Backup/Restore do Active Directory

Quando fazemos o backup do Active Directory, o nico tipo de backup suportado o Normal. Esse tipo de backup faz uma cpia de todos os dados do servidor. Devemos fazer o backup do System State (Estado do Sistema) quando desejarmos fazer o backup do Active Directory.

Quando fazemos o backup do Active Directory, estaremos fazendo tambm o backup de todas as informaes das quais o Active Directory depende para funcionar corretamente, como por exemplo: registro de componentes, dlls, entre outras. Essas informaes so conhecidas como System State (Estado do Sistema). Seguem abaixo os tipos de informaes que sero includas no backup do System State (Estado do Sistema):

Informaes de cluster (se o servidor participar de um cluster) Banco de dados Component Services Class Registration. Arquivos de inicializao do sistema. Active Directory. Pasta Sysvol. Banco de dados do Certificate Services (se este servio estiver instalado). Banco de dados do DNS (se este servio estiver instalado).

Existem dois detalhes muito importantes relacionados ao backup e restaurao do System State (Estado do Sistema), os quais so:

Com a ferramenta Backup, no podemos fazer o backup dos componentes do System State (Estado do Sistema) individualmente. No podemos fazer o backup e restore dos componentes do System State (Estado do Sistema) remotamente, atravs da rede. Por exemplo, no podemos fazer o backup do System State (Estado do Sistema) do computador1 em uma fita de backup instalada no servidor2.

Por padro, a base de dados do Active Directory fica localizada na pasta %systemroot%\ntds e composta pelos seguintes arquivos:

Ntds.dit : banco de dados do Active Directory. Ebb.chk : arquivo de checkpoint utilizado pelo banco de dados do AD. Ebb*.log : log de transaes do banco de dados do Active Directory. O tamanho mximo de cada arquivo 10 MB. Res1.log e Res2.log : log de transaes reservado.

Exemplo prtico Fazer o backup do System State (o qual inclui do Active Directory).

Faa logon em um Domain Controller (Controlador de Domnio) com uma conta de usurio que seja membro do grupo Administrators (Administradores) ou Backup Operators (Operadores de Cpia); Clique em Start (Iniciar), Programs (Programas), Acessories (Acessrios), System Tools (Ferramentas do Sistema), Backup; Clique em Backup Wizard (Assistente do Backup); Clique em Next (Avanar); Selecione os itens dos quais deseja fazer o backup. Para o nosso exemplo, selecione a opo Only back up the System State data (Fazer o backup somente dos dados do Estado do Sistema) e clique em Next (Avanar); Defina o local de armazenamento do backup e clique em Next (Avanar); Clique em Advanced (Avanado); Defina qual ser o tipo do backup e clique em Next (Avanar). Para o nosso exemplo selecione o tipo de backup Normal; Selecione se deseja verificar os dados aps o backup ou no e clique em Next (Avanar); Defina se deseja acrescentar esse backup a um backup existente ou substituir o backup existente por este e clique em Next (Avanar); Defina o rtulo do backup e clique em Next (Avanar); Defina se deseja realizar o backup imediatamente ou agend-lo. Para o nosso exemplo clique em Now (Agora) e em Next (Avanar); Clique em Finish (Concluir); Agora o backup ser executado. Ser exibida uma tela de progresso do backup. Aps a finalizao, poderemos verificar o relatrio do backup;

Clique em Close (Fechar).

Com relao ao restore do Active Directory, temos 2 formas de execut-lo em um servidor que teve os dados do Active Directory corrompidos:

Reinstalar o Windows 2003 Server nesse servidor, promov-lo a Domain Controller (Controlador de Domnio) com o comando dcpromo e aguardar at que o mecanismo de replicao entre os Domain Controllers (Controladores de Domnio) restaurem os dados do Active Directory nesse servidor. Pode no ser uma boa opo de restore para Domain Controllers (Controladores de Domnio) interligados por links de WAN de baixa velocidade. Fazer o restore a partir de um backup efetuado anteriormente. Nesse caso, possumos 2 mtodos de restore: o Nonauthoritative (Sem autoridade) : esse o processo de restore padro, no qual aps a restaurao do backup, o Domain Controller (Controlador de Domnio) passar a receber as atualizaes dos outros Domain Controllers (Controladores de Domnio). Sempre que outros Domain Controllers (Controladores de Domnio) possurem informaes mais atualizadas daquelas que foram restauradas, essas informaes sero replicadas para o Domain Controller (Controlador de Domnio) onde foi feito o restore. o Authoritative (Com autoridade) : esse processo de restore exatamente o contrrio do processo acima. Aqui os dados restaurados a partir de um backup sero considerados mais atualizados do que os dados existentes em outros Domain Controllers (Controladores de Domnio). Ou seja, quando restauramos um backup Com autoridade, estamos dizendo que as informaes desse backup no sero substitudas por outros dados. Um exemplo prtico: o administrador da rede excluiu um OU. Com isso, essa informao ser replicada para todos os Domain Controllers (Controladores de Domnio), ou seja, essa OU ser excluda em todos os Domain Controllers (Controladores de Domnio). Se restaurarmos essa OU Sem autoridade, estaremos dizendo que as informaes contidas nos Domain Controllers (Controladores de Domnio) so mais atuais do que as informaes restauradas. Com isso, a OU ser novamente excluda. Devemos ento fazer um restore Com autoridade. O restore Com autoridade altera um identificador nos dados restaurados, para que estes sejam considerados mais atuais do que os dados existentes em outros Domain Controllers (Controladores de Domnio). Devemos utilizar o comando ntdsutil para fazermos um restore Com autoridade

Com relao s permisses de backup e restore do System State (Estado do Sistema), temos as seguintes consideraes:

Para fazer o backup do System State (Estado do Sistema), o usurio deve pertencer ao grupo Backup Operators (Operadores de Cpia) ou ao grupo local de domnio Administrators (Administradores). Para fazer o restore do System State (Estado do Sistema), o usurio deve pertencer ao grupo local de domnio Administrators (Administradores).

Um detalhe importante que para fazermos o restore do Active Directory, devemos inicializar o Domain Controller (Controlador de Domnio) no modo Directory Services Restore Mode (Modo de Restaurao de Servios de Diretrio). Nesse modo, o Active Directory no inicializado, portanto no podemos nos logar com as contas de usurio do Active Directory. Devemos utilizar a conta local Administrator (Administrador).

Exemplo prtico Fazer o restore do Active Directory Sem autoridade.

Reinicialize o Domain Controller (Controlador de Domnio); Durante a inicializao, pressione a tecla F8 para que o menu de inicializao avanada seja exibido; Selecione a opo Directory Services Restore Mode (Modo de Restaurao de Servios de Diretrio) e tecle Enter; Faa o logon com a conta local Administrator (Administrador); Clique em Start (Iniciar), Programs (Programas), Acessories (Acessrios), System Tools (Ferramentas do Sistema), Backup; Clique em Restore Wizard (Assistente de Restaurao); Clique em Next (Avanar); Selecione o backup a ser restaurado e clique em Next (Avanar). Para esse exemplo, selecione a caixa System State (Estado do Sistema); Clique em Advanced (Avanado); Selecione o local onde o backup ser restaurado. Para o nosso exemplo escolha Original Location (Local original) e clique em Next (Avanar); Defina como o backup ser restaurado. As opes so: o Do not replace the file on my disk (No substituir o arquivo no disco).

Replace the file on disk only if it is older than the backup copy (Substituir o arquivo no disco somente se ele for mais antigo que a cpia do backup).

Always replace the file on disk (Sempre substituir o arquivo no disco). Para o nosso exemplo escolha no substituir o arquivo no disco e clique em Next (Avanar);

Defina as opes avanadas de restaurao e clique em Next (Avanar); Clique em Finish (Concluir); Defina a localizao do backup; Clique em OK; Nesse momento ser feita a restaurao do backup. Ser exibida a tela Restore Progress (Progresso da Restaurao). Aps a finalizao, poderemos verificar o relatrio da restaurao; Clique em Close (Fechar); Ser solicitado que o computador seja reiniciado. Clique em Yes (Sim).

Exemplo prtico Fazer o restore do Active Directory Com autoridade.

Para fazer o restore do Active Directory Com autoridade, devemos primeiramente fazer o restore do Active Directory Sem autoridade. Para isso, siga os procedimentos do exemplo anterior. Aps a realizao do backup Sem autoridade, no devemos reinicializar o Domain Controller (Controlador de Domnio). Devemos ento utilizar o comando ntdsutil para marcar os objetos do Active Directory como Authoritative. Para isso, siga os procedimentos abaixo:

Abra o prompt de comando; Digite o comando ntdsutil e tecle Enter; Digite authoritative restore e tecle Enter; Para fazer o restore Com autoridade de todo o Active Directory, digite o comando restore database e tecle Enter; Para fazer o restore Com autoridade de apenas uma parte do Active Directory, digite o comando restore subtree <nome LDAP da parte do AD a ser restaurada>. Por exemplo: Restore Subtree OU=teste, DC=fsantana, DC=com; Aps executar esse comando, o ntdsutil configurar os dados informados como Authoritative; Para sair, digite o comando quit e tecle Enter (2 vezes); Agora s reinicializar o Domain Controller (Controlador de Domnio) normalmente.

Figura 1 Comando ntdsutil

Para maiores informaes sobre o comando ntdsutil, visite os sites abaixo: