Recuperación de datos de Windows Server 2019 y 2022
Windows Server 2019 y 2022 introducen funciones de almacenamiento avanzadas —Storage Spaces Direct, ReFS, Storage Replica— que mejoran la resiliencia, pero que también añaden complejidad cuando se produce un fallo y hay que recuperar datos. En RecuperaTusDatos.es disponemos de las herramientas y el conocimiento para recuperar datos de entornos Windows Server en todos los escenarios de fallo: desde un simple disco con sectores defectuosos hasta un ataque de ransomware que ha cifrado todos los volúmenes del servidor.
Novedades de almacenamiento en Windows Server 2019 y 2022
Storage Spaces Direct (S2D)
Storage Spaces Direct permite crear clústeres de almacenamiento hiperconvergido usando los discos locales de múltiples nodos. Es la base de Azure Stack HCI. Cuando un nodo falla o se corrompe el volumen virtual, la recuperación requiere conocer la geometría exacta del espacio de almacenamiento (pool, virtual disk, columnas, intercalado) y reconstruirlo manualmente antes de poder acceder a los datos.
ReFS (Resilient File System) vs NTFS
ReFS es el sistema de archivos predeterminado para los volúmenes de datos en Storage Spaces y Hyper-V en Windows Server 2019/2022. A diferencia de NTFS, ReFS no tiene una tabla MFT centralizada: utiliza un árbol B+ con checksums por bloque, lo que dificulta el uso de herramientas convencionales de recuperación diseñadas para NTFS.
| Característica | NTFS | ReFS |
|---|---|---|
| Estructura de metadatos | MFT centralizada | Árbol B+ distribuido |
| Journaling | Sí ($LogFile) | Sí (allocate-on-write) |
| Checksums de datos | No (solo metadatos con integridad) | Sí, por defecto en S2D |
| Corrección automática de errores | Limitada (con mirror) | Sí (con mirror o paridad) |
| Soporte en herramientas de recuperación | Muy amplio | Limitado — requiere herramientas especializadas |
| Tamaño máximo de volumen | 256 TB (práctico) | 35 PB |
La recuperación de datos de un volumen ReFS dañado requiere herramientas que comprendan la estructura interna del árbol B+ y puedan reconstruir el árbol de directorios a partir de los nodos supervivientes.
Storage Replica
Storage Replica permite replicación síncrona o asíncrona de volúmenes entre servidores o sitios. En caso de fallo del servidor primario, el volumen de réplica en el servidor secundario está disponible —pero en estado de solo lectura hasta que se promueve. Si la réplica también se corrompe o el failover no se completa correctamente, podemos recuperar los datos del log de replicación o de las instantáneas VSS asociadas.
Active Directory: recuperación de ntds.dit
El archivo ntds.dit es la base de datos de Active Directory Domain Services (AD DS). Contiene todos los objetos del directorio: usuarios, grupos, políticas GPO, equipos, relaciones de confianza. Se encuentra habitualmente en C:\Windows\NTDS\.
Los escenarios más habituales de pérdida o corrupción de Active Directory son:
- Fallo del disco del controlador de dominio sin controlador secundario disponible
- Corrupción del ntds.dit por apagado brusco durante una transacción de escritura
- Borrado accidental de OUs o cuentas sin papelera de reciclaje habilitada
- Ransomware que cifra los archivos del directorio
- Error en la promoción o degradación de un DC que deja el AD en estado inconsistente
La recuperación de ntds.dit implica extraer el archivo ESE (Extensible Storage Engine), reparar el log de transacciones y, si es necesario, usar técnicas de volcado directo de páginas para extraer los objetos incluso de una base de datos con checksum corrupto.
Exchange Server: recuperación de buzones (.edb)
Microsoft Exchange Server almacena todos los buzones en archivos de base de datos .edb (formato ESE, igual que Active Directory). Un Exchange 2016 o 2019 típico puede tener bases de datos de varios cientos de GB. Los fallos más frecuentes que atendemos son:
- Estado Dirty Shutdown: la base de datos no se desmontó limpiamente y los logs de transacciones son necesarios para reproducirla, pero los logs se han perdido o están dañados
- Fallo del disco con los archivos
.edbo los logs - Ransomware que cifra los archivos de Exchange
- Corrupción de la base de datos detectada por
eseutil /mhcon estado != Clean Shutdown
Recuperamos buzones individuales o bases de datos completas de Exchange. Los datos se entregan como archivos .pst (importables directamente a Outlook o Exchange) o como archivos de buzón en formato MBOX.
SQL Server: recuperación de MDF y LDF
SQL Server almacena los datos en archivos .mdf (datos primarios) y .ldf (log de transacciones), con posibles archivos .ndf de grupos de archivos secundarios. Los escenarios de recuperación más habituales en SQL Server 2019 y 2022 son:
| Escenario | Técnica de recuperación |
|---|---|
| Base de datos en estado SUSPECT | Extracción directa de páginas MDF sin motor SQL |
| Archivo LDF corrupto o perdido | Recuperación de datos del MDF con reconstrucción del log |
| Fallo de disco con archivos MDF/LDF | Imagen del disco + extracción de ficheros + reparación |
| Truncado accidental de tablas | Análisis de páginas de datos y recuperación de registros eliminados |
| Ransomware (archivos cifrados) | Recuperación desde VSS Shadow Copy si disponible |
| Corrupción de índices y páginas de datos | Reparación con DBCC CHECKDB + extracción manual si necesario |
Hyper-V: recuperación de máquinas virtuales (.vhdx)
Hyper-V en Windows Server 2019/2022 usa el formato .vhdx para los discos virtuales de las máquinas virtuales (y el formato .avhdx para los puntos de control). Un archivo .vhdx es en esencia un contenedor que incluye un sistema de archivos NTFS o ReFS completo. La recuperación implica:
- Recuperar el archivo .vhdx del disco físico dañado
- Reparar la estructura del propio contenedor .vhdx si está corrupta
- Montar el .vhdx reparado y extraer los datos del sistema de archivos interior
En entornos con Storage Spaces Direct, los .vhdx pueden estar distribuidos en múltiples capas (pool → virtual disk → CSV → carpeta de VM), lo que añade complejidad pero no impide la recuperación si se reconstruyen correctamente las capas inferiores.
VSS Shadow Copy: primera línea de recuperación
El Servicio de instantáneas de volumen (VSS) de Windows Server crea copias de punto en el tiempo de los volúmenes. Si el servidor arranca y VSS está intacto, puede ser la vía más rápida de recuperar archivos o bases de datos perdidos sin necesidad de intervención en el disco. Sin embargo, en muchos ataques de ransomware modernos, el malware ejecuta vssadmin delete shadows /all como primera acción para eliminar las instantáneas.
Si las shadow copies han sido eliminadas pero el disco no ha sido sobreescrito completamente, podemos recuperar las estructuras VSS mediante técnicas de carving en el disco. No siempre es posible, pero es una opción a evaluar antes de abordar una recuperación completa de los datos.
Escenarios frecuentes de fallo en Windows Server
BSOD en el arranque del servidor
Un Windows Server que no arranca con pantalla azul (stop error 0x0000007B, 0x00000024, 0xC0000098 u otros) puede tener el sistema operativo dañado pero los datos intactos. En este caso la recuperación es relativamente sencilla: se monta el disco en otro sistema, se extrae el volumen de datos y se restaura en un servidor funcional.
Fallo del controlador RAID
El fallo de la tarjeta controladora RAID (LSI, Adaptec, Dell PERC, HP SmartArray) puede dejar los discos físicos en buen estado pero el array inaccesible. Recuperamos los datos reconstruyendo el array de forma virtual, identificando la configuración original (nivel RAID, stripe size, orden de discos, offset) sin necesidad de la controladora original.
Ransomware en Windows Server
El ransomware es actualmente la causa más frecuente de pérdida masiva de datos en entornos empresariales. Las variantes modernas (LockBit, BlackCat/ALPHV, Cl0p, Akira) cifran los datos con AES-256 + RSA-2048, haciendo el descifrado sin la clave matemáticamente imposible. Las alternativas son:
- Recuperación desde backup no afectado (la mejor opción si existe)
- Recuperación desde VSS Shadow Copies (si no fueron eliminadas)
- Negociación con los atacantes (no recomendado — sin garantías)
- Identificación de versión del ransomware en NoMoreRansom.org (decriptadores gratuitos disponibles para algunas variantes antiguas)
Precios de recuperación de Windows Server 2019/2022
| Escenario | Precio orientativo (IVA incl.) | Plazo |
|---|---|---|
| Disco de servidor con fallo lógico (NTFS/ReFS) | 400 € – 700 € | 2–5 días laborables |
| Disco de servidor con fallo mecánico (sala limpia) | 700 € – 1.500 € | 4–12 días laborables |
| RAID empresarial 4–8 discos | 1.000 € – 2.500 € | 7–15 días laborables |
| Recuperación de Active Directory (ntds.dit) | 500 € – 1.200 € | 3–7 días laborables |
| Recuperación de Exchange Server (.edb) | 600 € – 1.500 € | 3–10 días laborables |
| Recuperación de SQL Server (MDF/LDF) | 400 € – 1.200 € | 2–7 días laborables |
| Recuperación de VMs Hyper-V (.vhdx) | 500 € – 1.500 € | 3–10 días laborables |
| Servicio urgente 24/7 (suplemento) | +30 % sobre tarifa estándar | 24–48 h prioritario |
SLA y garantías del servicio
- No recovery, no fee: si no recuperamos ningún dato, no pagará nada.
- Diagnóstico gratuito: en 24–48 horas le informamos de la viabilidad y el coste exacto.
- Confidencialidad: firmamos NDA y trabajamos bajo protocolo RGPD. Los datos de trabajo se destruyen de forma certificada al finalizar el servicio.
- Cadena de custodia: documentamos cada fase del proceso con hashes de verificación.
- Servicio urgente 24/7: disponible para entornos críticos con necesidad de recuperación en menos de 48 horas.
WhatsApp