Fallo en servidor restaurado a fecha anterior, sólo?

Archivado
Buenos días, ayer en la escuela que trabajo nos pasó una cosa muy rara...el servidor que tenemos con WINDOWS SERVER 2012 R2 FOUNDATION, nos apareció como restaurado a fecha de hace 1 mes.....

En un principio nadie ha hecho nada....ya que la noche del miércoles a las 20.30h estaba bien, y la mañana del jueves....había un usuario de sistema creado hace una semana que no estaba, no existía....y los documentos estaban a fecha de hace 1 mes....

Como es posible eso? Por un error de una actualización puede pasar eso? o alguien lo ha hecho intencionadamente?

Hemos tirado de la cópia de seguridad, pero nos ha sonado a raro....
Mirar el visor de eventos del server para ver que ha podido pasar.Asi como conexiones de usuarios o remote desktops etc...por si alguien os ha tocado algo.
Un saludo.
Hola, ese es el problema...en el visor de eventos, miramos, y hay actividad hasta la fecha de hace 1 mes..y luego hace el salto a partir del día de ayer....por lo tanto no podemos saber nada..y. estamos con esas dudas...


o sea...VISOR DE EVENTOS....

DÍA 09/06/19
DÍA 10/06/19
DÍA 11/06/19
DÍA 11/06/19
DÍA 11/07/19 Aquí hace el salto..
Mira logs del servidor de backups, no vaya a ser que alguien la liara malintencionadamente, o que tuviérais un snapshot y alguien lo eliminara sin querer de VMware. Windows no "recupera" archivos de hace 30 días por un update (en todo caso destruye, nunca regeneraría), esto es claramente un restore de la máquina (vmware, datastore, desde backup, etc...).
Eso que comentas es muy raro, desde luego. Es como si alguien hubiera restaurado intencionadamente una imagen del sistema a fecha de hace un mes, bien sea desde una imagen respaldada o si, como te comentan y estás virtualizando, a una captura de hace un mes.

Windows cuando restaura, o restaura llevándoselo todo por delante o suele ir dejando rastros y cosas por el camino; pero desde luego que no hace eso que comentas. Que haya documentos que estaban como hace un mes o que el visor de eventos tenga ese hueco ahí es motivo de sospecha. Borrar elementos del visor de eventos es un engorro y Windows cuando hace una restauración del sistema no toca los documentos personales.
JuananBow escribió:Eso que comentas es muy raro, desde luego. Es como si alguien hubiera restaurado intencionadamente una imagen del sistema a fecha de hace un mes, bien sea desde una imagen respaldada o si, como te comentan y estás virtualizando, a una captura de hace un mes.

Windows cuando restaura, o restaura llevándoselo todo por delante o suele ir dejando rastros y cosas por el camino; pero desde luego que no hace eso que comentas. Que haya documentos que estaban como hace un mes o que el visor de eventos tenga ese hueco ahí es motivo de sospecha. Borrar elementos del visor de eventos es un engorro y Windows cuando hace una restauración del sistema no toca los documentos personales.


Pues hemos estado mirando y no lo entendemos, .....porqué es tal cual...suena a restauración....por lo qué comentamos...porqué no aparece ....a no ser que con el RAID 1 que tiene el sistema no haya funcionado bien, hace 1 mes que no replique de uno a otro......el principal que tenemos hubiese fallado....se hubiese reiniciado el server con el disco replicado con fecha de hace 1 mes......

Aunque paramos el servidor, y ejecutamos el server con cada disco independiente...y la info de los 2, era de hace 1 mes aprox.....el RAID no nos indica que haya fallos...

(qué aún así no es normal...porqué nos falta una carpeta de información que estaba en la raíz, y si fuese así, esa carpeta debería aparecer)
5 respuestas
Archivado
Volver a General