Partager via

Didacticiel : Effectuer un exercice de reprise après sinistre à l'aide de jeux de réplicas dans Microsoft Entra Domain Services

Cette rubrique montre comment effectuer une analyse de reprise après sinistre (DR) pour Microsoft Entra Domain Services à l'aide de jeux de réplicas. Cet exercice simule la mise hors ligne de l’un des jeux de réplicas en modifiant les propriétés du réseau virtuel pour en bloquer l’accès client. Il ne s'agit pas d'un véritable exercice de reprise après sinistre dans la mesure où le jeu de réplicas n'est pas mis hors ligne.

L’exercice DR couvre :

  1. Un ordinateur client est connecté à un jeu de réplicas donné. Il peut s’authentifier auprès du domaine et effectuer des requêtes LDAP.
  2. La connexion du client au jeu de réplicas sera interrompue. Pour ce faire, l’accès au réseau est restreint.
  3. Le client établit ensuite une nouvelle connexion avec l'autre jeu de réplicas. Une fois que cela se produit, le client peut s'authentifier auprès du domaine et effectuer des requêtes LDAP.
  4. Le membre du domaine sera redémarré et un utilisateur du domaine pourra se connecter après le redémarrage.
  5. Les restrictions réseau sont supprimées et le client peut se connecter au jeu de réplicas d'origine.

Prérequis

Les conditions suivantes doivent être remplies pour pouvoir effectuer la simulation de reprise d’activité :

  • Une instance de services de domaine active déployée avec au moins un jeu de réplicas supplémentaires en place. Le domaine doit être dans un état sain.
  • Un ordinateur client joint au domaine hébergé des services de domaine. Le client doit se trouver dans son propre réseau virtuel, un peering de réseaux virtuels est activé avec les deux réseaux virtuels des jeux de réplicas, et le réseau virtuel doit avoir les adresses IP de tous les contrôleurs de domaine dans les jeux de réplicas listés dans DNS.

Validation de l’environnement

  1. Connectez-vous à l’ordinateur client à l’aide d’un compte de domaine.
  2. Installez les outils RSAT Active Directory Domain Services.
  3. Ouvrez une fenêtre PowerShell avec des privilèges élevés.
  4. Effectuez les vérifications de validation de domaine de base :
    • Exécutez nslookup [domain] pour vérifier que la résolution DNS fonctionne correctement.
    • Exécutez nltest /dsgetdc: pour retourner une réussite et indiquer quel contrôleur de domaine est actuellement utilisé.
    • Exécutez nltest /dclist: pour retourner la liste complète des contrôleurs de domaine dans l’annuaire.
  5. Effectuez la validation de base des contrôleurs de domaine sur chaque contrôleur de domaine inclus dans l’annuaire (vous pouvez obtenir la liste complète à partir de la sortie de nltest/dclist:) :
    • Exécutez nltest /sc_reset:[domain name]\[domain controller name] pour établir une connexion sécurisée avec le contrôleur de domaine.
    • Exécutez Get-AdDomain pour récupérer les paramètres de base de l’annuaire.

Effectuer une simulation de reprise d’activité

Vous devez effectuer ces opérations pour chaque jeu de réplicas dans l'instance des services de domaine. Les opérations simulent une panne pour chaque jeu de réplicas. Lorsque les contrôleurs de domaine ne sont pas accessibles, le client bascule automatiquement vers un contrôleur de domaine accessible. Cette expérience doit être transparente pour l'utilisateur final ou la charge de travail. Il est donc essentiel que les applications et services ne pointent pas vers un contrôleur de domaine spécifique.

  1. Identifiez les contrôleurs de domaine dans le jeu de réplicas dont vous voulez simuler la mise hors connexion.
  2. Sur l’ordinateur client, connectez-vous à l’un des contrôleurs de domaine en utilisant nltest /sc_reset:[domain]\[domain controller name].
  3. Dans le portail Azure, accédez au peering de réseaux virtuels du client et mettez à jour les propriétés afin que tout le trafic entre le client et le jeu de réplicas soit bloqué.
    1. Sélectionnez le réseau appairé à mettre à jour.
    2. Sélectionnez l’option permettant de bloquer tout le trafic réseau qui entre dans le réseau virtuel ou en sort. Capture d’écran montrant comment bloquer le trafic dans le portail Azure
  4. Sur l’ordinateur client, essayez de rétablir une connexion sécurisée aux deux contrôleurs de domaine de l’étape 2 en utilisant la même commande nltest. Ces opérations doivent échouer, car la connectivité réseau a été bloquée.
  5. Exécutez Get-AdDomain et Get-AdForest pour obtenir les propriétés d’annuaire de base. Ces appels aboutissent, car ils accèdent automatiquement à l’un des contrôleurs de domaine dans l’autre jeu de réplicas.
  6. Redémarrez le client et connectez-vous avec le même compte de domaine. Celui-ci indique que l’authentification fonctionne encore comme prévu et que les connexions ne sont pas bloquées.
  7. Dans le portail Azure, accédez au peering de réseaux virtuels du client et mettez à jour les propriétés afin que tout le trafic soit débloqué. Cette opération annule les modifications apportées à l’étape 3.
  8. Sur l’ordinateur client, essayez de rétablir une connexion sécurisée aux contrôleurs de domaine de l’étape 2 en utilisant la même commande nltest. Ces opérations doivent aboutir, car la connectivité réseau a été débloquée.

Ces opérations montrent que le domaine est toujours disponible, même si l’un des jeux de réplicas est inaccessible par le client. Effectuez cet ensemble d’étapes pour chaque jeu de réplicas dans l’instance des services de domaine.

Résumé

Une fois ces étapes terminées, les membres du domaine continuent d'accéder au répertoire si l'un des jeux de réplicas des services de domaine n'est pas accessible. Vous pouvez simuler le même comportement en bloquant tout l’accès réseau pour un jeu de réplicas au lieu d’un ordinateur client, mais nous vous le déconseillons. Cela ne modifiera pas le comportement du point de vue du client, mais cela aura un impact sur la santé de votre instance de services de domaine jusqu'à ce que l'accès au réseau soit restauré.

Étapes suivantes

Dans ce didacticiel, vous avez appris à :

  • Valider la connectivité du client aux contrôleurs de domaine dans un jeu de réplicas
  • Bloquer le trafic réseau entre le client et le jeu de réplicas
  • Valider la connectivité du client aux contrôleurs de domaine dans un autre jeu de réplicas

Pour plus d’informations conceptuelles, découvrez comment fonctionnent les jeux de réplicas dans les services de domaine.

Concepts et fonctionnalités des jeux de réplicas