Fazer backup e restaurar Active Directory controladores de domínio
Fazer backup de Active Directory e garantir restaurações bem-sucedidas em casos de corrupção, comprometimento ou desastre é uma parte crítica da manutenção Active Directory.
Este artigo descreve os procedimentos adequados para fazer backup e restaurar Active Directory controladores de domínio com o backup do Azure, sejam eles máquinas virtuais do Azure ou servidores locais. Ele aborda um cenário em que você precisa restaurar um controlador de domínio inteiro para seu estado no momento do backup. Para ver qual cenário de restauração é apropriado para você, consulte este artigo.
Observação
Este artigo não aborda a restauração de itens de Microsoft Entra ID. Para obter informações sobre como restaurar Microsoft Entra usuários, consulte Este artigo.
Práticas recomendadas
Antes de iniciar a proteção do Active Directory, verifique as seguintes práticas recomendadas:
Certifique-se de que é feito o backup de pelo menos um controlador de domínio. Se você fizer backup de mais de um controlador de domínio, certifique-se de que todos os que contêm as funções FSMO (operação de mestre único flexível) sejam submetidos a backup.
Fazer backup Active Directory frequentemente. A idade do backup nunca deve ser mais antiga que a de TSL (tempo de vida da marca de exclusão) porque os objetos anteriores ao TSL serão "marcados para exclusão" e não são mais considerados válidos.
O TSL padrão, para domínios criado no Windows Server 2003 SP2 e posteriores, é de 180 dias.
Você pode verificar o TSL configurado usando o seguinte script do PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Tenha um plano de recuperação de desastres claro que inclua instruções sobre como restaurar seus controladores de domínio. Para preparar a restauração de uma floresta Active Directory, leia o Guia de recuperação de floresta Active Directory.
Se você precisar restaurar um controlador de domínio e tiver um controlador de domínio em funcionamento restante no domínio, poderá criar um novo servidor em vez de restaurar a partir do backup. Adicione a função de servidor Active Directory Domain Services ao novo servidor para torná-lo um controlador de domínio no domínio existente. Em seguida, os dados de Active Directory serão replicados para o novo servidor. Para remover o controlador de domínio anterior do Active Directory, siga as etapas neste artigo para executar a limpeza de metadados.
Observação
O backup do Azure não inclui a restauração no nível do item para Active Directory. Se você deseja restaurar objetos excluídos e pode acessar um controlador de domínio, use o Active Directory Lixeira. Se esse método não estiver disponível, você poderá usar o backup do controlador de domínio para restaurar os objetos excluídos com a ferramenta ntdsutil.exe, conforme explicado aqui.
Para obter informações sobre como executar uma restauração autoritativa do SYSVOL, consulte Este artigo.
Fazer backup de controladores de domínio da VM do Azure
Se o controlador de domínio for uma VM do Azure, você poderá fazer backup do servidor usando o backup de VM do Azure.
Leia sobre as Considerações operacionais para controladores de domínio virtualizados para garantir backups bem-sucedidos (e restaurações futuras) de seus controladores de domínio de VM do Azure.
Fazer backup de controladores de domínio locais
Para fazer backup de um controlador de domínio local, você precisa fazer backup dos dados de estado do sistema do servidor.
- Se você estiver usando MARS, siga estas instruções.
- Se você estiver usando MABS (Servidor de Backup do Azure), siga estas instruções.
Observação
Não há suporte para a restauração de controladores de domínio locais (a partir do estado do sistema ou de VMs) para a nuvem do Azure. Se você quiser a opção de failover de um ambiente de Active Directory local para o Azure, considere o uso de Azure site Recovery.
Restaurar o Active Directory
Active Directory dados podem ser restaurados em um dos dois modos: autoritativo ou não autoritativo. Em uma restauração autoritativa, os dados restaurados Active Directory substituirão os dados encontrados nos outros controladores de domínio na floresta.
No entanto, neste cenário, Estamos recriando um controlador de domínio em um domínio existente, portanto, uma restauração não autoritativa deve ser executada.
Durante a restauração, o servidor será iniciado no Modo de Restauração dos Serviços de Diretório (DSRM). Você precisará fornecer a senha de administrador para Modo de Restauração dos Serviços de Diretório.
Observação
Se a senha do DSRM for esquecida, você poderá redefini-la usando estas instruções.
Restaurar os controladores de domínio da VM do Azure
Para restaurar um controlador de domínio de VM do Azure, consulte restaurar VMs do controlador de domínio.
Se você estiver restaurando uma única VM do controlador de domínio ou várias VMs do controlador de domínio em um único domínio, restaure-as como qualquer outra VM. O DSRM (Modo de Restauração dos Serviços de Diretório) também está disponível, portanto, todos os cenários de recuperação do Active Directory são viáveis.
Se você precisar restaurar uma única VM do controlador de domínio em uma configuração de vários domínios, restaure os discos e crie uma VM usando o PowerShell.
Se você estiver restaurando o último controlador de domínio restante no domínio ou restaurando vários domínios em uma floresta, recomendamos uma recuperação de floresta.
Observação
Controladores de domínio virtualizados, do Windows 2012 em diante, usam proteções baseadas em virtualização. Com essas proteções, o Active Directory sabe se a VM restaurada é um controlador de domínio e executa as etapas necessárias para restaurar os dados de Active Directory.
Fazendo restauração de controladores de domínio locais
Para restaurar um controlador de domínio local, siga as instruções em para restaurar o estado do sistema para o Windows Server, usando as diretrizes para considerações especiais sobre a recuperação do estado do sistema em um controlador de domínio.