Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.
Au niveau de la sauvegarde, votre outil doit prendre en charge la sauvegarde de l'état du système. Si vous avez un doute consulter la documentation de votre produit. Il n'est pas simple de détailler les raisons en quelques lignes, mais pour faire simple chaque modification de l'annuaire est numérotée sur chaque contrôleur de domaine. Chaque contrôleur de domaine connaît le numéro de sa dernière modification ainsi que les numéros des derniers échanges avec les autres DC. Si vous ne restaurez pas correctement un contrôleur de domaine il y aura une incohérence entre les 2 et des modifications ne seront jamais reprises par le DC restaurés. En général les contrôleurs de domaine détecteront un problème et la réplication sera bloquée. La restauration de l'état du système modifie des paramètres permettant aux contrôleurs de domaine de rétablir la réplication et de reprendre les éléments modifiés après la sauvegarde et avant le sinistre.
Jusque-là, il n'y a pas vraiment de choix ou de situation ambiguë et les opérations sont gérées correctement par la plupart des outils de sauvegarde.
Nous allons continuer par quelques questions.
Vous avez une forêt avec trois contrôleurs de domaine et un de vos DCs est en panne, que faites-vous ?
Bon la question est un peu simple, vous avez une sauvegarde de l'état du système, il suffit de la restaurer ! Oui, c'est une solution possible. Il y a un élément important dont il faut se rappeler. Une forêt AD est un ensemble cohérent d'exemplaire de partitions d'annuaires. Pensez-vous que la restauration depuis une sauvegarde qui peut d'ailleurs contenir la cause de votre panne est la solution la plus propre. Si vous avez lu certains de mes articles vous savez qu'il est préférable de reconstruire un contrôleur de domaine après avoir nettoyé les métadonnées d'Active Directory. Dans ce cas, le nouveau contrôleur de domaine repartira avec une copie d'un de vos autres contrôleurs de domaine et aura de fortes chances d'être cohérente avec les autres. Donc la solution est simple, il ne faut pas restaurer de contrôleurs de domaine depuis une sauvegarde s'il vous reste encore des contrôleurs de domaine viable. Oui mais c'est sans compter sur le fait que votre DC, hébergé également d'autres applications indispensables…
Il vous faudra donc choisir la méthode la plus acceptable.
Bon la malchance vous poursuit, cette fois l'ensemble de vos contrôleurs de domaine sont corrompus. Que faîtes-vous ?
Vous allez restaurer, par exemple, un contrôleur de domaine et reconstruire les autres à partir du premier (vos contrôleurs de domaine n'hébergent pas d'autre rôle, c'est déjà plus simple). Vous sélectionnez une sauvegarde récente de l'état du système, mais néanmoins certains comptes utilisateurs ont été créés après la sauvegarde. Vous devrez recréer les comptes manquants, mais quel Sid auront-ils, peut-être un identifiant déjà utilisé pour un des comptes créés après la sauvegarde et qui n'existe plus ? Si des droits ont été affectés à ces utilisateurs disparus sur les serveurs membres qui va en hériter ? Lors de la restauration complète de l'annuaire il y a une opération qui consiste à modifier le pool RID et à forcer tous les DCs, afin d'éviter de réattribuer des SID.
Et maintenant vous êtes dans une forêt multi-domaines, cela rend les choses encore plus complexes. Vous décidez de restaurer un contrôleur de domaine pour chacun de vos domaines et vous vérifiez que la réplication entre ces serveurs fonctionne avant de reconstruire les autres. Etes-vous sûr que le catalogue global sur vos serveurs et bien cohérent ? Avez-vous pensez à réaffecter les rôles FSMO ?
Bon admettons, vous avez fait le nécessaire. Savez-vous quel est le rôle du compte « KrbTGT » présent dans chaque domaine ? Avez-vous réinitialisé le mot de passe de ce compte si important pour la sécurité de l'authentification.
Restons en la avec les exemples. Pensez-vous que votre outil de sauvegarde est en mesure de prendre en charge toutes ses questions automatiquement sans solliciter vos compétences ?
Dans certaines conversations j'ai pu comprendre que certains administrateurs, mise leur restauration sur la capacité de leur outil de sauvegarde. Je n'ai pas pour objectif de critiquer certains outils payants, mais il ne suffit pas d'avoir une caisse à outils pour être un bon mécanicien.
Je ne saurai vous conseiller de tester la restauration complète d'une forêt Active Directory, dans un environnement de test, surtout si vous ne l'avez jamais fait.
Vous allez me demander quel est l'objectif de ce message. Une des remarques que l'on m'a faite concerne mon troisième livre consacré à la sauvegarde. Même si les exemples présentés sont basés sur les outils Microsoft, il n'en reste pas moins que la démarche n'est pas liée à un outil en spécifique et nécessite de connaître certaines opérations. Il ne se limite donc pas aux utilisateurs des outils de sauvegarde Microsoft.
Si cela vous intéresse vous pourrez retrouver mon livre avec le lien suivant : https://becomeitexpert.com/produit/active-directory-sauvegarde-restauration-1er-edition/.
