Howto: Como fazer backup do Active Directory

Sem dúvida esta ai um assunto que é uma salvação de muitos empregos.

Backup/Restore do Active Directory no Windows 2000/2003

Por Fabiano de Santana, MCP – MCSA 2000 Security – MCSE 2000 Security – MCSA 2003

Quando fazemos o backup do Active Directory, o único tipo de backup suportado é o Normal. Esse tipo de backup faz uma cópia de todos os dados do servidor. Devemos fazer o backup do System State (Estado do Sistema) quando desejarmos fazer o backup do Active Directory.
Quando fazemos o backup do Active Directory, estaremos fazendo também o backup de todas as informações das quais o Active Directory depende para funcionar corretamente, como por exemplo: registro de componentes, dll’s, entre outras. Essas informações são conhecidas como System State (Estado do Sistema). Seguem abaixo os tipos de informações que serão incluídas no backup do System State (Estado do Sistema):

• Informações de cluster (se o servidor participar de um cluster)

• Banco de dados Component Services Class Registration.

• Arquivos de inicialização do sistema.

• Active Directory.

• Pasta Sysvol.

• Banco de dados do Certificate Services (se este serviço estiver instalado).

• Banco de dados do DNS (se este serviço estiver instalado).

Existem dois detalhes muito importantes relacionados ao backup e restauração do System State (Estado do Sistema), os quais são:

• Com a ferramenta Backup, não podemos fazer o backup dos componentes do System State (Estado do Sistema) individualmente.

• Não podemos fazer o backup e restore dos componentes do System State (Estado do Sistema) remotamente, através da rede. Por exemplo, não podemos fazer o backup do System State (Estado do Sistema) do computador1 em uma fita de backup instalada no servidor2.

Por padrão, a base de dados do Active Directory fica localizada na pasta %systemroot%\ntds e é composta pelos seguintes arquivos:

• Ntds.dit: banco de dados do Active Directory.

• Ebb.chk: arquivo de checkpoint utilizado pelo banco de dados do AD.

• Ebb*.log: log de transações do banco de dados do Active Directory. O tamanho máximo de cada arquivo é 10 MB.

• Res1.log e Res2.log: log de transações reservado.

Exemplo prático – Fazer o backup do System State (o qual inclui do Active Directory).
• Faça logon em um Domain Controller (Controlador de Domínio) com uma conta de usuário que seja membro do grupo Administrators (Administradores) ou Backup Operators (Operadores de Cópia);

• Clique em Start (Iniciar), Programs (Programas), Acessories (Acessórios), System Tools (Ferramentas do Sistema), Backup;

• Clique em Backup Wizard (Assistente do Backup);

• Clique em Next (Avançar);

• Selecione os itens dos quais deseja fazer o backup. Para o nosso exemplo, selecione a opção Only back up the System State data (Fazer o backup somente dos dados do Estado do Sistema) e clique em Next (Avançar);

• Defina o local de armazenamento do backup e clique em Next (Avançar);

• Clique em Advanced (Avançado);

• Defina qual será o tipo do backup e clique em Next (Avançar). Para o nosso exemplo selecione o tipo de backup Normal;

• Selecione se deseja verificar os dados após o backup ou não e clique em Next (Avançar);

• Defina se deseja acrescentar esse backup a um backup existente ou substituir o backup existente por este e clique em Next (Avançar);

• Defina o rótulo do backup e clique em Next (Avançar);

• Defina se deseja realizar o backup imediatamente ou agendá-lo. Para o nosso exemplo clique em Now (Agora) e em Next (Avançar);

• Clique em Finish (Concluir);

• Agora o backup será executado. Será exibida uma tela de progresso do backup. Após a finalização, poderemos verificar o relatório do backup;

• Clique em Close (Fechar).

Com relação ao restore do Active Directory, temos 2 formas de executá-lo em um servidor que teve os dados do Active Directory corrompidos:

• Reinstalar o Windows 2000 Server nesse servidor, promovê-lo a Domain Controller (Controlador de Domínio) com o comando dcpromo e aguardar até que o mecanismo de replicação entre os Domain Controllers (Controladores de Domínio) restaurem os dados do Active Directory nesse servidor. Pode não ser uma boa opção de restore para Domain Controllers (Controladores de Domínio) interligados por links de WAN de baixa velocidade.

• Fazer o restore a partir de um backup efetuado anteriormente. Nesse caso, possuímos 2 métodos de restore:

• Nonauthoritative (Sem autoridade): esse é o processo de restore padrão, no qual após a restauração do backup, o Domain Controller (Controlador de Domínio) passará a receber as atualizações dos outros Domain Controllers (Controladores de Domínio). Sempre que outros Domain Controllers (Controladores de Domínio) possuírem informações mais atualizadas daquelas que foram restauradas, essas informações serão replicadas para o Domain Controller (Controlador de Domínio) onde foi feito o restore.

• Authoritative (Com autoridade): esse processo de restore é exatamente o contrário do processo acima. Aqui os dados restaurados a partir de um backup serão considerados mais atualizados do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Ou seja, quando restauramos um backup Com autoridade, estamos dizendo que as informações desse backup não serão substituídas por outros dados. Um exemplo prático: o administrador da rede excluiu um OU. Com isso, essa informação será replicada para todos os Domain Controllers (Controladores de Domínio), ou seja, essa OU será excluída em todos os Domain Controllers (Controladores de Domínio). Se restaurarmos essa OU Sem autoridade, estaremos dizendo que as informações contidas nos Domain Controllers (Controladores de Domínio) são mais atuais do que as informações restauradas. Com isso, a OU será novamente excluída. Devemos então fazer um restore Com autoridade. O restore Com autoridade altera um identificador nos dados restaurados, para que estes sejam considerados mais atuais do que os dados existentes em outros Domain Controllers (Controladores de Domínio). Devemos utilizar o comando ntdsutil para fazermos um restore Com autoridade.

Com relação às permissões de backup e restore do System State (Estado do Sistema), temos as seguintes considerações:

• Para fazer o backup do System State (Estado do Sistema), o usuário deve pertencer ao grupo Backup Operators (Operadores de Cópia) ou ao grupo local de domínio Administrators (Administradores).

• Para fazer o restore do System State (Estado do Sistema), o usuário deve pertencer ao grupo local de domínio Administrators (Administradores).

Para maiores informações sobre o backup e restore do Active Directory, visite os sites abaixo:

http://support.microsoft.com/kb/BR240363
http://support.microsoft.com/kb/216243

Um detalhe importante é que para fazermos o restore do Active Directory, devemos inicializar o Domain Controller (Controlador de Domínio) no modo Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório). Nesse modo, o Active Directory não é inicializado, portanto não podemos nos logar com as contas de usuário do Active Directory. Devemos utilizar a conta local Administrator (Administrador).

Exemplo prático – Fazer o restore do Active Directory Sem autoridade.

• Reinicialize o Domain Controller (Controlador de Domínio);
• Durante a inicialização, pressione a tecla F8 para que o menu de inicialização avançada seja exibido;
• Selecione a opção Directory Services Restore Mode (Modo de Restauração de Serviços de Diretório) e tecle Enter;
• Faça o logon com a conta local Administrator (Administrador);
• Clique em Start (Iniciar), Programs (Programas), Acessories (Acessórios), System Tools (Ferramentas do Sistema), Backup;
• Clique em Restore Wizard (Assistente de Restauração);
• Clique em Next (Avançar);
• Selecione o backup a ser restaurado e clique em Next (Avançar). Para esse exemplo, selecione a caixa System State (Estado do Sistema);

• Clique em Advanced (Avançado);
• Selecione o local onde o backup será restaurado. Para o nosso exemplo escolha Original Location (Local original) e clique em Next (Avançar);

• Defina como o backup será restaurado. As opções são:
Do not replace the file on my disk (Não substituir o arquivo no disco).

• Replace the file on disk only if it is older than the backup copy (Substituir o arquivo no disco somente se ele for mais antigo que a cópia do backup).

• Always replace the file on disk (Sempre substituir o arquivo no disco). Para o nosso exemplo escolha não substituir o arquivo no disco e clique em Next (Avançar);

• Defina as opções avançadas de restauração e clique em Next (Avançar);
• Clique em Finish (Concluir);
• Defina a localização do backup;
• Clique em OK;
• Nesse momento será feita a restauração do backup. Será exibida a tela Restore Progress (Progresso da Restauração). Após a finalização, poderemos verificar o relatório da restauração;
• Clique em Close (Fechar);
• Será solicitado que o computador seja reiniciado. Clique em Yes (Sim).

Exemplo prático – Fazer o restore do Active Directory Com autoridade.

Para fazer o restore do Active Directory Com autoridade, devemos primeiramente fazer o restore do Active Directory Sem autoridade. Para isso, siga os procedimentos do exemplo anterior. Após a realização do backup Sem autoridade, não devemos reinicializar o Domain Controller (Controlador de Domínio). Devemos então utilizar o comando ntdsutil para marcar os objetos do Active Directory como Authoritative. Para isso, siga os procedimentos abaixo:

• Abra o prompt de comando;
• Digite o comando ntdsutil e tecle Enter;
• Digite authoritative restore e tecle Enter;
• Para fazer o restore Com autoridade de todo o Active Directory, digite o comando restore database e tecle Enter;

• Para fazer o restore Com autoridade de apenas uma parte do Active Directory, digite o comando restore subtree <nome LDAP da parte do AD a ser restaurada>. Por exemplo: Restore Subtree OU=teste, DC=fsantana, DC=com;

• Após executar esse comando, o ntdsutil configurará os dados informados como Authoritative;

• Para sair, digite o comando quit e tecle Enter (2 vezes);
• Agora é só reinicializar o Domain Controller (Controlador de Domínio) normalmente.

Figura 1 – Comando ntdsutil

Para maiores informações sobre o comando ntdsutil, visite os sites abaixo:

http://support.microsoft.com/default.aspx?scid=kb;pt-br;241594
http://support.microsoft.com/default.aspx?scid=kb;pt-br;248132

Fonte: http://www.pcforum.com.br

15 thoughts to “Howto: Como fazer backup do Active Directory”

  1. Muito…bom…esse tutorial… vale muito saber disso…ainda mais…quando o servidor da PAU !!!! Huahuahua

  2. Oi.
    Montei um lab e segui todos os passos acima, mas não funcionou.
    O perfil do administrador ficou sem AD, os usuários não caregavam mais com antes e o dominio ficava indisponivel.
    O que aconteceu?
    Obrigado pela atenção.

  3. Solicito a colaboração de todos: Montei um servidor windows 2003 server, e agora gostaria de fazer um servidor de backup, como exite no windows NT, onde eu de qualquer BDC, posso excluir ou adcionar usuário e até mesmo redefinir senha. Se algúem puder me ajudar, ficarei muito agradecido.

  4. Fabiano, uma questão…

    Já passei por uma situação com 1 AD único, sem ter de onde replicar. Na tentativa de ´formatar a máquina´e restaurar o AD, o system state leva com ele inclusive a lista de adicionar e remover programas, ou seja, após restore foi criado uma lista dos programas instalados que na verdade nem estavam lá (o que me impede de reinstala-los ou remover o nome) como proceder neste caso ?
    Att.
    J. Ricardo

  5. Olá muito bom esse tutorial … agora me surgiu uma dúvida. Eu faço backup do system state de meu servidor de domínio através do ARCServer (software de backup). O software está instalado em uma máquina diferente do servidor de domínio, eu instalei um agente arcserver na máquina domínio e então através disso realizo meu backup. De acordo com o tutorial o bakup pela rede não funciona. Queria saber se mesmo utilizando um software de backup esse procedimento também não funcionaria????

    Obrigada

  6. Oi Alessandra, bem, com uma ferramenta de Backup ainda não testei, mas caso consiga sucesso, compartilhe conosco.

  7. Ola exelente tuto, porem tenho um problema estou trocando de servidor de 2003 para 2003, amos enterprise, porem o backup não restaura da a seguinte mgs: “o arquivo de backup contem dados irreconheciveis e não pode ser usado” vc sabe oque é, só preciso restaurar o AD, usuarios e tal…!
    Desde de ja obrigado..!

  8. Bom… estou tentando adicionar um srv na modalidade domain controller, com um DC principal em execução, porém não obtive êxito com o dcpromo e nem o modo wizard, ingresso no dominio o dc principal reconhcece a conta do dc adicional, porém não consigo copiar o AD…
    A intenção de toda a arapuca é substituir o servidor que é o principal.
    O erro é sempre o mesmo RCP unvailable erro dns lookup
    pede para visitar o site que não ajuda em nada, vi artigos sobre desabilitar o QoS sem sucesso… enfim, podem me ajudar?

  9. Pessoal tudo bem estou precisando da ajuda de vcs tenho de fazer o backup de um servidor para restaurar em outro diferente, como devo proceder, por favor me ajudem.

  10. Obrigado pelo tutorial.

    Mas e quando só tem um servidor AD, e o restore tem que ser em um server que acabará de ser configurado ?

  11. Certeza que você tinha que colocar a tradução dos termos todas as vezes que se referia a eles? Credo… assim fica muito massante ler seu tuto, que está muito bem elaborado, mas parece tutorial feito pra aulas de inglês. So long (até mais).

  12. Rapaz seguinte: tenho dois windows 2008 em minha rede, um esta sem espaço em disco. Entao quero passar todas configuração dele para o outro novo, todas as configurações de AD, pastas de usuarios. Como faço iso da maneira mais simples? EU sou cru em windows ainda.

    Valeu pela dica acima.

Leave a Reply

Your email address will not be published. Required fields are marked *