Partager via


Récupération de forêt Active Directory : déterminer comment récupérer la forêt

S’applique à : Windows Server 2022, Windows Server  2019, Windows Server 2016, Windows Server 2012 R2 et 2012

La récupération d’une forêt Active Directory entière implique la restauration d’au moins un contrôleur de domaine (DC) dans chaque domaine à partir d’une sauvegarde disponible. La récupération de la forêt restaure chaque domaine dans la forêt à son état au moment de la dernière sauvegarde approuvée.

Ce qui sera perdu

L’opération de restauration entraîne la perte, au minimum, des données Active Directory suivantes :

  • Tous les objets (tels que les utilisateurs et les ordinateurs) qui ont été ajoutés après la dernière sauvegarde approuvée
  • Toutes les mises à jour effectuées sur des objets existants depuis la dernière sauvegarde approuvée
  • Toutes les modifications apportées à la partition de configuration ou de schéma dans AD DS (par exemple, les modifications de schéma) depuis la dernière sauvegarde approuvée

Connaissance du mot de passe

  1. Vous devez connaître le mot de passe d’un compte Administrateur de domaine pour chaque domaine dans la forêt. De préférence, il s’agit du mot de passe du compte Administrateur intégré.
  2. Vous devez également connaître le mot de passe DSRM pour effectuer une restauration de l’état système d’un contrôleur de domaine.

Il est recommandé d’archiver le compte Administrateur et l’historique des mots de passe DSRM dans un endroit sûr tant que les sauvegardes sont valides. Autrement dit, dans la période de durée de vie de la désactivation ou dans la période de durée de vie de l’objet supprimé si la Corbeille Active Directory est activée.

Vous pouvez également synchroniser le mot de passe DSRM avec un compte d’utilisateur de domaine afin d’en faciliter la mémorisation. Pour plus d’informations, consultez cet article. La synchronisation du compte DSRM doit être effectuée avant la récupération de la forêt, dans le cadre de la préparation.

Remarque

Le compte Administrateur est membre du groupe Administrateurs intégrés par défaut, tout comme les groupes Administrateurs de domaine et Administrateurs d’entreprise. Ce groupe a un contrôle total sur tous les contrôleurs de domaine dans le domaine.

Choisir des sauvegardes à utiliser

Sauvegardez régulièrement au moins deux contrôleurs de domaine accessibles en écriture pour chaque domaine afin d’avoir le choix entre plusieurs sauvegardes. Sélectionnez un ou plusieurs contrôleurs de domaine en fonction des besoins et le maître d'émulateur de contrôleur de domaine principal pour la récupération de données SYSVOL.

Note

Vous ne pouvez pas utiliser la sauvegarde d’un contrôleur de domaine en lecture seule (RODC) pour restaurer un contrôleur de domaine accessible en écriture. Nous vous recommandons de restaurer les contrôleurs de domaine à l’aide de sauvegardes effectuées quelques jours avant la défaillance. En général, vous devez déterminer le compromis entre le caractère récent et la sécurité des données restaurées. Le choix d’une sauvegarde plus récente récupère des données plus utiles, mais peut augmenter le risque de réintroduction de données dangereuses dans la forêt restaurée.

La restauration des sauvegardes d’état système dépend du système d’exploitation d’origine et du serveur de la sauvegarde. Par exemple, vous ne devez pas restaurer une sauvegarde d’état système sur un autre serveur. Dans ce cas, l’avertissement suivant peut s’afficher :

Avertissement

La sauvegarde spécifiée est celle d’un serveur différent du serveur actuel. Nous vous déconseillons d’effectuer une récupération d’état système avec la sauvegarde sur un autre serveur, car le serveur peut devenir inutilisable. Voulez-vous vraiment utiliser cette sauvegarde pour récupérer le serveur actuel ?

Si vous devez restaurer Active Directory sur du matériel différent, créez des sauvegardes de serveur complètes et prévoyez d’effectuer une récupération complète du serveur.

Important

La restauration de la sauvegarde de l’état système vers une nouvelle installation de Windows Server sur du nouveau matériel ou le même matériel n’est pas prise en charge. Si Windows Server est réinstallé sur le même matériel (recommandé), vous pouvez restaurer le contrôleur de domaine dans cet ordre :

  1. Effectuez une restauration complète du serveur afin de restaurer le système d’exploitation et l’ensemble des fichiers et des applications.
  2. Effectuez une restauration de l’état système à l’aide de wbadmin.exe afin de marquer SYSVOL comme faisant autorité.

Pour plus d’informations, consultez Comment restaurer une installation de Windows 7.

Si l’heure de la défaillance est inconnue, enquêtez davantage pour identifier les sauvegardes qui contiennent le dernier état sécurisé de la forêt.

Cette approche est moins souhaitable. Par conséquent, nous vous recommandons vivement de conserver quotidiennement des journaux détaillés sur l’état d’intégrité d’AD DS afin que, en cas de défaillance à l’échelle de la forêt, le moment approximatif de la défaillance puisse être identifié. Vous devez également conserver une copie locale des sauvegardes pour permettre une récupération plus rapide.

Si la Corbeille Active Directory est activée, la durée de vie de la sauvegarde est égale à la valeur deletedObjectLifetime ou à la valeur tombstoneLifetime, selon la valeur la moins élevée. Pour plus d’informations, consultez Guide pas-à-pas de la Corbeille Active Directory.

Vous pouvez également utiliser l’outil de montage de base de données Active Directory Dsamain.exe et un outil LDAP (Lightweight Directory Access Protocol), comme Ldp.exe ou Utilisateurs et ordinateurs Active Directory, pour identifier la sauvegarde disposant du dernier état sécurisé de la forêt. L’outil de montage de base de données Active Directory, inclus dans les systèmes d’exploitation Windows Server, expose les données Active Directory stockées dans des sauvegardes ou des instantanés en tant que serveur LDAP. Vous pouvez utiliser un outil LDAP pour parcourir les données. Cette approche présente l’avantage de ne pas vous obliger à redémarrer un contrôleur de domaine en mode de restauration des services d’annuaire (DSRM) pour examiner le contenu de la sauvegarde d’AD DS.

Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le Guide pas à pas de l’outil de montage de base de données Active Directory.

Vous pouvez également utiliser la commande ntdsutil snapshot pour créer des instantanés de la base de données Active Directory. En planifiant une tâche afin de créer régulièrement des instantanés, vous pouvez obtenir des copies supplémentaires de la base de données Active Directory au fil du temps. Vous pouvez utiliser ces copies pour mieux identifier quand l’échec à l’échelle de la forêt s’est produit, puis choisir la meilleure sauvegarde à restaurer. Pour créer des instantanés, utilisez ntdsutil ou les outils d’administration de serveur distant (RSAT).

Le contrôleur de domaine cible peut exécuter n’importe quelle version de Windows Server. Pour plus d’informations sur l’utilisation de la commande ntdsutil snapshot consultez Instantané.

Choisir des contrôleurs de domaine à restaurer

La facilité du processus de restauration est un élément important du choix du contrôleur de domaine à restaurer. Nous vous recommandons d’avoir un contrôleur de domaine dédié à chaque domaine qui est le contrôleur de domaine préféré pour une restauration. Un contrôleur de domaine de restauration dédié facilite la planification et l’exécution fiables de la récupération de la forêt, car vous utilisez la même configuration source que celle utilisée pour effectuer des tests de restauration. Vous pouvez créer un script de la récupération et ne pas avoir à gérer différentes configurations en conflit, par exemple si le contrôleur de domaine détient des rôles de maître des opérations, ou s’il s’agit d’un serveur GC ou DNS.

Note

Nous ne recommandons pas de restaurer un titulaire de rôle maître d’opérations dans l’intérêt de la simplicité, car vous saisissez toujours tous les rôles. Il existe un cas de récupération SYSVOL à l’aide d’une sauvegarde effectuée à partir du maître d’opération de l’émulateur PDC, car généralement le contrôleur de domaine principal dispose de la meilleure copie des données SYSVOL.

Une bonne sauvegarde est une sauvegarde qui peut être restaurée avec succès, qui a été effectuée quelques jours avant l’échec et qui contient autant de données utiles que possible. Choisissez un contrôleur de domaine qui répond le mieux aux critères suivants :

  • Un contrôleur de domaine accessible en écriture. Cette donnée est obligatoire.

  • Un contrôleur de domaine exécutant Windows Server 2012 ou ultérieur en tant que machine virtuelle sur un hyperviseur qui prend en charge VM-GenerationID. Ce contrôleur de domaine peut être utilisé comme source pour le clonage. En général, utilisez un contrôleur de domaine avec une bonne sauvegarde qui a le système d’exploitation le plus actuel.

  • Un contrôleur de domaine accessible, physiquement ou sur un réseau virtuel, et de préférence situé dans un centre de données. De cette façon, vous pouvez facilement l’isoler du réseau pendant la récupération de la forêt.

  • Un contrôleur de domaine qui a une bonne sauvegarde complète du serveur.

  • Contrôleur de domaine exécutant un rôle DNS (Domain Name System) et hébergeant la zone de forêt et de domaine.

  • Contrôleur de domaine configuré en tant que catalogue global (GC).

  • Contrôleur de domaine qui n’est pas configuré pour utiliser le déverrouillage réseau BitLocker si vous utilisez les services de déploiement Windows. L’utilisation du déverrouillage réseau BitLocker pour le premier contrôleur de domaine que vous restaurez à partir d’une sauvegarde lors d’une récupération de la forêt n’est pas prise en charge. Pour les contrôleurs de domaine pour lesquels vous avez déployé des services de déploiement (WDS), le déverrouillage réseau BitLocker ne peut pas être utilisé comme unique logiciel de protection de clé, car le premier contrôleur de domaine exige qu’Active Directory et WDS fonctionnent pour se déverrouiller. Avant de restaurer le premier contrôleur de domaine, Active Directory n’est pas encore disponible pour WDS, il ne peut donc pas se déverrouiller.

    Pour déterminer si un contrôleur de domaine est configuré pour utiliser le Déverrouillage réseau BitLocker, vérifiez qu’un certificat de déverrouillage réseau est identifié dans la clé de registre suivante :

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Important

Respectez les procédures de sécurité lors du traitement ou de la restauration des fichiers de sauvegarde qui incluent Active Directory. L’urgence qui accompagne la récupération de la forêt peut involontairement conduire à ignorer les meilleures pratiques de sécurité.

Identifier la structure actuelle de la forêt et les fonctions du contrôleur de domaine

Déterminez la structure actuelle de la forêt en identifiant tous les domaines dans la forêt. Dressez la liste de tous les contrôleurs de domaine dans chaque domaine, en particulier les contrôleurs de domaine qui ont des sauvegardes, et les contrôleurs de domaine virtualisés qui peuvent être une source de clonage.

La liste des contrôleurs de domaine pour le domaine racine de la forêt est la plus importante, car vous allez d’abord récupérer ce domaine. Après avoir restauré le domaine racine de la forêt, vous pouvez obtenir la liste des autres domaines, des contrôleurs de domaine et des sites dans la forêt à l’aide de composants logiciels enfichables Active Directory.

Pour chaque domaine dans la forêt, identifiez un contrôleur de domaine unique accessible en écriture qui dispose d’une sauvegarde approuvée de la base de données Active Directory pour ce domaine. Faites preuve de prudence lorsque vous choisissez une sauvegarde pour restaurer un contrôleur de domaine. Si le jour et la cause de l’échec sont connus, il est généralement recommandé d’identifier et d’utiliser une sauvegarde sûre effectuée quelques jours avant cette date.

Préparez un tableau qui montre les fonctions de chaque contrôleur de domaine dans le domaine, comme illustré dans l’exemple suivant. Cela vous aidera à revenir à la configuration préalable à la défaillance de la forêt après la récupération.

Nom du contrôleur de domaine Système d’exploitation FSMO GC RODC Sauvegarde DNS Server Core Machine virtuelle
DC_1 Windows Server 2019 Contrôleur de schéma, Maître d’opérations des noms de domaine Oui No Oui No Non Oui
DC_2 Windows Server 2019 None Oui No Oui Oui No Oui
DC_3 Windows Server 2022 Maître d'infrastructure Non Pas de Non Oui Oui Oui
DC_4 Windows Server 2022 Émulateur PDC, Maître RID Oui No Pas de Pas de Non Oui
DC_5 Windows Server 2022 Aucun Non Non Oui Oui No Oui
RODC_1 Windows Server 2016 None Oui Oui Oui Oui Oui Oui
RODC_2 Windows Server 2022 None Oui Oui No Oui Oui Oui

Dans l’exemple ci-dessus, il existe quatre candidats pour la sauvegarde : DC_1, DC_2, DC_4 et DC_5. Parmi ces candidats pour la sauvegarde, vous n’en restaurez qu’un seul. Le contrôleur de domaine recommandé est DC_5 pour les raisons suivantes :

  • Il s’agit d’une bonne source pour le clonage de contrôleur de domaine virtualisé, car elle exécute Windows Server 2022 comme contrôleur de domaine virtuel et exécute un logiciel autorisé à être cloné (ou qui peut être supprimé s’il n’est pas en mesure d’être cloné). Après la restauration, le rôle d’émulateur PDC est détecté sur ce serveur et il peut être ajouté au groupe Contrôleurs de domaine clonables pour le domaine.
  • Une installation complète de Windows Server 2022 y est exécutée. Un contrôleur de domaine qui exécute une installation Server Core peut être moins pratique en tant que cible de la récupération. Cela n’est peut-être pas important si vous êtes efficace dans la gestion des serveurs Windows à l’aide de l’interface de ligne de commande.
  • Il s’agit d’un serveur DNS.

Note

Étant donné que DC_5 n’est pas un serveur de catalogue global, il présente un petit avantage, car le catalogue global n’a pas besoin d’être supprimé après la restauration. Toutefois, vous devez démarrer la récupération avec le compte administrateur par défaut avec Rid 500 ou utiliser la valeur de Registre ignorergcfailures :

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC

D’autres éléments sont généralement plus importants que l’étape supplémentaire de la suppression du rôle GC. DC_3 ou DC_4 sont également de bons choix, car les rôles Maître d’opérations dont ils disposent ne sont pas un problème. Tenez compte des options et choisissez en fonction de votre situation de récupération réelle. Vous pouvez normalement planifier et tester en restaurant la sauvegarde PDC Maître d’opérations, mais si cette sauvegarde ne fonctionne pas, par exemple parce qu’elle commence au mauvais moment, choisissez une sauvegarde à partir d’un catalogue global du même domaine.

Récupérer la forêt en isolation

Le scénario préféré consiste à arrêter tous les contrôleurs de domaine accessibles en écriture avant que le premier contrôleur de domaine restauré ne soit remis en production. Cela garantit que les données dangereuses ne sont pas répliquées dans la forêt récupérée. Il est particulièrement important d’arrêter tous les titulaires du rôle Maître d’opérations.

Note

Dans certains cas, vous déplacez le premier contrôleur de domaine que vous prévoyez de récupérer pour chaque domaine sur un réseau isolé tout en permettant à d’autres contrôleurs de domaine de rester en ligne afin de réduire le temps d’arrêt du système. Par exemple, si vous effectuez une récupération après un échec de mise à niveau du schéma, vous pouvez choisir de maintenir les contrôleurs de domaine en cours d’exécution sur le réseau de production pendant que vous effectuez des étapes de récupération en isolation.

Contrôleurs de domaine virtualisés

Si vous exécutez des contrôleurs de domaine virtualisés, vous pouvez les déplacer sur un réseau virtuel isolé du réseau de production où vous effectuerez la récupération. Le déplacement des contrôleurs de domaine virtualisés sur un réseau distinct offre deux avantages :

  • Les contrôleurs de domaine récupérés ne peuvent pas reproduire le problème qui a provoqué la récupération de la forêt.
  • Le clonage d’un contrôleur de domaine virtualisé peut être effectué sur le réseau isolé afin qu’un nombre critique de contrôleurs de domaine puissent être exécutés et testés avant qu’ils ne soient ramenés sur le réseau de production.

Contrôleurs de domaine physiques

Si vous exécutez des contrôleurs de domaine sur du matériel physique, déconnectez le câble réseau du premier contrôleur de domaine que vous envisagez de restaurer dans le domaine racine de la forêt. Si possible, déconnectez également les câbles réseau de tous les autres contrôleurs de domaine. Cela empêche les contrôleurs de domaine de se répliquer, s’ils sont démarrés accidentellement pendant le processus de récupération de la forêt.

Grandes forêts

Dans une grande forêt répartie sur plusieurs emplacements, il peut être difficile de garantir que tous les contrôleurs de domaine accessibles en écriture sont arrêtés. Pour cette raison, les étapes de récupération, telles que la réinitialisation du compte d’ordinateur et du compte krbtgt, en plus du nettoyage des métadonnées, sont conçues pour garantir que les contrôleurs de domaine accessibles en écriture récupérés ne se répliquent pas avec des contrôleurs de domaine accessibles en écriture dangereux (au cas où certains seraient encore en ligne dans la forêt).

Toutefois, ce n’est qu’en mettant hors connexion les contrôleurs de domaine accessibles en écriture que vous pouvez garantir que la réplication n’a pas lieu. Par conséquent, dans la mesure du possible, vous devez déployer une technologie de gestion à distance qui peut vous aider à arrêter et à isoler physiquement les contrôleurs de domaine accessibles en écriture pendant la récupération de la forêt.

Contrôleurs RODC

Les contrôleurs de domaine en lecture seule peuvent continuer à fonctionner pendant que les contrôleurs de domaine accessibles en écriture sont hors connexion. Aucun autre contrôleur de domaine ne réplique directement les modifications à partir d’un contrôleur de domaine en lecture seule (en particulier, aucune modification du schéma ou du conteneur de configuration), de sorte qu’ils ne posent pas le même risque que les contrôleurs de domaine accessibles en écriture pendant la récupération. Une fois que tous les contrôleurs de domaine accessibles en écriture sont récupérés et en ligne, vous devez reconstruire tous les contrôleurs de domaine en lecture seule.

Les contrôleurs de domaine en lecture seule continuent d’autoriser l’accès aux ressources locales mises en cache dans leurs sites respectifs pendant que les opérations de récupération se poursuivent en parallèle. Les demandes d’authentification des ressources locales qui ne sont pas mises en cache sur le contrôleur de domaine en lecture seule sont transférées à un contrôleur de domaine accessible en écriture. Ces demandes échouent, car les contrôleurs de domaine accessibles en écriture sont hors connexion. Certaines opérations telles que les modifications du mot de passe ne fonctionnent pas non plus tant que vous n’avez pas récupéré les contrôleurs de domaine accessibles en écriture.

Si vous utilisez une architecture réseau hub-and-spoke, vous pouvez d’abord vous concentrer sur la récupération des contrôleurs de domaine accessibles en écriture dans les sites du hub. Plus tard, vous pourrez reconstruire les contrôleurs de domaine en lecture seule sur des sites distants.

Base de données AD compromise

Si la base de données AD d’un contrôleur de domaine accessible en écriture est compromise, une nouvelle clé racine KDS doit être créée après la récupération et tous les comptes de service administré de groupe (gMSA) doivent être recréés en fonction du scénario de compromission. Les détails sont décrits ici : Comment se remettre d’une attaque gMSA golden.

Étapes suivantes