Backup Active Directory (AD)

1. Backup do AD:

Quando fazemos o backup do Active Directory, estaremos fazendo também o backup de todas as informações das quais o Active Directory depende para funcionar corretamente, como por exemplo: registro de componentes, dll’s, entre outras. Essas informações são conhecidas como System State (Estado do Sistema). Seguem abaixo os tipos de informações que serão incluídas no backup do System State (Estado do Sistema):

  • Informações de cluster (se o servidor participar de um cluster)
  • Banco de dados Component Services Class Registration.
  • Arquivos de inicialização do sistema.
  • Active Directory.
  • Pasta Sysvol.
  • Banco de dados do Certificate Services (se este serviço estiver instalado).
  • Banco de dados do DNS (se este serviço estiver instalado).


Apenas a título de informação, já que a cópia do System State é suficiente para restaurar o AD, a base de dados do Active Directory fica localizada na pasta %systemroot%ntds e é composta pelos seguintes arquivos:

  • Ntds.dit : banco de dados do Active Directory.
  • Ebb.chk : arquivo de checkpoint utilizado pelo banco de dados do AD.
  • Ebb*.log : log de transações do banco de dados do Active Directory. O tamanho máximo de cada arquivo é 10 MB.
  • Res1.log e Res2.log : log de transações reservado.

O backup do System State do Windows pode ser gerado através de um script executado pelo Bacula (Client Run Before Job) antes de cada job de backup, como explicado aqui no livro.

2. Restauração do AD:

Temos 2 formas de executá-lo em um servidor que teve os dados do Active Directory corrompidos:

  • Reinstalar o Windows 2000 Server nesse servidor, promovê-lo a Domain Controller (Controlador de Domínio) com o comando dcpromo e aguardar até que o mecanismo de replicação entre os Domain Controllers (Controladores de Domínio) restaurem os dados do Active Directory nesse servidor. Pode não ser uma boa opção de restore para Domain Controllers (Controladores de Domínio) interligados por links de WAN de baixa velocidade.
  • Fazer o restore a partir de um backup efetuado anteriormente. Nesse caso, possuímos 2 métodos de restore:
    • Nonauthoritative (Sem autoridade) : esse é o processo de restore padrão, no qual após a restauração do backup, o Domain Controller (Controlador de Domínio) passará a receber as atualizações dos outros Domain Controllers (Controladores de Domínio). Sempre que outros Domain Controllers (Controladores de Domínio) possuírem informações mais atualizadas daquelas que foram restauradas, essas informações serão replicadas para o Domain Controller (Controlador de Domínio) onde foi feito o restore.
    • Authoritative (Com autoridade) : esse processo de restore é exatamente o contrário do processo acima. Aqui os dados restaurados a partir de um backup serão considerados mais atualizados do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Ou seja, quando restauramos um backup Com autoridade, estamos dizendo que as informações desse backup não serão substituídas por outros dados. Um exemplo prático: o administrador da rede excluiu um OU. Com isso, essa informação será replicada para todos os Domain Controllers (Controladores de Domínio), ou seja, essa OU será excluída em todos os Domain Controllers (Controladores de Domínio). Se restaurarmos essa OU Sem autoridade, estaremos dizendo que as informações contidas nos Domain Controllers (Controladores de Domínio) são mais atuais do que as informações restauradas. Com isso, a OU será novamente excluída. Devemos então fazer um restore Com autoridade. O restore Com autoridade altera um identificador nos dados restaurados, para que estes sejam considerados mais atuais do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Devemos utilizar o comando ntdsutil para fazermos um restore Com autoridade

Com relação às permissões de backup e restore do System State (Estado do Sistema), temos as seguintes considerações:

  • Para fazer o backup do System State (Estado do Sistema), o usuário deve pertencer ao grupo Backup Operators (Operadores de Cópia) ou ao grupo local de domínio Administrators (Administradores).
  • Para fazer o restore do System State (Estado do Sistema), o usuário deve pertencer ao grupo local de domínio Administrators (Administradores).

Para maiores informações sobre o backup e restore do Active Directory, visite os sites abaixo:

Um detalhe importante é que para fazermos o restore do Active Directory, devemos inicializar o Domain Controller (Controlador de Domínio) no modo Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório). Nesse modo, o Active Directory não é inicializado, portanto não podemos nos logar com as contas de usuário do Active Directory. Devemos utilizar a conta local Administrator (Administrador).

 

Exemplo prático – Fazer o restore do Active Directory Sem autoridade.

  • Reinicialize o Domain Controller (Controlador de Domínio);
  • Durante a inicialização, pressione a tecla F8 para que o menu de inicialização avançada seja exibido;
  • Selecione a opção Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório) e tecle Enter;
  • Faça o logon com a conta local Administrator (Administrador);
  • Clique em Start (Iniciar), Programs (Programas), Acessories (Acessórios), System Tools (Ferramentas do Sistema), Backup;
  • Clique em Restore Wizard (Assistente de Restauração);
  • Clique em Next (Avançar);
  • Selecione o backup a ser restaurado e clique em Next (Avançar). Para esse exemplo, selecione a caixa System State (Estado do Sistema);
  • Clique em Advanced (Avançado);
  • Selecione o local onde o backup será restaurado. Para o nosso exemplo escolha Original Location (Local original) e clique em Next (Avançar);
  • Defina como o backup será restaurado. As opções são:
    • Do not replace the file on my disk (Não substituir o arquivo no disco).
    • Replace the file on disk only if it is older than the backup copy (Substituir o arquivo no disco somente se ele for mais antigo que a cópia do backup).
    • Always replace the file on disk (Sempre substituir o arquivo no disco). Para o nosso exemplo escolha não substituir o arquivo no disco e clique em Next (Avançar);
  • Defina as opções avançadas de restauração e clique em Next (Avançar);
  • Clique em Finish (Concluir);
  • Defina a localização do backup;
  • Clique em OK;
  • Nesse momento será feita a restauração do backup. Será exibida a tela Restore Progress (Progresso da Restauração). Após a finalização, poderemos verificar o relatório da restauração;
  • Clique em Close (Fechar);
  • Será solicitado que o computador seja reiniciado. Clique em Yes (Sim).

Exemplo prático – Fazer o restore do Active Directory Com autoridade.

Para fazer o restore do Active Directory Com autoridade, devemos primeiramente fazer o restore do Active Directory Sem autoridade. Para isso, siga os procedimentos do exemplo anterior. Após a realização do backup Sem autoridade, não devemos reinicializar o Domain Controller (Controlador de Domínio). Devemos então utilizar o comando ntdsutil para marcar os objetos do Active Directory como Authoritative. Para isso, siga os procedimentos abaixo:

  • Abra o prompt de comando;
  • Digite o comando ntdsutil e tecle Enter;
  • Digite authoritative restore e tecle Enter;
  • Para fazer o restore Com autoridade de todo o Active Directory, digite o comando restore database e tecle Enter;
  • Para fazer o restore Com autoridade de apenas uma parte do Active Directory, digite o comando restore subtree <nome LDAP da parte do AD a ser restaurada>. Por exemplo: Restore Subtree OU=teste, DC=fsantana, DC=com;
  • Após executar esse comando, o ntdsutil configurará os dados informados como Authoritative;
  • Para sair, digite o comando quit e tecle Enter (2 vezes);
  • Agora é só reinicializar o Domain Controller (Controlador de Domínio) normalmente.

Backup Active Directory (AD) 1

Figura 1 – Comando ntdsutil

Para maiores informações sobre o comando ntdsutil, visite os sites abaixo:

 

Fonte: Julio Battisti – http://juliobattisti.com.br/fabiano/artigos/backuprestoread.asp

Disponível em: pt-brPortuguês

Deixe uma resposta