Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve como fazer backup e restaurar controladores de domínio do Ative Directory usando o Backup do Azure, em execução em máquinas virtuais (VMs) do Azure ou servidores locais. Você pode usar os procedimentos recomendados para proteger seu ambiente do Ative Directory e recuperar controladores de domínio durante corrupção, comprometimento ou desastre. Para obter orientação sobre como escolher o cenário de restauração certo para suas necessidades, consulte o Guia de Recuperação de Floresta do Ative Directory.
Nota
Este artigo não discute a restauração de itens do Microsoft Entra ID. Para obter informações sobre como restaurar usuários do Microsoft Entra, consulte este artigo.
Melhores práticas
Antes de iniciar a proteção do Ative Directory, verifique as seguintes práticas recomendadas:
Certifique-se de que é feito backup de pelo menos um controlador de domínio.
Faça backup do Ative Directory com freqüência. A idade de backup não deve ser mais antiga do que o tempo de vida da lápide (TSL) porque os objetos mais antigos que a TSL são tombados e não são mais considerados válidos.
A TSL padrão, para domínios criados no Windows Server 2003 SP2 e posterior, é de 180 dias.
Você pode verificar o TSL configurado usando o seguinte script do PowerShell:
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Tenha um plano claro de recuperação de desastres que inclua instruções sobre como restaurar seus controladores de domínio. Para se preparar para restaurar uma floresta do Ative Directory, leia o Guia de Recuperação de Floresta do Ative Directory.
Se você precisar restaurar um controlador de domínio e tiver um controlador de domínio funcionando restante no domínio, poderá criar um novo servidor em vez de restaurar a partir do backup. Adicione a função de servidor Serviços de Domínio Ative Directory ao novo servidor para torná-lo um controlador de domínio no domínio existente. Em seguida, os dados do Ative Directory são replicados para o novo servidor. Para remover o controlador de domínio anterior do Ative Directory, siga as etapas neste artigo para executar a limpeza de metadados.
Nota
O Backup do Azure não inclui a restauração no nível do item para o Ative Directory. Se desejar restaurar objetos excluídos e puder acessar um controlador de domínio, use a Lixeira do Ative Directory. Se esse método não estiver disponível, você poderá usar o backup do controlador de domínio para restaurar os objetos excluídos com a ferramenta ntdsutil.exe , conforme explicado aqui.
Para obter informações sobre como executar uma restauração autoritativa do SYSVOL, consulte este artigo.
Fazer backup de controladores de domínio
Você pode fazer backup de controladores de domínio usando o Backup do Azure. Essa operação permite que você proteja seu ambiente do Ative Directory e garanta que você possa se recuperar de possíveis problemas.
Escolha um ambiente de controlador de domínio:
Se o controlador de domínio for uma VM do Azure, você poderá fazer backup do servidor usando o Backup de VM do Azure.
Leia sobre considerações operacionais para controladores de domínio virtualizados para garantir backups bem-sucedidos (e restaurações futuras) de seus controladores de domínio de VM do Azure.
Restaurar o Ative Directory
Ao restaurar dados do Ative Directory, você pode escolher um dos seguintes modos:
- Restauração autoritativa: os dados restaurados substituem os dados em todos os outros controladores de domínio na floresta. Use esse modo se precisar recuperar objetos excluídos e garantir que eles sejam replicados em seu ambiente.
- Restauração não autoritativa: o controlador de domínio restaurado recebe atualizações de outros controladores de domínio após a recuperação. Essa é a abordagem recomendada ao reconstruir um controlador de domínio em um domínio existente.
Para a maioria dos cenários, incluindo a reconstrução de um controlador de domínio, você deve executar uma restauração não autoritativa.
Durante a restauração, o servidor é iniciado no Modo de Restauração dos Serviços de Diretório (DSRM). Você precisa fornecer a senha de administrador para o modo de restauração dos serviços de diretório.
Nota
Se você esquecer a senha do DSRM, redefini-a.
Escolha um ambiente de controlador de domínio para restauração:
Para restaurar um controlador de domínio de VM do Azure, consulte Restaurar VMs de controlador de domínio.
Se você estiver restaurando uma única VM de controlador de domínio ou várias VMs de controlador de domínio em um único domínio, restaure-as como qualquer outra VM. O Modo de Restauração dos Serviços de Diretório (DSRM) também está disponível, portanto, todos os cenários de recuperação do Ative Directory são viáveis.
Se você precisar restaurar uma única VM de controlador de domínio em uma configuração de vários domínios, restaure os discos e crie uma VM usando o PowerShell.
Se você estiver restaurando o último controlador de domínio restante no domínio ou restaurando vários domínios em uma floresta, recomendamos uma recuperação de floresta.
Nota
Os controladores de domínio virtualizados, a partir do Windows 2012, usam salvaguardas baseadas em virtualização. Com essas salvaguardas, o Ative Directory entende se a VM restaurada é um controlador de domínio e executa as etapas necessárias para restaurar os dados do Ative Directory.