Resultados 1 al 1 de 1

Tema: Copia de seguridad y restauración de Active Directory en Windows Server 2008

  1. #1 Copia de seguridad y restauración de Active Directory en Windows Server 2008 
    Co-Admin HackHispano.com Avatar de clarinetista
    Fecha de ingreso
    Jan 2004
    Ubicación
    HackHispano/SM
    Mensajes
    7.709
    Descargas
    30
    Uploads
    8
    Resumen:
    • Copias de seguridad de NT y de Windows Server frente a frente
    • Herramientas y opciones de copia de seguridad
    • Herramientas y opciones de restauración
    • Claves para una estrategia acertada de copia de seguridad de Active Directory
    Es por todos conocido que los Servicios de dominio de Active Directory (ADDS, Active Directory Domain Services) constituyen un componente crítico en su infraestructura de Windows. Si Active Directory deja de funcionar, la red es, esencialmente, inútil. Como consecuencia, sus planes de copia de seguridad y restauración de Active
    Directory son fundamentales para la seguridad, la continuidad del negocio y el cumplimiento de las normas.
    Windows Server® 2008 aporta numerosas características nuevas a Active Directory®, dos de las cuales tienen un impacto significativo en sus planes de copia de seguridad y recuperación: la nueva utilidad Copias de seguridad de Windows Server y la capacidad de capturar y trabajar con instantáneas del Servicio de instantáneas de volumen de Active Directory. En este artículo describiré los cambios que suponen estas mejoras y cómo puede sacar ventaja de estos cambios para optimizar sus actividades de copia de seguridad de Active Directory.

    Copias de seguridad de NT y de Windows Server frente a frente.

    Configuración de la directiva de grupo

    Copias de seguridad de Windows Server ofrece varias configuraciones de las directivas de grupo que le proporcionan un control limitado sobre el funcionamiento de las copias de seguridad en sus servidores. Con estas directivas de copia de seguridad, es posible mitigar algunos de los riesgos asociados a las personas que llevan a cabo copias de seguridad no autorizadas con el objeto de obtener acceso a datos no autorizados. Las opciones incluyen:

    Permitir sólo copia de seguridad del sistema En el caso de configurar esta opción, Copias de seguridad de Windows Server sólo podrá realizar copias de seguridad de los volúmenes críticos del sistema. No puede realizar copias de seguridad del volumen. No permitir como destino de copia de seguridad un medio de almacenamiento conectado localmente. Si esta configuración está habilitada, no se permitirán las copias de seguridad en las unidades conectadas localmente. Sólo puede realizar copias de seguridad en un recurso compartido de red.

    No permitir como destino de copia de seguridad una red Esta configuración no permite la realización de copias de seguridad en ningún recurso compartido de red.
    No permitir como destino de copia de seguridad un medio óptico En el caso de configurar esta opción, Copias de seguridad de Windows Server no podrá realizar copias de seguridad en ningún dispositivo óptico, por ejemplo, una unidad de DVD grabable.

    No permitir copias de seguridad de una sola ejecución
    Esta configuración no permite que Copias de seguridad de Windows Server ejecute copias de seguridad sin programar, ad hoc. Sólo se podrán ejecutar las copias de seguridad programadas a través del complemento MMC de Copias de seguridad de Windows Server.

    La Copia de seguridad de NT que ha conocido y que adoraba desde Windows NT® 3.5 ya no existe. Se ha reemplazado con Copias de seguridad de Windows Server. Esta nueva herramienta no es simplemente una copia de seguridad de NT con adornos; es una tecnología de copias de seguridad totalmente nueva que le obligará a replantearse la forma de realizar copias de seguridad de sus sistemas.
    Aunque Copias de seguridad de Windows® Server constituye la única solución de copia de seguridad original para Windows Server 2008, no constituye una sustitución de característica por característica para Copia de seguridad de NT. La mayor diferencia es que Copias de seguridad de Windows Server es una solución de copia de seguridad disco a disco; no es compatible con las copias de seguridad en cinta. Puede crear imágenes de copia de seguridad en volúmenes de disco directamente conectados, en recursos compartidos de red e, incluso, en unidades de disco duro USB externas y en DVDs grabables multivolumen. Pero no puede realizar copias de seguridad en cinta. Para ser claro, aún es posible colgar una unidad de cinta en un servidor Windows Server 2008 y copiar las imágenes de copia de seguridad generadas por Copias de seguridad de Windows Server en la unidad de cinta, pero tendrá que usar software de terceros para hacerlo.
    Mientras que Copia de seguridad de NT es una herramienta de copia de seguridad y restauración basada en archivos, Copias de seguridad de Windows Server se basa en volúmenes y bloques. Copias de seguridad de Windows Server administra el origen de la copia de seguridad como un conjunto de volúmenes, considerando cada volumen como una colección de bloques de discos. Esto es considerablemente más eficaz que realizar copias de seguridad de los archivos a través del sistema de archivos. La administración de las copias de seguridad basadas en bloques también permite a Copias de seguridad de Windows Server hacer uso de las instantáneas del Servicio de instantáneas de volumen para realizar copias de seguridad incrementales a nivel de bloque, así como crear instantáneas en el volumen de destino para simplificar el uso de (y reducir el espacio usado por) varias copias de seguridad.
    Incluso si realiza copias de seguridad completas, Copias de seguridad de Windows Server ofrece una gran eficiencia de espacio en los discos de destino. Por ejemplo, puede realizar varias copias de seguridad completas del mismo volumen. Puesto que Copias de seguridad de Windows Server usa instantáneas del Servicio de instantáneas de volumen en los discos de destino donde almacena las imágenes de copia de seguridad, las instantáneas sólo almacenarán los bloques que han cambiado. Esto reduce sustancialmente el espacio usado por varias copias de seguridad completas y elimina la necesidad de realizar varias operaciones de restauración para recuperar un copia de seguridad incremental. Aunque la instantánea sólo almacena los deltas de cada copia de seguridad, el Servicio de instantáneas de volumen hace aparecer completa cada una de las copias de seguridad.
    No obstante, debe tener en cuenta que sólo obtiene los beneficios del Servicio de instantáneas de volumen en el destino si realiza una copia de seguridad en una unidad de disco duro local, Copias de seguridad de Windows Server no puede llevar a cabo las operaciones del Servicio de instantáneas de volumen en las copias de seguridad almacenadas en un DVD o en recursos compartidos de red.
    Como beneficio extra, Copias de seguridad de Windows Server almacena sus imágenes de copia de seguridad en el formato de disco duro virtual (VHD) de Microsoft®. De hecho, puede capturar una imagen de copia de seguridad y montarla como un volumen en un equipo virtual que se ejecuta bajo Microsoft Virtual Server 2005. Puede, simplemente, montar los VHD en un equipo virtual y buscar un archivo en particular en lugar de tener que llevar a cabo restauraciones de prueba de las cintas para ver cuál de ellas hospeda el archivo. (Un nota de advertencia: no puede capturar una imagen de copia de seguridad y arrancar un equipo virtual a partir de la misma. Puesto que la configuración del hardware del que se ha realizado copia de seguridad no se corresponde con la configuración del equipo virtual, no puede usar Copias de seguridad de Windows Server como una herramienta de migración física a virtual).
    Existe una desventaja en el enfoque de los volúmenes y bloques de Copias de seguridad de Windows Server. Puesto que esta nueva herramienta considera el origen de la copia de seguridad como un conjunto de volúmenes y bloques, no le permite realizar únicamente copias de seguridad de archivos seleccionados. Tiene que realizar copia de seguridad de todo el volumen. Y lo que es aún más problemático, de forma predeterminada, no es posible almacenar una imagen de la copia de seguridad en uno de los volúmenes de los que se realiza la copia de seguridad (existen algunas maneras de solucionar esto; consulte support.microsoft.com/kb/944530). Esto tiene profundas implicaciones en la copia de seguridad de estado del sistema, lo cual trataré más adelante en este artículo.

    Instalación de Copias de seguridad de Windows Server


    Copias de seguridad de Windows Server es una "característica" de Windows Server 2008 y no está instalada de forma predeterminada. Antes de poder realizar una copia de seguridad con Copias de seguridad de Windows Server, debe instalar la característica, mediante el Administrador de servidores o mediante la utilidad de línea de comandos

    SERVERMANAGERCMD:

    Código:
    C:\> servermanagercmd -install Backup-Features
    Copias de seguridad de Windows Server consta de dos subcaracterísticas: Copias de seguridad de Windows Server y las Herramientas de línea de comandos. Tenga en cuenta que las Herramientas de línea de comandos se refieren a un conjunto de cmdlets de Windows PowerShellTM, no a la herramienta de línea de comandos WBADMIN.EXE. Por lo tanto, si elige instalar ambas subcaracterísticas, debe instalar la característica de Windows PowerShell.
    Tras instalar Copias de seguridad de Windows Server, puede encontrar el complemento Microsoft Management Console (MMC) bajo el nodo Almacenamiento en el Administrador de servidores y en el menú Herramientas administrativas. Si instala Copias de seguridad de Windows Server en una instalación Server Core de Windows Server 2008, use el comando OCSETUP (es importante tener en cuenta que el comando OCSETUP distingue mayúsculas de minúsculas).

    Código:
    C:\> ocsetup WindowsServerBackup
    Hay disponible una descripción completa del proceso de instalación en go.microsoft.com/fwlink/?LinkId=113146.
    Tenga en cuenta que Copias de seguridad de Windows Server no puede restaurar las imágenes creadas con Copia de seguridad de NT. Para este escenario poco probable, Microsoft ha puesto a su disposición una versión descargable de Copia de seguridad de NT para Windows Server 2008 (consulte go.microsoft.com/fwlink/?LinkId=113147).


    Componentes de Copias de seguridad de Windows Server

    La manera en la que se ha diseñado la aplicación Copias de seguridad de Windows Server representa un cambio considerable. Esta nueva solución de copia de seguridad consta de cuatro componentes:
    • La interfaz de usuario de MMC (WBADMIN.MCS)
    • La interfaz de línea de comandos
    (WBADMIN.EXE)
    • El servicio de copias de seguridad (WBENGINE.EXE)
    • El conjunto de cmdlets de Windows PowerShell
    La división de la aplicación en un cliente y en un servicio tiene numerosas ventajas, la más importante es el aumento de la confiabilidad. Tanto si inicia una copia de seguridad desde el cliente MMC o desde la interfaz de línea de comandos, el servicio WBENGINE realizará el trabajo pesado. Los programas cliente dan a conocer el estado de la copia de seguridad. De este modo, provocar el fin del cliente no resultará en una copia de seguridad a medio hacer. El cliente se detendrá y el servicio continuará hasta la finalización. Por supuesto, si realmente desea detener la copia de seguridad, puede hacerlo, pero debe hacerlo de forma explícita.
    La otra ventaja de esta arquitectura dividida es que puede usar el cliente para administrar las copias de seguridad en equipos remotos. Esto es especialmente práctico si tiene que realizar copias de seguridad de los equipos principales de Windows Server 2008.
    Copias de seguridad de Windows Server es compatible con las restauraciones completas gracias al Entorno de recuperación de Windows, o WinRE, que forma parte de los medios de instalación de Windows Server 2008. WinRE simplifica el proceso de restauración de un servidor desde cero. Trataré más adelante en este artículo la realización de una restauración completa. Vale la pena mencionar que Copias de seguridad de Windows Server es compatible con varias configuraciones de directiva de grupo para administrar copias de seguridad, éstas se describen en la barra lateral "Configuración de la directiva de grupo".

    Servicio de instantáneas de volumen


    Copias de seguridad de Windows Server usa el Servicio de instantáneas de volumen de tres maneras diferentes. Al iniciar una copia de seguridad completa en Windows Server 2008, lo que hace la aplicación, en primer lugar, es llevar a cabo una instantánea de todos los volúmenes de origen. Al hacer esto se consigue una vista coherente del sistema de archivos con el que podrá trabajar el software de copia de seguridad. Esto es similar a lo que realiza Copia de seguridad de NT. Copias de seguridad de Windows Server copia, a continuación, los bloques del volumen de origen, bloque por bloque, en el destino de la copia de seguridad, creando una imagen de VHD para cada volumen del que se ha realizado una copia de seguridad durante el proceso.
    A menos que lo especifique de otro modo, Copias de seguridad de Windows Server crea también una instantánea del volumen de origen para que el Servicio de instantáneas de volumen efectúe el seguimiento de todos los bloques que se hayan cambiado en el volumen. Esto permite a Copias de seguridad de Windows Server crear copias de seguridad incrementales a nivel de bloque que sólo requieren la lectura de los bloques cambiados del volumen de origen. En lugar de leer y escribir un archivo completo por haber cambiado un solo bit en el archivo, Copias de seguridad de Windows Server puede leer y escribir sólo el bloque que se ha cambiado.
    Esto favorece la creación de copias de seguridad incrementales muy efectivas, en detrimento de una E/S de disco adicional para operaciones de escritura en el volumen de origen. En el caso de realizar la copia de seguridad de un volumen de gran actividad o de rendimiento crítico, debe deshabilitar la instantánea del Servicio de instantáneas de volumen en el volumen de origen seleccionando el vínculo Configurar opciones de rendimiento y, a continuación, deshabilitando las copias de seguridad incrementales en ese volumen (tal como se muestra en la Figura 1).





    Figura 1 Deshabilitación de las copias de seguridad incrementales en volúmenes de gran actividad


    Una vez se ha completado la copia de seguridad, Copias de seguridad de Windows Server captura una instantánea del volumen de destino (siempre que lleve a cabo la copia de seguridad en un disco duro local conectado). Los archivos VHD de destino se sobrescriben durante la siguiente copia de seguridad. Pero puesto que el Servicio de instantáneas de volumen mantiene instantáneas del volumen de destino, existen, en efecto, varias versiones de cada archivo VHD correspondiente a cada una de las copias de seguridad completas. Fundamentalmente, lo que obtiene son varias copias de seguridad completas por el mismo esfuerzo de una única copia de seguridad completa y los bloques cambiados.



    Realización de copias de seguridad en recursos compartidos de red
    La realización de una copia de seguridad en un recurso compartido de red es, simplemente, tan sencilla como la realización de una copia de seguridad en un volumen local. La diferencia más significativa es que no puede crear una instantánea del Servicio de instantáneas de volumen del volumen remoto. Por lo tanto, cada copia de seguridad completa sobrescribirá la anterior, lo cual deja a su disposición, únicamente, la última imagen de la copia de seguridad completa de cada servidor en ese recurso compartido de red. Debido a esta limitación, no puede usar el programador de Copias de seguridad de Windows Server para programar copias de seguridad en un recurso compartido de red. Puede, sin embargo, usar el Programador de tareas de Windows para ejecutar el programa de línea de comandos WBADMIN para que lleve a cabo copias de seguridad completas en un recurso compartido de red. Si desea programar copias de seguridad completas en un recurso compartido de red de este modo, cambie la carpeta de destino para cada copia de seguridad y evite así sobrescribir las anteriores copias de seguridad.

    Realización de copias de seguridad en DVDs grabables


    Copias de seguridad de Windows Server es también compatible con la realización de copias de seguridad en medios ópticos, por ejemplo, DVDs grabables. Además, puede crear conjuntos de copias de seguridad que abarquen, asimismo, varios volúmenes. Copias de seguridad de Windows Server siempre comprime las copias de seguridad en DVDs, lo cual significa que sólo puede llevar a cabo la restauración completa del sistema o del volumen desde un DVD. Copias de seguridad de Windows Server no es compatible con las copias de seguridad y restauraciones de estado del sistema o a nivel de archivos cuando se usan DVDs. No es posible, tampoco, programar copias de seguridad en un DVD.

    Copias de seguridad y restauraciones de estado del sistema


    Las copias de seguridad de estado del sistema, que incluyen únicamente archivos seleccionados y algunas bases de datos de la aplicación (en lugar de volúmenes completos) son sencillas y, con frecuencia, esenciales. Sin embargo, las primeras compilaciones de Windows Server 2008 no eran compatibles con las copias de seguridad y restauraciones de estado del sistema. En su lugar, la herramienta de copia de seguridad realizaba, simplemente, copias de seguridad de los volúmenes críticos del sistema (lo cual implicaba cualquier volumen necesario para recuperar y reiniciar el sistema operativo y aplicaciones clave). Estos volúmenes críticos del sistema suponían el equivalente, orientado al volumen, de una copia de seguridad de estado del sistema.
    Basándose en los comentarios de algunos clientes, Microsoft agregó capacidades de copia de seguridad y restauración de estado del sistema a Copias de seguridad de Windows Server. La aplicación crea varios archivos VHD, uno para cada volumen que hospeda los datos de estado del sistema, pero sólo copia los archivos y bases de datos necesarias en los VHD. Otro problema es que cuando realiza una copia de seguridad de estado del sistema, Copias de seguridad de Windows Server no crea una instantánea del volumen de destino, tal como se hace en el proceso de copia de seguridad normal. En su lugar, cada copia de seguridad de estado del sistema genera un conjunto completamente nuevo de archivos VHD, lo cual significa que no es posible obtener la eficacia de espacio que se consigue con las copias de seguridad de volumen basadas en instantáneas.
    Sólo puede realizar una copia de seguridad de estado del sistema mediante el programa de línea de comandos WBADMIN.EXE, el complemento MMC no ofrece esta opción. Para realizar un copia de seguridad de estado del sistema, use este comando:

    Código:
    C:\> wbadmin start systemstatebackup –backuptarget:e:
    WBADMIN realizará, a continuación, copias de seguridad de los archivos críticos del sistema y de las bases de datos de la aplicación en el volumen de destino, en una carpeta reservada para copias de seguridad de estado del sistema. La copia de seguridad de estado del sistema en un controlador de dominio (DC) de Windows Server 2008 de 32 bits con un Árbol de información del directorio (DIT) predeterminado se ejecuta en poco más de 6 GB, lo cual supone 5 GB más que en Windows Server 2003 debido, en parte, al hecho de que Copias de seguridad de Windows Server captura los archivos principales del sistema operativo que no fueron capturados por la Copia de seguridad de NT.
    El tiempo necesario para realizar copias de seguridad de estado del sistema es también mayor, tal como cabría esperar. Estas cifras iniciales, por supuesto, se basan en una versión preliminar del sistema operativo. Necesitará, con seguridad, probar esto en su propio entorno, pero es probable que necesite llevar a cabo la planeación de copias de seguridad de estado del sistema de mayor tamaño (y mayor duración de la realización de la copia de seguridad) cuando mueva sus controladores de dominio a Windows Server 2008.

    Realización de copias de seguridad de un servidor con MMC


    Al ejecutar la MMC de Copias de seguridad de Windows Server (consulte la Figura 2), tiene la opción de configurar un programa de copia de seguridad o de ejecutar inmediatamente una copia de seguridad ad hoc. En este caso, selecciono Copia de seguridad una vez para llevar a cabo una copia de seguridad inmediata.



    Figura 2 MMC de Copias de seguridad de Windows Server


    Tal como puede ver en la Figura 3, puedo elegir si realizar copias de seguridad de todos los volúmenes en el servidor o sólo de los volúmenes específicos que elijo. Si selecciono Servidor completo, Copias de seguridad de Windows Server realizará copias de seguridad de todos los volúmenes montados, pero no tendré la opción de realizar copias de seguridad en una unidad de disco duro montada, en su lugar, tendré que realizar copias de seguridad en un DVD grabable o en un recurso compartido de red.



    Figura 3 Uso del cuadro de diálogo de configuración de la copia de seguridad para especificar todos o los volúmenes seleccionados


    En este ejemplo, deseo realizar la copia de seguridad en una unidad de disco duro local, por lo que selecciono la opción Personalizar. A continuación, un cuadro de diálogo me permite seleccionar los volúmenes a los que realizar la copia de seguridad (consulte la Figura 4). De forma predeterminada, Copias de seguridad de Windows Server marca la casilla de recuperación del sistema Habilitar, lo cual provoca, a su vez, que Copias de seguridad de Windows Server seleccione el volumen de arranque, el volumen de sistema operativo y cualquier otro volumen con archivos críticos del sistema y bases de datos de la aplicación. En un DC, esto incluye los volúmenes que hospedan SYSVOL, el DIT de Active Directory y los registros de Active Directory. Esto es el equivalente de una copia de seguridad de estado del sistema pero realiza copias de seguridad de todos los volúmenes críticos, no sólo de los archivos críticos en dichos volúmenes. De hecho, incluso cuento con la capacidad de realizar una restauración de estado del sistema desde un conjunto de copias de seguridad de restauración del sistema.



    Figura 4 Selección de volúmenes específicos a los que realizar una copia de seguridad


    Tras seleccionar el tipo de destino (unidad local o recurso compartido de red) y especificar el destino, Copias de seguridad de Windows Server me solicita seleccionar una copia de seguridad "de copia de VSS" o una copia de seguridad "completa de VSS". La terminología es un poco confusa, puesto que ambas opciones realizarán la copia de seguridad de los volúmenes seleccionados en su totalidad. La diferencia radica en la manera en la que Copias de seguridad de Windows Server administra los archivos de origen una vez se les ha realizado una copia de seguridad. Si selecciona la opción de copia, Copias de seguridad de Windows Server abandonará los archivos de la copia de seguridad. Si elige la opción de copia completa, Copias de seguridad de Windows Server restablecerá, a continuación, el archivo.

    Realización de copias de seguridad a un servidor desde la línea de comandos


    Si desea redactar scripts del proceso de copia de seguridad, o si realiza copias de seguridad de un servidor en una instalación Server Core, puede usar el programa de línea de comandos WBADMIN.EXE. WBADMIN ofrece un conjunto completo de opciones que realizan, esencialmente, las mismas funciones que el complemento MMC, incluida la administración de los programas de copia de seguridad.
    Suponga que deseo reiniciar el servicio WBENGINE, que realizará, a cambio, el proceso de copia de seguridad. Todo lo que hago es escribir este comando:

    Código:
    C:\> wbadmin start backup –include:c:,d:
    –backuptarget:e:
    O para realizar copias de seguridad de todos los volúmenes
    críticos del sistema, puedo especificar este comando:

    Código:
    C:\> wbadmin start backup -allcritical
    –backuptarget:e:
    Después de iniciar la copia de seguridad, WBADMIN continúa
    ejecutándose y muestra el progreso de la copia de seguridad.
    Si finalizo WBADMIN, la copia de seguridad continuará en segundo
    plano. A continuación, puedo volver a conectar WBADMIN a una copia de
    seguridad en ejecución usando este comando:

    Código:
    C:\> wbadmin get status
    Y si deseo finalizar una copia de seguridad en ejecución, simplemente introduzco esto:

    Código:
    C:\> wbadmin stop job
    Programación de copias de seguridad con MMC


    El programador de copias de seguridad que se incluye con Copias de seguridad de Windows Server en realidad está diseñado para hacer una cosa: simplificar la programación de las copias de seguridad de todo el sistema en un volumen de disco local. Puede usar el programador integrado para rotar automáticamente las copias de seguridad entre varios volúmenes de destino. Si dispone de unidades de disco duro fácilmente extraíbles (o si está usando discos duros conectados por USB), puede usar esta característica para configurar un esquema de rotación en el cual puede eliminar el disco de la copia de seguridad y almacenarlo de forma externa para, a continuación, devolver el anterior disco de la copia de seguridad al servidor para la siguiente copia de seguridad programada.
    El programador de Copias de seguridad de Windows Server sólo le permite programar copias de seguridad que se realicen siempre diariamente. No es posible, de ningún modo, programar copias de seguridad para, por ejemplo, los lunes, los miércoles y los viernes. Por lo tanto, si no desea ejecutar sus copias de seguridad programadas diariamente, tendrá que trabajar directamente con el Programador de tareas de Windows.
    Al configurar una copia de seguridad programada en un disco local, Copias de seguridad de Windows Server se hace responsable del disco, formateándolo, configurando una estructura de carpetas específica y haciendo invisible el disco de destino para el Explorador de Windows. El disco de destino debe ser un volumen básico, Copias de seguridad de Windows Server no puede realizar copias de seguridad en discos configurados como volúmenes dinámicos.
    La programación de las copias de seguridad a través del complemento MMC es muy sencilla. En este ejemplo, selecciono, en primer lugar, el vínculo Programación de copia de seguridad, especifico el tipo de copia de seguridad y los volúmenes a los que realizar copias de seguridad y, a continuación, Copias de seguridad de Windows Server muestra el cuadro de diálogo "Especificar hora de la copia de seguridad" (consulte la Figura 5).



    Figura 5 Definición de la hora a la que deben ocurrir las copias de seguridad diarias


    Tras seleccionar las horas a las que deseo que ocurran las copias de seguridad, puedo seleccionar el volumen (o los volúmenes) a los que deseo realizar la copia de seguridad. En este caso, selecciono el volumen de copia de seguridad E:, tal como se muestra en la Figura 6. Copias de seguridad de Windows Server intenta seleccionar un volumen de destino apropiado, pero en el caso de que el disco del que desea realizar la copia de seguridad no aparezca, puede usar el botón Mostrar todos los discos disponibles para ver todos dispositivos de disco conectados. Tras pasar por un par de cuadros de diálogo "Confirmar", Copias de seguridad de Windows Server da formato al volumen o volúmenes de destino y programa la tarea de copia de seguridad mediante el Programador de tareas de Windows.




    Figura 6 Especificación del disco de destino para una copia de seguridad programada


    Cada vez que se lleva a cabo una copia de seguridad programada, Copias de seguridad de Windows Server captura una instantánea del volumen de destino. Y cada siete días, crea una nueva imagen de base. La actividad se registra en el registro Microsoft, Backup u Operational. Aquí puede comprobar si las copias de seguridad se llevaron a cabo correctamente, también puede asociar una tarea, como el envío de un mensaje de correo electrónico, con los eventos correctos o con error para saber siempre el estado de sus copias de seguridad programadas.

    Programación de las copias de seguridad desde la línea de comandos


    Si programa las copias de seguridad en una instalación Server Core o simplemente desea redactar los scripts del proceso, puede administrar el programa de copias de seguridad mediante la línea de comandos WBADMIN. Para agregar una copia de seguridad programada, debe usar el comando WBADMIN ENABLE BACKUP, especificando el destino, origen y hora programada, de este modo:
    Código:
    C:\> wbadmin enable backup –addtarget:e:
    -include:c:,d: -schedule:06:00,12:00,18:00
    Este comando realizaría la copia de seguridad de las unidades C: y D: en la unidad E: tres veces al día, a las 6:00 a.m, 12:00 p.m. y 18:00 p.m. (tenga en cuenta que todas las horas se especifican mediante un reloj de 24 horas). Para realizar copias de seguridad a todos los volúmenes críticos del sistema (desde los cuales puede llevar a cabo una restauración completa o una restauración de estado del sistema), sustituya el marcador –include por –allcritical.
    Puede usar también WBADMIN para deshabilitar todas las copias de seguridad programadas, de este modo:

    Código:
    C:\> wbadmin disable backup
    Este comando eliminará todos los trabajos de copia de seguridad programados creados por el programador de Copias de seguridad de Windows Server y liberará todos los volúmenes de destino de la copia de seguridad para un uso normal. Tenga en cuenta que siempre puede usar el complemento MMC de WBADMIN para administrar de forma remota las actividades de copia de seguridad y restauración de servidores Server Core.

    Restauración completa de un controlador de dominio


    Una de las mejoras más significativas en el entorno de las copias de seguridad y restauración es como WinRE se ha integrado en el proceso de instalación. Al arrancar Windows Server 2008 desde los medios de instalación, puede elegir la opción Reparar el equipo, tal como se muestra en la Figura 7. Señalo esto en concreto ya que es muy fácil pasarlo por alto si no lo busca directamente.




    Figura 7 La opción Reparar el equipo está disponible en la pantalla de instalación



    Tras seleccionar la opción de reparación en la pantalla de instalación, Windows me permite seleccionar una opción de restauración, tal como se muestra en la Figura 8. En este caso, selecciono Restauración de Windows Complete PC, que invoca el Entorno de recuperación de Windows.



    Figura 8 Especificación de las opciones de restauración del sistema



    Una vez selecciona el sistema operativo que desea reparar (normalmente sólo hay una opción), WinRE le permite seleccionar la copia de seguridad desde la que desea realizar la restauración. De forma predeterminada, WinRE selecciona la copia de seguridad de sistema completa más reciente, aunque puede especificar otras copias de seguridad almacenadas en discos locales o buscar en la red copias de seguridad que se almacenan en recursos compartidos de archivos en otros servidores.
    En mi ejemplo, selecciono la copia de seguridad de sistema completa más reciente. El diálogo siguiente (mostrado en la Figura 9) me permite dar formato y volver a realizar la partición de todos los discos antes de que sean restaurados. Esto constituye una opción apropiada si el problema del que se está recuperando tuvo su origen en alguna clase de error en el disco o por haber sustituido una o más unidades de disco en el servidor.




    Figura 9 Puede dar formato y volver a realizar la partición de los discos fácilmente antes de que sean restaurados



    Tras un par de cuadros de diálogo de confirmación, WinRE inicia el proceso de restauración y el servidor se vuelve a arrancar. De esta manera es posible llevar a cabo, sin problemas, una restauración completa en un servidor.

    Restauración de estado del sistema de un controlador de dominio


    Si necesita recuperarse de algún tipo de problema relacionado con Active Directory, como la recuperación de una unidad organizativa eliminada desde una copia de seguridad, debería restaurar la base de datos de Servicios de dominio de Active Directory (ADDS) a un estado anterior, en lugar de restaurar todo el sistema. Aunque es posible detener ADDS como un servicio en Windows Server 2008, necesitará arrancar el servidor en el Modo de restauración de servicios de directorio (DSRM, Directory Services Restore Mode) para realizar una restauración de estado del sistema en un controlador de dominio.
    El cambio de las opciones de arranque para que Windows Server 2008 arranque en DSRM no es tan fácil como solía ser. Todo el entorno de arranque de Windows se ha rediseñado para que sea compatible con la nueva Extensible Firmware Interface (EFI) y el archivo boot.ini de la vieja escuela ya no existe. En su lugar, Windows Server 2008 usa datos de configuración de arranque (BCD, Boot Configuration Data) para controlar el proceso de arranque.
    La manera más sencilla de administrar los BCD es usar el programa de línea de comandos BCDEDIT. Una explicación que abarcara todos los comandos y opciones BCDEDIT requeriría, por su extensión, un solo artículo, por lo que aquí mostraré simplemente algunos ejemplos útiles.
    Para reiniciar un DC en Windows Server 2008 como un DSRM, use el siguiente comando:

    Código:
    C:\> bcdedit /set safeboot dsrepair
    Esto configurará la opción de arranque seguro para la entrada del cargador de arranque predeterminado. En una instalación de Windows Server 2008 actualizada, sólo hay una entrada del cargador de arranque, WINLOAD.EXE. Para eliminar la opción de arranque seguro y reiniciar en modo normal, use este comando:

    Código:
    C:\> bcdedit /deletevalue safeboot
    Con el objeto de facilitarle la labor, puede configurar dos entradas del cargador de arranque en sus DC, una para un arranque normal y otra para un arranque desde el DSRM. De este modo, puede cambiar las opciones de arranque usando el cuadro de diálogo de configuración Inicio y recuperación disponible en Configuración del sistema. Para agregar una nueva entrada del cargador de arranque, use este comando:

    Código:
    C:\> bcdedit /copy {default}
    /d "Directory Service Repair Mode"
    Esta acción creará una nueva entrada del cargador de arranque copiando la entrada predeterminada del cargador de arranque. BCDEDIT mostrará algo así:

    Código:
    The entry was successfully copied to
    {c50d4710-a1f0-11dc-9580-0003ff402ae9}.
    El GUID identifica la entrada nueva. A continuación, use este comando para configurar la opción de arranque seguro para la nueva entrada del cargador de arranque en los BCD:

    Código:
    C:\> bcdedit /set {<GUID for new entry>}
    safeboot dsrepair
    Ahora puede cambiar desde el modo de arranque normal al modo de arranque de DSRM mediante la configuración Inicio y recuperación (consulte la Figura 10).




    Figura 10 Deshabilitación de las copias de seguridad incrementales en volúmenes de gran actividad



    Antes de que use WBADMIN para iniciar una restauración de estado del sistema, debe identificar la copia de seguridad desde la que desea realizar la restauración. WBADMIN puede realizar una restauración de estado del sistema desde una copia de seguridad de todo el sistema, una copia de seguridad que contiene únicamente los volúmenes de sistema críticos o una copia de seguridad de estado del sistema. En cualquiera de estos casos, debe especificar la versión de la copia de seguridad que desea usar. La manera más fácil de identificar las versiones de copia de seguridad que están disponibles es usar el siguiente comando WBADMIN:

    Código:
    C:\> wbadmin get versions
    WBADMIN mostrará, a continuación, las versiones de la copia de seguridad en un formulario similar a la información mostrada en la Figura 11. Tenga en cuenta que cada copia de seguridad tiene una hora de copia de seguridad, un destino de copia de seguridad, un identificador de versión (que, a propósito, es la hora y la fecha a la que se inició la copia de seguridad en hora UMT) y una lista de los tipos de operaciones de recuperación compatibles con la copia de seguridad.

    Identifique las copias de seguridad disponibles para la recuperación


    Código:
    wbadmin 1.0 - Backup command-line tool
    (C) Copyright 2004 Microsoft Corp.
    Backup time: 11/30/2007 3:47 PM
    Backup target: Fixed Disk labeled E:
    Version identifier: 11/30/2007-22:47
    Can Recover: Application(s), System State
    Backup time: 12/1/2007 10:46 PM
    Backup target: Fixed Disk labeled Backup(E:)
    Version identifier: 12/02/2007-05:46
    Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State
    Backup time: 12/2/2007 5:58 PM
    Backup target: Fixed Disk labeled Backup(E:)
    Version identifier: 12/03/2007-00:58
    Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State
    Backup time: 12/3/2007 11:25 AM
    Backup target: Fixed Disk labeled E:
    Version identifier: 12/03/2007-18:25
    Can Recover: Application(s), System State



    En este caso, selecciono la copia de seguridad más reciente e inicio la restauración de estado del sistema con este comando WBADMIN:

    Código:
    C:\> wbadmin start systemstaterecovery
    –version:12/03/2007-18:25
    Esto realizará una restauración no autoritativa. Si desea realizar una restauración autoritativa de SYSVOL, puede marcar simplemente la réplica restaurada de SYSVOL como autoritativa agregando la opción authsysvol al comando WBADMIN. Para obtener más información acerca de este proceso, consulte go.microsoft.com/fwlink/?LinkId=113152.

    Captura de instantáneas de Active Directory


    Uno de los cambios más significativos en términos de copia de seguridad para Active Directory no tiene nada que ver con Copias de seguridad de Windows Server. En Windows Server 2008, puede aprovechar el hecho de que Active Directory proporcione instantáneas del Servicio de instantáneas de volumen. Estas instantáneas son muy ligeras, copias de seguridad puntuales del servicio en ejecución de Active Directory. Y lo mejor, sólo tardan unos instantes en crearse. A continuación, puede montar estas instantáneas y obtener acceso a las mismas gracias a utilidades normales basadas en LDAP, como la herramienta LDP.
    Debe capturar las instantáneas de ADDS o de Active Directory Lightweight Directory Services (ADLDS) mediante el comando NTDSUTIL, tal como se muestra aquí:
    Código:
    ntdsutil: snapshot
    snapshot: activate instance ntds
    Active instance set to "ntds".
    snapshot: create
    Creating snapshot...
    Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
    snapshot: quit
    ntdsutil: quit
    Esta secuencia de comandos NTDSUTIL crea una instantánea del Servicio de instantáneas de volumen de los volúmenes que contienen el DIT de Active Directory, los registros y SYSVOL. Aunque Active Directory aún se somete a actualizaciones, el Servicio de instantáneas de volumen usa una estrategia de copia por escritura para asegurarse de que las instantáneas que ha capturado se mantienen de manera adecuada. Tenga en cuenta que las instantáneas no son una copia completa del DIT. Son simplemente una colección de bloques de disco en el DIT que se han modificado desde que la instantánea fue capturada. Al combinar estos bloques con la copia actual del DIT, VSS puede presentar el DIT de Active Directory tal como apareció en el momento de la instantánea. El siguiente codigo muestra cómo eliminar las instantáneas anteriores o innecesarias.

    Código:
    C:\> ntdsutil
    ntdsutil: snapshot
    snapshot: list all
     1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
     2:   C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
     3:   D: {2bbd739f-905a-431b-9449-11fba01f9931}
    snapshot: delete 1
    Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\
    Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\
    snapshot: quit
    ntdsutil: quit
    C:\>




    Montaje de las instantáneas de Active Directory


    Con el objeto de usar una de estas instantáneas, debe indicar, en primer lugar, al Servicio de instantáneas de volumen que ponga la instantánea a disposición del sistema de archivos. Esto se consigue usando el comando ntdsutil para indicar las instantáneas disponibles y, a continuación, montar la instantánea en la que está interesado .


    Uso de ntdsutil para montar una instantánea

    Código:
    C:\> ntdsutil
    ntdsutil: snapshot
    snapshot: list all
     1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
     2:   C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
     3:   D: {2bbd739f-905a-431b-9449-11fba01f9931}
    snapshot: mount 1
    Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\
    Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\
    snapshot: quit
    ntdsutil: quit
    C:\>

    El comando "list all" indica todas las instantáneas disponibles de Active Directory mantenidas actualmente por el Servicio de instantáneas de volumen. El comando "mount 1" monta las instantáneas seleccionadas del DIT de Active Directory, registra los volúmenes y los hace disponibles en el sistema de archivos. Éstos se encuentran en C:\$SNAP_200712032318_VOLUMEC$\ y C:\$SNAP_200712032318_VOLUMED$\.
    Si busca en estas carpetas, verá todo el contenido de estos volúmenes tal como estaban cuando la instantánea fue capturada. Tenga en cuenta, no obstante, que las instantáneas montadas son de sólo lectura, lo cual significa que no es posible modificar ninguno de los archivos de la instantánea montada.

    Recuperación de datos de las instantáneas de Active Directory


    La tarea de montar las instantáneas de los volúmenes que contiene Active Directory podría parecer magia. ¿Cómo es posible llegar a los datos de Active Directory contenidos en estas instantáneas? El secreto es el comando DSAMAIN. Se trata del archivo ejecutable que ejecuta ADLDS. Es esencialmente un servidor LDAP independiente que comparte casi todo su código con ADDS. Puede usar DSAMAIN para hacer que las instantáneas montadas se parezcan a un servidor LDAP de sólo lectura que contiene los datos de Active Directory tal como estaban en el momento en el cual la instantánea fue capturada.
    Tenga en cuenta esta comando:
    Código:
    C:\> dsamain –dbpath
    c:\$snap_200712032318_volumed$\ntds\dit
    \ntds.dit -ldapport 10000
    Esto monta el archivo ntds.dit ubicado en la carpeta c:\$snap_200712032318_volumed$\ntds\dit y lo hace disponible para las operaciones LDAP en el puerto TCP 10000 (o en cualquier puerto abierto que especifique). DSAMAIN abrirá el puerto LDAPS (el puerto que se usa para LDAP sobre Capa de sockets seguros) en el puerto que ha especificado más uno (en este caso, 10001), el puerto GC (el puerto que se usa para las conexiones de catálogo global) en el puerto que ha especificado más dos (10002) y el puerto GCS (catálogo global sobre Capa de sockets seguros) en el puerto que ha especificado más tres (10003).
    Puede usar cualquier programa LDAP (como LDP) para obtener acceso al DIT montado en el puerto especificado. Pero en Windows Server 2008, Usuarios y equipos de Active Directory (ADUC, Active Directory Users and Computers), Sitios y servicios y Dominios y confianzas, así como ADSIEDIT, se han modificado para permitirle conectarlos a un DIT montado mediante DSAMAIN. Si hace clic con el botón secundario en el nodo de nivel superior en el panel de navegación de cualquier ADUC y selecciona Cambiar el controlador de dominio, verá el cuadro de diálogo mostrado en la Figura 14. Si escribe simplemente el nombre o dirección IP del servidor que hospeda la instantánea montada, junto con el puerto (en mi ejemplo, localhost:10000), ADUC conectará la instantánea montada, permitiéndole examinar el contenido del directorio tal como era en el momento de la instantánea. Asombroso, ¿verdad?




    Figura 14 Conexión de Usuarios y equipos de Active Directory en una instantánea montada



    El poder obtener acceso a los datos del directorio de esta manera facilita en gran medida la realización de muchas clases de tareas de recuperación con respecto al pasado. Por ejemplo, para poder recuperar un objeto eliminado de un copia de seguridad, anteriormente era necesario que llevase a cabo una restauración no autoritativa de la copia de seguridad en un DC existente y, a continuación, realizar una restauración autoritativa del objeto eliminado. Y si la copia de seguridad que había restaurado no contaba con los datos correctos, tenía que empezar de nuevo con una copia de seguridad diferente. Ahora, gracias a la reanimación de desechos y las instantáneas, es posible encontrar y recuperar fácilmente los datos eliminados y, además, no es necesario desconectar el controlador de dominio para hacerlo.
    No obstante, hay algunas limitaciones. Por ejemplo cada instantánea activa aumenta la E/S de disco asociada a las operaciones de escritura en el directorio, por lo que probablemente no debería tener jamás más de una o dos instantáneas activas en un DC de producción. Asimismo, cuanto más tiempo mantenga activas las instantáneas, más grande se hará el almacén de deltas del Servicio de instantáneas de volumen, algo que podría afectar al rendimiento. Y, por supuesto, la simple recuperación de un objeto eliminado es sólo la primera parte del problema de recuperación. Probablemente, también tendrá que recuperar los atributos vinculados del objeto, como las pertenencias a grupos. Pero aún en este caso, la instantánea le puede ayudar a identificar todos los grupos de los que era miembro el objeto eliminado.

    Una estrategia acertada de copia de seguridad y recuperación para Active Directory


    Windows Server 2008 integra un sistema de copia de seguridad y recuperación completamente nuevo. Algunos de los cambios pueden parecer muy molestos en un principio. Pero una vez que las organizaciones de TI han aceptado estos cambios e incorporado la nueva tecnología de copia de seguridad en sus operaciones diarias, obtienen a cambio una implementación de copia de seguridad y recuperación mucho más efectiva.
    Aún con todos los cambios en la manera de realizar copias de seguridad de los servidores en Windows Server 2008, la estrategia básica para realizar copias de seguridad y recuperar Active Directory no ha cambiado en gran medida. Así que a la hora de planear su estrategia, asegúrese de tener en cuenta estos procedimientos recomendados:
    • Programe copias de seguridad de todo el sistema periódicamente para poder recuperar un DC tras un error del hardware. La frecuencia con la que programe las copias de seguridad completas de un DC dependen de la frecuencia con la que se actualicen sus datos, de la tolerancia a tiempos de inactividad y pérdidas de datos y del esfuerzo que puede ser necesario para volver a crear el DC desde cero.
    • Programe copias de seguridad de estado del sistema frecuentes para realizar copias de seguridad de los cambios en Active Directory. La frecuencia con la que realice las copias de seguridad de estado del sistema depende de su tolerancia a datos perdidos de Active Directory. Pero debe hacer esto, por lo menos, una vez al día. Si tiene el hardware, mantenga, al menos, una o dos copias de seguridad de estado del sistema en un disco local y copie las versiones anteriores de estado del sistema en un DVD o en un recurso compartido de red.
    • Asegúrese de hacer copias de seguridad de estado del sistema en un mínimo de dos DC en cada dominio. Esto ofrecerá cierta garantía en el caso de que una de las copias de seguridad esté dañada o no esté disponible.
    Asegúrese de realizar copias de seguridad de los DC con las réplicas de partición de la aplicación si las ha definido. Y considere la creación de una partición del Entorno de recuperación de Windows en sus DC de manera que pueda arrancar rápidamente en WinRE en caso de error de una de las unidades críticas del sistema.


    FUENTE: Microsoft.com
    Última edición por clarinetista; 27-05-2008 a las 14:50
    Citar  
     

Temas similares

  1. Directivas de seguridad en Active Directory!!!!!
    Por estepeño en el foro WINDOWS
    Respuestas: 1
    Último mensaje: 27-04-2014, 23:29
  2. Respuestas: 1
    Último mensaje: 28-03-2008, 19:25
  3. PHP con Active DirectorY ?
    Por saltamontes en el foro PROGRAMACION WEB
    Respuestas: 7
    Último mensaje: 22-11-2007, 16:35
  4. Active Directory????????????
    Por ChotaJr en el foro WINDOWS
    Respuestas: 1
    Último mensaje: 20-03-2007, 22:30
  5. Respuestas: 2
    Último mensaje: 19-07-2002, 23:58

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •