Professional Documents
Culture Documents
Es por todos conocido que los Servicios de dominio de Active Directory (ADDS, Active Directory Domain
Services) constituyen un componente crtico en su infraestructura de Windows. Si Active Directory deja
de funcionar, la red es, esencialmente, intil. Como consecuencia, sus planes de copia de seguridad y
restauracin de Active
Directory son fundamentales para la seguridad, la continuidad del negocio y el cumplimiento de las
normas.
Windows Server 2008 aporta numerosas caractersticas nuevas a Active Directory, dos de las cuales
tienen un impacto significativo en sus planes de copia de seguridad y recuperacin: la nueva utilidad
Copias de seguridad de Windows Server y la capacidad de capturar y trabajar con instantneas del
Servicio de instantneas de volumen de Active Directory. En este artculo describir los cambios que
suponen estas mejoras y cmo puede sacar ventaja de estos cambios para optimizar sus actividades de
copia de seguridad de Active Directory.
Copias de seguridad de NT y de Windows Server frente a frente.
Configuracin de la directiva de grupo
Copias de seguridad de Windows Server ofrece varias configuraciones de las directivas de grupo que le
proporcionan un control limitado sobre el funcionamiento de las copias de seguridad en sus servidores.
Con estas directivas de copia de seguridad, es posible mitigar algunos de los riesgos asociados a las
personas que llevan a cabo copias de seguridad no autorizadas con el objeto de obtener acceso a datos
no autorizados. Las opciones incluyen:
Permitir slo copia de seguridad del sistema En el caso de configurar esta opcin, Copias de
seguridad de Windows Server slo podr realizar copias de seguridad de los volmenes crticos del
sistema. No puede realizar copias de seguridad del volumen. No permitir como destino de copia de
seguridad un medio de almacenamiento conectado localmente. Si esta configuracin est habilitada, no
se permitirn las copias de seguridad en las unidades conectadas localmente. Slo puede realizar copias
de seguridad en un recurso compartido de red.
No permitir como destino de copia de seguridad una red Esta configuracin no permite la
realizacin de copias de seguridad en ningn recurso compartido de red.
No permitir como destino de copia de seguridad un medio ptico En el caso de configurar esta opcin,
Copias de seguridad de Windows Server no podr realizar copias de seguridad en ningn dispositivo
ptico, por ejemplo, una unidad de DVD grabable.
No permitir copias de seguridad de una sola ejecucin Esta configuracin no permite que Copias de
seguridad de Windows Server ejecute copias de seguridad sin programar, ad hoc. Slo se podrn ejecutar
las copias de seguridad programadas a travs del complemento MMC de Copias de seguridad de Windows
Server.
La Copia de seguridad de NT que ha conocido y que adoraba desde Windows NT 3.5 ya no existe. Se ha
reemplazado con Copias de seguridad de Windows Server. Esta nueva herramienta no es simplemente
una copia de seguridad de NT con adornos; es una tecnologa de copias de seguridad totalmente nueva
que le obligar a replantearse la forma de realizar copias de seguridad de sus sistemas.
Aunque Copias de seguridad de Windows Server constituye la nica solucin de copia de seguridad
original para Windows Server 2008, no constituye una sustitucin de caracterstica por caracterstica para
Copia de seguridad de NT. La mayor diferencia es que Copias de seguridad de Windows Server es una
solucin de copia de seguridad disco a disco; no es compatible con las copias de seguridad en cinta.
Puede crear imgenes de copia de seguridad en volmenes de disco directamente conectados, en
recursos compartidos de red e, incluso, en unidades de disco duro USB externas y en DVDs grabables
multivolumen. Pero no puede realizar copias de seguridad en cinta. Para ser claro, an es posible colgar
una unidad de cinta en un servidor Windows Server 2008 y copiar las imgenes de copia de seguridad
generadas por Copias de seguridad de Windows Server en la unidad de cinta, pero tendr que usar
software de terceros para hacerlo.
Mientras que Copia de seguridad de NT es una herramienta de copia de seguridad y restauracin basada
en archivos, Copias de seguridad de Windows Server se basa en volmenes y bloques. Copias de
seguridad de Windows Server administra el origen de la copia de seguridad como un conjunto de
volmenes, considerando cada volumen como una coleccin de bloques de discos. Esto es
considerablemente ms eficaz que realizar copias de seguridad de los archivos a travs del sistema de
archivos. La administracin de las copias de seguridad basadas en bloques tambin permite a Copias de
seguridad de Windows Server hacer uso de las instantneas del Servicio de instantneas de volumen
para realizar copias de seguridad incrementales a nivel de bloque, as como crear instantneas en el
volumen de destino para simplificar el uso de (y reducir el espacio usado por) varias copias de seguridad.
Incluso si realiza copias de seguridad completas, Copias de seguridad de Windows Server ofrece una gran
eficiencia de espacio en los discos de destino. Por ejemplo, puede realizar varias copias de seguridad
completas del mismo volumen. Puesto que Copias de seguridad de Windows Server usa instantneas del
Servicio de instantneas de volumen en los discos de destino donde almacena las imgenes de copia de
seguridad, las instantneas slo almacenarn los bloques que han cambiado. Esto reduce
sustancialmente el espacio usado por varias copias de seguridad completas y elimina la necesidad de
realizar varias operaciones de restauracin para recuperar un copia de seguridad incremental. Aunque la
instantnea slo almacena los deltas de cada copia de seguridad, el Servicio de instantneas de volumen
hace aparecer completa cada una de las copias de seguridad.
No obstante, debe tener en cuenta que slo obtiene los beneficios del Servicio de instantneas de
volumen en el destino si realiza una copia de seguridad en una unidad de disco duro local, Copias de
seguridad de Windows Server no puede llevar a cabo las operaciones del Servicio de instantneas de
volumen en las copias de seguridad almacenadas en un DVD o en recursos compartidos de red.
Como beneficio extra, Copias de seguridad de Windows Server almacena sus imgenes de copia de
seguridad en el formato de disco duro virtual (VHD) de Microsoft. De hecho, puede capturar una
imagen de copia de seguridad y montarla como un volumen en un equipo virtual que se ejecuta bajo
Microsoft Virtual Server 2005. Puede, simplemente, montar los VHD en un equipo virtual y buscar un
archivo en particular en lugar de tener que llevar a cabo restauraciones de prueba de las cintas para ver
cul de ellas hospeda el archivo. (Un nota de advertencia: no puede capturar una imagen de copia de
seguridad y arrancar un equipo virtual a partir de la misma. Puesto que la configuracin del hardware del
que se ha realizado copia de seguridad no se corresponde con la configuracin del equipo virtual, no
puede usar Copias de seguridad de Windows Server como una herramienta de migracin fsica a virtual).
Existe una desventaja en el enfoque de los volmenes y bloques de Copias de seguridad de Windows
Server. Puesto que esta nueva herramienta considera el origen de la copia de seguridad como un
conjunto de volmenes y bloques, no le permite realizar nicamente copias de seguridad de archivos
seleccionados. Tiene que realizar copia de seguridad de todo el volumen. Y lo que es an ms
problemtico, de forma predeterminada, no es posible almacenar una imagen de la copia de seguridad en
uno de los volmenes de los que se realiza la copia de seguridad (existen algunas maneras de solucionar
esto; consulte support.microsoft.com/kb/944530). Esto tiene profundas implicaciones en la copia de
seguridad de estado del sistema, lo cual tratar ms adelante en este artculo.
Instalacin de Copias de seguridad de Windows Server
Copias de seguridad de Windows Server es una "caracterstica" de Windows Server 2008 y no est
instalada de forma predeterminada. Antes de poder realizar una copia de seguridad con Copias de
seguridad de Windows Server, debe instalar la caracterstica, mediante el Administrador de servidores o
mediante la utilidad de lnea de comandos
SERVERMANAGERCMD:
Cdigo:
con Copia de seguridad de NT. Para este escenario poco probable, Microsoft ha puesto a su disposicin
una versin descargable de Copia de seguridad de NT para Windows Server 2008 (consulte
go.microsoft.com/fwlink/?LinkId=113147).
Componentes de Copias de seguridad de Windows Server
La manera en la que se ha diseado la aplicacin Copias de seguridad de Windows Server representa un
cambio considerable. Esta nueva solucin de copia de seguridad consta de cuatro componentes:
(WBADMIN.EXE)
las copias de seguridad y restauraciones de estado del sistema o a nivel de archivos cuando se usan
DVDs. No es posible, tampoco, programar copias de seguridad en un DVD.
Copias de seguridad y restauraciones de estado del sistema
Las copias de seguridad de estado del sistema, que incluyen nicamente archivos seleccionados y
algunas bases de datos de la aplicacin (en lugar de volmenes completos) son sencillas y, con
frecuencia, esenciales. Sin embargo, las primeras compilaciones de Windows Server 2008 no eran
compatibles con las copias de seguridad y restauraciones de estado del sistema. En su lugar, la
herramienta de copia de seguridad realizaba, simplemente, copias de seguridad de los volmenes crticos
del sistema (lo cual implicaba cualquier volumen necesario para recuperar y reiniciar el sistema operativo
y aplicaciones clave). Estos volmenes crticos del sistema suponan el equivalente, orientado al volumen,
de una copia de seguridad de estado del sistema.
Basndose en los comentarios de algunos clientes, Microsoft agreg capacidades de copia de seguridad y
restauracin de estado del sistema a Copias de seguridad de Windows Server. La aplicacin crea varios
archivos VHD, uno para cada volumen que hospeda los datos de estado del sistema, pero slo copia los
archivos y bases de datos necesarias en los VHD. Otro problema es que cuando realiza una copia de
seguridad de estado del sistema, Copias de seguridad de Windows Server no crea una instantnea del
volumen de destino, tal como se hace en el proceso de copia de seguridad normal. En su lugar, cada
copia de seguridad de estado del sistema genera un conjunto completamente nuevo de archivos VHD, lo
cual significa que no es posible obtener la eficacia de espacio que se consigue con las copias de seguridad
de volumen basadas en instantneas.
Slo puede realizar una copia de seguridad de estado del sistema mediante el programa de lnea de
comandos WBADMIN.EXE, el complemento MMC no ofrece esta opcin. Para realizar un copia de
seguridad de estado del sistema, use este comando:
Cdigo:
Figura 3 Uso del cuadro de dilogo de configuracin de la copia de seguridad para especificar
todos o los volmenes seleccionados
En este ejemplo, deseo realizar la copia de seguridad en una unidad de disco duro local, por lo que
selecciono la opcin Personalizar. A continuacin, un cuadro de dilogo me permite seleccionar los
volmenes a los que realizar la copia de seguridad (consulte la Figura 4). De forma predeterminada,
Copias de seguridad de Windows Server marca la casilla de recuperacin del sistema Habilitar, lo cual
provoca, a su vez, que Copias de seguridad de Windows Server seleccione el volumen de arranque, el
volumen de sistema operativo y cualquier otro volumen con archivos crticos del sistema y bases de datos
de la aplicacin. En un DC, esto incluye los volmenes que hospedan SYSVOL, el DIT de Active Directory
y los registros de Active Directory. Esto es el equivalente de una copia de seguridad de estado del
sistema pero realiza copias de seguridad de todos los volmenes crticos, no slo de los archivos crticos
en dichos volmenes. De hecho, incluso cuento con la capacidad de realizar una restauracin de estado
del sistema desde un conjunto de copias de seguridad de restauracin del sistema.
Figura 4 Seleccin de volmenes especficos a los que realizar una copia de seguridad
Tras seleccionar el tipo de destino (unidad local o recurso compartido de red) y especificar el destino,
Copias de seguridad de Windows Server me solicita seleccionar una copia de seguridad "de copia de VSS"
o una copia de seguridad "completa de VSS". La terminologa es un poco confusa, puesto que ambas
opciones realizarn la copia de seguridad de los volmenes seleccionados en su totalidad. La diferencia
radica en la manera en la que Copias de seguridad de Windows Server administra los archivos de origen
una vez se les ha realizado una copia de seguridad. Si selecciona la opcin de copia, Copias de seguridad
de Windows Server abandonar los archivos de la copia de seguridad. Si elige la opcin de copia
completa, Copias de seguridad de Windows Server restablecer, a continuacin, el archivo.
Realizacin de copias de seguridad a un servidor desde la lnea de comandos
Si desea redactar scripts del proceso de copia de seguridad, o si realiza copias de seguridad de un
servidor en una instalacin Server Core, puede usar el programa de lnea de comandos WBADMIN.EXE.
WBADMIN ofrece un conjunto completo de opciones que realizan, esencialmente, las mismas funciones
que el complemento MMC, incluida la administracin de los programas de copia de seguridad.
Suponga que deseo reiniciar el servicio WBENGINE, que realizar, a cambio, el proceso de copia de
seguridad. Todo lo que hago es escribir este comando:
Cdigo:
Cdigo:
Figura 5 Definicin de la hora a la que deben ocurrir las copias de seguridad diarias
Tras seleccionar las horas a las que deseo que ocurran las copias de seguridad, puedo seleccionar el
volumen (o los volmenes) a los que deseo realizar la copia de seguridad. En este caso, selecciono el
volumen de copia de seguridad E:, tal como se muestra en la Figura 6. Copias de seguridad de Windows
Server intenta seleccionar un volumen de destino apropiado, pero en el caso de que el disco del que
desea realizar la copia de seguridad no aparezca, puede usar el botn Mostrar todos los discos
disponibles para ver todos dispositivos de disco conectados. Tras pasar por un par de cuadros de dilogo
"Confirmar", Copias de seguridad de Windows Server da formato al volumen o volmenes de destino y
programa la tarea de copia de seguridad mediante el Programador de tareas de Windows.
Figura 6 Especificacin del disco de destino para una copia de seguridad programada
Cada vez que se lleva a cabo una copia de seguridad programada, Copias de seguridad de Windows
Server captura una instantnea del volumen de destino. Y cada siete das, crea una nueva imagen de
base. La actividad se registra en el registro Microsoft, Backup u Operational. Aqu puede comprobar si las
copias de seguridad se llevaron a cabo correctamente, tambin puede asociar una tarea, como el envo
de un mensaje de correo electrnico, con los eventos correctos o con error para saber siempre el estado
de sus copias de seguridad programadas.
Programacin de las copias de seguridad desde la lnea de comandos
Si programa las copias de seguridad en una instalacin Server Core o simplemente desea redactar los
scripts del proceso, puede administrar el programa de copias de seguridad mediante la lnea de
comandos WBADMIN. Para agregar una copia de seguridad programada, debe usar el comando
WBADMIN ENABLE BACKUP, especificando el destino, origen y hora programada, de este modo:
Cdigo:
de instalacin, puede elegir la opcin Reparar el equipo, tal como se muestra en la Figura 7. Sealo esto
en concreto ya que es muy fcil pasarlo por alto si no lo busca directamente.
Una vez selecciona el sistema operativo que desea reparar (normalmente slo hay una opcin), WinRE le
permite seleccionar la copia de seguridad desde la que desea realizar la restauracin. De forma
predeterminada, WinRE selecciona la copia de seguridad de sistema completa ms reciente, aunque
puede especificar otras copias de seguridad almacenadas en discos locales o buscar en la red copias de
seguridad que se almacenan en recursos compartidos de archivos en otros servidores.
En mi ejemplo, selecciono la copia de seguridad de sistema completa ms reciente. El dilogo siguiente
(mostrado en la Figura 9) me permite dar formato y volver a realizar la particin de todos los discos
antes de que sean restaurados. Esto constituye una opcin apropiada si el problema del que se est
recuperando tuvo su origen en alguna clase de error en el disco o por haber sustituido una o ms
unidades de disco en el servidor.
Figura 9 Puede dar formato y volver a realizar la particin de los discos fcilmente antes de que
sean restaurados
Tras un par de cuadros de dilogo de confirmacin, WinRE inicia el proceso de restauracin y el servidor
se vuelve a arrancar. De esta manera es posible llevar a cabo, sin problemas, una restauracin completa
en un servidor.
Restauracin de estado del sistema de un controlador de dominio
Si necesita recuperarse de algn tipo de problema relacionado con Active Directory, como la recuperacin
de una unidad organizativa eliminada desde una copia de seguridad, debera restaurar la base de datos
de Servicios de dominio de Active Directory (ADDS) a un estado anterior, en lugar de restaurar todo el
sistema. Aunque es posible detener ADDS como un servicio en Windows Server 2008, necesitar arrancar
el servidor en el Modo de restauracin de servicios de directorio (DSRM, Directory Services Restore
Mode) para realizar una restauracin de estado del sistema en un controlador de dominio.
El cambio de las opciones de arranque para que Windows Server 2008 arranque en DSRM no es tan fcil
como sola ser. Todo el entorno de arranque de Windows se ha rediseado para que sea compatible con
la nueva Extensible Firmware Interface (EFI) y el archivo boot.ini de la vieja escuela ya no existe. En su
lugar, Windows Server 2008 usa datos de configuracin de arranque (BCD, Boot Configuration Data) para
controlar el proceso de arranque.
La manera ms sencilla de administrar los BCD es usar el programa de lnea de comandos BCDEDIT. Una
explicacin que abarcara todos los comandos y opciones BCDEDIT requerira, por su extensin, un solo
artculo, por lo que aqu mostrar simplemente algunos ejemplos tiles.
Para reiniciar un DC en Windows Server 2008 como un DSRM, use el siguiente comando:
Cdigo:
Antes de que use WBADMIN para iniciar una restauracin de estado del sistema, debe identificar la copia
de seguridad desde la que desea realizar la restauracin. WBADMIN puede realizar una restauracin de
estado del sistema desde una copia de seguridad de todo el sistema, una copia de seguridad que
contiene nicamente los volmenes de sistema crticos o una copia de seguridad de estado del sistema.
En cualquiera de estos casos, debe especificar la versin de la copia de seguridad que desea usar. La
manera ms fcil de identificar las versiones de copia de seguridad que estn disponibles es usar el
siguiente comando WBADMIN:
Cdigo:
Cdigo:
En este caso, selecciono la copia de seguridad ms reciente e inicio la restauracin de estado del sistema
con este comando WBADMIN:
Cdigo:
Debe capturar las instantneas de ADDS o de Active Directory Lightweight Directory Services (ADLDS)
mediante el comando NTDSUTIL, tal como se muestra aqu:
Cdigo:
ntdsutil: snapshot
snapshot: activate instance ntds
Active instance set to "ntds".
snapshot: create
Creating snapshot...
Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
snapshot: quit
ntdsutil: quit
Esta secuencia de comandos NTDSUTIL crea una instantnea del Servicio de instantneas de volumen de
los volmenes que contienen el DIT de Active Directory, los registros y SYSVOL. Aunque Active Directory
an se somete a actualizaciones, el Servicio de instantneas de volumen usa una estrategia de copia por
escritura para asegurarse de que las instantneas que ha capturado se mantienen de manera adecuada.
Tenga en cuenta que las instantneas no son una copia completa del DIT. Son simplemente una coleccin
de bloques de disco en el DIT que se han modificado desde que la instantnea fue capturada. Al combinar
estos bloques con la copia actual del DIT, VSS puede presentar el DIT de Active Directory tal como
apareci en el momento de la instantnea. El siguiente codigo muestra cmo eliminar las instantneas
anteriores o innecesarias.
Cdigo:
C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2:
C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3:
D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: delete 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as
C:\$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\>
C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2:
C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3:
D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: mount 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
El poder obtener acceso a los datos del directorio de esta manera facilita en gran medida la realizacin de
muchas clases de tareas de recuperacin con respecto al pasado. Por ejemplo, para poder recuperar un
objeto eliminado de un copia de seguridad, anteriormente era necesario que llevase a cabo una
restauracin no autoritativa de la copia de seguridad en un DC existente y, a continuacin, realizar una
restauracin autoritativa del objeto eliminado. Y si la copia de seguridad que haba restaurado no contaba
con los datos correctos, tena que empezar de nuevo con una copia de seguridad diferente. Ahora,
gracias a la reanimacin de desechos y las instantneas, es posible encontrar y recuperar fcilmente los
datos eliminados y, adems, no es necesario desconectar el controlador de dominio para hacerlo.
No obstante, hay algunas limitaciones. Por ejemplo cada instantnea activa aumenta la E/S de disco
asociada a las operaciones de escritura en el directorio, por lo que probablemente no debera tener jams
ms de una o dos instantneas activas en un DC de produccin. Asimismo, cuanto ms tiempo mantenga
activas las instantneas, ms grande se har el almacn de deltas del Servicio de instantneas de
volumen, algo que podra afectar al rendimiento. Y, por supuesto, la simple recuperacin de un objeto
eliminado es slo la primera parte del problema de recuperacin. Probablemente, tambin tendr que
recuperar los atributos vinculados del objeto, como las pertenencias a grupos. Pero an en este caso, la
instantnea le puede ayudar a identificar todos los grupos de los que era miembro el objeto eliminado.
Una estrategia acertada de copia de seguridad y recuperacin para Active Directory
Windows Server 2008 integra un sistema de copia de seguridad y recuperacin completamente nuevo.
Algunos de los cambios pueden parecer muy molestos en un principio. Pero una vez que las
organizaciones de TI han aceptado estos cambios e incorporado la nueva tecnologa de copia de
seguridad en sus operaciones diarias, obtienen a cambio una implementacin de copia de seguridad y
recuperacin mucho ms efectiva.
An con todos los cambios en la manera de realizar copias de seguridad de los servidores en Windows
Server 2008, la estrategia bsica para realizar copias de seguridad y recuperar Active Directory no ha
cambiado en gran medida. As que a la hora de planear su estrategia, asegrese de tener en cuenta estos
procedimientos recomendados:
Asegrese de realizar copias de seguridad de los DC con las rplicas de particin de la aplicacin si las ha
definido. Y considere la creacin de una particin del Entorno de recuperacin de Windows en sus DC de
manera que pueda arrancar rpidamente en WinRE en caso de error de una de las unidades crticas del
sistema.