No mês passado, tive muitas discussões com muitas pessoas sobre a cópia de segurança e o restauro do Active Directory. Agora, os tópicos óbvios para falar são a recuperação de desastres e a recuperação de florestas. Claro que falámos sobre estes temas, mas em muitas das discussões do mês passado, concentrámo-nos mais naquilo a que eu chamaria "resiliência de alterações", a capacidade de reverter rapidamente as alterações efectuadas pelos administradores do Active Directory.
Penso que é um tema frequentemente negligenciado.
Para perceber porque é que este é um lado interessante da história, basta ver o que a Microsoft oferece integrado no Windows Server e o que as soluções típicas de cópia de segurança e restauro do Active Directory oferecem. Depois, torna-se muito fácil ver como ser realmente inteligente ao reverter alterações no Active Directory.
Nota:
Discutir estas soluções foi o que Darren e eu fizemos exaustivamente no nosso webcast gratuito de 27 de Junho sobre "Escolher o tipo certo de solução para a cópia de segurança e restauro do Active Directory", por isso, se preferir ouvir-nos, em vez de ler os próximos três parágrafos, sinta-se à vontade para sintonizar!
O que a Microsoft oferece
A Microsoft oferece três tecnologias úteis para os administradores do Active Directory no Windows Server:
1. Cópia de segurança do servidor Windows
2. A Lixeira do Active Directory
3. A opção "Proteger contra eliminação acidental
Os objectos no Active Directory são designados por identificadores de segurança únicos, sIDs. Se eliminar um objecto, mas o recriar com o mesmo nome, nome de utilizador, etc., não será o mesmo objecto. Isso deve-se ao facto de o sID não ser o mesmo. Uma vez que o objecto original foi removido da base de dados, levou consigo o seu sID. Um novo objecto teria sempre um sID diferente, apesar de ser o mesmo em todos os outros atributos geríveis, sendo o mesmo que o original. No entanto, o sID é o atributo utilizado em muitos dos mecanismos de concessão (ou negação) de acesso, como associações a grupos e listas de controlo de acesso (ACLs).
Cópia de segurança do servidor Windows
A reanimação de objectos do Active Directory e o restauro a partir de cópias de segurança permitiram o restauro de objectos na situação acima descrita, no período anterior ao Windows Server 2008. A Sysinternals oferece uma ferramenta para realizar a primeira e a Microsoft, felizmente, envia uma ferramenta de cópia de segurança e restauro com o Windows Server: Cópia de segurança do Windows Server.
A Cópia de Segurança do Windows Server pode ser utilizada para criar cópias de segurança da base de dados do Active Directory, também referida pelo seu nome de ficheiro ntds.dit ou simplesmente como 'o dit'. A mesma ferramenta pode ser utilizada para criar suportes de arranque de restauro bare metal para restaurar um Controlador de Domínio ao seu estado anterior, de uma forma suportada.
Considero importante referir que a Cópia de Segurança do Windows Server utiliza cópias de sombra de volume, nesta fase. Isto permite que a cópia de segurança do Windows Server crie uma cópia de segurança consistente sem que os utilizadores finais se apercebam de quaisquer períodos de inactividade. Além disso, quando restaura um controlador de domínio com uma cópia de segurança do Windows Server, são efectuadas várias alterações e verificações para garantir um restauro adequado entre todos os outros controladores de domínio no ambiente. É intrinsecamente diferente dos instantâneos como os que muitos administradores inconscientes costumavam fazer com ferramentas como o Acronis TrueImage, uma das ferramentas favoritas da indústria para destruir o Active Directory...
A opção "Proteger contra eliminação acidental
Com o Windows Server 2008, a Microsoft introduziu uma opção nas ferramentas de gestão do Active Directory, denominada "Proteger contra eliminação acidental". Embora esta funcionalidade pareça uma opção simples nas interfaces gráficas de utilizador do Centro de Administração do Active Directory(dsa.msc) e do Centro de Administração do Active Directory(dsac.exe), por detrás desta funcionalidade é aplicado um conjunto de entradas de controlo de acesso (ACEs) "Negar" ao próprio objecto e ao seu objecto pai para a entidade de segurança "Todos".
Quando se utiliza qualquer ferramenta para eliminar o objecto, a acção falha e assinala um problema de permissão. Primeiro, a opção tem de ser removida, antes de o objecto poder ser efectivamente removido. Isto evita muitos dos momentos "Oops" para os gestores de sistemas do Active Directory que utilizam ferramentas gráficas. A sua verdadeira força é demonstrada quando alguns objectos são excluídos dos momentos de "Oops" em todo o directório quando os administradores utilizam o PowerShell ou outras ferramentas de scripting e em massa.
A Reciclagem do Active Directory
Desde o nível funcional de floresta (FFL) do Windows Server 2008 R2, a Microsoft oferece uma solução para objectos eliminados, para além da reanimação e do restauro a partir de cópias de segurança, sob a forma da Reciclagem do Active Directory.
A tecnologia subjacente à Reciclagem do Active Directory é um novo atributo: isRecycled. Antes, quando um objecto, como um computador ou utilizador, é eliminado, o atributo isDeleted é definido como verdadeiro. Com a Reciclagem do Active Directory activada, após o tempo de vida da reciclagem ter expirado, o atributo isRecycled também é definido como verdadeiro. Em seguida, após a expiração do tempo de vida da lápide, o objecto é verdadeiramente removido da base de dados. Quando apenas o atributo isDeleted é definido, o objecto é recuperável através da Reciclagem do Active Directory. Todas as ferramentas de gestão da Microsoft filtram da vista os objectos com o atributo isDeleted definido como true, mas quando utiliza o Centro Administrativo do Active Directory(dsac.exe) no Windows Server 2012 ou superior, ou o Módulo PowerShell do Active Directory, pode restaurar estes objectos com facilidade, juntamente com os respectivos sIDs e, assim, o acesso original.
O que as soluções típicas de backup e restauração do Active Directory oferecem
Quando olhamos para as ferramentas e tecnologias oferecidas pela Microsoft, surge um quadro sombrio: Todas elas funcionam ao nível do objecto, mas não ao nível do atributo. Quanto a si, não sei, mas eu não utilizo o botão de apagar do meu teclado com a mesma frequência com que gero atributos típicos como membros de grupos, endereços de correio electrónico e nomes de apresentação.
Agora, quando pretendo reverter qualquer uma destas alterações, normalmente, tenho de restaurar uma cópia de segurança e criar um ficheiro no formato Lightweight Directory Interchange Format (LDIF) com as diferenças que pretendo reverter.
Isto leva tempo, muito tempo.
É a isto que chamo o desafio da resiliência à mudança.
As soluções típicas de cópia de segurança e restauro aliviaram um pouco o problema, facilitando o restauro (teste) ou a selecção dos atributos que pretende reverter numa interface gráfica, mantendo a consistência da base de dados.
Restauros (de teste) mais fáceis
Uma das soluções de cópia de segurança e restauro que torna realmente fácil efectuar restauros e testar restauros, na minha opinião, é o Azure Site Recovery Services. Com esta solução, não é necessário denotar hardware idêntico para o restauro e nem sequer é necessário o mesmo hipervisor para efectuar um restauro. Tudo o que precisa é de uma subscrição de Infra-estrutura como Serviço do Azure e paga conforme o uso para o armazenamento e para as VMs que gira, mas apenas durante o tempo que realmente precisa delas, que normalmente é apenas um par de horas.
Seleções mais fáceis
No conjunto de ferramentas que facilitam a seleção de atributos a serem revertidos, acho que o Veeam's Agent for Microsoft Active Directory se destaca. Em sua interface gráfica de usuário (GUI), ele permite que atributos individuais sejam escolhidos, mas administradores experientes do Active Directory também podem usar filtros baseados em LDAP (Lightweight Directory Access Protection). Em seguida, o agente cria o ficheiro LDIF por si e aplica-o. Também é criado outro ficheiro LDIF para desfazer, se necessário.
Como proceder de forma realmente inteligente com a Resiliência de Alterações do Active Directory
Enquanto conversava com Darren, aprendi que existe uma forma mais inteligente de enfrentar o desafio da resiliência à mudança.
Serei o primeiro a admitir que, embora faça sentido manter cópias de segurança (em cache) nos controladores de domínio em termos de recuperação de desastres e recuperação de florestas, no entanto, em termos de resiliência a alterações, é melhor ter um fluxo de modificações em tempo real!
Em vez de ter que localizar backups, (testar) restaurar o Controlador de Domínio, escolher os atributos para restaurar, mexer com arquivos LDIF, e se preocupar com cenários de desfazer, o Directory Services Protector da Semperis para Active Directory faz todo o trabalho para você. Como o DS Protector reúne as modificações em tempo real, incluindo o momento anterior ao seu momento "Oops!", pode reverter para o estado consistente anterior numa questão de segundos. Caso contrário, acabará por gastar horas em mecanismos e tecnologias do Active Directory sobre os quais não queria saber nada anteriormente.
Uma vez que o Semperis' Directory Services Protector regista todas as alterações à medida que estas ocorrem, pode anular uma alteração, testar esse efeito - e se não estiver satisfeito com o mesmo, basta reverter para o estado anterior. Sim, pode ter o seu bolo e comê-lo também!
Leitura adicional
Se quiser saber mais, convido-o a ler o whitepaper gratuito de 17 páginas que criámos, com base nos debates e no webcast, intitulado "Escolher o tipo certo de solução para a cópia de segurança e restauro do Active Directory".
