su disposicin una versin descargable de Copia de seguridad de NT para Windows Server 2008
(consulte go.microsoft.com/fwlink/?LinkId=113147).

Componentes de Copias de seguridad de Windows Server
La manera en la que se ha diseado la aplicacin Copias de seguridad de Windows Server
representa un cambio considerable. Esta nueva solucin de copia de seguridad consta de cuatro
componentes:

La interfaz de usuario de MMC (WBADMIN.MCS)
La interfaz de lnea de comandos(WBADMIN.EXE)
El servicio de copias de seguridad (WBENGINE.EXE)
El conjunto de cmdlets de Windows PowerShell

La divisin de la aplicacin en un cliente y en un servicio tiene numerosas ventajas, la ms
importante es el aumento de la confiabilidad. Tanto si inicia una copia de seguridad desde el cliente
MMC o desde la interfaz de lnea de comandos, el servicio WBENGINE realizar el trabajo pesado.
Los programas cliente dan a conocer el estado de la copia de seguridad. De este modo, provocar el


fin del cliente no resultar en una copia de seguridad a medio hacer. El cliente se detendr y el
servicio continuar hasta la finalizacin. Por supuesto, si realmente desea detener la copia de
seguridad, puede hacerlo, pero debe hacerlo de forma explcita.
La otra ventaja de esta arquitectura dividida es que puede usar el cliente para administrar las
copias de seguridad en equipos remotos. Esto es especialmente prctico si tiene que realizar
copias de seguridad de los equipos principales de Windows Server 2008.
Copias de seguridad de Windows Server es compatible con las restauraciones completas gracias al
Entorno de recuperacin de Windows, o WinRE, que forma parte de los medios de instalacin de
Windows Server 2008. WinRE simplifica el proceso de restauracin de un servidor desde cero.
Tratar ms adelante en este artculo la realizacin de una restauracin completa. Vale la pena
mencionar que Copias de seguridad de Windows Server es compatible con varias configuraciones
de directiva de grupo para administrar copias de seguridad, stas se describen en la barra lateral
"Configuracin de la directiva de grupo".

Servicio de instantneas de volumen
Copias de seguridad de Windows Server usa el Servicio de instantneas de volumen de tres
maneras diferentes. Al iniciar una copia de seguridad completa en Windows Server 2008, lo que
hace la aplicacin, en primer lugar, es llevar a cabo una instantnea de todos los volmenes de
origen. Al hacer esto se consigue una vista coherente del sistema de archivos con el que podr
trabajar el software de copia de seguridad. Esto es similar a lo que realiza Copia de seguridad de
NT. Copias de seguridad de Windows Server copia, a continuacin, los bloques del volumen de
origen, bloque por bloque, en el destino de la copia de seguridad, creando una imagen de VHD
para cada volumen del que se ha realizado una copia de seguridad durante el proceso.
A menos que lo especifique de otro modo, Copias de seguridad de Windows Server crea tambin
una instantnea del volumen de origen para que el Servicio de instantneas de volumen efecte el
seguimiento de todos los bloques que se hayan cambiado en el volumen. Esto permite a Copias de
seguridad de Windows Server crear copias de seguridad incrementales a nivel de bloque que slo
requieren la lectura de los bloques cambiados del volumen de origen. En lugar de leer y escribir un
archivo completo por haber cambiado un solo bit en el archivo, Copias de seguridad de Windows
Server puede leer y escribir slo el bloque que se ha cambiado.
Esto favorece la creacin de copias de seguridad incrementales muy efectivas, en detrimento de
una E/S de disco adicional para operaciones de escritura en el volumen de origen. En el caso de
realizar la copia de seguridad de un volumen de gran actividad o de rendimiento crtico, debe
deshabilitar la instantnea del Servicio de instantneas de volumen en el volumen de origen
seleccionando el vnculo Configurar opciones de rendimiento y, a continuacin, deshabilitando las
copias de seguridad incrementales en ese volumen (tal como se muestra en la Figura 1).


Figura 1 Deshabilitacin de las copias de seguridad incrementales en volmenes de gran
actividad (Hacer clic en la imagen para ampliarla)
Una vez se ha completado la copia de seguridad, Copias de seguridad de Windows Server captura
una instantnea del volumen de destino (siempre que lleve a cabo la copia de seguridad en un
disco duro local conectado). Los archivos VHD de destino se sobrescriben durante la siguiente
copia de seguridad. Pero puesto que el Servicio de instantneas de volumen mantiene
instantneas del volumen de destino, existen, en efecto, varias versiones de cada archivo VHD
correspondiente a cada una de las copias de seguridad completas. Fundamentalmente, lo que
obtiene son varias copias de seguridad completas por el mismo esfuerzo de una nica copia de
seguridad completa y los bloques cambiados.

Realizacin de copias de seguridad en recursos compartidos de red
La realizacin de una copia de seguridad en un recurso compartido de red es, simplemente, tan
sencilla como la realizacin de una copia de seguridad en un volumen local. La diferencia ms
significativa es que no puede crear una instantnea del Servicio de instantneas de volumen del
volumen remoto. Por lo tanto, cada copia de seguridad completa sobrescribir la anterior, lo cual
deja a su disposicin, nicamente, la ltima imagen de la copia de seguridad completa de cada
servidor en ese recurso compartido de red. Debido a esta limitacin, no puede usar el programador
de Copias de seguridad de Windows Server para programar copias de seguridad en un recurso
compartido de red. Puede, sin embargo, usar el Programador de tareas de Windows para ejecutar


el programa de lnea de comandos WBADMIN para que lleve a cabo copias de seguridad
completas en un recurso compartido de red. Si desea programar copias de seguridad completas en
un recurso compartido de red de este modo, cambie la carpeta de destino para cada copia de
seguridad y evite as sobrescribir las anteriores copias de seguridad.

Realizacin de copias de seguridad en DVDs grabables
Copias de seguridad de Windows Server es tambin compatible con la realizacin de copias de
seguridad en medios pticos, por ejemplo, DVDs grabables. Adems, puede crear conjuntos de
copias de seguridad que abarquen, asimismo, varios volmenes. Copias de seguridad de Windows
Server siempre comprime las copias de seguridad en DVDs, lo cual significa que slo puede llevar
a cabo la restauracin completa del sistema o del volumen desde un DVD. Copias de seguridad de
Windows Server no es compatible con las copias de seguridad y restauraciones de estado del
sistema o a nivel de archivos cuando se usan DVDs. No es posible, tampoco, programar copias de
seguridad en un DVD.

Copias de seguridad y restauraciones de estado del sistema
Las copias de seguridad de estado del sistema, que incluyen nicamente archivos seleccionados y
algunas bases de datos de la aplicacin (en lugar de volmenes completos) son sencillas y, con
frecuencia, esenciales. Sin embargo, las primeras compilaciones de Windows Server 2008 no eran
compatibles con las copias de seguridad y restauraciones de estado del sistema. En su lugar, la
herramienta de copia de seguridad realizaba, simplemente, copias de seguridad de los volmenes
crticos del sistema (lo cual implicaba cualquier volumen necesario para recuperar y reiniciar el
sistema operativo y aplicaciones clave). Estos volmenes crticos del sistema suponan el
equivalente, orientado al volumen, de una copia de seguridad de estado del sistema.
Basndose en los comentarios de algunos clientes, Microsoft agreg capacidades de copia de
seguridad y restauracin de estado del sistema a Copias de seguridad de Windows Server. La
aplicacin crea varios archivos VHD, uno para cada volumen que hospeda los datos de estado del
sistema, pero slo copia los archivos y bases de datos necesarias en los VHD. Otro problema es
que cuando realiza una copia de seguridad de estado del sistema, Copias de seguridad de
Windows Server no crea una instantnea del volumen de destino, tal como se hace en el proceso
de copia de seguridad normal. En su lugar, cada copia de seguridad de estado del sistema genera
un conjunto completamente nuevo de archivos VHD, lo cual significa que no es posible obtener la
eficacia de espacio que se consigue con las copias de seguridad de volumen basadas en
instantneas.
Slo puede realizar una copia de seguridad de estado del sistema mediante el programa de lnea
de comandos WBADMIN.EXE, el complemento MMC no ofrece esta opcin. Para realizar un copia
de seguridad de estado del sistema, use este comando:


Copiar cdigo C:\> wbadmin start systemstatebackupbackuptarget:e:
WBADMIN realizar, a continuacin, copias de seguridad de los archivos crticos del sistema y de
las bases de datos de la aplicacin en el volumen de destino, en una carpeta reservada para
copias de seguridad de estado del sistema. La copia de seguridad de estado del sistema en un
controlador de dominio (DC) de Windows Server 2008 de 32 bits con un rbol de informacin del
directorio (DIT) predeterminado se ejecuta en poco ms de 6 GB, lo cual supone 5 GB ms que en
Windows Server 2003 debido, en parte, al hecho de que Copias de seguridad de Windows Server
captura los archivos principales del sistema operativo que no fueron capturados por la Copia de
seguridad de NT.
El tiempo necesario para realizar copias de seguridad de estado del sistema es tambin mayor, tal
como cabra esperar. Estas cifras iniciales, por supuesto, se basan en una versin preliminar del
sistema operativo. Necesitar, con seguridad, probar esto en su propio entorno, pero es probable
que necesite llevar a cabo la planeacin de copias de seguridad de estado del sistema de mayor
tamao (y mayor duracin de la realizacin de la copia de seguridad) cuando mueva sus
controladores de dominio a Windows Server 2008.

Realizacin de copias de seguridad de un servidor con MMC
Al ejecutar la MMC de Copias de seguridad de Windows Server (consulte la Figura 2), tiene la
opcin de configurar un programa de copia de seguridad o de ejecutar inmediatamente una copia
de seguridad ad hoc. En este caso, selecciono Copia de seguridad una vez para llevar a cabo una
copia de seguridad inmediata.

Figura 2 MMC de Copias de seguridad de Windows Server (Hacer clic en la imagen para
ampliarla)
Tal como puede ver en la Figura 3, puedo elegir si realizar copias de seguridad de todos los
volmenes en el servidor o slo de los volmenes especficos que elijo. Si selecciono Servidor
completo, Copias de seguridad de Windows Server realizar copias de seguridad de todos los


volmenes montados, pero no tendr la opcin de realizar copias de seguridad en una unidad de
disco duro montada, en su lugar, tendr que realizar copias de seguridad en un DVD grabable o en
un recurso compartido de red.

Figura 3 Uso del cuadro de dilogo de configuracin de la copia de seguridad para
especificar todos o los volmenes seleccionados (Hacer clic en la imagen para ampliarla)
En este ejemplo, deseo realizar la copia de seguridad en una unidad de disco duro local, por lo que
selecciono la opcin Personalizar. A continuacin, un cuadro de dilogo me permite seleccionar los
volmenes a los que realizar la copia de seguridad (consulte la Figura 4). De forma
predeterminada, Copias de seguridad de Windows Server marca la casilla de recuperacin del
sistema Habilitar, lo cual provoca, a su vez, que Copias de seguridad de Windows Server
seleccione el volumen de arranque, el volumen de sistema operativo y cualquier otro volumen con
archivos crticos del sistema y bases de datos de la aplicacin. En un DC, esto incluye los
volmenes que hospedan SYSVOL, el DIT de Active Directory y los registros de Active Directory.
Esto es el equivalente de una copia de seguridad de estado del sistema pero realiza copias de
seguridad de todos los volmenes crticos, no slo de los archivos crticos en dichos volmenes.
De hecho, incluso cuento con la capacidad de realizar una restauracin de estado del sistema
desde un conjunto de copias de seguridad de restauracin del sistema.


Figura 4 Seleccin de volmenes especficos a los que realizar una copia de
seguridad (Hacer clic en la imagen para ampliarla)
Tras seleccionar el tipo de destino (unidad local o recurso compartido de red) y especificar el
destino, Copias de seguridad de Windows Server me solicita seleccionar una copia de seguridad
"de copia de VSS" o una copia de seguridad "completa de VSS". La terminologa es un poco
confusa, puesto que ambas opciones realizarn la copia de seguridad de los volmenes
seleccionados en su totalidad. La diferencia radica en la manera en la que Copias de seguridad de
Windows Server administra los archivos de origen una vez se les ha realizado una copia de
seguridad. Si selecciona la opcin de copia, Copias de seguridad de Windows Server abandonar
los archivos de la copia de seguridad. Si elige la opcin de copia completa, Copias de seguridad de
Windows Server restablecer, a continuacin, el archivo.

Realizacin de copias de seguridad a un servidor desde la lnea de comandos
Si desea redactar scripts del proceso de copia de seguridad, o si realiza copias de seguridad de un
servidor en una instalacin Server Core, puede usar el programa de lnea de comandos
WBADMIN.EXE. WBADMIN ofrece un conjunto completo de opciones que realizan, esencialmente,
las mismas funciones que el complemento MMC, incluida la administracin de los programas de
copia de seguridad.
Suponga que deseo reiniciar el servicio WBENGINE, que realizar, a cambio, el proceso de copia
de seguridad. Todo lo que hago es escribir este comando:

Copiar cdigo C:\> wbadmin start backup include:c:,d:backuptarget:e:
O para realizar copias de seguridad de todos los volmenes crticos del sistema, puedo especificar
este comando:


Copiar cdigo C:\> wbadmin start backup -allcriticalbackuptarget:e:
Despus de iniciar la copia de seguridad, WBADMIN contina ejecutndose y muestra el progreso
de la copia de seguridad. Si finalizo WBADMIN, la copia de seguridad continuar en segundo
plano. A continuacin, puedo volver a conectar WBADMIN a una copia de seguridad en ejecucin
usando este comando:

Copiar cdigo C:\> wbadmin get status
Y si deseo finalizar una copia de seguridad en ejecucin, simplemente introduzco esto:

Copiar cdigo C:\> wbadmin stop job

Programacin de copias de seguridad con MMC
El programador de copias de seguridad que se incluye con Copias de seguridad de Windows
Server en realidad est diseado para hacer una cosa: simplificar la programacin de las copias de
seguridad de todo el sistema en un volumen de disco local. Puede usar el programador integrado
para rotar automticamente las copias de seguridad entre varios volmenes de destino. Si dispone
de unidades de disco duro fcilmente extrables (o si est usando discos duros conectados por
USB), puede usar esta caracterstica para configurar un esquema de rotacin en el cual puede
eliminar el disco de la copia de seguridad y almacenarlo de forma externa para, a continuacin,
devolver el anterior disco de la copia de seguridad al servidor para la siguiente copia de seguridad
programada.
El programador de Copias de seguridad de Windows Server slo le permite programar copias de
seguridad que se realicen siempre diariamente. No es posible, de ningn modo, programar copias
de seguridad para, por ejemplo, los lunes, los mircoles y los viernes. Por lo tanto, si no desea
ejecutar sus copias de seguridad programadas diariamente, tendr que trabajar directamente con
el Programador de tareas de Windows.
Al configurar una copia de seguridad programada en un disco local, Copias de seguridad de
Windows Server se hace responsable del disco, formatendolo, configurando una estructura de
carpetas especfica y haciendo invisible el disco de destino para el Explorador de Windows. El
disco de destino debe ser un volumen bsico, Copias de seguridad de Windows Server no puede
realizar copias de seguridad en discos configurados como volmenes dinmicos.
La programacin de las copias de seguridad a travs del complemento MMC es muy sencilla. En
este ejemplo, selecciono, en primer lugar, el vnculo Programacin de copia de seguridad,
especifico el tipo de copia de seguridad y los volmenes a los que realizar copias de seguridad y, a
continuacin, Copias de seguridad de Windows Server muestra el cuadro de dilogo "Especificar
hora de la copia de seguridad" (consulte la Figura 5).


Figura 5 Definicin de la hora a la que deben ocurrir las copias de seguridad diarias (Hacer
clic en la imagen para ampliarla)
Tras seleccionar las horas a las que deseo que ocurran las copias de seguridad, puedo seleccionar
el volumen (o los volmenes) a los que deseo realizar la copia de seguridad. En este caso,
selecciono el volumen de copia de seguridad E:, tal como se muestra en la Figura 6. Copias de
seguridad de Windows Server intenta seleccionar un volumen de destino apropiado, pero en el
caso de que el disco del que desea realizar la copia de seguridad no aparezca, puede usar el botn
Mostrar todos los discos disponibles para ver todos dispositivos de disco conectados. Tras pasar
por un par de cuadros de dilogo "Confirmar", Copias de seguridad de Windows Server da formato
al volumen o volmenes de destino y programa la tarea de copia de seguridad mediante el
Programador de tareas de Windows.


Figura 6 Especificacin del disco de destino para una copia de seguridad programada (Hacer
clic en la imagen para ampliarla)
Cada vez que se lleva a cabo una copia de seguridad programada, Copias de seguridad de
Windows Server captura una instantnea del volumen de destino. Y cada siete das, crea una
nueva imagen de base. La actividad se registra en el registro Microsoft, Backup u Operational. Aqu
puede comprobar si las copias de seguridad se llevaron a cabo correctamente, tambin puede
asociar una tarea, como el envo de un mensaje de correo electrnico, con los eventos correctos o
con error para saber siempre el estado de sus copias de seguridad programadas.

Programacin de las copias de seguridad desde la lnea de comandos
Si programa las copias de seguridad en una instalacin Server Core o simplemente desea redactar
los scripts del proceso, puede administrar el programa de copias de seguridad mediante la lnea de
comandos WBADMIN. Para agregar una copia de seguridad programada, debe usar el comando
WBADMIN ENABLE BACKUP, especificando el destino, origen y hora programada, de este modo:

Copiar cdigo C:\> wbadmin enable backup addtarget:e:-include:c:,d: -schedule:06:00,12:00,18:00
Este comando realizara la copia de seguridad de las unidades C: y D: en la unidad E: tres veces al
da, a las 6:00 a.m, 12:00 p.m. y 18:00 p.m. (tenga en cuenta que todas las horas se especifican
mediante un reloj de 24 horas). Para realizar copias de seguridad a todos los volmenes crticos
del sistema (desde los cuales puede llevar a cabo una restauracin completa o una restauracin de
estado del sistema), sustituya el marcador include por allcritical.
Puede usar tambin WBADMIN para deshabilitar todas las copias de seguridad programadas, de
este modo:

Copiar cdigo
C:\> wbadmin disable backup
Este comando eliminar todos los trabajos de copia de seguridad programados creados por el
programador de Copias de seguridad de Windows Server y liberar todos los volmenes de destino
de la copia de seguridad para un uso normal. Tenga en cuenta que siempre puede usar el
complemento MMC de WBADMIN para administrar de forma remota las actividades de copia de
seguridad y restauracin de servidores Server Core.

Restauracin completa de un controlador de dominio
Una de las mejoras ms significativas en el entorno de las copias de seguridad y restauracin es
como WinRE se ha integrado en el proceso de instalacin. Al arrancar Windows Server 2008 desde
los medios de instalacin, puede elegir la opcin Reparar el equipo, tal como se muestra en la
Figura 7. Sealo esto en concreto ya que es muy fcil pasarlo por alto si no lo busca directamente.


Figura 7 La opcin Reparar el equipo est disponible en la pantalla de instalacin (Hacer clic
en la imagen para ampliarla)
Tras seleccionar la opcin de reparacin en la pantalla de instalacin, Windows me permite
seleccionar una opcin de restauracin, tal como se muestra en la Figura 8. En este caso,
selecciono Restauracin de Windows Complete PC, que invoca el Entorno de recuperacin de
Windows.

Figura 8 Especificacin de las opciones de restauracin del sistema (Hacer clic en la imagen
para ampliarla)
Una vez selecciona el sistema operativo que desea reparar (normalmente slo hay una opcin),
WinRE le permite seleccionar la copia de seguridad desde la que desea realizar la restauracin. De
forma predeterminada, WinRE selecciona la copia de seguridad de sistema completa ms reciente,
aunque puede especificar otras copias de seguridad almacenadas en discos locales o buscar en la
red copias de seguridad que se almacenan en recursos compartidos de archivos en otros
servidores.
En mi ejemplo, selecciono la copia de seguridad de sistema completa ms reciente. El dilogo
siguiente (mostrado en la Figura 9) me permite dar formato y volver a realizar la particin de todos


los discos antes de que sean restaurados. Esto constituye una opcin apropiada si el problema del
que se est recuperando tuvo su origen en alguna clase de error en el disco o por haber sustituido
una o ms unidades de disco en el servidor.

Figura 9 Puede dar formato y volver a realizar la particin de los discos fcilmente antes de
que sean restaurados (Hacer clic en la imagen para ampliarla)
Tras un par de cuadros de dilogo de confirmacin, WinRE inicia el proceso de restauracin y el
servidor se vuelve a arrancar. De esta manera es posible llevar a cabo, sin problemas, una
restauracin completa en un servidor.

Restauracin de estado del sistema de un controlador de dominio
Si necesita recuperarse de algn tipo de problema relacionado con Active Directory, como la
recuperacin de una unidad organizativa eliminada desde una copia de seguridad, debera
restaurar la base de datos de Servicios de dominio de Active Directory (ADDS) a un estado
anterior, en lugar de restaurar todo el sistema. Aunque es posible detener ADDS como un servicio
en Windows Server 2008, necesitar arrancar el servidor en el Modo de restauracin de servicios
de directorio (DSRM, Directory Services Restore Mode) para realizar una restauracin de estado
del sistema en un controlador de dominio.
El cambio de las opciones de arranque para que Windows Server 2008 arranque en DSRM no es
tan fcil como sola ser. Todo el entorno de arranque de Windows se ha rediseado para que sea
compatible con la nueva Extensible Firmware Interface (EFI) y el archivo boot.ini de la vieja escuela
ya no existe. En su lugar, Windows Server 2008 usa datos de configuracin de arranque (BCD,
Boot Configuration Data) para controlar el proceso de arranque.
La manera ms sencilla de administrar los BCD es usar el programa de lnea de comandos
BCDEDIT. Una explicacin que abarcara todos los comandos y opciones BCDEDIT requerira, por
su extensin, un solo artculo, por lo que aqu mostrar simplemente algunos ejemplos tiles.
Para reiniciar un DC en Windows Server 2008 como un DSRM, use el siguiente comando:


Copiar cdigo C:\> bcdedit /set safeboot dsrepair
Esto configurar la opcin de arranque seguro para la entrada del cargador de arranque
predeterminado. En una instalacin de Windows Server 2008 actualizada, slo hay una entrada del
cargador de arranque, WINLOAD.EXE. Para eliminar la opcin de arranque seguro y reiniciar en
modo normal, use este comando:

Copiar cdigo C:\> bcdedit /deletevalue safeboot
Con el objeto de facilitarle la labor, puede configurar dos entradas del cargador de arranque en sus
DC, una para un arranque normal y otra para un arranque desde el DSRM. De este modo, puede
cambiar las opciones de arranque usando el cuadro de dilogo de configuracin Inicio y
recuperacin disponible en Configuracin del sistema. Para agregar una nueva entrada del
cargador de arranque, use este comando:

Copiar cdigo C:\> bcdedit /copy {default}/d "Directory Service Repair Mode"
Esta accin crear una nueva entrada del cargador de arranque copiando la entrada
predeterminada del cargador de arranque. BCDEDIT mostrar algo as:

Copiar cdigo The entry was successfully copied to{c50d4710-a1f0-11dc-9580-0003ff402ae9}.
El GUID identifica la entrada nueva. A continuacin, use este comando para configurar la opcin de
arranque seguro para la nueva entrada del cargador de arranque en los BCD:

Copiar cdigo C:\> bcdedit /set {<GUID for new entry>}safeboot dsrepair
Ahora puede cambiar desde el modo de arranque normal al modo de arranque de DSRM mediante
la configuracin Inicio y recuperacin (consulte la Figura 10).


Figura 10 Deshabilitacin de las copias de seguridad incrementales en volmenes de gran
actividad
Antes de que use WBADMIN para iniciar una restauracin de estado del sistema, debe identificar la
copia de seguridad desde la que desea realizar la restauracin. WBADMIN puede realizar una
restauracin de estado del sistema desde una copia de seguridad de todo el sistema, una copia de
seguridad que contiene nicamente los volmenes de sistema crticos o una copia de seguridad de
estado del sistema. En cualquiera de estos casos, debe especificar la versin de la copia de
seguridad que desea usar. La manera ms fcil de identificar las versiones de copia de seguridad
que estn disponibles es usar el siguiente comando WBADMIN:

Copiar cdigo C:\> wbadmin get versions
WBADMIN mostrar, a continuacin, las versiones de la copia de seguridad en un formulario similar
a la informacin mostrada en la Figura 11. Tenga en cuenta que cada copia de seguridad tiene una
hora de copia de seguridad, un destino de copia de seguridad, un identificador de versin (que, a
propsito, es la hora y la fecha a la que se inici la copia de seguridad en hora UMT) y una lista de
los tipos de operaciones de recuperacin compatibles con la copia de seguridad.
Figure 11 Identifique las copias de seguridad disponibles para la recuperacin

Copiar cdigo wbadmin 1.0 - Backup command-line tool(C) Copyright 2004 Microsoft Corp.
Backup time: 11/30/2007 3:47 PM


Backup target: Fixed Disk labeled E:
Version identifier: 11/30/2007-22:47
Can Recover: Application(s), System State
Backup time: 12/1/2007 10:46 PM
Backup target: Fixed Disk labeled Backup(E:)
Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State
Backup time: 12/2/2007 5:58 PM
Backup target: Fixed Disk labeled Backup(E:)
Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State
Backup time: 12/3/2007 11:25 AM
Backup target: Fixed Disk labeled E:
Can Recover: Application(s), System State
En este caso, selecciono la copia de seguridad ms reciente e inicio la restauracin de estado del
sistema con este comando WBADMIN:

Copiar cdigo C:\> wbadmin start systemstaterecoveryversion:12/03/2007-18:25
Esto realizar una restauracin no autoritativa. Si desea realizar una restauracin autoritativa de
SYSVOL, puede marcar simplemente la rplica restaurada de SYSVOL como autoritativa
agregando la opcin authsysvol al comando WBADMIN. Para obtener ms informacin acerca de
este proceso, consulte go.microsoft.com/fwlink/?LinkId=113152.

Captura de instantneas de Active Directory
Uno de los cambios ms significativos en trminos de copia de seguridad para Active Directory no
tiene nada que ver con Copias de seguridad de Windows Server. En Windows Server 2008, puede
aprovechar el hecho de que Active Directory proporcione instantneas del Servicio de instantneas
de volumen. Estas instantneas son muy ligeras, copias de seguridad puntuales del servicio en
ejecucin de Active Directory. Y lo mejor, slo tardan unos instantes en crearse. A continuacin,
puede montar estas instantneas y obtener acceso a las mismas gracias a utilidades normales
basadas en LDAP, como la herramienta LDP.
Debe capturar las instantneas de ADDS o de Active Directory Lightweight Directory Services
(ADLDS) mediante el comando NTDSUTIL, tal como se muestra aqu:

Copiar cdigo ntdsutil: snapshot
snapshot: activate instance ntds


Active instance set to "ntds".
snapshot: create
Creating snapshot...
Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
snapshot: quit
ntdsutil: quit
Esta secuencia de comandos NTDSUTIL crea una instantnea del Servicio de instantneas de
volumen de los volmenes que contienen el DIT de Active Directory, los registros y SYSVOL.
Aunque Active Directory an se somete a actualizaciones, el Servicio de instantneas de volumen
usa una estrategia de copia por escritura para asegurarse de que las instantneas que ha
capturado se mantienen de manera adecuada. Tenga en cuenta que las instantneas no son una
copia completa del DIT. Son simplemente una coleccin de bloques de disco en el DIT que se han
modificado desde que la instantnea fue capturada. Al combinar estos bloques con la copia actual
del DIT, VSS puede presentar el DIT de Active Directory tal como apareci en el momento de la
instantnea. La Figura 12 muestra cmo eliminar las instantneas anteriores o innecesarias.
Figure 12 Elimine las instantneas innecesarias

Copiar cdigo C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: delete 1
snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as
C:\$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\>

Montaje de las instantneas de Active Directory
Con el objeto de usar una de estas instantneas, debe indicar, en primer lugar, al Servicio de
instantneas de volumen que ponga la instantnea a disposicin del sistema de archivos. Esto se
consigue usando el comando ntdsutil para indicar las instantneas disponibles y, a continuacin,
montar la instantnea en la que est interesado (consulte la Figura 13).


Figure 13 Uso de ntdsutil para montar una instantnea

Copiar cdigo C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: mount 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as
C:\$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\>
El comando "list all" indica todas las instantneas disponibles de Active Directory mantenidas
actualmente por el Servicio de instantneas de volumen. El comando "mount 1" monta las
instantneas seleccionadas del DIT de Active Directory, registra los volmenes y los hace
disponibles en el sistema de archivos. stos se encuentran en
C:\$SNAP_200712032318_VOLUMEC$\ y C:\$SNAP_200712032318_VOLUMED$\.
Si busca en estas carpetas, ver todo el contenido de estos volmenes tal como estaban cuando la
instantnea fue capturada. Tenga en cuenta, no obstante, que las instantneas montadas son de
slo lectura, lo cual significa que no es posible modificar ninguno de los archivos de la instantnea
montada.

Recuperacin de datos de las instantneas de Active Directory
La tarea de montar las instantneas de los volmenes que contiene Active Directory podra parecer
magia. Cmo es posible llegar a los datos de Active Directory contenidos en estas instantneas?
El secreto es el comando DSAMAIN. Se trata del archivo ejecutable que ejecuta ADLDS. Es
esencialmente un servidor LDAP independiente que comparte casi todo su cdigo con ADDS.
Puede usar DSAMAIN para hacer que las instantneas montadas se parezcan a un servidor LDAP
de slo lectura que contiene los datos de Active Directory tal como estaban en el momento en el
cual la instantnea fue capturada.
Tenga en cuenta esta comando:

Copiar cdigo C:\> dsamain dbpath


c:\$snap_200712032318_volumed$\ntds\dit
\ntds.dit -ldapport 10000
Esto monta el archivo ntds.dit ubicado en la carpeta c:\$snap_200712032318_volumed$\ntds\dit y
lo hace disponible para las operaciones LDAP en el puerto TCP 10000 (o en cualquier puerto
abierto que especifique). DSAMAIN abrir el puerto LDAPS (el puerto que se usa para LDAP sobre
Capa de sockets seguros) en el puerto que ha especificado ms uno (en este caso, 10001), el
puerto GC (el puerto que se usa para las conexiones de catlogo global) en el puerto que ha
especificado ms dos (10002) y el puerto GCS (catlogo global sobre Capa de sockets seguros) en
el puerto que ha especificado ms tres (10003).
Puede usar cualquier programa LDAP (como LDP) para obtener acceso al DIT montado en el
puerto especificado. Pero en Windows Server 2008, Usuarios y equipos de Active Directory (ADUC,
Active Directory Users and Computers), Sitios y servicios y Dominios y confianzas, as como
ADSIEDIT, se han modificado para permitirle conectarlos a un DIT montado mediante DSAMAIN. Si
hace clic con el botn secundario en el nodo de nivel superior en el panel de navegacin de
cualquier ADUC y selecciona Cambiar el controlador de dominio, ver el cuadro de dilogo
mostrado en la Figura 14. Si escribe simplemente el nombre o direccin IP del servidor que
hospeda la instantnea montada, junto con el puerto (en mi ejemplo, localhost:10000), ADUC
conectar la instantnea montada, permitindole examinar el contenido del directorio tal como era
en el momento de la instantnea. Asombroso, verdad?

Figura 14 Conexin de Usuarios y equipos de Active Directory en una instantnea
montada (Hacer clic en la imagen para ampliarla)
El poder obtener acceso a los datos del directorio de esta manera facilita en gran medida la
realizacin de muchas clases de tareas de recuperacin con respecto al pasado. Por ejemplo, para
poder recuperar un objeto eliminado de un copia de seguridad, anteriormente era necesario que
llevase a cabo una restauracin no autoritativa de la copia de seguridad en un DC existente y, a
continuacin, realizar una restauracin autoritativa del objeto eliminado. Y si la copia de seguridad
que haba restaurado no contaba con los datos correctos, tena que empezar de nuevo con una
copia de seguridad diferente. Ahora, gracias a la reanimacin de desechos y las instantneas, es


posible encontrar y recuperar fcilmente los datos eliminados y, adems, no es necesario
desconectar el controlador de dominio para hacerlo.
No obstante, hay algunas limitaciones. Por ejemplo cada instantnea activa aumenta la E/S de
disco asociada a las operaciones de escritura en el directorio, por lo que probablemente no debera
tener jams ms de una o dos instantneas activas en un DC de produccin. Asimismo, cuanto
ms tiempo mantenga activas las instantneas, ms grande se har el almacn de deltas del
Servicio de instantneas de volumen, algo que podra afectar al rendimiento. Y, por supuesto, la
simple recuperacin de un objeto eliminado es slo la primera parte del problema de recuperacin.
Probablemente, tambin tendr que recuperar los atributos vinculados del objeto, como las
pertenencias a grupos. Pero an en este caso, la instantnea le puede ayudar a identificar todos
los grupos de los que era miembro el objeto eliminado.

Una estrategia acertada de copia de seguridad y recuperacin para Active Directory
Windows Server 2008 integra un sistema de copia de seguridad y recuperacin completamente
nuevo. Algunos de los cambios pueden parecer muy molestos en un principio. Pero una vez que
las organizaciones de TI han aceptado estos cambios e incorporado la nueva tecnologa de copia
de seguridad en sus operaciones diarias, obtienen a cambio una implementacin de copia de
seguridad y recuperacin mucho ms efectiva.
An con todos los cambios en la manera de realizar copias de seguridad de los servidores en
Windows Server 2008, la estrategia bsica para realizar copias de seguridad y recuperar Active
Directory no ha cambiado en gran medida. As que a la hora de planear su estrategia, asegrese
de tener en cuenta estos procedimientos recomendados:
programe copias de seguridad de todo el sistema peridicamente para poder recuperar un DC tras
un error del hardware. La frecuencia con la que programe las copias de seguridad completas de un
DC dependen de la frecuencia con la que se actualicen sus datos, de la tolerancia a tiempos de
inactividad y prdidas de datos y del esfuerzo que puede ser necesario para volver a crear el DC
desde cero.
Programe copias de seguridad de estado del sistema frecuentes para realizar copias de seguridad
de los cambios en Active Directory. La frecuencia con la que realice las copias de seguridad de
estado del sistema depende de su tolerancia a datos perdidos de Active Directory. Pero debe hacer
esto, por lo menos, una vez al da. Si tiene el hardware, mantenga, al menos, una o dos copias de
seguridad de estado del sistema en un disco local y copie las versiones anteriores de estado del
sistema en un DVD o en un recurso compartido de red.
Asegrese de hacer copias de seguridad de estado del sistema en un mnimo de dos DC en cada
dominio. Esto ofrecer cierta garanta en el caso de que una de las copias de seguridad est
daada o no est disponible.


Asegrese de realizar copias de seguridad de los DC con las rplicas de particin de la aplicacin
si las ha definido. Y considere la creacin de una particin del Entorno de recuperacin de
Windows en sus DC de manera que pueda arrancar rpidamente en WinRE en caso de error de
una de las unidades crticas del sistema.

Copia de Seguridad y Restauración de Active Directory en Windows Server 2008 - 1

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Copia de Seguridad y Restauración de Active Directory en Windows Server 2008 - 1

Hochgeladen von

Copyright:

Verfügbare Formate

Imparten: Gustavo Garca Manzano

Francisco Bermejo Daz

Das könnte Ihnen auch gefallen