550 likes | 967 Views
Recuperación de desastres en Directorio Activo. Miguel Angel Vigara – TAM- Microsoft Premier Support miguelvs@microsoft.com Jose Parada Gimeno – ITE - Microsoft Technet jparada@microsoft.com. Agenda. Componentes del Directorio Activo Base de Datos SysVol. FRS Tareas Preventivas
E N D
Recuperación de desastres en Directorio Activo Miguel Angel Vigara – TAM- Microsoft Premier Support miguelvs@microsoft.com Jose Parada Gimeno – ITE - Microsoft Technet jparada@microsoft.com
Agenda • Componentes del Directorio Activo • Base de Datos • SysVol. FRS • Tareas Preventivas • Herramientas • Recuperación de desastres • Reinstalación • Recuperación • Reparación
Agenda • Componentes del Directorio Activo • Base de Datos • SysVol. FRS • Tareas Preventivas • Herramientas • Recuperación de desastres • Reinstalación • Recuperación • Reparación
El Directorio Activo • Es el Servicio de Directorio de Windows 2003. Está integrado en el SO • Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia. • Soporta la mayoría de los cambios en cualquier DC. • A nivel Físico, los principales componentes son: • Base de Datos. • El SysVol. Replica mediante FRS • A nivel Lógico se divide en particiones.
Arquitectura de la BD Replicación Transportes (RPC ,SMTP, IP) Replicación Windows NT 4.0 BDC Windows NT 4.0 NET APIs Clientes Outlook LDAP/ADSI Clientes Outlook REPL LDAP SAM MAPI Directory System Agent (DSA) Database layer Sistema De Ficheros Extensible Storage Engine (ESE)
Base de Datos Actual Base de Datos Fichero .dit Integridad • Las operaciones de escritura en la BD son transacciones atómicas. Uncommitted Entries in Transaction Logs
.dit Integridad • Los procesos de Log y Recuperación garantizan la integridad y consistencia. • EDB.chk. • EDB.log y Edb00001.log Entradas en el Log de Transacciones Escritas en la BD Memory Buffers Entradas en el Log de Transacciones NO Escritas en la BD Edb.chk Edb.log
Desfragmentación • Online • No reduce el tamaño de la BD • Automática con el proceso de GC • Opción de Manual en W2K3 y se puede separar del Garbage Collection • Offline • Si reduce el Tamaño de la BD • Usar solo en caso de que hayan disminuido mucho los objetos de la BD • Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente.
Particiones Lógicas. Esquema Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos Configuración Contiene información sobre la estructura Directorio Activo Dominio Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo. Aplicación Contiene datos de Aplicación ForestDNSZone DomainDNSZone Todas las particiones Juntas forman la Base de Datos del Directorio Activo.
Object: usnCreated : 4711 Object: usnChanged : 4711 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DS1 DB GUID 4711 P2: Value 4711 1 TS DS1 DB GUID 4711 P3: Value 4711 1 TS DS1 DB GUID 4711 P4: Value 4711 1 TS DS1 DB GUID 4711 Creación de Objetos Añadir nuevo usuario DS1 USN: 4710 USN: 4711
Object: usnCreated : 1746 Object: usnChanged : 1746 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DS1 DB GUID 4711 P2: Value 1746 1 TS DS1 DB GUID 4711 P3: Value 1746 1 TS DS1 DB GUID 4711 P4: Value 1746 1 TS DS1 DB GUID 4711 Replicación de Objetos Replicación del Usuario DS2 DS1 USN: 1745 USN: 1746 USN: 4711
Object: usnCreated : 1746 Object: usnChanged : 2002 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 1746 1 TS DS1 DB GUID 4711 P2: Value 2002 2 TS DS2 DB GUID 2002 P3: Value 1746 1 TS DS1 DB GUID 4711 P4: Value 1746 1 TS DS1 DB GUID 4711 Modificación del Objeto Cambio del Teléfono USN: 2001 USN: 2002 DS2
Replicación del Teléfono modificado DS2 DS1 USN: 5039 USN: 5040 USN: 2002 Object: usnCreated : 4711 Object: usnChanged : 5040 Property Value USN Version# Timest. Org. DB GUID Org USN P1: Value 4711 1 TS DS1 DB GUID 4711 P2: Value 5040 2 TS DS2 DB GUID 2002 P3: Value 4711 1 TS DS1 DB GUID 4711 P4: Value 4711 1 TS DS1 DB GUID 4711 Replicación de Cambios
Borrado de Registros • Tombstone=Delete=Borrar • Es un borrado lógico. • Quita casi todos los atributos y añade IsDeleted • Sirve para Replicar el borrado de Objetos • Default= 60 días ; Min = 2 días • Garbage Collection=Purge=Purgar. • Borra objetos con Tombstone caducados • Borra fichero de log innecesarios • Defragmenta la Base de Datos • Default = 12 horas ; Min = 1 hora ; Max =TT/3
SYSVOL • Es un recurso compartido que se genera en cada DC al realizar DCpromo. • Contiene: • Políticas de Sistema (Windows NT, 9X) • GPO para los miembros del dominio • Scripts de Logon y Logoff. • Utiliza el FRS para replicar el contenido entre DC’s • Siempre comprime el contenido • Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios.
Demo • Ubicación de componentes
Agenda • Componentes del Directorio Activo • Base de Datos-FSMO • SysVol-FRS • Tareas Preventivas • Herramientas • Recuperación de desastres • Reinstalación • Recuperación • Reparación
Tareas Preventivas • Backup • Guardar información necesaria • Automated System Recovery ( ASR ) • Consola de recuperación • Administración remota (Terminal Services o Escritorio Remoto) • /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs) DS Restore Mode • Opciones de inicio avanzado (Opción F8) • Support Tools, Kit de Recursos
Backup • Política de Backups: • Buen Backup • Comprobar • Rendimiento • W2K-Cada DC requiere su propio Backup • W2K3-Un Backup de cualquier DC de su dominio (IFM) • Mínimo: • System State de un DC de cada dominio
Guardar información necesaria • Nombre de máquina • Direcciones IP • Configuración de Video • Configuración de discos • Información del dominio • Contraseña de Administrador • Contraseña usada cuando se realizó el DCPromo. • Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD. • Necesaria para restaurar System State en un Controlador de Dominio.
Backup del ‘System State’ • Registro (Regback) • Base de datos de clases COM+ registradas • Ficheros de inicio de sistema • Base de datos de Directorio Activo • Volumen SYSVOL • Y si están instalados: • Metadata de IIS • Base de datos de Certificate Services y COM+ • Base de datos de configuración de Cluster Service • Zonas de DNS System State 240363 How to Back Up and Restore the System State
Excepciones en el Backup y Restore • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\KeysNotToRestore
Automatic System Recovery-W2K3 • Se genera un Disquete y un fichero *.BKF con la información del sistema • Con NTBACKUP • Solo hace backup de los ficheros del sistema. • Para recuperar necesitamos: • El Disquete • El *.BKF • El CD de Windows 2003 • Con la opción F2 de arranque.
Consola de Recuperación • Acceso sin cargar completamente el Sistema Operativo • Requiere contraseña de Administrador • Net user administrator * (F8) • Setpwd /s:servername (Windows 2000 SP2) • Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio 239803 • W2K3 se cambia con NTDSUTIL • Instalada localmente o ejecutada desde CD
Administración Remota 256588 • Sólo en DCs • Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS • Definir la opción de arranque apropiada y reiniciar el sistema • multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your server name” /fastdetect • multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your server name“ /fastdetect /SAFEBOOT:DSREPAIR /SOS • Accesible con Mstsc.exe vía Escritorio Remoto (RDP)
Agenda • Componentes del Directorio Activo • Base de Datos-FSMO • SysVol-FRS • Tareas Preventivas • Herramientas • Recuperación de desastres • Reinstalación • Recuperación • Reparación
Herramientas NTFRSUTIL ADDIAG XCACLS SHOWACLS … LIBROS ONLINE IPCONFIG PATHPING NSLOOKUP DCPROMO Visor de Eventos NTDSUTIL NTBACKUP SECEDIT … DNSCMD DCDIAG NETDIAG REPADMIN LDP NETDOM NLTEST REPLMON DSACLS ADSIEDIT ACLDIAG DSASTAT … Kit de Recursos Support Tools Sistema Operativo
NTDSUTIL • Gestión de los Servicios de Directorio • FSMOs • Almacenamiento del AD • Cambio de la contraseña local de Administrador • Eliminar DCs y dominios huérfanos • Conectar a un DC determinado • Authoritative Restore • Reparar • Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs
Herramientas • Netdiag • Diagnostico de los servicios locales • Dcdiag • Diagnostico de los servicios de DC • Repadmin • Diagnostico de la replicación de AD
y… ¿Qué está fallando? Algo falla Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor ¿Funciona la red? ¿Resuelven nombres? Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD ¿Funciona DC? Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM ¿Funciona replicación? Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL Detectado J
Diagnóstico de la instalación de DC • Group Policy • File Relication Services • Replicación de Directorio Activo • Configuración DNS y TCP/IP 298143 How to Verify an Active Directory Installation http://support.microsoft.com/kb/298143 816106 How to Verify an Active Directory Installation in Windows Server 2003 http://support.microsoft.com/kb/816106
Demo • Backup del System State • Claves de registro de Backup • Consola de recuperación • Ntdsutil.exe
Agenda • Componentes del Directorio Activo • Base de Datos-FSMO • SysVol-FRS • Tareas Preventivas • Herramientas • Recuperación de desastres • Reinstalación • Recuperación • Reparación
Recuperación de Desastres • Tipos de Desastre • Corrupción de la BD. • Borrado de Datos. • Métodos de recuperación preferidos • Reinstalación • Winnt32 + DCPromo + Replicación • Winnt32 + DCPromo /Adv + Replicación • Restauración • NTBackup + Replicación • Reparación: Última opción para AD
Re-Instalación y Replicación • Consideraciones: • Debe existir un DC sano en el dominio • Localización física del DC • Ancho de Banda • Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498) • Servidor Multiproposito
Re-Instalación y Replicación Pasos: • Operación de limpieza: Eliminar el objeto del DC dañado del Active Directory • NTDSUTIL • ADSIEDIT • Dar tiempo para que se replique la eliminación del objeto. • Realizar una instalación nueva de Windows usando el mismo nombre de DC • Promover el equipo a DC (DCPromo) • Comprobar DCPROMO.log • Replicación. • Usar “Repadmin /showreps” para verificar que se han restablecido los objetos de conexión
Re-Instalación y Replicación • El Servidor es un DC Multiproposito que no podemos formatear • Si tenemos Windows 2000 SP1: • Modificar entrada Registry. • HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType • Reiniciar y logear con la Contraseña de recuperación • Ejecutar DCPromo en un forest nuevo. • Ejecutar DCPromo para despromocionarlo. • Metadata Cleanup en un DC operativo del Dominio. • Si Windows 2000 Sp2 o posterior: • DCPromo /forceremoval • Metadata Cleanup en un DC operativo del Dominio 332199 Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory
Demo • Metadata Cleanup
NTDSUTIL • Como quitar un DC de la base de datos de AD
IFM (Install From Media) • Instalar un DC con Windows 2003 en un dominio. • Realizar un Backup del “system state” de un DC 2003 en ese dominio. • Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va ha ser promovido. • Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state” 311078 How to use the Install from Media feature to promote Windows Server 2003-based domain controllers http://support.microsoft.com/kb/311078/en
Demo • DCPromo con ‘Install from media’
Restauración • Restaurar a estado bueno usando NTBACKUP • Tipos • Non-Authoritative Restore • Reiniciar en modo AD para sincronizar cambios • Authoritative Restore • Hacer que los objetos en el DC de referencia sean una “copia maestra” para el forest
Restauración No autoritaria • Método de restauración por defecto • Cuando usarlo • Problemas de hardware • Problemas con aplicaciones o perdida de datos • Opciones • Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO • Restaurar la máquina a un buen punto conocido y sincronizar • Verificar la restauración
Restauración Autoritaria • Cuando usarlo • Borrado accidental o modificación de objetos o contenedores en el dominio o configuración NC • Corrupción de objetos/atributos en el directorio • Lo que no hace • No sobrescribe objetos creados después del backup • Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion • No soportado con “Schema Naming Context”
Restauración Autoritaria • Pasos: • Realizar un restore No Autoritativo • Entrar en Modo ‘Recuperación de Directorio’ • Login con la cuenta de recuperación • Restauración del System State • Marcar objetos en NTDSUTIL como autoritarios: • ‘Restore Subtree’ + DN completo del usuario a restaurar: “cn=username,cn=users,dc=DOM,dc=COM” • Reiniciar.
Demo • Restauración autoritativa
Consideraciones de la restauración autoritaria • Perdida de cuentas de máquina • http://support.microsoft.com/kb/216243 • Perdida de pertenencia a grupos • http://support.microsoft.com/kb/280079 • Reanimación de objetos borrados • http://support.microsoft.com/kb/840001/#6
Reparación • Último recurso • Elegir backup si existe • Consume Tiempo y además …. !!! NO HAY GARANTIAS !!!
Reparación BD del AD • NTDS.dit La base de datos. • Edbxxxx.log log de transaciones (10 MB cada uno) • Edb.chk fichero de checkpoint • Res1.log & Res2.log Logs de reserva de espacio • NTDSUTIL - Files • Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.
Reparación BD del AD La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de ‘Built-in consistency checking’ en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR http://support.microsoft.com/kb/315131