Compartir a través de

Restaurar un controlador de dominio virtualizado

  • Artículo

Debe realizar copias de seguridad periódicas del estado del sistema para poder restaurar un controlador de dominio (DC) físico o virtual durante un escenario de recuperación ante desastres. El estado del sistema incluye los datos de Active Directory y los archivos de registro, el registro, el volumen del sistema y varios elementos del sistema operativo. Las aplicaciones de copia de seguridad compatibles con Active Directory garantizan la coherencia de las bases de datos locales y replicadas de Active Directory después de un proceso de restauración, incluida la notificación a los socios de replicación de los restablecimientos de ID de invocación. Los entornos de alojamiento virtual y las aplicaciones de creación de imágenes de disco o del sistema operativo permiten a los administradores omitir las comprobaciones y validaciones estándar que se producen durante la restauración del estado del sistema de DC.

Si su máquina virtual (VM) de DC falla pero no ve signos de una reversión del número de secuencia de actualización (USN), hay dos formas de restaurar la VM:

  • Si su sistema tiene una copia de seguridad válida de los datos del estado del sistema anterior al fallo, puede restaurarla utilizando la utilidad de copia de seguridad compatible con Active Directory que utilizó para crear la copia de seguridad dentro del tiempo de vida del tombstone. El tiempo de vida predeterminado del tombstone es de 180 días, debe realizar copias de seguridad de sus DC con regularidad y al menos cada 90 días. Para obtener más información sobre cómo determinar el tiempo de vida del tombstone, consulte Determinar el tiempo de vida del marcador de exclusión para el bosque.

  • Si dispone de una copia de trabajo del archivo del disco duro virtual (VHD) pero no de una copia de seguridad del estado del sistema, puede eliminar la VM existente y restaurarla utilizando una copia anterior del VHD. Asegúrese de iniciar la VM en DSRM y, a continuación, configure la propiedad del registro como se describe en Restaurar una copia de seguridad del estado del sistema. Después, reinicie el DC en modo normal.

Determine la mejor forma de realizar una copia de seguridad de su DC

Existen varias formas de realizar copias de seguridad de su DC, pero la que mejor se adapte a su implantación depende de varios factores.

  • Si no tiene datos críticos en el DC o no tiene una copia de seguridad realizada antes de que el DC se cayera:

    • Elimine por la fuerza el rol AD DS del DC.

    • Elimine la cuenta de equipo del controlador de dominio que ha fallado.

    • Si es necesario, instale el rol AD DS en el servidor de reemplazo que se convertirá en el siguiente DC.

  • Si dispone de una copia de seguridad del estado del sistema, restaure el DC siguiendo las instrucciones de Restaurar una copia de seguridad del estado del sistema.

  • Si dispone de una versión anterior del DC en un archivo VHD, siga las instrucciones de Restaurar el DC virtual con un archivo VHD.

    • Si la versión anterior ejecuta Windows Server 2012 en un Hyper-V que admite el parámetro VM-GenerationID, implemente el VHD en una nueva máquina virtual y reinicie la máquina virtual en modo normal.

    • Si la versión anterior ejecuta una versión diferente de Windows Server, ¿ya la ha iniciado en modo normal?

      • En caso negativo, restaure el DC iniciándolo en DSRM, estableciendo el valor 1 en el registro de base de datos restaurada desde copia de seguridad y reiniciándolo en modo normal.

      • En caso afirmativo, desconecte el DC virtual de la red, recupere y guarde los datos únicos necesarios en una copia diferente de la VM y, a continuación, no vuelva a utilizar el DC original en la red. Además, elimine su rol AD DS del DC original o reinstale el SO, luego instale el rol en la nueva versión del DC.

Si está intentando restaurar un RODC:

  • Si existe una copia de seguridad de los datos de estado del sistema anterior al fallo del DC original, utilícela para restaurar el DC.

  • Si no dispone de una copia de seguridad del estado del sistema pero sí de un archivo VHD de una versión anterior del DC, elimine el DC que ha fallado y, a continuación, cree e inicie una nueva VM utilizando la copia de seguridad del archivo VHD.

  • Si no dispone de ninguna de estas copias de seguridad, elimine el rol AD DS del controlador de dominio ejecutando este comando:

    dcpromo /forceremoval

    Después de ejecutar el comando, instale el rol AD DS en el servidor de reemplazo para convertirlo en un RODC.

Restaurar una copia de seguridad del estado del sistema

Si existe una copia de seguridad del estado del sistema válida para el DC VM, puede restaurar la copia de seguridad de forma segura siguiendo el procedimiento de restauración de la herramienta de copia de seguridad que utilizó para realizar la copia de seguridad del archivo VHD.

Importante

Para restaurar correctamente el DC, debe iniciarlo en DSRM, no en modo normal. Si pierde la oportunidad de iniciar el modo DSRM durante el inicio del sistema, apague la máquina virtual del DC antes de que se inicie completamente en modo normal. Es importante iniciar el DC en DSRM porque iniciar un DC en modo normal incrementa los USN, incluso aunque el DC esté desconectado de la red. Para obtener más información sobre la reversión de USN, consulte USN y reversión de USN.

Restaurar la copia de seguridad del estado del sistema del DC virtual

Para restaurar la copia de seguridad de los datos del estado del sistema del DC virtual:

  1. Inicie la VM del DC y, a continuación, pulse la tecla F5 para acceder al Administrador de arranque de Windows.

  2. Si se le pide que escriba las credenciales de conexión, siga estos pasos:

    • Seleccione inmediatamente el botón Pausar de la máquina virtual para pausar el proceso.

    • Escriba las credenciales de conexión.

    • Seleccione el botón Reproducir de la máquina virtual.

    • Seleccione dentro de la ventana de la VM, y pulse la tecla F5.

    Si el Administrador de arranque de Windows no se abre y el DC comienza a arrancar en modo normal, apague la VM para pausar el proceso. Repita este paso todas las veces que sea necesario hasta que pueda acceder al Administrador de arranque de Windows. No puede acceder a DSRM desde el menú Recuperación de errores de Windows. Por lo tanto, si aparece el menú Recuperación de errores de Windows, apague la máquina virtual y vuelva a intentarlo.

  3. En el Administrador de arranque de Windows, pulse la tecla F8 para acceder a las opciones de arranque avanzadas.

  4. En Opciones de arranque avanzadas, seleccione Modo de restauración de servicios de directorio y, a continuación, pulse la tecla Intro para iniciar el DC en DSRM.

  5. Use el método de restauración adecuado para la herramienta que se usó para crear la copia de seguridad del estado del sistema. Si ha utilizado Windows Server Backup, siga las instrucciones de Realizar una restauración no autorizada de AD DS.

Restaurar el DC virtual con un archivo VHD

Si no dispone de una copia de seguridad de los datos de estado del sistema anterior al fallo de la máquina virtual, puede utilizar el archivo VHD para restaurar un DC que se esté ejecutando en una máquina virtual. Asegúrese de crear una copia del archivo VHD antes de empezar. De este modo, si surge algún problema durante el procedimiento o se omite algún paso, puede volver a intentarlo con el archivo VHD copiado.

Advertencia

No debe utilizar este procedimiento como sustituto de las copias de seguridad planificadas y programadas con regularidad. Microsoft no admite las restauraciones realizadas con este procedimiento. Use este procedimiento solo cuando no haya ninguna alternativa.

No utilice este procedimiento si alguna máquina virtual ya ha iniciado la copia del VHD que planea utilizar para la restauración en modo normal.

Para restaurar un DC virtual con un archivo VHD:

  1. Utilizando el VHD anterior, inicie el DC virtual en DSRM.

    • No inicie el DC en modo normal. Si no aparece la pantalla del Administrador de arranque de Windows y el DC comienza a iniciarse en modo normal, apague el VM para evitar que se inicie.

  2. Abra el Editor del Registro seleccionando Inicio, luego entre en regedit.exe y seleccione Editor del registro.

    • Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción mostrada es la esperada y, a continuación, seleccione .

    • En el Editor del Registro, expanda la ruta HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

    • Busque un valor llamado DSA Previous Restore Count. Si el valor está presente, anote el valor de configuración. De lo contrario, la configuración será el valor predeterminado (0). Si no se muestra ningún valor, no establezca manualmente el valor.

  3. Haga clic con el botón derecho en la clave Parámetros, seleccione Nuevo y después Valor de DWORD (32 bits).

  4. Introduzca el nuevo nombre Base de datos restaurada desde la copia de seguridad y, a continuación, pulse la tecla Intro.

  5. Haga doble clic en el valor que acaba de crear para abrir el cuadro de diálogo Editar valor DWORD (32 bits) y, a continuación, busque el campo de Datos de valores e introduzca 1.

  6. Reinicie el DC en el modo normal.

  7. Cuando se reinicie el DC, abra el Visor de sucesos haciendo clic con el botón derecho en Inicio y seleccionando Visor de sucesos.

  8. Expanda Registros de aplicaciones y servicios y seleccione el registro de Servicios de directorio. Asegúrese de que aparezcan eventos en el panel de detalles.

  9. Haga clic con el botón derecho en el registro de Servicios de directorio y seleccione Buscar.

  10. En el campo Buscar qué, introduzca 1109 y, a continuación, seleccione Buscar siguiente.

  11. Debería ver al menos una entrada para el identificador de evento 1109. Si no ve esta entrada, continúe con el siguiente paso. De lo contrario, haga doble clic en la entrada y revise el texto. Confirme que el texto muestra que la actualización se realizó en el InvocationID, como se muestra en el siguiente ejemplo:

    Active Directory has been restored from backup media, or has been configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created is <time>

InvocationID attribute (old value):<Previous InvocationID value>
InvocationID attribute (new value):<New InvocationID value>
Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

  12. Cierre el Visor de eventos.

  13. Use el Editor del Registro para comprobar que el valor en la configuración DSA Previous Restore Count es igual al del valor anterior más uno. Si el valor correcto no está allí y no puede encontrar una entrada para el ID de evento 1109 en el Visor de eventos, verifique que los paquetes de servicio del DC estén actualizados.

    Nota:

    No se puede volver a intentar este procedimiento en el mismo VHD. Puede intentarlo de nuevo con una copia del VHD o con otro VHD distinto que no se haya iniciado en modo normal empezando de nuevo desde el paso 1.

  14. Cierre el Editor del Registro.

Contenido adicional

Para obtener más información sobre los DC virtualizados, consulte Virtualización de controladores de dominio con Hyper-V.