Authoritative Restore de un Domain Controller
Algunas veces (suele ser por mala manipulación) se puede eliminar un objeto (usuario, grupo, Unidad Organizativa) de nuestro Active Directory. Ahà veces que el camino mas sencillo es recrear el objeto (con su correspondiente SID) y otras que no nos quedara mas remedio que recuperar de un Backup.
Hace poco me he encontrado con este problema en un dominio con 4 controladores de dominio, por un error de manipulación se borro una Unidad Organizativa que contenÃa unos cuantos usuarios y/o grupos. La replica de los Controladores hace que este desastre se propague por todo el dominio y empiezan los problemas de validación de usuarios (los que se borraron) y de acceso a carpetas (los grupos eliminados).
Para arreglar esta situación cuanto antes tenemos que recurrir a realizar un Authoritative Restore (Restauración Autorizada) del dominio. A grandes rasgos es decirle a uno de los Controladores de Dominio que su base de datos es la ‘buena’ para que se replique al resto de Controladores de Dominio. Esta base de datos es la que recuperaremos de nuestro ultimo Backup del System State (Estado del Sistema) que debemos tener (si no tenemos copia, tendremos que recrearnos los objetos borrados del Active Directory).
Los pasos serian:
- Reiniciar el Controlador de Dominio, entrar en el menú de arranque, pulsando F8, elegir la opción Directory Services Restore Mode. En este momento se nos pedirá la contraseña de Directory Services Restore Mode, esta la pusimos en cuando hicimos el Dcpromo de este Controlador de Dominio. Si no sabemos esta contraseña antes de reiniciar tendremos que cambiarla mediante el comando ntdsutil. En esta captura podéis ver los pasos.
- Windows arrancara y recuperaremos la base de datos del Active Directory mediante nuestra herramienta de Backup. Para recuperar con Veritas Backup Exec, en el caso de tener solo el agente instalado, tendremos que crearnos un usuario ‘local’ con el mismo nombre y contraseña que el usuario que realiza los backups. http://seer.entsupport.symantec.com/docs/236661.htm
- Una vez recuperada con el comando Ntdsutil ejecutaremos
ntdsutil:
ntdsutil: authoritative restore
ntdsutil: restore object OU=UnidadBorrada,DC=dominio,DC=com
Es muy importante el saber la ruta LDAP completa de la Unidad Organizativa borrada. Si nuestro dominio se llama teayudo.es y la Ou borrada estaba dentro de la Ou Usuarios y se llamaba Grupos, la ruta LDAP seria OU=Grupos,OU=Usuarios,DC=teayudo,DC=es
Podemos usar la herramienta ADSI Edit para ayudarnos a localizar la ruta LDAP.
Reiniciaremos el servidor y la base de datos se replicara al resto de Controladores de Dominio.
Un problema menos.
Por JmNieto el 11 Junio 2007. 1,618 lecturas
Etiquetas active directory, domain controller, dominio
Sin comentarios »
(1 votos, media: 4.00 sobre 5)
Loading ...
No imprimas esta página
guárdala como PDF
