Pré-Requisitos: Conceitos de Backup/Restore vistos no Capítulo 5.
Metodologia: Apresentação de conceitos, juntamente com exemplos práticos.
Técnica: Exemplos práticos de backup/restore do Active Directory.

A base de dados do Active Directory contém informações das quais depende todo o funcionamento da rede. Apenas para citar as mais conhecidas, é no Active Directory que ficam armazenadas informações sobre todas as contas de usuários do domínio, sobre todos os grupos, sobre relações de confiança, sobre contas de computadores, sobre OUs, enfim, informações das quais depende o funcionamento da rede.

É claro que o fato de existir vários DCs em um domínio, cada DC com uma cópia completa do Active Directory, reduz os riscos de perdas destas informações. Em caso de catástrofe, tal como a perda do HD onde está instalado o Windows Server 2003, sempre será possível reinstalar o Windows Server 2003 e, através da replicação, obter uma cópia integral do Active Directory a partir de outros DCs do domínio. O Backup é útil para agilizar este processo, uma vez que, dependendo do volume de dados do Active Directory, pode demorar algum tempo (até mesmo alguns dias), até que o DC consiga receber uma cópia completa do Active Directory, através da replicação de outros DCs do domínio.

Neste tópico você aprenderá sobre como realizar o Backup do Active Directory, sobre conceitos tais como Backup com e sem autoridade e como fazer o restore do Active Directory. O backup do Active Directory é feito com o utilitário de backup, discutido no Capítulo 15. O restore é feito com este mesmo utilitário em conjunto com o comando Ntdsutil, o qual pode ser utilizado para fazer um restore seletivo, apenas de partes específicas do Active Directory.

Backup do Active Directory:

Com o utilitário de Backup do Windows Server 2003 você pode fazer o backup do Active Directory com o DC estando ligado e na rede e pode ser feito o backup somente do Active Directory ou do Active Directory juntamente com os dados do servidor. O backup pode ser feito em disco ou em qualquer mídia suportada pelo utilitário de backup do Windows Server 2003.

Um detalhe importante a ser observado é que quando é feito o backup do Active Directory, o único tipo de backup suportado é o backup normal. Ou seja, não podem ser utilizados os backups do tipo incremental, diferencial, cópia ou diário, quando é feito o backup do Active Directory. Para detalhes sobre cada tipo de backup e estratégias de backup/restore, consulte o Capítulo 15. O backup normal faz uma cópia de todo o conteúdo do servidor. Na hora de fazer o restore basta ter disponível o último backup normal que foi efetuado.

Ao fazer o backup do Active Directory, o utilitário de backup do Windows Server 2003 também realiza o backup de todas as informações das quais depende o funcionamento do Active Directory, tais como registros de componentes e DLLs, registry do sistema e assim por diante. Este conjunto de informações é conhecido como estado do sistema. As informações que compõem o estado do sistema são as seguintes:

• Arquivos de inicialização
• Registros de componentes COM+
• Pasta SYSVOL
• Base de dados do Certificados Digitais (se instalado o Certificate Services)
• Base do DNS (se instalado)
• Informações de cluster (se o servidor participa de um cluster)
• Active Directory

Restore do Active Directory:

Existem duas abordagens diferentes que podem ser utilizadas para restaurar os dados do Active Directory, em caso de falhas que provoquem perda ou corrupção dos dados do Active Directory:

1.         Reinstalar o Windows Server 2003, promove-lo a DC e deixar que o mecanismo padrão de replicação entre DCs se encarregue de restaurar a base completa do Active Directory. Esta opção pode ser inviável para escritórios ligados à rede da empresa através de links de WAN de baixa velocidade, principalmente se a base de dados do Active Directory for grande (1 GB ou mais).

Ou

2.         Fazer o restore a partir de um backup efetuado previamente. No caso do restore a partir do backup, existem dois métodos diferentes de restore que podem ser executados, conforme descrito a seguir:

2.1.      Nonauthoritative (Sem autoridade): Este é um restore normal. Os dados serão restaurados a partir do backup. Uma vez concluída a restauração, o DC passará a receber as atualizações dos outros DCs. Sempre que um outro DC contiver informações mais atualizadas do que as que foram restauradas do backup, estas informações serão replicadas para o DC onde foi feito o restore. É o processo padrão de restore.

2.2.      Authoritative (Com autoridade): Esta é uma situação especial. Para ilustrar este tipo de restore, vou utilizar uma situação prática onde ele seria necessário. Imagine que, por engano, um administrador excluiu uma OU e todo o seu conteúdo. Esta informação (ou seja a informação de que a OU foi excluída) será replicada para os demais DCs do domínio. O efeito prático é que esta OU será excluída em todos os DCs do domínio. Você pode imaginar o seguinte: Basta restaurar a OU a partir do Backup e pronto, as informações da OU serão replicadas para os demais DCs e os dados serão recuperados. Nada disso. Ao restaurar a OU usando o método normal (Nonauthoritative), os dados da OU serão considerados mais antigos do que a informação de que não existe a OU. Quando houver a replicação entre o DC onde foi feito o restore da OU e qualquer outro DC do domínio, o que irá acontecer é que a OU será novamente excluída e não enviada para os outros DCs, pois a informação de que ela foi excluída, é mais recente do que os dados da OU. Com o uso de um restore Authoritative é possível recuperar esta informação. Nesta situação, o administrador utiliza o comando Ntdsutil para fazer um restore Authoritative (Com autoridade) da OU que foi excluída. Fazer um restore authoritative significa alterar o número de série dos dados que estão sendo restaurados, de tal maneira que eles sejam considerados as atualizações mais recentes. Com isso, quando houver a replicação entre o DC onde foi feito o restore e os demais DCs, os dados da OU serão considerados mais recentes e a OU e todo o seu conteúdo será replicada para os demais DCs. O efeito prático é que os dados da OU serão recuperados.

Quem tem permissão para fazer o backup do estado do sistema?

Para fazer o backup ou um restore do tipo nonauthoritative, o usuário deve ter as seguintes permissões e direitos de usuário:

• Para fazer o backup do estado do sistema, o usuário deve pertencer ao grupo Backup Operators (Operadores de cópia) ou ao grupo Local do domínio Administrators (Administradores).

• Para fazer o restore do estado do sistema, o usuário deve pertencer ao grupo Local do domínio Administrators (Administradores).

Bem, esta é a teoria sobre o Backup/Restore do Active Directory. A seguir descreverei as operações práticas de backup/restore do Active Directory.

Fazendo o backup do Active Directory.

Neste item mostrarei como fazer o backup do Active Directory utilizando o utilitário de backup do Windows Server 2003. A base de dados do Active Directory é composta dos seguintes arquivos, localizados na pasta %windir%\ntds (a não ser que você tenha especificado um caminho diferente quando o servidor foi promovido a DC), onde %windir% refere-se a pasta onde o Windows Server 2003 está instalado:

• Ntds.dit: Este é o banco de dados do Active Directory.
• Ebb.chk: O arquivo de checkpoin, utilizado pelo mecanismo de banco de dados do Active Directory.
• Ebb*.log: Arquivos onde são registrados os logs de transações do banco de dados do Active Directory. A cada 10 MB é iniciado um novo arquivo de log.
• Res1.log e Res2.log: Log de transações, reservado.

Fazer o backup do Active Directory, significa fazer o backup do sistema, conforme descrito no exemplo prático logo a seguir.

IMPORTANTE: Você não pode fazer o backup do sistema remotamente através da rede. Ou seja, para fazer o backup do sistema de um servido, por exemplo o servidor SRV01, você tem que estar logado localmente neste servidor ou o script que faz o backup tem que estar agendado para execução no servidor  SRV01. Os dados do backup podem ser gravados em um volume do próprio servidor SRV01 ou em um drive de rede ou fita de backup, mas a tarefa que executa o backup tem que ser executada no próprio servidor.

Exercício: Para fazer o backup do estado do sistema (no qual está incluído o backup do Active Directory), siga os passos indicados a seguir:

1.         Faça o logon no DC onde o backup será efetuado, com uma conta pertencente ao grupo Administrators (Administradores) ou ao grupo Backup Operators (Operadores de cópias).
2.         Abra o utilitário de backup: Start -> All Programas -> Acessories -> System Tools -> Backup (Iniciar -> Todos os programas -> Acessórios -> Ferramentas do sistema -> Backup).
3.         Será aberta a tela inicial do assistente de backup. A primeira tela é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
4.         Na segunda etapa você deve informar se será feito um backup ou um restore. Marque a opção Back up files and settings (Fazer o backup dos arquivos e configurações) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
5.         Nesta etapa você tem duas opções: All information on this computer (Todas as informações neste computador) ou Let me choose what to back up (Deixe-me escolher o que fazer o backup). Selecione a opção Let me choose what to back up e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
6.         Nesta etapa você deve selecionar quais os itens serão incluídos no Backup. Clique no sinal de + ao lado de My Computer (Meu computador, no painel da esquerda). Nas opções que são exibidas, marque a opção System State (Estado do sistema), conforme indicado na Figura 17.52:

Figura 17.52 Fazendo o backup do estado do sistema.

7.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8.         Nesta etapa você deve informar onde será feito o backup (em disco, em fita ou em outro meio disponível no servidor). Se for em disco você deve informar a pasta onde será feito o backup e o nome do arquivo de backup. Forneça as informações de acordo com a mídia de backup que você está utilizando e clique em Next (Avançar), para seguir para a próxima etapa do assistente.

Nota: Para maiores detalhes sobre mídias de backup, backup em fita e backup em disco, consulte o Capítulo 15.

9.         Será exibida a tela final do assistente. Nesta etapa você pode clicar no botão Advanced... (Avançado...), para que sejam exibidas opções para agendamento do backup. Ao definir o agendamento do backup será criada uma Tarefa agendada, a qual executa o backup de acordo com o agendamento criado pelo administrador. Clique no botão Advanced... (Avançado).
10.       Será exibida uma tela para que você selecione o tipo de backup. Por padrão já vem selecionado o tipo Normal. Para o backup do Active Directory deve ser utilizado o tipo Normal. Vamos aceitar a sugestão do assistente. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       Nesta etapa você tem a opção de definir se os dados devem ser verificados após o backup ou não. Se você habilitar a verificação, o processo de backup ficará mais demorado, pois após ter sido feita a cópia dos dados, estes serão verificados e comparados com os dados originais. Certifique-se de que a opção para habilitar a verificação dos dados após o backup esteja desmarcada e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12.       Nesta etapa você pode definir se o backup será anexado a um outro backup já existente ou se deve substituir os backups já existentes. Por exemplo, se você está fazendo o backup do Active Directory em disco, na pasta C:\backups\bad.bkf. Se você escolher a opção Append this backup to the existing backups (Anexar este backup aos backups existentes), será mantida cada backup do Active Directory e o novo backup será acrescentado ao anterior. Você ficará com um histórico das várias versões do Active Directory. Se você selecionar a opção Replacing the existing backups (Substituir os backups existentes), todos os backups anteriores serão excluídos e será mantido apenas o último backup. Esta é a opção normalmente utilizada para backup do estado do sistema, uma vez que o que interessa é apenas o estado atual, ou seja, o último backup. Selecione a opção Replacing the existing backups (Substituir os backups existentes) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
13.       Nesta etapa você pode definir se deseja executar o backup imediatamente após a conclusão do assistente – Now (Agora) ou se deseja criar uma tarefa que executa o backup de acordo com um agendamento, como por exemplo, diariamente as 2:00 da manhã – Later (Mais tarde). Marque a opção Later e digite um nome para a tarefa agendada que será criada, conforme exemplo da Figura 17.53:

Figura 17.53 Informando que será criado um agendamento.

14.       Clique no botão Set Schedule... (Definir agendamento). Será aberta a janela Schedule Job, a qual você aprendeu utilizar no Capítulo 15. Defina as opções indicadas na Figura 17.54, para definir um backup diário do Active Directory, as 2:00 da madrugada e clique em OK.

Figura 17.54 Definindo um agendamento para o backup do Active Directory.

15.       Será exibida a janela solicitando informações sobre a conta com a qual deverá ser executada a tarefa agendada que irá fazer o backup. Informe uma conta com permissão de Administrador ou de Backup Operator. A conta deve ser informada no formato DOMÍNIO\NomeDaConta. Informe a conta e a senha e clique em OK.
16.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente. Se forem solicitadas novamente as informações da conta para execução da tarefa agendada, informe novamente e clique em OK.
17.       Se você quiser fazer alguma alteração utilize o botão Back (Voltar). Clique em Finish (Concluir), para encerrar o assistente e criar a tarefa agendada, a qual fará o backup do Active Directory.
18.       Agora vamos verificar se a tarefa foi realmente criada.
19.       Abra o Painel de controle e dê um clique duplo na opção Sheduled Tasks (Tarefas agendadas). A tarefa Backup diário do Active Directory já deve estar sendo exibida, conforme indicado na Figura 17.55:

Figura 17.55 A tarefa “Backup diário do Active Directory”.

20.       A partir de agora, será feito um backup diário do Active Directory, sempre as 2:00 da madrugada. Você pode iniciar um backup manualmente, a qualquer momento. Para isso basta clicar com o botão direito do mouse na tarefa Backup diário do Active Directory e, no menu de opções que é exibido, clicar em Run (Executar). A tarefa será iniciada e o backup do estado do sistema (no qual está incluído o Active Directory) é inicializado.

Sobre backup do Active Directory é isso, ou seja, basicamente executar o assistente de backup (como você aprendeu no Capítulo 15), apenas com o detalhe de marcar a opção Estado do sistema. Para fazer o restore existem alguns detalhes adicionais que devem ser observados, conforme descreverei logo a seguir.

Fazendo o restore do Active Directory.

Conforme descrito anteriormente existem dois métodos para fazer o restore do Active Directory. O primeiro é reinstalar o Windows Server 2003, usar o comando dcpromo para instalar o Active Directory e deixar que o processo de replicação entre os DCs do domínio se encarregue de sincronizar o novo DC com os demais DCs do domínio. Com este método o Active Directory é restaurado e sincronizado com as últimas alterações do domínio. Outro método é restaurar o Active Directory a partir de um backup. Este método restaura o Active Directory até a situação do momento em que foi feito o backup. Alterações que foram efetuadas após o backup, serão recebidas a partir dos outros DCs, através do processo de replicação. Observe que com este segundo método, somente serão replicadas as alterações que foram efetuadas após o backup.

Ao fazer o restore a partir do backup você também tem a disposição diferentes métodos. Um dos métodos é conhecido como nonauthoritative (sem autoridade). Este é o método que será utilizado normalmente. O restore é feito a partir de um backup feito previamente. O restore é feito utilizando o utilitário de backup do Windows Server 2003. Por exemplo, imagine que houve um problema com o disco rígido onde estava instalado o Windows Server 2003, em um DC do domínio. Neste caso você pode substituir o HD, reinstalar o Windows Server 2003 e depois restaurar o backup do estado do sistema. Com isso o Active Directory também será restaurado. As alterações que foram efetuadas após o backup, serão repassadas para o DC através do mecanismo de replicação. Observe que este método tem a vantagem de reduzir a quantidade de tráfego gerado na WAN, em relação ao método que restaura toda a base de dados usando replicação. Neste método, grande parte da base de dados do Active Directory é restaurada a partir do backup. Somente as alterações efetuadas após o backup ter sido feito é que serão replicadas.

Conforme descrito anteriormente, outro método de fazer o restore é o restore authoritative (com autoridade), na qual você marca uma parte do Active Directory para ser restaurada com autoridade, o que significa que esta informação será considerada como sendo a mais atualizada e será replicada para os demais DCs. Para fazer um backup authoritative, o administrador tem que utilizar o comando Ntdsutil.

Efetuando um restore nonauthoritative, usando o utilitário de backup.

Neste item mostrarei como fazer um restore do Active Directory usando o utilitário de backup. Será feito um restore nonauthoritative, usando o backup criado no item anterior. Para fazer o restore do Active Directory, você precisa reinicializar o DC em um modo especial, conhecido como Directory Services Restore Mode. Ou seja, o restore não é feito no modo normal, com o DC inicializado normalmente. É preciso reinicializar o servidor e entrar no modo especial Directory Services Restore Mode.

Para colocar o servidor no modo especial Directory Services Restore Mode, siga os passos indicados a seguir:

1.         Reinicialize o DC.
2.         Ao ser  reinicializado, ainda no modo caractere, logo após terminar a contagem da memória RAM do servidor, pressione repetidamente a tecla de Função F8, até que seja exibido o menu de inicialização avançado (sobre o qual falarei no Capítulo 21).
3.         Neste menu selecione a opção Directory Services Restore Mode (Domain controllers only) e pressione Enter.
4.         O DC será reinicializado no modo de restauração do Active Directory. Neste modo o Active Directory não é inicializado e, portanto, você não poderá usar as contas do Active Directory para fazer o logon. Mas se não posso usar as contas do Active Directory para fazer o logon, que contas vou utilizar? A conta local de administrador que foi definida quando o servidor ainda era um Member server. Use esta conta e a respectiva senha para fazer o logon.
5.         Pronto, o DC está no modo de restauração do Active Directory. Agora é só seguir os passos do próximo exemplo.

Exemplo: Para fazer um restore nonauthoritative, usando o utilitário de backup, siga os passos indicados a seguir:

1.         Faça o logon no DC onde o restore será efetuado, com uma conta pertencente ao grupo Administrators (Administradores).
2.         Abra o utilitário de backup: Start -> All Programas -> Acessories -> System Tools -> Backup (Iniciar -> Todos os programas -> Acessórios -> Ferramentas do sistema -> Backup).
3.         Será aberta a tela inicial do assistente de backup. A primeira tela é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
4.         Nesta etapa você deve definir ser será feito um Backup ou um Restore. Marque a segunda opção Restore files and settings (Restaurar arquivos e configurações) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
5.         Nesta etapa será exibida a lista de backups disponíveis. Dê um clique duplo no backup do Active Directory, feito anteriormente. Abaixo do nome do backup marque a opção System State (Estado do sistema), conforme indicado na Figura 17.56:

Figura 17.56 Fazendo o restore do System State.

6.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Será exibida a tela final do assitente. Clique em Finish (Concluir) para iniciar o processo de restore. Uma vez concluído o processo feche o utilitário de backup e reinicialize o DC normalmente.
8.         O Active Directory terá sido restaurado até o estado de quando foi feito o backup e o processo de replicação se encarregará de atualizar o DC com as mudanças que foram feitas entre o momento do backup e o momento do restore.

Nota: Por padrão os dados do estado do sistema são restaurados para a pasta systemroot, ou seja, a pasta onde está instalado o Windows Server 2003. Com isso os dados do backup irão substituir os dados atualmente no disco. Você pode fazer com que alguns dados do estado do sistema sejam restaurados para um pasta diferente. Para isso clique no botão Advanced... (Avançado) na etapa final do assistente e, na janela que é exibida, especifique o novo local para fazer o restore. Os dados que são copiados para a nova localização são os seguintes: arquivos de inicialização, os arquivos que compõem a registry do sistema, a pasta SYSVOL e todo o seu conteúdo e informações de cluster (se for o caso). Já as informações do Active Directory, do registro dos componentes COM+ e do Certificate Services (se este estiver instalado) não serão restaurados para o local alternativo.

Efetuando um authoritative restore.

Você pode fazer um authoritative restore para todo o Active Directory ou apenas para partes específicas, tais como um ou mais OUs.  Para ilustrar este tipo de restore, vou utilizar uma situação prática onde ele seria necessário. Imagine que, por engano, um administrador excluiu uma OU e todo o seu conteúdo. Esta informação (ou seja a informação de que a OU foi excluída) será replicada para os demais DCs do domínio. O efeito prático é que esta OU será excluída em todos os DCs do domínio. Você pode imaginar o seguinte: Basta restaurar a OU a partir do Backup e pronto (restore do tipo nonauthoritative), as informações da OU serão replicadas para os demais DCs e os dados serão recuperados. Nada disso. Ao restaurar a OU usando o método normal (nonauthoritative), os dados da OU serão considerados mais antigos do que a informação de que não existe a OU. Quando houver a replicação entre o DC onde foi feito o restore da OU e qualquer outro DC do domínio, o que irá acontecer é que a OU será novamente excluída e não enviada para os outros DCs, pois a informação de que ela foi excluída, é mais recente do que os dados da OU. Com o uso de um restore authoritative é possível recuperar esta informação. Nesta situação, o administrador utiliza o comando Ntdsutil para fazer um restore authoritative (com autoridade) da OU que foi excluída. Fazer um restore authoritative significa alterar o número de série dos dados que estão sendo restaurados, de tal maneira que eles sejam considerados as atualizações mais recentes. Com isso, quando houver a replicação entre o DC onde foi feito o restore e os demais DCs, os dados da OU que está sendo restaurada serão considerados mais recentes e a OU e todo o seu conteúdo será replicada para os demais DCs. O efeito prático é que os dados da OU serão recuperados.

O processo é bastante simples. Inicialmente você faz um restore nonauthoritative usando o utilitário de backup, estando o DC no modo Directory Services Restore Mode, conforme descrito no item anterior. Em seguida, antes de reinicializar o DC, você utiliza o comando ntdsutil para marcar objetos do Active Directory (como por exemplo uma OU) como sendo authoritative, ou seja, devem ser replicados para os demais DCs, atualizando outras cópias destes objetos que existam nos demais DCs do domínio. O que o comando Ntdsutil faz para tornar um determinado objeto authoritative é atribuir a este objeto um número de série bem elevado, muito acima da faixa normal utilizada para número de série dos objetos. Com isso o objeto marcado como authoritative será considerado mais atualizado que a cópia que está nos demais DCs e a cópia restaurada como authoritative será replicada para todos os demais DCs do domínio.

Exemplo: Efetuar um restore authoritative para uma OU chamada teste. Para fazer este restore dois passos devem ser executados. Primeiro será feito o restore normal do Active Directory, usando o utilitário de backup. Em seguida utilizaremos o comando ntdsutil para marcar a ou teste como authoritative.

Para fazer o restore proposto pelo exemplo siga os passos indicados a seguir:

Etapa 1: Fazer o restore nonauthoritative usando o utilitário de backup. Para isso, siga os passos indicados a seguir:

1.         Reinicialize o DC.
2.         Ao ser  reinicializado, ainda no modo caractere, logo após terminar a contagem da memória RAM do servidor, pressione repetidamente a tecla de Função F8, até que seja exibido o menu de inicialização avançado (sobre o qual falarei no Capítulo 21).
3.         Neste menu selecione a opção Directory Services Restore Mode (Domain controllers only) e pressione Enter.
4.         O DC será reinicializado no modo de restauração do Active Directory. Neste modo o Active Directory não é inicializado e, portanto, você não poderá usar as contas do Active Directory para fazer o logon. Mas se não posso usar as contas do Active Directory para fazer o logon, que contas vou utilizar? A conta local de administrador que foi definida quando o servidor ainda era um Member server. Use esta conta e a respectiva senha para fazer o logon.
5.         Pronto, o DC foi inicializado no modo de restauração do Active Directory.
6.         Faça o logon no DC onde o restore será efetuado, com uma conta local do administrador.
7.         Abra o utilitário de backup: Start -> All Programas -> Acessories -> System Tools -> Backup (Iniciar -> Todos os programas -> Acessórios -> Ferramentas do sistema -> Backup).
8.         Será aberta a tela inicial do assistente de backup. A primeira tela é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa você deve definir ser será feito um Backup ou um Restore. Marque a segunda opção Restore files and settings (Restaurar arquivos e configurações) e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
10.       Nesta etapa será exibida a lista de backups disponíveis. Dê um clique duplo no backup do Active Directory, feito anteriormente. Abaixo do nome do backup marque a opção System State (Estado do sistema).
11.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12.       Será exibida a tela final do assitente. Clique em Finish (Concluir) para iniciar o processo de restore. Uma vez concluído o processo feche o utilitário de backup. A próxima etapa é utilizar o utilitário Ntdsutil para marcar a OU teste para ser um restore do tipo authoritative.

Etapa 2: utilizar o utilitário Ntdsutil para marcar a OU teste para ser um restore do tipo authoritative e reinicializar o DC:

1.         Após ter feito o restore nonauthoritative descrito na Etapa 1, desconecte o cabo de rede do DC e reinicialize-o no modo Directory Services Restore Mode novamente.
2.         Faça o logon com a conta de administrador local.
3.         Abra um Prompt de comando.
4.         Digite ntdsutil e pressione Enter.
5.         Será exibido o prompt do comando ntdsutil.
6.         digite authoritative restore e pressione Enter.

6.1.      Para fazer um restore authoritative de todo o Active Directory, digite o seguinte comando: Restore database e pressione Enter.
6.2.      Para restaurar apenas parte do Active Directory, utilize o comando Restore subtree <nome LDAP da parte a ser restaurada>. Por exemplo, para restaurar authoritatively a OU texto, do domínio abc.com, digite o seguinte comando:

Restore Subtree OU=teste,DC=abc,DC=com

Ao executar este comando o utilitário ntdsutil acessa os dados do arquivo ntds.dit e aumenta o número de versão dos objetos que estão sendo restaurados de maneira authoritative.

7.         Para sair do utilitário ntdsutil digite quit e pressione Enter.
8.         Agora é só restaurar o DC no modo normal e conecta-la a rede.

Ao ser reinicializado o DC passa a receber as atualizações dos demais DCs da rede, atualizações que foram feitas entre o momento do backup e o momento do restore. As porções que foram marcadas como authoritative, usando o comando ntdsutil serão replicadas para os demais DCs do domínio.

Os comandos Ldifde e Dsadd.

Neste item falarei sobre mais dois comandos que são utilizados para administração do Active Directory. São eles:
• Comando Ldifde: É utilizado para criar, modificar e excluir objetos no Active Directory. Este comando também pode ser utilizado para fazer alterações no schema, exportar informações sobre usuários e grupos do Active Directory para outras aplicações ou serviços e para criar objetos no Active Directory, com base em dados de outros serviços de diretório.

Por exemplo, você pode exportar informações completas sobre o domínio, usando o seguinte comando:

ldifde -f teste.txt

Este comando irá exportar informações do Active Directory para um arquivo de texto chamado teste.txt. A seguir mostro um trecho deste arquivo onde são exibidas informações sobre os usuários user01 e user02:

***************************************************************************

dn: CN=Usuário 01,CN=Users,DC=abc,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn:: VXN1w6FyaW8gMDE=
sn: 01
c: BR
l:: Qm9xdWVpcsOjbyBkbyBMZcOjbw==
st: RS
postalCode: 11111-111
postOfficeBox: 202
givenName:: VXN1w6FyaW8=
distinguishedName:: Q049VXN1w6FyaW8gMDEsQ049VXNlcnMsREM9YWJjLERDPWNvbQ==
instanceType: 4
whenCreated: 20030521203529.0Z
whenChanged: 20030622220300.0Z
displayName:: VXN1w6FyaW8gMDE=
uSNCreated: 28821
memberOf: CN=Empresa,CN=Users,DC=abc,DC=com
memberOf: CN=Remote Desktop Users,CN=Builtin,DC=abc,DC=com
uSNChanged: 192555
co: Brazil
name:: VXN1w6FyaW8gMDE=
objectGUID:: EBaU6VS8pEC7TC+AX71sRA==
userAccountControl: 512
badPwdCount: 0
codePage: 0
countryCode: 76
badPasswordTime: 127007929242509392
lastLogoff: 0
lastLogon: 127007929904160800
pwdLastSet: 127007929802114064
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWAQAAA==
accountExpires: 9223372036854775807
logonCount: 12
sAMAccountName: user01
sAMAccountType: 805306368
userPrincipalName: user01@abc.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=abc,DC=com
lastLogonTimestamp: 127007929166900672

dn: CN=Usuário 02,CN=Users,DC=abc,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn:: VXN1w6FyaW8gMDI=
sn: 02
c: BR
l:: Qm9xdWVpcsOjbyBkbyBMZcOjbw==
st: RS
postalCode: 11111-111
postOfficeBox: 202
givenName:: VXN1w6FyaW8=
distinguishedName:: Q049VXN1w6FyaW8gMDIsQ049VXNlcnMsREM9YWJjLERDPWNvbQ==
instanceType: 4
whenCreated: 20030521203549.0Z
whenChanged: 20030527171532.0Z
displayName:: VXN1w6FyaW8gMDI=
uSNCreated: 28828
memberOf: CN=Empresa,CN=Users,DC=abc,DC=com
memberOf: CN=Diretoria,CN=Users,DC=abc,DC=com
memberOf: CN=Remote Desktop Users,CN=Builtin,DC=abc,DC=com
uSNChanged: 69655
co: Brazil
name:: VXN1w6FyaW8gMDI=
objectGUID:: QkTGRkqTJ0q0G2f39TBrqQ==
userAccountControl: 512
badPwdCount: 2
codePage: 0
countryCode: 76
badPasswordTime: 127010648937117488
lastLogoff: 0
lastLogon: 126989930258144832
pwdLastSet: 126980229491607312
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWQQAAA==
accountExpires: 9223372036854775807
logonCount: 6
sAMAccountName: user02
sAMAccountType: 805306368
userPrincipalName: user02@abc.com
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=abc,DC=com

***************************************************************************
Observe que inclusive o SID dos usuários é exportado, conforme indicado no trecho a seguir, onde é exibido o SID do usuário user01:

dn: CN=Usuário 01,CN=Users,DC=abc,DC=com
…
objectSid:: AQUAAAAAAAUVAAAAos6r3/QHf9F2488HWAQAAA==

Para ver a lista completa de opções do comando ldifde sem nenhum parâmetro. É só digitar ldifde e pressionar Enter.

• O comando Dsadd: Este comando é utilizado para adicionar usuários, grupos, computadores, contatos e OUs no Active Directory.

Por exemplo, o comando a seguir é utilizado para adicionar o usuário jsilva5, ao domínio abc.com, com o primeiro nome (-fn) Jose, o nome do meio (-mi) da e o último nome (-fn) silva, sendo a senha (-pwd) definida como senha;;123

dsadd user CN=jsilva5,DC=abc,DC=com -fn Jose -mi da -ln Silva -pwd senha;;123

Ao executar este comando você receberá a mensagem indicada a seguir.

dsadd succeeded:CN=jsilva5,DC=abc,DC=com

Para exibir todas as opções do comando dsadd user, basta digitar o seguinte comando:

dsadd user /?

e pressionar Enter.

Outras variações do comando dsadd são as seguintes:

dsadd computer          ->         Para adicionar uma conta de computador
dsadd group                ->         Para criar um novo grupo
dsadd ou                     ->         Para criar uma nova OU

Bem, sobre as ferramentas para administração do Active Directory era isso. No próximo tópico passaremos ao estudo das ferramentas para integração com outros sistemas operacionais, tais como,  Novell e Unix/Linux.