Realizando un respaldo
El Active Directory está resguardado cuando se hace un respaldo del estado del sistema del servidor, esto se logra al guardar múltiples volúmenes en un controlador de dominio, para ello utilizaremos principalmente la herramienta Windows Server Backup, esta herramienta no está instalada por defecto por lo que debemos habilitarla con el asistente de agregar roles y características como podemos ver a continuación:
Una vez que hemos habilitado el Windows Server Backup, podemos utilizarlo para hacer un respaldo completo del servidor, este respaldo nos puede proteger contra el borrado accidental de data que no podamos recuperar, como podemos ver en la siguiente imagen:
La mayoría de las veces que existe un borrado de algún elemento es por accidente, para evitar los borrados accidentales podemos habilitar una propiedad, donde podemos configurar que protejamos ciertos elementos de borrado accidental, al intentar borrarlos, nos va a aparecer una advertencia que dicho elemento está protegido contra el borrado accidental que por eso no puede ser eliminado, para poder borrarlo debemos retirar dicha protección.
Recuperación de Active Directory
La forma mas sencilla de recuperar datos borrados del Active Directory es con la papelera de reciclaje, sin embargo esta funcionalidad es bastante nueva y por lo tanto es posible que en nuestro ambiente por motivos operacionales no este disponible, para poder recuperar un elemento sin tener la papelera de reciclaje activa debemos hacer una recuperación autoritativa reiniciando en modo DSRM.
Este tipo de recuperación tiene un límite de 180 días por defecto, para modificar este parámetro hay que cambiar la propiedad utilizando ADSIEdit o también podemos utilizar Set-ADObject Windows PowerShell cmdlet.
Los elementos que podemos restaurar con una recuperación autoritativa son los siguientes:
- Objetos en las particiones de directorio de dominio, estos objetos deben ser restaurados en cualquier controlador de dominio.
- Objetos en particiones de aplicaciones de directorios, estos objetos necesitan ser restaurados en cualquier controlador de dominio que tenga la partición de aplicación de directorio especifica
- Objetos en particiones de configuración de directorios, estos objetos se pueden restaurar en cualquier controlador de dominio en el bosque.
Luego para realizar la recuperación seguiremos los siguientes pasos:
Pasos
1 Localizar el backup de estado del sistema más reciente para el controlador de dominio en el cual queremos hacer la recuperación.
2 Reiniciar el controlador de dominio en el modo DSRM.
3 Utilizar Windows Server Backup para restaurar la data del respaldo.
4 Utilizar la herramienta ntdsutil.exe para restaurar el ítem requerido con la opción “authoritative restore” de la siguiente forma, Ntdsutil.exe "authoritative restore" "restore object cn=Neptune,ou=Planets,dc=contoso,dc=com" quit quit.
5 Si necesitamos restaurar el objeto y todos su hijos utilizamos la opción “restore subtree” de la siguiente forma, Ntdsutil.exe "authoritative restore" "restore subtree OU=Planets,dc=contoso,dc=com" quit quit.
- Reiniciamos el controlador de dominio y los cambios se deberán replicar, restaurando así los elementos eliminados.
2 Reiniciar el controlador de dominio en el modo DSRM.
3 Utilizar Windows Server Backup para restaurar la data del respaldo.
4 Utilizar la herramienta ntdsutil.exe para restaurar el ítem requerido con la opción “authoritative restore” de la siguiente forma, Ntdsutil.exe "authoritative restore" "restore object cn=Neptune,ou=Planets,dc=contoso,dc=com" quit quit.
5 Si necesitamos restaurar el objeto y todos su hijos utilizamos la opción “restore subtree” de la siguiente forma, Ntdsutil.exe "authoritative restore" "restore subtree OU=Planets,dc=contoso,dc=com" quit quit.
- Reiniciamos el controlador de dominio y los cambios se deberán replicar, restaurando así los elementos eliminados.
