Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como fazer backup e restaurar controladores de domínio do Active Directory usando o Backup do Azure, em execução em VMs (máquinas virtuais) do Azure ou em servidores locais. Você pode usar os procedimentos recomendados para proteger seu ambiente do Active Directory e recuperar controladores de domínio durante corrupção, comprometimento ou desastre. Para obter diretrizes sobre como escolher o cenário de restauração correto para suas necessidades, consulte o Guia de Recuperação de Floresta do Active Directory.
Observação
Este artigo não discute a restauração de itens do Microsoft Entra ID. Para obter informações sobre como restaurar Microsoft Entra usuários, consulte Este artigo.
Práticas recomendadas
Antes de iniciar a proteção do Active Directory, verifique as seguintes práticas recomendadas:
Certifique-se de que é feito o backup de pelo menos um controlador de domínio.
Fazer backup Active Directory frequentemente. A idade do backup não deve ser superior ao tempo de vida da marca de exclusão (TSL), pois objetos mais antigos que o TSL serão marcados como marcados para exclusão e não serão mais considerados válidos.
O TSL padrão, para domínios criado no Windows Server 2003 SP2 e posteriores, é de 180 dias.
Você pode verificar o TSL configurado usando o seguinte script do PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Tenha um plano de recuperação de desastres claro que inclua instruções sobre como restaurar seus controladores de domínio. Para preparar a restauração de uma floresta Active Directory, leia o Guia de recuperação de floresta Active Directory.
Se você precisar restaurar um controlador de domínio e tiver um controlador de domínio em funcionamento restante no domínio, poderá criar um novo servidor em vez de restaurar a partir do backup. Adicione a função de servidor Active Directory Domain Services ao novo servidor para torná-lo um controlador de domínio no domínio existente. Em seguida, os dados do Active Directory são replicados para o novo servidor. Para remover o controlador de domínio anterior do Active Directory, siga as etapas neste artigo para executar a limpeza de metadados.
Observação
O Backup do Azure não inclui a restauração no nível do item para o Active Directory. Se você deseja restaurar objetos excluídos e pode acessar um controlador de domínio, use o Active Directory Lixeira. Se esse método não estiver disponível, você poderá usar o backup do controlador de domínio para restaurar os objetos excluídos com a ferramenta ntdsutil.exe , conforme explicado aqui.
Para obter informações sobre como executar uma restauração autoritativa do SYSVOL, consulte Este artigo.
Fazer backup de controladores de domínio
Você pode fazer backup de controladores de domínio usando o Backup do Azure. Essa operação permite proteger seu ambiente do Active Directory e garantir que você possa se recuperar de possíveis problemas.
Escolha um ambiente de controlador de domínio:
Se o controlador de domínio for uma VM do Azure, você poderá fazer backup do servidor usando o backup de VM do Azure.
Leia sobre as Considerações operacionais para controladores de domínio virtualizados para garantir backups bem-sucedidos (e restaurações futuras) de seus controladores de domínio de VM do Azure.
Restaurar o Active Directory
Ao restaurar dados do Active Directory, você pode escolher um dos seguintes modos:
- Restauração autoritativa: os dados restaurados substituem os dados em todos os outros controladores de domínio na floresta. Use esse modo se precisar recuperar objetos excluídos e garantir que eles sejam replicados em seu ambiente.
- Restauração não authoritativa: o controlador de domínio restaurado recebe atualizações de outros controladores de domínio após a recuperação. Essa é a abordagem recomendada ao recriar um controlador de domínio em um domínio existente.
Para a maioria dos cenários, incluindo a recriação de um controlador de domínio, você deve executar uma restauração não autoritativa.
Durante a restauração, o servidor é iniciado no DSRM (Modo de Restauração de Serviços de Diretório). Você precisa fornecer a senha de Administrador para o Modo de Restauração dos Serviços de Diretório.
Observação
Se você esquecer a senha DSRM, redefina-a.
Escolha um ambiente de controlador de domínio para restauração:
Para restaurar um controlador de domínio de VM do Azure, consulte restaurar VMs do controlador de domínio.
Se você estiver restaurando uma única VM do controlador de domínio ou várias VMs do controlador de domínio em um único domínio, restaure-as como qualquer outra VM. O DSRM (Modo de Restauração dos Serviços de Diretório) também está disponível, portanto, todos os cenários de recuperação do Active Directory são viáveis.
Se você precisar restaurar uma única VM do controlador de domínio em uma configuração de vários domínios, restaure os discos e crie uma VM usando o PowerShell.
Se você estiver restaurando o último controlador de domínio restante no domínio ou restaurando vários domínios em uma floresta, recomendamos uma recuperação de floresta.
Observação
Controladores de domínio virtualizados, do Windows 2012 em diante, usam proteções baseadas em virtualização. Com essas proteções, o Active Directory sabe se a VM restaurada é um controlador de domínio e executa as etapas necessárias para restaurar os dados de Active Directory.