Presentacion PowerPoint-> Recuperacion de Desastres en AD

Download Report

Transcript Presentacion PowerPoint-> Recuperacion de Desastres en AD

Recuperación de desastres en Directorio Activo

Miguel Angel Vigara – TAM- Microsoft Premier Support

[email protected]

Jose Parada Gimeno – ITE - Microsoft Technet

[email protected]

Agenda

     

Componentes del Directorio Activo Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres

Reinstalación

 

Recuperación Reparación

Agenda

     

Componentes del Directorio Activo Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres

Reinstalación

 

Recuperación Reparación

El Directorio Activo

Es el Servicio de Directorio de Windows 2003. Está integrado en el SO

Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia.

Soporta la mayoría de los cambios en cualquier DC.

 

A nivel Físico, los principales componentes son:

Base de Datos.

El SysVol. Replica mediante FRS A nivel Lógico se divide en particiones.

Arquitectura de la BD

Replicación Transportes (RPC ,SMTP, IP) LDAP/ADSI Clientes Outlook Windows NT 4.0 NET APIs Replicación Windows NT 4.0 BDC Clientes Outlook REPL LDAP SAM MAPI Directory System Agent (DSA) Database layer Extensible Storage Engine (ESE) Sistema De Ficheros

Integridad

Las operaciones de escritura en la BD son transacciones atómicas.

Base de Datos Fichero .dit

Uncommitted Entries in Transaction Logs Base de Datos Actual

Integridad

Los procesos de Log y Recuperación garantizan la integridad y consistencia.

 

EDB.chk. EDB.log y Edb00001.log

Entradas en el Log de Transacciones Escritas en la BD Memory Buffers .dit

Edb.chk

Entradas en el Log de Transacciones NO Escritas en la BD Edb.log

Desfragmentación

 

Online

  

No reduce el tamaño de la BD Automática con el proceso de GC Opción de Manual en W2K3 y se puede separar del Garbage Collection Offline

Si reduce el Tamaño de la BD

Usar solo en caso de que hayan disminuido mucho los objetos de la BD

Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente.

Particiones Lógicas.

Esquema Configuración Dominio Aplicación Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos Contiene información sobre la estructura Directorio Activo Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo.

Contiene datos de Aplicación ForestDNSZone DomainDNSZone Todas las particiones Juntas forman la Base de Datos del Directorio Activo.

Creación de Objetos

Añadir nuevo usuario DS1 USN: 4710 Object:

usnCreated

: 4711 Property P1: P2: P3: P4: Value

Value Value Value Value

USN 4711 4711 4711 4711 1 1 Version# 1 1 USN: 4711 Object:

usnChanged

: 4711 Timest.

TS TS TS TS

Org. DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID

Org USN 4711 4711 4711 4711

Replicación de Objetos

Replicación del Usuario DS1 USN: 4711 USN: 1745 DS2 Object:

usnCreated

: 1746 Property P1: P2: P3: P4: Value

Value Value Value Value

USN 1746 1746 1746 1746 1 1 Version# 1 1 Object:

usnChanged

: 1746 Timest.

TS TS TS TS

Org. DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID

USN: 1746 Org USN 4711 4711 4711 4711

Modificación del Objeto

Cambio del Teléfono DS2 USN: 2001 USN: 2002 Object:

usnCreated

: 1746 Property P1: P2: P3: P4: Value

Value Value Value Value

USN 1746 2002 1746 1746 2 1 Version# 1 1 Object:

usnChanged

: 2002 Timest.

TS TS TS TS

Org. DB GUID DS1 DB GUID DS2 DB GUID DS1 DB GUID DS1 DB GUID

Org USN 4711 2002 4711 4711

Replicación de Cambios

Replicación del Teléfono modificado DS1 USN: 5039 Object:

usnCreated

: 4711 Property P1: P2: P3: P4: Value

Value Value Value Value

USN 4711 5040 4711 4711 USN: 5040 Object:

usnChanged

: 5040 DS2 USN: 2002 2 1 Version# 1 1 Timest.

TS TS TS TS

Org. DB GUID DS1 DB GUID DS2 DB GUID DS1 DB GUID DS1 DB GUID

Org USN 4711 2002 4711 4711

Borrado de Registros

Tombstone=Delete=Borrar

 

Es un borrado lógico.

Quita casi todos los atributos y añade IsDeleted

 

Sirve para Replicar el borrado de Objetos Default= 60 días ; Min = 2 días

Garbage Collection=Purge=Purgar.

   

Borra objetos con Tombstone caducados Borra fichero de log innecesarios Defragmenta la Base de Datos Default = 12 horas ; Min = 1 hora ; Max =TT/3

SYSVOL

Es un recurso compartido que se genera en cada DC al realizar DCpromo.

Contiene:

Políticas de Sistema (Windows NT, 9X)

 

GPO para los miembros del dominio Scripts de Logon y Logoff.

Utiliza el FRS para replicar el contenido entre DC’s

Siempre comprime el contenido

Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios.

Demo

Ubicación de componentes

Agenda

     

Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres

  

Reinstalación Recuperación Reparación

Tareas Preventivas

     

Backup Guardar información necesaria Automated System Recovery ( ASR ) Consola de recuperación Administración remota (Terminal Services o Escritorio Remoto)

 

/SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs)

DS Restore Mode Opciones de inicio avanzado (Opción F8) Support Tools, Kit de Recursos

Backup

   

Política de Backups:

  

Buen Backup Comprobar Rendimiento W2K-Cada DC requiere su propio Backup W2K3-Un Backup de cualquier DC de su dominio (IFM) Mínimo:

System State de un DC de cada dominio

Guardar información necesaria

     

Nombre de máquina Direcciones IP Configuración de Video Configuración de discos Información del dominio Contraseña de Administrador

 

Contraseña usada cuando se realizó el DCPromo. Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD.

Necesaria para restaurar System State en un Controlador de Dominio.

Backup del ‘System State’

Registro (Regback) Base de datos de clases COM+ registradas Ficheros de inicio de sistema System State Base de datos de Directorio Activo Volumen SYSVOL Y si están instalados: Metadata de IIS Base de datos de Certificate Services y COM+ Base de datos de configuración de Cluster Service Zonas de DNS

240363 How to Back Up and Restore the System State

Excepciones en el Backup y Restore

HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ FilesNotToBackup

HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ KeysNotToRestore

Automatic System Recovery-W2K3

  

Se genera un Disquete y un fichero *.BKF con la información del sistema

 

Con NTBACKUP Solo hace backup de los ficheros del sistema.

Para recuperar necesitamos:

El Disquete

El *.BKF

El CD de Windows 2003 Con la opción F2 de arranque.

Consola de Recuperación

Acceso sin cargar completamente el Sistema Operativo

Requiere contraseña de Administrador

   

Net user administrator * (F8) Setpwd /s:servername (Windows 2000 SP2) Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio 239803 W2K3 se cambia con NTDSUTIL

Instalada localmente o ejecutada desde CD

Administración Remota

256588

Sólo en DCs

Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS

  

Definir la opción de arranque apropiada y reiniciar el sistema multi(0)disk(0)rdisk(0)partition(2)\ WINNT=“W2K DC \\your server name” /fastdetect multi(0)disk(0)rdisk(0)partition(2)\ WINNT=“W2K DC \\your server name“ /fastdetect /SAFEBOOT:DSREPAIR /SOS

Accesible con Mstsc.exe vía Escritorio Remoto (RDP)

Agenda

2.

3.

4.

1.

1.

2.

Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres 1.

Reinstalación 2.

3.

Recuperación Reparación

Herramientas

IPCONFIG PATHPING NSLOOKUP DCPROMO Visor de Eventos NTDSUTIL NTBACKUP SECEDIT … DNSCMD DCDIAG NETDIAG REPADMIN LDP NETDOM NLTEST REPLMON DSACLS ADSIEDIT ACLDIAG DSASTAT … NTFRSUTIL ADDIAG XCACLS SHOWACLS … LIBROS ONLINE

    

NTDSUTIL

 

Gestión de los Servicios de Directorio

FSMOs

Almacenamiento del AD Cambio de la contraseña local de Administrador Eliminar DCs y dominios huérfanos Conectar a un DC determinado Authoritative Restore Reparar Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs

Herramientas

Netdiag

Diagnostico de los servicios locales

Dcdiag

Diagnostico de los servicios de DC

Repadmin

Diagnostico de la replicación de AD

y… ¿Qué está fallando?

Algo falla ¿Funciona la red?

¿Resuelven nombres?

Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD ¿Funciona DC?

Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM ¿Funciona replicación?

Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL Detectado J

Diagnóstico de la instalación de DC

Group Policy

 

File Relication Services Replicación de Directorio Activo

Configuración DNS y TCP/IP

298143 How to Verify an Active Directory Installation http://support.microsoft.com/kb/298143 816106 How to Verify an Active Directory Installation in Windows Server 2003 http://support.microsoft.com/kb/816106

Demo

   

Backup del System State Claves de registro de Backup Consola de recuperación Ntdsutil.exe

Agenda

     

Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres

  

Reinstalación Recuperación Reparación

Recuperación de Desastres

Tipos de Desastre

Corrupción de la BD.

 

Borrado de Datos.

Métodos de recuperación preferidos 1.

2.

3.

Reinstalación

Winnt32 + DCPromo + Replicación

Winnt32 + DCPromo /Adv + Replicación Restauración

NTBackup + Replicación Reparación: Última opción para AD

Re Instalación y Replicación

Consideraciones:

Debe existir un DC sano en el dominio

Localización física del DC

Ancho de Banda

Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498)

Servidor Multiproposito

Re Instalación y Replicación

Pasos: 1.

Operación de limpieza: Eliminar el objeto del DC dañado del Active Directory 1.

2.

3.

4.

NTDSUTIL ADSIEDIT Dar tiempo para que se replique la eliminación del objeto.

Realizar una instalación nueva de Windows usando el mismo nombre de DC 2.

3.

Promover el equipo a DC (DCPromo) 1.

Comprobar DCPROMO.log

1.

Replicación.

Usar “Repadmin /showreps” para verificar que se han restablecido los objetos de conexión

Re Instalación y Replicación

El Servidor es un DC Multiproposito que no podemos formatear

Si tenemos Windows 2000 SP1:

    

Modificar entrada Registry.

HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType Reiniciar y logear con la Contraseña de recuperación Ejecutar DCPromo en un forest nuevo.

Ejecutar DCPromo para despromocionarlo.

Metadata Cleanup en un DC operativo del Dominio.

Si Windows 2000 Sp2 o posterior:

 

DCPromo /forceremoval Metadata Cleanup en un DC operativo del Dominio

332199 Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory

Demo

Metadata Cleanup

NTDSUTIL

Como quitar un DC de la base de datos de AD

IFM (Install From Media)

1.

2.

3.

4.

Instalar un DC con Windows 2003 en un dominio.

Realizar un Backup del “system state” de un DC 2003 en ese dominio.

Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va ha ser promovido.

Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state”

311078 How to use the Install from Media feature to promote Windows Server 2003-based domain controllers http://support.microsoft.com/kb/311078/en

Demo

DCPromo con ‘Install from media’

Restauración

 

Restaurar a estado bueno usando NTBACKUP Tipos

 

Non-Authoritative Restore

Reiniciar en modo AD para sincronizar cambios Authoritative Restore

Hacer que los objetos en el DC de referencia sean una “copia maestra” para el forest

Restauración No autoritaria

Método de restauración por defecto

Cuando usarlo

Problemas de hardware

Problemas con aplicaciones o perdida de datos

Opciones

 

Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO Restaurar la máquina a un buen punto conocido y sincronizar

Verificar la restauración

Restauración Autoritaria

Cuando usarlo

Borrado accidental o modificaci ó n de objetos o contenedores en el dominio o configuraci ó n NC

Corrupci ó n de objetos/atributos en el directorio

Lo que no hace

  

No sobrescribe objetos creados después del backup Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion No soportado con “Schema Naming Context”

Restauración Autoritaria

1.

2.

3.

Pasos: 1.

2.

Realizar un restore No Autoritativo 1.

Entrar en Modo ‘Recuperación de Directorio’ Login con la cuenta de recuperación Restauración del System State 1.

Marcar objetos en NTDSUTIL como autoritarios: ‘ Restore Subtree’ + DN completo del usuario a restaurar: “ cn=username,cn=users,dc=DOM,dc=COM” Reiniciar.

Demo

Restauración autoritativa

Consideraciones de la restauración autoritaria

Perdida de cuentas de máquina

http://support.microsoft.com/kb/216243

Perdida de pertenencia a grupos

http://support.microsoft.com/kb/280079

Reanimación de objetos borrados

http://support.microsoft.com/kb/840001/#6

Reparación

  

Último recurso Elegir backup si existe Consume Tiempo y además ….

!!! NO HAY GARANTIAS !!!

Reparación BD del AD

    

NTDS.dit

La base de datos.

Edbxxxx.log

MB cada uno) log de transaciones (10 Edb.chk

fichero de checkpoint Res1.log & Res2.log

de espacio Logs de reserva NTDSUTIL - Files

Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.

Reparación BD del AD

La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de ‘Built-in consistency checking’ en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR

http://support.microsoft.com/kb/315131

Reparación BD del AD

NTDSUTIL: Files Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la base de datos de Directorio Activo

• • • • • • •

Información de la ubicación de los ficheros de AD Compresión Offline de NTDS.DIT

Check de integridad Offline de NTDS.DIT

Reubicación de los ficheros de AD Restauración ‘soft recovery’ de la la base de datos de AD Soft recovery (Repair) usa los ficheros de Log y los de base de datos en disco (no los de backup) para recuperación de un fallo.

Reparación de NTDS.DIT

Algunos Comandos disponibles: Repair, Recover, Integrity

Reubicar NTDS (DB y logs)

NTDSUTIL: Files

- Para mover NTDS.DIT  "move db to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover el fichero NTDS.DIT

- Para mover los ficheros de Log  "move logs to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover los ficheros de log.

- Para ver los ficheros de log o de base de datos 

info

Para verificar la integridad de la base de datos en su nueva localización 

integrity

.

NOTA: Cuando se mueven los ficheros del AD (B.D. y/o Logs) se debe realizar un backup del DC.

http://support.microsoft.com/kb/257420

Reparación BD del AD

NTDSUTIL: Semantic Database Analysis Ejecuta un análisis semántico de la base de datos. Debe ejecutarse después de llevar a cabo un ‘Soft Recovery’ NTDSUTIL: Security Account Management Permite localizar y eliminar SIDs duplicados en la base de datos de AD http://support.microsoft.com/kb/315136

Cuestiones

   

Dudas … Temas que no hemos tratado … Temas que no han quedado claro … Sugerencias, feedback …

¿Preguntas?

[email protected]

Your potential. Our passion.