Recuperação da Floresta do Active Directory: determinar como fazer para recuperar a floresta

A recuperação de uma floresta inteira do Active Directory envolve a restauração de pelo menos um Controlador de Domínio (DC) em cada domínio a partir de um backup disponível. A recuperação de floresta restaura cada domínio na floresta para o respectivo estado no momento do último backup confiável.

O que será perdido

A operação de restauração resultará na perda de pelo menos os seguintes dados do Active Directory:

  • Todos os objetos (como usuários e computadores) que foram adicionados após o último backup confiável
  • Todas as atualizações feitas nos objetos existentes desde o último backup confiável
  • Todas as alterações que foram feitas na partição de configuração ou na partição de esquema no AD DS (como alterações de esquema) desde o último backup confiável

Conhecimento da senha

  1. Você deve saber a senha de uma conta de Administrador de domínio para cada domínio na floresta. De preferência, essa é a senha da conta de Administrador interno.
  2. Você também deve saber a senha do DSRM para executar uma restauração de estado do sistema de um DC.

É uma boa prática arquivar o histórico de senhas da conta de Administrador e do DSRM em um local seguro enquanto os backups forem válidos. Ou seja, dentro do tempo de vida da marca de exclusão ou dentro do tempo de vida do objeto excluído se a Lixeira do Active Directory estiver habilitada.

Você também pode sincronizar a senha do DSRM com uma conta de usuário de domínio para facilitar a lembrança. Para obter mais informações, consulte este artigo. A sincronização da conta do DSRM deve ser feita antes da recuperação de floresta, como parte da preparação.

Observação

Por padrão, a conta de Administrador é membro do grupo de Administradores internos, assim como os grupos de Administradores de Domínio e de Administradores Corporativos. Esse grupo tem controle total de todos os DCs no domínio.

Determinar quais backups devem ser utilizados

Faça backup de pelo menos dois DCs graváveis para cada domínio regularmente para que você tenha vários backups para escolher. Selecione um ou mais CDs, conforme exigido, e o mestre de operações do Emulador PDC para recuperação de dados do SYSVOL.

Observação

Não é possível utilizar o backup de um controlador de domínio somente leitura (RODC) para restaurar um DC gravável. Recomendamos que você restaure os DCs usando backups que foram feitos alguns dias antes da ocorrência da falha. Em geral, você deve determinar uma compensação entre a recenticidade e a segurança dos dados restaurados. Escolher um backup mais recente recupera dados mais úteis, mas pode aumentar o risco de reintroduzir dados perigosos na floresta restaurada.

A restauração de backups de estado do sistema depende do sistema operacional original e do servidor do backup. Por exemplo, você não deve restaurar um backup de estado do sistema para um servidor diferente. Nesse caso, você poderá ver o seguinte aviso:

Aviso

O backup especificado é de um servidor diferente do atual. Não recomendamos executar uma recuperação de estado do sistema com o backup em um servidor alternativo, pois o servidor pode se tornar inutilizável. Você tem certeza de que deseja utilizar esse backup para recuperar o servidor atual?

Se você precisar restaurar o Active Directory para um produto de hardware diferente, crie os backups completos do servidor e planeje executar uma recuperação completa do servidor.

Importante

A restauração do backup do estado do sistema para uma nova instalação do Windows Server em um novo hardware ou no mesmo hardware não é suportada. Se o Windows Server for reinstalado no mesmo hardware (recomendado), você poderá restaurar o controlador de domínio nesta ordem:

  1. Execute uma restauração completa do servidor para restaurar o sistema operacional e todos os arquivos e aplicativos.
  2. Execute uma restauração de estado do sistema usando o wbadmin.exe para marcar o SYSVOL como autoritativo.

Para obter mais informações, consulte Como fazer para restaurar uma instalação do Windows 7.

Se o tempo da falha for desconhecido, investigue mais para identificar os backups que contêm o último estado seguro da floresta.

Essa abordagem é menos desejável. Portanto, é altamente recomendável manter os logs detalhados sobre o estado de integridade do AD DS diariamente, para que, se houver uma falha em toda a floresta, o tempo aproximado da falha possa ser identificado. Você também deve manter uma cópia local dos backups para habilitar uma recuperação mais rápida.

Se a Lixeira do Active Directory estiver habilitada, o tempo de vida do backup será igual ao valor deletedObjectLifetime ou ao valor tombstoneLifetime, o que for menor. Para obter mais informações, consulte Guia passo a passo da lixeira do Active Directory.

Como alternativa, você pode utilizar a ferramenta de montagem de banco de dados do Active Directory Dsamain.exe e uma ferramenta LDAP (Lightweight Directory Access Protocol), como Ldp.exe ou Usuários e Computadores do Active Directory, para identificar qual backup tem o último estado seguro da floresta. A ferramenta de montagem de banco de dados do Active Directory, que está incluída nos sistemas operacionais Windows Server, expõe os dados do Active Directory armazenados em backups ou instantâneos como um servidor LDAP. Você pode utilizar uma ferramenta LDAP para navegar pelos dados. Essa abordagem tem a vantagem de não exigir que você reinicie o DC no DSRM (Modo de Restauração dos Serviços de Diretório) para examinar o conteúdo do backup do AD DS.

Para obter mais informações sobre como usar a ferramenta de montagem de banco de dados do Active Directory, confira o Guia Passo a Passo da Ferramenta de Montagem de Banco de Dados do Active Directory.

Também é possível utilizar o comando ntdsutil snapshot para criar instantâneos do banco de dados do Active Directory. Ao agendar uma tarefa para criar instantâneos periodicamente, você pode obter cópias adicionais do banco de dados do Active Directory ao longo do tempo. Você pode usar essas cópias para identificar melhor quando ocorreu a falha em toda a floresta e, em seguida, escolher o melhor backup para restaurar. Para criar instantâneos, utilize ntdsutil ou as Ferramentas de Administração de Servidor Remoto (RSAT).

O DC de destino pode executar qualquer versão do Windows Server. Para obter mais informações sobre o uso do comando ntdsutil snapshot, consulte Instantâneo.

Determinar quais controladores de domínio devem ser restaurados

A facilidade do processo de restauração é um fator importante ao decidir qual controlador de domínio restaurar. Recomenda-se ter um DC dedicado para cada domínio que seja o DC preferencial para uma restauração. Um DC de restauração dedicado facilita o planejamento confiável e a execução da recuperação de floresta, pois você usa a mesma configuração de origem usada para executar os testes de restauração. Você pode criar um script para a recuperação e evitar conflitos com configurações diferentes, como o fato de o DC ter funções de mestre de operações ou ser um servidor de GC ou DNS.

Observação

Não é recomendável restaurar um titular de função de mestre de operações por uma questão de simplicidade, já que você sempre assume todas as funções. Existe o caso de uma recuperação do SYSVOL utilizando um backup feito a partir do mestre de operações do emulador PDC, pois normalmente o PDC tem a melhor cópia dos dados do SYSVOL.

Um bom backup é um backup que pode ser restaurado com êxito, foi feito alguns dias antes da falha e contém o máximo possível de dados úteis. Escolha um DC que atenda melhor aos seguintes critérios:

  • Um DC gravável. Isso é obrigatório.

  • Um DC executando o Windows Server 2012 ou mais recente como uma máquina virtual em um hipervisor que tem suporte para VM-GenerationID. Esse DC pode ser usado como origem para clonagem. Em geral, utilize um DC com um bom backup que tenha o SO mais atual.

  • Um DC acessível, fisicamente ou em uma rede virtual e, de preferência, localizado em um data center. Dessa forma, você pode isolá-lo facilmente da rede durante a recuperação de floresta.

  • Um DC que tem um bom backup completo do servidor.

  • Um DC que executa a função DNS (Serviço de Nomes de Domínio) e hospeda a zona da floresta e do(s) domínio(s).

  • Um DC configurado como um Catálogo Global (GC).

  • Um DC que não está configurado para usar o Desbloqueio pela rede do BitLocker, se você utilizar o Serviços de Implantação do Windows. Não há suporte para o uso do Desbloqueio pela rede do BitLocker no primeiro DC que você restaurar do backup durante uma recuperação de floresta. Nos DCs em que você implantou o Windows Deployement Services (WDS), o Desbloqueio pela rede do BitLocker como apenas protetor de chave não pode ser utilizado porque o primeiro DC exigiria que o Active Directory e o WDS estivessem funcionando para desbloquear. Antes de você restaurar o primeiro DC, o Active Directory ainda não está disponível para o WDS e, portanto, não pode ser desbloqueado.

    Para determinar se um DC está configurado para usar o Desbloqueio pela rede do BitLocker, verifique se um certificado de Desbloqueio pela rede está identificado na seguinte chave do registro:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Importante

Mantenha os procedimentos de segurança ao manipular ou restaurar arquivos de backup que incluem o Active Directory. A urgência que acompanha a recuperação de floresta pode causar inadvertidamente a negligência das melhores práticas de segurança.

Identificar a estrutura de floresta atual e as funções do DC

Determine a estrutura de floresta atual identificando todos os domínios na floresta. Faça uma lista de todos os DCs em cada domínio, especialmente os DCs que têm backups e os DCs virtualizados que podem ser uma fonte de clonagem.

Uma lista de DCs para o domínio raiz da floresta é a mais importante, pois você recuperará esse domínio primeiro. Depois de restaurar o domínio raiz da floresta, você poderá obter uma lista dos outros domínios, DCs e sites na floresta usando os snap-ins do Active Directory.

Para cada domínio na floresta, identifique um único DC gravável que tenha um backup confiável do banco de dados do Active Directory para esse domínio. Tenha cuidado ao escolher um backup para restaurar um DC. Se o dia e a causa da falha forem conhecidos, a recomendação geral é identificar e utilizar um backup seguro que tenha sido feito alguns dias antes dessa data.

Prepare uma tabela que mostra as funções de cada DC no domínio, conforme mostrado no exemplo a seguir. Isso ajudará você a reverter para a configuração da floresta anterior à falha, após a recuperação.

nome do DC Sistema operacional FSMO GC RODC Backup DNS Server Core VM
DC_1 Windows Server 2019 Mestre de esquema, mestre de nomenclatura de domínio Sim Não Sim Não No Sim
DC_2 Windows Server 2019 Nenhum Sim Não Sim Sim Não Sim
DC_3 Windows Server 2022 Mestre de Infra-Estrutura No No No Sim Sim Sim
DC_4 Windows Server 2022 Emulador de PDC, MESTRE RID Sim Não No No No Sim
DC_5 Windows Server 2022 Nenhum Não No Sim Sim Não Sim
RODC_1 Windows Server 2016 Nenhum Sim Sim Sim Sim Sim Yes
RODC_2 Windows Server 2022 Nenhum Sim Sim Não Sim Sim Yes

No exemplo acima, existem quatro candidatos a backup: DC_1, DC_2, DC_4 e DC_5. Dentre esses candidatos de backup, você restaurará apenas um. O DC recomendado é o DC_5 pelos seguintes motivos:

  • É uma boa fonte para clonagem do DC virtualizado, pois executa o Windows Server 2022 como um DC virtual e executa um software que pode ser clonado (ou que pode ser removido se não puder ser clonado). Após a restauração, a função do emulador de PDC será apreendida nesse servidor e poderá ser adicionada ao grupo de Controladores de Domínio Clonáveis para o domínio.
  • Ele executa uma instalação completa do Windows Server 2022. Um DC que executa uma instalação do Server Core pode ser menos conveniente como destino para recuperação. Isso pode não ser um fator se você for bom em gerenciar servidores Windows utilizando a interface de linha de comando.
  • É um servidor DNS.

Observação

Como o DC_5 não é um servidor de catálogo global, ele tem uma pequena vantagem, pois o catálogo global não precisa ser removido após a restauração. No entanto, seria necessário iniciar a recuperação com a conta padrão de Administrador com Rid 500 ou utilizar o valor de registro ignoregcfailures:

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC

Em geral, outros fatores são mais importantes do que a etapa extra de remover a função de GC. O DC_3 ou DC_4 também são boas escolhas, pois as Funções de Mestre de Operação que eles têm não são um problema. Considere as opções e escolha de acordo com sua situação real de recuperação. Normalmente, você está planejando e testando a restauração do backup do Controlador de Domínio Primário, mas se esse backup não funcionar, por exemplo, por estar em um horário errado, escolha o backup de um GC do mesmo domínio.

Recuperar a floresta isoladamente

O cenário preferencial é desligar todos os DCs graváveis, antes que o primeiro DC restaurado retorne à produção. Isso garante que todos os dados perigosos não sejam replicados novamente na floresta recuperada. É particularmente importante desligar todos os detentores da função de mestre de operações.

Observação

Pode haver casos em que você move o primeiro DC que planeja recuperar de cada domínio para uma rede isolada, permitindo que outros DCs permaneçam online para minimizar o tempo de inatividade do sistema. Por exemplo, se você estiver se recuperando de uma atualização de esquema com falha, poderá optar por manter os controladores de domínio em execução na rede de produção, enquanto executa as etapas de recuperação isoladamente.

DCs virtualizados

Se você estiver executando DCs virtualizados, poderá movê-los para uma rede virtual isolada da rede de produção em que você executará a recuperação. Mover DCs virtualizados para uma rede separada oferece dois benefícios:

  • Os DCs recuperados estão impedidos de reproduzir o problema que causou a recuperação da floresta.
  • A clonagem de DCs virtualizados pode ser realizada na rede isolada para que um número crítico de DCs possa ser executado e testado antes de ser trazido de volta à rede de produção.

DCs físicos

Se você estiver executando DCs em hardware físico, desconecte o cabo de rede do primeiro DC que planeja restaurar no domínio raiz da floresta. Se possível, desconecte também os cabos de rede de todos os outros DCs. Isso impede que os DCs sejam replicados, se forem iniciados por engano durante o processo de recuperação de floresta.

Grandes florestas

Em uma grande floresta espalhada por vários locais, pode ser difícil garantir que todos os DCs graváveis sejam desligados. Por esse motivo, as etapas de recuperação, como redefinir a conta do computador e a conta do krbtgt, além da limpeza de metadados, foram criadas para garantir que os DCs graváveis recuperados não sejam replicados com DCs graváveis perigosos (caso alguns ainda estejam online na floresta).

No entanto, somente ao colocar os DCs graváveis offline, você poderá garantir que a replicação não ocorra. Portanto, sempre que possível, você deve implantar uma tecnologia de gerenciamento remoto que possa ajudar a desligar e isolar fisicamente os DCs graváveis durante a recuperação de floresta.

RODCs

Os RODCs podem continuar operando, enquanto os DCs graváveis estão offline. Nenhum outro DC replicará diretamente quaisquer alterações de um RODC; especialmente, nenhuma alteração em contêineres de esquema ou configuração, então eles não apresentam o mesmo risco que os DCs editáveis durante a recuperação. Depois que todos os DCs graváveis forem recuperados e estiverem online, você deverá recriar todos os RODCs.

Os RODCs continuarão a permitir o acesso a recursos locais armazenados em cache nos respectivos sites, enquanto as operações de recuperação são realizadas paralelamente. Os recursos locais que não são armazenados em cache no RODC terão as solicitações de autenticação encaminhadas para um DC gravável. Essas solicitações falharão porque os DCs graváveis estão offline. Algumas operações, como alterações de senha, também não funcionarão até que você recupere os DCs graváveis.

Se você estiver usando uma arquitetura de rede hub e spoke, poderá se concentrar primeiro na recuperação dos DCs graváveis nos sites hub. Posteriormente, você poderá recriar os RODCs nos sites remotos.

Banco de dados do AD comprometido

Se o banco de dados do AD de um DC gravável estiver comprometido, uma nova chave raiz do KDS deverá ser criada após a recuperação e todas as contas de serviço gerenciadas pelo grupo (gMSA) deverão ser recriadas, dependendo do cenário de comprometimento. Os detalhes estão descritos aqui: Como fazer para se recuperar de um ataque do Golden gMSA.

Próximas etapas