Préparation de restauration
En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.
Restauration du premier DC de chaque domaine de la forêt
- Commencez par le DC du domaine root de la forêt puis effectuez les mêmes étapes pour les autres DC
o Isolez les serveurs de l’environnement de production (débranchez la carte réseau sur un serveur physique si vous ne pouvez faire autrement) ;
o Faites une restauration de l’état du système (restauration AD non autoritaire, Sysvol autoritaire) ;
o Si votre serveur détient un ou des rôles FSMO, créez la clé de registre « HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations » avec la valeur Dword « 0 » ( à la fin de la restauration de la forêt il faudra mettre la valeur à « 1 »). Voir kb 305476 ;
o Si vous avez subi une intrusion réinitialiser les mots de passe des comptes inclus dans les groupes d’administration;
o Sur le DC du domaine racine, prenez l’ensemble des rôles FSMO de la forêt et du domaine. Pour les autres domaines, prenez les rôles du FSMO du domaine;
o Nettoyez toutes les métadonnées des autres contrôleurs de domaines qui ne seront pas restaurés. A partir des outils d’administrations présents dans Windows 2008, vous pouvez directement supprimer l’objet dans « utilisateur et ordinateur Active Directory » depuis l’OU « domain controleurs » ou dans « sites et services Active Directory ». Pour les versions précédentes utiliser « NTDS metadatacleanup»;
( Consultez le lien http://technet.microsoft.com/fr-fr/library/cc816907(v=ws.10).aspx pour plus de détail )
o Si vos zones DNS sont intégrées à Active Directory vérifier que le DC restauré a bien le service DNS d’installé sinon il faut l’installer. Sur chaque serveur vérifie la configuration IP et les serveurs DNS utilisés par la carte réseau. Sur le serveur du domaine racine, il faut mettre l'IP du serveur en tant que serveur DNS primaire. Pour les autres domaines, ajoutez en plus de son adresse l’adresse du serveur Racine comme DNS préféré;
o Dans la zone DNS de la forêt « _msdcs »et dans les zones de domaine, supprimez les enregistrements NS des DC sui ne seront pas restaurés. Supprimez également les enregistrements de service. Vous pouvez utiliser « nltest /dsderegdns :monserveur » pour vous faciliter la tâche;
o Incrémentez la valeur du pool Rid de « 100000 ». Ceci évitera qu’un utilisateur nouvellement créé puisse se retrouver avec un Sid identique à un utilisateur ayant été créé entre le moment de la sauvegarde et le moment du crash et sur lequel il y aurait déjà des droits affectés. Invalider le pool RID du contrôleur de domaine restauré; http://pbarth.fr/node/69
o Réinitialisez le mot de passe du compte d’ordinateur du contrôleur de domaine 2 fois; http://pbarth.fr/node/71
o Réinitialisez le mot de passe du compte « krbtgt » 2 fois;
o Supprimez le rôle de catalogue global si le serveur avait ce rôle. La seule exception est pour les forêts mono domaines;
o Configurez le service de temps sur le contrôleur de domaine du domaine racine de la forêt.
Reconnecté tous les DC dans le réseau
o Reconnectez les DC dans un réseau isolé de préférence;
o Vérifiez l’ensemble de vos délégations de zones DNS et de vos redirecteurs afin de garantir la résolution de nom;
o Si certain DC n’ont pas assez de partenaire de réplication en ligne ajoutez manuellement des partenaires dans « sites et services Active Directory »;
o Vérifiez la réplication avec « repadmin /showrepl »;
o Vérifiez le nettoyage des métadonnées AD des DC non restaurés avec « repadmin /viewlist »;
o vérifiez l’état des DC avec « dcdiag /v ».
Remettre en place le catalogue global
o Remettre la clé « HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl Perform Initial Synchronizations » à 1;
o Ajoutez le rôle de catalogue global sur le DC du domaine racine.
1.1.5 Réinstaller les autres contrôleurs de domaines
Si vous avez des contrôleurs de domaine Windows 2012 vous pourrez profiter du clonage pour reconstruire les autres DC. Sinon il est préférable de reconstruire les autres contrôleurs de domaine de la forêt plutôt que de les restaurer depuis une sauvegarde. La reconstruction se fait à partir de la base Active Directory que vous venez de remettre en place et évite un problème d’intégrité en restaurant un autre contrôleur de domaine dont on n’est pas sûr de l’état cohérent au moment de la sauvegarde.
Nettoyage et remise en place des configurations réseau et DNS
o Reconfigurez vos DC avec les bons DNS primaires, secondaires et supprimez les enregistrements DNS qui ne sont plus valides;
o Si vous utilisez Wins purger les enregistrements Wins des serveurs qui n’ont pas été restaurés;
o Vous pouvez réattribuer les rôles FSMO dans votre forêt;
o Créer les objets qui ont été créé après la sauvegarde et qui n'existent plus (compte utilisateur, ordinateur devant être rejoint au domaine);
o Vérifiez et restaurez les approbations de forêt ou de domaine avec les domaines ou les forêts externes.
Commentaires
merci
merci pour votre partage