Como efectuar um restauro autoritário num controlador de domínio no Windows 2000

Este artigo descreve como efectuar um restauro autoritário do serviço de directório do Active Directory num controlador de domínio baseado no Windows 2000.

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).

Durante uma operação típica de restauro de ficheiros, o utilitário de cópia de segurança do Microsoft Windows funciona no modo de restauro não autoritário. Neste modo, o utilitário de cópia de segurança do Windows restaura todos os ficheiros, incluindo objectos do Active Directory, com o respectivo número ou números de sequência de actualização (USN, Update Sequence Number) originais. O sistema de replicação do Active Directory utiliza o USN para detectar e replicar alterações ao Active Directory em todos os controladores de domínio existentes na rede. Todos os dados restaurados no modo não autoritário são considerados pelo sistema de replicação do Active Directory como dados antigos. Dados antigos nunca são replicados para outros controladores de domínio. O sistema de replicação do Active Directory actualiza os dados restaurados com dados mais recentes de outros controladores de domínio. A execução de um restauro autoritário resolve este problema.

Nota: um restauro autoritário deve ser utilizado com muito cuidado, dado o impacto que poderá ter no Active Directory. Um restauro autoritário deve ser efectuado imediatamente depois de o computador ter sido restaurado a partir de uma cópia de segurança anterior, antes de o controlador de domínio ser reiniciado em modo normal. Um restauro autoritário replica todos os objectos assinalados como autoritários para todos os controladores de domínio que hospedem os contextos de atribuição de nomes em que os objectos se encontram. Para efectuar um restauro autoritário no computador tem de utilizar a ferramenta Ntdsutil.exe para proceder às alterações de USN necessárias na base de dados do Active Directory.

Existem determinadas partes do Active Directory que não podem ou não devem ser restauradas de forma autoritária:

• Não pode restaurar o esquema de forma autoritária.
• O contexto de atribuição de nomes de configuração também é extremamente sensível, porque as alterações afectarão toda a floresta. Por exemplo, não faz sentido restaurar objectos de ligação. Os objectos de ligação devem ser recriados pelo verificador de consistência de conhecimento (KCC, Knowledge Consistency Checker) ou manualmente. O restauro de objectos de servidor e de definições de NTDS faz sentido se não tiver sido efectuada uma resolução de problemas destrutiva anteriormente. Se não tiver a certeza, contacte o suporte técnico da Microsoft para obter ajuda:
  http://support.microsoft.com/default.aspx?scid=fh;PT;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;pt;cntactms)
• No contexto do domínio, não restaure objectos que lidem com conjuntos de identificadores relativos (RID, Relative Identifier). Estes incluem o subobjecto "Rid Set" de contas de computador de controladores de domínio e o objecto RidManager$ do contentor SYSTEM.
• Outro problema reside no facto de muitas ligações do tipo "nome distinto" poderem ser quebradas ao efectuar um restauro. Isto pode afectar objectos que são utilizados pelo serviço de replicação de ficheiros (FRS, File Replication Service). Estes existem em CN=File Replication Service,CN=System,DC=domínio_utilizador e em CN=NTFRS Subscriptions,CN=conta_computador_DC.
• As tentativas de restauro autoritário de um contexto de atribuição de nomes completo incluirão sempre objectos que podem perturbar o funcionamento correcto de partes essenciais do Active Directory. Deve sempre tentar restaurar autoritariamente um conjunto mínimo de objectos.
• Finalmente, poderão existir problemas semelhantes para objectos criados por outras aplicações. Estes ultrapassam o âmbito deste artigo.

Um restauro do estado do sistema substitui todos os objectos novos, eliminados ou modificados no controlador de domínio que está a ser restaurado.

Um restauro do estado do sistema de um contexto de atribuição de nomes que contenha duas ou mais réplicas é uma intercalação autoritária. Numa intercalação autoritária, é recuperada a versão da data em que foi criada a cópia de segurança de todos os objectos eliminados ou modificados. Os objectos criados após a criação da cópia de segurança são replicados a partir de réplicas do contexto de atribuição de nomes. Uma intercalação autoritária representa uma intercalação do estado que existia quando a cópia de segurança foi criada com novos objectos criados após a cópia de segurança.

Quando o utilizador restaura de forma não autoritária um contexto de atribuição de nomes que contém uma única réplica, na realidade, efectua um restauro autoritário.

Nota: depois de efectuar um restauro autoritário, poderá eliminar contas de utilizador e as respectivas associações a grupos no Active Directory. Para resolver este problema, adicione os utilizadores restaurados novamente aos respectivos grupos. Para obter mais informações sobre como adicionar os utilizadores restaurados novamente aos respectivos grupos, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Efectuar um restauro autoritário

Após o restauro dos dados, utilize o Ntdsutil.exe para efectuar o restauro autoritário. Para tal, siga estes passos:

1. Numa linha de comandos, escreva ntdsutil e prima ENTER.
2. Escreva authoritative restore e prima ENTER.
3. Escreva restore database, prima ENTER, clique em OK e, em seguida clique em Yes.

Restaurar uma subárvore

Em muitos casos, poderá não pretender restaurar a base de dados completa, dado o impacto da replicação no domínio ou na floresta. Para efectuar um restauro autoritário de uma subárvore de uma floresta, siga estes passos:

1. Reinicie o controlador de domínio.
2. Quando o menu de arranque do Windows 2000 for apresentado, seleccione Modo de restauro dos serviços de directório (Directory Services Restore Mode) e prima ENTER.
3. Restaure os dados a partir de uma cópia de segurança para um restauro autoritário. Para tal, siga estes passos:
   1. No modo de restauro dos serviços de directório, clique em Iniciar (Start), aponte para Programas (Programs), aponte para Acessórios (Accessories), aponte para Ferramentas do sistema (System Tools) e clique em Cópia de segurança para iniciar este utilitário do Windows 2000.
   2. Clique em Assistente de restauro (Restore Wizard) e clique em Seguinte (Next).
   3. Seleccione a localização adequada da cópia de segurança e certifique-se de que, pelo menos, os contentores Disco de sistema (System disk) e Estado do sistema (System State) estão seleccionados.
   4. Clique em Avançadas (Advanced) e certifique-se de que restaura pontos de junção. Se não utilizar o menu Avançadas (Advanced), o processo de restauro não terá êxito.
   5. Na caixa Restaurar ficheiros para (Restore Files to), clique em Localização original (Original Location).
   6. Clique em OK e conclua o processo de restauro. É apresentado um indicador visual da evolução do processo.
   7. Quando lhe for pedido para reiniciar o computador, não o reinicie.
4. Numa linha de comandos, escreva ntdsutil e prima ENTER.
5. Escreva authoritative restore e prima ENTER.
6. Escreva o seguinte comando e prima ENTER:
   restore subtree ou=Nome_UO,dc=Nome_domínio,dc=xxx
   
   
   Nota: neste comando, Nome_UO corresponde ao nome da unidade organizacional que pretende restaurar, Nome_domínio corresponde ao nome do domínio em que reside a UO e xxx é o nome do domínio de nível superior do controlador de domínio, como "com", "org" ou "net".
7. Escreva quit, prima ENTER, escreva quit e prima ENTER.
8. Escreva exit e prima ENTER.
9. Reinicie o controlador de domínio.

Para obter mais informações sobre como restaurar o estado do sistema de um controlador de domínio a partir de uma cópia de segurança, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): Para obter mais informações sobre o impacto de um restauro autoritário, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):