Windows Server 2008 - Active Directory - Restore autoritativo (Parte 1)

  • Article

Si bien es un proceso dentro de todo sin mayores complicaciones, no es algo que llevemos a cabo todos los días, por lo tanto en este artículo voy a describir en primer lugar las novedades en cuanto al proceso de restore autoritativo en Active Directory en dominios Windows Server 2008, y luego las principales consideraciones y puntos a tener en cuenta en cuanto a este proceso.

En primer lugar, como muchos de ustedes ya sabrán, los controladores de dominio Windows Server 2008 ofrecen la posibilidad de detener y/o reiniciar exclusivamente el servicio AD DS (Active Directory Domain Services); esto provoca que temporalmente nadie se pueda validar en el controlador de dominio en el cual estemos trabajando, opción ideal para aquellas empresas que ocasionalmente presten otro tipo de servicios en el controlador de dominio afectado. Por supuesto, que esto sea o no una acción recomendada es un tema que no se tratará en esta oportunidad.

En primer lugar, tratemos en líneas generales los pasos a grandes rasgos para llevar a cabo esta tarea en un controlador de dominio Windows Server 2008:

  1. Se debe detener el servicio Active Directory Domain Services (net stop ntds).
  2. Restaurar un System State válido.
  3. Ejecutar el comando ntdsutil authoritative restore.
  4. Marcar los objetos a restaurar como Autoritativos.
  5. Iniciar el servicio (net start ntds) cuando hayamos completado la restauración.

Algunos puntos a tener en cuenta:

  • Siempre se debe tratar de marcar como autoritativos de la manera más precisa posible. Esto significa que si debemos restaurar una cantidad determinada de cuentas de usuario, por ejemplo, no restauremos toda la OU, ya que estaríamos afectando a muchos otros objetos que quizás no debieran ser restaurados, y aprovechando el ejemplo, se debe tener en cuenta que al restaurar un objeto se restauran también todos sus atributos, entre ellos grupos a los cuales pertenezca, contraseña al momento del backup, etc.
  • El Schema no se puede restaurar autoritativamente. Es importante probar en laboratorio de manera precisa cualquier tarea que implique extender el esquema.
  • Concretamente, marcar un objeto como autoritativo implica que la versión del objeto afectado se incrementa por defecto (100.000 * cantidad de días de antigüedad del backup).

En la próxima parte seguiré mencionando distintas características y consideraciones del proceso de restore autoritativo, además de algunos ejemplos concretos.

Saludos.

Marcelo.