o Active Directory (AD) é um serviço de diretório proprietário da Microsoft desenvolvido para redes de domínio do Windows. Foi introduzido pela primeira vez no Windows Server 2000 para gerenciamento centralizado de domínio. Ele agora está incluído em todos os sistemas operacionais Windows Server subsequentes, permitindo que os administradores de rede criem e gerenciem domínios, usuários, objetos, privilégios e acesso dentro de uma rede.
o AD é ótimo no gerenciamento de infraestrutura tradicional da Microsoft no local, mas não em ambientes de nuvem. A infraestrutura de nuvem da Microsoft usa o Azure Active Directory, que serve os mesmos propósitos que sua contraparte local. O Active Directory e o Azure Active Directory são distintos, mas podem trabalhar juntos até certo ponto se sua organização tiver uma implantação híbrida (no local e na nuvem).
o layout do anúncio segue uma estrutura em camadas composta por domínios, árvores e florestas. Um domínio é um grupo de objetos (como usuários ou dispositivos) que compartilham o mesmo banco de dados de anúncios. Uma árvore é uma coleção de domínios, e uma floresta é uma coleção de árvores. O principal serviço do Active Directory é o Active Directory Domain Services (AD DS), que faz parte do Sistema Operacional Windows Server. Os servidores que executam AD DS são chamados controladores de domínio (DCS). Algumas organizações têm vários DCs e cada uma tem uma cópia do diretório para todo o domínio. Para garantir que o DCs se mantenha atualizado, as alterações feitas no diretório em um DC, como alteração de senha, também são replicadas para o outro DCs.
o banco de dados do Active Directory (diretório) tem uma estrutura hierárquica semelhante a uma árvore e contém informações sobre os objetos AD no domínio. Tipos comuns de objetos de anúncio incluem Usuários, Computadores, aplicativos, Impressoras e pastas compartilhadas. O Ntds.o arquivo dit é usado para armazenar o banco de dados de anúncios. O banco de dados é dividido em várias seções que contêm diferentes tipos de Informações—uma partição de esquema (que determina o design do banco de dados AD), partição de configuração (informações sobre a estrutura AD) e contexto de nomes de domínio (usuários, grupos, objetos de impressora). O Active Directory está totalmente integrado com arquivos de Sistema protegidos pelo Windows, Registro do sistema de um controlador de domínio, diretório Sysvol, banco de dados de registro de classe COM+ e informações de serviço de cluster. Ao planejar uma estratégia de backup, é importante considerar essa integração, especialmente devido ao impacto imediato que ela tem no anúncio.
você precisa fazer backup do Active directory?O Active Directory é um dos componentes mais importantes em qualquer rede Windows. Não ter nenhuma estratégia de backup poderia colocar toda a organização em risco. Sua melhor prática é ter vários controladores de domínio do active directory com funcionalidades de failover para que, quando um falhar, você ainda possa se recuperar mesmo sem um backup. No entanto, ter vários controladores de domínio não é justificativa suficiente para não fazer um backup. Você ainda deve fazer um backup do Active directory, independentemente de ter vários controladores de domínio ou não. Vários controladores de domínio podem falhar de uma só vez, a exclusão acidental ou deliberada de todas as contas ou unidades organizacionais críticas (uo) pode ocorrer, corrupção de banco de dados inteira pode ocorrer, vírus e ransomware ou algum outro desastre pode acabar com todos os controladores de domínio. Em tal situação, você precisaria restaurá-lo a partir de um backup. É por isso que você precisa fazer backup.
você provavelmente não precisa fazer backup de todos os controladores de domínio, para obter um bom backup do anúncio. Você só realmente deve ter que fazer backup de um dos controladores de domínio. Se o controlador de domínio travar, sua rede e, por extensão, as atividades comerciais pararem. Embora os serviços do active directory sejam projetados com alta redundância (se você implantou vários DCs em sua rede). Portanto, é importante desenvolver e implementar uma política clara de backup do active directory. Se você tiver vários DCs em execução, precisará fazer backup de pelo menos um deles. O DC ideal para backup deve ser aquele que executa a função Flexible single Master Operation (FSMO). Com uma boa implementação de estratégia de backup e Recuperação, sua organização pode se recuperar facilmente após a falha dos controladores de domínio.
se o controlador de domínio do Active Directory (AD DC) ficar indisponível por qualquer motivo, os usuários não poderão fazer login e os sistemas não poderão funcionar corretamente, o que pode causar interrupção nas atividades comerciais. É por isso que fazer backup do seu Active Directory é importante. Neste artigo, mostraremos como fazer backup de um controlador de domínio do Active Directory em execução no Windows Server 2019. Antes de começarmos, vamos dar uma olhada em um conceito conhecido como backup do Estado do sistema e como isso afeta os dados do Active Directory.
backup do Estado do sistema
o Microsoft Windows Server oferece a possibilidade de realizar um backup ‘completo’ ou um backup de ‘Estado do sistema’. Um backup completo faz uma cópia das unidades do sistema de uma máquina física ou virtual, incluindo aplicativos, sistemas operacionais e até mesmo o estado do sistema. Este backup pode ser usado para recuperação bare metal-isso permite que você reinstale facilmente o sistema operacional e use o backup para recuperar.O backup do Estado do sistema, por outro lado, cria um arquivo de backup para componentes críticos relacionados ao sistema. Este arquivo de backup pode ser usado para recuperar componentes críticos do sistema em caso de falha. O Active Directory é feito backup como parte do Estado do sistema em um controlador de domínio sempre que você executa um backup usando o Windows Server Backup, Wbadmin.exe ou PowerShell. Para o propósito deste guia, usaremos o backup do Estado do sistema porque ele nos permite fazer backup apenas dos componentes necessários para restaurar o Active Directory. No entanto, observe que a Microsoft não suporta a restauração de um backup do Estado do sistema de um servidor para outro servidor de um modelo diferente ou configuração de hardware. O backup do Estado do sistema é mais adequado para recuperar o Active Directory apenas no mesmo servidor.
conforme descrito mais adiante neste guia, o Backup do Windows Server deve ser instalado por meio de recursos no Gerenciador de servidores antes que você possa usá-lo para fazer backup ou recuperar seu servidor. O tipo de backup selecionado para os controladores de domínio dependerá da frequência das alterações no Active Directory e dos dados ou aplicativos que podem ser instalados no controlador de domínio. O mínimo que você precisa fazer backup para proteger os dados essenciais do Active Directory em um controlador de domínio é o estado do sistema. O estado do sistema inclui a lista a seguir, além de alguns itens adicionais, dependendo das funções instaladas:
- Controlador de domínio: Arquivos de banco de dados DC do Active Directory (NTDS.Dit), arquivos de inicialização & arquivos protegidos do Sistema, banco de dados de registro de classe COM+, registro, volume do sistema (SYSVOL)
- membro do domínio: Arquivos de inicialização, banco de dados de registro de classe COM+, registro
- uma máquina executando serviços de cluster: além disso, faz backup dos metadados do servidor de cluster
- uma máquina executando serviços faça backup das zonas DNS integradas ao Active Directory, mas não fará backup das zonas DNS baseadas em arquivos. As zonas DNS baseadas em arquivos devem ser copiadas como parte de um backup em nível de volume, como um backup crítico de volume ou backup completo do servidor. Todos os tipos de backup acima podem ser executados manualmente sob demanda ou podem ser agendados usando o Backup do Windows Server. Você pode usar o backup do Windows Server ou o Wbadmin.exe para executar um backup do Estado do sistema de um controlador de domínio para fazer backup do Active Directory. A Microsoft recomenda usar um disco interno dedicado ou um disco removível externo, como um disco rígido USB, para realizar os backups.Os operadores de Backup não têm os privilégios necessários para agendar backups. Você deve ter direitos administrativos para poder agendar um backup ou restauração do Estado do sistema. Um backup do Estado do sistema é particularmente importante para fins de recuperação de desastres, pois elimina a necessidade de reconfigurar o Windows de volta ao seu estado original antes que a falha do sistema ocorra. É importante que você sempre tenha um backup recente do Estado do seu sistema. Eles podem exigir que você execute backups regulares do Estado do sistema para aumentar seu nível de proteção. Recomendamos que você execute backups de Estado do sistema antes e depois de qualquer alteração importante ser feita em seu servidor.
Antes de ir adiante com o processo de backup, você precisa tomar nota das seguintes etapas iniciais:
- é importante que você tenha a quantidade necessária de espaço de armazenamento para acomodar o backup que você está prestes a realizar.
- se você estiver fazendo backup enquanto os aplicativos que produzem os dados ainda estão em execução( o que geralmente é o caso), você precisa configurar o serviço de cópia de sombra de Volume, também conhecido como serviço de Instantâneo De Volume (VSS) na unidade para que o backup seja bem-sucedido. Este serviço ajuda a criar cópias de backup ou instantâneos de arquivos ou volumes de computador, mesmo quando eles estão em uso.
- você precisa instalar o recurso de Backup do Windows Server se ainda não tiver feito isso. O Windows Server 2019, assim como as edições anteriores, vem com o recurso de Backup do Windows Server que ajuda a executar backups e restaurações de banco de dados do Active Directory. Agora vamos passar pelas etapas acima em detalhes.
configurar o serviço de cópia de sombra de Volume (VSS)
é importante garantir que o banco de dados AD tenha backup de uma maneira que preserve a consistência do banco de dados. Uma maneira de preservar a consistência é fazer backup do banco de dados de anúncios quando o servidor está em um estado desligado. No entanto, fazer backup do servidor do Active Directory em um estado desligado pode não ser uma boa ideia se o servidor estiver operando no modo 24 horas por dia, 7 dias por semana.
por esse motivo, a Microsoft recomenda o uso do serviço de cópia de sombra de Volume (VSS) para fazer backup de um servidor executando o Active Directory. VSS é uma tecnologia incluída no Microsoft Windows que pode criar cópias de backup ou instantâneos de arquivos ou volumes de computador, mesmo quando eles estão em uso. Os gravadores VSS criam um instantâneo que congela o estado do sistema até que o backup seja concluído para evitar a modificação de arquivos ativos usados pelo Active Directory durante um processo de backup. Dessa forma, é possível fazer backup de um servidor em execução sem afetar seu desempenho. Para este guia, mostraremos como alterar a configuração de limite de tamanho de cópia de sombra no volume em que armazenaremos o banco de dados de anúncios.
1. Pressione uma combinação de Win + X no teclado para abrir o Gerenciador de disco. Selecione a partição onde o servidor está instalado, clique com o botão direito do mouse e clique em Propriedades.
2. Vá para a guia cópias de sombra e clique em Ativar, conforme mostrado na imagem abaixo.
3. Na próxima janela, clique em Sim para confirmar que deseja ativar cópias de sombra, conforme mostrado abaixo.
4. Após a confirmação, você verá um ponto de restauração criado na partição selecionada. Clique em Configurações para continuar.
5. Na tela Configurações mostrada abaixo, em tamanho máximo, selecione Sem limite. Uma vez concluído, clique no botão OK e isso o faz para esta seção-configure o serviço de cópia de sombra de Volume (VSS).
Instale o recurso de backup do Windows Server
o Backup do Windows Server é um utilitário fornecido pela Microsoft com o Windows Server 2008 e edições posteriores. Ele substituiu o utilitário NTBackup que foi integrado ao Windows Server 2003. O Backup do Windows Server é um recurso que pode ser instalado no Windows Server 2019, assim como em outras edições anteriores. Portanto, se você ainda não usou o recurso de backup, provavelmente terá que instalá-lo primeiro. A maneira de instalar esse recurso é através do Gerenciador de servidores.
1. Abra o console do Gerenciador do servidor conforme mostrado na imagem abaixo.
2. Vá para o servidor Local >> Gerenciar guia >> e clique no Adicionar Funções e recursos como visto na imagem abaixo. Isso abrirá o Assistente Adicionar Funções e recursos.
3, na tela Selecionar tipo de instalação, selecione a opção Instalação baseada em função ou baseada em recursos e clique em Avançar.
4. Na próxima tela chamada Select destination server, você precisará selecionar o servidor no qual deseja instalar funções e recursos. O Windows exibirá automaticamente o pool do servidor. Nesse caso, vamos selecionar o servidor local, que é WD2K19-DC01-mylablocal.
5. Na tela Selecionar funções do servidor, você deve selecionar as funções a serem instaladas no servidor. Como estamos instalando um recurso, você pode ignorar esta seção e Continuar para a próxima tela. Clique em Avançar para continuar.
6. Na tela Selecionar recursos abaixo, role para baixo até o recurso de Backup do Windows Server e selecione-o como visto na imagem abaixo. Clique em Avançar para continuar.
7. Na tela Confirmar seleções de instalação, verifique se o recurso de Backup do Windows Server está na tela e clique no botão Instalar para iniciar a instalação.
o recurso de Backup do Windows Server começará a ser instalado em seu servidor local. Quando a instalação estiver concluída, clique no botão Fechar para fechar o console.
Faça Backup do banco de dados do Active Directory
1. Agora vá para o Gerenciador de servidores e clique em Ferramentas >> Backup do Windows Server, a fim de abri-lo. Você também pode abrir este console executando o comando wbadmin.msc no Windows Executar (Ctrl + R). Assim que abrir, você poderá ver o status agendado e o último backup (a menos que seja a primeira vez que estiver fazendo isso.)
2. Assim que o backup do servidor for aberto, clique em Backup uma vez para iniciar um backup manual do banco de dados de anúncios. Embora você também possa criar backups agendados automáticos clicando em agendamento de Backup, para este guia, criaremos um backup manual.
3. Em Opções de Backup, selecione diferentes opções e clique no botão Avançar esta opção é usada onde não há backup agendado.
4. Na tela Selecionar configuração de Backup, você tem duas opções:
-
- O Full Server faz backup de todos os dados do servidor, aplicativos e Estado do sistema
- Custom permite que você escolha o que deseja fazer backup.
como queremos apenas fazer backup do Active directory, escolhemos a segunda opção. Então selecione Personalizado e clique em Avançar.
5. Na tela Selecionar itens para Backup, especifique os itens que você deseja incluir no backup. Neste backup, vamos escolher o item Backup do Estado do sistema. Para fazer isso, clique no botão Adicionar itens >> selecione a opção Estado do sistema >> e clique no botão Ok para concluir o processo.
6. Agora vamos habilitar o serviço de cópia de sombra de Volume para este item de backup. Isso evita que os dados do anúncio sejam modificados enquanto o backup estiver em andamento. Para ativar o VSS, clique em Configurações Avançadas >> configurações do VSS >> selecione Backup Completo do VSS e clique em Ok. O Backup completo do VSS é a opção recomendada se for seu primeiro backup e você não estiver usando nenhuma ferramenta de backup de terceiros. Esta opção permite criar um backup de todos os arquivos. É também o método preferido para backups incrementais, pois não afeta a sequência de backup.
7. Na próxima tela, você precisará especificar o tipo de destino de backup-unidades locais ou pasta compartilhada remota. Para fins desta demonstração, estamos usando um disco rígido local para armazenar o backup. Então escolha unidades locais e clique em Avançar.
8. Na tela Selecionar destino de Backup, você pode escolher a partição real onde deseja armazenar o backup. Depois de terminar, clique em Avançar para prosseguir para a próxima tela.
9. A tela de confirmação permite verificar novamente se todos os parâmetros de backup estão configurados corretamente. Quando estiver pronto para ir, clique no botão Backup. O backup deve levar algum tempo dependendo do tamanho do servidor do controlador de domínio. Assim que o backup for concluído com êxito, você pode fechar o Assistente de Backup.
se você fechou o Assistente de Backup sem esperar pelo status da última mensagem, o backup continuará a ser executado em segundo plano. Você também pode confirmar o status e os resultados de conclusão do backup do console webadmin (ou recurso de Backup do Windows Server). O console exibirá uma mensagem com informações desse backup (e outras).
conclusão
explicamos em detalhes como fazer backup do Active Directory usando o backup do Windows Server. Usamos a abordagem manual “Backup Once”, mas é claro que você também pode configurar uma “programação de Backup” para executar tarefas periódicas de backup de anúncios.
como já mencionado, o recurso de Backup do Windows Server é uma ferramenta gratuita fácil de usar que é empacotada na maioria dos sistemas operacionais Windows Server e pode funcionar com VSS para executar backups completos ou do Estado do sistema. No entanto, também existem muitas ferramentas de backup do Active Directory de terceiros que você pode usar. Na verdade, quase todos os Serviços de backup de nível empresarial devem ser capazes de fazer backup do Active Directory com pouca ou nenhuma dificuldade. A diferença entre todas essas ferramentas está principalmente na maneira como algumas delas fornecem mais recursos, especialmente quando se trata de fazer backup e restaurar o Active Directory.