Backup Windows Server con Task Scheduler: guía programada completa

Crea la estructura de carpetas en el destino — puede ser un disco secundario, recurso compartido de red o volumen montado:

New-Item -Path "D:\Backup\Archivos" -ItemType Directory
New-Item -Path "D:\Backup\SQL" -ItemType Directory
New-Item -Path "D:\Backup\SystemState" -ItemType Directory
New-Item -Path "D:\Backup\Logs" -ItemType Directory

Separar archivos, base y estado del sistema en carpetas distintas facilita la rotación independiente — puedes retener 7 días de archivos pero 30 días de base, por ejemplo.

Aplica permisos NTFS restrictivos en el directorio raíz:

icacls "D:\Backup" /inheritance:r
icacls "D:\Backup" /grant:r "Administrators:(OI)(CI)F"
icacls "D:\Backup" /grant:r "svc_backup:(OI)(CI)F"
icacls "D:\Backup" /grant:r "SYSTEM:(OI)(CI)F"

El backup contiene datos sensibles — limitar el acceso a la cuenta de servicio, SYSTEM y Administradores reduce la superficie en caso de compromiso de un usuario común.

Crea el script C:\Scripts\backup-archivos.ps1:

$origen = "C:\Datos"
$destino = "D:\Backup\Archivos"
$logPath = "D:\Backup\Logs\archivos-$(Get-Date -Format 'yyyy-MM-dd').log"

robocopy $origen $destino /MIR /COPYALL /R:3 /W:10 /MT:8 /LOG:$logPath /NP /TEE

$exitCode = $LASTEXITCODE
if ($exitCode -ge 8) {
    Write-EventLog -LogName Application -Source "BackupScript" -EventId 1001 -EntryType Error -Message "Backup fallo con codigo $exitCode"
    exit 1
}
exit 0

Los parámetros aquí importan. /MIR espeja el origen en el destino (borra archivos que desaparecieron). /COPYALL preserva permisos NTFS, timestamps, owner y auditoría. /R:3 /W:10 intenta 3 veces con 10 segundos entre intentos — equilibra robustez y tiempo. /MT:8 paraleliza con 8 threads.

Registra la fuente del Event Log una vez (para que Write-EventLog funcione):

New-EventLog -LogName Application -Source "BackupScript"

Esto permite que el script escriba en Visor de Eventos > Aplicaciones, integrando con sistemas de monitoreo que leen el log de Windows.

Crea el script C:\Scripts\backup-sql.ps1:

$fecha = Get-Date -Format 'yyyy-MM-dd_HHmm'
$destino = "D:\Backup\SQL"
$bases = @("MiApp", "PortalCliente")

foreach ($db in $bases) {
    $archivo = "$destino\$db-$fecha.bak"
    $query = "BACKUP DATABASE [$db] TO DISK = '$archivo' WITH COMPRESSION, CHECKSUM, INIT"
    sqlcmd -S localhost -E -Q $query
    if ($LASTEXITCODE -ne 0) {
        Write-EventLog -LogName Application -Source "BackupScript" -EventId 1002 -EntryType Error -Message "Backup SQL fallo: $db"
    }
}

COMPRESSION reduce el tamaño del .bak en 60-80% para la mayoría de los workloads. CHECKSUM verifica la integridad durante el backup — descubres corrupción en el momento correcto, no a la hora de la restauración. INIT sobrescribe medios anteriores si el nombre del archivo coincide.

Verifica que la característica esté instalada:

Install-WindowsFeature Windows-Server-Backup -IncludeManagementTools

Si ya estaba instalada, el comando retorna sin acción. En servidores recién aprovisionados, esto agrega el backup completo + cmdlets de PowerShell.

Crea el script C:\Scripts\backup-systemstate.ps1:

$fecha = Get-Date -Format 'yyyy-MM-dd'
$destino = "D:\Backup\SystemState"

wbadmin start systemstatebackup -backupTarget:$destino -quiet

if ($LASTEXITCODE -ne 0) {
    Write-EventLog -LogName Application -Source "BackupScript" -EventId 1003 -EntryType Error -Message "Backup SystemState fallo"
}

El backup de estado del sistema captura registro, base COM+, archivos de boot y (en controladores de dominio) el AD entero. Corre en 5-15 minutos en un servidor típico.

Abre Task Scheduler como Administrador (taskschd.msc) y crea una tarea vía “Crear Tarea” (no “Crear Tarea Básica” — esa no expone todas las opciones).

En la pestaña General:

• Nombre: Backup Diario - Archivos
• Cuenta: svc_backup (clic en “Cambiar usuario o grupo”)
• Marca: “Ejecutar tanto si el usuario inició sesión como si no”
• Marca: “Ejecutar con los privilegios más altos”
• Configurar para: Windows Server 2022 (o 2019)

En la pestaña Desencadenadores, agrega un nuevo desencadenador:

• Iniciar tarea: Según una programación
• Diariamente, a las 02:00
• Marca “Habilitado”

Distribuir backups en horarios diferentes (archivos 02:00, SQL 03:00, system state 04:00) evita pico de I/O y contención en el destino.

En la pestaña Acciones, agrega “Iniciar un programa”:

• Programa/script: powershell.exe
• Agrega argumentos: -NoProfile -ExecutionPolicy Bypass -File "C:\Scripts\backup-archivos.ps1"

-NoProfile salta la carga del perfil de PowerShell (más rápido, más predecible). -ExecutionPolicy Bypass evita bloqueo por política de ejecución restrictiva sin alterar la configuración global.

En la pestaña Configuración:

• Marca “Permitir que la tarea se ejecute a petición”
• Marca “Ejecutar tarea lo antes posible después de un inicio programado perdido”
• Marca “Si la tarea falla, reiniciar cada: 10 minutos / hasta: 3 veces”
• “Detener la tarea si se ejecuta durante más de: 4 horas”

Repite el proceso para backup-sql.ps1 (03:00) y backup-systemstate.ps1 (04:00, idealmente solo domingo — system state es grande).

Crea C:\Scripts\rotacion.ps1 para borrar backups SQL con más de 14 días:

$limite = (Get-Date).AddDays(-14)
Get-ChildItem "D:\Backup\SQL\*.bak" | Where-Object { $_.LastWriteTime -lt $limite } | Remove-Item -Force

Get-ChildItem "D:\Backup\Logs\*.log" | Where-Object { $_.LastWriteTime -lt $limite } | Remove-Item -Force

Programa esta tarea para las 05:00 diariamente. wbadmin tiene rotación propia vía -maxBackups: en start systemstatebackup.