Category: Disaster recovery


En este post veremos los aspectos y planeacion que hay que tener en cuenta para la Virtualizacion de Domain COntrollers.

Mas de 1 Domain Controller.

Se Debe intentar evitar la creación de posibles puntos únicos de falla al planear la implementación del controlador de dominio virtual, creando mas de un Domain Contoller:

  1. Ejecutar al menos dos controladores de dominio virtualizados por dominio en hosts de virtualización diferentes, lo que reduce el riesgo de perder todos los controladores de dominio, si un host de virtualización única falla.
  2. Recomendado para otras tecnologías, diversificar el hardware (utilizando diferentes procesadores, motherboards, adaptadores de red u otro hardware) en el que están ejecutando los controladores de dominio. Diversificación de hardware limita el daño que podría ser causado por un fallo que es específico para una configuración de proveedor, un controlador o una sola pieza o tipo de hardware.
  3. Si es posible, los controladores de dominio se deben ejecutar en el hardware que se encuentra en diferentes regiones del mundo. Esto ayuda a reducir el impacto de un desastre o falla que afecta a un sitio en el que están alojados los controladores de dominio.
  4. Mantener los controladores de dominio físico en cada uno de sus dominios. Esto reduce el riesgo de un fallo de la plataforma de virtualización que afecta a todos los sistemas de host que utilizan esa plataforma.

Consideraciones de seguridad

El equipo de host en el que se ejecutan los controladores de dominio virtual debe administrarse cuidadosamente como un controlador de dominio de escritura, incluso si ese equipo es sólo un equipo se unió el dominio o grupo de trabajo. Se trata de una consideración de seguridad importante. Un host mal administrado es vulnerable a un ataque de elevación de privilegios, que se produce cuando un usuario malintencionado obtiene acceso y privilegios del sistema que no fueron autorizados o legítimamente asignados. Un usuario malintencionado puede usar este tipo de ataque en peligro todas las máquinas virtuales, dominios y los bosques que los hosts de este equipo.

Asegúrese de tener las siguientes consideraciones de seguridad en cuenta cuando se planea virtualizar los controladores de dominio:

  • El administrador local del equipo que aloja el dominio virtual, se puede escribir controladores deben considerarse equivalentes en las credenciales del administrador de dominio predeterminado de todos los dominios y los bosques que pertenecen esos controladores de dominio.
  • La configuración recomendada para evitar problemas de seguridad y el rendimiento es un host que ejecuta una instalación Server Core de Windows Server 2008, con ninguna aplicación distinta de Hyper-V. Esta configuración limita el número de aplicaciones y servicios que están instalados en el servidor, que debe conducir a un mayor rendimiento y menos aplicaciones y servicios que podrían aprovecharse malintencionadamente para atacar el equipo o la red. El efecto de este tipo de configuración se conoce como una superficie de ataque reducida. En una sucursal o en otros lugares que no pueden ser garantizados satisfactoriamente, se recomienda un controlador de dominio de sólo lectura (RODC). Si existe una red de administración separada, recomendamos que el host se conecta sólo a la red de gestión.

Límites de seguridad

Uso de máquinas virtuales hace posible tener muchas configuraciones diferentes controladores de dominio. Debe prestarse especial atención a la forma en que las máquinas virtuales afectan a límites y confía en su topología de Active Directory. Configuraciones posibles para un controlador de dominio de Active Directory y el host (servidor de Hyper-V) y sus equipos invitados (máquinas virtuales que se ejecutan en el servidor de Hyper-V) se describen en la tabla siguiente.

Máquina Configuración 1 Configuración 2

Host

Grupo de trabajo o miembros de equipo

Grupo de trabajo o miembros de equipo

Invitado

Controlador de dominio

Grupo de trabajo o miembros de equipo

Domain Controllers running on Hyper-V server

  • El administrador en el equipo host tiene el mismo acceso como administrador de dominio en los huéspedes de controlador de dominio de escritura y debe ser tratado como tal. En el caso de un invitado RODC, el administrador del equipo host tiene el mismo acceso como administrador local en el huésped RODC.
  • Un controlador de dominio en una máquina virtual tiene derechos administrativos en el host, si el host está unido al mismo dominio. Hay una oportunidad para que un usuario malintencionado poner en peligro todas las máquinas virtuales, si el usuario malintencionado primero obtiene acceso a la máquina Virtual 1. Esto se conoce como un vector de ataque. Si hay controladores de dominio para varios dominios o bosques, estos dominios deben tener una administración centralizada en la que el administrador de un dominio es de confianza en todos los dominios.
  • La posibilidad de ataque de la máquina Virtual 1 existe incluso si está instalada la máquina Virtual 1 como un RODC. Aunque un administrador de un RODC explícitamente no tienen derechos de administrador de dominio, el RODC puede utilizarse para enviar las políticas para el equipo host. Estas políticas pueden incluir scripts de inicio. Si esta operación se realiza correctamente, el equipo host puede estar en peligro y, a continuación, puede utilizarse para poner en peligro las otras máquinas virtuales en el equipo host.

Seguridad de los archivos VHD

Un archivo VHD de un controlador de dominio virtual es equivalente a la unidad de disco duro física de un controlador de dominio físico. Como tal, debe ser protegido con la misma cantidad de atención que se dedica a proteger el disco duro de un controlador de dominio físico. Asegúrese de que sólo los administradores de confianza pueden acceder a los archivos VHD del controlador de dominio.

RODC

Una ventaja de RODC es la capacidad para colocar en lugares donde garantizar la seguridad física no puede ser, tal como en las sucursales. Puede utilizar el cifrado de unidad de Windows ® BitLocker ™ para proteger los archivos VHD (no los sistemas de archivos en él) de que se vea comprometida en el host a través del robo del disco físico. Para obtener más información acerca de BitLocker en Hyper-V, consulte Windows Server 2008 Hyper-V y el cifrado de unidad BitLocker (http://go.microsoft.com/fwlink/?LinkID = 123534).

Consideraciones de implementación de controladores de dominio virtualizado

Esta sección describe algunas cosas a tener en cuenta al implementar controladores de dominio en máquinas virtuales. Hay varias prácticas comunes de máquina virtual que se deben evitar al implementar controladores de dominio. También hay consideraciones especiales para el almacenamiento y sincronización de tiempo. Las siguientes secciones describen estas consideraciones.

Prácticas de implementación de virtualización para evitar

Plataformas de virtualización, como Hyper-V, ofrecen una serie de características de conveniencia que administrar, mantener, realizar copias de seguridad y migrar equipos más fácil. Sin embargo, hay algunas características que no deben utilizarse los controladores de dominio virtual y prácticas comunes de implementación. La lista siguiente describe las prácticas para evitar al implementar controladores de dominio:

  • No aplicar los diferenciación disco discos duros virtuales (VHD) en una máquina virtual que está configurando como un controlador de dominio. Esto es demasiado fácil revertir a una versión anterior, y también disminuye el rendimiento. Para obtener más información acerca de los tipos VHD
  • No clonar la instalación de un sistema operativo sin necesidad de utilizar Sysprep.exe porque no se actualizará el identificador de seguridad (SID) del equipo. (http://go.microsoft.com/fwlink/?LinkId = 137100).
  • Para ayudar a prevenir una potencial situación de deshacer actualización secuencia número (USN), no utilice copias de un archivo VHD que representa un controlador de dominio ya desplegados para implementar controladores de dominio adicionales. Los siguientes tres elementos en esta lista también se recomiendan evitar la potencial reversión de USN.  USN y USN Rollback.
  • No utilice la función Hyper-V exportar para exportar una máquina virtual que se ejecuta en un controlador de dominio.

Consideraciones operacionales para controladores de dominio virtualizado

Los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones operacionales que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Cuando se utiliza un controlador de dominio virtualizados, hay algunas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No pausar, detener, o almacenar el estado guardado de un controlador de dominio en una máquina virtual para períodos de tiempo más largos que el desecho del bosque y luego reanudar desde el estado guardado o en pausa. Haciendo esto puede interferir con la replicación. Para aprender cómo determinar el desecho del bosque, vea determinar el desecho del bosque (http://go.microsoft.com/fwlink/?LinkId = 137177).
  • No copiar o clonar discos duros virtuales (VHD).
  • No tomar o utilizar una instantánea de un controlador de dominio virtual.
  • No utilice un disco VHD de diferenciación en una máquina virtual que está configurada como controlador de dominio. Esto hace que revertir a una versión anterior demasiado fácil y también disminuye el rendimiento.
  • No utilice la función de exportación en una máquina virtual que se ejecuta en un controlador de dominio.
  • No restaurar un controlador de dominio o intentar revertir el contenido de una base de datos de Active Directory por cualquier medio distinto utilizando una copia de seguridad compatible. Para obtener más información, vea copia de seguridad y restaurar las consideraciones para virtualizar los controladores de dominio.

Backup y Restore consideraciones para controladores de dominio virtualizado

La copia de seguridad de controladores de dominio es un requisito fundamental para cualquier entorno. Copias de seguridad protegen contra pérdida de datos en caso de fallo del controlador de dominio o error administrativo. Si se produce este evento, es necesario revertir el estado del sistema del controlador de dominio a un punto en el tiempo antes de la falla o error. El método admitido de restaurar un controlador de dominio a un Estado saludable es utilizar una aplicación de backup de Directory–compatible activo, como Windows Server Backup, para restaurar una copia de seguridad de estado de sistema que se originó a partir de la instalación actual del controlador de dominio. ¿Para obtener más información acerca de cómo utilizar copia de seguridad de Windows Server con servicios de dominio de Active Directory (AD DS), consulte la Guía de paso a paso de recuperación y Backup de AD DS (http://go.microsoft.com/fwlink/?LinkId = 138501).

Con la tecnología de máquina virtual, ciertos requisitos de Active Directory restauración operaciones toma mayor importancia. Por ejemplo, si restaurar un controlador de dominio mediante una copia del archivo de disco duro virtual (VHD), omita el paso crítico de la actualización de la versión de base de datos de un controlador de dominio después de que ha sido restaurada. Replicación procederá con números de seguimiento inadecuado, resultando en una base de datos inconsistente entre réplicas de controlador de dominio. En la mayoría de los casos, este problema va sin ser detectados por el sistema de replicación y no se informa de ningún error, a pesar de las inconsistencias entre los controladores de dominio.

Hay una forma compatible para realizar backup y restore de un controlador de dominio virtualizados:

  1. Ejecutar copias de seguridad de Windows Server en el sistema operativo huésped.

Prácticas de backup y restore para evitar

Como se mencionó, los controladores de dominio que se ejecutan en máquinas virtuales tienen restricciones que no se aplican a los controladores de dominio que se ejecutan en máquinas físicas. Al volver arriba o restaurar un controlador de dominio virtual, existen ciertas funciones de software de virtualización y prácticas que no se deben utilizar:

  • No copiar o clonar archivos VHD de controladores de dominio en lugar de realizar copias de seguridad periódicas. Si el archivo VHD de él es copiado o clonado, quede obsoleto. Entonces, si el VHD se inicia en modo normal, podría ser una divergencia de datos de replicación en el bosque. Debe realizar las operaciones de backup adecuadas que son compatibles con los servicios de dominio de Active Directory (AD DS), como el uso de la función de copia de seguridad de Windows Server.
  • No utilice la función de instantánea como una copia de seguridad para restaurar una máquina virtual que se ha configurado como controlador de dominio. Problemas se producen con la replicación cuando se volver la máquina virtual a un estado anterior. Para obtener más información, vea USN y USN Rollback. Aunque usando una instantánea para restaurar un controlador de dominio de sólo lectura (RODC) no causará problemas de replicación, no todavía se recomienda este método de restauración.

Restauracion

Utilizar el proceso en la siguiente ilustración para determinar la mejor manera de restaurar el controlador de dominio virtualizado.

Writeable domain controller restoration in Hyper-V

Mas info: http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx#operational_considerations_for_virtualized_domain_controllers

La idea de este post es poder  realizar copias de seguridad del  contenido y la configuración de IIS con la frecuencia que querramos, teniendo en cuenta las necesidades de cada entorno .

Copia de seguridad de contenido IIS

Se  incluir el comando xcopy en un simple script para copiar y hacer copias de seguridad de IIS . Xcopy ofrece parámetros útiles para los permisos de copia, la configuración de auditoría, y la copia de archivos ocultos.

Para poder ejecutar scripts y programarlos debe el usario debe ser administrador local del equipo . Microsoft, por cuestiones de seguridad recomendia logearse al equipo con un usuario con los permisos minimos y luego abrir las herramientas que necesitemos usar con el comando “”run as””

x copy sintaxis:

xcopy Source Destination [/o] [/x] [/e] [/h] [/y] [c]

Table 9.11 Xcopy Parameters
Parameter Description
Source Specifies the name of the source server.
Destination Specifies the name of the destination server.
o Copies ACLs.
x Copies auditing settings (used with /o).
e Copies the empty directories.
h Copies the hidden directories.
y Overwrites without prompting.
c Continues to copy even if errors occur.

Copia de seguridad de configuración de IIS

Para realizar copias de seguridad de la metabase, se puede ejecutar el comando

Con Iisback.vbs script  y el parametro /backup , crea una respaldo de la metabase en:  \ System32 \ inetsrv \ metaback.

A continuación, sde be copiar los respaldo generados en  \ System32 \ Inetsrv MetaBack \. Los archivos que se crean tienen extension:  ** .MD   y *.SC,

Ejemplo:

set server=myserver
set name=%date%-%server%
iisback /backup /b %name% /e %password%
xcopy %windir%\system32\inetsrv\metaback\%name%.* \\mybackupserver\share$\%server%  
xcopy /o /x /e /h /y /c c:\web \\mybackupserver\share$\%server
%password%  Se debe reemplazar por la contrasena que deseen
c:\web debe reemplazarse por la ubicacion fisica de los direcions del IIS (generaalmente: inetpub\wwwroot) 


Luego guardar este script como .bat y crear una tarea programada. Para mas informacion les dejo un link: http://support.microsoft.com/kb/308569/es

Hoy les acerco una recopilacion de los aspectos más relevantes de las operaciones de “Disaster Recovery”.  En dicha centralizacion de procesos se encuentran tanto las operaciones de backup que se tienen que realizar en cada tecnología como también como restaurarlos…

Windows Sistema Operativo

240363 – Cómo usar el programa Copia de seguridad para hacer copia de seguridad y restaurar el estado del sistema en Windows 2000

233427 – Archivos y carpetas de los que no se hace copia de seguridad cuando se utiliza la herramienta Ntbackup.exe en Windows Server 2003, Windows XP y Windows 2000

249694 – Cómo trasladar una instalación de Windows a un hardware diferente

Recuperación del sistema operativo o del servidor completo

Active Directory (AD)

241594 – Cómo realizar una restauración autorizada en un controlador de dominio en Windows 2000

840001 – Cómo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

263532 – Cómo realizar una restauración de recuperación tras desastres de Active Directory en un equipo que tiene una configuración de hardware diferente

Copia de seguridad de volúmenes imprescindibles de un controlador de dominio

Programación de una copia de seguridad de un controlador de dominio

Restauración no autoritativa de AD DS

Restauración autoritativa de objetos eliminados de AD DS

Recuperación de servidor completo de un controlador de dominio

Restauración de una copia de seguridad de volúmenes imprescindibles en una ubicación alternativa

322672 – Cómo restablecer la contraseña de la cuenta de administrador del Modo de restauración de servicios de directorio en Windows Server 2003

Certificate Services

298138 – Cómo mover una entidad emisora de certificados a otro servidor

Realizar la copia de seguridad y restauración de una entidad emisora de certificados

Tareas de certutil para realizar copias de seguridad y restaurar certificados

Cluster

Restaurar un nodo de clúster dañado mediante la recuperación automática del sistema

257905 – Mensaje de error: “No se pudo iniciar el servicio de clúster en el equipo local”

245762 – Recuperarse de un registro de quórum perdidos o dañados

Cuentas de dominio y Servicio de Cluster Server

Solucionar problemas de clústeres de servidores

WINS/DHCP

173396 – Cómo restaurar un archivo de base de datos DHCP dañado

145881 – Cómo utilizar Jetpack.exe para compactar un WINS o base de datos DHCP

283251 – Cómo utilizar la utilidad JetPack en una base de datos WINS/DHCP en cluster

Restaurar la base de datos WINS

Restaurar la base de datos DHCP

ISA Server

Funcionalidad de copia de seguridad y restauración en ISA

Solución de problema de escenario “Primary CSS down”

IIS

Copia de seguridad y restaurar Metabase de IIS 6.0

234429 – Cómo restaurar manualmente la metabase cuando no existe ninguna copia de seguridad adecuado o cuando no se inicia la consola MMC

Interfaz gráfica de usuario (GUI) para copia de seguridad y restauración de IIS7

Herramienta: Transferencia de sitios IIS

TechNet Webcast: Disaster Recovery and IIS 6.0: Metabase Backups in a Nutshell – Level 200 (inglés)

Plan Ahead to Save Your Web (inglés)

Exchange Server

General

244525 – Cómo ejecutar Eseutil en un equipo sin Exchange Server

182081 – Descripción de la utilidad Isinteg

Exchange 2007

Exchange 2007 Recuperación ante desastres

Procedimientos de recuperación ante desastres

Herramientas y asistentes de recuperación ante desastres en Exchange 2007

Estrategias de recuperación ante desastres – Restaurar el servidor, Reconstruir el servidor o Utilizar un servidor independiente

Recuperación de servidores – opciones para la recuperación de servidores

WebCast de soporte técnico: Recuperación de Microsoft Exchange 2007 (inglés)

Microsoft Exchange Troubleshooting Assistant v1.1 (inglés) – Ayuda a determinar problemas de rendimiento, flujo de mensajes y problemas al montar bases de datos

Portabilidad de bases de datos

Estrategias de recuperación ante desastres

Recuperación de servidores (/m:RecoverServer, /m:RecoverCMS)

Webcast TechNet: Recuperación de desastres (en Español)

Recovering a Clustered Mailbox Server, Offline Address Book Issues, and More (traducción automática)

Exchange 2003

Microsoft Exchange Server 2003 Disaster Recovery Operations Guide (inglés)

Guía de operaciones para la recuperación de desastres

Guía de utilidades de bases de datos de Exchange Server

Ejecutar una instalación de recuperación de desastres

Guía de alta disponibilidad

Estrategias avanzadas de recuperación

Ejecutar una instalación de recuperación de desastres (/disasterrecovery)

Recuperación de todo un clúster

937563 – La base de datos de Exchange puede no montarse en Exchange Server 2003 o en Exchange 2000 Server y pueden registrarse los Id. 9175, 486, 455, 413 y 5

259851 – Ramificaciones de la ejecución del comando eseutil /p o edbutil /d /r en Exchange

192185 – Cómo desfragmentar con la herramienta ESEUTIL (Eseutil.exe)

328804 – Cómo desfragmentar las bases de datos de Exchange

245822 – Recomendaciones para solucionar problemas de un equipo con Exchange Server que tiene software antivirus instaladoSQL Server

307775 – INF: Artículos de recuperación de desastres para Microsoft SQL Server

WebCast de soporte técnico: Microsoft SQL Server 2000 Failover Clustering Disaster Recovery procedimientos

822400 – Descripción de opciones de recuperación de desastres para Microsoft SQL Server

SQL Server: Recovering from Disasters Using Backups (inglés)

SQL Server Disaster Recovery and Availability Forum (inglés)

Sharepoint

MOSS 2007 – Planeación de la copia de seguridad y la recuperación (Office SharePoint Server)

WSS 3.0 – Plan de copia de seguridad y recuperación (Windows SharePoint Services)

Centro de recursos para respaldo, recuperación y disponibilidad de MOSS 2007 (inglés)

Información para versiones previas de Sharepoint: Disaster Recovery in SharePoint Products and Technologies (inglés)

934838 – Cómo cambiar cuentas de servicio y contraseñas de cuentas de servicio en SharePoint Server 2007 y en Windows SharePoint Services 3.0

837813 – Cómo cambiar la cuenta de usuario y la contraseña en SharePoint Portal Server 2003

Hyper-V

Copia de seguridad y recuperación ante desastres para la virtualización de servidores

Videos (Screencasts)

Los siguientes videos pueden ayudarte en casos de recuperación de servicios. Los mismos puedes descargarlos para verlos fuera de línea desde el link de Descarga.

Producto
Exchange 2003 Recuperación de un servidor completo a partir de un respaldo de bases de datos (Descarga – 57.3Mb)
Exchange 2007 Recuperación de un servidor completo a partir de un respaldo de bases de datos (Descarga – 36.2Mb)