Manter controladores de domínio dos Serviços de Domínio Ative Directory

  • 8 minutos

Há aspetos operacionais aplicáveis a cada ambiente dos Serviços de Domínio Ative Directory (AD DS) que se concentram na manutenção da continuidade de negócios dos serviços de autenticação. Isso inclui backup e recuperação de controladores de domínio e os objetos do AD DS que eles hospedam.

Manter a disponibilidade do controlador de domínio do AD DS

Os controladores de domínio usam um processo de replicação de vários mestres para copiar dados de um controlador de domínio para outro. Como prática recomendada, um domínio do AD DS deve ter pelo menos dois controladores de domínio por site do AD DS. Isso torna o banco de dados do AD DS mais disponível e distribui a carga de autenticação durante os horários de pico de entrada.

Importante

Para a maioria das empresas, considere dois controladores de domínio por região geográfica como o mínimo absoluto para ajudar a garantir alta disponibilidade e desempenho.

Planejar o backup e a restauração do AD DS

Manter a confiabilidade dos dados do Ative Directory é importante. Realizar backups regulares pode desempenhar um papel nesse processo, mas saber como restaurar ou recuperar dados após uma falha é vital.

Restaurando objetos excluídos do AD DS usando a Lixeira

Como a restauração de objetos excluídos do AD DS usando métodos de backup tradicionais envolve tempo de inatividade temporário do sistema operativo, o Windows Server oferece a funcionalidade Lixeira do Active Directory, que fornece um método simples para restaurar objetos excluídos sem tempo de inatividade do AD DS. Depois de ativar a Lixeira do Active Directory, o contêiner Objetos Eliminados é exibido na Central Administrativa do Active Directory. Os objetos excluídos persistem nesse contêiner até que o tempo de vida do objeto excluído expire. Para novas implantações do AD DS, esse tempo de vida é definido como 180 dias, mas você tem a opção de alterá-lo. Você pode optar por restaurar os objetos para seu local original ou para um local alternativo no AD DS.

Para recuperar itens excluídos da Lixeira do Ative Directory usando o Centro Administrativo do Ative Directory:

  1. Abra o Centro Administrativo do Ative Directory.
  2. Navegue até o contêiner Objetos Excluídos no nó do domínio.
  3. Localize e selecione o(s) objeto(s) excluído(s) que deseja recuperar.
  4. Clique com o botão direito do mouse na seleção e escolha Restaurar para recuperar os itens para o local original ou escolha Restaurar para se quiser especificar um local diferente.

Importante

Não é possível usar a Lixeira do Ative Directory para reverter alterações em objetos existentes. Nesses casos, você deve usar os métodos tradicionais de backup e restauração do AD DS.

Backup e restauração do AD DS

Para restaurar o AD DS, um backup deve incluir explicitamente dados de estado do sistema. O estado do sistema é uma coleção de arquivos críticos do sistema operacional e da função de servidor que incluem o banco de dados do AD DS e o Registro.

Importante

Um backup de servidor completo usado para recuperação completa do servidor não oferece suporte a esse cenário.

Para executar uma restauração do AD DS, você deve ter acesso total aos arquivos no controlador de domínio. Isso requer reiniciar o controlador de domínio no DSRM. Se você estiver reiniciando um controlador de domínio localmente, abra as opções avançadas de inicialização e escolha o DSRM no menu.

Ao iniciar um controlador de domínio no DSRM, você entrará como Administrador com a senha do DSRM. Em seguida, você pode usar o Backup do Windows Server para restaurar o banco de dados de diretório. Depois de concluir o processo de restauração, você deve reiniciar o servidor que está recuperando. O controlador de domínio garante que seu banco de dados seja consistente com o restante do domínio, extraindo de seus parceiros de replicação as alterações no diretório que ocorreram desde a data do backup.

Restauração não autoritativa

Por padrão, você restaura um backup do AD DS a partir de uma data válida. Essencialmente, você reverte o controlador de domínio no tempo. Quando o AD DS é reiniciado no controlador de domínio, o controlador de domínio entra em contato com seus parceiros de replicação e solicita todas as atualizações subsequentes. Em outras palavras, o controlador de domínio alcança o restante do domínio usando mecanismos de replicação padrão.

Esse tipo de restauração é útil quando o diretório em um controlador de domínio foi danificado ou corrompido, mas o problema não se espalhou para outros controladores de domínio. No entanto, em alguns cenários, esta abordagem não é adequada. Por exemplo, isso não permitirá que você recupere um objeto excluído após o backup, se essa exclusão tiver sido replicada para outros controladores de domínio. Se você restaurar uma versão em boas condições do AD DS e reiniciar o controlador de domínio, a exclusão que aconteceu depois que o backup ocorreu simplesmente será replicada de volta para o controlador de domínio.

Restauração autoritativa

Uma restauração autoritativa permite restaurar uma boa cópia conhecida de objetos do AD DS, substituindo a versão atual desses objetos na base de dados do AD DS. Em uma restauração autoritativa, você começa com a mesma sequência de etapas que a restauração não autoritativa. No entanto, antes de reiniciar o controlador de domínio, marque os objetos restaurados que deseja persistir como autoritativos, para que eles sejam replicados do controlador de domínio restaurado para os seus parceiros de replicação.