none
Cambio de contraseña de Directory Services Restore mode RRS feed

  • Pregunta

  • Buenas tardes..

    Tengo una infraestructura de 3 Servidores "Domain Controller" con los siguientes roles, los cuales brindan el servicio de DNS y autenticación a usuarios en oficinas remotas.

    • DC1 - PDC
    • DC2 - INFRASTRUCTURE
    • DC3 - RID

    Los 3 servidores están operando bajo Windows Server 2008.

    Quiero implementar una estrategia de recuperación a través de respaldos de SystemState con la herramienta de recuperación nativa Windows Servers Backup Features. Sin embargo no recuerdo la contraseña de DSRM de recuperación, la cual entiendo que es básica para poderme recuperar de un respaldo de este tipo.

    La preguntas son las siguientes:

    1. ¿Existe algún riesgo de cambiar esta contraseña de DSRM con la herramienta Ntdsutil?
    2. En caso de que tuviera algún desastre con esta infraestructura de Active Directory, y cuento con los respaldos saludables de cada servidor.....¿Existe una buena practica para levantarlos? ¿Un orden? o simplemente levantar el PDC y el resto promverlos desde cero y esperar la replica de objetos...

    Saludos

    martes, 1 de septiembre de 2015 0:28

Todas las respuestas

  • Hola "Ing. Alejandro Moreno Hdez" como estas,

    set DSRM password
    https://technet.microsoft.com/en-us/library/cc754363.aspx

    Domain Controller Recovery
    https://technet.microsoft.com/en-us/library/cc535164.aspx

    How Operations Masters Work
    https://technet.microsoft.com/en-us/library/cc780487(v=ws.10).aspx

    Espero sea de ayuda. Saludos.

    martes, 1 de septiembre de 2015 3:50
  • 1. No existe riesgo en cambiar la contraseña DSRM con NTDSUTIL, además es la única opción que yo sepa :)

    2. Si tienes respaldo completo de un servidor no deberías tener ningún problema para recupearlo, pero ¿haz probado si tuvieras que hacerlo en hardware diferente? Cuidado con esto último ya que puede llegar a dar bastante trabajo

    Inclusive dependiendo de dónde tengas la copia de seguridad, puede haber algún tipo de cosa no prevista :)
    Revisa este enlace a ver si te sirve: Copia de Seguridad (“Backup”) – Recuperación Completa de un Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2015/08/25/copia-de-seguridad-backup-recuperacin-completa-de-un-controlador-de-dominio/ 

    [Edito] Agrego un dato más ¿estás seguro del motivo para tener los roles separados? En general se recomienda que los roles por Dominio se mantengan en el mismo Controlador de Dominio, ya que de esa forma es más eficiente la topología de replicación


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.


    martes, 1 de septiembre de 2015 11:14
    Moderador
  • Guillermo.

    Duda.

    En que te basas para indicar sobre los problemas de tener roles separados, dado que en la Guía de Microsoft indica si al tener dos o mas DC, lo primordial es tener los FSMO en los dos DC. Y lo que mas recomiendan ellos es que en uno tengan el PDC y el RID juntos y en el otro los masters.

    Saludos,


    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    miércoles, 2 de septiembre de 2015 16:06
  • Es una recomendación que aparece en los cursos oficiales Microsoft. En realidad fíjate que puse los "roles del Dominio", y no "los roles"

    La recomendación es que se mantengan en el mismo DC "los 3 roles de Dominio", y también juntos "los 2 roles de Bosque"

    De los cinco roles, el único que consume un poco más de recursos es el "Emulador PDC", los otros están 99,99999% del tiempo totalmente inactivos, salvo momentos puntuales

    La recomendación oficial, en realidad incluye algo más: tener siempre un DC previsto para que en caso de emergencia asuma los roles, que debería ser uno que recibe replicacion directa. Para evitar pérdida de cambios

    El hecho de mantenerlos juntos, según dice la documentación es para "facilitar la topología de replicación". A mi no me cierra totalmente el tema pero está así ... ;)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 2 de septiembre de 2015 16:19
    Moderador
  • Genial.

    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    miércoles, 2 de septiembre de 2015 16:56
  • Muchas gracias a todos por las aportaciones; sin embargo el tema de los roles me surge otra duda...

    Observó que se dice que por buenas practicas de Microsoft se recomienda tener todos los roles en un solo DC, para eficientar la replicación.

    Sin embargo yo tengo los roles de mi ActiveDirectory, separado en Cajas Diferentes.

    En base a su experiencia, como recomiendan tener los roles...??

    miércoles, 2 de septiembre de 2015 18:41
  • Habría que conocer muchos datos de tu AD, pero mi experiencia personal, es poner los 5 "FSMO Roles" en el mismo Controlador de Dominio del Dominio Raíz

    Con una sola excepción, si tienes un ambiente de varios Dominios en el Bosque, y vas a mover cuentas entre Dominios, entonces el rol "Maestro de Infraestructura" no debe estar en uno que sea Catálogo Global

    El "Maestro de Infraestructura" no cumple su función si está en un Catálogo Global

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 2 de septiembre de 2015 19:12
    Moderador
  • Excelente Señores

    Muchas gracias la verdad me sirvió bastante y me son de mucha utilidad.

    Saludos a todos

    miércoles, 9 de septiembre de 2015 22:38
  • Hola Alejandro,

    Sobre tus preguntas:

    1. No existe un riesgo en cambiar la contraseña con la herramienta ntdsutil.

    2. La forma de recuperar dependerá mucho de los escenarios de disaster recovery que tengas por ejemplo:

    • Full forest recovery
    • Domain controller recovery
    • SYSVOL Recovery
    • DNS recovery
    • Los casos en donde tengas que recuperar objetos eliminados

    Enlace (http://blogs.technet.com/b/newenglandpfe/archive/2011/05/20/common-scenarios-for-active-directory-related-backup-and-disaster-recovery.aspx)

    Para el caso especifico que mencionas deberias restaurar primero al Domain controller que este como DNS principal de las estaciones de trabajo y servidores. De ahi puedes asumir los roles FSMO e ir agregando los demás DC's... luego puedes volver a distribuir los roles.

    Mi recomendación es que cada cierto tiempo pruebes estos procedimientos a modo de practica y también cada cierto tiempo validar que tus backups de system state estén funcionando correctamente. Todos esto en un ambiente completamente aislado.

    Saludos,

    Jhonny

    martes, 15 de septiembre de 2015 5:38
  • Gracias a todos por sus comentarios.

    Ayer finalice de realizar los cambios de passwords y todo sin problemas.

    Saludos Cordiales

    martes, 15 de septiembre de 2015 14:34
  • Estimado,

    Favor marcar la respuesta mas útil y que te apoyo a solucionar el problema.

    Saludos,


    Edwin Duran Ospina Si la respuesta ha Colaborado con tu solución, favor marcarla como correcta.

    miércoles, 16 de septiembre de 2015 19:48