5/12/2018 restauration adc 2003 - slidepdf.com

http://slidepdf.com/reader/full/restauration-adc-2003 1/3

 

De nos jours beaucoup d’administrateur utilisent le service d’annuaire Active Directory sans se rendre compte des risques qu’ilsencourent? N’étant jamais à l’abri d’une panne matérielle, d’une coupure de courant entraînant la perte ou la corruption dedonnées résidantes sur un contrôleur de domaine, il est important de comprendre comment réagir lors d’un disfonctionnementde celui-ci.

Cet article est issu de la session SVR320 - Active Directory Recovery Planning du Tech’Ed 2005 à Amsterdam animé par Jason Heyes et Gary Williams de Microsoft UK. Vous retrouverez dans celui-ci les différents désastres possibles classés sous

forme de scénarios ainsi que leur processus de résolution.

1. Définition d'un désastre Active Directory

1.1 Les trois catégories de désastre :

Nous pouvons distinguer trois sortes de désastre pour Active Directory, en fonction de cela notre plan de restauration seradifférent :

• Corruption de la base de donnée (ndts.dit)

o Par exemple une mise à jour du schéma Active Directory non finalisée

• Corruption des données

o Par exemple un administrateur supprime des données (telles que comptes utilisateurs, ordinateurs,

groupes) par inadvertance• Panne matérielle

o Par exemple un disque dur qui tombe en panne

1.2 Pourquoi prévoir un plan de restauration en cas de désastre ?

Active Directory étant au centre de l'architecture de votre entreprise, son simple disfonctionnement (même de courte durée),peut entraîner des conséquences importantes comme une perte de productivité !

Pour pallier à ce problème, il faut tout d'abord avoir une très bonne connaissance du dépannage Active Directory nottament sur ces sujets suivants :

• Fonctionnement de la forêt

• Service de réplication Inter/Intra site (lien vers l'article)• Gestion des droits administratifs

• Fonctionnement du DNS (zone intégrée ou non à AD)

Avant toutes choses, vous devez posséder (ou mettre en place si ce n'est pas le cas) une documentation très précise etcomplète à propos de votre forêt. Il est impératif de connaître la structure physique et logique de votre entreprise. Vous devezêtre capable d'identifier les contrôleur de domaine possédant des rôles FSMO ainsi que les serveurs tête de pont (bridghead)dispatché dans les différentes sites. Une fois cette documentation effectuée, n'oubliez pas de la mettre à jour à chaquemodification de votre structure.

C'est grâce à cette documentation que vous allez pouvoir identifier les éléments importants à surveiller et surtout définir votrestratégie de restauration. POur effectuer un monitoring de l'ensemble de votre parc informatique de manière centralisée,Microsoft à sortie un produit nommée "Microsoft Operations Manager (MOM)".

Quel que soit le type de scénario que vous allez rencontrer, il faut absolument penser à faire des sauvegardes régulières de voscontrôleurs de domaines les plus importants (FSMO, GC,...) ainsi que de tester vos sauvegardes en les restaurant sur desmachines qui ne sont pas en production.

2. Scénarios de restauration

Le dysfonctionnement de l'artère principale du réseau de l'entreprise est toujours une source de stress et d'ennuis. Mais suivantle niveau de dysfonctionnement (plus ou moins grave), les procédures de restauration seront, elles aussi, plus ou moiscomplexes et longues. Dans tous les cas il s'agît d'une tâche fastidieuse que seul des personnes expérimentées peuventréaliser.

2.1 Scénario 1 : Dysfonctionnement d'un seul DC

Le cas le plus simple est bien entendu le dysfonctionnement d'un unique DC au sein de l'entreprise.

Cependant il faut quand même suivre un certains nombres d'étapes afin d'être certain que la restauration se passecorrectement.

5/12/2018 restauration adc 2003 - slidepdf.com

http://slidepdf.com/reader/full/restauration-adc-2003 2/3

 

Dans ce cas concret, de nombreux problèmes peuvent surgir telles que l'impossibilité d'ouvrir une session sur le domaine (dansle cas d'un seul DC), une surcharge de travail sur les autres contrôleurs, absence possible de rôle de maîtres d'opération durantla panne...

Deux méthodes s'offrent à vous pour la restauration :

1.Restauration à partir d'une sauvegarde : dans ce cas, il suffit de redémarrer la machine en mode de RestaurationActive Directory (F8) ou de réinstaller le système d'exploitation puis de faire une restauration non forcée à partir dumédia de sauvegarde puis de redémarrer la machine en mode normal. Après le redémarrage, une réplication vaavoir lieu avec les autres DC et le service d'annuaire sera donc de nouveau à jour.

2. Dans le cas où vous n'avez pas de sauvegarde disponible pour votre serveur défaillant et au moins deux DC dans

votre entreprise, une deuxième méthode s'offre à vous. Elle consiste à supprimer le rôle de contrôleur de domainedu serveur défaillant ou de réinstaller un OS neuf afin de repartir avec un serveur autonome (ou un nouveauserveur plus performant). Puis nettoyer les meta-données afin de supprimer toutes les références de l'anciencontrôleur de domaine. Enfin, réinstallez AD (dcpromo), puis laissez faire la réplication. Si jamais votre ancien serveur possédait des rôles de maîtres d'opération il vous faudra les reprendre à l'aide de la commande : seize.

L'avantage de la première méthode est que la restauration est plus rapide qu'une réplication totale de la base ActiveDirectory.

2.2 Scénario 2 : Dysfonctionnement d'un DC dans un site distant

Dans ce cas, seul le site distant sera gêné par la panne, du coup nous nous retrouvons dans le même cas qu'au dessus. Ilfaudra donc suivre la même procédure sachant qu'un problème de réplication peut avoir lieu à cause d'une liaison trop lenteentre les deux sites, c'est pour cela que vous pouvez utiliser la fonctionnalité d'installation à partir d'un média (dcpromo /adv) que nous offre Windows Server 2003 pour pallier à ce problème.

2.3 Scénario 3 : Dysfonctionnement du dossier SYSVOL sur un seul DC

Pour rappel, le dossier SYSVOL est un dossier créé et partagé automatiquement à la promotion d'un serveur membre entantque contrôleur de domaine. Dans ce scénario, les utilisateurs ne pourront donc plus ouvrir de session à l'aide de ce contrôleur de domaine.Il s'agit d'un problème majeur pour lequel une enquête sera nécessaire avec de connaître les raisons de cette défaillance pour éviter qu'elle se reproduise. Dans ce cas, il va être nécessaire de redémarrer en mode de restauration Active Directory (F8)

afin de modifier la clef de registre suivanteHKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup et de lui affecter la valeur D2.Cette valeur permet de spécifier que l'on souhaite faire une restauration non forcée. Au prochain redémarrage le dossier SYSVOL se reconstruira à partir des autres DC encore en marche.

2.4 Scénario 4 : Dysfonctionnement du dossier SYSVOL sur tous les DC

Nous sommes dans un cas très délicat. En effet, il s'agît réellement d'un problème inquiétant puisque plus personne ne pourraouvrir de session dans l'entreprise et du coup travailler. Heureusement une procédure longue et complexe existe pour ce casprécis. Voici les étapes à suivre pour résoudre ce problème et restaurer correctement le dossier SYSVOL sur tous les DC.

Tout d'abord il faut arrêter et désactiver le service FRS (File Replication Services) sur l'intégralité des contrôleurs de domaines.Ensuite supprimer le partage du dossier SYSVOL (Attention : il ne faut pas supprimer le dossier en lui même mais justedésactiver son partage) également sur l'ensemble des DC. Maintenant choisissez votre DC préféré pour la restauration,

généralement celui qui possède une sauvegarde de l'état du système (System State

), la plus récente puis effectuer larestauration du dossier SYSVOL dans un autre emplacement que celui habituel. Ensuite vous devez copier le dossier SYSVOLde votre DC préféré vers les autres DC distants, et réactiver le partage des dossiers SYSVOL et NETLOGON sur tous les DCdistants.

5/12/2018 restauration adc 2003 - slidepdf.com

http://slidepdf.com/reader/full/restauration-adc-2003 3/3

 

Attention : il ne faut pas redémarrer le service de réplication de fichier (FRS) maintenant !

A partir de maintenant tous les utilisateurs peuvent de nouveau s'authentifier et reprendre le travail.

Cependant, pour vous le travail n'est pas fini puisque vous devez encore remettre en place l'infrascture de votre forêt. Pour celàcommencez par supprimer le contenu du dossier SYSVOL sur votre DC préféré puis copiez le bon fichier SYSVOL à partir de larestauration faîte précédemment. Configurez maintenant le service de replication de fichier (FRS) pour qu'il s'exécute de façon

non forcée sur tous les DC excepté sur le DC préféré, pour celà il vous suffit d'affecter la valeur D2 à la clé suivante :HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup. Maintenant configurez leservice FRS pour se reconstruire en forcée sur votre DC préféré, il suffit d'affecter la valeur D4 à la clé :HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup.

La procédure est presque terminée, vous devez démarrer le service FRS sur votre serveur préféré, puis faîtes de même pour tous les autres DC distants. Pour vérifier que la réplication se passe bien vous devez apercevoir l'événement N°13516 dansl'observateur d'événements ce qui indique que la réplication s'est correctement déroulée.

Redémarrez enfin tous les DC distants et les clients !

3. Restauration intégrale d'une forêt

Imaginons le cas le plus critque qu'il puisse arriver : c'est à dire la perte soudaine de l'intégralité des contrôleurs de domaines

de votre forêt pour une raison ou une autre (défaillance matérielle générale, virus, etc. etc.). Dans ce cas, il existe bienévidemment une possibilité fastidieuse pour remettre en route votre structure et c'est ce que nous allons présenter.

Avant tout, commencez par identifier quels sont les DC de chaque domaine qui possèdent une sauvegarde récente du système(ainsi que System State). Pour réussir cette procédure, il vous faut une sauvegarde de DC par domaine. Celle-ci devra contenir le maximum de rôles importants (DNS, Catalogue Global,...) ainsi que des partitions d'application s'il y en a. Ensuite isolez lesDCs que vous allez restaurer du réseau afin de ne pas corrompre les données restaurées avec les autres DC.

Maintenant nous allons passer à la restauration des DC isolés :

1. Démarrez en mode Restauration des Services Active Directory (F8 au démarrage), vous devez bien évidemment

posséder le mot de passe correspondant choisi lors de l'installation d'Active Directory.

2. Restaurez le disque système ainsi que l'état du système (System State) à partir de votre sauvegarde.

3. Marquez le dossier SYSVOL pour une restauration primaire.4. Redémarrez l'ordinateur en mode normal. 

5. Ouvrez une session en tant qu'administrateur (c'est le seul compte qui peut marcher en l'absence de Catalogue

Global).6. Configurer l'ordinateur en tant que serveur DNS primaire.7. Augmentez le pool de RID disponible d'une grande valeur (par exemple 100 000) pour éviter tout conflit de SID par la

suite lors de la création de nouveaux objets.

8. Faîtes une prise de rôles des maîtres d'opération à l'aide de la commande Seize. 

9. Nettoyez les metadonnées de tous les autres DC du domaine.10. Nettoyez les enregistrements DNS de tous les autres DC du domaine.11. Stopez la réplication avec les DC affectés en cassant l'authentification mutuelle.12. Réinitialisez le mot de passe des comptes d'ordinateurs deux fois.13. Réinitialisez le mot de passe "krbtgt".14. Supprimez les comptes d'ordinateurs de tous les autres DC du domaine.15. Réinitialisez le mot de passe d'approbation deux fois sur l'un des côtés de l'approbation.

Maintenant il suffit de supprimer Active Directory ou de réinstaller le système sur les autres DC (ceux qui ne possédaient pasde sauvegarde et qui sont restés dans le réseau).

Enfin il faut remettre les nouveaux DC restaurés dans le réseau et attendre que la réplication se déroule entre eux (Schéma,Configuration, DNS).

Et pour finir, réinstallez AD (dcpromo) sur les autres DC restants.