Sander Berkouwer

El mes pasado, he tenido muchas discusiones con mucha gente sobre la copia de seguridad y restauración de Active Directory. Ahora, los temas obvios para hablar son la recuperación de desastres y la recuperación forestal. Por supuesto, hablamos de ellos, pero en muchas de las discusiones del mes pasado, nos centramos más en lo que yo llamaría "resistencia al cambio", la capacidad de revertir rápidamente los cambios realizados por los administradores de Active Directory.

Creo que es un tema que a menudo se descuida.

Para ver por qué este es un aspecto interesante de la historia, sólo tenemos que mirar lo que Microsoft ofrece integrado en Windows Server y lo que ofrecen las soluciones típicas de copia de seguridad y restauración de Active Directory. Entonces, es muy fácil ver cómo ser realmente inteligente con la reversión de cambios en Active Directory.

Nota:
Darren y yo hablamos extensamente de estas soluciones en nuestro webcast gratuito del 27 de junio sobre "Elección del tipo de solución adecuado para la copia de seguridad y restauración de Active Directory", así que si prefieres escucharnos en lugar de leer los tres párrafos siguientes, ¡no dudes en sintonizarnos!

Qué ofrece Microsoft

Microsoft ofrece tres tecnologías útiles para los administradores de Active Directory en Windows Server:

1. Copia de seguridad de Windows Server

2. La papelera de reciclaje de Active Directory

3. La opción "Proteger del borrado accidental

Los objetos en Active Directory se denotan mediante identificadores de seguridad únicos, sIDs. Cuando eliminas un objeto, pero lo vuelves a crear con el mismo nombre, nombre de usuario, etc. no será el mismo objeto. Eso es porque el sID no será el mismo. Desde que el objeto original fue eliminado de la base de datos, se ha llevado su sID con él. Un nuevo objeto siempre tendría un sID diferente, a pesar de ser el mismo en todos los demás atributos manejables siendo el mismo que el original. El sID, sin embargo, es el atributo que se utiliza en muchos de los mecanismos para conceder (o denegar) el acceso, como la pertenencia a grupos, listas de control de acceso (ACL).

Copia de seguridad de Windows Server

La reanimación de objetos de Active Directory y la restauración desde copia de seguridad permitían restaurar objetos en la situación anterior, en el marco temporal anterior a Windows Server 2008. Sysinternals ofrece una herramienta para realizar lo primero y Microsoft, por suerte, incluye una herramienta de copia de seguridad y restauración con Windows Server: Windows Server Backup.

Windows Server Backup se puede utilizar para crear copias de seguridad de la base de datos de Active Directory, también conocida por su nombre de archivo ntds.dit o simplemente como "el dit". La misma herramienta se puede utilizar para crear medios de arranque de restauración de metal desnudo para restaurar un controlador de dominio a su antiguo ser, de una manera compatible.

Creo que es importante señalar que Windows Server Backup utiliza las instantáneas de volumen, en esta etapa. Esto permite que Windows Server Backup cree una copia de seguridad consistente sin que los usuarios finales noten ningún tiempo de inactividad. Además, cuando se restaura un controlador de dominio con una copia de seguridad de Windows Server, se realizan varios cambios y comprobaciones para garantizar una restauración correcta entre todos los demás controladores de dominio del entorno. Es intrínsecamente diferente a las instantáneas como las que muchos administradores inconscientes solían hacer con herramientas como Acronis TrueImage, una de las herramientas favoritas de la industria para destrozar Active Directory...

La opción "Proteger del borrado accidental

Con Windows Server 2008, Microsoft introdujo una opción en las herramientas de administración de Active Directory, denominada "Proteger contra el borrado accidental". Aunque esta funcionalidad parece una simple opción en las interfaces gráficas de usuario Usuarios y equipos de Active Directory(dsa.msc) y Centro administrativo de Active Directory(dsac.exe), bajo el capó se aplica un conjunto de entradas de control de acceso (ACE) "Denegar" al propio objeto y a su objeto padre para el principal de seguridad "Todos".

Cuando se utiliza cualquier herramienta para eliminar el objeto, la acción fallaría y señalaría un problema de permisos. En primer lugar, es necesario eliminar la opción, antes de poder eliminar realmente el objeto. Esto evita muchos de los momentos "Oops" para los administradores de sistemas de Active Directory que utilizan herramientas gráficas. Su verdadera fuerza se muestra cuando algunos objetos son excluidos de los momentos "Oops" de todo el directorio cuando los administradores utilizan PowerShell u otras herramientas de scripting y bulk.

La papelera de reciclaje de Active Directory

Desde Windows Server 2008 R2 Forest Functional Level (FFL), Microsoft ofrece una solución para los objetos eliminados, más allá de la reanimación y la restauración a partir de una copia de seguridad, en forma de Papelera de reciclaje de Active Directory.

La tecnología detrás de la papelera de reciclaje de Active Directory es un nuevo atributo: isRecycled. Antes, cuando se eliminaba un objeto, como un equipo o un usuario, el atributo isDeleted se establecía en true. Con la Papelera de reciclaje de Active Directory habilitada, después de que el tiempo de vida de reciclaje haya expirado, el atributo isRecycled también se establece en true. Entonces, después de que haya expirado el tiempo de vida de la papelera, el objeto se elimina realmente de la base de datos. Cuando sólo se establece el atributo isDeleted, el objeto es recuperable a través de la Papelera de reciclaje de Active Directory. Todas las herramientas de administración de Microsoft filtrarán de la vista los objetos con el atributo isDeleted establecido en true, pero cuando se utiliza el Centro Administrativo de Active Directory(dsac.exe) en Windows Server 2012 o superior, o el Módulo PowerShell de Active Directory, se pueden restaurar estos objetos con facilidad, junto con sus sID y, por tanto, el acceso original.

Qué ofrecen las soluciones típicas de copia de seguridad y restauración de Active Directory

Si nos fijamos en las herramientas y tecnologías que ofrece Microsoft, el panorama es desolador: Todas funcionan a nivel de objeto, pero no a nivel de atributo. No sé tú, pero yo no uso el botón de suprimir de mi teclado tan a menudo como gestiono atributos típicos como pertenencias a grupos, direcciones de correo electrónico y nombres para mostrar.

Ahora, cuando quiero revertir alguno de estos cambios, normalmente tengo que restaurar una copia de seguridad y crear un archivo en formato LDIF (Lightweight Directory Interchange Format) con las diferencias que quiero revertir.

Esto lleva tiempo, mucho tiempo.
Esto es lo que yo llamo el reto de la resiliencia al cambio.

Las soluciones habituales de copia de seguridad y restauración han aliviado un poco la tarea, ya sea facilitando la restauración (de prueba) o facilitando la selección de los atributos que se desea revertir en una interfaz gráfica, al tiempo que se mantiene la coherencia de la base de datos.

Restauraciones (de prueba) más sencillas

En mi opinión, una de las soluciones de copia de seguridad y restauración que hacen realmente fácil realizar restauraciones y restauraciones de prueba es Azure Site Recovery Services. Con esta solución, no tiene que denotar un hardware idéntico para la restauración, y ni siquiera necesita el mismo hipervisor para realizar una restauración. Todo lo que necesitas es una suscripción a Azure Infrastructure-as-a-Service y pagas por el almacenamiento y la(s) máquina(s) virtual(es) que pongas en marcha, pero sólo por el tiempo que realmente las necesites, que suele ser sólo un par de horas.

Selecciones más fáciles

En el grupo de herramientas que facilitan la selección de atributos para revertir, creo que destaca el agente de Veeam para Microsoft Active Directory. En su interfaz gráfica de usuario (GUI), permite seleccionar atributos individuales, pero los administradores experimentados de Active Directory también pueden utilizar filtros basados en LDAP (Lightweight Directory Access Protection). A continuación, el agente crea el archivo LDIF y lo aplica. También se crea otro archivo LDIF para deshacer, si es necesario.

Cómo ser realmente inteligente con la resistencia al cambio de Active Directory

Mientras discutía con Darren, aprendí que hay una forma más inteligente de abordar el reto de la resiliencia al cambio.

Seré el primero en admitir que, si bien tiene sentido mantener copias de seguridad (en caché) en los controladores de dominio en términos de recuperación de desastres y recuperación de bosques, en términos de resiliencia al cambio, ¡tener un flujo en tiempo real de las modificaciones es mejor!

En lugar de tener que localizar copias de seguridad, (probar) restaurar el controlador de dominio, elegir los atributos a restaurar, jugar con los archivos LDIF y preocuparse por los escenarios de deshacer, Directory Services Protector para Active Directory de Semperis hace todo el trabajo por usted. Dado que DS Protector recopila las modificaciones en tiempo real, incluido el momento anterior a su "¡Uy!", puede volver al estado coherente anterior en cuestión de segundos. De lo contrario, acabarás dedicando horas a mecanismos y tecnologías de Active Directory de los que antes no querías saber nada.

Como Directory Services Protector de Semperis realiza un seguimiento de todos los cambios a medida que se producen, puede deshacer un cambio, probar su efecto y, si no está satisfecho, simplemente volver al estado anterior. Sí, puedes tener tu pastel y comértelo también.

Más información
Si quiere saber más, le invito a leer el artículo técnico gratuito de 17 páginas que creamos basándonos en los debates y el webcast, titulado "Elegir el tipo de solución adecuado para la copia de seguridad y restauración de Active Directory".