Déterminer comment récupérer la forêt

  • Article
  • 08/16/2021
  • 12 minutes à lire
    • i
    • v
    • d
    • v
    • e
    • +5
Cette page est-elle utile ?

Merci.

S’applique à: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 et 2012 R2, Windows Server 2008 et 2008 R2

La récupération d’une forêt Active Directory entière implique soit de la restaurer à partir d’une sauvegarde, soit de réinstaller les services de domaine Active Directory (AD DS) sur chaque contrôleur de domaine (DC) de la forêt. La récupération de la forêt restaure chaque domaine de la forêt dans son état au moment de la dernière sauvegarde de confiance. Par conséquent, l’opération de restauration entraînera la perte d’au moins les données Active Directory suivantes:

  • Tous les objets (tels que les utilisateurs et les ordinateurs) qui ont été ajoutés après la dernière sauvegarde de confiance
  • Toutes les mises à jour apportées aux objets existants depuis la dernière sauvegarde de confiance
  • Toutes les modifications apportées à la partition de configuration ou à la partition de schéma dans AD DS (telles que les modifications de schéma) depuis la dernière sauvegarde de confiance

Pour chaque domaine de la forêt, le mot de passe d’un compte administrateur de domaine doit être connu. De préférence, il s’agit du mot de passe du compte administrateur intégré. Vous devez également connaître le mot de passe DSRM pour effectuer une restauration de l’état système d’un DC. En général, il est recommandé d’archiver le compte administrateur et l’historique des mots de passe DSRM dans un endroit sûr aussi longtemps que les sauvegardes sont valides, c’est-à-dire pendant la durée de vie de la pierre tombale ou pendant la durée de vie de l’objet supprimé si la corbeille Active Directory est activée. Vous pouvez également synchroniser le mot de passe DSRM avec un compte d’utilisateur de domaine afin de le rendre plus facile à mémoriser. Pour plus d’informations, voir l’article 961320 de la KB. La synchronisation du compte DSRM doit être effectuée avant la récupération de la forêt, dans le cadre de la préparation.

Remarque

Le compte administrateur est membre du groupe Administrateurs intégré par défaut, tout comme les groupes Administrateurs de domaine et Administrateurs d’entreprise. Ce groupe a le contrôle total de tous les CD du domaine.

Déterminer les sauvegardes à utiliser

Sauvegardez régulièrement au moins deux CD en écriture pour chaque domaine afin que vous ayez le choix entre plusieurs sauvegardes. Notez que vous ne pouvez pas utiliser la sauvegarde d’un contrôleur de domaine en lecture seule (RODC) pour restaurer un DC en écriture. Nous vous recommandons de restaurer le DCs en utilisant des sauvegardes effectuées quelques jours avant la survenance de la panne. En général, vous devez déterminer un compromis entre la récence et la sécurité des données restaurées. Le choix d’une sauvegarde plus récente récupère des données plus utiles, mais cela pourrait augmenter le risque de réintroduire des données dangereuses dans la forêt restaurée.

La restauration des sauvegardes d’état du système dépend du système d’exploitation d’origine et du serveur de la sauvegarde. Par exemple, vous ne devez pas restaurer une sauvegarde de l’état du système sur un autre serveur. Dans ce cas, vous pouvez voir l’avertissement suivant :

« La sauvegarde spécifiée est d’un serveur différent de celui actuel. Nous ne recommandons pas d’effectuer une récupération de l’état du système avec la sauvegarde sur un autre serveur car le serveur pourrait devenir inutilisable. Êtes-vous sûr de vouloir utiliser cette sauvegarde pour récupérer le serveur actuel? »

Si vous devez restaurer Active Directory sur un matériel différent, créez des sauvegardes complètes du serveur et prévoyez d’effectuer une récupération complète du serveur.

Important

À partir de Windows Server 2008, il n’est pas pris en charge pour restaurer la sauvegarde de l’état du système sur une nouvelle installation de Windows Server sur un nouveau matériel ou le même matériel. Si Windows Server est réinstallé sur le même matériel, comme recommandé plus loin dans ce guide, vous pouvez restaurer le contrôleur de domaine dans cet ordre:

  1. Effectuez une restauration complète du serveur afin de restaurer le système d’exploitation et tous les fichiers et applications.
  2. Effectuez une restauration de l’état du système à l’aide de wbadmin.exe afin de marquer SYSVOL comme faisant autorité.

Pour plus d’informations, consultez l’article Microsoft KB 249694.

Si l’heure de la défaillance est inconnue, étudiez plus avant pour identifier les sauvegardes qui conservent le dernier état sûr de la forêt. Cette approche est moins souhaitable. Par conséquent, nous vous recommandons fortement de conserver quotidiennement des journaux détaillés sur l’état de santé des AD DS afin que, en cas de panne à l’échelle de la forêt, le moment approximatif de la panne puisse être identifié. Vous devez également conserver une copie locale des sauvegardes pour permettre une récupération plus rapide.

Si la corbeille Active Directory est activée, la durée de vie de la sauvegarde est égale à la valeur deletedObjectLifetime ou à la valeur tombstoneLifetime, la valeur la moins élevée étant retenue. Pour plus d’informations, consultez le guide Étape par étape de la corbeille Active Directory (https://go.microsoft.com/fwlink/?LinkId=178657).

Comme alternative, vous pouvez également utiliser l’outil de montage de base de données Active Directory (Dsamain.exe) et un outil LDAP (Lightweight Directory Access Protocol), tel que Ldp.utilisateurs et ordinateurs exe ou Active Directory, pour identifier quelle sauvegarde a le dernier état sûr de la forêt. L’outil de montage de base de données Active Directory, inclus dans les systèmes d’exploitation Windows Server 2008 et versions ultérieures de Windows Server, expose les données Active Directory stockées dans des sauvegardes ou des instantanés en tant que serveur LDAP. Ensuite, vous pouvez utiliser un outil LDAP pour parcourir les données. Cette approche a l’avantage de ne pas vous obliger à redémarrer un DC en mode de restauration des services d’annuaire (DSRM) pour examiner le contenu de la sauvegarde de AD DS.

Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le Guide Étape par étape de l’outil de montage de base de données Active Directory.

Vous pouvez également utiliser la commande ntdsutil snapshot pour créer des instantanés de la base de données Active Directory. En programmant une tâche pour créer périodiquement des instantanés, vous pouvez obtenir des copies supplémentaires de la base de données Active Directory au fil du temps. Vous pouvez utiliser ces copies pour mieux identifier le moment où l’échec de la forêt s’est produit, puis choisir la meilleure sauvegarde à restaurer. Pour créer des instantanés, utilisez la version de ntdsutil livrée avec Windows Server 2008 ou les Outils d’administration du serveur distant (RSAT) pour Windows Vista ou version ultérieure. Le DC cible peut exécuter n’importe quelle version de Windows Server. Pour plus d’informations sur l’utilisation de la commande ntdsutil snapshot, consultez Snapshot.

Détermination des contrôleurs de domaine à restaurer

La facilité du processus de restauration est un facteur important pour décider du contrôleur de domaine à restaurer. Il est recommandé d’avoir un DC dédié pour chaque domaine qui est le DC préféré pour une restauration. Un DC de restauration dédié facilite la planification et l’exécution fiables de la récupération de forêt, car vous utilisez la même configuration source que celle utilisée pour effectuer les tests de restauration. Vous pouvez programmer la récupération et ne pas faire face à des configurations différentes, par exemple si le CC détient ou non des rôles principaux d’opérations, ou s’il s’agit d’un serveur GC ou DNS ou non.

Note

Bien qu’il ne soit pas recommandé de restaurer un titulaire de rôle operations master par souci de simplicité, certaines organisations peuvent choisir de le restaurer pour d’autres avantages. Par exemple, la restauration du maître RID peut aider à prévenir les problèmes de gestion des RID pendant la récupération.

Choisissez un DC qui répond le mieux aux critères suivants:

  • Un DC qui peut être écrit. Ceci est obligatoire.

  • Un DC exécutant Windows Server 2012 en tant que machine virtuelle sur un hyperviseur prenant en charge VM-GenerationID. Ce DC peut être utilisé comme source de clonage.

  • Un DC accessible, soit physiquement, soit sur un réseau virtuel, et de préférence situé dans un centre de données. De cette façon, vous pouvez facilement l’isoler du réseau pendant la récupération de la forêt.

  • Un DC qui a une bonne sauvegarde complète du serveur. Une bonne sauvegarde est une sauvegarde qui peut être restaurée avec succès, a été prise quelques jours avant l’échec et contient autant de données utiles que possible.

  • Un DC qui était un serveur DNS (Domain Name System) avant la panne. Cela permet d’économiser le temps nécessaire à la réinstallation du DNS.

  • Si vous utilisez également les services de déploiement Windows, choisissez un DC qui n’est pas configuré pour utiliser le déverrouillage réseau BitLocker. Dans ce cas, le déverrouillage réseau BitLocker n’est pas pris en charge pour être utilisé pour le premier DC que vous restaurez à partir d’une sauvegarde lors d’une récupération de forêt.

    Le déverrouillage du réseau BitLocker en tant que seul protecteur de clé ne peut pas être utilisé sur les CD où vous avez déployé les services de déploiement Windows (WDS), car cela entraîne un scénario où le premier DC nécessite Active Directory et WDS pour fonctionner afin de déverrouiller. Mais avant de restaurer le premier DC, Active Directory n’est pas encore disponible pour WDS, il ne peut donc pas se déverrouiller.

    Pour déterminer si un DC est configuré pour utiliser le déverrouillage réseau BitLocker, vérifiez qu’un certificat de déverrouillage réseau est identifié dans la clé de registre suivante:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Maintenez les procédures de sécurité lors de la manipulation ou de la restauration de fichiers de sauvegarde qui incluent Active Directory. L’urgence qui accompagne le rétablissement des forêts peut conduire involontairement à négliger les meilleures pratiques en matière de sécurité. Pour plus d’informations, reportez-vous à la section intitulée  » Établissement de stratégies de Sauvegarde et de restauration de Contrôleurs de domaine  » du Guide des meilleures pratiques pour la sécurisation des Installations et des opérations quotidiennes d’Active Directory : Partie II.

Identifiez la structure forestière actuelle et les fonctions DC

Déterminez la structure forestière actuelle en identifiant tous les domaines de la forêt. Faites une liste de tous les CD de chaque domaine, en particulier les CD qui ont des sauvegardes, et les CD virtualisés qui peuvent être une source de clonage. Une liste de CD pour le domaine racine de la forêt sera la plus importante car vous récupérerez d’abord ce domaine. Après avoir restauré le domaine racine de la forêt, vous pouvez obtenir une liste des autres domaines, des CD et des sites de la forêt à l’aide des composants enfichables Active Directory.

Préparez un tableau qui montre les fonctions de chaque DC dans le domaine, comme indiqué dans l’exemple suivant. Cela vous aidera à revenir à la configuration pré-échec de la forêt après la récupération.

Nom DC Système d’exploitation FSMO GC RODC Sauvegarde DNS Noyau de serveur VM VM-GenID
DC_1 Windows Server 2012 Maître de schéma, maître de nommage de domaine Oui Non Oui Non Non Oui Oui
DC_2 Windows Server 2012 Aucun Oui Non Oui Oui Non Oui Oui
DC_3 Windows Server 2012 Infrastructure Master Non Non Non Oui Oui Oui Oui Oui
DC_4 Windows Server 2012 Émulateur PDC, maître RID Oui Non Non Non Non Oui Non
DC_5 Windows Server 2012 Aucun Non Non Oui Oui Non Oui Oui
RODC_1 Windows Server 2008 R2 Aucun Oui Oui Oui Oui Oui Oui Oui Non
RODC_2 Windows Server 2008 Aucun Oui Oui Non Oui Oui Oui Non

Pour chaque domaine de la forêt, identifiez un seul DC inscriptible disposant d’une sauvegarde de confiance de la base de données Active Directory pour ce domaine. Soyez prudent lorsque vous choisissez une sauvegarde pour restaurer un DC. Si le jour et la cause de la panne sont approximativement connus, la recommandation générale est d’utiliser une sauvegarde effectuée quelques jours avant cette date.

Dans cet exemple, il existe quatre candidats de sauvegarde : DC_1, DC_2, DC_4 et DC_5. Parmi ces candidats de sauvegarde, vous n’en restaurez qu’un seul. Le DC recommandé est DC_5 pour les raisons suivantes:

  • Il répond aux exigences pour l’utiliser comme source pour le clonage DC virtualisé, c’est-à-dire qu’il exécute Windows Server 2012 en tant que DC virtuel sur un hyperviseur prenant en charge VM-GenerationID, exécute un logiciel qui peut être cloné (ou qui peut être supprimé s’il ne peut pas être cloné). Après la restauration, le rôle d’émulateur PDC sera saisi sur ce serveur et il pourra être ajouté au groupe de contrôleurs de domaine clonables pour le domaine.
  • Il exécute une installation complète de Windows Server 2012. Un DC qui exécute une installation de base de serveur peut être moins pratique en tant que cible de récupération.
  • C’est un serveur DNS. Par conséquent, le DNS n’a pas besoin d’être réinstallé.

Remarque

Étant donné que DC_5 n’est pas un serveur de catalogue global, il présente également un avantage en ce sens que le catalogue global n’a pas besoin d’être supprimé après la restauration. Mais que le DC soit ou non un serveur de catalogue global n’est pas un facteur décisif car à partir de Windows Server 2012, tous les CD sont des serveurs de catalogue globaux par défaut, et la suppression et l’ajout du catalogue global après la restauration est recommandé dans le cadre du processus de récupération de forêt dans tous les cas.

Récupérer la forêt isolément

Le scénario préféré est d’arrêter tous les CD en écriture avant que le premier DC restauré ne soit remis en production. Cela garantit que les données dangereuses ne se répliquent pas dans la forêt récupérée. Il est particulièrement important d’arrêter tous les titulaires de rôles principaux d’opérations.

Note

Il peut y avoir des cas où vous déplacez le premier DC que vous prévoyez de récupérer pour chaque domaine vers un réseau isolé tout en permettant à d’autres CD de rester en ligne afin de minimiser les temps d’arrêt du système. Par exemple, si vous récupérez après une mise à niveau de schéma qui a échoué, vous pouvez choisir de maintenir les contrôleurs de domaine en cours d’exécution sur le réseau de production pendant que vous effectuez les étapes de récupération de manière isolée.

Si vous exécutez des CD virtualisés, vous pouvez les déplacer vers un réseau virtuel isolé du réseau de production où vous effectuerez la récupération. Le déplacement de DCS virtualisés vers un réseau séparé offre deux avantages:

  • Les CD récupérés sont empêchés de se reproduire du problème qui a causé le rétablissement de la forêt parce qu’ils sont isolés.
  • Le clonage DC virtualisé peut être effectué sur le réseau séparé afin qu’un nombre critique de CD puisse être exécuté et testé avant qu’ils ne soient ramenés sur le réseau de production.

Si vous exécutez DCs sur du matériel physique, déconnectez le câble réseau du premier DC que vous prévoyez de restaurer dans le domaine racine de la forêt. Si possible, déconnectez également les câbles réseau de tous les autres CD. Cela empêche les CD de se répliquer s’ils sont accidentellement démarrés pendant le processus de récupération de la forêt.

Dans une grande forêt répartie sur plusieurs emplacements, il peut être difficile de garantir que tous les CD inscriptibles sont fermés. Pour cette raison, les étapes de récupération — telles que la réinitialisation du compte informatique et du compte krbtgt, en plus du nettoyage des métadonnées — sont conçues pour s’assurer que les CD en écriture récupérés ne se répliquent pas avec des CD en écriture dangereux (au cas où certains seraient encore en ligne dans la forêt).

Cependant, ce n’est qu’en mettant hors ligne DCs inscriptible que vous pouvez garantir que la réplication ne se produit pas. Par conséquent, dans la mesure du possible, vous devez déployer une technologie de gestion à distance qui peut vous aider à arrêter et à isoler physiquement les CD inscriptibles pendant la récupération de la forêt.

Les RODC peuvent continuer à fonctionner pendant que les CD en écriture sont hors ligne. Aucun autre DC ne répliquera directement les modifications d’un RODC — en particulier, aucun changement de schéma ou de conteneur de configuration – de sorte qu’elles ne présentent pas le même risque que les CD inscriptibles lors de la récupération. Une fois que tous les DCS inscriptibles sont récupérés et en ligne, vous devez reconstruire tous les RODC.

Les RODC continueront de permettre l’accès aux ressources locales mises en cache dans leurs sites respectifs pendant que les opérations de récupération se poursuivront en parallèle. Les demandes d’authentification des ressources locales qui ne sont pas mises en cache sur le RODC seront transmises à un DC en écriture. Ces demandes échoueront car les CD en écriture sont hors ligne. Certaines opérations telles que les modifications de mot de passe ne fonctionneront pas non plus tant que vous ne récupérerez pas de CD en écriture.

Si vous utilisez une architecture de réseau hub-and-spoke, vous pouvez d’abord vous concentrer sur la récupération des CD en écriture dans les sites hub. Plus tard, vous pouvez reconstruire les RODC dans des sites distants.

  • Récupération de la Forêt AD – Prérequis
  • Récupération de la forêt AD – Concevoir un plan de récupération de la forêt personnalisé
  • Récupération de la forêt AD – Identifier le problème
  • Récupération de la forêt AD – Déterminer comment récupérer
  • Récupération de la forêt AD – Effectuer une récupération initiale
  • Récupération de la forêt AD – Procédures
  • AD Forest Recovery – Foire aux Questions
  • AD Forest Recovery – Récupération d’un seul Domaine dans une Forêt Multidomaine
  • AD Forest Recovery – Récupération de Forêt avec les contrôleurs de domaine Windows Server 2003

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.