Microsoft Windows Server 2008 R2. Recuperación frente a desastres

HOL-WIN57 Microsoft Windows Server 2008 R2. Recuperación frente a desastres Julián Blázquez García jblazquez@informatica64.com

Agenda • Introducción • Las NTDSutils • La base de datos del directorio activo • Procedimientos de movimientos, indexación y compactación • Copia de seguridad y restauración de la base de datos • La restauración autoritativa • Gestión de Roles: transferencia y suplantación de roles • Procedimientos para la recuperación de los roles • Recuperación de los servicios de red de directorio activo • El servicio DNS. Las zonas integradas en directorio activo

Introducción • Cuando ocurre un error o inconsistencia en un controlador de dominio ¿Qué hacemos? • Restauramos la imagen del DC … • Restauramos la copia de seguridad del System State … • Reinstalamos el equipo … • Existen muchos mecanismos que nos permiten recuperar los controladores de dominio, pero ¿son los más óptimos?

Introducción • Otra de las problemática que pueden existir es la suplantación de los roles. • ¿Que hacemos cuando un DC con roles de dominio o bosque deja de funcionar, como suplantamos sus funcionalidades sin incoherencias en la base de datos? • La herramienta NTDUtil nos va ha permitir resolver todos estos problemas de un modo fácil y rápido.

NTDSUtils • Ntdsutil.exe es una herramienta de la línea de comandos • Proporciona facilidades de administración para Active Directory • Se utiliza para: • Mantenimiento de la base de datos de Active Directory • Administración y control de operaciones de un solo maestro • Eliminación de metadatos de los controladores de dominio que se han quitado de la red sin desinstalarse correctamente. • Diseñada para los administradores experimentados.

NTDSUtils • NTDSUtils proporciona los siguientes comandos: • Restauración autoritaria • Configurable Settings • Domain Management • Files • IPDenyList • LDAP Policies • MetadataCleanup • Funciones (Roles) • Security Account Management • SemanticDatabaseAnalysis • Set DSRM Password

Archivos de datos y de Log

Proceso de Modificación de AD Edb.chk Actualización checkpoint Petición Realizar transacción Escritura en le buffer de transacciones Escritura en el archivo de BBDD Transacción iniciada Escritura en el log de transacciones EDB.log Ntds.dit on Disk

Configurable Settings - Sintaxis • Ayuda a modificar el TTL de datos dinámicos almacenados en Active Directory. • Para acceder al simbolo del sistema de Configurable Settings: Ntdsutils> Configurable Settings • Sintaxis {cancel changes|connections|list|set %s to %s|show values}

Configurable Settings - Parámetros • cancel changes Cancela los cambios realizados, pero todavía no aplicados. • connections Llama al submenú server connections. • list Enumera los nombres de las opciones configurables admitidas. • set %sto%s Define las opciones configurables %s1 en el valor %s2. • show values Muestra valores de opciones configurables. %s: Variable alfanumérica, como un nombre de dominio o de controlador de dominio.

FILES - Sintaxis • El interprete de comandos Files proporciona comandos para administrar los datos de servicio de directorio y los archivos de registro. El archivo de datos se denomina Ntds.dit. • Para acceder al símbolo del sistema de Configurable Settings: Ntdsutils> Files • Sintaxis: {compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db%s|set path logs %s|set path working dir%s}

FILES - Parámetros • compact to%s (%sdirectorio de destino vacío) Compacta el archivo de datos existente y escribe el archivo compactado en el directorio especificado. • header Escribe el encabezado del archivo de datos Ntds.dit en la pantalla. Este comando puede ayudar al personal de soporte técnico a analizar problemas de base de datos. • info Analiza e informa del espacio libre en los discos instalados en el sistema, lee el Registro y, a continuación, informa del tamaño de los archivos de datos y de registro. • integrity Realiza una comprobación de integridad del archivo de datos, lo que permite detectar cualquier clase de daño de bajo nivel de la base de datos. Se debe ejecutar siempre Recover antes.

FILES - Parámetros • move DB to%s (%s identifica un directorio de destino) Mueve el archivo de datos Ntds.dit al nuevo directorio especificado mediante %s. Requiere reiniciar. • movelogsto%s (%s identifica un directorio de destino) Mueve los archivos de registro del servicio de directorio al nuevo directorio especificado mediante %s. Requiere reiniciar. • set pathdb%s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación y nombre de archivo del archivo de datos. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales.

FILES - Parámetros • set pathlogs%s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación de los archivos de registro. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales. • set pathworkingdir%s (%s: un directorio de destino) Establece la parte del Registro donde se identifica el directorio de trabajo del servicio de directorio. %s Variable alfanumérica, como un nombre de dominio o de controlador de dominio.

FILES - Parámetros • move DB to%s (%s identifica un directorio de destino) Mueve el archivo de datos Ntds.dit al nuevo directorio especificado mediante %s. Requiere reiniciar. • movelogsto%s (%s identifica un directorio de destino) Mueve los archivos de registro del servicio de directorio al nuevo directorio especificado mediante %s. Requiere reiniciar. • recover Realiza una recuperación parcial de la base de datos. La recuperación parcial examina los archivos de registro y garantiza que todas las transacciones realizadas en los mismos también se reflejan en los archivos de datos.

FILES - Parámetros • set pathbackup%s (%s: un directorio de destino) Establece el destino de copia de seguridad de disco a disco en el directorio especificado mediante %s. El servicio de directorio puede configurarse para realizar una copia de seguridad de disco a disco en línea a intervalos programados. • set pathdb%s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación y nombre de archivo del archivo de datos. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales. • set pathlogs%s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación de los archivos de registro. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales.

Authoritative Restore - Sintaxis • Restaura los controladores de dominio a un punto específico en el tiempo y marca los objetos de Active Directory como autoritarios. • Para acceder al símbolo del sistema authoritativerestore: Ntdsutil> authoritativerestore

Authoritative Restore - Parámetros • restoredatabase Marca la totalidad de Ntds.dit como autoritarias. El esquema no puede restaurarse de manera autoritaria. • restoredatabaseverinc%d Marca la totalidad de Ntds.dit como autoritarias e incrementa el número de versión en %d veces el número de días desde la copia de seguridad. • restoreobject%s Marca el objeto %s como un objeto con autoridad.

Authoritative Restore - Parámetros • restore object %sverinc%d Marca el objeto %s como un objeto con autorización y actualiza los vínculos tal como se describe en restoreobject%s. Además, incrementa el número de la versión multiplicándolo por %d veces el número de días transcurridos desde la copia de seguridad. • restoresubtree%s Marca el subárbol %s (y todos los elementos secundarios del subárbol) como elementos con autorización. • restore subtree%sverinc%d Marca el subárbol %s (y todos los elementos secundarios del subárbol) como un objeto con autorización.

Transferencia y Suplantación de roles • Para transferir y asumir funciones de maestro de operaciones utilizamos el interprete de comandos Roles. • Para acceder al símbolo del sistema Roles: Ntdsutil> Roles • Sintaxis: {connections|seize domain naming master|seize infrastructure master|seizePDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transferPDC|transfer RID master|transfer schema master}

Transferencia y Suplantación de roles • Connections Llama al submenú Server connections. • seizedomainnaming master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de nombres de dominio. • seizeinfrastructure master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de infraestructuras. • seize PDC Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de PDC.

Transferencia y Suplantación de roles • seize RID master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de identificadores relativos. • seizeschema master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de esquema. • selectoperation target Llama al submenú Selectoperation target. • transfer domainnaming master Indica al controlador de dominio al que está conectado que obtenga la función de nombres de dominio mediante una transferencia controlada.

Transferencia y Suplantación de roles • transfer infrastructure master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de operaciones de infraestructuras mediante una transferencia controlada. • transfer PDC Indica al controlador de dominio al que está conectado que obtenga el maestro de operaciones de PDC mediante una transferencia controlada. • transfer RID master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de identificadores relativos mediante una transferencia controlada. • transfer schema master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de operaciones de esquema mediante una transferencia controlada.

Recuperación de Roles • Para recuperar el rol o función que poseía un controlador de dominio que ha dejado de funcionar, es necesario realizar las siguientes acciones: • Limpiar la metadata de las base de datos • Y acontinuación, usando el interprete de comandos Roles es necesario emplear los parametros seize: • Seize Domain Naming Master • Seize Infraestructure Master • Seize PDC • Seize RID Master • Seize Schema Master

Limpieza de Metadatos • Limpia metadatos para controladores de dominio con errores. Ntdsutil.exe Service Pack 1 elimina las conexiones FRS (servicio de replicación de archivos) e intenta transferir o asumir las funciones del maestro de operaciones. • Para acceder al símbolo del sistema metadatacleanup: Ntdsutil> metadatacleanup • Sintaxis {connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target}

Limpieza de Metadatos • connections Llama al submenú Server connections. • removeselecteddomain Quita los metadatos asociados al dominio seleccionado en el submenú Selectoperation target. • removeselectednamingcontext Quita los metadatos asociados al contexto de nombres seleccionado en el submenú Selectoperation target. • removeselected server Quita los metadatos asociados al controlador de dominio seleccionado en el submenú Selectoperation target.

Limpieza de Metadatos • remove selected server %s En la versión de Ntdsutil.exe incluida en Windows Server 2003 SP1, elimina los metadatos de directorio y FRS para el servidor deshabilitado %s del directorio del host local, e intenta transferir o asumir las funciones del maestro de operaciones que controla el servidor %s al host local. • remove selected server %s1 on %s2 En la versión de Ntdsutil.exe incluida en Windows Server 2003 SP1, se conecta al servidor %s2, elimina los metadatos de directorio y FRS para el servidor %s1 del directorio del servidor %s2, e intenta transferir o asumir las funciones del maestro de operaciones que controla el servidor %s1 al servidor %s2. • select operation target Llama al submenú Select operation target.

Servicio DHCP • La base de datos DHCP esuna base de datosdinámicaque se actualizacuando se asignanclientes DHCP o conformeéstosliberansusconcesiones. • La base de datos DHCP contienedatos de configuración de DHCP (ámbitos, reservas, opciones y concesiones) • Windows Server 2008 R2 almacena la base de datos DHCP en el directorio%Systemroot%\System32\Dhcp • DHCP.mdb • Tmp.edb • J50.log y J50*.log • Res*.log • J50.chk

Servicio DNS • La base de datos del Servicio DNS se crean para cada una de las zonas que se creen en el Servidor. • Cada base de datos tiene el nombre del dominio, con la extensión dns. Ejemplo: dominio.ext.dns • Para mantener a salvo dichas zonas es necesario copiar dichos archivos. • Las bases de datos se encuentran en la ruta %Systemroot%\system32\dns

DNS Integrado en AD • ¿Cómo evitamos la pérdida del servicio de DNS cuando este se encuentra integrado en Active Directory? • ¿Existe la base de datos de la zona en la ruta por defecto? (%Systemroot%\system32\dns\zona.ext.dns) • Es mucho más fácil que en cualquier otra configuración de DNS • DNS integrado en Active Directory almacena la información de la zona dentro de la base de datos del Directorio Activo (Ntds.dit)

Boletín quincenal TechNews

Contactos • Informática 64 • http://www.informatica64.com • i64@informatica64.com • +34 91 146 20 00 • Profesor • jblazquez@informatica64.com

Microsoft Windows Server 2008 R2. Recuperación frente a desastres