Restartable Active Directory

EL autor de esta nota no tuvo en su dia a dia la suerte de disfrutar esta nueva característica de Active Directory proporcionada por Windows Server 2008

Que las tareas rutinarias de mantenimiento de Active Directory no te vuelvan… (La foto del autor exime todo comentario)

Para los administradores de Active Directory de Windows Server 2000 a esta parte, siempre resulto algo traumatico realizar tareas administrativas de mantenimiento sobre los controladores de dominio tales como hacer una defragmentacion offline, y restauraciones de objetos eliminados entre otras.

Para ese tipo de operaciones existía un modo llamado Directory Services Restore Mode al cual se accedia reiniciando el controlador de dominio, presionando F8 y elegiendo la opción en un menú.

Esto obviamente no solo detenia los servicios de controlador de dominio en el server, si no que también afectaba a otros servicios brindados por el servidor mientras este era manipulado en tareas de reinicios.

Si ese servidor además de controlador de dominio era también DHCP, DNS, File server, etc. pueden uds, estimados lectores, imaginar lo disruptivo del procedimiento.

Entonces bien, ¿que es restartable Active Directory? La respuesta oficial podría leerse como: Es una nueva caracteristica en Windows Server 2008 que permite realizar tareas rutinarias de mantenimiento en un controlador de dominio tales como las descriptas mas arriba sin tener que reiniciar el servidor. La respuesta no oficial seria: al fin no habrá que volverse… para restaurar objetos en el Active Directory (lamentablemente esta ventaja llega tarde para el autor de la nota).

Evidentemente esta nueva forma de operar el AD reduce el tiempo requerido para realizar tareas de mantenimiento y además no afecta otros servicios que corren en paralelo en ese mismo servidor, de hecho ni el propio Active Directory se ve afectado ya que mientras el servicio se encuentra detenido en el servidor en cuestión los requerimientos de inicio de sesión son atendidos por otros controladores del mismo dominio.

En pocas palabras y para los ansiosos, el truco se basa en simplemente detener el servicio de Active Directory como lo harian con cualquier otro servicio utilizando cualquiera de las herramientas proporcionadas para la administración de servicios.

De esta manera, un controlador de dominio con el servicio de Active Directory detenido, se comporta de la misma manera que reiniciado en Directory Services Restore mode.

Asi entonces podemos definir tres posibles estados de un controlador de dominio.

Active Directory iniciado. Es su estado normal donde los clientes de Active Directory operan con el y reciben respuesta a su requerimientos de autenticación como cualquier otro controlador de dominio 2000 o 2003

Active Directory detenido. En este modo el servidor se comporta conjugando dos roles a la vez: como un servidor miembro mas de un dominio Active Directory y como un Controlador de dominio en reiniciado en DIrectory Services Restore mode, con la base de datos NTDS.dit offline.

Directory Services Restore Mode: Esencialmente este es el modo histórico de mantenimiento de Active Directory y no ha sido cambiado.

Algunas consideraciones a tener en cuenta son:

No se puede iniciar un controlador de dominio con Active Directory detenido, si se puede reiniciar en Directory Services Restore mode.

Los servicios que NO dependen de Active Directory continuaran ejecutándose sin inconvenientes mientras Active Directory este detenido, pero servicios tsales como FRS, KDC, Intersite Messaging, etc serán detenidos como parte del proceso de detención de Active Directory.

En la consola de servicios, el servicio de Active Directory puede ser detenido o iniciado pero no pausado. Ademas el único tipo de inicio permitido es Automatic.