Récupération de la forêt Active Directory : FAQ

Optimiser la vitesse de récupération n’est pas l’objectif principal de ce guide. Toutefois, vous pouvez réduire le temps de récupération grâce aux opérations suivantes :

• Création d’un plan de récupération de forêt détaillé, mise à jour régulière et le mise à l’épreuve dans un environnement de test simulé de taille raisonnable au moins une fois par an.
• Sauvegarde COMPLÈTE Sauvegarde Windows Server. Elle fournit à la fois une récupération complète (BMR) ou une récupération d’état système.
• Utilisation du clonage des contrôleurs de domaine virtualisés. Le clonage de contrôleur de domaine virtualisé accélère le processus pour obtenir des contrôleurs de domaine supplémentaires déployés pour restaurer la bande passante d’origine des services de domaine. Les contrôleurs de domaine en cours d’exécution après la restauration d’un contrôleur de domaine à partir de la sauvegarde de chaque domaine, car il s’agit d’une restauration non authentifiée. L’émulateur PDC doit également être disponible pendant l’opération de clonage. Il est possible de cloner les contrôleurs de domaine virtualisés supplémentaires au lieu de patienter pendant l’opération potentiellement longue d’installation AD DS et pendant la réplication non critique après l’installation. Les forêts comprenant des contrôleurs de domaine virtuels qui sont hébergés dans un nombre relativement faible de centres de données bien connectés sont les installations qui tirent potentiellement le mieux parti du clonage pendant la récupération. Toutefois, tout environnement comprenant plusieurs contrôleurs de domaine virtualisés pour le même domaine qui sont colocalisés sur le même hôte hyperviseur devrait tirer parti de cette installation.
• Utilisation de l’installation à partir de Media IFM pour réduire le temps nécessaire à la réplication complète, en réduisant le trafic de réplication, car seul le delta sera répliqué. Cela permet également une installation rapide de plusieurs contrôleurs de domaine.
• Si vous utilisez des scénarios de site distant complexes (rare) : –** Installez AD DS sur un ou plusieurs serveurs dans un hub ou un site intermédiaire**, puis envoyez-les au site distant.
  • Implémentez des procédures de sauvegarde ou de restauration pour les contrôleurs de domaine avec une connectivité médiocre ou intermittente, en plus des contrôleurs de domaine désignés comme systèmes de sauvegarde principale et de récupération d’urgence (BDR) dans les emplacements principaux du centre de données principal. Vous devez ajouter des étapes pour mettre en place les contrôleurs de domaine restaurés dans d’autres emplacements synchronisés avec les contrôleurs de domaine principaux du centre de données. Pour ce faire, désignez un contrôleur de domaine comme référence de compte d’ordinateur et n’autorisez l’exécution que de KDCSVC. Sur les autres contrôleurs de domaine que vous avez restaurés, suivez les étapes décrites dans Réinitialiser le mot de passe du contrôleur de domaine avec Netdom.exe
• Déploiement de contrôleurs de domaine en lecture seule (RODC)Les contrôleurs de domaine en lecture seule peuvent assurer la continuité de l’activité pendant le processus de récupération, car aucune déconnexion du réseau n’est nécessaire comme pour les contrôleurs de domaine accessibles en écriture. Les contrôleurs de domaine en lecture seule n’effectuent pas de réplication sortante. Par conséquent, ils ne présentent pas le même risque que les contrôleurs de domaine accessibles en écriture quant à la réplication de données dommageables dans l’environnement récupéré.

Voici d’autres facteurs qui affectent la durée du processus de récupération de la forêt :

• Lorsque les contrôleurs de domaine sont des machines virtuelles, vous pouvez tirer parti de la restauration d’instantanés pour restaurer un contrôleur de domaine à un état correct connu. Cette approche n’est pas recommandée, car les captures instantanées utilisées pour les sauvegardes font l’objet d’un certain nombre de mises en garde, telles que la disponibilité de l’espace disque pour les instantanés sur le serveur de machines virtuelles pour avoir un historique de sauvegarde utilisable. Nous vous recommandons vivement d’utiliser des sauvegardes régulières comme moyen principal de récupération. Les captures instantanées de machine virtuelle peuvent vous aider à vous remettre des problèmes dus à des modifications sensibles, telles que les mises à jour à l’échelle de la forêt, comme le renommage de domaine ou les mises à jour de schéma volumineux. Remarque : vous devez marquer SYSVOL comme faisant autorité pour DFSR manuellement si nécessaire. Pour plus d’informations concernant les contrôleurs de domaine virtualisés, consultez Architecture de contrôleur de domaine virtualisé.

• Lorsque vous restaurez des contrôleurs de domaine à partir de sauvegardes, il faut du temps pour localiser et récupérer le support de sauvegarde physique, comme les bandes, pour réinstaller le système d’exploitation en fonction du scénario de récupération et restaurer les données à partir du support de sauvegarde.

  Note

  Vous pouvez réduire le temps nécessaire à la réinstallation du système d’exploitation et à la restauration des données à partir de la sauvegarde en effectuant une récupération complète au lieu d’une restauration de l’état du système. Étant donné que la récupération complète est binaire, elle s’effectue beaucoup plus rapidement que la restauration de l’état du système. Toutefois, si le serveur contient des données qui sont exclues des données d’état du système à restaurer, la récupération complète peut ne pas être une alternative viable pour la restauration de l’état du système. Tenez compte des avantages que représente une récupération complète du serveur plutôt qu’une restauration spécifique de l’état du système de vos serveurs et préparez-vous en conséquence en effectuant le type de sauvegarde approprié selon la restauration ultérieure que vous prévoyez. En général, on recommande d’effectuer une sauvegarde COMPLÈTE qui constitue à la fois un type de restauration complète ou d’état système.

  • Quand vous régénérez des contrôleurs de domaine par réplication, la réplication des données pour les promotions basées sur le réseau prend du temps. Vous pouvez réduire le temps nécessaire à la restauration des contrôleurs de domaine en plaçant le nouveau contrôleur de domaine dans le même sous-réseau que le partenaire à promouvoir. Cela réduit les retards causés par les allers-retours réseau et le débit.

• Réduisez le temps de récupération du support de sauvegarde grâce aux opérations suivantes :

  • Utilisation de l’outil de montage de base de données Active Directory (Dsamain.exe) afin de déterminer le type de sauvegarde le mieux approprié pour les opérations de restauration. Pour plus d’informations sur l’utilisation de l’outil de montage de base de données Active Directory, consultez le guide pas-à-pas de l’outil de montage de base de données Active Directory.
  • Étiquetage clair du support de sauvegarde et stockage organisé du support à un emplacement pratique, mais sécurisé, qui permet une récupération rapide. Vérifiez que vous disposez d’informations d’identification valides en fonction de vos sauvegardes.

• Forcez la suppression d’AD DS des contrôleurs de domaine au lieu de réinstaller le système d’exploitation. Si la cause de la défaillance à l’échelle de la forêt a été identifiée comme étant purement dans l’étendue d’AD DS, il n’est pas nécessaire de réinstaller le système d’exploitation sur les contrôleurs de domaine. Pour plus d’informations sur la suppression forcée d’AD DS dans un contrôleur de domaine, consultez Suppression forcée d’un contrôleur de domaine Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=132627).

• Utilisez des périphériques sur bande ou des sauvegardes sur disque plus rapides pour réduire le temps nécessaire aux opérations de restauration. Les entreprises qui ont un contrat de niveau de service (SLA) plus élevé peuvent envisager de modifier les procédures de récupération de forêt pour accélérer la récupération.

En raison de la nature complexe et critique du processus de récupération des forêts, il n’existe actuellement aucune automatisation de bout en bout. Le processus de récupération des forêts constitue plus un défi logistique et organisationnel pour la restauration de la continuité de l’activité qu’un problème technique d’automatisation des processus. Par conséquent, la personne qui administre l’environnement doit créer un plan de récupération de forêt spécifique à cet environnement, puis automatiser les sections qui peuvent être automatisées avec succès.

La plupart des étapes de récupération de forêt s’effectuent à l’aide d’outils en ligne de commande. La plupart des étapes peuvent donc faire l’objet d’un script. Ntdsutil.exe est par exemple l’un des outils les plus fréquemment utilisés dans le processus de récupération de forêt.

Bien que des scripts puissent accélérer la récupération, vous devez les tester soigneusement avant de les appliquer dans un environnement réel. Vous devez également les mettre à jour en fonction des modifications de l’environnement Active Directory, comme l’ajout d’un nouveau domaine ou d’un nouveau contrôleur de domaine, ou d’une nouvelle version d’Active Directory.

Étapes suivantes

• Récupération de la forêt Active Directory : conditions préalables
• Récupération de forêt AD : concevoir un plan de récupération de forêt personnalisé
• Récupération de forêt AD : étapes de restauration de la forêt
• Récupération de forêt AD – Identification du problème
• Récupération de forêt AD – Identification de la procédure de récupération
• Récupération de forêt AD – Récupération initiale
• Récupération de la forêt Active Directory : procédures
• Récupération de forêt AD : forum aux questions (FAQ)
• Récupération de forêt AD : récupérer un domaine unique au sein d’une forêt multidomaine
• Récupération de forêt AD : redéployer les contrôleurs de domaine restants
• Récupération de la forêt Active Directory : virtualisation
• Récupération de forêt AD : nettoyage