Ogni amministratore IT con qualche anno di esperienza sa che ‘la fortuna è bendata ma la sfiga ci vede benissimo‘ ed avere un backup anche dell’improbabile è meglio che non averne. Una delle componenti che in una rete va salvaguardata in quanto “componente cardine” è Active Directory presente nel o nei Domain Controller (DC).
Malfunzionamenti o crash di Active Directory possono mettere in ginocchio la rete e se questa è di grandi dimensioni … un biglietto open per una meta esotica non è da scartare!
Ci sono molti software utilizzabili per effettuare backup di Active Directory ma non ne parlerò in questo articolo. Quello che invece vorrei descrivere è una semplice procedura per effettuare il backup di Active Directory con una feature nativa di Windows Server 2012 e il successivo ripristino.
Windows Server Backup
Windows Server Backup è una feature nativa ma non installata di default in Windows Server 2012 che permette la gestione del backup dei dati.
Windows Server Backup è molto semplice da utilizzare e permette di creare sia immagini del sistema che backup parziali e programmati di componenti e dati chiave. I salvataggi possono essere effettuati sia su supporti esterni come dischi USB che percorsi di rete. I backup su percorsi di rete non sono incrementabili.
Nella galleria riporto tutti i passaggi necessari per il salvataggio dello stato del sistema (system state) che contiene Active Directory.
Iniziamo dal ‘Server Manager‘ ed installiamo la features ‘Windows Server Backup‘. Fatto?
Una volta effettuato il backup del system state sarà possibile ripristinare Active Directory o singoli componenti cancellati in essa.
Ripristino di Active Directory
Active Directory Restore Mode
Per poter ripristinare Active Directoy è necessario avviare il DC in modalità ‘Active Directory Restore mode‘.
Digitiamo dal prompt dei comandi:
msconfig.exe
o seguite i passaggi che riporto nella galleria sottostante
oppure il comando
bcdedit /set safeboot dsrepair
In entrambi i casi riavviamo il DC. Una volta riavviato dovremo accedere utilizzando un utente locale con privilegi amministrativi.
Da questo punto in poi la modalità di ripristino dipenderà da cosa dovremo ripristinare. Potremo effettuare un ripristino ‘Non-Authoritative’ oppure ‘Authoritative’. Per approfondire leggere il precedente articolo ‘Authoritative vs Non-Authoritative restore di Active Directory‘
Nota: per terminare ‘Active Directory Restore Mode’ rientriamo in msconfi.exe oppure digitare il comando:
bcdedit /deletevalue safeboot
Non-Authoritative Restore
Effettuiamo un ripristino ‘non-authoritative‘ perché abbiamo perso in toto il DC oppure sono presenti altri DC nella rete e ci interessa che questi ultimi ci mandino le modifiche avvenute su AD dopo il salvataggio.
Apriamo una console e vediamo quali salvataggi sono a disposizione con il comando:
wbadmin get versions
Individuato il salvataggio iniziamo il ripristino con:
wbadmin start systemstaterecovery –version:<version> -quiet esempio: wbadmin start systemstaterecovery –version:12/31/2013-01:01 –quiet
Una volta che la procedura è ultimata riavviate il sistema premendo ‘Y’. Al riavvio successivo sempre collegandoci con l’account locale ed attendiamo il termine della procedura.
Finito? Disattiviamo ‘Active Directory Restore Mode’ e riavviamo il sistema un’ultima volta. Se tutto sarà andato bene riavremo il nostro DC funzionante ed operativo.
Nella galleria riporto tutti i passaggi necessari.
Authoritative Restore
Il ripristino ‘Authoritative‘ può servire per ripristinare ad esempio oggetti in AD e ridistribuire queste modifiche in tutti i DC del dominio.
Il ripristino ‘Authoritative‘ segue gli stessi passaggi di quello ‘Non-Authoritative‘ con l’aggiunta di qualche passaggio finale.
Apriamo una console e vediamo quali salvataggi sono a disposizione con il comando:
wbadmin get versions
Individuato il salvataggio iniziamo il ripristino con:
wbadmin start systemstaterecovery –version:<version> -quiet esempio: wbadmin start systemstaterecovery –version:12/31/2013-01:01 –quiet
Una volta che la procedura è ultimata riavviate il sistema premendo ‘Y’. Al riavvio successivo sempre collegandoci con l’account locale ed attendiamo il termine della procedura.
Mentre qui dovremo effettuare quei passaggi in più che nel ripristino precedentemente descritto non servivano.
Apriamo una console e lanciamo:
ntdsutil
eseguiamo ora tutti questi passaggi:
Activate instance ntds Authoritative restore Restore Object <distinguished name> oppure per ripristinare un oggetto e tutto il suo contenuto: Restore Subtree <distinguished name> Q per uscire Q per chiudere ntdsutil
Finito? Disattiviamo ‘Active Directory Restore Mode’ e riavviamo il sistema un’ultima volta. Se tutto sarà andato bene riavremo il nostro DC funzionante ed operativo.
Nella galleria riporto tutti i passaggi necessari.
