8. Backup Directorio Activo y las GPO.


Backup del estado del sistema (Directorio Activo) y las GPOs


Es necesario realizar backups de nuestros DCs (en concreto de la base de datos del directorio activo ntds.dit y de las carpetas de replica sysvol que contienen las GPO). Para ello disponemos del backup del Estado del sistema, que lo programaremos en las Tareas programadas según la periodicidad que nos interese. Por ejemplo, para el “root domain DC” podemos ponérsela diaria y para el resto podemos ir haciendo algunas copias semananes o mensuales. 


También necesitaremos un backup del system state para salvar exclusivamente el Directorio Activo (ntds.dit) con la sysvol correspondiente, para ello programando una tarea con el asistente del wsb o ntbackup será suficiente. Puede hacerse, diario o semanal según el DC y la criticidad del mismo. Lo ideal es tener una diaria del root Domain DC y también semanal e ir guardando algún registro de copias si se realizan muchos cambios al AD.



Actualmente en midominio, tenemos copia diaria y semanal del leg00DC3.



Compactar / Desfragmentar la base de Datos ntds.dit :



Realmente esta idea tiene sentido si necesitamos espacio y lo vamos a ganar al hacerlo. Es difícil obtener mejoras de rendimiento. La desfragmentación se lleva a cabo online cada 24 horas. La offline simplemente reduce el tamaño del fichero y al ser offline hay que hacerlo en cada uno de los DC ya que cada uno tiene su propio ntds.dit.



En cualquier caso, para compactar y defragmentar la ntds.dit hay que realizar en cada uno de los DC:

           

Reiniciar en modo restauración

            Abrimos Ntdsutil en una consola, tecleando c:\ntdsutil

            Luego escribimos files y entramos en FILE MAINTENANCE

            Escribimos compact to c:\temp

            Quit





En C:\windows\ndts tenemos la ntds.dit buena, la podemos copiar a otro lugar como backup y pasamos la que habíamos dejado en temp. Posteriormente podemos comprobar la integridad de la nueva compactada igual que hemos hecho antes pero en lugar de compat to, haremos integrity.



Ntdsutil es muy útil para otras tareas, en el caso por ejemplo de tener que restaurar un rol de DC, lo que se conoce como Seize a FSMO. Es decir, nos ponemos en el caso de haber perdido un DC que tenia algún rol y debemos conseguir que ese rol lo tome otro DC que sí esté vivo. Por ejemplo, nos cae el DC que contiene el Maestro de Infraestructura:



Ntdsutil

Actívate instance NTDS

Roles

Seize infrastructure master

Comentarios

Publicar un comentario

Entradas populares de este blog

5. Test con NetDiag a nivel de Red y conexiones.

Netdiag nos ofrece una batería de test de red, en la que testeamos la habilidad de los servidores para operar como por ejemplo el NIC binding ( el orden en el que Windows carga los NICs y cual pone como primario) así como las capacidades Lan/Wan. ¿Qué chequea NETDIAG? Básicamente estas 6 cosas.  Conexión entre servidores Tuneles VPN en la Wan Problemas DNS NIC Binding IPSEC Winsock   LDAP entre DCs. Netdiag /v > c:\netdiag.txt   # con ello lanzamos los test anteriormente descritos El comando arriba indicado lanza todos los test completos , pero se pueden lanzar por separado con  netdiag /test: X    #donde X seria cualquiera de los siguientes Ndis - Netcard queries Test IpConfig - IP config Test Member - Domain membership Test NetBTTransports - NetBT transports Test Autonet - Autonet address Test IpLoopBk - IP loopback ping Test DefGw - Default gateway Test NbtNm - NetBT name Test WINS - WIN...
Leer más

10. Eliminacion de metadatos en Directorio Activo.

En un DC del AD y con el administrador del dominio, ejecutamos los siguientes comandos: ntdsutil metadata cleanup connections connect to DCx                #debemos conectar a otro DC distinto al que queremos eliminar    select operation target    list domains    select domain x                  #dominio del miembro que estoy quitando    list sites    select site x                        #site del miembro que estoy quitando    list servers in site    select server x                    #donde server es el dc que nos ha caido y queremos borrar todo rastro    quit  metada...
Leer más

7.NTP Servers en dominios Microsoft. Chequeos con w32tm y Net Time.

Equipos cliente En la variable de registro siguiente tenemos el setting para el Time Service de nuestros clientes HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters . El valor Type, debe ser en cualquier máquina de nuestro dominio NT5DS y significa que nuestra maquina (sea cliente o servidor miembro, o incluso DC) está cogiendo el tiempo de nuestra jerarquía de dominio, entregado por el PDC Emulator. Si eso no ocurre, haremos lo siguiente, que es básicamente, resetear el Servicio de tiempo en esa máquina que tiene mal dicho servicio. Esto mismo que vamos a hacer es válido en otras situaciones, como por ejemplo, ante un fallo de kerberos el cual se apoya en él (event id 4 o 5) . net stop w32time w32tm /unregister w32tm /register net start w32time Con ello debe haber puesto el valor a NT5DS. Nota: Si encontramos NTPServer en este valor, puede ser porque aún no lo ha cambiado y antes de estar en el dominio lo tenía puesto. Con los comandos de arriba...
Leer más