Windows Server 2003 Implantación contra Desastres Julián Blázquez García Código: HOL-WIN20

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Introducción Cuando ocurre un error o inconsistencia en un controlador de dominio ¿Qué hacemos? –Restauramos la imagen del DC … –Restauramos la copia de seguridad del System State … –Reinstalamos el equipo … Existen muchos mecanismos que nos permiten recuperar los controladores de dominio, pero ¿son los más óptimos?

Introducción Otra de las problemática que pueden existir es la suplantación de los roles. ¿Que hacemos cuando un DC con roles de dominio o bosque deja de funcionar, como suplantamos sus funcionalidades sin incoherencias en la base de datos? La herramienta NTDUtil nos va ha permitir resolver todos estos problemas de un modo fácil y rápido.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

NTDSUtils Ntdsutil.exe es una herramienta de la línea de comandos Proporciona facilidades de administración para Active Directory Se utiliza para: –Mantenimiento de la base de datos de Active Directory –Administración y control de operaciones de un solo maestro –Eliminación de metadatos de los controladores de dominio que se han quitado de la red sin desinstalarse correctamente. Diseñada para los administradores experimentados.

NTDSUtils NTDSUtils proporciona los siguientes comandos: –Restauración autoritaria –Configurable Settings –Domain Management –Files –IPDeny List –LDAP Policies –Metadata Cleanup –Funciones (Roles) –Security Account Management –Semantic Database Analysis –Set DSRM Password

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Archivos de datos y de Log ArchivoDescripción Ntds.dit Archivo de datos del AD Almacena información de objetos en el DC Ubicación por defecto: systemroot\NTDS folder Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log Edb.chk Archivo de comprobación Guarda información no escrita al archivo de BBDD Res1.log Res2.log Reserva de espacio para archivos de transacciones

Proceso de Modificación de AD Petición Transacción iniciada Escritura en le buffer de transacciones Escritura en el archivo de BBDD Ntds.dit on Disk EDB.log Escritura en el log de transacciones Realizar transacción Actualización checkpoint Edb.chk

Configurable Settings - Sintaxis Ayuda a modificar el TTL de datos dinámicos almacenados en Active Directory. Para acceder al simbolo del sistema de Configurable Settings: Ntdsutils> Configurable Settings Sintaxis {cancel changes|connections|list|set %s to %s|show values }

Configurable Settings - Parámetros cancel changes Cancela los cambios realizados, pero todavía no aplicados. connections Llama al submenú server connections. list Enumera los nombres de las opciones configurables admitidas. set %s to %s Define las opciones configurables %s1 en el valor %s2. show values Muestra valores de opciones configurables. %s: Variable alfanumérica, como un nombre de dominio o de controlador de dominio.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

FILES - Sintaxis El interprete de comandos Files proporciona comandos para administrar los datos de servicio de directorio y los archivos de registro. El archivo de datos se denomina Ntds.dit. Para acceder al símbolo del sistema de Configurable Settings: Ntdsutils> Files Sintaxis: {compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s}

FILES - Parámetros compact to %s (%s directorio de destino vacío) Compacta el archivo de datos existente y escribe el archivo compactado en el directorio especificado. header Escribe el encabezado del archivo de datos Ntds.dit en la pantalla. Este comando puede ayudar al personal de soporte técnico a analizar problemas de base de datos. info Analiza e informa del espacio libre en los discos instalados en el sistema, lee el Registro y, a continuación, informa del tamaño de los archivos de datos y de registro. integrity Realiza una comprobación de integridad del archivo de datos, lo que permite detectar cualquier clase de daño de bajo nivel de la base de datos. Se debe ejecutar siempre Recover antes.

FILES - Parámetros move DB to %s (%s identifica un directorio de destino) Mueve el archivo de datos Ntds.dit al nuevo directorio especificado mediante %s. Requiere reiniciar. move logs to %s (%s identifica un directorio de destino) Mueve los archivos de registro del servicio de directorio al nuevo directorio especificado mediante %s. Requiere reiniciar. set path db %s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación y nombre de archivo del archivo de datos. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales.

FILES - Parámetros set path logs %s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación de los archivos de registro. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales. set path working dir %s (%s: un directorio de destino) Establece la parte del Registro donde se identifica el directorio de trabajo del servicio de directorio. %s Variable alfanumérica, como un nombre de dominio o de controlador de dominio.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

FILES - Parámetros move DB to %s (%s identifica un directorio de destino) Mueve el archivo de datos Ntds.dit al nuevo directorio especificado mediante %s. Requiere reiniciar. move logs to %s (%s identifica un directorio de destino) Mueve los archivos de registro del servicio de directorio al nuevo directorio especificado mediante %s. Requiere reiniciar. recover Realiza una recuperación parcial de la base de datos. La recuperación parcial examina los archivos de registro y garantiza que todas las transacciones realizadas en los mismos también se reflejan en los archivos de datos.

FILES - Parámetros set path backup %s (%s: un directorio de destino) Establece el destino de copia de seguridad de disco a disco en el directorio especificado mediante %s. El servicio de directorio puede configurarse para realizar una copia de seguridad de disco a disco en línea a intervalos programados. set path db %s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación y nombre de archivo del archivo de datos. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales. set path logs %s (%s identifica un directorio de destino) Actualiza la parte del Registro que identifica la ubicación de los archivos de registro. Únicamente para volver a crear un controlador de dominio sin restaurar mediante procedimientos de restauración normales.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Restauración Autoritativa Restaura los controladores de dominio a un punto específico en el tiempo y marca los objetos de Active Directory como autoritarios. En los bosques con un nivel funcional de Windows Server 2003 o Windows Server 2003 intermedio, se restauran vínculos de retroceso para los vínculos creados después de haber elevado el nivel funcional. Con Ntdsutil versión Windows Server 2003 SP1 authoritative restore crea un archivo LDIF (Formato de intercambio de datos LDAP) que se puede utilizar para restaurar vínculos de retroceso.

Authoritative Restore - Sintaxis Para acceder al símbolo del sistema authoritative restore: Ntdsutil> authoritative restore Sintaxis {create ldif file(s) from %s|restore database|restore database verinc %d|restore object %s|restore object verinc %d|restore subtree %s|restore subtree %s verinc %d}

Authoritative Restore - Parámetros create ldif file(s) from %s Disponible en la versión de Ntdsutil incluida en Windows Server 2003 SP1. Esta opción crea un archivo LDIF de actualizaciones de vínculos. restore database Marca la totalidad de Ntds.dit como autoritarias. El esquema no puede restaurarse de manera autoritaria. restore database verinc %d Marca la totalidad de Ntds.dit como autoritarias e incrementa el número de versión en %d veces el número de días desde la copia de seguridad. restore object %s Marca el objeto %s como un objeto con autoridad. Si utiliza la versión de Ntdsutil incluida en Windows Server 2003 SP1, esta opción también genera un archivo LDIF.

Authoritative Restore - Parámetros restore object %s verinc %d Marca el objeto %s como un objeto con autorización y actualiza los vínculos tal como se describe en restore object %s. Además, incrementa el número de la versión multiplicándolo por %d veces el número de días transcurridos desde la copia de seguridad. restore subtree %s Marca el subárbol %s (y todos los elementos secundarios del subárbol) como elementos con autorización. restore subtree %s verinc %d Marca el subárbol %s (y todos los elementos secundarios del subárbol) como un objeto con autorización.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Transferencia y Suplantación de roles Para transferir y asumir funciones de maestro de operaciones utilizamos el interprete de comandos Roles. Para acceder al símbolo del sistema Roles: Ntdsutil> Roles Sintaxis: {connections|seize domain naming master|seize infrastructure master|seize PDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transfer PDC|transfer RID master|transfer schema master}

Transferencia y Suplantación de roles Connections Llama al submenú Server connections. seize domain naming master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de nombres de dominio. seize infrastructure master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de infraestructuras. seize PDC Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de PDC.

Transferencia y Suplantación de roles seize RID master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de identificadores relativos. seize schema master Hace que el controlador de dominio al que está conectado reclame la propiedad de la función de maestro de operaciones de esquema. select operation target Llama al submenú Select operation target. transfer domain naming master Indica al controlador de dominio al que está conectado que obtenga la función de nombres de dominio mediante una transferencia controlada.

Transferencia y Suplantación de roles transfer infrastructure master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de operaciones de infraestructuras mediante una transferencia controlada. transfer PDC Indica al controlador de dominio al que está conectado que obtenga el maestro de operaciones de PDC mediante una transferencia controlada. transfer RID master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de identificadores relativos mediante una transferencia controlada. transfer schema master Indica al controlador de dominio al que está conectado que obtenga la función de maestro de operaciones de esquema mediante una transferencia controlada.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Recuperación de Roles Para recuperar el rol o función que poseía un controlador de dominio que ha dejado de funcionar, es necesario realizar las siguientes acciones: –Limpiar la metadata de las base de datos –Y acontinuación, usando el interprete de comandos Roles es necesario emplear los parametros seize: Seize Domain Naming Master Seize Infraestructure Master Seize PDC Seize RID Master Seize Schema Master

Limpieza de Metadatos Limpia metadatos para controladores de dominio con errores. Ntdsutil.exe Service Pack 1 elimina las conexiones FRS (servicio de replicación de archivos) e intenta transferir o asumir las funciones del maestro de operaciones. Para acceder al símbolo del sistema metadata cleanup: Ntdsutil> metadata cleanup Sintaxis {connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target}

Limpieza de Metadatos connections Llama al submenú Server connections. remove selected domain Quita los metadatos asociados al dominio seleccionado en el submenú Select operation target. remove selected naming context Quita los metadatos asociados al contexto de nombres seleccionado en el submenú Select operation target. remove selected server Quita los metadatos asociados al controlador de dominio seleccionado en el submenú Select operation target.

Limpieza de Metadatos remove selected server %s En la versión de Ntdsutil.exe incluida en Windows Server 2003 SP1, elimina los metadatos de directorio y FRS para el servidor deshabilitado %s del directorio del host local, e intenta transferir o asumir las funciones del maestro de operaciones que controla el servidor %s al host local. remove selected server %s1 on %s2 En la versión de Ntdsutil.exe incluida en Windows Server 2003 SP1, se conecta al servidor %s2, elimina los metadatos de directorio y FRS para el servidor %s1 del directorio del servidor %s2, e intenta transferir o asumir las funciones del maestro de operaciones que controla el servidor %s1 al servidor %s2. select operation target Llama al submenú Select operation target.

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

Servicio DHCP La base de datos DHCP es una base de datos dinámica que se actualiza cuando se asignan clientes DHCP o conforme éstos liberan sus concesiones. La base de datos DHCP contiene datos de configuración de DHCP (ámbitos, reservas, opciones y concesiones) Windows Server 2003 almacena la base de datos DHCP en el directorio %Systemroot%\System32\Dhcp DHCP.mdb Tmp.edb J50.log y J50*.log DHCP.mdb Tmp.edb J50.log y J50*.log Res*.log J50.chk Res*.log J50.chk

Servicio DNS La base de datos del Servicio DNS se crean para cada una de las zonas que se creen en el Servidor. Cada base de datos tiene el nombre del dominio, con la extensión dns. Ejemplo: dominio.ext.dns Para mantener a salvo dichas zonas es necesario copiar dichos archivos. Las bases de datos se encuentran en la ruta %Systemroot%\system32\dns

Agenda Introducción Las NTDSutils La base de datos del directorio activo Procedimientos de movimientos, indexación y compactación Copia de seguridad y restauración de la base de datos La restauración autoritativa Gestión de Roles: transferencia y suplantación de roles Procedimientos para la recuperación de los roles Recuperación de los servicios de red de directorio activo El servicio DNS. Las zonas integradas en directorio activo

DNS Integrado en AD ¿Cómo evitamos la pérdida del servicio de DNS cuando este se encuentra integrado en Active Directory? ¿Existe la base de datos de la zona en la ruta por defecto? (%Systemroot%\system32\dns\zona.ext.dns) Es mucho más fácil que en cualquier otra configuración de DNS DNS integrado en Active Directory almacena la información de la zona dentro de la base de datos del Directorio Activo (Ntds.dit)

Boletín quincenal TechNews

Contactos Informática 64 – – Profesor