Restaurer un contrôleur de domaine virtualisé dans Windows Server

• S’applique à:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Vous devez régulièrement sauvegarder votre état système afin de restaurer un contrôleur de domaine (DC) physique ou virtuel lors d’un scénario de reprise après sinistre. L’état système comprend les données et fichiers journaux d’Active Directory, le registre, le volume système, et divers éléments du système d’exploitation. Les applications de sauvegarde compatibles avec Active Directory garantissent des bases de données Active Directory locales et répliquées cohérentes après un processus de restauration, y compris en informant les partenaires de réplication des réinitialisations des ID d’invocation. Les environnements d’hébergement virtuel et les applications d’imagerie de disque ou de système d’exploitation permettent aux administrateurs de contourner les vérifications et validations standard qui se produisent lors de la restauration de l’état système d’un DC.

Si votre machine virtuelle (VM) de DC échoue mais que vous ne voyez pas de signes de rollback de numéro de séquence de mise à jour (USN), il existe deux façons de restaurer la VM :

• Si votre système dispose d’une sauvegarde valide des données de l’état système avant la défaillance, vous pouvez la restaurer à l’aide de l’utilitaire de sauvegarde compatible avec Active Directory que vous avez utilisé pour créer la sauvegarde dans la durée de vie de l’objet tombstone. La durée de vie de l’objet tombstone par défaut est de 180 jours ; vous devez sauvegarder vos DC régulièrement et au moins tous les 90 jours. Pour plus d’informations sur la détermination de la durée de vie d’un objet tombstone, veuillez consulter la rubrique Déterminer la durée de vie d’un objet tombstone.

• Si vous disposez d’une copie de travail du fichier de disque dur virtuel (VHD) mais pas de sauvegarde de l’état système, vous pouvez supprimer la VM existante et la restaurer à l’aide d’une copie précédente du VHD. Assurez-vous de démarrer la VM en mode DSRM, puis configurez la propriété du registre comme décrit dans la rubrique Restaurer une sauvegarde de l’état système. Ensuite, redémarrez le DC en mode normal.

Déterminez la meilleure façon de sauvegarder votre DC

Il existe plusieurs façons de sauvegarder votre DC, mais la meilleure méthode pour votre déploiement dépend de plusieurs facteurs.

• Si vous n’avez pas de données critiques sur le DC ou si vous n’avez pas de sauvegarde effectuée avant la panne du DC :

  • Retirez de force le rôle AD DS du DC.

  • Supprimez le compte d’ordinateur du contrôleur de domaine en panne.

  • Si nécessaire, installez le rôle AD DS sur le serveur de remplacement qui devient le prochain DC.

• Si vous avez une sauvegarde de l’état système, restaurez le DC en suivant les instructions de la section Restaurer une sauvegarde de l’état système.

• Si vous avez une version précédente du DC sur un fichier VHD, suivez les instructions de la section Restaurer le DC virtuel avec un fichier VHD.

  • Si la version précédente exécute Windows Server 2012 sur un Hyper-V qui prend en charge le paramètre VM-GenerationID, alors déployez le VHD sur une nouvelle VM, puis redémarrez la VM en mode normal.

  • Si la version précédente exécute une version différente de Windows Server, l’avez-vous déjà démarrée en mode normal ?

    • Si non, restaurez le DC en le démarrant en mode DSRM, en paramétrant la valeur du registre restauré à partir de la base de données de sauvegarde sur 1, puis en le redémarrant en mode normal.

    • Si oui, déconnectez le DC virtuel du réseau, récupérez et sauvegardez toutes les données uniques nécessaires sur une copie différente de la VM, puis n’utilisez plus le DC original sur le réseau. Supprimez également son rôle AD DS du DC original ou réinstallez le système d’exploitation, puis installez le rôle sur la nouvelle version du DC.

Si vous essayez de restaurer un RODC :

• Si une sauvegarde des données de l’état système existe avant la défaillance du DC original, utilisez-la pour restaurer le DC.

• Si vous n’avez pas de sauvegarde de l’état système mais que vous avez un fichier VHD d’une version précédente du DC, supprimez le DC en panne, puis créez et démarrez une nouvelle VM en utilisant la sauvegarde du fichier VHD.

• Si vous n’avez aucune de ces sauvegardes, supprimez le rôle AD DS du contrôleur de domaine en exécutant cette commande :

  dcpromo /forceremoval
  

  Après avoir exécuté la commande, installez le rôle AD DS sur le serveur de remplacement pour en faire un RODC.

Restaurer une sauvegarde de l’état système

Si une sauvegarde valide de l’état système existe pour la VM de DC, vous pouvez restaurer en toute sécurité la sauvegarde en suivant la procédure de restauration de l’outil de sauvegarde que vous avez utilisé pour sauvegarder le fichier VHD.

Important

Pour restaurer correctement le DC, vous devez démarrer le DC en mode DSRM, pas en mode normal. Si vous n’êtes pas parvenu à choisir le mode DSRM lors du démarrage du système, éteignez la machine virtuelle du contrôleur de domaine avant qu’il ne démarre entièrement en mode normal. Il est primordial de démarrer le contrôleur de domaine en mode DSRM, car un démarrage en mode normal entraînerait une incrémentation de ses numéros USN, et ce même s’il était déconnecté du réseau. Pour plus d’informations sur l’USN rollback, veuillez consulter la section USN et USN rollback.

Restaurer la sauvegarde de l’état système du DC virtuel

Pour restaurer la sauvegarde des données de l’état système du DC virtuel :

1. Démarrez la VM du DC, puis appuyez sur la touche F5 pour accéder à Windows Boot Manager.

2. Si vous êtes invité à entrer des informations d’identification de connexion, procédez comme suit :

   • Sélectionnez immédiatement le bouton Pause de la machine virtuelle pour interrompre le processus.

   • Entrez vos informations d’identification de connexion.

   • Sélectionnez le bouton Lecture de la machine virtuelle.

   • Sélectionnez à l’intérieur de la fenêtre de la VM, puis appuyez sur la touche F5.

   Si Windows Boot Manager ne s’ouvre pas et que le DC commence à démarrer en mode normal, éteignez la VM pour interrompre le processus. Recommencez cette étape autant de fois que nécessaire, jusqu’à ce que vous parveniez à accéder au Gestionnaire de démarrage Windows. Il n’est pas possible d’accéder au mode DSRM à partir du menu Récupération d’erreurs Windows. Par conséquent, éteignez la machine virtuelle et recommencez l’opération si ce menu apparaît.

3. Dans Windows Boot Manager, appuyez sur la touche F8 pour accéder aux options de démarrage avancées.

4. Sous Options de démarrage avancées, sélectionnez Mode de restauration des services d’annuaire, puis appuyez sur la touche Entrée pour démarrer le DC en mode DSRM.

5. Utilisez la méthode de restauration appropriée de l'outil qui vous a servi à créer la sauvegarde de l'état du système. Si vous avez utilisé Windows Server Backup, suivez les instructions de Réalisation d’une restauration ne faisant pas autorité de AD DS.

Restaurer le DC virtuel avec un fichier VHD

Si vous n’avez pas de sauvegarde des données de l’état système antérieure à la panne de la VM, vous pouvez utiliser le fichier VHD pour restaurer un DC qui s’exécute sur une VM. Assurez-vous de créer une copie du fichier VHD avant de commencer. De cette façon, si vous rencontrez un problème pendant la procédure ou si vous oubliez une étape, vous pouvez réessayer avec le fichier VHD copié.

Avertissement

Vous ne devez pas utiliser cette procédure comme substitut à des sauvegardes planifiées et régulières. Les restaurations effectuées avec cette procédure ne sont pas prises en charge par Microsoft. Utilisez cette procédure uniquement lorsqu’il n’existe aucune alternative.

N’utilisez pas cette procédure si une VM a déjà démarré la copie du fichier VHD que vous prévoyez d’utiliser pour la restauration en mode normal.

Pour restaurer un DC virtuel avec un fichier VHD :

1. À l’aide du VHD précédent, démarrez le DC virtuel en mode DSRM.

   • Ne démarrez pas le DC en mode normal. Si vous manquez l’écran Windows Boot Manager et que le DC commence à démarrer en mode normal, éteignez la VM pour l’empêcher de démarrer.

2. Ouvrez l’Éditeur du Registre en sélectionnant Démarrer, puis en saisissant regedit.exe et en sélectionnant Éditeur du Registre.

   • Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, confirmez que l’action affichée est conforme aux attentes, puis sélectionnez Oui.

   • Dans l’Éditeur du Registre, développez le chemin HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

   • Recherchez une valeur nommée DSA Previous Restore Count. Si cette valeur existe, relevez-en le paramètre. Sinon, le paramètre par défaut est utilisé, c’est-à-dire (0). Si aucune valeur n’est affichée, ne le définissez pas manuellement.

3. Avec le bouton droit, sélectionnez la touche Paramètres, Nouveau, puis Valeur DWORD (32 bits).

4. Saisissez le nouveau nom Base de données restaurée à partir de la sauvegarde, puis appuyez sur la touche Entrée.

5. Double-cliquez sur la valeur que vous venez de créer pour ouvrir la boîte de dialogue Modifier la valeur DWORD (32 bits), puis localisez le champ Données de la valeur et saisissez 1.

6. Redémarrez le contrôleur de domaine en mode normal.

7. Lorsque le DC redémarre, ouvrez l’Observateur d’événements en faisant un clic droit sur Démarrer, puis en sélectionnant Observateur d’événements.

8. Développez Journaux des applications et services, puis sélectionnez le journal Services d’annuaire. Vérifiez que les événements apparaissent dans le volet d’informations.

9. Faites un clic droit sur le journal Services d’annuaire, puis sélectionnez Rechercher.

10. Dans le champ Rechercher dans, saisissez 1109, puis sélectionnez Rechercher le suivant.

11. Vous devriez obtenir au moins une entrée pour l’ID d’événement 1109. Si cette entrée n’apparaît pas, passez à l’étape suivante. Sinon, double-cliquez sur l’entrée et lisez le texte. Confirmez que le texte indique que la mise à jour a été effectuée sur l’ID d’invocation, comme indiqué dans la sortie d’exemple suivante :

    Active Directory has been restored from backup media, or has been configured to host an application partition.
    The invocationID attribute for this directory server has been changed.
    The highest update sequence number at the time the backup was created is <time>
    
    InvocationID attribute (old value):<Previous InvocationID value>
    InvocationID attribute (new value):<New InvocationID value>
    Update sequence number:<USN>
    
    The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.
    

12. Fermez l’Observateur d’événements.

13. Dans l’Éditeur du Registre, vérifiez que la valeur de DSA Previous Restore Count est égale à la valeur précédente, plus un. Si la valeur correcte n’est pas présente et que vous ne trouvez pas d’entrée pour l’ID d’événement 1109 dans Observateur d’événements, vérifiez que les service packs du DC sont à jour.

    Remarque

    Vous ne pouvez pas réessayer cette procédure sur le même disque dur virtuel. Vous pouvez réessayer sur une copie du disque dur virtuel ou sur un disque dur virtuel différent qui n’a pas été démarré en mode normal, en recommençant à l’étape 1.

14. Fermez l’Éditeur du Registre.

Contenu supplémentaire

Pour plus d’informations sur les DC virtualisés, veuillez consulter la section Virtualisation des contrôleurs de domaine avec Hyper-V.