Boletim de Informaes

Tcnicas
Backup e restaurao do Active Directory no W2K8
Server

Introduo :
Administrao do Windows
https://technet.microsoft.com/pt-br/library/2008.05.adbackup.aspx

Viso geral:
NTBACKUP X Backup do Windows Server

Opes e ferramentas de backup

Opes e ferramentas de recuperao

Segredos para uma estratgia de backup segura do Active Directory

Todos vocs sabem que os ADDS (Servios de Domnio do Active Directory) so um

componente de misso crtica na sua infra-estrutura do Windows. Se o Active Directory ficar
inativo, sua rede ficar essencialmente intil. Conseqentemente, seus planos de backup e
recuperao para o Active Directory so fundamentais para a segurana, a continuidade dos
negcios e a conformidade a normas.

O Windows Server 2008 apresenta vrios novos recursos para o Active Directory, dois dos
quais possuem um impacto significativo nos seus planos de backup e recuperao: o novo
utilitrio de Backup do Windows Server e a capacidade de obter e trabalhar com instantneos
do Servio de Cpias de Sombra de Volume do Active Directory. Neste artigo, eu descreverei as
alteraes que esses aprimoramentos apresentam como benefcio e como voc pode
aproveitar essas alteraes para simplificar suas atividades de backup do Active Directory.

NTBACKUP X Backup do Windows Server

Configuraes de Diretiva de Grupo

O Backup do Windows Server fornece vrias configuraes de Diretiva de Grupo que

proporcionam a voc um pouco de controle limitado em relao a como os backups funcionam
nos seus servidores. Com essas polticas de backup, voc pode atenuar alguns dos riscos
associados com as pessoas executarem backups no-autorizados para obter acesso a dados
tambm no-autorizados. As opes incluem:
Permitir somente backup do sistema Se estiver definida, o Backup do Windows Server poder
apenas fazer o backup de volumes crticos do sistema. Ele no poder executar backups de
volume. <br/><title>No permitir como destino de backup um meio de armazenamento
conectado localmente</title> Quando habilitada, essa configurao no permitir backups em
unidades conectadas localmente. Voc poder apenas fazer o backup em um
compartilhamento de rede.
No permitir rede como destino de backup Essa configurao no permite o backup em
nenhum compartilhamento de rede.
Pgina 1 de 19
 Boletim de Informaes
Tcnicas
No permitir mdia tica como destino de backup Quando definida, o Backup do Windows
Server no pode fazer o backup em nenhum dispositivo tico, como uma unidade de DVD
gravvel.
No permitir backups de execuo nica Essa configurao no permite que o Backup do
Windows Server execute backups ad hoc no-agendados. Apenas backups agendados pelo
snap-in do MMC do Backup do Windows Server podem ser executados.

O NTBACKUP que voc conhece e ama desde o Windows NT 3.5 no existe mais. O Backup
do Windows Server o substitui. E essa nova ferramenta no apenas um NTBACKUP adornado;
uma tecnologia de backup totalmente nova que o forar a pensar novamente na maneira
com que voc faz o backup dos seus sistemas.

Embora o Backup do Windows Server seja a nica soluo de backup pronta para o Windows
Server 2008, ele no uma substituio de recurso por recurso para o NTBACKUP. A maior
diferena que o Backup do Windows Server uma soluo de backup de disco para disco;
ele no suporta o backup em fita. Voc pode criar imagens de backup em volumes de disco de
acesso direto, em compartilhamentos de rede e at mesmo em unidades de disco USB
externas em DVDs gravveis de vrios volumes. Mas voc no pode fazer backup em fita. E
apenas para deixar claro, voc ainda pode fixar uma unidade de fita em um servidor Windows
Server 2008 e copiar as imagens geradas do Backup do Windows Server para a unidade de fita
mas voc ter que usar o software de outra pessoa para fazer isso.

Enquanto o NTBACKUP uma ferramenta de backup e restaurao baseada em arquivos, o

Backup do Windows Server baseado em volume e bloco. O Backup do Windows Server lida
com sua fonte de backup como um conjunto de volumes, com cada volume como uma coleo
de blocos de disco. Isso consideravelmente mais eficiente do que fazer o backup de arquivos
pelo sistema de arquivos. Lidar com backups por bloco tambm permite que o Backup do
Windows Server faa uso de instantneos do Servio de Cpias de Sombra de Volume para
executar backups incrementais de nvel de bloco, bem como criar instantneos no volume de
destino para simplificar o uso de (e reduzir o espao usado por) vrios backups.

Mesmo se voc estiver fazendo backups completos, o Backup do Windows Server fornece
excelentes eficincias de espao nos discos de destino. Por exemplo, voc pode executar
vrios backups completos do mesmo volume. Como o Backup do Windows Server usa
instantneos do Servio de Cpias de Sombra de Volume nos discos de destino onde ele
armazena as imagens de backup, os instantneos apenas iro armazenar os blocos que foram
alterados. Isso reduz substancialmente o espao usado por vrios backups completos e
elimina a necessidade de executar vrias operaes de restaurao para recuperar um backup
incremental. Embora o instantneo apenas armazene os deltas para cada backup, o Servio de
Cpias de Sombra de Volume faz cada backup parecer completo.

Esteja ciente, no entanto, que voc apenas obtm os benefcios dos instantneos do Servio
de Cpias de Sombra de Volume no destino se fizer o backup para um disco rgido local o
Backup do Windows Server no pode executar operaes do Servio de Cpias de Sombra de
Volume em backups armazenados em DVD ou compartilhamentos de rede.

Como um bnus adicional, o Backup do Windows Server armazena suas imagens de backup no
formato do Microsoft VHD (Virtual Hard Disk). Voc pode realmente pegar uma imagem de
backup e mont-la como um volume em uma mquina virtual executada no Microsoft Virtual
Server 2005. Voc pode simplesmente montar os VHDs em uma mquina virtual e procurar um
arquivo particular, em vez de ter que executar restauraes de teste de fitas para ver em qual
o arquivo est. (Uma nota de advertncia: voc no pode pegar uma imagem de backup e
inicializar uma mquina virtual a partir dela. Como a configurao do hardware cujo backup foi
feito no corresponde configurao da mquina virtual, voc no pode usar o Backup do
Windows Server como uma ferramenta de migrao de fsico para virtual.)
Pgina 2 de 19
 Boletim de Informaes
Tcnicas

H uma desvantagem na orientao de volume e bloco do Backup do Windows Server. Como

essa nova ferramenta olha a fonte do backup como um conjunto de volumes e blocos, ela no
permite que voc faa o backup apenas de arquivos selecionados. Voc precisa fazer o backup
do volume inteiro. E, ainda mais

problemtico, por padro, voc no pode armazenar uma imagem de backup em um dos
volumes cujo backup est sendo feito (existem algumas maneiras de configurar para resolver
esse problema; consulte support.microsoft.com/kb/944530). Isso tem uma implicao
profunda no backup de estado do sistema, como discutirei mais tarde neste artigo.

Instalao do Backup do Windows Server

O Backup do Windows Server um "recurso" do Windows Server 2008 e no instalado por
padro. Antes que voc possa executar um backup com o Backup do Windows Server, voc
precisa instalar o recurso, usando o Gerenciador de Servidores ou o utilitrio de linha de
comando SERVERMANAGERCMD:

C:\> servermanagercmd -install Backup-Features

O Backup do Windows Server composto de dois sub-recursos, Backup do Windows Server e

Ferramentas da Linha de Comando. Observe que as Ferramentas da Linha de Comando se
referem a um conjunto de cmdlets do Windows PowerShellTM e no ferramenta de linha
de comando WBADMIN .EXE. Portanto, se voc optar por instalar os dois sub-recursos, dever
instalar o recurso Windows PowerShell.

Aps instalar o Backup do Windows Server, voc poder encontrar o snap-in do MMC (Console
de Gerenciamento Microsoft) no n de Armazenamento do Gerenciador de Servidores e no
menu Ferramentas Administrativas. Se estiver instalando o Backup do Windows Server em
uma instalao Server Core do Windows Server 2008, use o comando OCSETUP ( importante
observar que o comando OCSETUP diferencia maisculas de minsculas):

C:\> ocsetup WindowsServerBackup

Uma descrio completa do processo de instalao est disponvel

em go.microsoft.com/fwlink/?LinkId=113146.
Observe que o Backup do Windows Server no pode restaurar imagens criadas com o
NTBACKUP. Para esse cenrio improvvel, a Microsoft disponibilizou uma verso do NTBACKUP
que pode ser baixada para Windows Server 2008 (consulte go.microsoft.com/fwlink/?
LinkId=113147).

Os componentes do Backup do Windows Server

A maneira na qual o aplicativo de Backup do Windows Server arquitetado representa uma
alterao significativa. Essa nova soluo de backup consiste de quatro componentes:
Interface de usurio MMC (WBADMIN.MCS)

Interface de linha de comando

(WBADMIN.EXE)
Servio de backup (WBENGINE.EXE)

Pgina 3 de 19
 Boletim de Informaes
Tcnicas
Conjunto de cmdlets do Windows PowerShell
Dividir o aplicativo em um cliente e um servio possui vrias vantagens, sendo que a mais
importante mais confiabilidade. Quer voc inicie um backup a partir do cliente MMC ou da
interface de linha de comando, o servio WBENGINE estar fazendo a tarefa pesada. Os
programas cliente apenas relatam o status do backup. Portanto, encerrar o cliente no
resultar em um backup pela metade. O cliente ir parar e o servio continuar at a
concluso. claro que se voc realmente desejar parar o backup, poder, mas dever faz-lo
explicitamente.

A outra vantagem dessa arquitetura dividida que voc pode usar o cliente para gerenciar
backups em mquinas remotas. Isso particularmente interessante quando voc precisa fazer
o backup de mquinas com vrios ncleos do Windows Server 2008.

O Backup do Windows Server suporta restauraes bare-metal usando o Ambiente de

Recuperao do Windows, ou WinRE, que acompanha a mdia de instalao do Windows
Server 2008. O WinRE simplifica o processo de recuperao de um servidor do zero. Eu
discutirei a execuo de uma restaurao bare-metal posteriormente neste artigo. Vale a pena
mencionar que o Backup do Windows Server suporta vrias configuraes de Diretiva de
Grupo para gerenciar backups descritas no quadro "Configuraes de Diretiva de Grupo".

Servio de Cpias de Sombra de Volume

O Backup do Windows Server usa o Servio de Cpias de Sombra de Volume de trs maneiras
diferentes. Quando voc inicia um backup completo no Windows Server 2008, a primeira coisa
que o aplicativo faz fazer uma cpia de sombra de todos os volumes de origem. Isso
proporciona uma viso consistente do sistema de arquivos para o software de backup com o
qual trabalhar. (Isso semelhante ao que o NTBACKUP fez.) O Backup do Windows Server
ento copia blocos do volume de origem bloco por bloco para destino do backup, criando
uma imagem VHD para cada volume cujo backup foi feito no processo.

A menos que voc especifique de outra forma, o Backup do Windows Server tambm cria um
instantneo do volume de origem, de forma que o Servio de Cpias de Sombra de Volume
rastreie todos os blocos alterados no volume. Isso permite que o Backup do Windows Server
crie backups incrementais de nvel de bloco que apenas exigem a leitura dos blocos alterados
do volume de origem. Em vez de ler e gravar um arquivo inteiro porque um bit foi alterado no
arquivo, o Backup do Windows Server pode ler e gravar apenas o bloco que foi alterado.

Isso proporciona backups incrementais muito eficientes, mas ao custo de E/S de disco extra
para operaes de gravao no volume de origem. Se voc estiver fazendo o backup de um
volume particularmente ocupado ou de desempenho crtico, voc deve desativar o
instantneo do Servio de Cpias de Sombra de Volume no volume de origem selecionando o
link Definir Configuraes de Desempenho e, em seguida, desativando os backups
incrementais nesse volume (como exibido na Figura 1).

Pgina 4 de 19
 Boletim de Informaes
Tcnicas

Figure 1 Disable incremental backups on busy volumes

Quando o backup estiver completo, o Backup do Windows Server tira um instantneo do

volume de destino (supondo que voc esteja fazendo o backup em um disco rgido conectado
localmente). Durante o prximo backup, os arquivos VHD de destino so sobrescritos. Mas
como o Servio de Cpias de Sombra de Volume est mantendo cpias de sombra do volume
de destino, existem, em vigor, vrias verses de cada arquivo VHD correspondentes a cada
um dos backups completos. Voc essencialmente obtm vrios backups completos pelo custo
de um backup completo e os blocos alterados.

Backup em compartilhamentos de rede

O backup em um compartilhamento de rede to fcil quanto o backup em um volume local.
A diferena significativa que ele no pode criar um instantneo do Servio de Cpias de
Sombra de Volume do volume

remoto. Portanto, cada backup completo sobrescrever o anterior, deixando-o apenas com a
imagem de backup completo mais recente de cada servidor em um compartilhamento de rede.
Devido a essa limitao, voc no pode usar o agendador do Backup do Windows Server para
agendar backups em um compartilhamento de rede. Voc pode, no entanto, usar o Agendador
de Tarefas do Windows para executar o programa de linha de comando WBADMIN para realizar
backups completos em um compartilhamento de rede. Se voc optar por agendar backups
completos em um compartilhamento de rede dessa maneira, altere a pasta de destino para
cada backup para evitar sobrescrever backups anteriores.

Pgina 5 de 19
 Boletim de Informaes
Tcnicas

Backup em DVDs gravveis

O Backup do Windows Server tambm suporta o backup em mdia tica, como DVDs gravveis.
E voc pode criar conjuntos de backups que se estendem por vrios volumes igualmente. O
Backup do Windows Server sempre compacta backups em DVDs, o que significa que voc pode
apenas executar restauraes completas do sistema ou do volume a partir do DVD. O Backup
do Windows Server no suporta restauraes e backups de nvel do sistema ou de estado do
sistema ao usar DVDs. E voc no pode agendar backups em DVD.

Backups e restauraes de estado do sistema

Backups de estado do sistema, que incluem apenas determinados arquivos e alguns bancos de
dados de aplicativos (e no volumes inteiro) til e muitas vezes essencial. Mas compilaes
anteriores do Windows Server 2008 no suportavam restauraes e backups de estado do
sistema . Em vez disso, a ferramenta de backup apenas fazia o backup de volumes crticos do
sistema (isto , qualquer volume necessrio para recuperar e reinicializar o SO e aplicativos
principais). Esses volumes de sistema crticos eram o equivalente orientado por volume de um
backup de estado do sistema.

Reconhecendo os comentrios de clientes, a Microsoft acrescentou recursos de restaurao e

backup de estado do sistema ao Backup do Windows Server. O aplicativo cria vrios arquivos
VHD, um para cada volume que hospeda os dados de estado do sistema, mas ele apenas
copia os arquivos e bancos de dados necessrios aos VHDs. Outro problema que quando
voc executa um backup de estado do sistema, o Backup do Windows Server no cria um
instantneo do volume de destino como o faz no processo normal de backup. Em vez disso,
cada backup de estado do sistema gera um conjunto inteiramente novo de arquivos VHD, o
que significa que voc no obtm as eficincias de espao encontradas com os backups de
volume baseados em instantneo .

Voc pode executar apenas um backup de estado do sistema usando o programa de linha de
comando WBADMIN.EXE o snap-in do MMC no fornece essa opo. Para executar um
backup de estado do sistema, voc usa este comando:

C:\> wbadmin start systemstatebackup

backuptarget:e:

O WBADMIN far ento o backup dos arquivos de sistema e dos bancos de dados do aplicativo
crticos para o volume de destino, em uma pasta reservada para backups de estado do
sistema. O backup de estado do sistema em um DC (controlador de domnio) do Windows
Server 2008 de 32 bits com uma DIT (rvore de informaes de diretrios) padro executa um
pouco mais que 6 GB isso 5 GB a mais que no Windows Server 2003 devido, em parte, ao
fato que o Backup do Windows Server est capturando arquivos principais do SO que o
NTBACKUP no capturava.

O tempo necessrio para se fazer o backup do estado do sistema tambm maior, como voc
esperaria. Esses nmeros iniciais, claro, so baseados em uma verso de pr-lanamento do
SO. Voc certamente precisaria testar isso em seu prprio ambiente, mas provvel que voc
precise planejar backups de estado do sistema maiores (e perodos de backup mais longos)
quando voc move seus controladores de domnio para o Windows Server 2008.

Backup de um servidor com o MMC

Pgina 6 de 19
 Boletim de Informaes
Tcnicas
Quando voc executa o MMC do Backup do Windows Server (consulte a Figura 2), voc tem a
opo de configurar um agendamento de backup ou imediatamente executar um backup ad
hoc. Nesse caso, eu seleciono Backup uma vez para executar um backup imediato.

Figure 2 Windows Server Backup MMC

Como voc pode ver na Figura 3, posso optar entre fazer o backup de todos os volumes no
servidor ou fazer o backup apenas dos volumes especficos que eu escolher. Se eu selecionar
servidor Completo, o Backup do Windows Server far o backup de todos os volumes montados,
mas eu no terei a opo de fazer o backup em um disco rgido montado em vez disso, terei
que fazer o backup em um DVD gravvel ou em um compartilhamento de rede.

Figure 3 Using the backup configuration dialog to specify all or select volumes

Neste exemplo, desejo fazer o backup em um disco rgido local, ento seleciono a opo
Personalizado. Uma caixa de dilogo ento permite que eu selecione os volumes cujo backup
ser feito (consulte a Figura 4). Por padro, o Backup do Windows Server marca a caixa
Habilitar recuperao do sistema, que faz com que o Backup do Windows Server selecione o
volume de inicializao, o volume do SO e qualquer outro volume com arquivos de sistema e
bancos de dados de aplicativos crticos. Em um DC, isso inclui os volumes que hospedam o
SYSVOL, a DIT do Active Directory e os logs do Active Directory. Isso o equivalente de um
Pgina 7 de 19
 Boletim de Informaes
Tcnicas
backup de estado do sistema, mas ele faz o backup de todos os volumes crticos, e no apenas
dos arquivos crticos nesses volumes. Na verdade, eu at mesmo tenho a habilidade de
executar uma recuperao de estado do sistema a partir de um conjunto de backup de
recuperao do sistema.

Figure 4 Selecting specific volumes to back up

Aps selecionar o tipo de destino (disco local ou compartilhamento de rede) e especificar o

destino, o Backup do Windows Server solicita que eu selecione um backup de cpia de VSS ou
um backup completo de VSS. A terminologia um pouco confusa, pois as duas opes faro o
backup dos volumes selecionados por inteiro. A diferena reside na maneira com que o Backup
do Windows Server trata dos arquivos de origem aps seu backup ter sido feito. Se voc
selecionar a opo de copiar, o Backup do Windows Server deixar os arquivos cujo backup foi
feito sozinho. Se voc escolher a opo completa, o Backup do Windows Server redefinir o
arquivo.

Backup de um servidor a partir da linha de comando

Se desejar fazer o script do processo de backup, ou se estiver fazendo o backup de um
servidor em uma instalao Server Core, voc poder usar o programa de linha de comando
WBADMIN.EXE. O WBADMIN fornece um conjunto completo de opes que executam
essencialmente as mesmas funes do snap-in do MMC, incluindo o gerenciamento de
agendamentos de backup.

Suponha que eu queira iniciar o servio WBENGINE, que, por sua vez, executa o processo de
backup. Tudo o que fao digitar este comando:

C:\> wbadmin start backup include:c:,d:

backuptarget:e:

Ou, para fazer o backup de todos os volumes crticos do sistema, eu posso digitar este
comando:

C:\> wbadmin start backup -allcritical

backuptarget:e:

Pgina 8 de 19
 Boletim de Informaes
Tcnicas
Aps iniciar o backup, o WBADMIN continua a executar e mostrar o progresso do backup. Se eu
encerrar o WBADMIN, o backup continuar no segundo plano. Eu posso ento reconectar o
WBADMIN a um backup em execuo usando este comando:

C:\> wbadmin get status

E se eu desejar encerrar um backup em execuo, apenas digito isto:

C:\> wbadmin stop job

Agendamento de backups com o MMC

O agendador de backups integrado ao Backup do Windows Server realmente projetado para
fazer uma coisa: simplificar o agendamento de backups dirios completos do sistema para um
volume de disco local. Voc pode usar o agendador interno para girar automaticamente
backups entre vrios volumes de destino. Se voc possui discos rgidos de fcil remoo (ou
estiver usando discos rgidos conectados por USB), pode usar esse recurso para configurar um
esquema de rotao onde voc remove o disco de backup e o armazena fora do local e retorna
o disco de backup mais antigo para o servidor para o prximo backup agendado.

O agendador do Backup do Windows Server apenas permite que voc agende backups que
sempre ocorrem diariamente. No h como agendar backups para, por exemplo, segundas,
quartas e sextas. Ento, se voc no deseja executar seus backups agendados diariamente,
voc ter que trabalhar diretamente com o Agendador de Tarefas do Windows.

Quando voc configura um backup agendado em um disco local, o Backup do Windows Server
se responsabiliza pelo disco, formatando-o, configurando uma estrutura de pasta especfica e
tornando o disco de destino invisvel para o Windows Explorer. O disco de destino deve ser um
volume bsico o Backup do Windows Server no pode fazer o backup em discos
configurados como volumes dinmicos.

Agendar backups pelo snap-in do MMC muito fcil. Neste exemplo, eu primeiro seleciono o
link Agendamento de Backup, especifico o tipo de backup e os volumes cujo backup ser feito
e, em seguida, o Backup do Windows Server mostra a caixa de dilogo "Especificar horrio do
backup" (consulte a Figura 5).

Pgina 9 de 19
 Boletim de Informaes
Tcnicas

Figure 5 Specifying when daily backups should occur

Aps selecionar os horrios nos quais desejo que o backup ocorra, posso selecionar o volume
(ou volumes) nos quais desejo fazer o backup. Nesse caso, eu seleciono o volume de backup
E:, como exibido na Figura 6. O Backup do Windows Server tenta selecionar um volume de
destino apropriado para voc, mas se o disco cujo backup voc desejar fazer no for exibido,
voc poder usar o boto Mostrar Todos os Discos Disponveis para exibir todos os dispositivos
de disco conectados. Aps passar por vrias caixas de dilogo de "confirmao", o Backup do
Windows Server formata o(s) volume(s) de destino e agenda a tarefa de backup usando o
Agendador de Tarefas do Windows.

Figure 6 Specifying the destination disk for a scheduled backup

Pgina 10 de 19
 Boletim de Informaes
Tcnicas
Sempre que um backup agendado for concludo, o Backup do Windows Server tira um
instantneo do volume de destino. E a cada sete dias, ele cria uma nova imagem de
referncia. A atividade registrada no log Microsoft/Backup/Operacional. Voc pode verificar
nele se seus backups foram concludos com sucesso; pode tambm associar uma tarefa, como
enviar uma mensagem de email, com os eventos de sucesso e falha, de forma que voc
sempre saber o status de seus backups agendados.

Agendamento de backups a partir da linha de comando

Se estiver agendando backups em uma instalao Server Core ou apenas desejar fazer o script
do processo, voc poder gerenciar o agendamento do backup usando a linha de comando
WBADMIN. Para adicionar um backup agendado, voc usa o comando WBADMIN ENABLE
BACKUP, especificando o destino, a origem e o horrio agendado, assim:

C:\> wbadmin enable backup addtarget:e:

-include:c:,d: -schedule:06:00,12:00,18:00

Esse comando faria o backup das unidades C: e D: para a unidade E: trs vezes por dia, s 6
horas, ao meio-dia e s 18 horas. (observe que todos os horrios so especificados usando um
relgio 24 horas). Para fazer o backup de todos os volumes crticos do sistema (a partir dos
quais voc pode executar uma restaurao bare-metal ou uma restaurao de estado do
sistema), substitua a opo include por allcritical.
Voc tambm pode usar o WBADMIN para desativar todos os backups agendados, assim:

C:\> wbadmin disable backup

Esse comando ir excluir todos os trabalhos de backup agendados criados pelo agendador do
Backup do Windows Server e liberar todos os volumes de destino de backup para o uso
normal. Observe que voc

sempre poder usar o snap-in do MMC WBADMIN para gerenciar remotamente atividades de
backup e restaurao dos servidores Server Core.

Recuperao bare-metal de um controlador de domnio

Uma das melhorias mais interessantes para o backup e a recuperao como o WinRE foi
incorporado ao processo de instalao. Quando voc inicializa o Windows Server 2008 a partir
da mdia de instalao, voc pode escolher a opo Reparar o seu computador, como exibido
na Figura 7. Eu destaco isso porque fcil perder de vista se voc no estiver procurando.

Pgina 11 de 19
 Boletim de Informaes
Tcnicas

Figure 7 The Repair your computer option is available on the installation screen

Aps selecionar a opo de reparo na tela de instalao, o Windows permite que eu selecione
uma opo de recuperao, como exibido na Figura 8. Nesse caso, eu seleciono Restaurao
do Windows Complete PC, que invoca o Ambiente de Recuperao do Windows.

Figure 8 Specifying system recovery options

Aps selecionar o sistema operacional que deseja reparar (h normalmente uma nica
escolha), o WinRE permitir que voc selecione o backup a partir do qual deseja restaurar. Por
padro, o WinRE seleciona o backup completo do sistema mais recente, mas voc pode
especificar outros backups armazenados em discos locais ou pesquisar na rede backups
armazenados em compartilhamentos de arquivos em outros servidores.

No meu exemplo, eu seleciono o backup completo do sistema mais recente. A prxima caixa
de dilogo (mostrada na Figura 9) permite que eu formate e reparticione todos os discos
antes que eles sejam restaurados. Essa uma opo apropriada se o problema a partir do qual
voc estiver recuperando tiver sido causado por algum tipo de falha de disco ou se voc tiver
substitudo uma ou mais unidades de disco no servidor.

Pgina 12 de 19
 Boletim de Informaes
Tcnicas

Figure 9 You can easily format and repartition disks before they're restored

Aps algumas caixas de dilogo de confirmao, o WinRE inicia o processo de restaurao e o

servidor inicializado. Essa uma maneira bastante simples de executar uma recuperao
bare-metal em um servidor.

Recuperao de estado do sistema de um controlador de domnio

Se precisar recuperar de algum tipo de problema relacionado ao Active Directory como

recuperar uma UO excluda do backup voc dever restaurar o banco de dados do ADDS
para um estado anterior, em vez de restaurar todo o sistema. Embora voc possa interromper
o ADDS como um servio no Windows Server 2008, ainda precisar inicializar o servidor no
DSRM (Modo de Restaurao dos Servios de Diretrio) para executar uma restaurao de
estado do sistema em um controlador de domnio.

Alterar as opes de inicializao para fazer o Windows Server 2008 inicializar no DSRM no
to fcil como antes. Todo o ambiente de inicializao do Windows foi reprojetado para
suportar a nova EFI (Extensible Firmware Interface) e o antigo arquivo boot.ini no existe mais.
Em vez disso, o Windows Server 2008 usa BDC (Dados de Configurao da Inicializao) para
controlar o processo de inicializao.

A forma mais simples de gerenciar o BCD usar o programa de linha de comando BCDEDIT.
Uma discusso sobre todas as opes e os comandos BCDEDIT exigiria seu prprio artigo,
ento apenas mostrarei alguns exemplos teis aqui.

Para reinicializar o DC do Windows Server 2008 no DSRM, use o seguinte comando:

C:\> bcdedit /set safeboot dsrepair

Isso definir a opo de inicializao segura para a entrada do carregador de inicializao

padro. Em uma instalao nova do Windows Server 2008, h apenas uma entrada do
carregador de inicializao, o WINLOAD.EXE. Para remover a opo de inicializao segura e
reinicializar em modo normal, use este comando:

C:\> bcdedit /deletevalue safeboot

Pgina 13 de 19
 Boletim de Informaes
Tcnicas
Para tornar as coisas um pouco mais fceis, voc pode configurar duas entradas do carregador
de inicializao nos seus DCs uma para uma inicializao normal e uma para uma
inicializao DSRM. Dessa maneira, voc pode alterar as opes de inicializao usando a
caixa de dilogo de configuraes de Inicializao e Recuperao disponvel em Configuraes
do Sistema. Para adicionar uma nova entrada do carregador de inicializao, use este
comando:

C:\> bcdedit /copy {default}

/d "Directory Service Repair Mode"

Essa ao criar uma nova entrada do carregador de inicializao copiando a entrada do

carregador de inicializao padro. BCDEDIT exibir algo deste tipo:

The entry was successfully copied to

{c50d4710-a1f0-11dc-9580-0003ff402ae9}.

O GUID identifica a nova entrada. Em seguida, use este comando para definir a opo de
inicializao segura para a nova entrada do carregador de inicializao no BCD:

C:\> bcdedit /set {<GUID for new entry>}

safeboot dsrepair

Voc pode agora alternar do modo de inicializao normal para o modo de inicializao DSRM,
usando as configuraes de Inicializao e Recuperao (consulte a Figura 10).

Figure 10 Disable incremental backups on busy volumes

Antes de usar o WBADMIN para iniciar uma restaurao de estado do sistema, voc dever
identificar o backup a partir do qual deseja fazer a restaurao. O WBADMIN pode executar
uma restaurao de estado do sistema a partir de um backup completo do sistema, um backup
que contm apenas os volumes crticos do sistema ou um backup de estado do sistema. Em
qualquer um desses casos, voc precisa especificar a verso do backup que deseja usar. A

Pgina 14 de 19
 Boletim de Informaes
Tcnicas
maneira mais fcil de identificar as verses de backup disponveis usar o seguinte comando
do WBADMIN:

C:\> wbadmin get versions

O WBADMIN ir ento exibir as verses de backup de uma maneira similar s informaes

exibidas na Figura 11. Observe que cada backup possui um tempo de backup, destino de
backup, um identificador da verso (que, a propsito, a hora e a data em que o backup foi
iniciado no Horrio Padro Universal) e uma lista dos tipos de operaes de recuperao que o
backup pode suportar.

Figure 11 Identifique backups disponveis para recuperao

wbadmin 1.0 - Backup command-line tool

(C) Copyright 2004 Microsoft Corp.
Backup time: 11/30/2007 3:47 PM
Backup target: Fixed Disk labeled E:
Version identifier: 11/30/2007-22:47
Can Recover: Application(s), System State
Backup time: 12/1/2007 10:46 PM
Backup target: Fixed Disk labeled Backup(E:)
Version identifier: 12/02/2007-05:46
Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System
State
Backup time: 12/2/2007 5:58 PM
Backup target: Fixed Disk labeled Backup(E:)
Version identifier: 12/03/2007-00:58
Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System
State
Backup time: 12/3/2007 11:25 AM
Backup target: Fixed Disk labeled E:
Version identifier: 12/03/2007-18:25
Can Recover: Application(s), System State

Nesse caso, eu seleciono o backup mais recente e inicio a restaurao de estado do sistema
com este comando do WBADMIN:

C:\> wbadmin start systemstaterecovery

version:12/03/2007-18:25

Isso executar uma restaurao no-autoritativa. Se desejar executar uma restaurao

autoritativa do SYSVOL, voc poder apenas marcar a rplica SYSVOL restaurada como sendo
autoritativa, adicionando a opo authsysvol ao comando WBADMIN. Para obter mais
informaes sobre esse processo, consulte go.microsoft.com/fwlink/?LinkId=113152.

Obteno de instantneos do Active Directory

Pgina 15 de 19
 Boletim de Informaes
Tcnicas
Uma das alteraes mais interessantes em termos de backup para o Active Directory no tem
nada a ver mesmo com o Backup do Windows Server. No Windows Server 2008, voc pode
aproveitar-se do fato de que o Active Directory pode fornecer instantneos do Servio de
Cpias de Sombra de Volume. Esses instantneos so backups instantneos muito simples do
servio em execuo do Active Directory. E, ainda melhor, eles levam apenas alguns segundos
do seu tempo para serem criados! Voc pode ento montar esses instantneos e acess-los
usando utilitrios normais baseados em LDAP, como a ferramenta LDP.
Voc tira instantneos do ADDS ou ADLDS (Active Directory Lightweight Directory Services)
usando o comando NTDSUTIL, como exibido aqui:

ntdsutil: snapshot
snapshot: activate instance ntds
Active instance set to "ntds".
snapshot: create
Creating snapshot...
Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully.
snapshot: quit
ntdsutil: quit

Essa seqncia de comandos NTDSUTIL cria um instantneo do Servio de Cpias de Sombra

de Volume dos volumes que contm a DIT, os logs e o SYSVOL do Active Directory. Embora o
Active Directory ainda esteja sendo atualizado, o Servio de Cpias de Sombra de Volume usa
uma estratgia de copiar ao gravar para certificar-se de que os instantneos tirados sejam
mantidos adequadamente. Observe que os instantneos no so uma cpia completa da DIT.
Eles so realmente apenas uma coleo de blocos de disco na DIT que foram modificados
desde que o instantneo foi tirado. Combinando esses blocos com a cpia atual da DIT, o VSS
pode apresentar a DIT do Active Directory exatamente como ela apareceu no momento do
instantneo.

A Figura 12 mostra como excluir instantneos antigos ou desnecessrios.

Figure 12 Exclua instantneos desnecessrios

C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: delete 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\
$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\
$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\>

Pgina 16 de 19
 Boletim de Informaes
Tcnicas
Montagem de instantneos do Active Directory

Para usar um desses instantneos, voc deve primeiro instruir o Servio de Cpias de Sombra
de Volume para disponibilizar o instantneo ao sistema de arquivos. Voc faz isso usando o
comando ntdsutil para listar os instantneos disponveis e, em seguida, montar o instantneo
no qual est interessado (consulte a Figura 13).

Figure 13 Usando o ntdsutil para montar um instantneo

C:\> ntdsutil
ntdsutil: snapshot
snapshot: list all
1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
snapshot: mount 1
Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\
$SNAP_200712032318_VOLUMEC$\
Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\
$SNAP_200712032318_VOLUMED$\
snapshot: quit
ntdsutil: quit
C:\>

O comando "list all" lista todos os instantneos disponveis do Active Directory que esto
sendo mantidos no momento pelo Servio de Cpias de Sombra de Volume. O comando
"mount 1" monta os instantneos selecionados da DIT do Active Directory e dos volumes de
log e os disponibiliza no sistema de arquivos. Eles esto localizados em C:\
$SNAP_200712032318_VOLUMEC$\ e C:\$SNAP_200712032318_VOLUMED$\.

Se voc olhar nessas pastas, ver todo o contedo desses volumes como eles eram quando o
instantneo foi tirado. Observe, no entanto, que os instantneos montados so somente
leitura significando que voc no pode modificar nenhum dos arquivos no instantneo
montado.

Recuperao de dados a partir de instantneos do Active Directory

A tarefa de montar os instantneos dos volumes que contm o Active Directory parece um
pouco como mgica. Como voc pode chegar aos dados do Active Directory contidos nesses
instantneos? O segredo o comando DSAMAIN. Ele um executvel que executa o ADLDS.
Ele essencialmente um servidor LDAP autnomo que compartilha quase todos os seus
cdigos com o ADDS. Voc pode usar o DSAMAIN para fazer os instantneos montados
parecerem um servidor LDAP somente leitura contendo os dados do Active Directory, como se
fosse o momento em que o instantneo foi tirado.

Considere este comando:

C:\> dsamain dbpath

c:\$snap_200712032318_volumed$\ntds\dit
\ntds.dit -ldapport 10000

Isso monta o arquivo ntds.dit localizado na pasta c:\$snap_200712032318_volumed$\ntds\dit

e o disponibiliza a operaes do LDAP na porta TCP 10000 (ou qualquer porta aberta
Pgina 17 de 19
 Boletim de Informaes
Tcnicas
especificada). O DSAMAIN abrir a porta LDAPS (a porta usada para o LDAP sobre a Camada de
Soquete Seguro) na porta que voc especificou mais um (nesse caso, 10001), a porta GC (a
porta usada para conexes de catlogo global) na porta especificada mais dois (10002) e a
porta GCS (Catlogo Global sobre a Camada de Soquete Seguro) na porta especificada mais
trs (10003).

Voc pode usar qualquer programa LDAP (como LDP) para acessar a DIT montada na porta
especificada. Mas no Windows Server 2008, ADUC (Usurios e Computadores do Active
Directory), Sites e Servios e Domnios e Relaes de Confiana, bem como o ADSIEDIT, foram
todos modificados para permitir que voc os conecte a uma DIT montada usando DSAMAIN. Se
voc clicar com o boto direito do mouse no n de nvel superior no painel de navegao de
qualquer ADUC e selecionar Alterar Controlador de Domnio, voc ver a caixa de dilogo
exibida na Figura 14. Se voc simplesmente digitar o nome ou endereo IP do servidor que
hospeda o instantneo montado, juntamente com a porta (no meu exemplo, localhost:10000),
o ADUC ir conectar ao instantneo montado, permitindo que voc procure o contedo do
diretrio como ele existia no momento do instantneo. Incrvel, no?

Figure 14 Connecting Active Directory users and computers to a mounted snapshot

Poder acessar os dados do diretrio dessa maneira torna vrios tipos de tarefas de
recuperao de dados muito mais fceis do que elas costumavam ser. Por exemplo, para
recuperar um objeto excludo de um backup exigia anteriormente que voc executasse uma
restaurao no-autoritativa do backup em um DC existente e, em seguida, executasse uma
restaurao autoritativa do objeto excludo. E, se o backup restaurado no possusse os dados
corretos, voc tinha que comear tudo de novo com um backup diferente. Agora, usando a
reanimao de marcas para excluso e os instantneos, voc pode rapidamente encontrar e
recuperar dados excludos e voc nem precisa colocar o controlador de domnio offline para
faz-lo.

Existem algumas limitaes, no entanto. Por exemplo, cada instantneo ativo aumenta a E/S
de disco associada a operaes de gravao ao diretrio, ento voc provavelmente no deve
ter mais de um ou dois instantneos ativos em nenhum momento em um DC de produo.
Alm disso, quanto mais tempo voc mantiver os instantneos ativos, maior ser o
armazenamento delta do Servio de Cpias de Sombra de Volume isso pode afetar tambm
o desempenho. E, claro, simplesmente recuperar um objeto excludo apenas a primeira
parte do problema de recuperao. Voc provavelmente ter que recuperar os atributos
vinculados do objeto, como associaes de grupo, tambm. Mas mesmo nesse caso, o
instantneo poder ajud-lo a identificar todos os grupos dos quais o objeto excludo era um
membro.
Pgina 18 de 19
 Boletim de Informaes
Tcnicas

Uma estratgia de recuperao e backup segura do Active Directory

O Windows Server 2008 apresenta como benefcio um sistema inteiramente novo de backup e
recuperao. Algumas das alteraes podem primeiramente causar choros e ranger de dentes.
Mas depois que as organizaes de TI tiverem aceitado essas alteraes e incorporado a nova
tecnologia de backup em suas operaes dirias, elas iro terminar com uma implementao
de backup e recuperao mais eficaz.

Mesmo com todas as alteraes na maneira com que voc faz o backup de servidores no
Windows Server 2008, a estratgia bsica para backup e recuperao do Active Directory no
foi realmente muito alterada. Ento, ao planejar sua estratgia, certifique-se de manter essas
prticas recomendadas em mente:
Agende backups completos do sistema periodicamente para que possa recuperar um
DC aps uma falha de hardware. A freqncia com a qual voc agenda backups
completos de um DC depende da freqncia com que seus dados so atualizados, sua
tolerncia de tempo de inatividade e/ou perda de dados e o esfora que pode ser
necessrio para recriar o DC do zero.

Agende backups freqentes de estado do sistema para fazer o backup de alteraes no

Active Directory. A freqncia com a qual voc executa backups de estado do sistema
depende da sua tolerncia para dados perdidos do Active Directory. Mas voc deveria
fazer isso pelo menos uma vez por dia. Se voc possui o hardware, mantenha pelo
menos um ou dois backups de estado do sistema em um disco local e copie verses
mais antigas de estado do sistema para um DVD ou um compartilhamento de rede.

Certifique-se de fazer backups de estado do sistema em pelo menos dois DCs em cada
domnio. Isso fornecer alguma garantia caso um dos backups esteja invlido ou
indisponvel.
Certifique-se de fazer o backup dos DCs com rplicas de partio do aplicativo se as tiver
definido. E pense em criar uma partio para o Ambiente de Recuperao do Windows nos
seus DCs para que possa rapidamente inicializar no WinRE caso uma unidade do sistema
crtica falhe.

Gil Kirkpatrick o Diretor de Tecnologia (CTO)da NetPro e desenvolve softwares para Active
Directory desde 1996. Com Guido Grillenmeier, da HP, ele apresenta os conhecidos workshops
sobre recuperao de desastres do Active Directory. Gil tambm o fundador da Directory
Experts Conference (consulte www.dec2008.com).

Pgina 19 de 19