Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La récupération d’une forêt Active Directory entière implique la restauration d’au moins un contrôleur de domaine (DC) dans chaque domaine à partir d’une sauvegarde disponible. La récupération de la forêt restaure chaque domaine dans la forêt à son état au moment de la dernière sauvegarde approuvée.
Ce qui sera perdu
L’opération de restauration entraîne la perte, au minimum, des données Active Directory suivantes :
- Tous les objets (tels que les utilisateurs et les ordinateurs) ajoutés après la dernière sauvegarde approuvée
- Toutes les mises à jour effectuées sur des objets existants depuis la dernière sauvegarde approuvée
- Toutes les modifications apportées à la partition de configuration ou de schéma dans AD DS (par exemple, les modifications de schéma) depuis la dernière sauvegarde approuvée
Connaissance du mot de passe
- Vous devez connaître le mot de passe d’un compte Administrateur de domaine pour chaque domaine dans la forêt. De préférence, il s’agit du mot de passe du compte Administrateur intégré.
- Vous devez également connaître le mot de passe DSRM pour effectuer une restauration de l’état système d’un contrôleur de domaine.
Il est recommandé d’archiver le compte Administrateur et l’historique des mots de passe DSRM dans un endroit sûr tant que les sauvegardes sont valides. Autrement dit, dans la période de durée de vie de temporisation ou de durée de vie de l’objet supprimé si la corbeille Active Directory est activée.
Vous pouvez également synchroniser le mot de passe DSRM avec un compte d’utilisateur de domaine afin d’en faciliter la mémorisation. Pour plus d’informations, consultez cet article. La synchronisation du compte DSRM doit être effectuée avant la récupération de la forêt, dans le cadre de la préparation.
Note
Le compte Administrateur est membre du groupe Administrateurs intégrés par défaut, tout comme les groupes Administrateurs de domaine et Administrateurs d’entreprise. Ce groupe a un contrôle total sur tous les contrôleurs de domaine dans le domaine.
Déterminer les sauvegardes à utiliser
Sauvegardez régulièrement au moins deux DC inscriptibles pour chaque domaine afin de disposer de plusieurs sauvegardes. Sélectionnez un ou plusieurs contrôleurs de domaine si nécessaire et le maître d’opérations de l’émulateur de contrôleur de domaine principal pour la récupération de données SYSVOL.
Note
Vous ne pouvez pas restaurer un contrôleur de domaine accessible en écriture à l’aide de la sauvegarde d’un contrôleur de domaine en lecture seule (RODC). Nous vous recommandons de restaurer les contrôleurs de domaine à l’aide de sauvegardes effectuées quelques jours avant la défaillance. En général, vous devez déterminer le compromis entre le caractère récent et la sécurité des données restaurées. Le choix d’une sauvegarde plus récente récupère des données plus utiles, mais peut augmenter le risque de réintroduction de données dangereuses dans la forêt restaurée.
La restauration des sauvegardes d’état système dépend du système d’exploitation d’origine et du serveur de la sauvegarde. Par exemple, vous ne devez pas restaurer une sauvegarde d’état système sur un autre serveur. Dans ce cas, l’avertissement suivant peut s’afficher :
Warning
La sauvegarde spécifiée est celle d’un serveur différent du serveur actuel. Nous vous déconseillons d’effectuer une récupération d’état système avec la sauvegarde sur un autre serveur, car le serveur peut devenir inutilisable. Voulez-vous vraiment utiliser cette sauvegarde pour récupérer le serveur actuel ?
Si vous devez restaurer Active Directory sur du matériel différent, créez des sauvegardes de serveur complètes et prévoyez d’effectuer une récupération complète du serveur.
Important
La restauration de la sauvegarde de l’état système vers une nouvelle installation de Windows Server sur du nouveau matériel ou le même matériel n’est pas prise en charge. Si Windows Server est réinstallé sur le même matériel (recommandé), vous pouvez restaurer le contrôleur de domaine dans cet ordre :
- Effectuez une restauration complète du serveur afin de restaurer le système d’exploitation et l’ensemble des fichiers et des applications.
- Effectuez une restauration de l’état système à l’aide de wbadmin.exe afin de marquer SYSVOL comme faisant autorité.
Pour en savoir plus, consultez Restauration d’une installation de Windows 7.
Si l’heure de la défaillance est inconnue, menez une enquête approfondie pour identifier les sauvegardes comportant le dernier état sécurisé de la forêt.
Cette approche est moins souhaitable. Par conséquent, nous vous recommandons vivement de conserver chaque jour les journaux détaillés concernant l’état d’intégrité d’AD DS, afin que le moment approximatif d’une éventuelle défaillance à l’échelle de toute la forêt puisse être identifié. Vous devez également conserver une copie locale des sauvegardes pour permettre une récupération plus rapide.
Si la Corbeille Active Directory est activée, la durée de vie de la sauvegarde est égale à la valeurletedObjectLifetime ou à la valeur tombstoneLifetime , selon la valeur inférieure. Pour en savoir plus, consultez Guide pas à pas de la corbeille Active Directory.
Vous pouvez également identifier la sauvegarde disposant du dernier état sécurisé de la forêt à l’aide de l’outil de montage de base de données Active Directory Dsamain.exe et d’un outil LDAP (Lightweight Directory Access Protocol), comme Ldp.exe ou Utilisateurs et ordinateurs Active Directory. L’outil de montage de base de données Active Directory, inclus dans les systèmes d’exploitation Windows Server, expose les données Active Directory stockées dans des sauvegardes ou des instantanés en tant que serveur LDAP. Vous pouvez parcourir les données à l’aide d’un outil LDAP. Cette approche présente l’avantage de ne pas vous obliger à redémarrer un contrôleur de domaine en mode de restauration des services d’annuaire (DSRM) pour examiner le contenu de la sauvegarde d’AD DS.
Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le Guide pas à pas de l’outil de montage de base de données Active Directory.
Vous pouvez également utiliser la commande ntdsutil snapshot pour des instantanés de la base de données Active Directory. En planifiant une tâche afin de créer régulièrement des instantanés, vous pouvez obtenir des copies supplémentaires de la base de données Active Directory au fil du temps. Vous pouvez utiliser ces copies pour mieux identifier quand l’échec à l’échelle de la forêt s’est produit, puis choisir la meilleure sauvegarde à restaurer. Créez des instantanés à l’aide de ntdsutil ou des outils d’administration de serveur distant (RSAT).
Le contrôleur de domaine cible peut exécuter n’importe quelle version de Windows Server. Pour plus d’informations sur l’utilisation de la ntdsutil snapshot commande, consultez Instantané.
Déterminez les contrôleurs de domaine à restaurer
La simplicité du processus de restauration constitue un facteur important lors du choix du contrôleur de domaine à restaurer. L'utilisation d'un contrôleur de domaine dédié pour chaque domaine, préférentiellement utilisé pour une restauration, est recommandée. Un contrôleur de domaine de restauration dédié facilite la planification et l’exécution fiables de la récupération de la forêt, car vous utilisez la même configuration source que celle utilisée pour effectuer des tests de restauration. Vous pouvez créer un script de la récupération et éviter d’avoir à gérer différentes configurations, par exemple si le contrôleur de domaine détient des rôles de maître d’opérations, ou s’il s’agit d’un serveur GC ou DNS.
Note
Il n'est pas recommandé de restaurer un titulaire de rôle de maître des opérations par souci de simplicité, car vous saisissez toujours tous les rôles. Il existe un cas de récupération SYSVOL à l’aide d’une sauvegarde effectuée à partir du maître d’opérations de l’émulateur PDC, car le PDC dispose généralement de la meilleure copie des données SYSVOL.
Une bonne sauvegarde est une sauvegarde qui peut être restaurée avec succès, qui a été effectuée quelques jours avant l’échec et qui contient autant de données utiles que possible. Choisissez un contrôleur de domaine qui répond le mieux aux critères suivants :
Un contrôleur de domaine accessible en écriture. Cette donnée est obligatoire.
Un DC exécutant Windows Server 2012 ou une version plus récente en tant que machine virtuelle sur un hyperviseur prenant en charge VM-GenerationID. Ce contrôleur de domaine peut être utilisé comme source pour le clonage. En général, utilisez un contrôleur de domaine avec une bonne sauvegarde qui a le système d’exploitation le plus actuel.
Un contrôleur de domaine accessible, physiquement ou sur un réseau virtuel, et de préférence situé dans un centre de données. De cette façon, vous pouvez facilement l’isoler du réseau pendant la récupération de la forêt.
Un contrôleur de domaine qui a une bonne sauvegarde complète du serveur.
Un DC exécutant le rôle DNS (Domain Name System) et hébergeant la zone de forêt et de domaine(s).
Un DC configuré en tant que catalogue global (GC).
Contrôleur de domaine qui n’est pas configuré pour utiliser BitLocker Network Unlock, si vous utilisez les services de déploiement Windows. L'utilisation du déverrouillage réseau BitLocker pour le premier DC que vous restaurez à partir d'une sauvegarde lors d'une restauration de forêt n'est pas prise en charge. Sur les contrôleurs de domaine où vous avez déployé les services de déploiement Windows (WDS),,Déverrouillage réseau BitLocker en tant que seul protecteur de clé ne peut pas être utilisé, car le premier contrôleur de domaine nécessite que Active Directory et WDS fonctionnent pour déverrouiller. Avant la restauration du premier contrôleur de domaine, Active Directory n’est pas encore disponible pour WDS, donc il ne peut pas se déverrouiller.
Pour déterminer si un contrôleur de domaine est configuré pour utiliser le Déverrouillage réseau BitLocker, vérifiez qu’un certificat de déverrouillage réseau est identifié dans la clé de registre suivante :
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Important
Respectez les procédures de sécurité lors du traitement ou de la restauration des fichiers de sauvegarde qui incluent Active Directory. L’urgence qui accompagne la récupération de la forêt peut involontairement conduire à ignorer les meilleures pratiques de sécurité.
Identifier la structure actuelle de la forêt et les fonctions du contrôleur de domaine
Déterminez la structure actuelle de la forêt en identifiant tous les domaines dans la forêt. Dressez la liste de tous les contrôleurs de domaine dans chaque domaine, en particulier les contrôleurs de domaine qui ont des sauvegardes, et les contrôleurs de domaine virtualisés qui peuvent être une source de clonage.
La liste des DC pour le domaine racine de la forêt est la plus importante car c'est ce domaine que vous restaurerez en premier. Après avoir restauré le domaine racine de la forêt, vous pouvez obtenir la liste des autres domaines, des contrôleurs de domaine et des sites dans la forêt à l’aide de composants logiciels enfichables Active Directory.
Pour chaque domaine dans la forêt, identifiez un contrôleur de domaine unique accessible en écriture qui dispose d’une sauvegarde approuvée de la base de données Active Directory pour ce domaine. Faites preuve de prudence lorsque vous choisissez une sauvegarde pour restaurer un contrôleur de domaine. Si le jour et la cause de l’échec sont connus, il est recommandé d’identifier et d’utiliser une sauvegarde sûre effectuée quelques jours avant cette date.
Préparez un tableau qui montre les fonctions de chaque contrôleur de domaine dans le domaine, comme illustré dans l’exemple suivant. Cela vous aidera à revenir à la configuration préalable à la défaillance de la forêt après la récupération.
| Nom du contrôleur de domaine | Système d’exploitation | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2019 | Contrôleur de schéma, Maître d’opérations des noms de domaine | Yes | No | Yes | No | No | Yes |
| DC_2 | Windows Server 2019 | None | Yes | No | Yes | Yes | No | Yes |
| DC_3 | Windows Server 2022 | Infrastructure Master | No | No | No | Yes | Yes | Yes |
| DC_4 | Windows Server 2022 | Émulateur PDC, Maître RID | Yes | No | No | No | No | Yes |
| DC_5 | Windows Server 2022 | None | No | No | Yes | Yes | No | Yes |
| RODC_1 | Windows Server 2016 | None | Yes | Yes | Yes | Yes | Yes | Yes |
| RODC_2 | Windows Server 2022 | None | Yes | Yes | No | Yes | Yes | Yes |
Dans l’exemple ci-dessus, il existe quatre candidats pour la sauvegarde : DC_1, DC_2, DC_4 et DC_5. Parmi ces candidats pour la sauvegarde, vous n’en restaurez qu’un seul. Le contrôleur de domaine recommandé est DC_5 pour les raisons suivantes :
- Il s’agit d’une bonne source pour le clonage de contrôleur de domaine virtualisé, car elle exécute Windows Server 2022 comme contrôleur de domaine virtuel et exécute un logiciel autorisé à être cloné (ou qui peut être supprimé s’il n’est pas en mesure d’être cloné). Après la restauration, le rôle d’émulateur PDC est détecté sur ce serveur et il peut être ajouté au groupe Contrôleurs de domaine clonables pour le domaine.
- Il exécute une installation complète de Windows Server 2022. Un contrôleur de domaine qui exécute une installation Server Core peut être moins pratique en tant que cible de la récupération. Cela n’aura peut-être aucune importance si vous maîtrisez la gestion des serveurs Windows à l’aide de l’interface de ligne de commande.
- Il s’agit d’un serveur DNS.
Note
Comme DC_5 n’est pas un serveur de catalogue global, il présente un petit avantage, car le catalogue global n’a pas besoin d’être supprimé après la restauration. Toutefois, vous devez démarrer la récupération avec le compte Administrateur par défaut avec Rid 500 ou utiliser la valeur de Registre ignoregcfailures :
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
D’autres facteurs sont généralement plus importants que l’étape supplémentaire de la suppression du rôle GC. DC_3 ou DC_4 sont également de bons choix, car les rôles de maître d’opérations dont ils disposent ne sont pas un problème. Envisagez les options et faites votre choix en fonction de votre situation de récupération réelle. Vous pouvez normalement planifier et tester en restaurant la sauvegarde du PDC Operations Master, mais si cette sauvegarde ne fonctionne pas, par exemple parce qu'elle date du mauvais moment, choisissez une sauvegarde d'un DC du même domaine.
Récupérer la forêt en isolation
Le scénario préféré consiste à arrêter tous les contrôleurs de domaine accessibles en écriture avant que le premier contrôleur de domaine restauré ne soit remis en production. Cela évite la réplication des données dangereuses dans la forêt récupérée. Il est particulièrement important d’arrêter tous les titulaires de rôles maître d’opérations.
Note
Dans certains cas, vous déplacez le premier contrôleur de domaine que vous prévoyez de récupérer pour chaque domaine sur un réseau isolé tout en permettant à d’autres contrôleurs de domaine de rester en ligne afin de réduire le temps d’arrêt du système. Par exemple, si vous effectuez une récupération après un échec de mise à niveau du schéma, vous pouvez choisir de maintenir les contrôleurs de domaine en cours d’exécution sur le réseau de production pendant que vous effectuez des étapes de récupération en isolation.
Contrôleurs de domaine virtualisés
Si vous exécutez des contrôleurs de domaine virtualisés, vous pouvez les déplacer vers un réseau virtuel isolé du réseau de production où vous effectuerez la récupération. Le déplacement des contrôleurs de domaine virtualisés sur un réseau distinct offre deux avantages :
- Les DC restaurés ne peuvent pas reproduire le problème qui a entraîné la restauration de la forêt.
- Le clonage d’un contrôleur de domaine virtualisé peut être effectué sur le réseau isolé, afin qu’un nombre critique de contrôleurs de domaine puissent être exécutés et testés avant qu’ils ne soient ramenés sur le réseau de production.
Contrôleurs de domaine physiques
Si vous exécutez des DC sur du matériel physique, déconnectez le câble réseau du premier DC que vous prévoyez de restaurer dans le domaine racine de la forêt. Si possible, déconnectez également les câbles réseau de tous les autres contrôleurs de domaine. Cela empêche les DC de se répliquer s'ils sont accidentellement démarrés pendant le processus de restauration de la forêt.
Grandes forêts
Dans une grande forêt répartie sur plusieurs sites, il peut être difficile de garantir que tous les DC inscriptibles sont arrêtés. Voilà pourquoi les étapes de récupération telles que la réinitialisation du compte d’ordinateur et du compte krbtgt, en sus du nettoyage des métadonnées, sont conçues pour empêcher la réplication des contrôleurs de domaine accessibles en écriture récupérés avec des contrôleurs de domaine accessibles en écriture dangereux (au cas où certains seraient encore en ligne dans la forêt).
Cependant, ce n'est qu'en mettant hors ligne les DC inscriptibles que vous pouvez garantir que la réplication ne se produira pas. Par conséquent, dans la mesure du possible, vous devez déployer une technologie de gestion à distance qui peut vous aider à arrêter et à isoler physiquement les contrôleurs de domaine accessibles en écriture pendant la récupération de la forêt.
RODCs
Les contrôleurs de domaine en lecture seule peuvent continuer à fonctionner pendant que les contrôleurs de domaine accessibles en écriture sont hors connexion. Aucun autre contrôleur de domaine ne réplique directement les modifications à partir d’un contrôleur de domaine en lecture seule (RODC) (en particulier, aucune modification de conteneur de schéma ou de configuration), de sorte que le risque n’est pas le même que pour les contrôleurs de domaine accessibles en écriture pendant la récupération. Une fois que tous les contrôleurs de domaine accessibles en écriture sont récupérés et en ligne, vous devez reconstruire tous les contrôleurs de domaine en lecture seule.
Les contrôleurs de domaine en lecture seule continuent d’autoriser l’accès aux ressources locales mises en cache dans leurs sites respectifs pendant que les opérations de récupération se poursuivent en parallèle. Les requêtes d'authentification des ressources locales qui ne sont pas mises en cache sur le RODC seront redirigées vers un DC accessible en écriture. Ces demandes échouent, car les contrôleurs de domaine accessibles en écriture sont hors connexion. Certaines opérations telles que les modifications du mot de passe ne fonctionnent pas non plus tant que vous n’avez pas récupéré les contrôleurs de domaine accessibles en écriture.
Si vous utilisez une architecture de réseau en étoile, vous pouvez d'abord vous concentrer sur la récupération des DC inscriptibles dans les sites du hub. Plus tard, vous pourrez reconstruire les contrôleurs de domaine en lecture seule sur des sites distants.
Base de données AD compromise
Si la base de données AD d’un contrôleur de domaine accessible en écriture est compromise, une nouvelle clé racine KDS doit être créée après la récupération et tous les comptes de service administré de groupe (gMSA) doivent être recréés en fonction du scénario de compromis. Les détails sont fournis ici : Récupération après une attaque Golden gMSA.
Étapes suivantes
- Récupération de forêt Active Directory : conditions préalables
- Récupération de forêt AD : concevoir un plan de récupération de forêt personnalisé
- Récupération de forêt AD : étapes de restauration de la forêt
- Récupération de forêt AD : identification du problème
- Récupération de forêt AD - Déterminer comment récupérer
- Récupération de forêt Active Directory : effectuer la récupération initiale
- Récupération de forêt Active Directory - Procédures
- Récupération de forêt AD – Questions fréquentes (FAQ)
- Récupération de forêt AD : récupération d’un seul domaine dans une forêt multidomaine
- Récupération de forêt Active Directory : redéployer les contrôleurs de domaine restants
- Récupération de forêt Active Directory : virtualisation
- Récupération de forêt AD : nettoyage