Recuperar datos de Windows Server 2019 y 2022: guía para administradores

Un servidor Windows caído en producción no es solo un problema técnico: es una crisis que afecta a toda la organización. Ya sea por un fallo de disco, una actualización que deja el sistema sin arrancar o la corrupción de la base de datos de Active Directory, la recuperación de datos en entornos Windows Server exige un enfoque sistemático y —en muchos casos— la intervención de un laboratorio especializado. En esta guía repasamos los escenarios más frecuentes que encontramos en RecuperaTusDatos.es y cómo afrontarlos.

Storage Spaces: mirror y parity

Windows Server 2019 y 2022 permiten crear Storage Spaces directamente desde el sistema operativo, agrupando varios discos físicos en volúmenes virtuales con redundancia. Los modos más habituales son mirror (espejo de dos o tres vías) y parity (similar a RAID 5/6).

Cuando un disco miembro falla, el espacio de almacenamiento puede continuar operativo, pero si la degradación no se detecta a tiempo y cae un segundo disco, el conjunto queda fuera de línea. El problema con parity es especialmente delicado: la reconstrucción implica cálculos de paridad que, si se interrumpen (otro fallo, corte de luz), pueden dejar los datos en un estado inconsistente del que no se puede recuperar con herramientas estándar.

Desde el laboratorio podemos leer los metadatos del Storage Space directamente en los discos miembro, reconstruir la distribución de bloques y extraer los archivos aunque el sistema operativo no reconozca el conjunto. Es un proceso manual que requiere conocer la geometría del virtual disk y el interleave configurado.

ReFS vs NTFS: diferencias clave en recuperación

Windows Server 2022 permite formatear volúmenes con ReFS (Resilient File System), diseñado para workloads de virtualización y grandes volúmenes de datos. ReFS es más robusto frente a la corrupción gracias a su árbol B+ con checksums por bloque, pero esta misma arquitectura lo hace más difícil de recuperar cuando el daño afecta a las estructuras de metadatos.

Con NTFS, herramientas como GetDataBack, R-Studio o TestDisk pueden reconstruir la MFT (Master File Table) y recuperar la mayoría de archivos. Con ReFS, el soporte en herramientas de consumo es muy limitado: la recuperación requiere software especializado y, en casos graves, trabajo a nivel de sector desde el laboratorio.

Recomendación: si usa ReFS, extreme las precauciones con los backups. La resiliencia de ReFS protege frente a la corrupción silenciosa, no frente a la pérdida total del volumen.

Volume Shadow Copies (VSS): recuperación paso a paso

El Servicio de Instantáneas de Volumen (VSS) crea copias de punto en el tiempo del sistema de archivos. Si están habilitadas, pueden ser la forma más rápida de recuperar archivos borrados o sobreescritos:

1. Abra el Explorador de Windows, navegue a la carpeta afectada.
2. Clic derecho → Propiedades → pestaña Versiones anteriores.
3. Seleccione la instantánea con la fecha deseada y pulse Restaurar o Abrir para copiar archivos concretos.

Desde PowerShell puede listar y montar instantáneas con vssadmin list shadows y mklink /d C:\shadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopyN\.

Limitación importante: el ransomware moderno elimina las shadow copies como primer paso. Si el servidor ha sufrido un ataque, no cuente con ellas.

Active Directory: recuperar NTDS.dit

La base de datos de Active Directory se almacena en C:\Windows\NTDS\ntds.dit. Su corrupción puede dejar toda la infraestructura de dominio inoperativa. Las opciones de recuperación son:

• Restauración autoritativa: desde el Directorio de Servicios de Restauración (DSRM), restaure una copia de seguridad del estado del sistema y marque los objetos como autoritativos con ntdsutil.
• Clonado de DC: si tiene un segundo controlador de dominio funcional, puede forzar la replicación y degradar/promover el DC dañado.
• Recuperación forense del NTDS.dit: si no hay backup, un laboratorio puede extraer el archivo de base de datos ESE directamente del disco dañado y reconstruir los objetos de directorio.

Fallo tras Windows Update

Es más frecuente de lo que parece: un Patch Tuesday deja el servidor en un bucle de arranque o con pantalla azul. Antes de actuar, anote el código de error exacto (INACCESSIBLE_BOOT_DEVICE, CRITICAL_PROCESS_DIED, etc.).

El primer paso es intentar el inicio en modo seguro o el entorno de recuperación de Windows (WinRE). Desde allí puede revertir la actualización con dism /image:C:\ /get-packages y dism /image:C:\ /remove-package. Si el sistema de archivos está dañado, chkdsk /f desde WinRE puede reparar inconsistencias menores.

Si el disco en sí ha fallado coincidiendo con la actualización (no es infrecuente: el estrés de escritura durante la instalación puede precipitar un fallo latente), es necesario clonar el disco antes de cualquier otra acción.

Hyper-V: recuperar VHD y VHDX

Los archivos VHD/VHDX son discos virtuales que contienen sistemas de archivos completos. Cuando el host Hyper-V falla, hay dos niveles de daño posible:

1. El host está bien, el VHDX está corrupto: use Repair-VHD -Path C:\VMs\disco.vhdx -Force desde PowerShell. Si no funciona, herramientas como Zero Assumption Recovery pueden montar el VHDX y extraer archivos.
2. El disco físico del host ha fallado: primero hay que recuperar el archivo VHDX del disco físico, y luego tratarlo como el caso anterior. Son dos recuperaciones en cascada.

Los VHDX con checkpoints (archivos AVHDX) añaden complejidad: la cadena de diferenciación debe reconstituirse en orden. Si algún eslabón está dañado, la cadena completa puede quedar inutilizable.

DFS (Distributed File System)

En entornos DFS, los datos están replicados entre varios servidores mediante DFSR. Si un nodo falla, los datos deben seguir accesibles desde los otros. El problema surge cuando:

• La replicación llevaba tiempo en error y el nodo “sano” tiene datos desactualizados.
• Se borra un archivo en un nodo y DFSR propaga el borrado antes de detectarlo.
• La base de datos DFSR (en C:\System Volume Information\DFSR) se corrompe.

Para el tercer caso, puede forzar una reinicialización autoritativa del servidor DFSR con dfsrdiag pollad y modificando el atributo msDFSR-Enabled en AD. Para archivos borrados propagados, la única opción suele ser un backup externo al DFS.

¿Cuándo llamar a un laboratorio?

Contacte con un laboratorio de recuperación de datos cuando:

• El disco físico emite ruidos mecánicos (clic, rascado) o no aparece en el BIOS.
• El servidor ha sufrido un golpe, inundación o sobretensión eléctrica.
• Las herramientas de recuperación se quedan colgadas o devuelven errores de lectura masivos.
• El RAID o Storage Space está degradado y no puede permitirse más riesgo.
• Los datos son críticos y no tiene backup reciente.

En RecuperaTusDatos.es atendemos casos de Windows Server con sala limpia ISO 5 para discos con daño físico. El diagnóstico inicial es gratuito y sin compromiso. Nuestros precios para servidores oscilan entre 300 € y 900 € según la complejidad, con una tasa de éxito superior al 90 % en casos de fallo lógico y en torno al 75 % en daño físico grave.

Llámenos al +34 93 XXX XX XX o escríbanos a través del formulario para una evaluación sin coste.

Te puede interesar

• › Recuperación de datos de Windows Server 2019 y 2022
• › Recuperar datos de Windows Server: guía para empresas [2026]
• › Recuperación de datos para empresas: servidores, RAID y SAN/NAS
• › RAID 5 con un Disco Fallido: Qué Hacer Antes de que Falle Otro