Windows – Directorio Activo and Friends (y III)

ADDR3

Hola amigos de lo técnico! Algunos os llamarán frikis pero no les hagáis caso, pura envidia ;-)
En estos dos capítulos hemos presentado al Directorio Activo (AD), sus componentes, como replica los datos y hasta comandos útiles que nos pueden salvar de un apuro si es necesario.
Pero como en toda tecnología hasta la fecha, ni siquiera el AD se libra de ciertos contratiempos que pueden ir de un simple borrado accidental de un objeto hasta una corrupción del AD en varios servidores. Hoy enseñamos el cómo y el cuándo.
Empezamos por lo sencillo y vamos subiendo de nivel.

Escenario 1:
Imagináos un administrador de sistemas que sin querer, elimina una política de grupo (GPO) linkada a una unidad organizativa (OU). Damos por supuesto que éste admiministrador es un profesional y mantiene las copias de seguridad actualizadas de todas las GPOs.
La restauración en este caso es facil, basta con aplicar la restauración de la copia de seguridad que tenemos a través de la consola de gestión de políticas también conocida como GPMC.msc y la política se restaurará como estaba antes del borrado accidental. Este caso no conlleva mucho problema si efectivamente mantenemos una política de copia de seguridad al nivel del entorno que llevamos.

Escenario 2:
Ahora trataremos de recuperar políticas de grupo pero más complejas como lo son la política aplicada a los DCs por defecto y la del dominio pero sin backup.
En este caso afortunadamente tenemos un comando que nos puede salvar la vida porque éstas políticas son decisivas en el comportamiento de nuestro AD.
Para ello usaremos el comando Dcgpofix /target: X donde X puede ser domain, Dc o ambos (both)
Verificaremos el correcto uso de este comando chequeando que ambas políticas de grupo fueron creadas en C\Windows\SYSVOL\sysvol\domain\policies

Escenario 3:
Supongamos que un DC se nos muere, de tal manera que se nos corrompe la base de datos de AD ntds.dit, lo recordáis no? Bien en este caso no tenemos más remedio que realizar una restauración no autorizada que ironicamente y a pesar del nombre, es el metodo de restauración por defecto.
Para ello reiniciaremos el DC, sacaremos el menu del sistema pulsando F8 antes de que arranque el sistema y seleccionaremos iniciar el controlador de dominio en modo de restauración, después restauramos el System State en su localización original.
No olvidemos cambiar el servidor para que se inicie en modo normal. Esto se puede hacer a través del comando msconfig

Escenario 4:

Como sabréis y sino os lo cuento yo, la carpeta SYSVOL es el repositorio de todas las GPOs y scripts que se ejecutan dentro del AD. Cada Controlador de Dominio (DC) tiene su carpeta llamada Sysvol, no es dificil llegar a entender que esta carpeta se replica entre los DCs del dominio. Supongamos otro borrado accidental dentro de ésta carpeta.
Para recuperarla como estaba, lo primero de todo es parar la replicación en todos los DCs ya que de otro modo la replicación acabaría por corromper todas las carpetas SYSVOL en todos los DCs. Este proceso se realiza a través del comando Stop ntfrs y a de ser ejecutado en todos los DCs.
Después deberemos de restaurar de la copia de seguridad el backup que tenemos de las GPOs en nuestra consola GPMC.
Para confirmar el estado de la replicación tras la restauración usaremos el comando replmon.
Después, aplicaremos de nuevo el restore pero esta vez del más importante que es el que guardamos en el system state, en el cual restauraremos la copia de SYSVOL en otra localización.
Ahora mismo estaréis pensando que ya esta, sin embargo aún no hemos acabado. Tener en cuenta que si hubieramos restaurado SYSVOL en su localización original, éste se volvería a corromper en cuanto iniciasemos la replicación de nuevo. Recordar que tenemos todos los DCs con el SYSVOL que no queremos. Por ello la clave está en convertir al DC en el que hemos hecho la restauración de SYSVOL en otra localización en autorizado, es decir, el que va a llevar la voz cantante cuando iniciemos la replica de nuevo. Para ello y a través del registro de Windows cambiaremos la clave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup, hacer doble clic en BurFlags y editar como DWORD el valor D4. En los demás DCs haremos lo mismo pero editando el valor D2.
Una vez realizada todo este entramado de comandos y registros iniciaremos de nuevo la replicación en el DC que restauramos el system state a través del comando Start ntfrs y después en los demás DCs.

Como véis según el escenario con el que nos encontremos podemos resolverlo de manera rápida a pesar de lo criticidad del problema. Por supuesto hay otros escenarios como puede ser aplicar una restauracion autorizativa para restaurar un objeto del AD como una unidad organizativa, metadatos corrompidos, desinstalación local del AD.. vamos, que hay un buen repertorio. Si necesitais más información no dudeís en comentarnoslo, estaremos gustosos de echar una mano!

Esto ha sido todo en cuanto al directorio activo, la semana que viene nos meteremos de lleno en recuperación de desastres pero enfocados al sistema operativo en si.

Hasta la semana que viene!

Artículos relacionados

Acerca del autor

Deja tu comentario

Mostrar
Ocultar