Backup e restaurao do Active Directory com o Acronis Backup & Recovery 11

White paper tcnico

Aplica-se s seguintes edies: Advanced Server Virtual Edition Advanced Server SBS Edition Advanced Workstation Server for Linux Server for Windows Workstation

ndice
1 2 3 4 Introduo .............................................................................................................................3 Viso geral de backup e recuperao ......................................................................................4 Backup do Active Directory ....................................................................................................5 Recuperao do Active Directory............................................................................................8 4.1 Restaurao do controlador de domnio (outros controladores de domnio esto disponveis)...........................................................................................................................................8 4.2 Restaurao do controlador de domnio (nenhum outro controlador de domnio est disponvel) ............................................................................................................................................9 4.3 4.4 5 Restaurao do banco de dados do Active Directory..............................................................10 Restaurao das informaes excludas acidentalmente........................................................11

Resumo ...............................................................................................................................13

Introduo

O Microsoft Active Directory um componente central da plataforma do Windows e pode ser encontrado em um ambiente de qualquer tamanho do Windows. O Active Directory contm informaes cruciais para o funcionamento das empresas. Este white paper contm informaes que permitem que os administradores de sistema implementem suas prprias solues de recuperao para o Active Directory, usando o software Acronis Backup & Recovery 11.

Copyright Acronis, Inc., 2000-2011

Viso geral de backup e recuperao

Os servios do Microsoft AD (Active Directory) usam um banco de dados localizado no sistema de arquivos de um controlador de domnio. Se mais de um controlador de domnio estiver disponvel, as informaes armazenadas no banco de dados sero replicadas constantemente entre diversos controladores de domnio. Um componente do Windows, denominado VSS (Volume Shadow Copy Service), usado para criar uma cpia consistente do banco de dados do AD. Os cenrios de recuperao do Active Directory podem incluir a recuperao de um controlador de domnio com falhas, a recuperao de um banco de dados corrompido do AD e a restaurao de objetos do AD acidentalmente excludos ou modificados. As operaes e as ferramentas necessrias podem variar dependendo do tipo de informao que precisa ser restaurada e da disponibilidade de outros controladores de domnio.

Copyright Acronis, Inc., 2000-2011

Backup do Active Directory

No Windows (inclusive Windows 2003 e Windows 2008), o banco de dados do Active Directory normalmente fica localizado na pasta %systemroot%\NTDS (como C:\Windows\NTDS) de um controlador de domnio. Embora esse local seja usado por padro, ele pode ser configurado. O utilitrio de linha de comando Ntdsutil pode ajudar voc a encontrar o local atual. Observe que o banco de dados e os logs de transao podem estar armazenados em volumes diferentes. Portanto, certifique-se de que ambos estejam includos no backup. Recomendamos que voc faa o backup do volume do sistema, do volume de inicializao e dos volumes onde esto localizados o banco de dados do AD e os logs de transao do controlador do domnio. O backup resultante conter todas as informaes necessrias para a recuperao do controlador de domnio a bare-metal e para a restaurao do seu Active Directory. Como os servios do Active Directory esto quase sempre em execuo, o VSS (Volume Shadow Copy Service) deve ser usado para garantir a consistncia dos arquivos no momento do backup. Sem o VSS, os arquivos podem ficar em um suposto estado de quebra de consistncia isto , aps a recuperao, o sistema pode ficar no mesmo estado que ficaria se a energia fosse desconectada no incio do backup. Embora esses backups sejam suficientes para a maior parte dos aplicativos, talvez no seja possvel iniciar os bancos de dados (inclusive o banco de dados do Active Directory) que entraram no estado de quebra de consistncia. Em casos como esses, talvez seja necessria uma recuperao manual.

Copyright Acronis, Inc., 2000-2011

Para evitar tais situaes, verifique se a opo Use Volume Shadow Copy Service (VSS) est selecionada nas opes de backup ao criar o backup de um controlador de domnio. Em Snapshot provider, selecione Software - System provider. O Acronis Backup & Recovery 11 usar o provedor Microsoft Software Shadow Copy. Dessa forma, o banco de dados do Active Directory passar por backup e ficar em um estado consistente.

A prxima pergunta : "Com que frequncia voc precisa fazer backup do controlador de domnio?" A Microsoft recomenda a realizao de, no mnimo, dois backups durante o tempo de vida para desativao (60 ou 180 dias, dependendo da verso do sistema operacional em que seu domnio foi criado). Posteriormente neste documento, abordaremos o tempo de vida para desativao e como ele influencia na capacidade de recuperao. De qualquer forma, faa o backup, no mnimo, uma vez ao ms. Em suma, as seguintes precaues devem ser tomadas para realizar um backup completo do banco de dados do Active Directory:

Verifique se foi feito o backup em pelo menos um dos seus controladores de domnio. Verifique se o backup mais atual do controlador de domnio no mais antigo do que a metade do tempo de vida para desativao. Na maior parte dos casos, o tempo de vida para desativao de 60 dias, portanto, o backup no pode ter mais do que 30 dias. No importa se o backup mais
Copyright Acronis, Inc., 2000-2011

recente total ou incremental - possvel realizar uma restaurao bem-sucedida a partir dos dois tipos.

Como a restaurao bem-sucedida do Active Directory a partir de backups existentes talvez seja impossvel, crie um backup imediatamente aps qualquer um dos seguintes eventos:

O banco de dados do Active Directory e/ou o log foram movidos para um local diferente. Um sistema operacional no controlador de domnio foi atualizado, ou um service pack foi instalado. Um hotfix que altera o banco de dados do AD foi instalado. O tempo de vida para desativao foi alterado de forma administrativa.

Verifique se os arquivos que constituem o banco de dados do AD (arquivos .dit, .chk, .log) no esto na lista de excluso. Verifique se a opo Use Volume Shadow Copy Service (VSS) est selecionada para o backup.

Copyright Acronis, Inc., 2000-2011

Recuperao do Active Directory

Conforme mencionado anteriormente, a recuperao do AD pode diferir de acordo com o tipo de recuperao exigido. Alm disso, em alguns casos, voc no precisar nem tocar no backup do controlador de domnio, pois todas as informaes necessrias para a recuperao j estaro disponveis. Para abordar os principais cenrios de recuperao do AD, vamos considerar os seguintes cenrios de desastres:

Um controlador de domnio est perdido, porm os outros controladores de domnio continuam disponveis. Consulte Restaurao do controlador de domnio (outros controladores de domnio esto disponveis) (p. 8). Todos os controladores de domnio esto perdidos (ou h apenas um). Consulte Restaurao do controlador de domnio (nenhum outro controlador de domnio est disponvel) (p. 9). O banco de dados do Active Directory est corrompido e os servios do AD no iniciam. Consulte "Restaurao do banco de dados do Active Directory" (p. 10). Determinadas informaes foram excludas acidentalmente do Active Directory. Consulte Restaurao das informaes excludas acidentalmente (p. 11).

4.1

Restaurao do controlador de domnio (outros controladores de domnio esto disponveis)

Quando um dos controladores de domnio perdido, os servios do AD continuam disponveis. Portanto, os outros controladores de domnio contero dados mais atualizados do que os dados que esto no backup. Por exemplo, se uma conta de usurio tiver sido criada no AD aps o backup, o backup no conter essa conta. Dessa forma, ns queremos realizar uma recuperao que no influencie o estado atual do Active Directory essa operao denominada "restaurao no autoritativa".

Sobre a replicao de dados do Active Directory

Os dados do Active Directory so replicados constantemente entre os controladores de domnio. Em um determinado momento, o mesmo objeto do Active Directory pode ter uma verso mais recente em um controlador de domnio e uma verso mais antiga em outro. Para evitar conflitos e perda de informaes, o Active Directory acompanha as verses do objeto em cada controlador de domnio e substitui as verses desatualizadas pelas verses atualizadas. Dessa forma, os objetos do AD do backup tero pouco valor objetos mais atualizados de outros controladores de domnio os substituiro durante a replicao.

Etapas a serem realizadas

Quando outros controladores de domnio estiverem disponveis, voc poder realizar uma restaurao no autoritativa de um controlador de domnio perdido de uma das seguintes maneiras:

Recuperao de um controlador de domnio a partir de um backup. Recriao de um controlador de domnio instalando o sistema operacional e tornando o computador um novo controlador de domnio (por meio da ferramenta dcpromo.exe).
Copyright Acronis, Inc., 2000-2011

Ambas as operaes so seguidas pela replicao automtica. A replicao atualiza o banco de dados do controlador de domnio. Apenas verifique se os servios do Active Directory foram iniciados com xito. Assim que a replicao for concluda, o controlador de domnio funcionar novamente.

Recuperao vs. recriao

A recriao no exige um backup. Normalmente, a recuperao mais rpida que a recriao, porm no possvel realiz-la nos seguintes casos:

Todos os backups disponveis so mais antigos do que o tempo de vida para desativao. As desativaes so usadas durante a replicao para garantir que um objeto excludo em um controlador de domnio tambm seja excludo em outros controladores de domnio. Dessa forma, aps a excluso das desativaes, no ser possvel realizar a replicao adequada. O controlador de domnio manteve uma funo de FSMO (Flexible Single Master Operations), e voc atribuiu essa funo a um controlador de domnio diferente (executou a funo). Nesse caso, a restaurao do controlador de domnio pode resultar em dois controladores de domnio mantendo a mesma funo de FSMO no domnio e causar um conflito.

Recriao de um controlador de domnio que mantm uma funo de FSMO

Alguns controladores de domnio mantm funes nicas, conhecidas como funes de FSMO (Flexible Single Master Operations) ou funes do gerente de operaes. Um controlador de domnio pode manter diversas funes de FSMO. No entanto, dois controladores de domnio no mesmo domnio no podem manter a mesma funo de FSMO. Algumas funes de FSMO precisam ser mantidas por um nico controlador de domnio em todo o conjunto de domnios conhecido como floresta. Para obter descries sobre funes de FSMO e seus escopos (todo o domnio ou toda a floresta), consulte o artigo de Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/324801. Antes de recriar um controlador de domnio que manteve a funo de Emulador PDC, voc precisa executar essa funo. Caso contrrio, voc no poder adicionar o controlador de domnio recriado ao domnio. Aps recriar o controlador de domnio, voc poder transferir essa funo de volta. Para obter mais informaes sobre como executar e transferir funes de FSMO, consulte o artigo de Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/255504. Para exibir quais funes de FSMO so atribudas a determinado controlador de domnio, voc pode estabelecer conexo com qualquer controlador de domnio ativo por meio da ferramenta ntdsutil.exe, conforme descrito no artigo de Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/234790. Siga as etapas da seo "Como usar a ferramenta NTDSUTIL" do artigo:

Para sistemas operacionais do Windows 2000 Server e Windows Server 2003, siga todas as etapas conforme elas so apresentadas. Para sistemas operacionais do Windows Server 2008, na etapa em que a insero do gerenciamento de domnio solicitada, insira as funes. Siga as outras etapas conforme forem apresentadas.

4.2

Restaurao do controlador de domnio (nenhum outro controlador de domnio est disponvel)

Se todos os controladores de domnio estiverem perdidos (ou se houver apenas um controlador de domnio no domnio e ele apresentar falhas), os servios do AD ficaro inativos. Portanto, a restaurao no autoritativa, na verdade, torna-se autoritativa: os objetos restaurados do backup
9 Copyright Acronis, Inc., 2000-2011

so os mais recentes disponveis. A replicao dos dados do AD no pode ocorrer, pois no restaram controladores de domnio. Isso significa que:

As alteraes feitas no AD aps a realizao do backup sero perdidas. A recriao do controlador de domnio no uma opo. At mesmo um backup com um tempo de vida para desativao expirado pode ser usado.

Em suma, as etapas a seguir devem ser concludas ao restaurar o ltimo, ou o nico, controlador de domnio: 1. Verifique se o backup mais recente disponvel usado para a recuperao. Isso muito importante, pois todas as informaes criadas aps o ltimo backup sero perdidas. Se o seu domnio possuir apenas um controlador de domnio, uma boa alternativa criar um backup pelo menos uma vez ao dia. 2. Recupere o controlador de domnio a partir do backup. 3. Reinicialize o computador. Verifique se os servios do Active Directory foram iniciados com xito.

4.3

Restaurao do banco de dados do Active Directory

Se o banco de dados do AD ficar corrompido no nvel do arquivo, e no no nvel lgico/de esquema do AD, haver diversas solues que no envolvem a restaurao de dados a partir do backup. Se outros controladores de domnio estiverem disponveis, esse controlador de domnio poder ser rebaixado e, depois, promovido novamente usando a ferramenta dcpromo.exe. Durante esse procedimento, os dados sero replicados e o banco de dados do AD ser recuperado. A complexidade de todo o procedimento depende da capacidade de o controlador de domnio iniciar no modo normal. Se ele iniciar no modo normal, voc poder simplesmente usar o comando dcpromo /forceremoval para remover os servios do AD do computador. Se no ele no iniciar no modo normal, ser necessrio um procedimento mais complexo. possvel obter informaes mais detalhadas nos artigos de Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/332199/ e http://support.microsoft.com/kb/258062. Se nenhum outro controlador de domnio estiver disponvel, os dados precisaro ser restaurados a partir de um backup. Uma maneira de fazer isso restaurar o controlador de domnio totalmente. Esse procedimento semelhante ao cenrio descrito em Restaurao do controlador de domnio (nenhum outro controlador de domnio est disponvel) (p. 9). Esse mtodo garante a recuperao completa. Ele ser adequado se o controlador de domnio no tiver nenhum outro dado valioso alm do prprio Active Directory, ou se os outros dados valiosos forem fceis de salvar (por exemplo, se estiverem localizados em outro volume que no precisa ser restaurado). Outra maneira recuperar o banco de dados do AD sozinho. O banco de dados do AD composto pelos seguintes arquivos: 1. 2. 3. 4. NTDS.dit (arquivo do banco de dados) Edb.chk (arquivo do ponto de verificao) Edb*.log (logs de transao) Res1.log e Res2.log (logs de transao reversa)

Por padro, esses arquivos ficam localizados na pasta %systemroot%\NTDS. No entanto, o local pode ser configurado. Portanto, certifique-se de verificar isso. Alm disso, se foram feitas alteraes ao GPO, o volume do sistema SYSVOL (%systemroot%\SYSVOL) tambm precisar ser restaurado.
10 Copyright Acronis, Inc., 2000-2011

Todo o processo ter o seguinte aspecto: 1. Se nenhum outro controlador de domnio estiver disponvel, certifique-se de realizar a restaurao com o backup mais recente disponvel. Isso muito importante, pois todas as informaes criadas aps o ltimo backup sero perdidas. 2. Reinicialize o controlador de domnio no Modo de Restaurao dos Servios de Diretrio. 3. Crie uma cpia dos seus arquivos do banco de dados do AD. 4. Restaure os arquivos a partir do backup (use a restaurao de arquivos a partir do backup no nvel do disco para que a restaurao seja bem sucedida). 5. Reinicialize o computador. Verifique se os servios do Active Directory foram iniciados com xito.

4.4

Restaurao das informaes excludas acidentalmente

Um exemplo de informaes excludas acidentalmente inclui uma conta de usurio ou computador excluda sem querer. H duas maneiras diferentes de reverter essa modificao.

Restaurando todo o banco de dados

O mtodo mais bvio restaurar o banco de dados do AD a partir do backup. Como no cenrio anterior, reinicialize o controlador de domnio no modo de Restaurao dos servios de diretrio e restaure o banco de dados do AD. Se voc tiver apenas um controlador de domnio (e, dessa forma, qualquer restaurao se tornar autoritativa), saiba que voc perder todas as alteraes feitas aps o ltimo backup quando estiver usando esse mtodo. A disponibilidade de outros controladores de domnio permite que voc realize a restaurao autoritativa apenas de determinados objetos. Os outros objetos sero replicados de outros controladores quando voc reinicializar o controlador no modo normal. Dessa maneira, voc restaurar os objetos excludos acidentalmente e manter os outros objetos atualizados. Aps restaurar o banco de dados do AD a partir do backup, certifique-se de concluir as seguintes etapas: 1. Sem reinicializar o computador, execute o ntdsutil e digite restaurao autoritativa no prompt de comando. 2. Digite o comando de restaurao correspondente, como restaurar subrvore ou restaurar objeto, para realizar a restaurao autoritativa do objeto solicitado (para obter mais informaes, consulte a documentao a respeito de ntdsutil). Para restaurar todo o banco de dados, use restaurar banco de dados. 3. Reinicialize o computador. Verifique se o Active Directory foi inicializado com xito e se o objeto restaurado ficou disponvel.

Usando desativaes
Outra maneira de restaurar objetos excludos acidentalmente usar desativaes. No AD, qualquer objeto excludo mantido por um determinado perodo (denominado "tempo de vida para desativao", conforme mencionado anteriormente). Por padro, esse perodo de, no mnimo, 60 dias. Isso significa que todos os objetos, mesmo os excludos do AD, permanecero no banco de dados por, pelo menos, 60 dias antes de serem excludos definitivamente.
11 Copyright Acronis, Inc., 2000-2011

Com esse mtodo, no h necessidade de backup e o AD permanece disponvel durante a recuperao - no h necessidade de reinicializar um controlador de domnio. H diversas ferramentas que realizam esse tipo de recuperao, sendo que algumas delas so gratuitas. Por exemplo, uma ferramenta de linha de comando do Windows Sysinternals, denominada adrestore, pode localizar e restaurar objetos excludos. Outro exemplo uma ferramenta gratuita do MVP Guy Teverovsky, denominada ADRestore.NET. Essa ferramenta pode ser mais fcil de usar, pois possui uma interface grfica do usurio. Para obter mais informaes, consulte a documentao fornecida com as ferramentas apropriadas.

12

Copyright Acronis, Inc., 2000-2011

Resumo

O Acronis Backup & Recovery 11 uma soluo avanada de backup e recuperao que pode proteger, de maneira eficaz, qualquer servidor do Windows, inclusive os servidores/controladores de domnio do Active Directory. A tecnologia de backup no nvel do disco implementada no produto permite a recuperao eficaz de muitos bancos de dados, inclusive do Microsoft Active Directory.

13

Copyright Acronis, Inc., 2000-2011