La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Recuperación de desastres en Directorio Activo Miguel Angel Vigara – TAM- Microsoft Premier Support Jose Parada Gimeno – ITE - Microsoft.

Presentaciones similares


Presentación del tema: "Recuperación de desastres en Directorio Activo Miguel Angel Vigara – TAM- Microsoft Premier Support Jose Parada Gimeno – ITE - Microsoft."— Transcripción de la presentación:

1 Recuperación de desastres en Directorio Activo Miguel Angel Vigara – TAM- Microsoft Premier Support Jose Parada Gimeno – ITE - Microsoft Technet

2 Agenda Componentes del Directorio Activo Componentes del Directorio Activo Base de Datos Base de Datos SysVol. FRS SysVol. FRS Tareas Preventivas Tareas Preventivas Herramientas Herramientas Recuperación de desastres Recuperación de desastres Reinstalación Reinstalación Recuperación Recuperación Reparación Reparación

3 Agenda Componentes del Directorio Activo Componentes del Directorio Activo Base de Datos Base de Datos SysVol. FRS SysVol. FRS Tareas Preventivas Tareas Preventivas Herramientas Herramientas Recuperación de desastres Recuperación de desastres Reinstalación Reinstalación Recuperación Recuperación Reparación Reparación

4 El Directorio Activo Es el Servicio de Directorio de Windows Está integrado en el SO Es el Servicio de Directorio de Windows Está integrado en el SO Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia. Utiliza un modo de replicación Multimaster, sin consistencia y con convergencia. Soporta la mayoría de los cambios en cualquier DC. Soporta la mayoría de los cambios en cualquier DC. A nivel Físico, los principales componentes son: A nivel Físico, los principales componentes son: Base de Datos. Base de Datos. El SysVol. Replica mediante FRS El SysVol. Replica mediante FRS A nivel Lógico se divide en particiones. A nivel Lógico se divide en particiones.

5 Arquitectura de la BD Extensible Storage Engine (ESE) Database layer Sistema De Ficheros Replicación Transportes (RPC,SMTP, IP) Clientes Outlook Windows NT 4.0 NET APIs Replicación Windows NT 4.0 BDC LDAP/ADSI Clientes Outlook REPLLDAPSAMMAPI Directory System Agent (DSA)

6 Integridad Las operaciones de escritura en la BD son transacciones atómicas. Las operaciones de escritura en la BD son transacciones atómicas. Uncommitted Entries in Transaction Logs Base de Datos Actual Base de Datos Actual Base de Datos Fichero.dit Base de Datos Fichero.dit

7 Integridad Los procesos de Log y Recuperación garantizan la integridad y consistencia. Los procesos de Log y Recuperación garantizan la integridad y consistencia. EDB.chk. EDB.chk. EDB.log y Edb00001.log EDB.log y Edb00001.log Edb.chk.dit Entradas en el Log de Transacciones Escritas en la BD Entradas en el Log de Transacciones NO Escritas en la BD Edb.log Memory Buffers

8 Desfragmentación Online Online No reduce el tamaño de la BD No reduce el tamaño de la BD Automática con el proceso de GC Automática con el proceso de GC Opción de Manual en W2K3 y se puede separar del Garbage Collection Opción de Manual en W2K3 y se puede separar del Garbage Collection Offline Offline Si reduce el Tamaño de la BD Si reduce el Tamaño de la BD Usar solo en caso de que hayan disminuido mucho los objetos de la BD Usar solo en caso de que hayan disminuido mucho los objetos de la BD Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente. Mantener la NTDS.dit original hasta comprobar que todo funciona correctamente.

9 Particiones Lógicas. Aplicación Todas las particiones Juntas forman la Base de Datos del Directorio Activo. Dominio Configuración Esquema Contiene información de todos los objetos específicos del Dominio creados en el Directorio Activo. Contiene información sobre la estructura Directorio Activo Contiene las definiciones y reglas para crear y manipular todos los objetos y atributos Contiene datos de Aplicación ForestDNSZone DomainDNSZone Contiene datos de Aplicación ForestDNSZone DomainDNSZone

10 USN: 4710 USN: 4711 Añadir nuevo usuario DS1 Object: : 4711 Object: usnCreated : 4711 P1:4711 Version# TSValue1 Org. DB GUID 4711 DS1 DB GUID PropertyValueUSNTimest. Org USN P2:4711TSValue14711 DS1 DB GUID P3:4711TSValue14711 P4:4711TSValue14711 Object: : 4711 Object: usnChanged : 4711 Creación de Objetos

11 USN: 4711 Replicación del Usuario DS1 DS2 USN: 1745 USN: 1746 P1:1746 Version# TSValue1 Org. DB GUID 4711 DS1 DB GUID PropertyValueUSNTimest. Org USN P2:1746TSValue14711 DS1 DB GUID P3:1746TSValue14711 P4:1746TSValue14711 Object: : 1746 Object: usnCreated : 1746 Object: : 1746 Object: usnChanged : 1746 Replicación de Objetos

12 Cambio del Teléfono DS2 USN: 2001 USN: 2002 P1:1746 Version# TSValue1 Org. DB GUID 4711 DS1 DB GUID PropertyValueUSNTimest. Org USN P2:2002TSValue22002 DS2 DB GUID P3:1746TSValue14711 DS1 DB GUID P4:1746TSValue14711 Object: : 1746 Object: usnCreated : 1746 Object: : 2002 Object: usnChanged : 2002 Modificación del Objeto

13 USN: 5039 Replicación del Teléfono modificado DS1 DS2 USN: 5040 USN: 2002 P1:4711 Version# TSValue1 Org. DB GUID 4711 DS1 DB GUID PropertyValueUSNTimest. Org USN P2:5040TSValue22002 DS2 DB GUID P3:4711TSValue14711 DS1 DB GUID P4:4711TSValue14711 Object: : 4711 Object: usnCreated : 4711 Object: : 5040 Object: usnChanged : 5040 Replicación de Cambios

14 Borrado de Registros Tombstone=Delete=Borrar Tombstone=Delete=Borrar Es un borrado lógico. Es un borrado lógico. Quita casi todos los atributos y añade IsDeleted Quita casi todos los atributos y añade IsDeleted Sirve para Replicar el borrado de Objetos Sirve para Replicar el borrado de Objetos Default= 60 días ; Min = 2 días Default= 60 días ; Min = 2 días Garbage Collection=Purge=Purgar. Garbage Collection=Purge=Purgar. Borra objetos con Tombstone caducados Borra objetos con Tombstone caducados Borra fichero de log innecesarios Borra fichero de log innecesarios Defragmenta la Base de Datos Defragmenta la Base de Datos Default = 12 horas ; Min = 1 hora ; Max =TT/3 Default = 12 horas ; Min = 1 hora ; Max =TT/3

15 SYSVOL Es un recurso compartido que se genera en cada DC al realizar DCpromo. Es un recurso compartido que se genera en cada DC al realizar DCpromo. Contiene: Contiene: Políticas de Sistema (Windows NT, 9X) Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominio GPO para los miembros del dominio Scripts de Logon y Logoff. Scripts de Logon y Logoff. Utiliza el FRS para replicar el contenido entre DCs Utiliza el FRS para replicar el contenido entre DCs Siempre comprime el contenido Siempre comprime el contenido Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios. Al igual que el la BD utiliza el KCC y sus objetos de conexión para la replicación entre Sitios.

16 Demo Ubicación de componentes Ubicación de componentes

17 Agenda Componentes del Directorio Activo Componentes del Directorio Activo Base de Datos-FSMO Base de Datos-FSMO SysVol-FRS SysVol-FRS Tareas Preventivas Tareas Preventivas Herramientas Herramientas Recuperación de desastres Recuperación de desastres Reinstalación Reinstalación Recuperación Recuperación Reparación Reparación

18 Tareas Preventivas Backup Backup Guardar información necesaria Guardar información necesaria Automated System Recovery ( ASR ) Automated System Recovery ( ASR ) Consola de recuperación Consola de recuperación Administración remota (Terminal Services o Escritorio Remoto) Administración remota (Terminal Services o Escritorio Remoto) /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs) DS Restore Mode /SAFEBOOT:DSREPAIR /SOS en el BOOT.INI (DCs) DS Restore Mode Opciones de inicio avanzado (Opción F8) Opciones de inicio avanzado (Opción F8) Support Tools, Kit de Recursos Support Tools, Kit de Recursos

19 Backup Política de Backups: Política de Backups: Buen Backup Buen Backup Comprobar Comprobar Rendimiento Rendimiento W2K-Cada DC requiere su propio Backup W2K-Cada DC requiere su propio Backup W2K3-Un Backup de cualquier DC de su dominio (IFM) W2K3-Un Backup de cualquier DC de su dominio (IFM) Mínimo: Mínimo: System State de un DC de cada dominio System State de un DC de cada dominio

20 Guardar información necesaria Nombre de máquina Nombre de máquina Direcciones IP Direcciones IP Configuración de Video Configuración de Video Configuración de discos Configuración de discos Información del dominio Información del dominio Contraseña de Administrador Contraseña de Administrador Contraseña usada cuando se realizó el DCPromo. Contraseña usada cuando se realizó el DCPromo. Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD. Necesaria para iniciar sesión con la Consola de Recuperación y el Modo de Restauración del AD. Necesaria para restaurar System State en un Controlador de Dominio. Necesaria para restaurar System State en un Controlador de Dominio.

21 Backup del System State Registro (Regback) Base de datos de clases COM+ registradas Ficheros de inicio de sistema Base de datos de Directorio Activo Volumen SYSVOL Y si están instalados: Metadata de IIS Base de datos de Certificate Services y COM+ Base de datos de configuración de Cluster Service Zonas de DNS System State How to Back Up and Restore the System State

22 Excepciones en el Backup y Restore HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ FilesNotToBackup HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ FilesNotToBackup HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ KeysNotToRestore HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Control\BackupRestore\ KeysNotToRestore

23 Automatic System Recovery-W2K3 Se genera un Disquete y un fichero *.BKF con la información del sistema Se genera un Disquete y un fichero *.BKF con la información del sistema Con NTBACKUP Con NTBACKUP Solo hace backup de los ficheros del sistema. Solo hace backup de los ficheros del sistema. Para recuperar necesitamos: Para recuperar necesitamos: El Disquete El Disquete El *.BKF El *.BKF El CD de Windows 2003 El CD de Windows 2003 Con la opción F2 de arranque. Con la opción F2 de arranque.

24 Consola de Recuperación Acceso sin cargar completamente el Sistema Operativo Acceso sin cargar completamente el Sistema Operativo Requiere contraseña de Administrador Requiere contraseña de Administrador Net user administrator * (F8) Net user administrator * (F8) Setpwd /s:servername (Windows 2000 SP2) Setpwd /s:servername (Windows 2000 SP2) Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio Cómo cambiar la contraseña de administrador Consola de recuperación en un controlador de dominio W2K3 se cambia con NTDSUTIL W2K3 se cambia con NTDSUTIL Instalada localmente o ejecutada desde CD Instalada localmente o ejecutada desde CD

25 Administración Remota Sólo en DCs Sólo en DCs Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS Crear una nueva entrada en el archivo Boot.ini con /SAFEBOOT:DSREPAIR /SOS Definir la opción de arranque apropiada y reiniciar el sistema Definir la opción de arranque apropiada y reiniciar el sistema multi(0)disk(0)rdisk(0)partition(2)\WINNT=W2K DC \\your server name /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT=W2K DC \\your server name /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINNT=W2K DC \\your server name /fastdetect /SAFEBOOT:DSREPAIR /SOS multi(0)disk(0)rdisk(0)partition(2)\WINNT=W2K DC \\your server name /fastdetect /SAFEBOOT:DSREPAIR /SOS Accesible con Mstsc.exe vía Escritorio Remoto (RDP) Accesible con Mstsc.exe vía Escritorio Remoto (RDP)

26 Agenda 1. Componentes del Directorio Activo 1. Base de Datos-FSMO 2. SysVol-FRS 2. Tareas Preventivas 3. Herramientas 4. Recuperación de desastres 1. Reinstalación 2. Recuperación 3. Reparación

27 Herramientas IPCONFIG PATHPING NSLOOKUP DCPROMO Visor de Eventos NTDSUTIL NTBACKUP SECEDIT … DNSCMD DCDIAG NETDIAG REPADMIN LDP NETDOM NLTEST REPLMON DSACLS ADSIEDIT ACLDIAG DSASTAT … NTFRSUTIL ADDIAG XCACLS SHOWACLS … LIBROS ONLINE

28 NTDSUTIL Gestión de los Servicios de Directorio Gestión de los Servicios de Directorio FSMOs FSMOs Almacenamiento del AD Almacenamiento del AD Cambio de la contraseña local de Administrador Cambio de la contraseña local de Administrador Eliminar DCs y dominios huérfanos Eliminar DCs y dominios huérfanos Conectar a un DC determinado Conectar a un DC determinado Authoritative Restore Authoritative Restore Reparar Reparar Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs Ver particiones del directorio, Sites, Servidores, Dominios y FSMOs

29 Herramientas Netdiag Netdiag Diagnostico de los servicios locales Diagnostico de los servicios locales Dcdiag Dcdiag Diagnostico de los servicios de DC Diagnostico de los servicios de DC Repadmin Repadmin Diagnostico de la replicación de AD Diagnostico de la replicación de AD

30 y… ¿Qué está fallando? Algo falla ¿Funciona la red? ¿Funciona DC? ¿Resuelven nombres? Visor de sucesos, PING, IPCONFIG, NLTEST, NETDIAG, Network Monitor Visor de sucesos, PING, NSLOOKUP,NBTSTAT,DNSCMD Visor de sucesos, DCDiag, DSASTAT, NTDSUTIL, NETDOM ¿Funciona replicación? Detectado Visor de sucesos, REPADMIN, REPLMON, GPOTOOL, NTFRSUTIL

31 Group Policy Group Policy File Relication Services File Relication Services Replicación de Directorio Activo Replicación de Directorio Activo Configuración DNS y TCP/IP Configuración DNS y TCP/IP Diagnóstico de la instalación de DC How to Verify an Active Directory Installation How to Verify an Active Directory Installation in Windows Server 2003

32 Demo Backup del System State Backup del System State Claves de registro de Backup Claves de registro de Backup Consola de recuperación Consola de recuperación Ntdsutil.exe Ntdsutil.exe

33 Agenda Componentes del Directorio Activo Componentes del Directorio Activo Base de Datos-FSMO Base de Datos-FSMO SysVol-FRS SysVol-FRS Tareas Preventivas Tareas Preventivas Herramientas Herramientas Recuperación de desastres Recuperación de desastres Reinstalación Reinstalación Recuperación Recuperación Reparación Reparación

34 Recuperación de Desastres Tipos de Desastre Tipos de Desastre Corrupción de la BD. Corrupción de la BD. Borrado de Datos. Borrado de Datos. Métodos de recuperación preferidos Métodos de recuperación preferidos 1. Reinstalación Winnt32 + DCPromo + Replicación Winnt32 + DCPromo + Replicación Winnt32 + DCPromo /Adv + Replicación Winnt32 + DCPromo /Adv + Replicación 2. Restauración NTBackup + Replicación NTBackup + Replicación 3. Reparación: Última opción para AD

35 Re-Instalación y Replicación Consideraciones: Consideraciones: Debe existir un DC sano en el dominio Debe existir un DC sano en el dominio Localización física del DC Localización física del DC Ancho de Banda Ancho de Banda Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498) Podría ser necesario borrar el Objeto Server borrarlo del AD. Metadata Cleanup. (216498) Servidor Multiproposito Servidor Multiproposito

36 Re-Instalación y Replicación Pasos: 1. Operación de limpieza: Eliminar el objeto del DC dañado del Active Directory 1. NTDSUTIL 2. ADSIEDIT 3. Dar tiempo para que se replique la eliminación del objeto. 4. Realizar una instalación nueva de Windows usando el mismo nombre de DC 2. Promover el equipo a DC (DCPromo) 1. Comprobar DCPROMO.log 3. Replicación. 1. Usar Repadmin /showreps para verificar que se han restablecido los objetos de conexión

37 Re-Instalación y Replicación El Servidor es un DC Multiproposito que no podemos formatear El Servidor es un DC Multiproposito que no podemos formatear Si tenemos Windows 2000 SP1: Si tenemos Windows 2000 SP1: Modificar entrada Registry. Modificar entrada Registry. HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType HKLM\System\CurrentControlSet\Control\ProductOptions\ProductType Reiniciar y logear con la Contraseña de recuperación Reiniciar y logear con la Contraseña de recuperación Ejecutar DCPromo en un forest nuevo. Ejecutar DCPromo en un forest nuevo. Ejecutar DCPromo para despromocionarlo. Ejecutar DCPromo para despromocionarlo. Metadata Cleanup en un DC operativo del Dominio. Metadata Cleanup en un DC operativo del Dominio. Si Windows 2000 Sp2 o posterior: Si Windows 2000 Sp2 o posterior: DCPromo /forceremoval DCPromo /forceremoval Metadata Cleanup en un DC operativo del Dominio Metadata Cleanup en un DC operativo del Dominio Utilizar el comando DCPROMO /FORCEREMOVAL para forzar la despromoción de los controladores de dominio de Active Directory

38 Demo Metadata Cleanup Metadata Cleanup

39 NTDSUTIL Como quitar un DC de la base de datos de AD Como quitar un DC de la base de datos de AD

40 IFM (Install From Media) 1. Instalar un DC con Windows 2003 en un dominio. 2. Realizar un Backup del system state de un DC 2003 en ese dominio. 3. Restaurar el system state a una ubicación alternativa en el Servidor 2003 que va ha ser promovido. 4. Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el system state How to use the Install from Media feature to promote Windows Server 2003-based domain controllers

41 Demo DCPromo con Install from media DCPromo con Install from media

42 Restauración Restaurar a estado bueno usando NTBACKUP Restaurar a estado bueno usando NTBACKUP Tipos Tipos Non-Authoritative Restore Non-Authoritative Restore Reiniciar en modo AD para sincronizar cambios Reiniciar en modo AD para sincronizar cambios Authoritative Restore Authoritative Restore Hacer que los objetos en el DC de referencia sean una copia maestra para el forest Hacer que los objetos en el DC de referencia sean una copia maestra para el forest

43 Restauración No autoritaria Método de restauración por defecto Método de restauración por defecto Cuando usarlo Cuando usarlo Problemas de hardware Problemas de hardware Problemas con aplicaciones o perdida de datos Problemas con aplicaciones o perdida de datos Opciones Opciones Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO Reconstruir el servidor desde cero. Volver a ejecutar DCPROMO Restaurar la máquina a un buen punto conocido y sincronizar Restaurar la máquina a un buen punto conocido y sincronizar Verificar la restauración Verificar la restauración

44 Restauración Autoritaria Cuando usarlo Cuando usarlo Borrado accidental o modificaci ó n de objetos o contenedores en el dominio o configuraci ó n NC Borrado accidental o modificaci ó n de objetos o contenedores en el dominio o configuraci ó n NC Corrupci ó n de objetos/atributos en el directorio Corrupci ó n de objetos/atributos en el directorio Lo que no hace Lo que no hace No sobrescribe objetos creados después del backup No sobrescribe objetos creados después del backup Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion Sólo sobre objetos de las particiones de directorio de Configuración, Dominio y Aplicacion No soportado con Schema Naming Context No soportado con Schema Naming Context

45 Restauración Autoritaria Pasos: Pasos: 1. Realizar un restore No Autoritativo 1.Entrar en Modo Recuperación de Directorio 1. Login con la cuenta de recuperación 2. Restauración del System State 2. Marcar objetos en NTDSUTIL como autoritarios: 1. Restore Subtree + DN completo del usuario a restaurar: cn=username,cn=users,dc=DOM,dc=COM 3. Reiniciar.

46 Demo Restauración autoritativa Restauración autoritativa

47 Consideraciones de la restauración autoritaria Perdida de cuentas de máquina Perdida de cuentas de máquina Perdida de pertenencia a grupos Perdida de pertenencia a grupos Reanimación de objetos borrados Reanimación de objetos borrados

48 Reparación Último recurso Último recurso Elegir backup si existe Elegir backup si existe Consume Tiempo y además …. Consume Tiempo y además …. !!! NO HAY GARANTIAS !!!

49 Reparación BD del AD NTDS.dit La base de datos. NTDS.dit La base de datos. Edbxxxx.log log de transaciones (10 MB cada uno) Edbxxxx.log log de transaciones (10 MB cada uno) Edb.chk fichero de checkpoint Edb.chk fichero de checkpoint Res1.log & Res2.log Logs de reserva de espacio Res1.log & Res2.log Logs de reserva de espacio NTDSUTIL - Files NTDSUTIL - Files Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD. Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la BD de AD.

50 Reparación BD del AD La base de datos de AD esta soportada por ESE (Extensible Storage Engine) ESE incorpora un proceso de Built-in consistency checking en la apertura NTDSUTIL combina la funcionalidad de las utilidades ISINTEG y ESEUTIL algunas de sus funciones requieren arrancar en modo DSREPAIR

51 Reparación BD del AD NTDSUTIL: Files Proporciona información, y permite realizar operaciones de mantenimiento, sobre los ficheros de la base de datos de Directorio Activo Información de la ubicación de los ficheros de AD Compresión Offline de NTDS.DIT Check de integridad Offline de NTDS.DIT Reubicación de los ficheros de AD Restauración soft recovery de la la base de datos de AD Soft recovery (Repair) usa los ficheros de Log y los de base de datos en disco (no los de backup) para recuperación de un fallo. Reparación de NTDS.DIT Algunos Comandos disponibles: Repair, Recover, Integrity

52 Reubicar NTDS (DB y logs) NTDSUTIL: Files - Para mover NTDS.DIT "move db to " (sin comillas), donde es la ruta a donde se desea mover el fichero NTDS.DIT - Para mover los ficheros de Log "move logs to " (sin comillas), donde es la ruta a donde se desea mover los ficheros de log. - Para ver los ficheros de log o de base de datos info -Para verificar la integridad de la base de datos en su nueva localización integrity. NOTA: Cuando se mueven los ficheros del AD (B.D. y/o Logs) se debe realizar un backup del DC.

53 Reparación BD del AD NTDSUTIL: Semantic Database Analysis Ejecuta un análisis semántico de la base de datos. Debe ejecutarse después de llevar a cabo un Soft Recovery NTDSUTIL: Security Account Management Permite localizar y eliminar SIDs duplicados en la base de datos de AD

54 Cuestiones Dudas … Dudas … Temas que no hemos tratado … Temas que no hemos tratado … Temas que no han quedado claro … Temas que no han quedado claro … Sugerencias, feedback … Sugerencias, feedback …

55 Your potential. Our passion.


Descargar ppt "Recuperación de desastres en Directorio Activo Miguel Angel Vigara – TAM- Microsoft Premier Support Jose Parada Gimeno – ITE - Microsoft."

Presentaciones similares


Anuncios Google