Restaurer AD sur nouvelle machine avec les fichiers C:
Fermékelux Messages postés 3065 Date d'inscription vendredi 18 juin 2004 Statut Contributeur Dernière intervention 20 janvier 2023 - 7 juil. 2022 à 13:39
- Restaurer AD sur nouvelle machine avec les fichiers C:
- Darkino nouvelle adresse - Guide
- Wetransfer gratuit fichiers lourd - Guide
- Comment restaurer les messages whatsapp - Guide
- Flixcord nouvelle adresse - Guide
- Restaurer onglets chrome - Guide
2 réponses
2 juil. 2022 à 18:24
Non..
Pas la bonne pratique.
Prévoir, si possible, un deuxième DC.. Capable de reprendre les rôles essentiels pour gérer AD.
Une simple copie ne suffit pas.
Modifié le 7 juil. 2022 à 13:42
Bonjour,
Il est tout à fait possible de restaurer un annuaire AD (Foret complète notamment) depuis des Backups.
Cependant ce n'est pas aussi simple que d'avoir les fichiers de la base AD et on la remet sur un autre serveur. Cette manière de faire n'est pas possible. (ça marcherait par contre pour des ADLDS cependant)
Choubaka soulève la résilience d'un domaine AD, et effectivement il faut mettre à minima un second contrôleur de domaine en production.
En cas de panne, il est possible de tourner avec un seul contrôleur de domaine le temps de réparer l'autre contrôleur.
Après on a différents scénarii à considérer pour réintroduire ce contrôleur de domaine en panne... tout dépend de la root cause.
-
La plupart du temps, on perd moins de temps à construire un nouveau Domain Controller, que d'essayer de le récupérer depuis une sauvegarde - cela prévaut uniquement quand on a plusieurs contrôleurs de domaine en prod, dont au moins 1 est disponible et en bonne santé - on va simplement répliquer l'AD sur le nouveau contrôleur de domaine depuis un contrôleur de domaine actif et fonctionnel.
Coté Restauration AD, on a 2 types de restauration : autoritaire et non autoritaire.
Pour la partie Backup et restauration de foret AD ; je préconise des Backups de Type BMR, surtout lorsqu'on a des VMs c'est hyper pratique. On utilise les BMR dans le cas de "Disaster Recovery" , c'est à dire que mon AD est soit corrompu, soit que je n'ai plus aucun Domain Controller fiable.
On peut passer par des backups de type system state également , mais cela induit d'installer une machine avec windows au préalable, puis de faire la restauration AD avec le System State. Alors qu'avec BMR, Windows est compris dedans ... c'est donc plus rapide quand on utilise des VMs.
A noter que BMR inclut le System State, donc BMR offre aussi la possibilité de faire une restauration non autoritaire.
Par contre BMR a besoin de plus de stockage que le system State ... donc il faut prévoir un stockage conséquent.
--> on utilise pas de clonage/snapshot de VM en guise de Backup AD.
-
Il faut faire extrêmement attention à ne pas utiliser un BMR dans un environnement de PROD pour tester la restauration car là c'est la catastrophe assurée -> réseau indépendant et isolé systématiquement pour tester.
Il y a tout un processus pour restaurer un AD depuis un Backup BMR pour les disaster Recovery, car en fait c'est une restauration autoritaire et on ne remonte qu'un seul DC par domaine ; on nettoie toutes les références de tous les autres DCs qui ne sont pas restaurés. (si la foret contient 5 domaines enfants, je dois restaurer 6 contrôleurs de domaine, dans un ordre précis, on part de la racine puis on descend)
Si la foret n'a qu'un seul DC ( et de facto est mono domaine - seul le domaine racine compte), les quelques étapes de nettoyages ne sont pas nécessaires.
Microsoft propose un service d'accompagnement de restauration de foret, mais c'est payant, donc je ne peux pas publier plus de détails que ça. Je n'ai pas cherché sur le net de tutoriel en ce sens...
Pour situer voici tout de même les étapes pour restaurer en mode disaster depuis un BMR, ceci est à faire de manière isolée , par domaine :
Créer un environnement (virtuel) de restauration sur un réseau isolé
Restauration du contrôleur de domaine en utilisant une sauvegarde BMR
Redémarrage et logon avec l’administrateur RID500
Vérification de la configuration des cartes réseaux du DC
Effectuer une restauration autoritaire du SYSVOL
Changement du mot de passe Administrateur RID500 et vérification de son appartenance aux groupes EA/DA/SA
Transfert des rôles FSMO en utilisant PowerShell
Metadata Cleanup de tous les DCs du domaine (hormis celui restauré)
Suppression des objets ordinateurs au niveau de la console Site et Services (hormis celui restauré)
Suppression des enregistrements DNS (A,SRVs,NS)
Augmenter le Pool RID
Changement du mot de passe du compte machine 2 fois
Changement du mot de passe KRBTGT 2 fois
Réinitialisation du mot de passe des relations d’approbation
Purge des tickets Kerberos
Suppression du Catalogue Global
Paramétrage du service de temps en NTP sur le PDC Emulator
Vérification de la désactivation de la synchronisation du temps entre l’hôte et la machine virtuelle
Création d’une sauvegarde
Chaque Machine restaurée doit être isolée des autres machines restaurées, la mise en réseau et la réplication interviennent quand tous les DCs ont été restaurés - jamais pendant la restauration ; c'est hyper important que chaque machine soit isolée du reste.
Ce qu'on fait ; on retire le réseau à la machine quand on a terminé (parfois on l'éteint aussi), et on passe à la suivante. Il ne faut surtout pas que ça réplique pendant le processus de restauration.
Il faut en moyenne 2h à 2h30 pour restaurer avec cette méthode 1 Contrôleur de domaine (donc 1 domaine avec 1 DC) - selon complexité de l'infra aussi.
-
C'est du niveau avancé, donc je peux comprendre que ça peut paraitre compliqué.
