En este articulo pretendo mostraros como realizar un backup de Active Directory y los diferentes tipos de restauración posibles, los cuales pueden ir desde una restauración completa y autoritativa de todo la base de datos a una especifica de una cuenta de equipo.
Backup Active Directory
Realizar backups del Active Directory es una tarea imprescindible entre las tareas de administración de nuestro dominio, sobre todo si este es el único en la red y no esta apoyado por otro controlador adicional (muy recomendable).
Para realizar este backup debemos utilizar la la utilidad Ntbackup incorporada en MS Windows Server.
Debemos abrir Ntbackup (desde menú inicio, ejecutar y teclear ntbackup) y seleccionar system state a la hora de realizar un backup.
Una vez seleccionado system state pulsamos iniciar y nos aparecerá un cuadro con opciones avanzadas además de tener la posibilidad de programar el backup para que se realice de forma periódica.
Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea controlador de dominio o no, contendrá también los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Además si se trata de un Windows 2000 o Server 2003 que actué como entidad certificadora se copiara también el almacén de certificados (certificate store).
Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea domain controller o no contendrá también los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Además si se trata de un Windows 2000 o Server 2003 que actué como entidad certificadora se copiara también el almacén de certificados (certificate store).
Restauración Active Directory
El procedimiento de restauración del Directorio Activo, es una tarea delicada de realizar.
Esta restauración depende mucho del número de controladores de dominio en la red.
Básicamente existen 3 tipos de restauraciones:
Primaria (primary): Este tipo de restauración se realiza cuando tenemos un único Controlador de Dominio.
Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero de manera que no se replicaran a otros controladores de dominio.
Autoritativa (Authoritative restore): Con este prodecimiento los cambios se replicaran a los otros controladores de dominio. Para realizar este procedimiento debemos de realizar primero una restauración no autoritativa y luego mediante la utilidad NTDSUTIL realizar una restauración autoritativa. Este procedimiento se suele realizar cuando queremos restaurar algún complemento del Sistema Operativo como una cuenta de usuario, equipo, DC…
Restauración Normal o No autoritativa
El proceso de realizar los diferentes tipos de restauraciones es similar, a continuación se explica la manera de realizar una restauración normal (No autoritativa) y los diferentes supuestos en los que podemos encontrarnos:
El Sistema Operativo arranca pero la base de datos o algún complemento del dominio esta corrupto.
Si nos encontramos en este caso debemos de arrancar el controlador de dominio en modo restauración del SD.
Para arrancar en este modo debemos de mantener pulsada la tecla F8 durante el arranque del sistema y seleccionar la opción arrancar en modo restauración de SD.
Esto nos arrancara el Sistema Operativo en modo recuperación del controlador de dominio y mediante la utilidad Ntbackup nos permitirá restaurar el sistema.
El proceso de restauración mediante el Ntbackup es un wizard donde debemos indicarle la ubicación del backup del system restore así como el modo de restauración:
Si el Sistema Operativo no arranca o esta corrupto.
En el caso de que el S.O no arranque y no nos permita arrancarlo en modo restauración del SD (Primer supuesto) debemos utilizar un disquete de recuperación del sistema (ASR), este disco se crea desde la utilidad ntbackup. Una vez tenemos el disco creado así como una copia del System State debemos arrancar la maquina con un disco de instalación del Sistema Operativo y presionar la tecla f2 cuando nos aparezca la opción de ejecutar el Asistente de recuperación Automatizada:
En este proceso nos pedirá un disco de recuperación del sistema que debíamos a ver creado previamente desde la utilidad NTBACKUP.
Una vez insertado el disquete de recuperación nos aparece un asistente para recuperar el system state
Controlador de dominio recién formateado
En el caso que nos encontremos ante un problema de hardware o una situación que conlleve el formateo de la maquina, debemos de realizar la restauración desde el nuevo sistema.
Para realizar este procedimiento debemos de poner a la maquina el nombre del controlador de dominio a restaurar y ejecutar el asistente de ntbackup.
Una vez finalizado el Directorio Activo seria restaurado en el misma maquina.
Restauración autoritativa
Esta restauración se realiza siempre que se quiera que los datos del backup del Controlador de dominio prevalezcan sobre los actuales del dominio, en el caso que fuera el unico controlador de dominio no seria necesario pero si existen mas controladores, la información que estamos restaurando es más antigua y no se actualizara salvo que lo forcemos con una restauración autoritativa
Este tipo de restauraciones se suelen hacer cuando borramos de forma accidental algún complemento del directorio (Usuario, Grupo, Controlador de Dominio..)
Para realizar este tipo de restauración debemos de hacer previamente una restauración Normal, como vimos en los casos anteriores (arrancando en modo restauración del directorio activo) y tras la restauración sin reiniciar la maquina utilizar el comando NTDSUTIL.
Para realizar una restauración autoritaria completa del Directorio Activo, puede utilizarse el mandato Restore Database, sin embargo, es necesario hacerlo con mucha precaución, ya que se perderán todos los cambios realizados desde la última copia de seguridad.
Mediante el comando NTDSUTIL podemos restaurar de forma autoritativa componentes del dominio.
Por ejemplo si quisiéramos restaurar una unidad organizativa llamada sistemas realizaríamos este proceso:
Authoritative restore
Restore subtree
OU=Sistemas,DC=pruebas,DC=local
Quit
Exit
DocSharing 
Cojonudo!!
Este KB de MS aporta más luz al tema http://support.microsoft.com/kb/311078/en-us
Interesante manera de restaurar equipos.
Ando buscando una web donde hable de los distintos modelos de backup y cual se adapta mejor a las diferentes necesidades, alguna idea?
[…] Este procedimiento se ha de realizar siempre que el servidor no se vuelva a meter en el dominio, antes de seguir este procedimiento recomienda intentar otras formas de restauración del Controlador de dominio: https://docsharing.wordpress.com/2007/12/03/backup-y-tipos-de-restauracion-de-active-directory/ […]
Excelente artíiculo. Es muy importante que cresca la comunidad técnicos y se difundan los documentos de habla hispana.
un abrazo!
Ubaldo
Santo Domingo, Republica Dominicana
DEBO DESHACERME DEL EQUIPO EN EL QUE TENGO ACTUALMENTE MI DOMINIO, PARA ELLO TENGO UN MEJOR SERVER, COMO TRASPASO TODO SIN QUE MIS USUARIOS LO PERSIVAN. COMO DEBO DE TRABAJAR MI ACTIVE DIRECTORY, O EL SYSTEM VOL, ETC..
NUNCA HE HECHO ESTO, QUIEN PUEDA AYUDARME: lkauffmann@mem.gob.ni
GRACIAS.
Buenas lkauffman,
Te explico a grandes rasgos lo que deberias hacer, si no tienes experiencia con Active Directory, te recomiendo que te documentes bien antes de realizar la transferencia de los roles, por lo menos para que sepas que es lo que estas haciendo…
Doy por hecho que tu dominio es Windows 2000 o Windows 2003 y que solo tienes un controlador de dominio, en ese caso tienes que agregar el nuevo servidor
como controlador adicional al dominio, instalar el servicio DNS y establecerlo como Catalogo Global.
Seguidamente con la herramienta NTDSUTIL realizas un transferencia de los roles FSMO del servidor que quieres retirar al nuevo servidor.
Finalmente en el controlador que quieres retirar realizas un dcpromo para despromocionar el controlador de dominio especificando que ese NO es el ultimo controlador del dominio.
De esta forma agregaras un controlador nuevo al dominio, realizaras la transferencia de los roles FSMO al nuevo controlador y despromocionaras el antiguo correctamente.
Te recomiendo que revises este documento de Microsoft:
http://support.microsoft.com/?scid=kb%3Ben-us%3B324801&x=14&y=13
Y este de docsharing si tienes algún problema:
Un saludo y suerte
Debo cambiar mi server de dominio, pondré uno mas robusto. (solo cambio de hardware) el server nuevo deberá tener el mismo nombre de dominio, pues todo deberá ser transparente a mis usuarios.
pregunto: que debo hacer para que este cambio sea transparente a mis usuarios, es preciso replicar el active directory ?(los hardware de los equipos son diferentes).
solo deseo que mis usuarios hagan login como lo han hecho y se conserven las políticas implementadas en el server viejo, el server nuevo solo servirá a como se hace en la actualidad para hacer login a nuestro dominio. ayuda. gracias.
hola tengouna pregunta espero me puedas responde necesito reinstalar mi servidor nt server 2003 con dominio guerrero.local en otra maquina he hecho un respaldo de mi informacion atravez del ntbackup pero al restaurar la informacion en la otra maquina me pone un erro al inicia q dice error durante el inicio del sistema en almenos un servidor o controlador utilice el visor de sucesos para ver examinar los sucesos.
tengo la duda de si es q no es posible restaura mi respaldo q saque de ntbackup en equipos con diferentes caracteristicas.
Alejandro para ese tipo de restauración necesitas que la nueva maquina se llame igual.
Un saludo
[…] Backup y tipos de restauración de Active Directory « Doc::Sharing Backup y tipos de restauración de Active Director (tags: windows) Tags: 13 […]
hola amigo.
Tengo un problema si sistema operativo se apaga cada 2 dias, y tengo que usar la consola de recuperacion, para hecarlo andar. Este es el que funge como servidor de red.
Necesito respaldar mi active directory para formateralo y restaurarlo de nuevo para no perder la informacion. Como le hago.
Buenos dias:
Mi problema creo que es un tanto complejo, desde el dia de ayer a la noche , el Active directory no me deja acceder . o sea cuando voy a Herramientas administrativas /Usuarios y equipos me sale un error que dice:
No se Puede encontrar la informacion de nombre debido a:
no se puede iniciar sesion
ponganse en contacto con el administrador para comprobar que su dominio esta configuradocorrectamente y esta conectado actualmente.
No solo no me deja agregar o listar usuarios sino que tampoco me deja confijgurar el servidor nuevamente con el asistente ,Tampoco me deja entrar al componente de control de admision QoS, que me dice:
No se puede completar la accion de expancion
Error:Error de inicio de secion: nombre de usuario desconocido o contraseña incorrecta.
En el Visor de Sucesos me saltan varios problemas como x eje:
Winlogon:
El subsistema de suscripción automática de certificados no ha podido tener acceso a recursos de red que se necesitan para la suscripción. No se realizará la suscripción. (0x80070525) El usuario especificado no existe.
WinMgmt:
WMI ADAP no puede procesar la biblioteca de rendimiento PerfDisk debido a una violación de tiempo en la función open
Esto es como para que se den cuenta de la gravedad del problema. Ya eh acudido al soporte de microsoft en el cual no eh encontrado respuesta a este problema. En otro Foro Tambien mencionaban un posibli Virus en un caso muy parecido.
Pero en fin Si alguno me puede brindar una solucion estare muy agadecido
Saludos
Buenas Tardes,
Quisiera saber si lograste solventar la situación y como lo hiciste, Gracias,
¿Has comprobado que el DNS funciona correctamente y apunta a la máquina que lo está ejecutando?
Saludos.
[…] […]
Son muy intersantes las recomendaciones que se dan al respecto, cada vez estamos creciendo
hmm.. thanks )
[…] Fuente Categorías:Sin categoría Comentarios (0) Trackbacks (0) Dejar un comentario Trackback […]
La verdad es muy interesante…
Habia visto otras maneras con software externo pero nunca me anime a hacerlo.
Se agradece mucho este tipo de post!
Sigan asi!
[…] este artículo de DocSharing explican perfectamente como realizar este proceso y los diferentes tipos de […]
Hola me llamo Josep, lo he provado en una maquina virtual, a mi no me funciona, deja la maquina tocada, en mi caso «algunos servicios no se han podido iniciar»
Creo que en algun momento te tendria que pedir la contraseña del dominio,
Mi consejo, CUIDADO
De todos modos gracias
Disculpen haciendo lo de NTDSUTIL si funciona un saludo
Hola, me llamo Jose R, se me dañaron 2 discos del arreglo de mi servidor principal de Dominio, luego de reemplazar los discos y formatearlo, no tengo el respaldo del active directory, esta funcionando el servidor secundario pero me esta generando problemas, como hago para restaurar el servidor Principal de dominio?
I’m not that much of a online reader to be honest but your blogs really nice,
keep it up! I’ll go ahead and bookmark your site to come back in the future. Many thanks
We are impressed with this particular website, rattling I’m a fan .
Amigos u ayuda al sacar un respaldo con ntbackup del system state si mi servidor es un windows server 2003 funciona como active directory como dhcp y como DNS al sacar respaldo del system state también se respalda configuraciones, políticas, etc que yo haya echo en el dhcp y dns o hay que respaldar estos de alguna otra manera, en si en el system state que nomas se respalda ?? gracias por su ayuda