Compartilhar via

Fazer backup e restaurar Active Directory controladores de domínio

  • Artigo

Fazer backup de Active Directory e garantir restaurações bem-sucedidas em casos de corrupção, comprometimento ou desastre é uma parte crítica da manutenção Active Directory.

Este artigo descreve os procedimentos adequados para fazer backup e restaurar Active Directory controladores de domínio com o backup do Azure, sejam eles máquinas virtuais do Azure ou servidores locais. Ele aborda um cenário em que você precisa restaurar um controlador de domínio inteiro para seu estado no momento do backup. Para ver qual cenário de restauração é apropriado para você, consulte este artigo.

Observação

Este artigo não aborda a restauração de itens de Microsoft Entra ID. Para obter informações sobre como restaurar Microsoft Entra usuários, consulte Este artigo.

Práticas recomendadas

  • Certifique-se de que é feito o backup de pelo menos um controlador de domínio. Se você fizer backup de mais de um controlador de domínio, certifique-se de que todos os que contêm as funções FSMO (operação de mestre único flexível) sejam submetidos a backup.

  • Fazer backup Active Directory frequentemente. A idade do backup nunca deve ser mais antiga que a de TSL (tempo de vida da marca de exclusão) porque os objetos anteriores ao TSL serão "marcados para exclusão" e não são mais considerados válidos.

    • O TSL padrão, para domínios criado no Windows Server 2003 SP2 e posteriores, é de 180 dias.

    • Você pode verificar o TSL configurado usando o seguinte script do PowerShell:

      (Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime

  • Tenha um plano de recuperação de desastres claro que inclua instruções sobre como restaurar seus controladores de domínio. Para preparar a restauração de uma floresta Active Directory, leia o Guia de recuperação de floresta Active Directory.

  • Se você precisar restaurar um controlador de domínio e tiver um controlador de domínio em funcionamento restante no domínio, poderá criar um novo servidor em vez de restaurar a partir do backup. Adicione a função de servidor Active Directory Domain Services ao novo servidor para torná-lo um controlador de domínio no domínio existente. Em seguida, os dados de Active Directory serão replicados para o novo servidor. Para remover o controlador de domínio anterior do Active Directory, siga as etapas neste artigo para executar a limpeza de metadados.

Observação

O backup do Azure não inclui a restauração no nível do item para Active Directory. Se você deseja restaurar objetos excluídos e pode acessar um controlador de domínio, use o Active Directory Lixeira. Se esse método não estiver disponível, você poderá usar o backup do controlador de domínio para restaurar os objetos excluídos com a ferramenta ntdsutil.exe, conforme explicado aqui.

Para obter informações sobre como executar uma restauração autoritativa do SYSVOL, consulte Este artigo.

Fazendo backup de controladores de domínio da VM do Azure

Se o controlador de domínio for uma VM do Azure, você poderá fazer backup do servidor usando o backup de VM do Azure.

Leia sobre as Considerações operacionais para controladores de domínio virtualizados para garantir backups bem-sucedidos (e restaurações futuras) de seus controladores de domínio de VM do Azure.

Fazendo backup de controladores de domínio locais

Para fazer backup de um controlador de domínio local, você precisa fazer backup dos dados de estado do sistema do servidor.

Observação

Não há suporte para a restauração de controladores de domínio locais (a partir do estado do sistema ou de VMs) para a nuvem do Azure. Se você quiser a opção de failover de um ambiente de Active Directory local para o Azure, considere o uso de Azure site Recovery.

Restaurando o Active Directory

Active Directory dados podem ser restaurados em um dos dois modos: autoritativo ou não autoritativo. Em uma restauração autoritativa, os dados restaurados Active Directory substituirão os dados encontrados nos outros controladores de domínio na floresta.

No entanto, neste cenário, Estamos recriando um controlador de domínio em um domínio existente, portanto, uma restauração não autoritativa deve ser executada.

Durante a restauração, o servidor será iniciado no Modo de Restauração dos Serviços de Diretório (DSRM). Você precisará fornecer a senha de administrador para Modo de Restauração dos Serviços de Diretório.

Observação

Se a senha do DSRM for esquecida, você poderá redefini-la usando estas instruções.

Restaurar o backup de controladores de domínio da VM do Azure

Para restaurar um controlador de domínio de VM do Azure, consulte restaurar VMs do controlador de domínio.

Se você estiver restaurando uma única VM do controlador de domínio ou várias VMs do controlador de domínio em um único domínio, restaure-as como qualquer outra VM. O DSRM (Modo de Restauração dos Serviços de Diretório) também está disponível, portanto, todos os cenários de recuperação do Active Directory são viáveis.

Se você precisar restaurar uma única VM do controlador de domínio em uma configuração de vários domínios, restaure os discos e crie uma VM usando o PowerShell.

Se você estiver restaurando o último controlador de domínio restante no domínio ou restaurando vários domínios em uma floresta, recomendamos uma recuperação de floresta.

Observação

Controladores de domínio virtualizados, do Windows 2012 em diante, usam proteções baseadas em virtualização. Com essas proteções, o Active Directory sabe se a VM restaurada é um controlador de domínio e executa as etapas necessárias para restaurar os dados de Active Directory.

Fazendo restauração de controladores de domínio locais

Para restaurar um controlador de domínio local, siga as instruções em para restaurar o estado do sistema para o Windows Server, usando as diretrizes para considerações especiais sobre a recuperação do estado do sistema em um controlador de domínio.

Próximas etapas