Controladores de Dominio: Copia de Seguridad y Recuperar

(Domain Controllers Backup Restore) Restore Parte 5

de
Continuando con esta serie de notas sobre el tema de copias de seguridad (Backup)
de Controladores de Dominio, y las diferentes formas de recuperacin, en esta vamos
a ver cmo podemos recuperar una cuenta de usuario eliminada accidentalmente,
pero a diferencia del caso anterior, en este contamos con una copia (Backup) del
Estado del Sistema (System State)

As que comencemos, voy a borrar la cuenta de Usuario Dos. Es de aclarar que esta
cuenta pertenece al grupo Global-1

Esta es la prueba :)
Cmo recuperamos la cuenta de usuario eliminada? Bien, recordemos que de notas
anteriores habamos dejado programada una copia del Estado del Sistema (System
State) sobre una carpeta compartida de red, as que la recuperaremos desde ese
lugar.

La copia de seguridad (Backup) de nuestro Active Directory, como hemos visto, se

puede hacer con el Controlador de Dominio en funcionamiento. Pero para recuperar la
copia (Restore) no se puede.
Debemos reiniciar al Controlador de Dominio, y durante el arranque pulsar la tecla F8
para que nos muestre las opciones avanzadas de arranque.

Dentro de las mismas seleccionamos la opcin Directory Service Restore Mode

Har un arranque similar al Modo Seguro (Safe Mode)
Atencin a lo que sigue Recuerda la contrasea que puso durante el proceso de
promocin a Controlador de Dominio del servidor? Esa es justamente la que necesita.
Por motivos de seguridad, esta contrasea, adems de que no tiene relacin con la del
administrador del Dominio, debera ser diferente

Y segundo a tener en cuenta, es que como tenemos un nico Controlador de Dominio

en nuestro Dominio de pruebas, no hay quien pueda validar la cuenta de administrador
del Dominio, as que deberemos obligatoriamente usar la cuenta de administrador
local, lo cual indicaremos escribiendo en el nombre de usuario: .\Administrator y la
contrasea antes mencionada
Ingresamos a la aplicacin de Copia de Seguridad (Backup), elegimos Recover, y
como la copia la hemos hecho en una carpeta de red marcamos la opcin: A backup
stored on another location
Y seguimos el asistente como indican las figuras
Como nos haba avisado el sistema cuando elegimos hacer la copia en una carpeta de
red, slo est disponible la ltima versin
Recordemos que lo que queremos recuperar es el Estado del Sistema (System State)
Detengmosnos un momento y observervemos una opcin, que no marcar en este
caso, pero que se denomina Perform an authoritative restore of Active Directory
Files. Describir su uso al final de la nota.
Siguen varias advertencias. Tenerlas en cuenta
Y comienza a recuperar
Como habamos marcado la opcin para que reincie automticamente al finalizar, lo
hace, y nos muestra un mensaje indicando que ha completado la recuperacin

Verificamos que hemos recuperado la cuenta de usuario User Dos, y que adems se
ha recuperado la pertenencia al grupo
Final feliz del proceso de recuperacin de la cuenta de usuario borrada
accidentalmente :)

Pero vamos a ver para qu casos se debe utilizar la opcin que nombrbamos hace
un rato (Perform an authoritative restore of Active Directory Files)

En este caso tenemos un nico Controlador de Dominio, pero qu sucedera si

tuviramos ms de uno?
Supongamos que hacemos la copia de seguridad programa a las 2 de la madrugada
(2 AM), se resguarda como est todo en ese momento.
Luego a las 9 de la maana, borramos la cuenta de usuario, y por supuesto ese
cambio se replica a otro/s Controladores de Dominio.

Luego que nosotros recuperamos desde nuestra copia de seguridad de la hora (2 AM)
y reinciamos el servidor, va a haber otro Controlador de Domino, que dir yo tengo
cambios ms recientes: a las 9 AM el administrador borr la cuenta de este usuario.
La consecuencia es inmediata, nuestro usuario de prueba es nuevamente eliminado :(

Se soluciona fcil. Cuando marcamos que la restauracin es Autoritaria (Authoritative),

significa que esto vale. Y por lo tanto lo que hemos recuperado va a replicarse al
resto de los Controladores de Domino
Esta nueva forma de hacer un Authoritative Restore es novedad en Windows Server
2008-R2. En sistemas anteriores no aparece esta opcin, aunque por supuesto puede
hacerse de otra manera que describir brevemente a continuacin.

La comento porque puede solucionarnos, an con Windows 2008-R2, alguna situacin

especfica.

Marcando la opcin en el asistente, implica que todos los objetos de nuestro dominio
son autoritarios (valen por sobre los otros), y se puede presentar la situacin donde
slo queramos marcar como autoritarios slo un objeto, o slo el contenido de una
Unidad Organizativa.

En este caso, no debemos marcar la opcin antes nombrada, y tampoco hacer que
reincie automticamente.
Luego de la recuperacin, abrir la lnea de comandos (CMD.EXE), ejecutar

NTDSUTIL.EXE
ACTIVATE INSTANCE NTDS
AUTHORITATIVE RESTORE
RESTORE OBJECT o RESTORE SUBTREE
De acuerdo a quieran marcar como autoritario un objeto en particular, o toda una
Unidad Organizativa
Dejo la sintaxis a vuestro cargo :)

Resumiendo, hemos podido recuperar desde una copia de seguridad (Backup) del
Estado del Sistema (System State), un objeto borrado accidentalmente, y de forma
totalmente anloga si en lugar de ser un objeto hubiera sido una Unidad Organizativa
con todo su contenido