¿Alguna vez has eliminado accidentalmente un objeto importante del Active Directory sin tener una papelera de reciclaje configurada? Aunque puede parecer un problema irrecuperable, existen soluciones para restaurar esos objetos eliminados. En este artículo, descubrirás cómo recuperar objetos eliminados del AD sin una papelera de reciclaje y cómo evitar futuros accidentes. ¡No te pierdas esta información valiosa para administradores de TI!
Una de las tareas detestadas por muchos administradores de AD es la recuperación de objetos eliminados. Los esfuerzos de recuperación normalmente incluyen reiniciar un controlador de dominio de producción en Modo de restauración de servicios de directorioobtener la última copia de seguridad del estado del sistema restaurada en el controlador de dominio y usar NTDSUTIL para restaurar con autoridad los objetos eliminados.
Si bien ese proceso funciona bien, puede ser muy pérdida de tiempo, suponiendo que se disponga de una buena copia de seguridad. Para aquellos de ustedes que han actualizado su infraestructura a AD 2008 R2, ahora tienen la suerte de tener acceso a la Papelera de reciclaje de AD. Sin embargo, para aquellos que están en un dominio R2 anterior a 2008, este proceso sigue siendo necesario.
Hay una opción que se puede utilizar para restaurar rápidamente los objetos eliminados sin depender de las copias de seguridad del estado del sistema. Esta opción requiere un servidor adicional, pero vale la pena si está apoyando a una organización grande que elimina de forma rutinaria los objetos que deben restaurarse.
El tiempo típico de restauración usando el siguiente diseño puede ser de 5-15 minutos, en lugar de varias horas con los métodos de restauración tradicionales. Esta opción crea una especie de «Copia de seguridad en línea» de sus objetos AD.
Para crear este “Copia de seguridad en líneaTodo lo que necesita hacer es crear un SITIO adicional, posiblemente llamado «Recuperación» utilizando la Consola de sitios y servicios de Active Directory (ADSS). Para segregar aún más este sitio, sería mejor colocarlo en su propia subred dedicada para que pueda controlar de manera efectiva el tráfico hacia y desde este sitio.
Realmente no desea que los usuarios utilicen el «CC de recuperación” para autenticación y autorización ya que va a tener información de AD algo obsoleta. Desde una perspectiva física, este sitio puede estar ubicado en el mismo centro de datos que sus otros DC.
Una vez que se crea el objeto Sitio y Subred, el siguiente paso es crear un nuevo ENLACE DEL SITIO, posiblemente llamado RECOVERY_SITELINK que conecta el sitio de recuperación con otro sitio principal definido en AD. Configure este nuevo SITELINK para replicar SOLAMENTE durante las horas de menor actividad, por ejemplo, entre las 11:00 p. m. y las 6:00 a. m.
Puede acortar esta ventana para infraestructuras AD más pequeñas. Solo necesita que esta ventana sea tan grande como sea necesario para que el DC de recuperación pueda replicarse periódicamente con otros DC de producción.
El resultado de este diseño es que cualquier objeto eliminado antes de las 11:00 p. m. se puede recuperar de inmediato usando el «DC de recuperación» sin usar una copia de seguridad. Después de las 11:00 p. m., se verá obligado a utilizar una buena copia de seguridad del día anterior. Esto se debe a que la eliminación no se ha replicado en el «DC de recuperación».
Veamos un ejemplo con más detalle. Supongamos que el objeto de un usuario se elimina por error a las 2:00 p. m. por un técnico de la mesa de ayuda. Cuando se elimine el objeto, AD replicará la eliminación de este objeto en el resto de los DC del dominio de acuerdo con los cronogramas de replicación dentro del sitio y entre sitios. Desde una perspectiva dentro del sitio, los controladores de dominio del sitio en el que se realizó la eliminación replicarían la eliminación casi de inmediato.
Sin embargo, según los SITELINKS implementados, el resto de los DC del dominio pueden replicarse en tan solo 15 minutos o varias horas. Nuevamente, eso dependería de los SITELINKS en su lugar. Sin embargo, el «DC de recuperación» NO replicará la eliminación hasta las 11:00 p. m. de esa noche.
Si el técnico de la mesa de ayuda informa este evento antes de las 11:00 p. m., un administrador de Active Directory puede usar el DC de recuperación para restaurar rápidamente el objeto. Así es como se haría:
Para un DC de recuperación de 2000 o 2003:
- Reiniciar el CC en modo de restauración de servicios de directorio
- Abrir un símbolo del sistema utilizando credenciales de administrador
- Iniciar el NTDSUTIL inmediato
- Realizar un RESTAURACIÓN AUTORIZADA de los objetos eliminados
- Reiniciar el CC en modo normal
Para un CD de recuperación de 2008:
- detener el servicio“Servicios de dominio de Active Directory”
- Abrir un símbolo del sistema utilizando credenciales de administrador
- Iniciar el NTDSUTIL inmediato
- Realizar un RESTAURACIÓN AUTORIZADA de los objetos eliminados
- iniciar el servicio“Servicios de dominio de Active Directory”
Dado que el objeto que se eliminó se restauró con autoridad, una vez que se haya completado la replicación en todo el dominio, el objeto se restaurará por completo en todos los DC. El procedimiento de «restauración autorizada» será ligeramente diferente según el tipo de objeto (usuario, computadora, grupo, unidad organizativa, etc.).
Como puede leer, siempre que tenga conocimiento de la eliminación dentro del mismo día, la recuperación de los objetos eliminados se puede realizar en una fracción del tiempo.
Recursos adicionales:
Realización de una restauración autorizada de objetos de Active Directory
http://technet.microsoft.com/de-de/library/cc779573(WS.10).aspx
Cómo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory
http://support.microsoft.com/kb/840001/en-us
