Restauration d’un serveur Active Directory

Les serveurs Active Directory doivent être restaurés hors connexion. Le système doit être redémarré en mode restauration des services d’annuaire. Dans ce mode, le système d’exploitation s’exécute sans services de domaine Active Directory et toute la validation utilisateur s’effectue via le Gestionnaire des comptes de sécurité (SAM) dans le Registre. Pour restaurer services de domaine Active Directory, utilisez les informations d’identification d’un administrateur local sur le contrôleur de domaine restauré.

L’appelant des fonctions de restauration doit disposer du privilège d’accès SE_RESTORE_NAME . Utilisez la fonction DsSetAuthIdentity pour définir le contexte de sécurité sous lequel les fonctions de sauvegarde et de restauration d’annuaire sont appelées.

N’oubliez pas que lorsque vous restaurez services de domaine Active Directory, vous devez également restaurer les autres composants d’état système.

Pour restaurer services de domaine Active Directory

1. Appelez la fonction DsIsNTDSOnline pour déterminer si services de domaine Active Directory sont en cours d’exécution.
2. Si services de domaine Active Directory ne sont pas en cours d’exécution, la fonction DsRestorePrepare est appelée pour initialiser l’opération de restauration et obtenir un handle de contexte de sauvegarde. Si services de domaine Active Directory sont en cours d’exécution, il ne peut pas être restauré et l’application de restauration doit échouer l’opération de restauration. La fonction DsRestorePrepare nécessite que le jeton d’expiration soit obtenu à partir de la fonction DsBackupPrepare pendant l’opération de sauvegarde.
3. Appelez la fonction DsRestoreGetDatabaseLocations pour déterminer les répertoires où les fichiers doivent être restaurés. Si cette fonction échoue, restaurez les données dans le répertoire source de sauvegarde d’origine ; c’est le répertoire à partir duquel les données ont été sauvegardées.
4. Appelez la fonction DsRestoreRegister pour préparer le serveur Active Directory pour l’opération de restauration et verrouiller les répertoires de restauration.
5. Utilisez les fonctions Win32 standard pour restaurer les fichiers. Tout d’abord, supprimez tous les fichiers du répertoire de destination ; copiez ensuite les fichiers de sauvegarde dans le répertoire de destination.
6. Appelez la fonction DsRestoreRegisterComplete pour indiquer que la restauration est terminée.
7. Appelez la fonction DsRestoreEnd pour libérer toutes les ressources associées au contexte.

Après une restauration en mode de restauration des services d’annuaire, le contrôleur de domaine doit être redémarré en mode normal. Lorsque le service d’annuaire démarre, le contrôleur de domaine effectue la cohérence normale case activée et le répertoire restauré est alors en ligne.

N’oubliez pas que la restauration d’un serveur Active Directory est toujours une opération en deux parties. Tout d’abord, restaurez la base de données à un moment où la sauvegarde a été effectuée. Ensuite, répliquez le répertoire, où le DSA récemment restauré réplique les mises à jour post-sauvegarde à partir d’autres DSA dans le domaine et la forêt d’entreprise.

Un ordinateur s’exécutant sur Windows 2000 ou Windows Server 2003, qui contient une réplica du service d’annuaire, est un contrôleur de domaine.

La fonction DsRestoreRegister ajoute des données au registre qui doivent survivre au processus de restauration du Registre pour que la restauration fonctionne correctement. Pour vous assurer que ces données de Registre sont conservées, restaurez services de domaine Active Directory avec les fonctions DsRestore* avant de redémarrer l’ordinateur après l’appel de la fonction RegReplaceKey. Ce processus fonctionne, car RegReplaceKey ne remplace pas réellement la ruche du Registre tant que l’ordinateur n’est pas redémarré et que les données du Registre ajoutées par la fonction DsRestoreRegister ne sont pas spécifiquement exclues du remplacement pendant une opération de restauration du Registre.