Está en la página 1de 13

Backup e restaurao do Active

Directory com o Acronis Backup &


Recovery 11

White paper tcnico

Aplica-se s seguintes edies:
Advanced Server
Virtual Edition
Advanced Server SBS Edition
Advanced Workstation
Server for Linux
Server for Windows
Workstation


ndice
1 Introduo .............................................................................................................................3
2 Viso geral de backup e recuperao ......................................................................................4
3 Backup do Active Directory ....................................................................................................5
4 Recuperao do Active Directory ............................................................................................8
4.1 Restaurao do controlador de domnio (outros controladores de domnio esto
disponveis) ........................................................................................................................................... 8
4.2 Restaurao do controlador de domnio (nenhum outro controlador de domnio est
disponvel) ............................................................................................................................................ 9
4.3 Restaurao do banco de dados do Active Directory ..............................................................10
4.4 Restaurao das informaes excludas acidentalmente ........................................................11
5 Resumo ............................................................................................................................... 13

3 Copyright Acronis, Inc., 2000-2011

1 Introduo
O Microsoft Active Directory um componente central da plataforma do Windows e pode ser
encontrado em um ambiente de qualquer tamanho do Windows. O Active Directory contm
informaes cruciais para o funcionamento das empresas.
Este white paper contm informaes que permitem que os administradores de sistema
implementem suas prprias solues de recuperao para o Active Directory, usando o software
Acronis Backup & Recovery 11.

4 Copyright Acronis, Inc., 2000-2011

2 Viso geral de backup e recuperao
Os servios do Microsoft AD (Active Directory) usam um banco de dados localizado no sistema de
arquivos de um controlador de domnio. Se mais de um controlador de domnio estiver disponvel, as
informaes armazenadas no banco de dados sero replicadas constantemente entre diversos
controladores de domnio.
Um componente do Windows, denominado VSS (Volume Shadow Copy Service), usado para criar
uma cpia consistente do banco de dados do AD.
Os cenrios de recuperao do Active Directory podem incluir a recuperao de um controlador de
domnio com falhas, a recuperao de um banco de dados corrompido do AD e a restaurao de
objetos do AD acidentalmente excludos ou modificados. As operaes e as ferramentas necessrias
podem variar dependendo do tipo de informao que precisa ser restaurada e da disponibilidade de
outros controladores de domnio.

5 Copyright Acronis, Inc., 2000-2011

3 Backup do Active Directory
No Windows (inclusive Windows 2003 e Windows 2008), o banco de dados do Active Directory
normalmente fica localizado na pasta %systemroot%\NTDS (como C:\Windows\NTDS) de um
controlador de domnio. Embora esse local seja usado por padro, ele pode ser configurado. O
utilitrio de linha de comando Ntdsutil pode ajudar voc a encontrar o local atual. Observe que o
banco de dados e os logs de transao podem estar armazenados em volumes diferentes. Portanto,
certifique-se de que ambos estejam includos no backup.
Recomendamos que voc faa o backup do volume do sistema, do volume de inicializao e dos
volumes onde esto localizados o banco de dados do AD e os logs de transao do controlador do
domnio. O backup resultante conter todas as informaes necessrias para a recuperao do
controlador de domnio a bare-metal e para a restaurao do seu Active Directory.
Como os servios do Active Directory esto quase sempre em execuo, o VSS (Volume Shadow Copy
Service) deve ser usado para garantir a consistncia dos arquivos no momento do backup. Sem o VSS,
os arquivos podem ficar em um suposto estado de quebra de consistncia isto , aps a
recuperao, o sistema pode ficar no mesmo estado que ficaria se a energia fosse desconectada no
incio do backup.
Embora esses backups sejam suficientes para a maior parte dos aplicativos, talvez no seja possvel
iniciar os bancos de dados (inclusive o banco de dados do Active Directory) que entraram no estado
de quebra de consistncia. Em casos como esses, talvez seja necessria uma recuperao manual.
6 Copyright Acronis, Inc., 2000-2011

Para evitar tais situaes, verifique se a opo Use Volume Shadow Copy Service (VSS) est
selecionada nas opes de backup ao criar o backup de um controlador de domnio. Em Snapshot
provider, selecione Software - System provider. O Acronis Backup & Recovery 11 usar o provedor
Microsoft Software Shadow Copy. Dessa forma, o banco de dados do Active Directory passar por
backup e ficar em um estado consistente.

A prxima pergunta : "Com que frequncia voc precisa fazer backup do controlador de domnio?"
A Microsoft recomenda a realizao de, no mnimo, dois backups durante o tempo de vida para
desativao (60 ou 180 dias, dependendo da verso do sistema operacional em que seu domnio foi
criado). Posteriormente neste documento, abordaremos o tempo de vida para desativao e como
ele influencia na capacidade de recuperao. De qualquer forma, faa o backup, no mnimo, uma vez
ao ms.
Em suma, as seguintes precaues devem ser tomadas para realizar um backup completo do banco
de dados do Active Directory:
Verifique se foi feito o backup em pelo menos um dos seus controladores de domnio.
Verifique se o backup mais atual do controlador de domnio no mais antigo do que a metade
do tempo de vida para desativao. Na maior parte dos casos, o tempo de vida para desativao
de 60 dias, portanto, o backup no pode ter mais do que 30 dias. No importa se o backup mais
7 Copyright Acronis, Inc., 2000-2011

recente total ou incremental - possvel realizar uma restaurao bem-sucedida a partir dos
dois tipos.
Como a restaurao bem-sucedida do Active Directory a partir de backups existentes talvez seja
impossvel, crie um backup imediatamente aps qualquer um dos seguintes eventos:
O banco de dados do Active Directory e/ou o log foram movidos para um local diferente.
Um sistema operacional no controlador de domnio foi atualizado, ou um service pack foi
instalado.
Um hotfix que altera o banco de dados do AD foi instalado.
O tempo de vida para desativao foi alterado de forma administrativa.
Verifique se os arquivos que constituem o banco de dados do AD (arquivos .dit, .chk, .log) no
esto na lista de excluso.
Verifique se a opo Use Volume Shadow Copy Service (VSS) est selecionada para o backup.
8 Copyright Acronis, Inc., 2000-2011

4 Recuperao do Active Directory
Conforme mencionado anteriormente, a recuperao do AD pode diferir de acordo com o tipo de
recuperao exigido. Alm disso, em alguns casos, voc no precisar nem tocar no backup do
controlador de domnio, pois todas as informaes necessrias para a recuperao j estaro
disponveis.
Para abordar os principais cenrios de recuperao do AD, vamos considerar os seguintes cenrios de
desastres:
Um controlador de domnio est perdido, porm os outros controladores de domnio continuam
disponveis. Consulte Restaurao do controlador de domnio (outros controladores de domnio
esto disponveis) (p. 8).
Todos os controladores de domnio esto perdidos (ou h apenas um). Consulte Restaurao do
controlador de domnio (nenhum outro controlador de domnio est disponvel) (p. 9).
O banco de dados do Active Directory est corrompido e os servios do AD no iniciam. Consulte
"Restaurao do banco de dados do Active Directory" (p. 10).
Determinadas informaes foram excludas acidentalmente do Active Directory. Consulte
Restaurao das informaes excludas acidentalmente (p. 11).
4.1 Restaurao do controlador de domnio (outros
controladores de domnio esto disponveis)
Quando um dos controladores de domnio perdido, os servios do AD continuam disponveis.
Portanto, os outros controladores de domnio contero dados mais atualizados do que os dados que
esto no backup. Por exemplo, se uma conta de usurio tiver sido criada no AD aps o backup, o
backup no conter essa conta.
Dessa forma, ns queremos realizar uma recuperao que no influencie o estado atual do Active
Directory essa operao denominada "restaurao no autoritativa".
Sobre a replicao de dados do Active Directory
Os dados do Active Directory so replicados constantemente entre os controladores de domnio. Em
um determinado momento, o mesmo objeto do Active Directory pode ter uma verso mais recente
em um controlador de domnio e uma verso mais antiga em outro. Para evitar conflitos e perda de
informaes, o Active Directory acompanha as verses do objeto em cada controlador de domnio e
substitui as verses desatualizadas pelas verses atualizadas.
Dessa forma, os objetos do AD do backup tero pouco valor objetos mais atualizados de outros
controladores de domnio os substituiro durante a replicao.
Etapas a serem realizadas
Quando outros controladores de domnio estiverem disponveis, voc poder realizar uma
restaurao no autoritativa de um controlador de domnio perdido de uma das seguintes maneiras:
Recuperao de um controlador de domnio a partir de um backup.
Recriao de um controlador de domnio instalando o sistema operacional e tornando o
computador um novo controlador de domnio (por meio da ferramenta dcpromo.exe).
9 Copyright Acronis, Inc., 2000-2011

Ambas as operaes so seguidas pela replicao automtica. A replicao atualiza o banco de dados
do controlador de domnio. Apenas verifique se os servios do Active Directory foram iniciados com
xito. Assim que a replicao for concluda, o controlador de domnio funcionar novamente.
Recuperao vs. recriao
A recriao no exige um backup. Normalmente, a recuperao mais rpida que a recriao, porm
no possvel realiz-la nos seguintes casos:
Todos os backups disponveis so mais antigos do que o tempo de vida para desativao. As
desativaes so usadas durante a replicao para garantir que um objeto excludo em um
controlador de domnio tambm seja excludo em outros controladores de domnio. Dessa
forma, aps a excluso das desativaes, no ser possvel realizar a replicao adequada.
O controlador de domnio manteve uma funo de FSMO (Flexible Single Master Operations), e
voc atribuiu essa funo a um controlador de domnio diferente (executou a funo). Nesse
caso, a restaurao do controlador de domnio pode resultar em dois controladores de domnio
mantendo a mesma funo de FSMO no domnio e causar um conflito.
Recriao de um controlador de domnio que mantm uma funo de FSMO
Alguns controladores de domnio mantm funes nicas, conhecidas como funes de FSMO
(Flexible Single Master Operations) ou funes do gerente de operaes. Um controlador de domnio
pode manter diversas funes de FSMO. No entanto, dois controladores de domnio no mesmo
domnio no podem manter a mesma funo de FSMO. Algumas funes de FSMO precisam ser
mantidas por um nico controlador de domnio em todo o conjunto de domnios conhecido como
floresta. Para obter descries sobre funes de FSMO e seus escopos (todo o domnio ou toda a
floresta), consulte o artigo de Ajuda e Suporte da Microsoft, em
http://support.microsoft.com/kb/324801.
Antes de recriar um controlador de domnio que manteve a funo de Emulador PDC, voc precisa
executar essa funo. Caso contrrio, voc no poder adicionar o controlador de domnio recriado
ao domnio. Aps recriar o controlador de domnio, voc poder transferir essa funo de volta. Para
obter mais informaes sobre como executar e transferir funes de FSMO, consulte o artigo de
Ajuda e Suporte da Microsoft, em http://support.microsoft.com/kb/255504.
Para exibir quais funes de FSMO so atribudas a determinado controlador de domnio, voc pode
estabelecer conexo com qualquer controlador de domnio ativo por meio da ferramenta
ntdsutil.exe, conforme descrito no artigo de Ajuda e Suporte da Microsoft, em
http://support.microsoft.com/kb/234790. Siga as etapas da seo "Como usar a ferramenta
NTDSUTIL" do artigo:
Para sistemas operacionais do Windows 2000 Server e Windows Server 2003, siga todas as
etapas conforme elas so apresentadas.
Para sistemas operacionais do Windows Server 2008, na etapa em que a insero do
gerenciamento de domnio solicitada, insira as funes. Siga as outras etapas conforme forem
apresentadas.
4.2 Restaurao do controlador de domnio (nenhum
outro controlador de domnio est disponvel)
Se todos os controladores de domnio estiverem perdidos (ou se houver apenas um controlador de
domnio no domnio e ele apresentar falhas), os servios do AD ficaro inativos. Portanto, a
restaurao no autoritativa, na verdade, torna-se autoritativa: os objetos restaurados do backup
10 Copyright Acronis, Inc., 2000-2011

so os mais recentes disponveis. A replicao dos dados do AD no pode ocorrer, pois no restaram
controladores de domnio. Isso significa que:
As alteraes feitas no AD aps a realizao do backup sero perdidas.
A recriao do controlador de domnio no uma opo.
At mesmo um backup com um tempo de vida para desativao expirado pode ser usado.
Em suma, as etapas a seguir devem ser concludas ao restaurar o ltimo, ou o nico, controlador de
domnio:
1. Verifique se o backup mais recente disponvel usado para a recuperao. Isso muito
importante, pois todas as informaes criadas aps o ltimo backup sero perdidas. Se o seu
domnio possuir apenas um controlador de domnio, uma boa alternativa criar um backup pelo
menos uma vez ao dia.
2. Recupere o controlador de domnio a partir do backup.
3. Reinicialize o computador. Verifique se os servios do Active Directory foram iniciados com xito.
4.3 Restaurao do banco de dados do Active Directory
Se o banco de dados do AD ficar corrompido no nvel do arquivo, e no no nvel lgico/de esquema
do AD, haver diversas solues que no envolvem a restaurao de dados a partir do backup.
Se outros controladores de domnio estiverem disponveis, esse controlador de domnio poder ser
rebaixado e, depois, promovido novamente usando a ferramenta dcpromo.exe. Durante esse
procedimento, os dados sero replicados e o banco de dados do AD ser recuperado. A
complexidade de todo o procedimento depende da capacidade de o controlador de domnio iniciar
no modo normal. Se ele iniciar no modo normal, voc poder simplesmente usar o comando
dcpromo /forceremoval para remover os servios do AD do computador. Se no ele no iniciar no
modo normal, ser necessrio um procedimento mais complexo. possvel obter informaes mais
detalhadas nos artigos de Ajuda e Suporte da Microsoft, em
http://support.microsoft.com/kb/332199/ e http://support.microsoft.com/kb/258062.
Se nenhum outro controlador de domnio estiver disponvel, os dados precisaro ser restaurados a
partir de um backup. Uma maneira de fazer isso restaurar o controlador de domnio totalmente.
Esse procedimento semelhante ao cenrio descrito em Restaurao do controlador de domnio
(nenhum outro controlador de domnio est disponvel) (p. 9). Esse mtodo garante a recuperao
completa. Ele ser adequado se o controlador de domnio no tiver nenhum outro dado valioso alm
do prprio Active Directory, ou se os outros dados valiosos forem fceis de salvar (por exemplo, se
estiverem localizados em outro volume que no precisa ser restaurado).
Outra maneira recuperar o banco de dados do AD sozinho.
O banco de dados do AD composto pelos seguintes arquivos:
1. NTDS.dit (arquivo do banco de dados)
2. Edb.chk (arquivo do ponto de verificao)
3. Edb*.log (logs de transao)
4. Res1.log e Res2.log (logs de transao reversa)
Por padro, esses arquivos ficam localizados na pasta %systemroot%\NTDS. No entanto, o local
pode ser configurado. Portanto, certifique-se de verificar isso. Alm disso, se foram feitas alteraes
ao GPO, o volume do sistema SYSVOL (%systemroot%\SYSVOL) tambm precisar ser restaurado.
11 Copyright Acronis, Inc., 2000-2011

Todo o processo ter o seguinte aspecto:
1. Se nenhum outro controlador de domnio estiver disponvel, certifique-se de realizar a
restaurao com o backup mais recente disponvel. Isso muito importante, pois todas as
informaes criadas aps o ltimo backup sero perdidas.
2. Reinicialize o controlador de domnio no Modo de Restaurao dos Servios de Diretrio.
3. Crie uma cpia dos seus arquivos do banco de dados do AD.
4. Restaure os arquivos a partir do backup (use a restaurao de arquivos a partir do backup no
nvel do disco para que a restaurao seja bem sucedida).
5. Reinicialize o computador. Verifique se os servios do Active Directory foram iniciados com xito.
4.4 Restaurao das informaes excludas
acidentalmente
Um exemplo de informaes excludas acidentalmente inclui uma conta de usurio ou computador
excluda sem querer.
H duas maneiras diferentes de reverter essa modificao.
Restaurando todo o banco de dados
O mtodo mais bvio restaurar o banco de dados do AD a partir do backup. Como no cenrio
anterior, reinicialize o controlador de domnio no modo de Restaurao dos servios de diretrio e
restaure o banco de dados do AD.
Se voc tiver apenas um controlador de domnio (e, dessa forma, qualquer restaurao se tornar
autoritativa), saiba que voc perder todas as alteraes feitas aps o ltimo backup quando estiver
usando esse mtodo.
A disponibilidade de outros controladores de domnio permite que voc realize a restaurao
autoritativa apenas de determinados objetos. Os outros objetos sero replicados de outros
controladores quando voc reinicializar o controlador no modo normal. Dessa maneira, voc
restaurar os objetos excludos acidentalmente e manter os outros objetos atualizados. Aps
restaurar o banco de dados do AD a partir do backup, certifique-se de concluir as seguintes etapas:
1. Sem reinicializar o computador, execute o ntdsutil e digite restaurao autoritativa no prompt
de comando.
2. Digite o comando de restaurao correspondente, como restaurar subrvore ou restaurar
objeto, para realizar a restaurao autoritativa do objeto solicitado (para obter mais
informaes, consulte a documentao a respeito de ntdsutil). Para restaurar todo o banco de
dados, use restaurar banco de dados.
3. Reinicialize o computador. Verifique se o Active Directory foi inicializado com xito e se o objeto
restaurado ficou disponvel.
Usando desativaes
Outra maneira de restaurar objetos excludos acidentalmente usar desativaes. No AD, qualquer
objeto excludo mantido por um determinado perodo (denominado "tempo de vida para
desativao", conforme mencionado anteriormente). Por padro, esse perodo de, no mnimo, 60
dias. Isso significa que todos os objetos, mesmo os excludos do AD, permanecero no banco de
dados por, pelo menos, 60 dias antes de serem excludos definitivamente.
12 Copyright Acronis, Inc., 2000-2011

Com esse mtodo, no h necessidade de backup e o AD permanece disponvel durante a
recuperao - no h necessidade de reinicializar um controlador de domnio. H diversas
ferramentas que realizam esse tipo de recuperao, sendo que algumas delas so gratuitas. Por
exemplo, uma ferramenta de linha de comando do Windows Sysinternals, denominada adrestore,
pode localizar e restaurar objetos excludos. Outro exemplo uma ferramenta gratuita do MVP Guy
Teverovsky, denominada ADRestore.NET. Essa ferramenta pode ser mais fcil de usar, pois possui
uma interface grfica do usurio. Para obter mais informaes, consulte a documentao fornecida
com as ferramentas apropriadas.

13 Copyright Acronis, Inc., 2000-2011

5 Resumo
O Acronis Backup & Recovery 11 uma soluo avanada de backup e recuperao que pode
proteger, de maneira eficaz, qualquer servidor do Windows, inclusive os servidores/controladores de
domnio do Active Directory. A tecnologia de backup no nvel do disco implementada no produto
permite a recuperao eficaz de muitos bancos de dados, inclusive do Microsoft Active Directory.