Backup/Restore do Active Directory no Windows 2000

Por Fabiano de Santana, MCP - MCSA 2000 Security - MCSE 2000 Security - MCSA 2003 - MCSE 2003

Quando fazemos o backup do Active Directory, o único tipo de backup suportado é o Normal. Esse tipo de backup faz uma cópia de todos os dados do servidor. Devemos fazer o backup do System State (Estado do Sistema) quando desejarmos fazer o backup do Active Directory.

Quando fazemos o backup do Active Directory, estaremos fazendo também o backup de todas as informações das quais o Active Directory depende para funcionar corretamente, como por exemplo: registro de componentes, dll's, entre outras. Essas informações são conhecidas como System State (Estado do Sistema). Seguem abaixo os tipos de informações que serão incluídas no backup do System State (Estado do Sistema):

• Informações de cluster (se o servidor participar de um cluster)

• Banco de dados Component Services Class Registration.

• Arquivos de inicialização do sistema.

• Active Directory.

• Pasta Sysvol.

• Banco de dados do Certificate Services (se este serviço estiver instalado).

• Banco de dados do DNS (se este serviço estiver instalado).

Existem dois detalhes muito importantes relacionados ao backup e restauração do System State (Estado do Sistema), os quais são:

• Com a ferramenta Backup, não podemos fazer o backup dos componentes do System State (Estado do Sistema) individualmente.

• Não podemos fazer o backup e restore dos componentes do System State (Estado do Sistema) remotamente, através da rede. Por exemplo, não podemos fazer o backup do System State (Estado do Sistema) do computador1 em uma fita de backup instalada no servidor2.

Por padrão, a base de dados do Active Directory fica localizada na pasta %systemroot%\ntds e é composta pelos seguintes arquivos:

• Ntds.dit: banco de dados do Active Directory.

• Ebb.chk: arquivo de checkpoint utilizado pelo banco de dados do AD.

• Ebb*.log: log de transações do banco de dados do Active Directory. O tamanho máximo de cada arquivo é 10 MB.

• Res1.log e Res2.log: log de transações reservado.

Exemplo prático - Fazer o backup do System State (o qual inclui do Active Directory).

• Faça logon em um Domain Controller (Controlador de Domínio) com uma conta de usuário que seja membro do grupo Administrators (Administradores) ou Backup Operators (Operadores de Cópia);

• Clique em Start (Iniciar), Programs (Programas), Acessories (Acessórios), System Tools (Ferramentas do Sistema), Backup;

• Clique em Backup Wizard (Assistente do Backup);

• Clique em Next (Avançar);

• Selecione os itens dos quais deseja fazer o backup. Para o nosso exemplo, selecione a opção Only back up the System State data (Fazer o backup somente dos dados do Estado do Sistema) e clique em Next (Avançar);

• Defina o local de armazenamento do backup e clique em Next (Avançar);

• Clique em Advanced (Avançado);

• Defina qual será o tipo do backup e clique em Next (Avançar). Para o nosso exemplo selecione o tipo de backup Normal;

• Selecione se deseja verificar os dados após o backup ou não e clique em Next (Avançar);

• Defina se deseja acrescentar esse backup a um backup existente ou substituir o backup existente por este e clique em Next (Avançar);

• Defina o rótulo do backup e clique em Next (Avançar);

• Defina se deseja realizar o backup imediatamente ou agendá-lo. Para o nosso exemplo clique em Now (Agora) e em Next (Avançar);

• Clique em Finish (Concluir);

• Agora o backup será executado. Será exibida uma tela de progresso do backup. Após a finalização, poderemos verificar o relatório do backup;

• Clique em Close (Fechar).

Com relação ao restore do Active Directory, temos 2 formas de executá-lo em um servidor que teve os dados do Active Directory corrompidos:

• Reinstalar o Windows 2000 Server nesse servidor, promovê-lo a Domain Controller (Controlador de Domínio) com o comando dcpromo e aguardar até que o mecanismo de replicação entre os Domain Controllers (Controladores de Domínio) restaurem os dados do Active Directory nesse servidor. Pode não ser uma boa opção de restore para Domain Controllers (Controladores de Domínio) interligados por links de WAN de baixa velocidade.

• Fazer o restore a partir de um backup efetuado anteriormente. Nesse caso, possuímos 2 métodos de restore:

  • Nonauthoritative (Sem autoridade): esse é o processo de restore padrão, no qual após a restauração do backup, o Domain Controller (Controlador de Domínio) passará a receber as atualizações dos outros Domain Controllers (Controladores de Domínio). Sempre que outros Domain Controllers (Controladores de Domínio) possuírem informações mais atualizadas daquelas que foram restauradas, essas informações serão replicadas para o Domain Controller (Controlador de Domínio) onde foi feito o restore.

  • Authoritative (Com autoridade): esse processo de restore é exatamente o contrário do processo acima. Aqui os dados restaurados a partir de um backup serão considerados mais atualizados do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Ou seja, quando restauramos um backup Com autoridade, estamos dizendo que as informações desse backup não serão substituídas por outros dados. Um exemplo prático: o administrador da rede excluiu um OU. Com isso, essa informação será replicada para todos os Domain Controllers (Controladores de Domínio), ou seja, essa OU será excluída em todos os Domain Controllers (Controladores de Domínio). Se restaurarmos essa OU Sem autoridade, estaremos dizendo que as informações contidas nos Domain Controllers (Controladores de Domínio) são mais atuais do que as informações restauradas. Com isso, a OU será novamente excluída. Devemos então fazer um restore Com autoridade. O restore Com autoridade altera um identificador nos dados restaurados, para que estes sejam considerados mais atuais do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Devemos utilizar o comando ntdsutil para fazermos um restore Com autoridade.

Com relação às permissões de backup e restore do System State (Estado do Sistema), temos as seguintes considerações:

• Para fazer o backup do System State (Estado do Sistema), o usuário deve pertencer ao grupo Backup Operators (Operadores de Cópia) ou ao grupo local de domínio Administrators (Administradores).

• Para fazer o restore do System State (Estado do Sistema), o usuário deve pertencer ao grupo local de domínio Administrators (Administradores).

Para maiores informações sobre o backup e restore do Active Directory, visite os sites abaixo:

• https://support.microsoft.com/kb/BR240363

• https://support.microsoft.com/kb/216243

Um detalhe importante é que para fazermos o restore do Active Directory, devemos inicializar o Domain Controller (Controlador de Domínio) no modo Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório). Nesse modo, o Active Directory não é inicializado, portanto não podemos nos logar com as contas de usuário do Active Directory. Devemos utilizar a conta local Administrator (Administrador).

Exemplo prático - Fazer o restore do Active Directory Sem autoridade.

• Reinicialize o Domain Controller (Controlador de Domínio);

• Durante a inicialização, pressione a tecla F8 para que o menu de inicialização avançada seja exibido;

• Selecione a opção Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório) e tecle Enter;

• Faça o logon com a conta local Administrator (Administrador);

• Clique em Start (Iniciar), Programs (Programas), Acessories (Acessórios), System Tools (Ferramentas do Sistema), Backup;

• Clique em Restore Wizard (Assistente de Restauração);

• Clique em Next (Avançar);

• Selecione o backup a ser restaurado e clique em Next (Avançar). Para esse exemplo, selecione a caixa System State (Estado do Sistema);

• Clique em Advanced (Avançado);

• Selecione o local onde o backup será restaurado. Para o nosso exemplo escolha Original Location (Local original) e clique em Next (Avançar);

• Defina como o backup será restaurado. As opções são:

  • Do not replace the file on my disk (Não substituir o arquivo no disco).

  • Replace the file on disk only if it is older than the backup copy (Substituir o arquivo no disco somente se ele for mais antigo que a cópia do backup).

  • Always replace the file on disk (Sempre substituir o arquivo no disco). Para o nosso exemplo escolha não substituir o arquivo no disco e clique em Next (Avançar);

• Defina as opções avançadas de restauração e clique em Next (Avançar);

• Clique em Finish (Concluir);

• Defina a localização do backup;

• Clique em OK;

• Nesse momento será feita a restauração do backup. Será exibida a tela Restore Progress (Progresso da Restauração). Após a finalização, poderemos verificar o relatório da restauração;

• Clique em Close (Fechar);

• Será solicitado que o computador seja reiniciado. Clique em Yes (Sim).

Exemplo prático - Fazer o restore do Active Directory Com autoridade.

Para fazer o restore do Active Directory Com autoridade, devemos primeiramente fazer o restore do Active Directory Sem autoridade. Para isso, siga os procedimentos do exemplo anterior. Após a realização do backup Sem autoridade, não devemos reinicializar o Domain Controller (Controlador de Domínio). Devemos então utilizar o comando ntdsutil para marcar os objetos do Active Directory como Authoritative. Para isso, siga os procedimentos abaixo:

• Abra o prompt de comando;

• Digite o comando ntdsutil e tecle Enter;

• Digite authoritative restore e tecle Enter;

• Para fazer o restore Com autoridade de todo o Active Directory, digite o comando restore database e tecle Enter;

• Para fazer o restore Com autoridade de apenas uma parte do Active Directory, digite o comando restore subtree <nome LDAP da parte do AD a ser restaurada>. Por exemplo: Restore Subtree OU=teste, DC=fsantana, DC=com;

• Após executar esse comando, o ntdsutil configurará os dados informados como Authoritative;

• Para sair, digite o comando quit e tecle Enter (2 vezes);

• Agora é só reinicializar o Domain Controller (Controlador de Domínio) normalmente.

  
  Figura 1 - Comando ntdsutil

Para maiores informações sobre o comando ntdsutil, visite os sites abaixo:

• https://support.microsoft.com/default.aspx?scid=kb;pt-br;241594.

• https://support.microsoft.com/default.aspx?scid=kb;pt-br;248132.

Conclusão

Finalizamos aqui o artigo sobre o backup e restore do Active Directory.

Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.