Me he visto en la situación de tener que restaurar unos objetos eliminados en Active directory, mediante una restauración autoritativa. Os voy a relatar como se realiza.
En primer lugar os explico un poco la infraestructura a nivel de Active Directory:
- El forest y los dominios funcionan en modo 2003.
- 4 dominios ( 1 dominio padre y 3 hijos).
- Hay 3 domain controllers en cada dominio.
- Tenemos backup de todos los domain controllers, la herramienta utilizada es Legato Networker.
Problema:
- Se han eliminado unos 300 objetos ( Distribution lists y security groups) de los 3 dominios hijos.
Procedimiento:
- Con la herramienta ADrestore http://technet.microsoft.com/es-es/sysinternals/bb963906.aspx exportamos a un txt todos los elementos eliminados en directorio activo recientemente.
- Una vez exportado a txt, analizamos que elementos son los que queremos restaurar y componemos en otro fichero su DN ( distinguished name):
- Una vez iniciado, nos validamos con un usuario administrador del dominio que queremos restaurar, y pararemos el antivirus que tenga instalado el servidor para que no interfiera en la restauración.
- Después , Arrancamos el software de backup ( en nuestro caso Legato Networker) y restauramos:
VSS SYSTEM STATE , el nombre puede variar de un software de backup a otro, hay que tener en cuenta que debe restaurar el componente que incluya Active directory ( normalmente es el system state).
- Una vez finalizada la restauración del sistema ( en función del entorno puede durar varias horas), abrimos un cmd con privilegios de Administrador.
- Nos situamos en una carpeta de c: que no sea raíz, por ejemplo en c:\temp
- Ejecutamos ntdsutil
- Desde dentro del shell de ntdsutil:
- Activate instance ntds
- Authoritative restore
- Ahora procederemos a restaurar los objetos que necesitamos restaurar uno a uno, el comando es:
Restore object "CN=Llista de correo1, OU=Oficina 1,OU=Region 1,DC=dominio,DC=pepe,DC=com" (enter)
Restore object "CN=Llista de correo1, OU=Oficina 1,OU=Region 1,DC=dominio,DC=pepe,DC=com" (enter)
El campo que ponemos entre comillas, es el DN que conseguimos en los pasos anteriores.
- Al hacer la restauración de cada objeto, es posible que ntdsutil detecte back-links (referencias a objetos de otros dominios), los cuales tendrán que ser restaurados con ldifde en un paso posterior (lo indicaré).
- Hecho esto saldremos de ntdsutil (quit / quit).
- Ejecutaremos bcdedit /deletevalue safeboot
- Reiniciamos el domain controller con normalidad, el reinicio tardará más de lo normal , hay que ser paciente.
- En este momento revisaremos en la carpeta c:\temp, buscaremos todos los ficheros ldf (back-links), por cada ldf que veamos tendremos que importarlo mediante ese comando:
ldifde -i -k ar_20080609-174604_links_corp.contoso.com.ldf
- Hecho esto, se tendrán que replicar los objetos restaurados en todo el forest , podemos forzar la réplica desde Sites and Services para que vaya más rápido.
Links:
Procedimiento restauración AD: http://technet.microsoft.com/en-us/library/cc779573(v=ws.10).aspx
Como restaurar Back-links: http://technet.microsoft.com/es-es/library/cc794957(v=ws.10).aspx
No hay comentarios:
Publicar un comentario