Eliminó accidentalmente todo el Active Directory [cerrado]

20

Al volver a particionar un controlador de dominio Server 2003 R2, eliminamos accidentalmente la partición que contenía la carpeta de la base de datos de Active Directory ( D:\AD\Data). El D:\era una partición en un disco compartido con C:\.

Eliminamos la D:\unidad sin darnos cuenta de que albergaba la carpeta de datos de Active Directory. No tenemos otros controladores de dominio ni copias de seguridad de estos datos de Active Directory.

¿Hay alguna posibilidad de restaurar el AD?

matalaweb
fuente
44
Es hora de llamar a un servicio de recuperación de datos y enviar el disco ..
pauska
8
O bien, es 2003 y está fuera de soporte. Cree dos DC nuevos y hágalo correctamente en un sistema operativo compatible.
Michael Hampton
21
Piense en esto como una bendición disfrazada. Puedes construir un entorno AD verde (porque no tienes otras opciones), pero puedes construirlo correctamente , esta vez. Ah, y también tienes un buen comienzo sobre qué no hacer esta vez (cuento 3 grandes), así que hay otro lado positivo.
HopelessN00b
66
¿Hiciste una copia de seguridad del estado del sistema? solo para estar seguro, ya que puede incluir el directorio activo incluso si no sabía que estaba respaldado.
yagmoth555 - GoFundMe Monica
66
Suponiendo que acaba de eliminar la partición, no está utilizando ningún tipo de administrador de volumen y no hizo nada con el espacio en el que estaba la partición después. Debería ser tan simple como leer su entrada en el MBR / GPT y volvería ...
Vality

Respuestas:

49

Si acaba de eliminar la partición y no creó una nueva partición, es probable que pueda recuperarse.

Lo primero es lo primero: extraiga el disco, póngalo en una caja de Linux y haga un clon sin procesar. La primera regla de recuperación de datos es que hagas tu trabajo en un clon, no en el original.

Ahora en el clon ejecute una herramienta de Linux llamada testdisk . Si el sistema de archivos no se ha borrado, esto debería volver a crear la entrada de la tabla de particiones y permitir que se acceda nuevamente.

Si creó una nueva partición, o si testdisk no puede encontrar el sistema de archivos, entonces sus posibilidades de recuperación exitosa son mucho menores. Es posible que desee considerar hablar con especialistas en recuperación de datos en este momento.

Peter Green
fuente
1
El uso de un disco de arranque como Hiren's Boot CD incluirá todas las herramientas necesarias para realizar cada paso que haya enumerado, incluido testdisk: hirensbootcd.org/download
SnakeDoc
Debo señalar que, además de ser la mejor respuesta para esta pregunta, es posible en algunos casos donde el software puede escanear discos del disco duro y recuperar esos archivos eliminados con el tiempo (puede tomar un tiempo escanear y recuperar). Además de buscar software de recuperación que pueda restaurar archivos eliminados, no hay garantía de que ninguno de ellos funcione (especialmente si confían en que el sistema de archivos esté intacto). La única forma de garantizar que no pierda nada es hacer una copia de seguridad con frecuencia y / o llamar a un especialista en recuperación que se especialice en la reparación y recuperación del disco duro (no forense y recuperación).
dakre18
Incluso si lo hizo crear una nueva partición, TestDisk será capaz de determinar hasta qué punto el sistema de archivos se extiende, lo que permite de manera efectiva para volver a crear la partición de edad. Si la nueva partición no solo fue creada sino también formateada, las posibilidades no son tan buenas.
the-wabbit
20

No. Eliminó datos para los que no tiene copias de seguridad. Se fue.

HopelessN00b
fuente
2
A menos que tenga una copia de seguridad del estado del sistema. Pero no parece probable ...
Massimo
1
OP dijo que tenía una copia de seguridad de C: unidad; con suerte, SysState se seleccionó de manera predeterminada o se verificó.
user339468
77
Eliminar una partición no elimina datos. De hecho, todos los datos son 100% recuperables, incluso si se están utilizando las otras particiones, porque ninguna partición NUNCA escribirá fuera de su espacio asignado ... eso solo se retrasa por completo si sucede.
Nelson
44
@ Nelson Esto es técnicamente preciso, pero solo relevante si el espacio no se reasignó. Como generalmente no hay razón para eliminar una partición a menos que esté reasignando su espacio, las probabilidades son abrumadoramente altas de que esto sea lo que sucedió. Siéntase libre de solicitar una aclaración del OP, o proporcionar una respuesta propia en función de la posibilidad de que la única acción tomada fuera eliminar la partición, pero esto me parece un escenario tan improbable que no sentí que valiera la pena considerarlo.
HopelessN00b
2
Esta respuesta es burlona y objetivamente incorrecta, no "línea dura". Sí, el OP lo fastidió, pero lo único para lo que esta respuesta es buena es su representante.
Lilienthal
18

Solo para enfatizar y aclarar el comentario de yagmoth : Active Directory no está respaldado por una copia de seguridad del sistema de archivos, sino por una copia de seguridad del estado del sistema. Si tiene uno, solo busque las instrucciones del Modo de restauración del directorio de Active Directory y puede tener una oportunidad. Tendrá que conocer la contraseña de restauración de directorio.

Es posible que primero deba volver a crear manualmente la unidad D: Drive, pero si lo hace, eso interferirá con los esfuerzos de los esfuerzos de un servicio de recuperación de disco manual si decide seguir esa opción. Hacer una clonación cruda a nivel de sector de la unidad no sería una mala idea.

user339468
fuente
55
+1 para clon. Realice procedimientos forenses completos: extraiga el disco y clónelo y solo trate de rescatarlo. Teóricamente, creo que debería poder recrear la partición, tal vez en Linux, y el sistema de archivos subyacente aún podría estar en su lugar.
rrauenza
44
@ HopelessN00b: Entonces tienes problemas de confianza. Eliminar una partición solo cambia unos pocos bytes en el MBR de 512 bytes al comienzo del disco, y de ninguna manera toca los datos reales. Descubrir los valores correctos para restaurar la partición no es ciencia espacial, e incluso si de alguna manera se equivocaran, no obtendría datos mágicamente ligeramente corruptos, no obtendría datos, ya que el sistema de archivos no se encontraría en absoluto . Todos sus "consejos" sobre esta cuestión son francamente perjudiciales.
Aleksi Torhamo
1
@AleksiTorhamo No, lo que es totalmente perjudicial es basar la columna vertebral de un entorno informático corporativo en los datos recuperados, cuya integridad no se puede validar. Ese tipo de práctica imprudente es exactamente lo que los llevó a esta posición precaria en primer lugar, ejecutar un dominio en un solo controlador de dominio, sin copias de seguridad, en una plataforma que está al final de la vida. Dicho esto, su comentario debe ser una respuesta, así que hágalo, y el OP podrá aclarar qué suposiciones son correctas, las suyas o las mías.
HopelessN00b
1
@ HopelessN00b: lo suficientemente justo. No soy un hablante nativo. :) (No es que sea particularmente bueno en la comunicación, incluso en mi idioma nativo ...) Sin embargo, la analogía es un poco al revés, ya que habló sobre "BB pellets" y usted asume "un .45". Sin embargo, dado su último comentario sobre su propia respuesta, la suposición que está haciendo es bastante razonable. Si su respuesta tuviera como prefijo "Suponiendo que además de eliminar la partición, asignó una nueva partición y la formateó, ...", haciendo explícita la suposición [razonable, pero peligrosa si es incorrecta], no habría tenido reparos al respecto
Aleksi Torhamo
1
@BlueCompute En realidad, el resumen de los detalles y las aclaraciones es exactamente lo que los comentarios están destinados a los señores del SE.
HopelessN00b
1

Depende de lo que valga para usted y de la puntualidad. Si eliminó la partición y nada más, hay empresas de recuperación de datos que "recuperarán" los archivos por usted.

Esto depende totalmente de no escribir ningún dato en los bloques del disco. Entonces, si ha creado una partición o ha expandido la unidad C, todas las apuestas de recuperación están desactivadas.

Tenga en cuenta que el uso continuo de la unidad disminuirá la probabilidad de recuperación, por lo que si desea hacer esto, apáguelo ahora. Ni siquiera hagas un cierre seguro.

Pero la puntualidad también entra en juego: está buscando días / semanas para realizar cualquier tipo de recuperación comercial.

De lo contrario, es su oportunidad perfecta para construir un nuevo AD compatible desde cero y eliminar toda la basura obsoleta. Revestimiento de plata en una nube oscura.

Criggie
fuente
3
Depende de más que simplemente no sobrescribir los datos. La recuperación de datos es un negocio complicado (y costoso y lento) sin garantías.
Todd Wilcox
1
@ToddWilcox está totalmente de acuerdo con todos sus puntos. Mi intención era mostrarle al usuario que puede hacer que la recuperación sea aún más difícil al fallar en lugar de aislar el dispositivo.
Criggie
2
El hecho de que haya creado una nueva partición no significa que todas las apuestas de recuperación estén desactivadas. Investigue más sobre el asunto antes de hacer una declaración vaga como esa.
Marc DiMillo
@MarcDiMillo Como le dije a Todd, "Mi intención era mostrarle al usuario que puede hacer que la recuperación sea aún más difícil al fallar en lugar de aislar el dispositivo".
Criggie