📘 Backup do Active Directory - Ajuda Inetweb - Base de Conhecimento
📘 Backup do Active Directory
🛡️ Boas práticas para ambientes Active Directory
Antes de abordar o funcionamento do backup, é importante destacar algumas boas práticas recomendadas pela Microsoft para ambientes que utilizam o Active Directory.
🖥️ Utilizar ao menos dois Controladores de Domínio
É recomendado que o ambiente possua no mínimo dois controladores de domínio.
Isso garante:
- Alta disponibilidade do serviço de autenticação
- Continuidade do ambiente caso um servidor apresente falha
- Replicação automática dos dados do diretório
Com mais de um controlador de domínio, os usuários continuam conseguindo realizar login e acessar recursos mesmo que um dos servidores fique indisponível.
🔄 Manter o ambiente atualizado
Os servidores devem receber atualizações regulares de segurança, reduzindo riscos de vulnerabilidades no ambiente.
🔐 Controle de acessos administrativos
Contas com privilégios administrativos devem ser utilizadas apenas quando necessário, reduzindo riscos de alterações indevidas ou comprometimento do domínio.
📊 Monitoramento do ambiente
É recomendado acompanhar eventos importantes do domínio, como:
- criação ou remoção de usuários
- alterações em grupos
- falhas de autenticação
💾 Manter backups regulares
Mesmo com boas práticas aplicadas, incidentes podem ocorrer.
Por isso, manter backups atualizados é essencial para garantir a recuperação do ambiente.
☁️ Como funciona o backup do Active Directory
O backup do servidor que atua como controlador de domínio é realizado através da plataforma Acronis Cyber Protect.
Esse tipo de backup protege todo o servidor, incluindo os componentes críticos do Active Directory.
Entre os principais itens protegidos estão:
- Sistema operacional do servidor
- Discos da máquina
- Banco de dados do Active Directory
- Configurações do servidor
- Diretório SYSVOL (responsável por GPOs e scripts de logon)
Dessa forma, é possível recuperar tanto o servidor completo quanto arquivos importantes do ambiente de diretório.
♻️ Opções de restauração disponíveis
Dependendo do cenário de incidente, existem diferentes formas de restaurar o ambiente.
🖥️ 1. Restauração completa do servidor
Esse é o cenário mais comum em casos de falha grave do servidor.
Exemplos:
- falha de hardware
- corrupção do sistema operacional
- infecção por malware
- indisponibilidade total da máquina
Nesse caso é possível restaurar:
- sistema operacional
- discos do servidor
- arquivos
- Active Directory completo
- configurações de DNS
Após a restauração, o servidor volta a operar com o estado existente no momento do backup selecionado.
⚠️ Observação:
Após esse tipo de recuperação, a configuração de rede pode retornar em modo automático (DHCP), sendo necessário ajustar manualmente o endereço IP do servidor.
📂 2. Recuperação de arquivos relacionados ao Active Directory
Também é possível recuperar arquivos específicos do servidor, incluindo arquivos internos utilizados pelo Active Directory.
Entre os principais diretórios protegidos estão:
📁 Banco de dados do Active Directory
C:\Windows\NTDS
Arquivos principais:
- ntds.dit – banco de dados principal do Active Directory
- edb.log – logs de transação do banco de dados
- edb.chk – arquivo de checkpoint do mecanismo de banco
📁 Diretório SYSVOL
C:\Windows\SYSVOL
Esse diretório armazena:
- políticas de grupo (GPOs)
- scripts de logon
⚠️ O caminho pode variar conforme a configuração do ambiente.
⚠️ Atenção sobre restauração granular
A recuperação por arquivos refere-se aos arquivos internos do Active Directory, como o banco de dados ntds.dit.
Esses arquivos representam o estado completo do diretório no momento do backup, e não objetos individuais exportados separadamente.
Por esse motivo, restaurar esses arquivos em outro servidor com uma instalação diferente de Active Directory pode gerar:
- inconsistências no diretório
- falhas no serviço de domínio
- conflitos de replicação
Isso ocorre porque os arquivos pertencem a uma instância específica do domínio, contendo identificadores internos e metadados próprios daquele ambiente.
A própria Microsoft recomenda que a recuperação do banco de dados do Active Directory seja realizada no próprio controlador de domínio ou em cenários adequados de recuperação do domínio.
🖥️ 3. Restauração em um novo servidor
Caso o servidor original não esteja mais disponível, é possível restaurar o backup em um novo servidor.
Nesse cenário, o backup é utilizado para recriar o servidor original, incluindo:
- sistema operacional
- configurações do servidor
- Active Directory
- DNS
- arquivos do sistema
Após a restauração, o novo servidor assume o mesmo estado do servidor original no momento do backup selecionado.
⚠️ Assim como nos outros cenários, pode ser necessário ajustar manualmente configurações de rede, como endereço IP.
🔎 Cenários comuns de recuperação
Algumas situações onde o backup pode ser utilizado incluem:
👤 Exclusão acidental de objetos
Caso usuários, computadores ou unidades organizacionais sejam removidos acidentalmente, o backup pode ajudar a recuperar dados do diretório ou restaurar o servidor para um ponto anterior.
🖥️ Falha ou corrupção do servidor
Se o controlador de domínio apresentar falha grave ou erro crítico, é possível restaurar o servidor completo com suas configurações.
🦠 Incidente de segurança ou malware
Em casos de infecção ou comprometimento do servidor, o backup permite restaurar o ambiente para um momento anterior ao incidente.
💥 Perda total do servidor
Caso o servidor original não esteja mais disponível, o backup pode ser restaurado em uma nova máquina, recriando o controlador de domínio.
✅ Conclusão
O backup do controlador de domínio realizado pela plataforma Acronis garante a proteção dos componentes críticos do ambiente de diretório.
Isso permite recuperar o ambiente em diferentes cenários, como falhas do servidor, incidentes de segurança ou indisponibilidade da máquina.
Quando combinado com boas práticas de infraestrutura e segurança recomendadas pela Microsoft, o backup contribui para garantir a continuidade e a recuperação do ambiente de Active Directory.