Les éléments clés de la sauvegarde

Les éléments clés de la sauvegarde

 

 Présentation

 

J’ai constaté qu’il y un souvent un  amalgame entre la restauration d’un serveur : le contrôleur de domaine par exemple et la restauration des données Active Directory. Et pourtant Active Directory n’est qu’un applicatif avec sa base de données.

Au niveau d’Active Directory la sauvegarde se fait par la sauvegarde de l’état du système, que vous utilisiez un l’outil intégré Microsoft ou un outil tierce. La restauration de l’état du système permet d’indiquer au contrôleur de domaine qu’il doit se remettre à niveau et qu’il vient d’être restauré.

Dans la restauration complète d’une forêt Active Directory il faut comprendre que vous devez être en mesure de reconstruire  le système d’exploitation serveur (attention au problème de mise à jour identique), ensuite vous restaurez l’état du système qui détient le nom de l’ordinateur la configuration réseau ainsi que l’AD.

 

Il existe différentes granularités de restauration dans Active Directory telle que :

-          la restauration d’un objet de l’annuaire

-          la restauration d’une OU et de son contenu

-          la restauration d’un contrôleur de domaine

-          la restauration d’une forêt AD

-          la restauration SYSVOL (GPO et SCRIPT)

 

Nous verrons également qu’à partir de Windows 2008 vous pouvez effectuer une restauration de l’OS et de l’état du système en une seule étape en démarrant sur le CD d’installation. On appelle ce type de restauration « Bare Metal  ».

Notons également que Windows 2012 et 2012 R2 apportent également leur nouveauté. En effet vous allez pouvoir utiliser des « snapshot » et cloner vos DC, à condition de respecter certaines conditions.

Le lien suivant http://technet.microsoft.com/fr-fr/library/dd363545(v=ws.10) vous donnera quelques informations complémentaires sur les contrôleurs de domaine virtualisé valables jusqu’à 2008 R2.

 Optimisez son architecture

 

Pendant plusieurs années j’ai travaillé dans des sociétés de prestation de services avant de me retrouver sur un poste sédentaire. Ces différentes expériences m’ont permis d’étendre ma vision sur les questions d’architecture. Lorsque j’étais prestataire de services je m’occupais avant tout de PME ayant aux plus 1 ou 2 informaticiens. Certaines de ces entreprises n’avaient qu’un seul serveur pour des raisons budgétaires et donc un contrôleur de domaine qui cumulait pas mal de rôle.

Et pourtant, cela fait quelques années que les bonnes pratiques conseillaient de mettre en place des serveurs différents pour chaque rôle. Ce principe a un coût pas toujours acceptable pour l’entreprise s’il faut multiplier les serveurs physiques. Hors  les outils de virtualisation et les offres de licence spécialisée TPE/PME, ont permis à ces entreprises d’accéder à ce type de technologie et de limiter l’investissement matériel sur des serveurs supplémentaires. Pour ceux d’entre vous qui ne sont pas encore passé à la virtualisation, il faut tenir compte de la simplification apportée par ces technologies.  Au niveau des contrôleurs de domaine j’entends souvent dire qu’il ne faut pas les virtualiser. En réalité il n’y a pas de problème spécifique entre Active Directory et la virtualisation dès lors que vous n’utilisez pas les  « Snapshot ». Seul la version 2012 et dans certains cas permet l’utilisation de cliché.

Je ne saurai vous conseiller de limiter les rôles de vos contrôleurs de domaine à AD, DNS, DHCP et de tenir compte lors d’un remplacement d’un serveur des multiples avantages de la virtualisation si ce n’est pas déjà fait.

Au niveau des outils de sauvegarde  je retrouvai comme outil de sauvegarde des logiciels complexes avec des fonctionnalités avancées telles que Backup Exe ou Arcserv, bien pratique rien que pour leur capacité à envoyer un compte rendu de la sauvegarde par mail et leur agent adapté à pas mal de solution.

Néanmoins ces logiciels de sauvegarde utilisaient des services et fonctionnaient avec des comptes de domaine. Un premier problème se pose, en cas de crash des services d’annuaires, aurai-je encore accès à mes outils de restauration ?

Je me rappelle être intervenu sur un site avec 1 DC, intégrant un lecteur de bandes est Symantec Backup Exe. Je ne sais comment mais sur le DC toutes les GPOs avaient disparu dans le dossier « Sysvol », empêchant les ouvertures de session. Le logiciel Backup Exe sauvegardait l’état du système. Néanmoins pour restaurer l’AD sous Windows 2003 il fallait redémarrer le serveur en mode restauration Active Directory. Sauf que dans ce mode, Active Directory n’étant pas chargé je ne pouvais accéder à la console de l’outil Backup Exe. Il me fallut retourner en mode normal, restaurait dans un emplacement tiers puis  redémarré en mode restauration et remettre en place les éléments manuellement.

Un des premiers points que je voulais porter à votre attention et de réfléchir à l’outil de sauvegarde pour Active Directory. Si votre outil est dépendant d’Active Directory vous pourriez rapidement avoir des gènes lors d’un sinistre grave.

 

Au niveau des sauvegardes de vos données il faut bien voir qu’elles sont les critères importants :

-          la période de rétention des supports de sauvegarde : un fichier supprimé par erreur la semaine dernière pourrait n’être détecté  que la semaine prochaine, si vous n’avez pas plusieurs supports de sauvegardes cela pourrait vite être gênant, vous empêchant de le restaurer.

-          la protection du support de sauvegarde en cas de vol ou incendie. De préférence, utilisez plusieurs supports pour sauvegarder vos données et conserver les en lieu sûr. Cela peut vous paraître évident, mais j’ai fréquemment retrouvé les bandes de sauvegardes posées à côté du serveur.

Vous verrez qu’avec Active Directory nous chercherons avant tout à restaurer l’état le plus récent. Si nous devons restaurer un objet il existe d’autres méthodes que le support de sauvegarde. La sauvegarde Active Directory n’a donc pas les mêmes critères de rétention que la sauvegarde de vos documents. Notez également que plus vous revenez en arrière sur votre AD, plus vous serez obligé d’intervenir sur les postes pour les réintégrer dans le domaine, vu que le mot de passe de compte de machine a pu être modifié depuis la sauvegarde.

 

Personnellement j’aurai tendance à préconiser une sauvegarde sur bande des données avec un logiciel évolué. Par contre au niveau Active Directory j’utiliserai tout de même une tache planifiée avec l’outil standard Microsoft sur un disque géré par un script avec notification par mail. La sauvegarde peut être suivie d’une recopie sur la bande avec un autre outil. Le dernier exemplaire restant toujours disponible.

Vous constaterez sans doute dans la suite du document que la procédure sera plus simple à suivre, si vous faites une restauration de l’état du système avec les outils Microsoft, plutôt qu’avec un outil tierce où il vous faudra analyser les documents pour comprendre quelle opération doit être réalisée manuellement.

 

Quelques conseils pour résumer :

  • limitez les rôles de vos contrôleurs de domaines,
  •  l’utilisation de contrôleur de domaine virtualisé peut simplifier les opérations de restauration de forêt, mais attention l’utilisation de « snapshot » n’est supportée qu’avec Windows 2012 et qu’avec certain hyperviseur,
  • effectuez une sauvegarde de l’état du système sur au moins 2 contrôleurs de domaine en lecture / écriture pour chaque domaine de la forêt,
  • utilisez des outils bien documentés, gérant la sauvegarde de l’état du système et qui peuvent être utilisés même si votre AD est arrêté. Un service de sauvegarde s’appuyant sur des comptes de domaines pourrait entraîner une restauration complexe. Dans le doute utilisé les outils recommandés par Microsoft,
  • ne confondez pas le politique de sauvegarde et de rétention de vos données avec la politique de sauvegarde AD,
  • testez vos procédures de restauration.

 

 Note : vous ne pouvez pas utiliser un contrôleur de domaine en lecture seul (RODC : à partir de Windows 2008) pour restaurer un contrôleur de domaine accessible en écriture. Dans votre plan de sauvegarde il faudra inclure au moins 2 DC classiques.