Acceso al controlador de dominio desde la cuenta DSRM local – 2xsoftware

@2xsoftware.e

El modo de restauración de servicios de directorio (DSRM) es un modo de inicio especial en los sistemas operativos Microsoft Windows Server que se utiliza para realizar tareas de mantenimiento en los servicios de dominio de Active Directory (AD), como restaurar o reparar un controlador de dominio fallido.

Cuando un controlador de dominio falla o experimenta problemas críticos, es posible que no se pueda iniciar en modo normal. En tales casos, DSRM se puede usar para iniciar el controlador de dominio en un modo en el que la base de datos de AD se puede reparar o restaurar desde una copia de seguridad.

En DSRM, el controlador de dominio se inicia en un modo en el que solo se cargan los servicios esenciales y no se inicia ningún servicio de Active Directory. Esto permite a los administradores acceder a la base de datos de AD y realizar tareas de mantenimiento, como ejecutar operaciones de copia de seguridad y restauración, restablecer contraseñas y reparar la base de datos de AD.

Nota. Consulte nuestra guía sobre cómo iniciar sesión con una cuenta local de Windows en lugar de una cuenta de dominio.

¿Qué puedes hacer en DSRM?

Cuando un controlador de dominio se inicia en modo de restauración de servicios de directorio (DSRM), los administradores pueden realizar varias tareas de mantenimiento relacionadas con los servicios de dominio de Active Directory (AD). Algunas de las tareas comunes que se pueden realizar en DSRM incluyen:

  • Restauración de datos de Active Directory: DSRM se puede usar para restaurar datos de AD a partir de copias de seguridad en caso de falla o corrupción.
  • Reparación de la base de datos de AD: DSRM permite a los administradores realizar operaciones de reparación en la base de datos de AD en caso de corrupción.
  • Administración de servicios relacionados con AD: DSRM se puede usar para administrar servicios relacionados con AD, como DNS, DHCP y directivas de grupo.
  • Desfragmentación sin conexión: DSRM se puede utilizar para realizar la desfragmentación sin conexión de la base de datos de AD para mejorar el rendimiento.

Restablecer la contraseña de DSRM

DSRM requiere una contraseña especial establecida durante la instalación de los servicios de dominio de Active Directory.

Esta contraseña debe mantenerse segura y ser conocida solo por el administrador del dominio o el personal de TI designado responsable de mantener los controladores de dominio.

Pero no se preocupe si la contraseña de DSRM se perdió u olvidó. Todavía puede restablecerlo usando el ntdsutil utilidad, y he aquí cómo.

Publicación relacionada. Consulte nuestro tutorial sobre usando la herramienta Ntdsutil para administrar Active Directory.

  1. Abra una ventana de CMD como administrador y ejecute ntdsutil.
  2. Tipo establecer contraseña dsrm y presione Entrar.
  3. Escriba **restablecer contraseña en el servidor NULL** y presione Entrar. La parte NULL asume que está restableciendo la contraseña de DSRM en la máquina local. Si restablece la contraseña de DSRM en un servidor remoto, reemplace NULO con el nombre del servidor remoto.
  4. Ingrese la nueva contraseña de DSRM y presione Entrar.
  5. Vuelva a ingresar la contraseña y presione Entrar.
  6. Tipo abandonar y presione Entrar para salir del contexto Restablecer contraseña de administrador de DSRM.
  7. Tipo abandonar y presione Entrar para salir ntdsutil.
    cuenta dsrm

Nota. Comprobar el Únase al dominio e inicie sesión a través de un artículo de conexión VPN.

Arranque a DSRM

En los antiguos sistemas operativos de Windows Server, podía presionar F8 inmediatamente después de la autocomprobación de encendido (POST) y mostraría las Opciones de arranque avanzadas. Pero desde Windows 2012, el proceso de arranque se ha vuelto más rápido y la técnica de la tecla F8 ya no es viable.

Entonces, ¿cómo accede a las Opciones de arranque avanzadas? Aquí están las diferentes maneras.

Método 1: MAYÚS+Reiniciar

Hacer clic Comenzar > Fuerza > Espera CAMBIO y haga clic Reanudar.

inicio de sesión dsrm

Método 2: Comando de apagado

Abra el cuadro de diálogo Ejecutar y ejecute el cerrar /r /o dominio. El indicador /o se introdujo en Windows Server 2012 y solo se puede usar con el /r bandera.

drm

Método 3: aplicación de configuración de sistemas

Abre las ventanas Ajustes aplicación Hacer clic Actualización y Seguridad > Recuperación > Inicio avanzado> Reiniciar ahora.

contraseña

Cuando la computadora se reinicie, haga clic en Solucionar problemas.

nombre de usuario dsrm

Hacer clic Configuración de inicio.

modo de restauración de servicios de directorio

Hacer clic Reanudar.

restablecer contraseña dsrm

Una vez que vea el Opciones de arranque avanzadas menú, resaltar Modo de reparación de servicios de directorio y presione Entrar.

anuncio dsrm

Haga clic en «Otro usuario” en la pantalla de inicio de sesión. Tipo administrador como nombre de usuario e ingrese la contraseña de DSRM.

Contraseña del modo de restauración de servicios de directorio

Y ahora puede solucionar los problemas del DC.

servicios de directorio servidor de modo de restauración 2019

¿Puedo iniciar sesión en el modo normal con la cuenta de administrador de DSRM?

Sí tu puedes. A partir de Windows Server 2008, la cuenta de administrador local se puede usar para iniciar sesión en el servidor sin iniciar el DSRM.

Todo lo que necesita hacer es modificar el siguiente valor de registro:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] 
"DsrmAdminLogonBehavior"=dword:00000000

El DsrmAdminLogonBehavior puede tener uno de estos tres valores.

Valor

Significado

0

El administrador de DSRM puede iniciar sesión en el DC solo en modo DSRM.

1

El administrador de DSRM puede iniciar sesión cuando se detiene el servicio NTDS.

2

El administrador de DSRM puede acceder a DC en cualquier momento. Este valor es el menos seguro.

Teniendo en cuenta el nivel de seguridad de cada uno, puede cambiar el valor del registro según sea necesario.

Habilitar el inicio de sesión del administrador de DSRM en modo normal cuando se detiene el servicio de agregaciones

  1. Para habilitar el inicio de sesión del administrador de DSRM en modo normal cuando el servicio ADDS está detenido: 
    New-ItemProperty ` 
    -Name DsrmAdminLogonBehavior ` 
    -Path HKLM:SystemCurrentControlSetControlLsa ` 
    -PropertyType Dword ` 
    -Value 1 ` 
    -Force

    contraseña del modo de restauración del directorio activo

  2. Para el Servicios de dominio de Active Directory servicio y cierre sesión en la sesión actual: 
    Stop-Service NTDS

    modo de restauración del directorio activo

  3. Inicie sesión con la cuenta de administrador de DSRM.
    restablecimiento de contraseña dsrm
    contraseña de prueba dsrm

Conclusión

Acceder a un controlador de dominio desde una cuenta DSRM local puede ser útil y necesario para los administradores de red, especialmente en emergencias. Requiere una comprensión cuidadosa y profunda de las tecnologías subyacentes, incluido Active Directory.

Los pasos descritos en este blog pueden servir como una guía útil para realizar esta tarea, pero es importante tener en cuenta que este proceso solo debe usarse en circunstancias limitadas y con precaución. Siempre es mejor seguir los protocolos y pautas de seguridad establecidos y consultar con profesionales de TI siempre que sea posible.

Valora este artculo post

Related Posts

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *