Mantenimiento de la disponibilidad de Active Directory
Contenido Introducción
2
Lección: Introducción al mantenimiento de Active Directory
3
Lección: Movimiento y desfragmentación de una base de datos de Active Directory
7
Lección: Copia de seguridad de Active Directory
14
Lección: Restauración de Active Directory
20
Lección: Planeamiento para la supervisión de Active Directory
30
2
Mantenimiento de la disponibilidad de Active Directory
Introducción
************************************************************************************* Introducción
La información del servicio de directorio Active Directory® en Microsoft® Windows Server™ 2003 se almacena en una base de datos de transacciones, que facilita el mantenimiento de la integridad de los datos si se produce un error. En los errores se pueden incluir errores de hardware, de software y una pérdida completa del sistema, por ejemplo, en caso de incendio. La base de datos de Active Directory utiliza archivos de registro de transacciones para recuperar datos dañados en la copia local de la base de datos. Una vez que Active Directory recupera esta información, utiliza la replicación para recuperar datos de otros controladores de dominio del dominio. La interacción de los componentes de Active Directory proporciona la base para que Active Directory realice copias de seguridad y recupere información acerca de datos dañados. Cuando los controladores de dominio no funcionan a causa de problemas de hardware o software, es posible que los usuarios no puedan tener acceso a los recursos ni conectarse a la red.
Objetivos
Después de finalizar este módulo, podrá:
Describir la relación entre la modificación y el mantenimiento de datos de una base de datos de Active Directory.
Mover y desfragmentar una base de datos de Active Directory.
Realizar copias de seguridad de Active Directory.
Restaurar Active Directory mediante los métodos de restauración principal, normal y autoritaria.
Aplicar directrices para la supervisión de Active Directory.
Mantenimiento de la disponibilidad de Active Directory
3
Lección: Introducción al mantenimiento de Active Directory
************************************************************************************* Introducción
El mantenimiento de una base de datos de Active Directory es una importante tarea administrativa que debe programar con regularidad para asegurarse de que, en caso de desastre, puede recuperar datos perdidos o dañados y reparar la base de datos de Active Directory. Active Directory dispone de un motor de base de datos propio, el Motor de almacenamiento extensible (ESE, Extensible Storage Engine), que administra el almacenamiento de todos los objetos de Active Directory en una base de datos de Active Directory. Al conocer el modo en que los cambios de atributos de Active Directory se escriben en la base de datos, entenderá cómo la modificación de datos afecta al rendimiento de la base de datos, la fragmentación de la misma y la integridad de los datos.
Objetivos de la lección
Después de finalizar esta lección, podrá:
Explicar el modo en que se modifican datos en Active Directory y cómo afecta al rendimiento de la base de datos, la fragmentación de la misma y la integridad de los datos.
Describir la base de datos de Active Directory y los archivos de registro.
4
Mantenimiento de la disponibilidad de Active Directory
Presentación multimedia: Proceso de modificación de datos de Active Directory
************************************************************************************* Ubicación de los archivos
Para iniciar la presentación Proceso de modificación de datos de Active Directory, abra el fichero media21_1.html que se puede encontrar dentro del fichero media21.zip
Objetivos
Al final de esta presentación, podrá:
Puntos clave
Describir el proceso de modificación de datos.
Describir el modo en que el proceso de modificación de datos afecta al rendimiento de la base de datos, la fragmentación de la misma y la integridad de los datos.
Los puntos clave del proceso de modificación de datos de Active Directory son los siguientes:
Una transacción consiste en un conjunto de cambios y en los metadatos asociados.
El proceso de modificación de datos básico consta de seis pasos: • La solicitud de escritura inicia una transacción. • Active Directory escribe la transacción en el búfer de transacciones de la memoria. • Active Directory protege la transacción en el registro de transacciones. • Active Directory escribe la transacción del búfer en la base de datos. • Active Directory compara la base de datos y los archivos de registro para asegurarse de que la transacción se ha enviado a la base de datos. • Active Directory actualiza el archivo de control.
Mantenimiento de la disponibilidad de Active Directory
El almacenamiento en caché y el registro mejoran el rendimiento de la base de datos al permitir que Active Directory procese transacciones adicionales antes de escribirlas en la base de datos.
Active Directory realiza automáticamente una desfragmentación en línea como parte del proceso de recolección de elementos no utilizados en intervalos determinados, que son de 12 horas de forma predeterminada. La desfragmentación en línea resuelve los problemas de rendimiento, pero no disminuye el tamaño de la base de datos.
El controlador de dominio no está disponible para Active Directory al realizar una desfragmentación sin conexión. Realice una desfragmentación sin conexión sólo cuando deba disminuir el tamaño del archivo Ntds.dit y haya resuelto los problemas producidos al desconectar el controlador de dominio.
Es importante realizar una copia de seguridad de cada partición de Active Directory con más frecuencia que la duración de los registros desechados para proteger los datos en caso de producirse un error de red o de hardware.
Al realizar una copia de seguridad de Active Directory, la utilidad de copia de seguridad realiza automáticamente copias de seguridad de todos los componentes del sistema y los servicios distribuidos de los que depende Active Directory. Estos datos dependientes se conocen en conjunto como datos de estado del sistema.
5
6
Mantenimiento de la disponibilidad de Active Directory
Base de datos y archivos de registro de Active Directory
************************************************************************************* Introducción
El motor de la base de datos de Active Directory, ESE, almacena todos los objetos de Active Directory. El ESE utiliza las transacciones y los archivos de registro para garantizar la integridad de la base de datos de Active Directory.
Archivos en Active Directory
Active Directory contiene los siguientes archivos:
Ntds.dit. Base de datos de Active Directory, que almacena todos los objetos de Active Directory del controlador de dominio. La extensión .dit hace referencia al árbol de información de directorio. La ubicación predeterminada es la carpeta %systemroot%\NTDS. Active Directory registra cada transacción en uno o varios archivos de registro de transacciones que están asociados al archivo Ntds.dit.
Edb*.log. Archivo de registro de transacciones, cuyo nombre predeterminado es Edb.log. Cada archivo de registro de transacciones es de 10 megabytes (MB). Cuando el archivo Edb.log está lleno, Active Directory le cambia el nombre a Edbnnnnn.log, donde nnnnn es un número creciente a partir de 1.
Edb.chk. Archivo de control que el motor de la base de datos utiliza para realizar un seguimiento de los datos que aún no se han escrito en el archivo de la base de datos de Active Directory. El archivo de control es un puntero que mantiene el estado entre la memoria y el archivo de la base de datos en el disco. Indica el punto de inicio en el archivo de registro desde el que se debe recuperar la información si se produce un error.
Res1.log y Res2.log. Archivos de registro de transacciones reservados. La cantidad de espacio en disco reservada en una unidad o carpeta para los registros de transacciones es de 20 MB. Este espacio en disco reservado proporciona espacio suficiente a los archivos de registro de transacciones para cerrarse si se está utilizando el resto de espacio en disco.
Mantenimiento de la disponibilidad de Active Directory
Lección: Movimiento y desfragmentación de una base de datos de Active Directory
************************************************************************************* Introducción
Con el tiempo, se produce la fragmentación, puesto que se eliminan registros de la base de datos de Active Directory y se agregan otros nuevos. Cuando los registros se fragmentan, el equipo debe buscar la base de datos de Active Directory para encontrar todos los registros cada vez que se abre la base de datos de Active Directory. Esta búsqueda ralentiza el tiempo de respuesta. La fragmentación también disminuye el rendimiento general de las operaciones de la base de datos de Active Directory.
Por qué desfragmentar
La base de datos de Active Directory se debe desfragmentar para superar los problemas que provoca la fragmentación. La desfragmentación es el proceso de reescritura de registros en la base de datos de Active Directory en sectores contiguos para aumentar la velocidad de acceso y recuperación. Al actualizar los registros, Active Directory guarda dichas actualizaciones en el espacio contiguo de mayor tamaño de la base de datos de Active Directory.
Por qué mover la base de datos y los archivos de registro
Al desfragmentar la base de datos, se mueve una base de datos a una ubicación nueva. El movimiento de la base de datos no elimina la base de datos original. Por lo tanto, puede utilizar la base de datos original si la base de datos desfragmentada no funciona o se ve dañada. Además, puede agregar otra unidad de disco duro y mover la base de datos a la misma si el espacio en disco es limitado. Asimismo, los archivos de la base de datos se mueven para realizar el mantenimiento del hardware. Si el disco en el que están almacenados los archivos necesita una actualización o mantenimiento, puede mover los archivos a otra ubicación de forma temporal o definitiva.
Objetivos de la lección
Después de finalizar esta lección, podrá:
Mover la base de datos y los archivos de registro de Active Directory.
Desfragmentar la base de datos de Active Directory.
7
8
Mantenimiento de la disponibilidad de Active Directory
Cómo mover la base de datos y los archivos de registro de Active Directory
************************************************************************************* Introducción
Si el espacio en disco es reducido en la partición en la que se almacenan la base de datos, los archivos de registro o ambos, debe mover la base de datos y los archivos de registro a una nueva ubicación.
Por qué utilizar Ntdsutil para mover la base de datos
La herramienta de línea de comandos Ntdsutil se utiliza en Modo de restauración de servicios de directorio para mover la base de datos de una ubicación a otra de un disco. Si la ruta de los archivos de la base de datos cambia después de moverlos, debe utilizar siempre Ntdsutil para mover los archivos, en lugar de copiarlos sin más. De este modo, se asegura de que la clave del Registro se actualiza con la ruta de la nueva ubicación y que Active Directory se reinicia desde dicha ubicación.
Procedimiento
Para mover la base de datos de Active Directory, realice los siguientes pasos: 1. Realice una copia de seguridad de Active Directory como medida de precaución. Puede realizar la copia de seguridad de Active Directory mientras se encuentra en línea si, en el Asistente para copia de seguridad, selecciona realizar copia de seguridad de todos los elementos del equipo o sólo de los datos de estado del sistema. 2. Reinicie el controlador de dominio, presione F8 para mostrar el Menú de opciones avanzadas de Windows, seleccione Modo de restauración de SD (sólo contr. de dominio de Windows) y, a continuación, presione ENTRAR.
Mantenimiento de la disponibilidad de Active Directory
9
3. Inicie sesión con la cuenta de Administrador y la contraseña definida para la cuenta de administrador local en el Administrador de cuentas de seguridad (SAM, Security Accounts Manager). Nota Esta cuenta de Administrador no es la misma que la cuenta de administrador de dominio. El reinicio del controlador de dominio en Modo de restauración de servicios de directorio hace que el equipo cargue las cuentas de usuario del subárbol de SAM local del Registro. Para comprobar que el equipo utiliza cuentas locales, escriba net user en el símbolo del sistema. Tenga en cuenta que el nombre del equipo local y no el del dominio precede al nombre de la cuenta. Asimismo, observe que la lista de usuarios no coincide con los usuarios que ha creado en el dominio. 4. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR. 5. Escriba files y, a continuación, presione ENTRAR. 6. En la línea de comandos files, después de determinar una ubicación que disponga de espacio suficiente en la unidad para almacenar la base de datos correspondiente, escriba move DB to :\ (donde y constituyen la ruta del equipo local en la que desea colocar la base de datos) y, a continuación, presione ENTRAR. Nota Debe especificar una ruta de directorio. Si la ruta contiene espacios, su nombre completo debe estar entre comillas, por ejemplo, “C:\Nueva carpeta”. La base de datos denominada Ntds.dit se mueve a la ubicación especificada. 7. Escriba quit y, a continuación, presione ENTRAR. Para volver al símbolo del sistema, escriba quit de nuevo. 8. Reinicie el controlador de dominio. Nota También puede mover los archivos de registro de transacciones a otra ubicación. El comando Move logs to :\ mueve los archivos de registro de transacciones al nuevo directorio especificado en :\ y actualiza las claves del Registro, lo que reinicia el servicio de directorio desde la nueva ubicación. También debe realizar una copia de seguridad de estado del sistema después de mover los archivos para garantizar que las restauraciones posteriores utilizan la ruta correcta.
10
Mantenimiento de la disponibilidad de Active Directory
Cómo desfragmentar una base de datos de Active Directory
************************************************************************************* Introducción
La desfragmentación en línea se produce automáticamente durante el proceso de recolección de elementos no utilizados. La desfragmentación sin conexión se realiza de forma manual.
Por qué realizar la desfragmentación sin conexión
La desfragmentación sin conexión es necesaria sólo si desea crear una versión nueva y compactada del archivo de base de datos original. Realice la desfragmentación sin conexión sólo si puede recuperar una cantidad significativa de espacio en disco que pueda utilizar para otras tareas. Por ejemplo, si el controlador de dominio fue un servidor de catálogo global para un bosque de varios dominios en un momento dado, puede liberar una cantidad significativa de espacio en disco mediante la desfragmentación sin conexión.
Requisitos de espacio en disco
Para realizar la desfragmentación, la unidad de la base de datos actual debe disponer de un espacio libre equivalente al menos al 15 por ciento del tamaño actual de la base de datos para el almacenamiento temporal durante el proceso de reconstrucción del índice. Asimismo, la unidad de destino de la base de datos debe contar con un espacio libre equivalente al menos al tamaño actual de la base de datos para el almacenamiento del archivo de base de datos compactado.
Procedimiento
Para desfragmentar una base de datos de Active Directory sin conexión, realice los siguientes pasos: 1. Realice una copia de seguridad de los datos de estado del sistema. 2. Reinicie el controlador de dominio, presione F8 para mostrar el Menú de opciones avanzadas de Windows, seleccione Modo de restauración de SD (sólo contr. de dominio de Windows) y, a continuación, presione ENTRAR. 3. Inicie sesión con la cuenta de Administrador y la contraseña definida para la cuenta de administrador local en el SAM sin conexión. 4. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR. 5. Escriba files y, a continuación, presione ENTRAR.
Mantenimiento de la disponibilidad de Active Directory
11
6. En la línea de comandos files, escriba compact to :\ (donde y constituyen la ruta a la ubicación) y, a continuación, presione ENTRAR. Este paso establece una ubicación que dispone de espacio suficiente en la unidad para que se almacene la base de datos compactada. Nota Si la ruta del directorio contiene espacios, la ruta completa debe estar entre comillas, por ejemplo, “C:\Nueva carpeta”. Se crea una nueva base de datos denominada Ntds.dit en la ruta especificada. 7. Escriba quit y, a continuación, presione ENTRAR. Para volver al símbolo del sistema, escriba quit de nuevo. 8. Copie el nuevo archivo Ntds.dit en el archivo Ntds.dit anterior en la ruta actual de la base de datos de Active Directory. 9. Reinicie el controlador de dominio.
12
Mantenimiento de la disponibilidad de Active Directory
Ejercicio: Movimiento y desfragmentación de una base de datos de Active Directory
************************************************************************************* Objetivos
En este ejercicio, moverá la base de datos del controlador de dominio a otra ubicación y, a continuación, realizará una desfragmentación sin conexión. También realizará una comprobación de la integridad de la base de datos y un análisis semántico de la misma en la base de datos desfragmentada.
Instrucciones
Trabajará con un compañero en el dominio de Active Directory que contiene su controlador de domino y el de su compañero.
Situación de ejemplo
Northwind Traders ha definido un programa de mantenimiento para desconectar los controladores de dominio y realizar una actualización de disco duro. Una vez que la actualización haya finalizado, moverá la base de datos de Active Directory al nuevo disco duro.
Ejercicio
Mover y desfragmentar la base de datos de Active Directory 1. Inicie sesión como Nwtradersx\NombreDeEquipoUser (donde NombreDeEquipo es el nombre de su equipo) con la contraseña P@ssw0rd 2. Inicie un símbolo del sistema como Nwtradersx\Administrador con la contraseña P@ssw0rd 3. En el símbolo del sistema, escriba shutdown /r /d p:2:4 y, a continuación, presione ENTRAR. 4. Reinicie el controlador de dominio en Modo de restauración de SD (sólo contr. de dominio de Windows). 5. Inicie sesión como Administrador con la contraseña P@ssw0rd 6. En el símbolo del sistema, escriba ntdsutil y, a continuación, presione ENTRAR. 7. En la línea de comandos ntdsutil, escriba files y, a continuación, presione ENTRAR para especificar el modo de mantenimiento de archivos para Ntdsutil.
Mantenimiento de la disponibilidad de Active Directory
13
8. En la línea de comandos file maintenance, escriba move db to c:\moveddb y, a continuación, presione ENTRAR para mover la base de datos de Active Directory a C:\moved-db. 9. Desfragmente la base de datos trasladada. a. En la línea de comandos file maintenance, escriba compact to c:\defrag y, a continuación, presione ENTRAR. b. Utilice el Explorador de Windows para copiar la base de datos desfragmentada en la carpeta moved-db. Observe que el archivo que va a copiar es de menor tamaño que el original. c. Elimine \Windows\NTDS\*.log. 10. En la línea de comandos file maintenance, escriba integrity y, a continuación, escriba quit para realizar una comprobación de la integridad de la base de datos. 11. Realice una análisis semántico de la base de datos. a. En la línea de comandos ntdsutil, escriba Semantic Database Analysis. b. En la línea de comandos semantic checker, escriba Go. 12. Reinicie el controlador de dominio.
14
Mantenimiento de la disponibilidad de Active Directory
Lección: Copia de seguridad de Active Directory
************************************************************************************* Introducción
La realización de copias de seguridad de Active Directory es fundamental para el mantenimiento de una base de datos de Active Directory. Puede realizar copias de seguridad de Active Directory utilizando la interfaz gráfica de usuario (GUI, Graphical User Interface) y las herramientas de línea de comandos que proporciona la familia de Windows Server 2003.
Por qué realizar copias de seguridad
Con frecuencia realiza copias de seguridad de los datos de estado del sistema de los controladores de dominio para poder restaurar los datos más actuales. Al establecer un programa de copias de seguridad periódico, tiene más posibilidades de recuperar datos cuando sean necesarios. Para garantizar una copia de seguridad correcta, que incluya al menos los datos de estado del sistema y el contenido del disco del sistema, debe conocer la duración de los registros desechados. De forma predeterminada, dicha duración es de 60 días. Cualquier copia de seguridad con más de 60 días no es una copia de seguridad adecuada. Planee realizar copias de seguridad de al menos dos controladores de dominio de cada dominio, uno de los cuales sea un soporte de funciones de maestro de operaciones. Para cada dominio, debe mantener al menos una copia de seguridad para habilitar una restauración autoritaria de los datos cuando sea necesario.
Objetivos de la lección
Después de finalizar esta lección, podrá:
Describir los componentes de los datos de estado del sistema.
Realizar copias de seguridad de Active Directory.
Mantenimiento de la disponibilidad de Active Directory
15
Componentes de los datos de estado del sistema
************************************************************************************* Introducción
Varias características de la familia de Windows Server 2003 facilitan la realización de copias de seguridad de Active Directory. Se pueden realizar copias de seguridad de Active Directory durante los procedimientos habituales de copia de seguridad sin interrumpir la red o el funcionamiento del controlador de dominio del que se esté realizando la copia de seguridad.
Componentes
Los datos de estado del sistema de un controlador de dominio incluyen los siguientes componentes:
Active Directory. Los datos de estado del sistema no contienen a Active Directory a menos que el servidor en el que se realice la copia de seguridad de los datos de estado del sistema sea un controlador de dominio. Active Directory sólo está presente en controladores de dominio.
Carpeta compartida SYSVOL. Esta carpeta compartida contiene plantillas de directivas de grupo y secuencias de comandos de inicio de sesión. La carpeta compartida SYSVOL sólo está presente en controladores de dominio.
Registro. Este repositorio de base de datos contiene información acerca de la configuración del equipo.
Archivos de inicio del sistema. Windows Server 2003 necesita estos archivos durante su fase de inicio. Entre ellos se incluyen los archivos de inicio y de sistema que están bajo la protección de archivos de Windows y que Windows utiliza para cargar, configurar y ejecutar el sistema operativo.
Base de datos de registro de clases COM+. El Registro de clase es una base de datos de información acerca de las aplicaciones de los servicios de componentes.
Base de datos de Servicios de Certificate Server. Esta base de datos contiene certificados que un servidor con Windows Server 2003 utiliza para autenticar usuarios. La base de datos de Servicios de Certificate Server sólo aparece si el servidor funciona como servidor de certificados.
16
Mantenimiento de la disponibilidad de Active Directory
Los datos de estado del sistema contienen la mayoría de los elementos de una configuración de sistema, pero puede que no incluyan toda la información necesaria para recuperar datos en caso de error del sistema. Por lo tanto, asegúrese de realizar una copia de seguridad de todos los volúmenes de inicio y de sistema, incluido el estado del sistema, al realizar una copia de seguridad del servidor. Cuándo realizar una copia de seguridad de los datos de estado del sistema
Puede realizar copias de seguridad de:
Los datos de estado del sistema por sí mismos.
Los datos de estado del sistema como parte de los procedimientos de copia de seguridad habituales.
Los datos de estado del sistema mientras el controlador de dominio está conectado.
Mantenimiento de la disponibilidad de Active Directory
17
Cómo realizar una copia de seguridad de Active Directory
************************************************************************************* Introducción
Para realizar una copia de seguridad de los datos de estado del sistema, debe ser miembro del grupo Administradores u Operadores de copia de seguridad en el equipo local o disponer de los permisos adecuados. Si el equipo se encuentra en un dominio, los miembros del grupo Admins. del dominio pueden llevar a cabo este procedimiento. Sólo se puede realizar una copia de seguridad de los datos de estado del sistema en un equipo local. No se puede realizar una copia de seguridad de los datos de estado del sistema en un equipo remoto.
Procedimiento
Para realizar la copia de seguridad de los datos de estado del sistema, realice los siguientes pasos: 1. En el menú Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad. 2. En la página Asistente para copia de seguridad o restauración, haga clic en Siguiente. 3. En la página Copia de seguridad o restauración, haga clic en Efectuar una copia de seguridad de archivos y configuración y, a continuación, haga clic en Siguiente. 4. En la página Qué desea copiar, haga clic en Elegir lo que deseo incluir en la copia de seguridad y, a continuación, haga clic en Siguiente. 5. En la página Elementos para incluir en la copia de seguridad, expanda Mi PC, active la casilla de verificación System State (Estado del sistema) y, a continuación, haga clic en Siguiente.
18
Mantenimiento de la disponibilidad de Active Directory
6. En la página Destino y nombre del tipo de la copia de seguridad, haga clic en Examinar, seleccione una ubicación para la copia de seguridad, haga clic en Guardar y, a continuación, en Siguiente. 7. En la página Finalización del Asistente para copia de seguridad o restauración, haga clic en Finalizar. 8. En la página Progreso de la copia de seguridad, haga clic en Cerrar. Puede utilizar las opciones de copia de seguridad avanzadas de la utilidad de copia de seguridad para configurar parámetros como la comprobación de datos, la compresión de hardware y las etiquetas de medios. También puede configurar el trabajo de copia de seguridad para que se anexe a un trabajo previo o para que programe la copia de seguridad para que se ejecute desatendida en otro momento. La comprobación de datos permite a la utilidad de copia de seguridad comprobar las diferencias entre los archivos de los que ha realizado copias de seguridad desde el controlador de dominio y los que copió a los medios de copia de seguridad. La utilidad de copia de seguridad muestra los resultados de la comprobación en el Visor de sucesos. Importante Para recuperar desastres completos, realice una copia de seguridad de todos los discos duros y los datos de estado del sistema. Para realizar esta copia de seguridad, ejecute la utilidad de copia de seguridad. En la página Qué desea copiar, active la casilla de verificación Toda la información de este equipo. Nota Para obtener más información acerca de la realización de copias de seguridad de los datos de estado del sistema con la herramienta de línea de comandos Ntbackup, consulte “Cómo realizar una copia de seguridad de Active Directory” en el módulo 10 en la página de los apéndices del disco compacto Material del alumno.
Mantenimiento de la disponibilidad de Active Directory
19
Ejercicio: Copia de seguridad de Active Directory
************************************************************************************* Objetivos
En este ejercicio, creará una unidad organizativa que eliminará después de realizar una copia de seguridad de los datos de estado del sistema.
Instrucciones
Trabajará con un compañero en el dominio de Active Directory que contiene su controlador de domino y el de su compañero.
Situación de ejemplo
Northwind Traders ha desarrollado procedimientos de recuperación de desastres. Debe probar los procedimientos de copia de seguridad para asegurarse de que son adecuados antes de implementarlos en toda la organización.
Ejercicio
Realizar copias de seguridad de Active Directory 1. Inicie sesión como Nwtradersx\NombreDeEquipoUser con la contraseña P@ssw0rd 2. Inicie Usuarios y equipos de Active Directory como Nwtradersx\Administrador con la contraseña P@ssw0rd mediante Ejecutar como. 3. Cree una unidad organizativa denominada EjercicioNombreDeEquipoUO en su dominio. 4. Examine las propiedades de este objeto y anote el número de secuencia de actualización. ____________________________________________________________ ____________________________________________________________ 5. Inicie la utilidad de copia de seguridad como Nwtradersx\Administrador con la contraseña P@ssw0rd mediante Ejecutar como y, a continuación, realice una copia de seguridad del estado del sistema. 6. Elimine la unidad organizativa EjercicioNombreDeEquipoUO.
20
Mantenimiento de la disponibilidad de Active Directory
Lección: Restauración de Active Directory
************************************************************************************* Introducción
En la familia de Windows Server 2003, se puede restaurar una base de datos de Active Directory si se daña o se destruye a causa de errores de hardware o software. Debe restaurar la base de datos de Active Directory cuando se cambian o se eliminan objetos en Active Directory. Puede restaurar datos replicados en un controlador de dominio de varias formas. Puede volver a instalar el controlador de dominio y, a continuación, dejar que el proceso de replicación normal rellene el nuevo controlador de dominio con datos a partir de sus réplicas o bien puede usar la utilidad de copia de seguridad para restaurar datos replicados a partir de medios de copia de seguridad sin volver a instalar el sistema operativo o reconfigurar el controlador de dominio.
Objetivos de la lección
Después de finalizar esta lección, podrá:
Comparar los métodos de restauración principal, normal y autoritaria.
Realizar una restauración principal.
Realizar una restauración normal.
Realizar una restauración autoritaria.
Mantenimiento de la disponibilidad de Active Directory
21
Presentación multimedia: Métodos de restauración de Active Directory
************************************************************************************* Ubicación de los archivos
Para iniciar la actividad Métodos de restauración de Active Directory, abra el fichero media21_2\media21_2.html que se puede encontrar dentro del fichero media21.zip
Objetivo
Al final de esta actividad, podrá decidir el tipo de método de restauración que desea realizar.
Instrucciones
Haga clic en los temas o subtemas de la izquierda para examinar la información necesaria. Cada tema contiene una breve animación e información. Puede que sea necesario desplazarse para ver toda la información de una ficha.
Puntos clave
Al realizar una copia de seguridad de un controlador de dominio, se realiza una copia de seguridad de todos los datos de Active Directory en ese servidor, además de los componentes del sistema, como el directorio SYSVOL y el Registro. Al restaurar Active Directory, se restauran todos los datos de la copia de seguridad. Esta restauración de un estado anterior puede afectar a la configuración de directivas de grupo y a las relaciones de confianza entre dominios.
22
Mantenimiento de la disponibilidad de Active Directory
Puede utilizar uno de estos tres métodos para restaurar Active Directory a partir de los medios de copia de seguridad: restauración principal, restauración normal (no autoritaria) y restauración autoritaria.
Restauración principal. Este método reconstruye el primer controlador de un dominio cuando no existe otro modo de reconstruir el dominio. Realice una restauración principal sólo cuando se pierdan todos los controladores del dominio y desee reconstruir el dominio a partir de la copia de seguridad.
Restauración normal. Este método restituye los datos de Active Directory con el estado anterior a la copia de seguridad y, a continuación, actualiza los datos a través del proceso de replicación normal. Realice una restauración normal sólo cuando desee restaurar un único controlador de dominio a un determinado estado correcto anterior.
Restauración autoritaria. Este método se realiza conjuntamente con una restauración normal. Una restauración autoritaria marca datos específicos como actuales e impide que la replicación sobrescriba dichos datos. A continuación, los datos autorizados se replican en todo el dominio. Realice una restauración autoritaria para restaurar objetos individuales de un dominio que disponga de varios controladores de dominio. Al realizar una restauración autoritaria, se pierden todos los cambios del objeto restaurado que hayan tenido lugar después de la copia de seguridad.
Importancia de la duración de los registros desechados
Active Directory no se puede restaurar a partir de una copia de seguridad anterior a la duración de los registros desechados, que es de 60 días de forma predeterminada. Un controlador de dominio realiza un seguimiento de los objetos eliminados sólo durante este período. Si existen varios controladores de dominio y la antigüedad de la copia de seguridad es menor que la duración de los registros desechados, restaure la copia de seguridad de que dispone y, a continuación, deje que la replicación entre controladores de dominio actualice Active Directory. Si sólo dispone de un controlador de dominio, perderá cualquier cambio realizado tras la última copia de seguridad.
Mantenimiento de la disponibilidad de Active Directory
23
Cómo realizar una restauración principal
************************************************************************************* Introducción
Para realizar una restauración principal, debe ser miembro del grupo Administradores en el equipo local o disponer de los permisos adecuados. Si el equipo se encuentra en un dominio, los miembros del grupo Admins. del dominio pueden llevar a cabo este procedimiento.
Procedimiento
Para realizar una restauración principal de Active Directory, realice los siguientes pasos: 1. Reinicie el controlador de dominio en Modo de restauración de SD (sólo contr. de dominio de Windows). 2. Inicie la utilidad de copia de seguridad. 3. En la página Asistente para copia de seguridad o restauración, haga clic en Modo avanzado. 4. En la página Utilidad de copia de seguridad en modo avanzado, en la ficha Restaurar y administrar medios, seleccione lo que desee restaurar y, a continuación, haga clic en Iniciar. 5. En el cuadro de diálogo Advertencia, haga clic en Aceptar. 6. En el cuadro de diálogo Confirmar restauración, haga clic en Avanzadas. 7. En el cuadro de diálogo Opciones de restauración avanzadas, haga clic en Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos principales para todas las réplicas y, a continuación, haga clic en Aceptar dos veces. Importante Al seleccionar esta opción, se garantiza que los datos del Servicio de replicación de archivos (FRS, File Replication Service) se replican en el resto de servidores. Seleccione esta opción sólo si desea restaurar el primer conjunto de réplicas en la red.
24
Mantenimiento de la disponibilidad de Active Directory
8. En el cuadro de diálogo Progreso de la restauración, haga clic en Cerrar. 9. En el cuadro de diálogo Utilidad de copia de seguridad, haga clic en Sí. Nota Para obtener más información acerca de las opciones avanzadas disponibles para una restauración principal, consulte “Cómo realizar una restauración principal” en el módulo 10 en la página de los apéndices del disco compacto Material del alumno.
Mantenimiento de la disponibilidad de Active Directory
25
Cómo realizar una restauración normal
************************************************************************************* Introducción
Active Directory se puede restaurar de forma no autoritaria cuando se reemplaza un controlador de dominio erróneo o se repara una base de datos de Active Directory dañada.
Procedimiento
Para realizar una restauración normal de Active Directory, realice los siguientes pasos: 1. Reinicie el controlador de dominio en Modo de restauración de servicios de directorio. 2. Inicie la utilidad de copia de seguridad. 3. En la página Asistente para copia de seguridad o restauración, haga clic en Siguiente. 4. En la página Copia de seguridad o restauración, haga clic en Restaurar archivos y configuraciones. 5. En la página Elementos a restaurar, en Elementos para restaurar, expanda la lista, active la casilla de verificación System State (Estado del sistema) y, a continuación, haga clic en Siguiente. 6. En la página Finalización del Asistente para copia de seguridad o restauración, haga clic en Finalizar. 7. En el cuadro de diálogo Advertencia, haga clic en Aceptar. 8. En el cuadro de diálogo Progreso de la restauración, haga clic en Cerrar. 9. En el cuadro de diálogo Utilidad de copia de seguridad, haga clic en Sí. Advertencia Al restaurar los datos de estado del sistema, la utilidad de copia de seguridad borra los datos de estado del sistema del equipo y los reemplaza por los datos de estado del sistema que se están restaurando, incluidos los datos de estado del sistema que no están relacionados con Active Directory. Dependiendo de la antigüedad de los datos de estado del sistema, se pueden perder los cambios de configuración realizados recientemente en el equipo. Para reducir este riesgo, realice una copia de seguridad de los datos de estado del sistema con regularidad.
26
Mantenimiento de la disponibilidad de Active Directory
Cómo realizar una restauración autoritaria
************************************************************************************* Introducción
A diferencia de una restauración normal, una restauración autoritaria requiere el uso de una herramienta de línea de comandos independiente (Ntdsutil). Ninguna utilidad de copia de seguridad, ni siquiera las utilidades del sistema de Windows Server 2003, puede realizar una restauración autoritaria.
Por qué utilizar Ntdsutil para realizar una restauración autoritaria
La herramienta de línea de comandos Ntdsutil es un archivo ejecutable que se utiliza para marcar los objetos de Active Directory como autorizados de manera que reciban un número de versión superior al del objeto actual. Al marcar objetos, se asegura de que los datos cambiados recientemente en otros controladores de dominio no sobrescriben los datos de estado del sistema durante la replicación.
Procedimiento
Para realizar una restauración autoritaria, realice los siguientes pasos: 1. Reinicie el controlador de dominio en Modo de restauración de servicios de directorio. 2. Restaure Active Directory a su ubicación original. 3. Si debe realizar una restauración autoritaria en la carpeta SYSVOL, restaure Active Directory en una ubicación alternativa mediante la utilidad de copia de seguridad, pero no reinicie el equipo cuando se le solicite tras la restauración. Si no va a realizar una restauración autoritaria en SYSVOL, vaya al paso 4. 4. En el símbolo del sistema, ejecute Ntdsutil.exe. 5. En la línea de comandos ntdsutil, escriba authoritative restore. 6. En la línea de comandos authoritative restore, escriba restore subtree nombre_completo_del_objeto (donde nombre_completo_del_objeto es el nombre completo o la ruta del objeto). Por ejemplo, para restaurar una unidad organizativa denominada Sales, que existía justo debajo del dominio denominado contoso.msft, escriba restore subtree OU=Sales,DC=contoso,DC=msft.
Mantenimiento de la disponibilidad de Active Directory
27
7. Escriba quit y, a continuación, presione ENTRAR. 8. Escriba quit de nuevo y, a continuación, presione ENTRAR para cerrar ntdsutil. 9. Reinicie el controlador de dominio. 10. Una vez que el FRS publique la carpeta SYSVOL, cópiela junto con aquellas carpetas de directivas de grupo que correspondan a los objetos de directivas de grupo restaurados de la ubicación alternativa a las ubicaciones existentes. 11. Para comprobar que la operación de copia se ha realizado correctamente, examine el contenido de la carpeta SYSVOL\Dominio, donde Dominio es el nombre del dominio. Nota Para obtener más información acerca de los nombres de usuario completos, consulte el módulo 1, “Introducción a las infraestructuras de Active Directory”, del curso 2196A, Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
28
Mantenimiento de la disponibilidad de Active Directory
Ejercicio: Restauración de Active Directory
************************************************************************************* Objetivos
En este ejercicio, restaurará la copia de seguridad más reciente antes de eliminar las unidades organizativas de prueba. También comprobará si la operación de restauración se ha realizado correctamente mediante el examen de los datos autorizados.
Instrucciones
Trabajará con un compañero en el dominio de Active Directory que contiene su controlador de domino y el de su compañero. Realice este procedimiento sólo en el controlador de dominio designado como servidor de restauración.
Situación de ejemplo
Northwind Traders ha desarrollado procedimientos de recuperación de desastres. Debe probar los procedimientos para una restauración autoritaria antes de implementarlos en toda la organización.
Ejercicio
Restaurar Active Directory de forma autoritaria 1. Reinicie el controlador de dominio en Modo de restauración de servicios de directorio. 2. Inicie sesión como Administrador con la contraseña P@ssw0rd 3. Inicie la utilidad de copia de seguridad y restaure los datos de estado del sistema a partir de la copia de seguridad creada en el ejercicio Copia de seguridad de Active Directory. 4. En el símbolo del sistema, ejecute ntdsutil en modo de restauración autoritaria. 5. Marque las unidades organizativas eliminadas anteriormente como autorizadas. 6. Reinicie el controlador de dominio.
Mantenimiento de la disponibilidad de Active Directory
29
7. Inicie sesión como Nwtradersx\NombreDeEquipoUser. 8. Compruebe que la unidad organizativa creada en el ejercicio Copia de seguridad de Active Directory se ha restaurado. 9. Examine las propiedades de la unidad organizativa que se ha restaurado y anote el número de secuencia de actualización. ____________________________________________________________
30
Mantenimiento de la disponibilidad de Active Directory
Lección: Planeamiento para la supervisión de Active Directory
************************************************************************************* Introducción
La supervisión del servicio de directorio distribuido Active Directory y de los servicios de los que depende facilita el mantenimiento de datos de directorios coherentes y del nivel de servicio necesario en todo el bosque. Se pueden supervisar indicadores importantes para descubrir y resolver problemas menores antes de que se conviertan en interrupciones de servicio potencialmente prolongadas. La mayoría de grandes organizaciones que disponen de numerosos dominios o sitios físicos remotos necesitan un sistema de supervisión automatizado, como Microsoft Operations Manager 2002 (MOM), para supervisar indicadores importantes. Al utilizar un sistema de supervisión automatizado para consolidar la información y resolver los problemas rápidamente, se puede administrar mejor Active Directory.
Objetivos de la lección
Después de finalizar esta lección, podrá:
Explicar los motivos por los que se debe supervisar Active Directory y los niveles de supervisión adecuados.
Identificar los sucesos que se deben supervisar.
Identificar los contadores de rendimiento que se deben supervisar.
Aplicar directrices para la supervisión del estado de Active Directory.
Mantenimiento de la disponibilidad de Active Directory
31
Información general de la supervisión de Active Directory
************************************************************************************* Introducción
Un análisis de costos y beneficios es un buen método para determinar el nivel de supervisión necesario para el entorno.
Por qué supervisar
La supervisión de Active Directory ayuda a resolver problemas de forma oportuna. Los usuarios experimentan mejoras en la fiabilidad de las aplicaciones que dependen de servidores, un tiempo de inicio de sesión menor, un uso más fiable de los recursos y menos llamadas al departamento de soporte. La supervisión de Active Directory proporciona una vista centralizada de Active Directory a lo largo del bosque. Mediante la supervisión de indicadores importantes, se puede mejorar la fiabilidad del sistema y comprender mejor el funcionamiento del mismo. Además, la supervisión proporciona mayor flexibilidad de programación y ayuda a priorizar la carga de trabajo, porque permite descubrir problemas con antelación y resolverlos antes de que se agraven. La supervisión de Active Directory también garantiza lo siguiente:
Todos los servicios necesarios que admiten Active Directory se ejecutan en cada controlador de dominio.
Las consultas del Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) se responden con rapidez.
Los controladores de dominio no experimentan altos niveles de uso de la unidad central de procesamiento (CPU, Central Processing Unit).
32
Mantenimiento de la disponibilidad de Active Directory
Niveles de supervisión
Normalmente, Active Directory se puede supervisar en tres niveles:
Supervisión básica o mínima de sucesos y contadores de rendimiento.
Supervisión avanzada de los servicios de los que depende Active Directory, el tiempo de respuesta de controlador de dominio y la replicación en todo el bosque. Normalmente se necesitan secuencias de comandos especiales para proporcionar estos niveles de supervisión avanzada.
Supervisión sofisticada, como la que proporciona MOM, para permitir la supervisión en el ámbito de la empresa. Las soluciones de supervisión sofisticada recopilan y consolidan datos mediante agentes o servicios locales que recopilan y distribuyen los datos de supervisión. Asimismo, estas soluciones se aprovechan de la topología de red física para reducir el tráfico de red y aumentar el rendimiento. En un entorno complejo, este nivel sofisticado de supervisión puede ser necesario para proporcionar datos que se requieren para tomar decisiones correctas.
Windows Server 2003 proporciona un potente conjunto de interfaces y servicios que los programadores de software pueden utilizar para crear soluciones de supervisión sofisticada. Cómo determinar el nivel de supervisión necesario
Para determinar el nivel de supervisión necesario, compare el costo de formalizar una solución de supervisión con los costos asociados a interrupciones de servicio y el tiempo que debe perder en diagnosticar y resolver problemas. El nivel de supervisión necesario también depende del tamaño de la compañía y de los requisitos del nivel de servicio. Las organizaciones que cuentan con pocos dominios y controladores de dominio o que deben supervisar sólo un equipo pueden encontrar la lista de indicadores que han de supervisar en este módulo y las herramientas necesarias que proporciona Windows Server 2003. Las organizaciones de mayor tamaño que disponen de muchos dominios, controladores de dominio o sitios y las organizaciones que no pueden permitirse el coste de la pérdida de productividad debido a una interrupción de servicio puede que deseen utilizar una solución de supervisión más sofisticada, por ejemplo, mediante la escritura de extensas secuencias de comandos internas o la compra de una solución de supervisión, como MOM.
Mantenimiento de la disponibilidad de Active Directory
33
Sucesos que supervisar
************************************************************************************* Introducción
Un controlador de dominio de una gran empresa genera normalmente cientos de sucesos relacionados con Active Directory cada día. Una solución de supervisión eficaz puede reducir de forma significativa el número de sucesos mediante la consolidación de éstos en cada controlador de dominio y en varios controladores de dominio. Aunque muchos de estos sucesos no tienen la importancia suficiente para disparar la alarma, se pueden incluir en un informe semanal.
Tipos de sucesos
La supervisión básica puede incluir los siguientes sucesos, que proporcionan los mejores indicadores del estado general de los controladores de dominio.
Suceso
Descripción
Ejemplos
Sucesos del controlador de dominio de la red
Estos sucesos indican lo siguiente:
Cuándo se inicia y se cierra el servicio de registro de sucesos.
6005, 6006, 11151 y 5773
Si un controlador de dominio no puede registrar los registros de nombres del Sistema de nombres de dominio (DNS, Domain Name System).
Utilice estos sucesos para determinar el momento en que el sistema estaba en funcionamiento. Los sucesos DNS indican que la resolución de nombres DNS tiene una importancia fundamental en el entorno. Sucesos de la funcionalidad principal de Active Directory
Estos sucesos indican problemas con la funcionalidad principal de Active Directory.
Gravedad = error
34
Mantenimiento de la disponibilidad de Active Directory
(continuación) Suceso
Descripción
Ejemplos
Sucesos de replicación
Estos sucesos pueden indicar problemas con la replicación de SYSVOL o la aplicación de directivas de grupo.
Gravedad = error y usuario = sistema
Sucesos de autenticación
Estos sucesos pueden indicar problemas con lo siguiente:
Gravedad = advertencia, gravedad = error e informe 11 semanal
Mantenimiento de tiempo uniforme en todo el bosque. Protocolo de autenticación Kerberos versión 5. Protocolo de autenticación predeterminado. Servicio Netlogon y protocolo necesario para una funcionalidad correcta del controlador de dominio.
Nota Para obtener más información acerca de las opciones avanzadas disponibles para una restauración principal, consulte “Sucesos que supervisar” en el módulo 10 en la página de los apéndices del disco compacto Material del alumno.
Mantenimiento de la disponibilidad de Active Directory
35
Contadores de rendimiento que supervisar
************************************************************************************* Introducción
Al realizar una supervisión básica, también se utilizan contadores de rendimiento para supervisar el estado general de los controladores de dominio.
Tipos de contadores de rendimiento
La supervisión básica incluye los siguientes tipos de contadores de rendimiento.
Contador de rendimiento
Descripción
Ejemplos
Contadores de rendimiento para supervisar la cantidad de datos replicados
Utilice las referencias que ha establecido para determinar los umbrales de estos contadores de rendimiento, a menos que se indique lo contrario.
Bytes DRA de entrada comprimidos, Bytes DRA de salida comprimidos, Bytes DRA de salida no comprimidos y Bytes totales DRA de salida/seg.
Contadores de rendimiento para supervisar las funciones y servicios principales de Active Directory
Establezca referencias para determinar los umbrales para estos contadores de rendimiento, a menos que se indique lo contrario.
Suboperaciones de búsqueda Active Directory/seg., % de tiempo de procesador–LSASS, Nº de búsquedas LDAP/seg., Bytes privados y Recuento de identificadores–LSASS
Contadores de rendimiento para supervisar volúmenes de seguridad clave
Establezca referencias para determinar los Autenticaciones NTLM/seg., umbrales para estos contadores de rendimiento, Peticiones KDC AS/seg. y a menos que se indique lo contrario. Autenticaciones/seg
Contadores de rendimiento para supervisar los indicadores principales de sistema operativo
Utilice estos contadores de rendimiento para supervisar los indicadores principales de sistema operativo; estos contadores de rendimiento tienen un impacto directo en el rendimiento de Active Directory.
Errores de página/s., Longitud actual de la cola de disco, Longitud de la cola del procesador, Cambios de s. y Tiempo de actividad del sistema
Nota Para obtener más información acerca de los contadores de rendimiento, sus intervalos recomendados, niveles de umbral e importancia, consulte “Contadores de rendimiento que supervisar” en el módulo 10 en la página de los apéndices del disco compacto Material del alumno.
36
Mantenimiento de la disponibilidad de Active Directory
Directrices para la supervisión de Active Directory
************************************************************************************* Introducción
Aunque cada organización tiene requisitos de supervisión específicos, debe asegurarse de seguir las directrices generales al diseñar un sistema de supervisión. Las organizaciones pequeñas pueden considerar que las siguientes directrices, las utilidades incluidas en la familia de Windows Server 2003 y algunas secuencias de comandos personalizadas son suficientes para ofrecer un servicio de directorio fiable. Las organizaciones de mayor tamaño pueden necesitar una solución de supervisión más sofisticada que pueda proporcionar una vista de consola central de muchos controladores de dominio, ejecutando todos ellos agentes o servicios que consolidan y filtran sucesos, contadores e indicadores.
Directrices
Aplique las siguientes directrices para determinar el modo de diseñar e implementar las soluciones de supervisión:
Asocie acciones bien definidas a todas las advertencias o alertas que genera el sistema de supervisión. Para mantener la integridad operativa de la infraestructura de Active Directory, debe contar con un plan para imprevistos bien definido para tratar de forma eficaz los diversos mensajes que genera Active Directory.
Genere alertas sólo para señalar problemas que requieran atención. El sistema de supervisión no debe generar alertas innecesarias que puedan abrumar al operador que deba resolver los problemas.
Supervise los servicios de los que depende Active Directory. Algunos servicios son fundamentales para el correcto funcionamiento de Active Directory, como, por ejemplo, DNS, FRS, el Centro de distribución de claves (KDC, Key Distribution Center), Netlogon y el Servicio de hora de Windows (W32time).
Determine una referencia fiable para los umbrales que establecen cuándo se presentan advertencias o alertas. Debe conocer los niveles operativos normales antes de decidir si se necesita alguna acción. Mediante el establecimiento de una referencia, puede recopilar datos suficientes con el paso del tiempo para tomar una decisión sobre un plan de acción cuando surjan condiciones imprevistas.
Mantenimiento de la disponibilidad de Active Directory
37
Compruebe el espacio libre en disco para la base de datos y los archivos de registro de Active Directory. Los volúmenes de disco que contienen el archivo de la base de datos de Active Directory, Ntds.dit, y los archivos de registro deben disponer de espacio libre suficiente para un aumento y un funcionamiento normales. Se debe generar una alerta si el espacio libre en disco es inferior a 50 MB o al 10 por ciento del tamaño del volumen. El intervalo recomendado para supervisar el espacio en disco es de una hora.
Reduzca el uso de recursos al supervisar Active Directory. Tenga en cuenta las siguientes recomendaciones para reducir el uso de recursos: • La supervisión no debe utilizar tanta memoria como para disminuir el rendimiento del sistema y la entrega de servicios principales. • Los equipos que se supervisen no deben dedicar más del 5 por ciento del uso total de la CPU a la solución de supervisión. • La solución de supervisión debe generar una cantidad mínima de tráfico de red en el entorno distribuido. • El número total de contadores de rendimiento y la frecuencia con la que se recopilan se deben reducir. De este modo, se reducen las peticiones al sistema, mientras se siguen capturando datos relevantes de forma oportuna. • Las secuencias de comandos se deben ejecutar de forma local y no de forma remota para reducir la latencia y el ancho de banda de red.