La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Recuperación de desastres en Directorio Activo

Presentaciones similares


Presentación del tema: "Recuperación de desastres en Directorio Activo"— Transcripción de la presentación:

1 Recuperación de desastres en Directorio Activo
Miguel Angel Vigara – TAM- Microsoft Premier Support Jose Parada Gimeno – ITE - Microsoft Technet

2 Agenda Componentes del Directorio Activo Tareas Preventivas
Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres Reinstalación Recuperación Reparación

3 Agenda Componentes del Directorio Activo Tareas Preventivas
Base de Datos SysVol. FRS Tareas Preventivas Herramientas Recuperación de desastres Reinstalación Recuperación Reparación

4 El Directorio Activo Es el Servicio de Directorio de Windows Está integrado en el SO Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia. Soporta la mayoría de los cambios en cualquier DC. A nivel Físico, los principales componentes son: Base de Datos. El SysVol. Replica mediante FRS A nivel Lógico se divide en particiones.

5 Directory System Agent (DSA) Extensible Storage Engine (ESE)
Arquitectura de la BD Replicación Transportes (RPC ,SMTP, IP) Windows NT 4.0 NET APIs Replicación Windows NT 4.0 BDC LDAP/ADSI Clientes Outlook Clientes Outlook REPL LDAP SAM MAPI Directory System Agent (DSA) Database layer Sistema De Ficheros Extensible Storage Engine (ESE)

6 Uncommitted Entries in
Integridad Las operaciones de escritura en la BD son transacciones atómicas. Base de Datos Actual Base de Datos Fichero .dit Uncommitted Entries in Transaction Logs

7 Integridad Los procesos de Log y Recuperación garantizan la integridad y consistencia. EDB.chk. EDB.log y Edb00001.log Entradas en el Log de Transacciones Escritas en la BD Memory Buffers .dit Entradas en el Log de Transacciones NO Escritas en la BD Edb.chk Edb.log

8 Desfragmentación Online Offline No reduce el tamaño de la BD
Automática con el proceso de GC Opción de Manual en W2K3 y se puede separar del Garbage Collection Offline Si reduce el Tamaño de la BD Usar solo en caso de que hayan disminuido mucho los objetos de la BD Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente.

9 Particiones Lógicas. Esquema Configuración Dominio Aplicación
Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos Configuración Contiene información sobre la estructura Directorio Activo Dominio Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo. Aplicación Contiene datos de Aplicación ForestDNSZone DomainDNSZone Todas las particiones Juntas forman la Base de Datos del Directorio Activo.

10 Creación de Objetos USN: 4710 USN: 4711 Añadir nuevo usuario DS1
Object: usnCreated : 4711 P1: 4711 Version# TS Value 1 Org. DB GUID DS1 DB GUID Property USN Timest. Org USN P2: P3: P4: Object: usnChanged : 4711 Object Creation DB and DC GUID’s are generated at the time of DC creation based on MAC address, system time and a randomizer (initially, they are the same). In the event of a failure or an authoritative restore the DB GUID (known as the DSA invocation ID) is regenerated in order to allow other DC’s to realize that their knowledge of it’s knowledge is now incorrect. USN is attribute of object. If object creation is aborted, USN does not get assigned to any object. Properties of object also carry USN. Note each property is assigned a version number that is used to track changes to individual attributes. So in this scenario, we create a user on DS1—DS1’s USN is changed from 4710 to The object is assigned a USN created and USN modified of 4711—since this was a new object, the USN created and USN modified is the same. If I were to now modify this object, the USN created would remain the same, and the USN modified would be incremented. Notice each object/property is also storing a timestamp—this and the version are the tie breakers in the event of a conflict. Unlike the USN, the property version number is not domain controller specific and follows the property throughout its life. When a property is first written to an object, the property version number is initialized. Thereafter, each update of the property increments the version number—the version number does not increase due to replication, but only due to attribute modification. This allows replication conflicts to be resolved by assuming that the higher version number is better, if they match resolution is handled by the timestamp, if this conflicts the higher GUID of the DC’s involved wins (this should not conflict, statistically speaking), if it does a bit wise comparison of the data is performed – if the bit wise comparison can find no senior bit in the data stream then the data entered was the same – so who cares.

11 Replicación de Objetos
Replicación del Usuario DS1 DS2 USN: 1745 USN: 1746 USN: 4711 P1: 1746 Version# TS Value 1 Org. DB GUID 4711 DS1 DB GUID Property USN Timest. Org USN P2: P3: P4: Object: usnCreated : 1746 Object: usnChanged : 1746 Object replicated User object is replicated from DS1 to DS2—DS2 will update is table of USN’s to reflect change—from 1745 to Note again, that since this is a new object, both the USN created and USN modified for the object are the same. Note also, that DS2 also stores information on the originating database GUID and the USN associated with the originating write on DS1. This is used to identify that the change was originally written to DS1 with the USN 4711 Table on left is the high water mark vector for DS2 and the table on the right is a partial representation of the up to dateness vector, also for DS2

12 Modificación del Objeto
Cambio del Teléfono USN: 2001 USN: 2002 DS2 P1: 1746 Version# TS Value 1 Org. DB GUID 4711 DS1 DB GUID Property USN Timest. Org USN P2: 2002 2 DS2 DB GUID P3: P4: Object: usnCreated : 1746 Object: usnChanged : 2002 Object modification Now looking at a different scenario—object modification. At DS2, the administrator changes the phone number for the user object. This causes the USN at DS2 to increase from 2001 to 2002 to reflect the modification. Note the USN created does not change, just the USN modified. The attribute is assigned the new USN to reflect the change. This is again tracked in the high watermark vector. Now, since this is an originating write at DS2, it also notes the change in it’s up to dateness vector by indicating it’s database GUID and the USN for that change. This identifies DS2 as the source of the originating write.

13 Replicación de Cambios
USN: 5039 Replicación del Teléfono modificado DS1 DS2 USN: 5040 USN: 2002 P1: 4711 Version# TS Value 1 Org. DB GUID DS1 DB GUID Property USN Timest. Org USN P2: 5040 2 2002 DS2 DB GUID P3: P4: Object: usnCreated : 4711 Object: usnChanged : 5040 Change replicated Change is replicated from DS2 to DS1—DS1 will update it’s USN for the object modified to 5040 and will indicate that DS2 is the DC for the originating write—this is done by noting the DB GUID and the USN associated with the change on DS2.

14 Borrado de Registros Tombstone=Delete=Borrar
Es un borrado lógico. Quita casi todos los atributos y añade IsDeleted Sirve para Replicar el borrado de Objetos Default= 60 días ; Min = 2 días Garbage Collection=Purge=Purgar. Borra objetos con Tombstone caducados Borra fichero de log innecesarios Defragmenta la Base de Datos Default = 12 horas ; Min = 1 hora ; Max =TT/3

15 SYSVOL Es un recurso compartido que se genera en cada DC al realizar DCpromo. Contiene: Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominio Scripts de Logon y Logoff. Utiliza el FRS para replicar el contenido entre DC’s Siempre comprime el contenido Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios.

16 Demo Ubicación de componentes

17 Agenda Componentes del Directorio Activo Tareas Preventivas
Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres Reinstalación Recuperación Reparación

18 Tareas Preventivas Backup Guardar información necesaria
Automated System Recovery ( ASR ) Consola de recuperación Administración remota (Terminal Services o Escritorio Remoto) /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs)  DS Restore Mode Opciones de inicio avanzado (Opción F8) Support Tools, Kit de Recursos

19 Backup Política de Backups: W2K-Cada DC requiere su propio Backup
Buen Backup Comprobar Rendimiento W2K-Cada DC requiere su propio Backup W2K3-Un Backup de cualquier DC de su dominio (IFM) Mínimo: System State de un DC de cada dominio

20 Guardar información necesaria
Nombre de máquina Direcciones IP Configuración de Video Configuración de discos Información del dominio Contraseña de Administrador Contraseña usada cuando se realizó el DCPromo. Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD. Necesaria para restaurar System State en un Controlador de Dominio.

21 Backup del ‘System State’
Registro (Regback) Base de datos de clases COM+ registradas Ficheros de inicio de sistema Base de datos de Directorio Activo Volumen SYSVOL Y si están instalados: Metadata de IIS Base de datos de Certificate Services y COM+ Base de datos de configuración de Cluster Service Zonas de DNS System State How to Back Up and Restore the System State System State On a Windows Server 2003 domain controller, the system state comprises the following elements that are backed up automatically when Backup is used: Active Directory core elements • The Active Directory Database – Ntds.dit • The Transaction log files – Edb*.log • The Checkpoint file – Edb.chk • The Reserved Transaction logs – Res1.log and Res2.log The Local Registry The contents of the local registry on the domain controller. In addition to this, a copy of the local registry files are also saved to the following location: %SystemRoot%\Repair\Regback This allows a restore of the local registry to be performed without restoring the entire system state data. The System Startup Files The system startup files that are required for Windows Server 2003 to start include the following: • Files required for Windows Server 2003 to boot. • The contents of the %SystemRoot% directory • Files required by Windows File Protection (WFP). The COM+ Class Registration Database The Component Object Model (COM) is a binary standard for writing component software in a distributed environment. SYSVOL The SYSVOL shared folder that resides on domain controllers. Performance Counter Configuration The Performance Counter Configuration Files Certificate Services Database – if installed Windows Server 2003 includes a certificate server service that can be installed and configured to provide X.509 certificates for clients. Domain Name System (DNS) – if installed If the DNS Service is installed, any DNS zone file information. Cluster Service – if installed The Cluster service data includes any registry checkpoints and the quorum log, which contains the most recent cluster database information.

22 Excepciones en el Backup y Restore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\KeysNotToRestore HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore\KeysNotToRestore

23 Automatic System Recovery-W2K3
Se genera un Disquete y un fichero *.BKF con la información del sistema Con NTBACKUP Solo hace backup de los ficheros del sistema. Para recuperar necesitamos: El Disquete El *.BKF El CD de Windows 2003 Con la opción F2 de arranque.

24 Consola de Recuperación
Acceso sin cargar completamente el Sistema Operativo Requiere contraseña de Administrador Net user administrator * (F8) Setpwd /s:servername (Windows 2000 SP2) Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio W2K3 se cambia con NTDSUTIL Instalada localmente o ejecutada desde CD

25 Administración Remota 256588
Sólo en DCs Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS Definir la opción de arranque apropiada y reiniciar el sistema multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your server name” /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT=“W2K DC \\your server name“ /fastdetect /SAFEBOOT:DSREPAIR /SOS Accesible con Mstsc.exe vía Escritorio Remoto (RDP) Wmic /node:DC1 rdtoggle where allowtsconnections=0 setallowtsconnections 1

26 Agenda Componentes del Directorio Activo Tareas Preventivas
Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres Reinstalación Recuperación Reparación

27 Herramientas Kit de Recursos Support Tools Sistema Operativo IPCONFIG
PATHPING NSLOOKUP DCPROMO Visor de Eventos NTDSUTIL NTBACKUP SECEDIT DNSCMD DCDIAG NETDIAG REPADMIN LDP NETDOM NLTEST REPLMON DSACLS ADSIEDIT ACLDIAG DSASTAT NTFRSUTIL ADDIAG XCACLS SHOWACLS LIBROS ONLINE Kit de Recursos Support Tools Sistema Operativo

28 NTDSUTIL Gestión de los Servicios de Directorio
FSMOs Almacenamiento del AD Cambio de la contraseña local de Administrador Eliminar DCs y dominios huérfanos Conectar a un DC determinado Authoritative Restore Reparar Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs

29 Herramientas Netdiag Dcdiag Repadmin
Diagnostico de los servicios locales Dcdiag Diagnostico de los servicios de DC Repadmin Diagnostico de la replicación de AD

30 ¿Funciona replicación?
y… ¿Qué está fallando? Algo falla Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor ¿Funciona la red? ¿Resuelven nombres? Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD ¿Funciona DC? Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM ¿Funciona replicación? Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL Detectado J

31 Diagnóstico de la instalación de DC
Group Policy File Relication Services Replicación de Directorio Activo Configuración DNS y TCP/IP How to Verify an Active Directory Installation How to Verify an Active Directory Installation in Windows Server 2003

32 Demo Backup del System State Claves de registro de Backup
Consola de recuperación Ntdsutil.exe

33 Agenda Componentes del Directorio Activo Tareas Preventivas
Base de Datos-FSMO SysVol-FRS Tareas Preventivas Herramientas Recuperación de desastres Reinstalación Recuperación Reparación

34 Recuperación de Desastres
Tipos de Desastre Corrupción de la BD. Borrado de Datos. Métodos de recuperación preferidos Reinstalación Winnt32 + DCPromo + Replicación Winnt32 + DCPromo /Adv + Replicación Restauración NTBackup + Replicación Reparación: Última opción para AD

35 Re-Instalación y Replicación
Consideraciones: Debe existir un DC sano en el dominio Localización física del DC Ancho de Banda Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498) Servidor Multiproposito

36 Re-Instalación y Replicación
Pasos: Operación de limpieza: Eliminar el objeto del DC dañado del Active Directory NTDSUTIL ADSIEDIT Dar tiempo para que se replique la eliminación del objeto. Realizar una instalación nueva de Windows usando el mismo nombre de DC Promover el equipo a DC (DCPromo) Comprobar DCPROMO.log Replicación. Usar “Repadmin /showreps” para verificar que se han restablecido los objetos de conexión

37 Re-Instalación y Replicación
El Servidor es un DC Multiproposito que no podemos formatear Si tenemos Windows 2000 SP1: Modificar entrada Registry. HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType Reiniciar y logear con la Contraseña de recuperación Ejecutar DCPromo en un forest nuevo. Ejecutar DCPromo para despromocionarlo. Metadata Cleanup en un DC operativo del Dominio. Si Windows 2000 Sp2 o posterior: DCPromo /forceremoval Metadata Cleanup en un DC operativo del Dominio Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory

38 Demo Metadata Cleanup

39 NTDSUTIL Como quitar un DC de la base de datos de AD
If the new DC receives the same name as the failed DC, you must remove the ntdsDSA object of the failed DC: At the command line, type ntdsutil. At the prompt ntdsutil:, type metadata cleanup and press Enter. You need to now connect to an existing domain controller on which you want to remove the ntdsDSA object of the failed DC. At the metadata cleanup prompt, type connections and press Enter. Type connect to server <servername> and press Enter. Where <servername> is the DC that will be used to clean the metadata from (any functional DC in the same domain). Type quit and press Enter. This will return you to the metadata cleanup menu. Type select operation target and press Enter. Type list domains and press Enter. This lists all domains in the forest with a number associated with each. Type select domain <number> and press Enter where <number> is the number corresponding to the domain in which the failed server was located. Type list sites and press Enter. Type select site <number> and press Enter where <number> refers to the number of the site in which the DC was a member. Type list servers in site and press Enter. This will list all servers in that site with a corresponding number. Type select server <number> and press Enter where <number> refers to the DC to be removed. Type quit and press Enter. The Metadata cleanup menu is displayed. Type remove selected server and press Enter. At this point you should receive confirmation that the DC was removed successfully. If you receive an error that the object could not be found, it might have already been removed from the Active Directory. 16. Type quit, and press Enter repeatedly to return to the command prompt. Note: Because this procedure requires modifying the configuration naming context, it requires Enterprise Administrator permissions. If the new DC receives a different name than the failed DC, you should perform the following additional steps: Removal of the failed server object from the Sites & Services snap-in: Open the Sites & Services snap-in. Select the appropriate site. Delete the server object associated with the failed DC. Removal of the failed computer account from the Users & Computers snap-in: 1. Open the Users & Computers snap-in. Select the domain controllers container. Delete the computer object associated with the failed DC. WARNING: Do not perform the additional steps above if the new machine will have the same name as the failed machine. Make sure that hardware failure wasn’t the cause of the problem. If the faulty hardware isn’t changed, then restoring via reinstallation may not help.

40 IFM (Install From Media)
Instalar un DC con Windows 2003 en un dominio. Realizar un Backup del “system state” de un DC en ese dominio. Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va ha ser promovido. Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state” How to use the Install from Media feature to promote Windows Server 2003-based domain controllers

41 Demo DCPromo con ‘Install from media’

42 Restauración Restaurar a estado bueno usando NTBACKUP Tipos
Non-Authoritative Restore Reiniciar en modo AD para sincronizar cambios Authoritative Restore Hacer que los objetos en el DC de referencia sean una “copia maestra” para el forest

43 Restauración No autoritaria
Método de restauración por defecto Cuando usarlo Problemas de hardware Problemas con aplicaciones o perdida de datos Opciones Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO Restaurar la máquina a un buen punto conocido y sincronizar Verificar la restauración

44 Restauración Autoritaria
Cuando usarlo Borrado accidental o modificación de objetos o contenedores en el dominio o configuración NC Corrupción de objetos/atributos en el directorio Lo que no hace No sobrescribe objetos creados después del backup Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion No soportado con “Schema Naming Context”

45 Restauración Autoritaria
Pasos: Realizar un restore No Autoritativo Entrar en Modo ‘Recuperación de Directorio’ Login con la cuenta de recuperación Restauración del System State Marcar objetos en NTDSUTIL como autoritarios: ‘Restore Subtree’ + DN completo del usuario a restaurar: “cn=username,cn=users,dc=DOM,dc=COM” Reiniciar.

46 Demo Restauración autoritativa

47 Consideraciones de la restauración autoritaria
Perdida de cuentas de máquina Perdida de pertenencia a grupos Reanimación de objetos borrados

48 Reparación !!! NO HAY GARANTIAS !!! Último recurso
Elegir backup si existe Consume Tiempo y además …. !!! NO HAY GARANTIAS !!!

49 Reparación BD del AD NTDS.dit  La base de datos.
Edbxxxx.log  log de transaciones (10 MB cada uno) Edb.chk  fichero de checkpoint Res1.log & Res2.log  Logs de reserva de espacio NTDSUTIL - Files Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.

50 Reparación BD del AD La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de ‘Built-in consistency checking’ en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR

51 Reparación BD del AD NTDSUTIL: Files
Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la base de datos de Directorio Activo Información de la ubicación de los ficheros de AD Compresión Offline de NTDS.DIT Check de integridad Offline de NTDS.DIT Reubicación de los ficheros de AD Restauración ‘soft recovery’ de la la base de datos de AD Soft recovery (Repair) usa los ficheros de Log y los de base de datos en disco (no los de backup) para recuperación de un fallo. Reparación de NTDS.DIT Algunos Comandos disponibles: Repair, Recover, Integrity

52 Reubicar NTDS (DB y logs)
NTDSUTIL: Files - Para mover NTDS.DIT  "move db to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover el fichero NTDS.DIT - Para mover los ficheros de Log  "move logs to <%s>" (sin comillas), donde <%s> es la ruta a donde se desea mover los ficheros de log. - Para ver los ficheros de log o de base de datos  info -Para verificar la integridad de la base de datos en su nueva localización  integrity. NOTA: Cuando se mueven los ficheros del AD (B.D. y/o Logs) se debe realizar un backup del DC.

53 Reparación BD del AD NTDSUTIL: Semantic Database Analysis
Ejecuta un análisis semántico de la base de datos. Debe ejecutarse después de llevar a cabo un ‘Soft Recovery’ NTDSUTIL: Security Account Management Permite localizar y eliminar SIDs duplicados en la base de datos de AD

54 Cuestiones ¿Preguntas? Dudas … Temas que no hemos tratado …
Temas que no han quedado claro … Sugerencias, feedback … ¿Preguntas?

55 Your potential. Our passion.


Descargar ppt "Recuperación de desastres en Directorio Activo"

Presentaciones similares


Anuncios Google