Récupération de forêt Active Directory : récupération d’un seul domaine dans une forêt multidomaine

Dans certains scénarios, il peut être nécessaire de récupérer un seul domaine au sein d’une forêt contenant plusieurs domaines au lieu de récupérer une forêt complète. Cette rubrique décrit les considérations relatives à la récupération d’un seul domaine et les stratégies possibles.

Comme pour le processus de récupération de forêt, vous restaurez un ou plusieurs contrôleurs de domaine à partir d’une sauvegarde dans le domaine, puis effectuez un nettoyage des métadonnées des contrôleurs de domaine restants. De nouveaux contrôleurs de domaine sont ensuite ajoutés en joignant de nouveaux membres, en installant des rôles AD DS et en les promouvant. Vous pouvez également utiliser le clonage du contrôleur de domaine ou l’installation à partir de Media pour la tâche.

La récupération d’un seul domaine présente un défi unique pour la reconstruction des serveurs de catalogue global (GC). Par exemple, si le premier contrôleur de domaine (DC) du domaine est restauré à partir d’une sauvegarde créée une semaine plus tôt, tous les autres GC de la forêt ont des données plus à jour pour ce domaine que le contrôleur de domaine restauré. Pour rétablir la cohérence des données GC, il y a deux options :

• Annulez l’hébergement de la partition des domaines récupérés à partir de tous les catalogues globaux de la forêt, sauf ceux du domaine récupéré, en même temps. Une fois cela terminé, réhébergez tous les catalogues globaux dans la forêt. Veillez également à ne pas surcharger les catalogues globaux restants. Dans les environnements de grande envergure, la coordination de cette activité peut être très complexe.

• Suivre le processus de récupération de forêt pour récupérer le domaine, puis supprimer les objets en attente dans les GC des autres domaines.

Les sections suivantes décrivent les considérations générales de chaque option. L’ensemble complet des étapes à effectuer pour la récupération varie selon les différents environnements Active Directory.

Réhéberger tous les GC

Warning

Le nom de connexion et le mot de passe du compte d’utilisateur Administrateur de domaine par défaut (« RID-500 ») pour tous les domaines doivent être disponibles, et le ou les comptes doivent être activés pour une utilisation en cas de problème empêchant l’accès à un catalogue global pour l’ouverture de session.

Note

Pour autoriser l’ouverture de session sans vérification du catalogue global, il est également possible de configurer la valeur HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures sur 1.

Si ce paramètre est inconnu, obtenez l’ID de domaineen utilisant whoami /all pour un autre compte dans chaque domaine ou exécutez la commande suivante pour identifier le RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

Le réhébergement de tous les catalogues globaux peut être effectué à l’aide des commandes repadmin /unhost et repadmin /rehost (partie de repadmin /experthelp). Vous exécuteriez les commandes repadmin sur chaque catalogue global de chaque domaine qui n’est pas récupéré. Il est nécessaire de s’assurer que tous les GC ne détiennent plus aucune copie du domaine récupéré. Pour ce faire, commencez par annuler l’hébergement de la partition de domaine dans tous les contrôleurs de domaine des domaines non récupérés de la forêt. Étant donné que les catalogues globaux ne contiennent plus la partition, vous pouvez l’héberger de nouveau. Lors du réhébergement, tenez compte de la structure du site et de la réplication de la forêt. Par exemple, terminez le réhébergement d’un contrôleur de domaine par site avant de réhéberger les autres contrôleurs de domaine de ce site.

Cette option convient à une petite organisation qui a seulement quelques contrôleurs de domaine pour chaque domaine. Tous les GC peuvent être reconstruits un vendredi soir et, si nécessaire, vous pouvez terminer la réplication de toutes les partitions de domaine en lecture seule avant le lundi matin. Toutefois, si vous avez besoin de récupérer un grand domaine qui couvre des sites dans le monde entier, le réhébergement de la partition de domaine en lecture seule sur tous les catalogues globaux d’autres domaines peut avoir un impact significatif sur les opérations et éventuellement nécessiter des temps d’arrêt.

Rechercher et supprimer des objets en attente

Sur les catalogues globaux de tous les autres domaines de la forêt, vérifiez et supprimez les objets potentiellement persistants pour la partition en lecture seule du domaine récupéré.

La source du nettoyage des objets en attente doit être un contrôleur de domaine dans le domaine récupéré. Pour être certain que le contrôleur de domaine source n’a pas d’objets en attente pour les partitions de domaine, vous pouvez supprimer le catalogue global.

La suppression des objets en attente convient aux grandes organisations qui ne peuvent pas risquer le temps d’arrêt associé au réhébergement du contexte de nommage de domaine.

Pour plus d’informations, consultez Utiliser repadmin pour supprimer des objets en attente.

Étapes suivantes

• Récupération de forêt Active Directory : conditions préalables
• Récupération de forêt AD : concevoir un plan de récupération de forêt personnalisé
• Récupération de forêt AD : étapes de restauration de la forêt
• Récupération de forêt AD : identification du problème
• Récupération de forêt AD - Déterminer comment récupérer
• Récupération de forêt Active Directory : effectuer la récupération initiale
• Récupération de forêt Active Directory - Procédures
• Récupération de forêt AD – Questions fréquentes (FAQ)
• Récupération de forêt AD : récupération d’un seul domaine dans une forêt multidomaine
• Récupération de forêt Active Directory : redéployer les contrôleurs de domaine restants
• Récupération de forêt Active Directory : virtualisation
• Récupération de forêt AD : nettoyage