Récupération de forêt AD - FAQ

Ce document contient des questions fréquentes (FAQ) sur la récupération de forêt :

Que puis-je faire pour accélérer la récupération ?

Bien que la vitesse de récupération ne soit pas l’objectif principal de ce guide, vous pouvez atteindre des temps de récupération plus courts en procédant comme suit :

• Création d’un plan de récupération de forêt détaillé, mise à jour régulière et pratique dans un environnement de test simulé d’une taille raisonnable au moins une fois par an.
• Exécution d’une sauvegarde COMPLÈTE de sauvegarde Windows Server qui fournit à la fois une récupération complète (BMR) ou une récupération d’état système.
• Utilisation du clonage de contrôleur de domaine virtualisé (DC). Le clonage de contrôleur de domaine virtualisé accélère le processus pour obtenir des contrôleurs de domaine supplémentaires déployés pour restaurer la bande passante d’origine des services de domaine. Les contrôleurs de domaine en cours d’exécution après la restauration d’un contrôleur de domaine à partir de la sauvegarde dans chaque domaine, car il s’agit d’une restauration non authentifiée, l’émulateur PDC doit également être disponible pendant l’opération de clonage. Les contrôleurs de domaine virtualisés supplémentaires peuvent être clonés plutôt que d’attendre la fin des installations AD DS potentiellement longues et la fin de la réplication non critique après l’installation. Les forêts où les contrôleurs de domaine virtuels sont hébergés dans un nombre relativement faible de centres de données bien connectés bénéficient potentiellement du clonage pendant la récupération. Toutefois, tout environnement où plusieurs contrôleurs de domaine virtualisés pour le même domaine sont colocalisés sur le même hôte d’hyperviseur doit bénéficier.
• À l’aide d’Install From Media IFM pour réduire le temps nécessaire à la réplication complète, en réduisant le trafic de réplication, car seul le delta sera répliqué. Il permet également une installation rapide de plusieurs contrôleurs de domaine.
• Si vous utilisez des scénarios de site distant complexes (rares) : -** Installez AD DS sur un ou plusieurs serveurs dans un hub ou un site intermédiaire**, puis envoyez-les au site distant.
  • Implémentez des procédures de sauvegarde/restauration pour les contrôleurs de domaine avec une connectivité médiocre/intermittente, en plus des contrôleurs de domaine désignés comme systèmes de sauvegarde principale et de récupération d’urgence (BDR) dans les emplacements principaux du centre de données. Vous devez ajouter des étapes pour mettre en place les contrôleurs de domaine restaurés dans d’autres emplacements synchronisés avec les contrôleurs de domaine principaux du centre de données. Pour ce faire, désignez un contrôleur de domaine comme référence de compte d’ordinateur et n’autorisez l’exécution de KDCSVC. Sur les autres contrôleurs de domaine que vous avez restaurés, suivez les étapes décrites dans Réinitialiser le mot de passe du contrôleur de domaine avec Netdom.exe
• Déploiement de contrôleurs de domaine en lecture seule (RODC) Les contrôleurs de domaine clés peuvent assurer la continuité de l’activité pendant le processus de récupération, car ils n’ont pas besoin d’être déconnectés du réseau comme les contrôleurs de domaine accessibles en écriture. Les contrôleurs de domaine réseau n’effectuent pas de réplication sortante. Par conséquent, ils ne présentent pas le même risque que les contrôleurs de domaine accessibles en écriture posent la réplication de données nuisibles dans l’environnement récupéré.

D’autres facteurs qui affectent la durée du processus de récupération de forêt sont les suivants :

• Lorsque les contrôleurs de domaine sont des machines virtuelles, vous pouvez tirer parti de la restauration d’instantanés pour restaurer un contrôleur de domaine à un état correct connu. Cette approche n’est pas recommandée, car les captures instantanées utilisées pour les sauvegardes sont fournies avec un certain nombre de mises en garde, telles que la disponibilité de l’espace disque pour les instantanés sur le serveur de machines virtuelles afin d’avoir un historique de sauvegarde utilisable. Nous vous recommandons vivement d’utiliser des sauvegardes régulières comme moyen principal de récupération. Les captures instantanées de machine virtuelle peuvent vous aider à récupérer des problèmes après des modifications sensibles, telles que les mises à jour à l’échelle de la forêt, telles que le renommage de domaine ou les mises à jour de schéma volumineux. Note: You need to mark SYSVOL as authoritative for DFSR manually when needed. Pour plus d’informations sur le contrôleur de domaine virtualisé, consultez Architecture du contrôleur de domaine virtualisé.

• Lorsque vous restaurez des contrôleurs de domaine à partir de sauvegardes, il faut du temps pour localiser et récupérer le support de sauvegarde physique, comme les bandes, réinstaller le système d’exploitation, en fonction du scénario de récupération et restaurer les données à partir du support de sauvegarde.

  Note

  Vous pouvez réduire le temps nécessaire pour réinstaller le système d’exploitation et restaurer des données à partir de la sauvegarde en effectuant une récupération complète au lieu de restaurer l’état du système. Étant donné que la récupération complète est basée sur des fichiers binaires, elle se termine beaucoup plus rapidement que la restauration de l’état du système. Toutefois, si le serveur contient des données exclues des données d’état système que vous ne souhaitez pas restaurer, la récupération nue peut ne pas être une alternative viable à la restauration de l’état du système. Tenez compte des avantages de l’exécution d’une récupération complète du serveur au lieu d’une restauration d’état système pour vos serveurs spécifiquement et préparez-les en conséquence en effectuant le type de sauvegarde approprié que vous envisagez de restaurer ultérieurement. La meilleure pratique générale recommande d’effectuer une sauvegarde COMPLÈTE qui fournira à la fois un type de restauration complète ou d’état système.

  • Lorsque vous régénérez des contrôleurs de domaine par réplication, il faut du temps pour répliquer des données pour les promotions basées sur le réseau. Vous pouvez réduire le temps nécessaire à la restauration des contrôleurs de domaine en plaçant le nouveau contrôleur de domaine dans le même sous-réseau que le partenaire à promouvoir. Cela réduit les retards causés par les allers-retours réseau et le débit.

• Réduisez le temps de récupération du support de sauvegarde en :

  • Utilisation de l’outil de montage de base de données Active Directory (Dsamain.exe) pour identifier la meilleure sauvegarde à utiliser pour les opérations de restauration. Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le guide pas à pas de l’outil de montage de base de données Active Directory.
  • Étiqueter le support de sauvegarde clairement et stocker le média de manière organisée à un emplacement pratique, mais sécurisé, qui permet une récupération rapide. Vérifiez que vous disposez d’informations d’identification valides en fonction de vos sauvegardes.

• Forcer la suppression d’AD DS des contrôleurs de domaine au lieu de réinstaller le système d’exploitation. Si la cause de l’échec à l’échelle de la forêt a été identifiée comme étant purement dans l’étendue d’AD DS, vous n’avez pas besoin de réinstaller le système d’exploitation sur les contrôleurs de domaine. Pour plus d’informations sur la suppression d’AD DS d’un contrôleur de domaine, consultez Forcer la suppression d’un contrôleur de domaine Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=132627).

• Utilisez des sauvegardes de bandes ou de disques plus rapides pour réduire le temps nécessaire pour les opérations de restauration. Les entreprises disposant d’un contrat de niveau de service plus agressif (SLA) peuvent envisager de modifier les procédures de récupération de forêt pour accélérer la récupération.

Puis-je automatiser le processus de récupération de forêt ?

En raison de la nature complexe et critique du processus de récupération de forêt, il n’existe actuellement aucune automatisation de bout en bout. Le processus de récupération des forêts est plus un défi logistique et organisationnel de restauration de la continuité de l’activité qu’un problème technique d’automatisation des processus. Par conséquent, la personne qui administre l’environnement doit créer un plan de récupération de forêt spécifique à cet environnement, puis automatiser les sections qui peuvent être automatisées avec succès.

Vous pouvez effectuer la plupart des étapes de récupération de forêt à l’aide d’outils en ligne de commande. Par conséquent, la plupart des étapes sont scriptables. Par exemple, Ntdsutil.exe est l’un des outils les plus fréquemment utilisés dans le processus de récupération de forêt.

Bien que les scripts puissent accélérer la récupération, vous devez tester soigneusement ces scripts avant de les appliquer dans un environnement réel. En outre, vous devez les mettre à jour en fonction des modifications apportées à l’environnement Active Directory, telles que l’ajout d’un nouveau domaine ou d’un contrôleur de domaine, ou une nouvelle version d’Active Directory.

Next steps

• Récupération de forêt AD - Prérequis
• Récupération de forêt AD - Concevoir un plan de récupération de forêt personnalisé
• Récupération de forêt AD - Étapes de restauration de la forêt
• Récupération de forêt AD - Identifier le problème
• Récupération de forêt AD - Déterminer comment effectuer la récupération
• Récupération de forêt AD - Effectuer une récupération initiale
• Récupération de forêt AD - Procédures
• Récupération de forêt AD - Questions fréquentes (FAQ)
• Récupération de la forêt AD - Récupérer un domaine unique au sein d'une forêt multidomaine
• Récupération de forêt AD : redéployer les contrôleurs de domaine restants
• Récupération de forêt AD - Virtualisation
• Récupération de forêt AD - Nettoyage

Ce document contient des questions fréquentes (FAQ) sur la récupération de forêt :

Bien que la vitesse de récupération ne soit pas l’objectif principal de ce guide, vous pouvez atteindre des temps de récupération plus courts en procédant comme suit :

• Création d’un plan de récupération de forêt détaillé, mise à jour régulière et pratique dans un environnement de test simulé d’une taille raisonnable au moins une fois par an.
• Exécution d’une sauvegarde COMPLÈTE de sauvegarde Windows Server qui fournit à la fois une récupération complète (BMR) ou une récupération d’état système.
• Utilisation du clonage de contrôleur de domaine virtualisé (DC). Le clonage de contrôleur de domaine virtualisé accélère le processus pour obtenir des contrôleurs de domaine supplémentaires déployés pour restaurer la bande passante d’origine des services de domaine. Les contrôleurs de domaine en cours d’exécution après la restauration d’un contrôleur de domaine à partir de la sauvegarde dans chaque domaine, car il s’agit d’une restauration non authentifiée, l’émulateur PDC doit également être disponible pendant l’opération de clonage. Les contrôleurs de domaine virtualisés supplémentaires peuvent être clonés plutôt que d’attendre la fin des installations AD DS potentiellement longues et la fin de la réplication non critique après l’installation. Les forêts où les contrôleurs de domaine virtuels sont hébergés dans un nombre relativement faible de centres de données bien connectés bénéficient potentiellement du clonage pendant la récupération. Toutefois, tout environnement où plusieurs contrôleurs de domaine virtualisés pour le même domaine sont colocalisés sur le même hôte d’hyperviseur doit bénéficier.
• À l’aide d’Install From Media IFM pour réduire le temps nécessaire à la réplication complète, en réduisant le trafic de réplication, car seul le delta sera répliqué. Il permet également une installation rapide de plusieurs contrôleurs de domaine.
• Si vous utilisez des scénarios de site distant complexes (rares) : -** Installez AD DS sur un ou plusieurs serveurs dans un hub ou un site intermédiaire**, puis envoyez-les au site distant.
  • Implémentez des procédures de sauvegarde/restauration pour les contrôleurs de domaine avec une connectivité médiocre/intermittente, en plus des contrôleurs de domaine désignés comme systèmes de sauvegarde principale et de récupération d’urgence (BDR) dans les emplacements principaux du centre de données. Vous devez ajouter des étapes pour mettre en place les contrôleurs de domaine restaurés dans d’autres emplacements synchronisés avec les contrôleurs de domaine principaux du centre de données. Pour ce faire, désignez un contrôleur de domaine comme référence de compte d’ordinateur et n’autorisez l’exécution de KDCSVC. Sur les autres contrôleurs de domaine que vous avez restaurés, suivez les étapes décrites dans Réinitialiser le mot de passe du contrôleur de domaine avec Netdom.exe
• Déploiement de contrôleurs de domaine en lecture seule (RODC) Les contrôleurs de domaine clés peuvent assurer la continuité de l’activité pendant le processus de récupération, car ils n’ont pas besoin d’être déconnectés du réseau comme les contrôleurs de domaine accessibles en écriture. Les contrôleurs de domaine réseau n’effectuent pas de réplication sortante. Par conséquent, ils ne présentent pas le même risque que les contrôleurs de domaine accessibles en écriture posent la réplication de données nuisibles dans l’environnement récupéré.

D’autres facteurs qui affectent la durée du processus de récupération de forêt sont les suivants :

• Lorsque les contrôleurs de domaine sont des machines virtuelles, vous pouvez tirer parti de la restauration d’instantanés pour restaurer un contrôleur de domaine à un état correct connu. Cette approche n’est pas recommandée, car les captures instantanées utilisées pour les sauvegardes sont fournies avec un certain nombre de mises en garde, telles que la disponibilité de l’espace disque pour les instantanés sur le serveur de machines virtuelles afin d’avoir un historique de sauvegarde utilisable. Nous vous recommandons vivement d’utiliser des sauvegardes régulières comme moyen principal de récupération. Les captures instantanées de machine virtuelle peuvent vous aider à récupérer des problèmes après des modifications sensibles, telles que les mises à jour à l’échelle de la forêt, telles que le renommage de domaine ou les mises à jour de schéma volumineux. Note: You need to mark SYSVOL as authoritative for DFSR manually when needed. Pour plus d’informations sur le contrôleur de domaine virtualisé, consultez Architecture du contrôleur de domaine virtualisé.

• Lorsque vous restaurez des contrôleurs de domaine à partir de sauvegardes, il faut du temps pour localiser et récupérer le support de sauvegarde physique, comme les bandes, réinstaller le système d’exploitation, en fonction du scénario de récupération et restaurer les données à partir du support de sauvegarde.

  Note

  Vous pouvez réduire le temps nécessaire pour réinstaller le système d’exploitation et restaurer des données à partir de la sauvegarde en effectuant une récupération complète au lieu de restaurer l’état du système. Étant donné que la récupération complète est basée sur des fichiers binaires, elle se termine beaucoup plus rapidement que la restauration de l’état du système. Toutefois, si le serveur contient des données exclues des données d’état système que vous ne souhaitez pas restaurer, la récupération nue peut ne pas être une alternative viable à la restauration de l’état du système. Tenez compte des avantages de l’exécution d’une récupération complète du serveur au lieu d’une restauration d’état système pour vos serveurs spécifiquement et préparez-les en conséquence en effectuant le type de sauvegarde approprié que vous envisagez de restaurer ultérieurement. La meilleure pratique générale recommande d’effectuer une sauvegarde COMPLÈTE qui fournira à la fois un type de restauration complète ou d’état système.

  • Lorsque vous régénérez des contrôleurs de domaine par réplication, il faut du temps pour répliquer des données pour les promotions basées sur le réseau. Vous pouvez réduire le temps nécessaire à la restauration des contrôleurs de domaine en plaçant le nouveau contrôleur de domaine dans le même sous-réseau que le partenaire à promouvoir. Cela réduit les retards causés par les allers-retours réseau et le débit.

• Réduisez le temps de récupération du support de sauvegarde en :

  • Utilisation de l’outil de montage de base de données Active Directory (Dsamain.exe) pour identifier la meilleure sauvegarde à utiliser pour les opérations de restauration. Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le guide pas à pas de l’outil de montage de base de données Active Directory.
  • Étiqueter le support de sauvegarde clairement et stocker le média de manière organisée à un emplacement pratique, mais sécurisé, qui permet une récupération rapide. Vérifiez que vous disposez d’informations d’identification valides en fonction de vos sauvegardes.

• Forcer la suppression d’AD DS des contrôleurs de domaine au lieu de réinstaller le système d’exploitation. Si la cause de l’échec à l’échelle de la forêt a été identifiée comme étant purement dans l’étendue d’AD DS, vous n’avez pas besoin de réinstaller le système d’exploitation sur les contrôleurs de domaine. Pour plus d’informations sur la suppression d’AD DS d’un contrôleur de domaine, consultez Forcer la suppression d’un contrôleur de domaine Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=132627).

• Utilisez des sauvegardes de bandes ou de disques plus rapides pour réduire le temps nécessaire pour les opérations de restauration. Les entreprises disposant d’un contrat de niveau de service plus agressif (SLA) peuvent envisager de modifier les procédures de récupération de forêt pour accélérer la récupération.

En raison de la nature complexe et critique du processus de récupération de forêt, il n’existe actuellement aucune automatisation de bout en bout. Le processus de récupération des forêts est plus un défi logistique et organisationnel de restauration de la continuité de l’activité qu’un problème technique d’automatisation des processus. Par conséquent, la personne qui administre l’environnement doit créer un plan de récupération de forêt spécifique à cet environnement, puis automatiser les sections qui peuvent être automatisées avec succès.

Vous pouvez effectuer la plupart des étapes de récupération de forêt à l’aide d’outils en ligne de commande. Par conséquent, la plupart des étapes sont scriptables. Par exemple, Ntdsutil.exe est l’un des outils les plus fréquemment utilisés dans le processus de récupération de forêt.

Bien que les scripts puissent accélérer la récupération, vous devez tester soigneusement ces scripts avant de les appliquer dans un environnement réel. En outre, vous devez les mettre à jour en fonction des modifications apportées à l’environnement Active Directory, telles que l’ajout d’un nouveau domaine ou d’un contrôleur de domaine, ou une nouvelle version d’Active Directory.

Next steps

• Récupération de forêt AD - Prérequis
• Récupération de forêt AD - Concevoir un plan de récupération de forêt personnalisé
• Récupération de forêt AD - Étapes de restauration de la forêt
• Récupération de forêt AD - Identifier le problème
• Récupération de forêt AD - Déterminer comment effectuer la récupération
• Récupération de forêt AD - Effectuer une récupération initiale
• Récupération de forêt AD - Procédures
• Récupération de forêt AD - Questions fréquentes (FAQ)
• Récupération de la forêt AD - Récupérer un domaine unique au sein d'une forêt multidomaine
• Récupération de forêt AD : redéployer les contrôleurs de domaine restants
• Récupération de forêt AD - Virtualisation
• Récupération de forêt AD - Nettoyage