Backup e restauração do Active
Directory com o Acronis Backup &
Recovery 11
White paper técnico
Aplica-se às seguintes edições:

Advanced Server

Virtual Edition

Advanced Server SBS Edition

Advanced Workstation

Server for Linux

Server for Windows

Workstation
Índice
1
Introdução .............................................................................................................................3
2
Visão geral de backup e recuperação ......................................................................................4
3
Backup do Active Directory ....................................................................................................5
4
Recuperação do Active Directory............................................................................................8
4.1 Restauração do controlador de domínio (outros controladores de domínio estão
disponíveis)...........................................................................................................................................8
4.2 Restauração do controlador de domínio (nenhum outro controlador de domínio está
disponível) ............................................................................................................................................9
5
4.3
Restauração do banco de dados do Active Directory..............................................................10
4.4
Restauração das informações excluídas acidentalmente........................................................11
Resumo ...............................................................................................................................13
1
Introdução
O Microsoft Active Directory é um componente central da plataforma do Windows e pode ser
encontrado em um ambiente de qualquer tamanho do Windows. O Active Directory contém
informações cruciais para o funcionamento das empresas.
Este white paper contém informações que permitem que os administradores de sistema
implementem suas próprias soluções de recuperação para o Active Directory, usando o software
Acronis Backup & Recovery 11.
3
Copyright © Acronis, Inc., 2000-2011
2
Visão geral de backup e recuperação
Os serviços do Microsoft AD (Active Directory) usam um banco de dados localizado no sistema de
arquivos de um controlador de domínio. Se mais de um controlador de domínio estiver disponível, as
informações armazenadas no banco de dados serão replicadas constantemente entre diversos
controladores de domínio.
Um componente do Windows, denominado VSS (Volume Shadow Copy Service), é usado para criar
uma cópia consistente do banco de dados do AD.
Os cenários de recuperação do Active Directory podem incluir a recuperação de um controlador de
domínio com falhas, a recuperação de um banco de dados corrompido do AD e a restauração de
objetos do AD acidentalmente excluídos ou modificados. As operações e as ferramentas necessárias
podem variar dependendo do tipo de informação que precisa ser restaurada e da disponibilidade de
outros controladores de domínio.
4
Copyright © Acronis, Inc., 2000-2011
3
Backup do Active Directory
No Windows (inclusive Windows 2003 e Windows 2008), o banco de dados do Active Directory
normalmente fica localizado na pasta %systemroot%\NTDS (como C:\Windows\NTDS) de um
controlador de domínio. Embora esse local seja usado por padrão, ele pode ser configurado. O
utilitário de linha de comando Ntdsutil pode ajudar você a encontrar o local atual. Observe que o
banco de dados e os logs de transação podem estar armazenados em volumes diferentes. Portanto,
certifique-se de que ambos estejam incluídos no backup.
Recomendamos que você faça o backup do volume do sistema, do volume de inicialização e dos
volumes onde estão localizados o banco de dados do AD e os logs de transação do controlador do
domínio. O backup resultante conterá todas as informações necessárias para a recuperação do
controlador de domínio a bare-metal e para a restauração do seu Active Directory.
Como os serviços do Active Directory estão quase sempre em execução, o VSS (Volume Shadow Copy
Service) deve ser usado para garantir a consistência dos arquivos no momento do backup. Sem o VSS,
os arquivos podem ficar em um suposto estado de quebra de consistência – isto é, após a
recuperação, o sistema pode ficar no mesmo estado que ficaria se a energia fosse desconectada no
início do backup.
Embora esses backups sejam suficientes para a maior parte dos aplicativos, talvez não seja possível
iniciar os bancos de dados (inclusive o banco de dados do Active Directory) que entraram no estado
de quebra de consistência. Em casos como esses, talvez seja necessária uma recuperação manual.
5
Copyright © Acronis, Inc., 2000-2011
Para evitar tais situações, verifique se a opção Use Volume Shadow Copy Service (VSS) está
selecionada nas opções de backup ao criar o backup de um controlador de domínio. Em Snapshot
provider, selecione Software - System provider. O Acronis Backup & Recovery 11 usará o provedor
Microsoft Software Shadow Copy. Dessa forma, o banco de dados do Active Directory passará por
backup e ficará em um estado consistente.
A próxima pergunta é: "Com que frequência você precisa fazer backup do controlador de domínio?"
A Microsoft recomenda a realização de, no mínimo, dois backups durante o tempo de vida para
desativação (60 ou 180 dias, dependendo da versão do sistema operacional em que seu domínio foi
criado). Posteriormente neste documento, abordaremos o tempo de vida para desativação e como
ele influencia na capacidade de recuperação. De qualquer forma, faça o backup, no mínimo, uma vez
ao mês.
Em suma, as seguintes precauções devem ser tomadas para realizar um backup completo do banco
de dados do Active Directory:


6
Verifique se foi feito o backup em pelo menos um dos seus controladores de domínio.
Verifique se o backup mais atual do controlador de domínio não é mais antigo do que a metade
do tempo de vida para desativação. Na maior parte dos casos, o tempo de vida para desativação
é de 60 dias, portanto, o backup não pode ter mais do que 30 dias. Não importa se o backup mais
Copyright © Acronis, Inc., 2000-2011
recente é total ou incremental - é possível realizar uma restauração bem-sucedida a partir dos
dois tipos.

Como a restauração bem-sucedida do Active Directory a partir de backups existentes talvez seja
impossível, crie um backup imediatamente após qualquer um dos seguintes eventos:


O banco de dados do Active Directory e/ou o log foram movidos para um local diferente.


Um hotfix que altera o banco de dados do AD foi instalado.
Um sistema operacional no controlador de domínio foi atualizado, ou um service pack foi
instalado.
O tempo de vida para desativação foi alterado de forma administrativa.

Verifique se os arquivos que constituem o banco de dados do AD (arquivos .dit, .chk, .log) não
estão na lista de exclusão.

Verifique se a opção Use Volume Shadow Copy Service (VSS) está selecionada para o backup.
7
Copyright © Acronis, Inc., 2000-2011
4
Recuperação do Active Directory
Conforme mencionado anteriormente, a recuperação do AD pode diferir de acordo com o tipo de
recuperação exigido. Além disso, em alguns casos, você não precisará nem tocar no backup do
controlador de domínio, pois todas as informações necessárias para a recuperação já estarão
disponíveis.
Para abordar os principais cenários de recuperação do AD, vamos considerar os seguintes cenários de
desastres:

Um controlador de domínio está perdido, porém os outros controladores de domínio continuam
disponíveis. Consulte “Restauração do controlador de domínio (outros controladores de domínio
estão disponíveis)” (p. 8).

Todos os controladores de domínio estão perdidos (ou há apenas um). Consulte “Restauração do
controlador de domínio (nenhum outro controlador de domínio está disponível)” (p. 9).

O banco de dados do Active Directory está corrompido e os serviços do AD não iniciam. Consulte
"Restauração do banco de dados do Active Directory" (p. 10).

Determinadas informações foram excluídas acidentalmente do Active Directory. Consulte
“Restauração das informações excluídas acidentalmente” (p. 11).
4.1
Restauração do controlador de domínio (outros
controladores de domínio estão disponíveis)
Quando um dos controladores de domínio é perdido, os serviços do AD continuam disponíveis.
Portanto, os outros controladores de domínio conterão dados mais atualizados do que os dados que
estão no backup. Por exemplo, se uma conta de usuário tiver sido criada no AD após o backup, o
backup não conterá essa conta.
Dessa forma, nós queremos realizar uma recuperação que não influencie o estado atual do Active
Directory – essa operação é denominada "restauração não autoritativa".
Sobre a replicação de dados do Active Directory
Os dados do Active Directory são replicados constantemente entre os controladores de domínio. Em
um determinado momento, o mesmo objeto do Active Directory pode ter uma versão mais recente
em um controlador de domínio e uma versão mais antiga em outro. Para evitar conflitos e perda de
informações, o Active Directory acompanha as versões do objeto em cada controlador de domínio e
substitui as versões desatualizadas pelas versões atualizadas.
Dessa forma, os objetos do AD do backup terão pouco valor – objetos mais atualizados de outros
controladores de domínio os substituirão durante a replicação.
Etapas a serem realizadas
Quando outros controladores de domínio estiverem disponíveis, você poderá realizar uma
restauração não autoritativa de um controlador de domínio perdido de uma das seguintes maneiras:


8
Recuperação de um controlador de domínio a partir de um backup.
Recriação de um controlador de domínio instalando o sistema operacional e tornando o
computador um novo controlador de domínio (por meio da ferramenta dcpromo.exe).
Copyright © Acronis, Inc., 2000-2011
Ambas as operações são seguidas pela replicação automática. A replicação atualiza o banco de dados
do controlador de domínio. Apenas verifique se os serviços do Active Directory foram iniciados com
êxito. Assim que a replicação for concluída, o controlador de domínio funcionará novamente.
Recuperação vs. recriação
A recriação não exige um backup. Normalmente, a recuperação é mais rápida que a recriação, porém
não é possível realizá-la nos seguintes casos:

Todos os backups disponíveis são mais antigos do que o tempo de vida para desativação. As
desativações são usadas durante a replicação para garantir que um objeto excluído em um
controlador de domínio também seja excluído em outros controladores de domínio. Dessa
forma, após a exclusão das desativações, não será possível realizar a replicação adequada.

O controlador de domínio manteve uma função de FSMO (Flexible Single Master Operations), e
você atribuiu essa função a um controlador de domínio diferente (executou a função). Nesse
caso, a restauração do controlador de domínio pode resultar em dois controladores de domínio
mantendo a mesma função de FSMO no domínio e causar um conflito.
Recriação de um controlador de domínio que mantém uma função de FSMO
Alguns controladores de domínio mantêm funções únicas, conhecidas como funções de FSMO
(Flexible Single Master Operations) ou funções do gerente de operações. Um controlador de domínio
pode manter diversas funções de FSMO. No entanto, dois controladores de domínio no mesmo
domínio não podem manter a mesma função de FSMO. Algumas funções de FSMO precisam ser
mantidas por um único controlador de domínio em todo o conjunto de domínios conhecido como
floresta. Para obter descrições sobre funções de FSMO e seus escopos (todo o domínio ou toda a
floresta),
consulte
o
artigo
de
Ajuda
e
Suporte
da
Microsoft,
em
http://support.microsoft.com/kb/324801.
Antes de recriar um controlador de domínio que manteve a função de Emulador PDC, você precisa
executar essa função. Caso contrário, você não poderá adicionar o controlador de domínio recriado
ao domínio. Após recriar o controlador de domínio, você poderá transferir essa função de volta. Para
obter mais informações sobre como executar e transferir funções de FSMO, consulte o artigo de
Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/255504.
Para exibir quais funções de FSMO são atribuídas a determinado controlador de domínio, você pode
estabelecer conexão com qualquer controlador de domínio ativo por meio da ferramenta
ntdsutil.exe, conforme descrito no artigo de Ajuda e Suporte da Microsoft, em
http://support.microsoft.com/kb/234790. Siga as etapas da seção "Como usar a ferramenta
NTDSUTIL" do artigo:

Para sistemas operacionais do Windows 2000 Server e Windows Server 2003, siga todas as
etapas conforme elas são apresentadas.

Para sistemas operacionais do Windows Server 2008, na etapa em que a inserção do
gerenciamento de domínio é solicitada, insira as funções. Siga as outras etapas conforme forem
apresentadas.
4.2
Restauração do controlador de domínio (nenhum
outro controlador de domínio está disponível)
Se todos os controladores de domínio estiverem perdidos (ou se houver apenas um controlador de
domínio no domínio e ele apresentar falhas), os serviços do AD ficarão inativos. Portanto, a
restauração não autoritativa, na verdade, torna-se autoritativa: os objetos restaurados do backup
9
Copyright © Acronis, Inc., 2000-2011
são os mais recentes disponíveis. A replicação dos dados do AD não pode ocorrer, pois não restaram
controladores de domínio. Isso significa que:



As alterações feitas no AD após a realização do backup serão perdidas.
A recriação do controlador de domínio não é uma opção.
Até mesmo um backup com um tempo de vida para desativação expirado pode ser usado.
Em suma, as etapas a seguir devem ser concluídas ao restaurar o último, ou o único, controlador de
domínio:
1. Verifique se o backup mais recente disponível é usado para a recuperação. Isso é muito
importante, pois todas as informações criadas após o último backup serão perdidas. Se o seu
domínio possuir apenas um controlador de domínio, uma boa alternativa é criar um backup pelo
menos uma vez ao dia.
2. Recupere o controlador de domínio a partir do backup.
3. Reinicialize o computador. Verifique se os serviços do Active Directory foram iniciados com êxito.
4.3
Restauração do banco de dados do Active Directory
Se o banco de dados do AD ficar corrompido no nível do arquivo, e não no nível lógico/de esquema
do AD, haverá diversas soluções que não envolvem a restauração de dados a partir do backup.
Se outros controladores de domínio estiverem disponíveis, esse controlador de domínio poderá ser
rebaixado e, depois, promovido novamente usando a ferramenta dcpromo.exe. Durante esse
procedimento, os dados serão replicados e o banco de dados do AD será recuperado. A
complexidade de todo o procedimento depende da capacidade de o controlador de domínio iniciar
no modo normal. Se ele iniciar no modo normal, você poderá simplesmente usar o comando
dcpromo /forceremoval para remover os serviços do AD do computador. Se não ele não iniciar no
modo normal, será necessário um procedimento mais complexo. É possível obter informações mais
detalhadas
nos
artigos
de
Ajuda
e
Suporte
da
Microsoft,
em
http://support.microsoft.com/kb/332199/ e http://support.microsoft.com/kb/258062.
Se nenhum outro controlador de domínio estiver disponível, os dados precisarão ser restaurados a
partir de um backup. Uma maneira de fazer isso é restaurar o controlador de domínio totalmente.
Esse procedimento é semelhante ao cenário descrito em “Restauração do controlador de domínio
(nenhum outro controlador de domínio está disponível)” (p. 9). Esse método garante a recuperação
completa. Ele será adequado se o controlador de domínio não tiver nenhum outro dado valioso além
do próprio Active Directory, ou se os outros dados valiosos forem fáceis de salvar (por exemplo, se
estiverem localizados em outro volume que não precisa ser restaurado).
Outra maneira é recuperar o banco de dados do AD sozinho.
O banco de dados do AD é composto pelos seguintes arquivos:
1.
2.
3.
4.
NTDS.dit (arquivo do banco de dados)
Edb.chk (arquivo do ponto de verificação)
Edb*.log (logs de transação)
Res1.log e Res2.log (logs de transação reversa)
Por padrão, esses arquivos ficam localizados na pasta %systemroot%\NTDS. No entanto, o local
pode ser configurado. Portanto, certifique-se de verificar isso. Além disso, se foram feitas alterações
ao GPO, o volume do sistema SYSVOL (%systemroot%\SYSVOL) também precisará ser restaurado.
10
Copyright © Acronis, Inc., 2000-2011
Todo o processo terá o seguinte aspecto:
1. Se nenhum outro controlador de domínio estiver disponível, certifique-se de realizar a
restauração com o backup mais recente disponível. Isso é muito importante, pois todas as
informações criadas após o último backup serão perdidas.
2. Reinicialize o controlador de domínio no Modo de Restauração dos Serviços de Diretório.
3. Crie uma cópia dos seus arquivos do banco de dados do AD.
4. Restaure os arquivos a partir do backup (use a restauração de arquivos a partir do backup no
nível do disco para que a restauração seja bem sucedida).
5. Reinicialize o computador. Verifique se os serviços do Active Directory foram iniciados com êxito.
4.4
Restauração das informações excluídas
acidentalmente
Um exemplo de informações excluídas acidentalmente inclui uma conta de usuário ou computador
excluída sem querer.
Há duas maneiras diferentes de reverter essa modificação.
Restaurando todo o banco de dados
O método mais óbvio é restaurar o banco de dados do AD a partir do backup. Como no cenário
anterior, reinicialize o controlador de domínio no modo de Restauração dos serviços de diretório e
restaure o banco de dados do AD.
Se você tiver apenas um controlador de domínio (e, dessa forma, qualquer restauração se tornar
autoritativa), saiba que você perderá todas as alterações feitas após o último backup quando estiver
usando esse método.
A disponibilidade de outros controladores de domínio permite que você realize a restauração
autoritativa apenas de determinados objetos. Os outros objetos serão replicados de outros
controladores quando você reinicializar o controlador no modo normal. Dessa maneira, você
restaurará os objetos excluídos acidentalmente e manterá os outros objetos atualizados. Após
restaurar o banco de dados do AD a partir do backup, certifique-se de concluir as seguintes etapas:
1. Sem reinicializar o computador, execute o ntdsutil e digite restauração autoritativa no prompt
de comando.
2. Digite o comando de restauração correspondente, como restaurar subárvore ou restaurar
objeto, para realizar a restauração autoritativa do objeto solicitado (para obter mais
informações, consulte a documentação a respeito de ntdsutil). Para restaurar todo o banco de
dados, use restaurar banco de dados.
3. Reinicialize o computador. Verifique se o Active Directory foi inicializado com êxito e se o objeto
restaurado ficou disponível.
Usando desativações
Outra maneira de restaurar objetos excluídos acidentalmente é usar desativações. No AD, qualquer
objeto excluído é mantido por um determinado período (denominado "tempo de vida para
desativação", conforme mencionado anteriormente). Por padrão, esse período é de, no mínimo, 60
dias. Isso significa que todos os objetos, mesmo os excluídos do AD, permanecerão no banco de
dados por, pelo menos, 60 dias antes de serem excluídos definitivamente.
11
Copyright © Acronis, Inc., 2000-2011
Com esse método, não há necessidade de backup e o AD permanece disponível durante a
recuperação - não há necessidade de reinicializar um controlador de domínio. Há diversas
ferramentas que realizam esse tipo de recuperação, sendo que algumas delas são gratuitas. Por
exemplo, uma ferramenta de linha de comando do Windows Sysinternals, denominada adrestore,
pode localizar e restaurar objetos excluídos. Outro exemplo é uma ferramenta gratuita do MVP Guy
Teverovsky, denominada ADRestore.NET. Essa ferramenta pode ser mais fácil de usar, pois possui
uma interface gráfica do usuário. Para obter mais informações, consulte a documentação fornecida
com as ferramentas apropriadas.
12
Copyright © Acronis, Inc., 2000-2011
5
Resumo
O Acronis Backup & Recovery 11 é uma solução avançada de backup e recuperação que pode
proteger, de maneira eficaz, qualquer servidor do Windows, inclusive os servidores/controladores de
domínio do Active Directory. A tecnologia de backup no nível do disco implementada no produto
permite a recuperação eficaz de muitos bancos de dados, inclusive do Microsoft Active Directory.
13
Copyright © Acronis, Inc., 2000-2011