Fazer backup e restaurar controladores de domínio do Ative Directory
Fazer backup do Ative Directory e garantir restaurações bem-sucedidas em casos de corrupção, comprometimento ou desastre é uma parte crítica da manutenção do Ative Directory.
Este artigo descreve os procedimentos adequados para fazer backup e restaurar controladores de domínio do Ative Directory com o Backup do Azure, sejam eles máquinas virtuais do Azure ou servidores locais. Ele discute um cenário em que você precisa restaurar um controlador de domínio inteiro para seu estado no momento do backup. Para ver qual cenário de restauração é apropriado para você, consulte este artigo.
Nota
Este artigo não discute a restauração de itens do Microsoft Entra ID. Para obter informações sobre como restaurar usuários do Microsoft Entra, consulte este artigo.
Melhores práticas
Certifique-se de que é feito backup de pelo menos um controlador de domínio. Se você fizer backup de mais de um controlador de domínio, certifique-se de que todos os que possuem as funções FSMO (Flexible Single Master Operation) tenham feito backup.
Faça backup do Ative Directory com freqüência. A idade de backup nunca deve ser mais antiga do que o tempo de vida da lápide (TSL) porque os objetos mais antigos que a TSL serão "tombados" e não serão mais considerados válidos.
A TSL padrão, para domínios criados no Windows Server 2003 SP2 e posterior, é de 180 dias.
Você pode verificar o TSL configurado usando o seguinte script do PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Tenha um plano claro de recuperação de desastres que inclua instruções sobre como restaurar seus controladores de domínio. Para se preparar para restaurar uma floresta do Ative Directory, leia o Guia de Recuperação de Floresta do Ative Directory.
Se você precisar restaurar um controlador de domínio e tiver um controlador de domínio funcionando restante no domínio, poderá criar um novo servidor em vez de restaurar a partir do backup. Adicione a função de servidor Serviços de Domínio Ative Directory ao novo servidor para torná-lo um controlador de domínio no domínio existente. Em seguida, os dados do Ative Directory serão replicados para o novo servidor. Para remover o controlador de domínio anterior do Ative Directory, siga as etapas neste artigo para executar a limpeza de metadados.
Nota
O Backup do Azure não inclui a restauração no nível do item para o Ative Directory. Se desejar restaurar objetos excluídos e puder acessar um controlador de domínio, use a Lixeira do Ative Directory. Se esse método não estiver disponível, você poderá usar o backup do controlador de domínio para restaurar os objetos excluídos com a ferramenta ntdsutil.exe conforme explicado aqui.
Para obter informações sobre como executar uma restauração autoritativa do SYSVOL, consulte este artigo.
Fazendo backup de controladores de domínio de VM do Azure
Se o controlador de domínio for uma VM do Azure, você poderá fazer backup do servidor usando o Backup de VM do Azure.
Leia sobre considerações operacionais para controladores de domínio virtualizados para garantir backups bem-sucedidos (e restaurações futuras) de seus controladores de domínio de VM do Azure.
Fazendo backup de controladores de domínio locais
Para fazer backup de um controlador de domínio local, você precisa fazer backup dos dados do Estado do Sistema do servidor.
- Se estiver a utilizar o MARS, siga estas instruções.
- Se estiver a utilizar o MABS (Servidor de Backup do Azure), siga estas instruções.
Nota
Não há suporte para a restauração de controladores de domínio locais (do estado do sistema ou de VMs) para a nuvem do Azure. Se você quiser a opção de failover de um ambiente do Ative Directory local para o Azure, considere usar o Azure Site Recovery.
Restaurar o Active Directory
Os dados do Ative Directory podem ser restaurados em um de dois modos: autoritativo ou não autoritativo. Em uma restauração autoritativa, os dados restaurados do Ative Directory substituirão os dados encontrados nos outros controladores de domínio na floresta.
No entanto, neste cenário, estamos reconstruindo um controlador de domínio em um domínio existente, portanto, uma restauração não autoritativa deve ser executada.
Durante a restauração, o servidor será iniciado no Modo de Restauração dos Serviços de Diretório (DSRM). Você precisará fornecer a senha de Administrador para o Modo de Restauração dos Serviços de Diretório.
Nota
Se a senha do DSRM for esquecida, você poderá redefini-la usando estas instruções.
Restaurando controladores de domínio de VM do Azure
Para restaurar um controlador de domínio de VM do Azure, consulte Restaurar VMs de controlador de domínio.
Se você estiver restaurando uma única VM de controlador de domínio ou várias VMs de controlador de domínio em um único domínio, restaure-as como qualquer outra VM. O Modo de Restauração dos Serviços de Diretório (DSRM) também está disponível, portanto, todos os cenários de recuperação do Ative Directory são viáveis.
Se você precisar restaurar uma única VM de controlador de domínio em uma configuração de vários domínios, restaure os discos e crie uma VM usando o PowerShell.
Se você estiver restaurando o último controlador de domínio restante no domínio ou restaurando vários domínios em uma floresta, recomendamos uma recuperação de floresta.
Nota
Os controladores de domínio virtualizados, a partir do Windows 2012, usam salvaguardas baseadas em virtualização. Com essas salvaguardas, o Ative Directory entende se a VM restaurada é um controlador de domínio e executa as etapas necessárias para restaurar os dados do Ative Directory.
Restaurando controladores de domínio locais
Para restaurar um controlador de domínio local, siga as instruções para restaurar o estado do sistema no Windows Server, usando as orientações para considerações especiais para a recuperação do estado do sistema em um controlador de domínio.