Transcript Presentacion PowerPoint-> Recuperacion de Desastres en AD
Recuperación de desastres en Directorio Activo
Miguel Angel Vigara – TAM- Microsoft Premier Support
Jose Parada Gimeno – ITE - Microsoft Technet
Agenda
Componentes del Directorio Activo Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres
Reinstalación
Recuperación Reparación
Agenda
Componentes del Directorio Activo Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres
Reinstalación
Recuperación Reparación
El Directorio Activo
Es el Servicio de Directorio de Windows 2003. Está integrado en el SO
Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia.
Soporta la mayoría de los cambios en cualquier DC.
A nivel Físico, los principales componentes son:
Base de Datos.
El SysVol. Replica mediante FRS A nivel Lógico se divide en particiones.
Arquitectura de la BD
Replicación Transportes (RPC ,SMTP, IP) LDAP/ADSI Clientes Outlook Windows NT 4.0 NET APIs Replicación Windows NT 4.0 BDC Clientes Outlook REPL LDAP SAM MAPI Directory System Agent (DSA) Database layer Extensible Storage Engine (ESE) Sistema De Ficheros
Integridad
Las operaciones de escritura en la BD son transacciones atómicas.
Base de Datos Fichero .dit
Uncommitted Entries in Transaction Logs Base de Datos Actual
Integridad
Los procesos de Log y Recuperación garantizan la integridad y consistencia.
EDB.chk. EDB.log y Edb00001.log
Entradas en el Log de Transacciones Escritas en la BD Memory Buffers .dit
Edb.chk
Entradas en el Log de Transacciones NO Escritas en la BD Edb.log
Desfragmentación
Online
No reduce el tamaño de la BD Automática con el proceso de GC Opción de Manual en W2K3 y se puede separar del Garbage Collection Offline
Si reduce el Tamaño de la BD
Usar solo en caso de que hayan disminuido mucho los objetos de la BD
Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente.
Particiones Lógicas.
Esquema Configuración Dominio Aplicación Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos Contiene información sobre la estructura Directorio Activo Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo.
Contiene datos de Aplicación ForestDNSZone DomainDNSZone Todas las particiones Juntas forman la Base de Datos del Directorio Activo.
Creación de Objetos
Añadir nuevo usuario DS1 USN: 4710 Object:
usnCreated
: 4711 Property P1: P2: P3: P4: Value
Value Value Value Value
USN 4711 4711 4711 4711 1 1 Version# 1 1 USN: 4711 Object:
usnChanged
: 4711 Timest.
TS TS TS TS
Org. DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID
Org USN 4711 4711 4711 4711
Replicación de Objetos
Replicación del Usuario DS1 USN: 4711 USN: 1745 DS2 Object:
usnCreated
: 1746 Property P1: P2: P3: P4: Value
Value Value Value Value
USN 1746 1746 1746 1746 1 1 Version# 1 1 Object:
usnChanged
: 1746 Timest.
TS TS TS TS
Org. DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID DS1 DB GUID
USN: 1746 Org USN 4711 4711 4711 4711
Modificación del Objeto
Cambio del Teléfono DS2 USN: 2001 USN: 2002 Object:
usnCreated
: 1746 Property P1: P2: P3: P4: Value
Value Value Value Value
USN 1746 2002 1746 1746 2 1 Version# 1 1 Object:
usnChanged
: 2002 Timest.
TS TS TS TS
Org. DB GUID DS1 DB GUID DS2 DB GUID DS1 DB GUID DS1 DB GUID
Org USN 4711 2002 4711 4711
Replicación de Cambios
Replicación del Teléfono modificado DS1 USN: 5039 Object:
usnCreated
: 4711 Property P1: P2: P3: P4: Value
Value Value Value Value
USN 4711 5040 4711 4711 USN: 5040 Object:
usnChanged
: 5040 DS2 USN: 2002 2 1 Version# 1 1 Timest.
TS TS TS TS
Org. DB GUID DS1 DB GUID DS2 DB GUID DS1 DB GUID DS1 DB GUID
Org USN 4711 2002 4711 4711
Borrado de Registros
Tombstone=Delete=Borrar
Es un borrado lógico.
Quita casi todos los atributos y añade IsDeleted
Sirve para Replicar el borrado de Objetos Default= 60 días ; Min = 2 días
Garbage Collection=Purge=Purgar.
Borra objetos con Tombstone caducados Borra fichero de log innecesarios Defragmenta la Base de Datos Default = 12 horas ; Min = 1 hora ; Max =TT/3
SYSVOL
Es un recurso compartido que se genera en cada DC al realizar DCpromo.
Contiene:
Políticas de Sistema (Windows NT, 9X)
GPO para los miembros del dominio Scripts de Logon y Logoff.
Utiliza el FRS para replicar el contenido entre DC’s
Siempre comprime el contenido
Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios.
Demo
Ubicación de componentes
Agenda
Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres
Reinstalación Recuperación Reparación
Tareas Preventivas
Backup Guardar información necesaria Automated System Recovery ( ASR ) Consola de recuperación Administración remota (Terminal Services o Escritorio Remoto)
/SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs)
DS Restore Mode Opciones de inicio avanzado (Opción F8) Support Tools, Kit de Recursos
Backup
Política de Backups:
Buen Backup Comprobar Rendimiento W2K-Cada DC requiere su propio Backup W2K3-Un Backup de cualquier DC de su dominio (IFM) Mínimo:
System State de un DC de cada dominio
Guardar información necesaria
Nombre de máquina Direcciones IP Configuración de Video Configuración de discos Información del dominio Contraseña de Administrador
Contraseña usada cuando se realizó el DCPromo. Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD.
Necesaria para restaurar System State en un Controlador de Dominio.
Backup del ‘System State’
Registro (Regback) Base de datos de clases COM+ registradas Ficheros de inicio de sistema System State Base de datos de Directorio Activo Volumen SYSVOL Y si están instalados: Metadata de IIS Base de datos de Certificate Services y COM+ Base de datos de configuración de Cluster Service Zonas de DNS
240363 How to Back Up and Restore the System State
Excepciones en el Backup y Restore
HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ FilesNotToBackup
HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ KeysNotToRestore
Automatic System Recovery-W2K3
Se genera un Disquete y un fichero *.BKF con la información del sistema
Con NTBACKUP Solo hace backup de los ficheros del sistema.
Para recuperar necesitamos:
El Disquete
El *.BKF
El CD de Windows 2003 Con la opción F2 de arranque.
Consola de Recuperación
Acceso sin cargar completamente el Sistema Operativo
Requiere contraseña de Administrador
Net user administrator * (F8) Setpwd /s:servername (Windows 2000 SP2) Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio 239803 W2K3 se cambia con NTDSUTIL
Instalada localmente o ejecutada desde CD
Administración Remota
256588
Sólo en DCs
Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS
Definir la opción de arranque apropiada y reiniciar el sistema multi(0)disk(0)rdisk(0)partition(2)\ WINNT=“W2K DC \\your server name” /fastdetect multi(0)disk(0)rdisk(0)partition(2)\ WINNT=“W2K DC \\your server name“ /fastdetect /SAFEBOOT:DSREPAIR /SOS
Accesible con Mstsc.exe vía Escritorio Remoto (RDP)
Agenda
2.
3.
4.
1.
1.
2.
Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres 1.
Reinstalación 2.
3.
Recuperación Reparación
Herramientas
IPCONFIG PATHPING NSLOOKUP DCPROMO Visor de Eventos NTDSUTIL NTBACKUP SECEDIT … DNSCMD DCDIAG NETDIAG REPADMIN LDP NETDOM NLTEST REPLMON DSACLS ADSIEDIT ACLDIAG DSASTAT … NTFRSUTIL ADDIAG XCACLS SHOWACLS … LIBROS ONLINE
NTDSUTIL
Gestión de los Servicios de Directorio
FSMOs
Almacenamiento del AD Cambio de la contraseña local de Administrador Eliminar DCs y dominios huérfanos Conectar a un DC determinado Authoritative Restore Reparar Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs
Herramientas
Netdiag
Diagnostico de los servicios locales
Dcdiag
Diagnostico de los servicios de DC
Repadmin
Diagnostico de la replicación de AD
y… ¿Qué está fallando?
Algo falla ¿Funciona la red?
¿Resuelven nombres?
Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD ¿Funciona DC?
Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM ¿Funciona replicación?
Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL Detectado J
Diagnóstico de la instalación de DC
Group Policy
File Relication Services Replicación de Directorio Activo
Configuración DNS y TCP/IP
298143 How to Verify an Active Directory Installation http://support.microsoft.com/kb/298143 816106 How to Verify an Active Directory Installation in Windows Server 2003 http://support.microsoft.com/kb/816106
Demo
Backup del System State Claves de registro de Backup Consola de recuperación Ntdsutil.exe
Agenda
Componentes del Directorio Activo Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres
Reinstalación Recuperación Reparación
Recuperación de Desastres
Tipos de Desastre
Corrupción de la BD.
Borrado de Datos.
Métodos de recuperación preferidos 1.
2.
3.
Reinstalación
Winnt32 + DCPromo + Replicación
Winnt32 + DCPromo /Adv + Replicación Restauración
NTBackup + Replicación Reparación: Última opción para AD
Re Instalación y Replicación
Consideraciones:
Debe existir un DC sano en el dominio
Localización física del DC
Ancho de Banda
Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498)
Servidor Multiproposito
Re Instalación y Replicación
Pasos: 1.
Operación de limpieza: Eliminar el objeto del DC dañado del Active Directory 1.
2.
3.
4.
NTDSUTIL ADSIEDIT Dar tiempo para que se replique la eliminación del objeto.
Realizar una instalación nueva de Windows usando el mismo nombre de DC 2.
3.
Promover el equipo a DC (DCPromo) 1.
Comprobar DCPROMO.log
1.
Replicación.
Usar “Repadmin /showreps” para verificar que se han restablecido los objetos de conexión
Re Instalación y Replicación
El Servidor es un DC Multiproposito que no podemos formatear
Si tenemos Windows 2000 SP1:
Modificar entrada Registry.
HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType Reiniciar y logear con la Contraseña de recuperación Ejecutar DCPromo en un forest nuevo.
Ejecutar DCPromo para despromocionarlo.
Metadata Cleanup en un DC operativo del Dominio.
Si Windows 2000 Sp2 o posterior:
DCPromo /forceremoval Metadata Cleanup en un DC operativo del Dominio
332199 Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory
Demo
Metadata Cleanup
NTDSUTIL
Como quitar un DC de la base de datos de AD
IFM (Install From Media)
1.
2.
3.
4.
Instalar un DC con Windows 2003 en un dominio.
Realizar un Backup del “system state” de un DC 2003 en ese dominio.
Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va ha ser promovido.
Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state”
311078 How to use the Install from Media feature to promote Windows Server 2003-based domain controllers http://support.microsoft.com/kb/311078/en
Demo
DCPromo con ‘Install from media’
Restauración
Restaurar a estado bueno usando NTBACKUP Tipos
Non-Authoritative Restore
Reiniciar en modo AD para sincronizar cambios Authoritative Restore
Hacer que los objetos en el DC de referencia sean una “copia maestra” para el forest
Restauración No autoritaria
Método de restauración por defecto
Cuando usarlo
Problemas de hardware
Problemas con aplicaciones o perdida de datos
Opciones
Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO Restaurar la máquina a un buen punto conocido y sincronizar
Verificar la restauración
Restauración Autoritaria
Cuando usarlo
Borrado accidental o modificaci ó n de objetos o contenedores en el dominio o configuraci ó n NC
Corrupci ó n de objetos/atributos en el directorio
Lo que no hace
No sobrescribe objetos creados después del backup Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion No soportado con “Schema Naming Context”
Restauración Autoritaria
1.
2.
3.
Pasos: 1.
2.
Realizar un restore No Autoritativo 1.
Entrar en Modo ‘Recuperación de Directorio’ Login con la cuenta de recuperación Restauración del System State 1.
Marcar objetos en NTDSUTIL como autoritarios: ‘ Restore Subtree’ + DN completo del usuario a restaurar: “ cn=username,cn=users,dc=DOM,dc=COM” Reiniciar.
Demo
Restauración autoritativa
Consideraciones de la restauración autoritaria
Perdida de cuentas de máquina
http://support.microsoft.com/kb/216243
Perdida de pertenencia a grupos
http://support.microsoft.com/kb/280079
Reanimación de objetos borrados
http://support.microsoft.com/kb/840001/#6
Reparación
Último recurso Elegir backup si existe Consume Tiempo y además ….
!!! NO HAY GARANTIAS !!!
Reparación BD del AD
NTDS.dit
La base de datos.
Edbxxxx.log
MB cada uno) log de transaciones (10 Edb.chk
fichero de checkpoint Res1.log & Res2.log
de espacio Logs de reserva NTDSUTIL - Files
Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.
Reparación BD del AD
La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de ‘Built-in consistency checking’ en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR
http://support.microsoft.com/kb/315131
Reparación BD del AD
NTDSUTIL: Files Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la base de datos de Directorio Activo
• • • • • • •
Información de la ubicación de los ficheros de AD Compresión Offline de NTDS.DIT
Check de integridad Offline de NTDS.DIT
Reubicación de los ficheros de AD Restauración ‘soft recovery’ de la la base de datos de AD Soft recovery (Repair) usa los ficheros de Log y los de base de datos en disco (no los de backup) para recuperación de un fallo.
Reparación de NTDS.DIT
Algunos Comandos disponibles: Repair, Recover, Integrity
Reubicar NTDS (DB y logs)
NTDSUTIL: Files
- Para mover NTDS.DIT "move db to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover el fichero NTDS.DIT
- Para mover los ficheros de Log "move logs to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover los ficheros de log.
- Para ver los ficheros de log o de base de datos
info
Para verificar la integridad de la base de datos en su nueva localización
integrity
.
NOTA: Cuando se mueven los ficheros del AD (B.D. y/o Logs) se debe realizar un backup del DC.
http://support.microsoft.com/kb/257420
Reparación BD del AD
NTDSUTIL: Semantic Database Analysis Ejecuta un análisis semántico de la base de datos. Debe ejecutarse después de llevar a cabo un ‘Soft Recovery’ NTDSUTIL: Security Account Management Permite localizar y eliminar SIDs duplicados en la base de datos de AD http://support.microsoft.com/kb/315136
Cuestiones
Dudas … Temas que no hemos tratado … Temas que no han quedado claro … Sugerencias, feedback …