• Articles
• admin

Il y a quelques années, je travaillais pour une entreprise assez importante avec des centaines de sites dans environ 50 pays différents qui étaient tous reliés par un seul réseau mondial except à l’exception de 4 ou 5 sites de centres de données appelés « centres de solutions ». J’ai travaillé sur l’un de ces sites spéciaux. Le but des centres de solutions était d’héberger tous les services requis par une entreprise cliente tout en les gardant séparés pour le réseau mondial de notre entreprise. Comme nous ne faisions pas partie du réseau mondial, nous étions considérés comme le mouton noir de l’entreprise and et j’étais le seul ingénieur système responsable du fonctionnement des serveurs de mon site. Pas la peine I je fais de mon mieux quand je suis laissé à moi-même.

Cependant, cela a présenté de nombreuses complications supplémentaires auxquelles d’autres membres de mon entreprise n’ont pas eu à faire face. Le plus grand défi à relever était le plan de reprise après sinistre de notre site. Nous ne pouvions pas simplement supposer de déménager sur un nouveau site car nous aurions besoin de récupérer notre propre environnement, qui comprenait notre propre domaine.

Oui, je sais… j’aurais pu héberger l’un de nos contrôleurs de domaine à un autre endroit et établir un VPN spécial uniquement pour les communications entre les DC. Ce serait une solution valable, mais pas suffisante. Lors d’un événement de DR, cela me rendrait très dépendant du personnel informatique de cet autre endroit and et me traiterait de fou, mais je veux pouvoir m’assurer de pouvoir effectuer la récupération à 100% sans l’aide de personne d’autre.

J’ai passé beaucoup de temps à lire des livres blancs et des procédures Microsoft rédigés par diverses personnes, à jeter des idées avec des collègues et à en tirer des idées pour tenter de développer une procédure qui répondrait à nos besoins. Finalement, j’ai développé la procédure que vous lirez ci-dessous and et l’ai testée avec succès à plusieurs reprises. Sachant que quelqu’un d’autre cherche probablement la même chose, je me suis dit que ce serait formidable de la partager avec vous.

Comment sauvegarder le (s) Contrôleur(s) de domaine

Évidemment, avant de pouvoir restaurer votre domaine, vous devez d’abord le sauvegarder. 🙂
Ce qui nous intéresse principalement, c’est l’état du système d’un contrôleur de domaine. Alors, quel est l’état du système?

L’état système de votre serveur comprend le Registre, les fichiers de démarrage, certains fichiers système, le service Active Directory et d’autres composants. (En savoir plus à ce sujet ici.) Vous ne pouvez pas choisir entre les composants sauvegardés lors d’une sauvegarde de l’état du système. C’est une situation tout ou rien.

Puisque cela inclut l’ensemble de votre registre, vous devez comprendre que cela inclut les informations sur le matériel installé par le système d’origine. Cela peut compliquer quelque peu le processus de restauration. Si vous avez sauvegardé l’état du système à partir de DC sur un serveur HP Proliant DL380 G5 series – et tentez de le restaurer sur un Dell PowerEdge T100 – vous aurez probablement des problèmes avec le démarrage du système d’exploitation par la suite, car le jeu de matériel est significativement différent.

Dans le cadre de votre plan de reprise après sinistre, je vous recommande de documenter le nom d’hôte, l’adresse IP, le Système d’exploitation, le niveau de Service Pack et la marque / modèle de matériel de chacun de vos contrôleurs de domaine. Vous trouverez peut-être ces informations utiles le moment venu.

Ces instructions vont utiliser le nom d’hôte « DC123 » comme nom du contrôleur de domaine et supposent que vous souhaitez exécuter la sauvegarde de l’état de votre système tous les jours à 3h00 du matin.

Connectez-vous à votre contrôleur de domaine et procédez comme suit:

1. Créer un C:\Backup \ dossier.
2. Cliquez sur Démarrer – Tous les programmes – Accessoires – Outils système – Sauvegarde.
3. Cliquez sur – Sélectionnez les fichiers et paramètres de sauvegarde —.
4. Sélectionnez Laissez-moi choisir quoi sauvegarder —.
5. Développer Poste de travail — Vérifier l’état du système -.
6. Définissez l’emplacement du fichier de sauvegarde sur C:\Backup \ dossier.
   Définissez le nom de la sauvegarde sur « État du système DC123 ».
7. Cliquez sur — – Sélectionnez Normal -.
8. Cochez la case Vérifier les données après la sauvegarde —.
9. Sélectionnez Remplacer les sauvegardes existantes —.
10. Sélectionnez Plus tard — Définissez le Nom de la tâche sur « État du système DC123 ».
11. Cliquez sur – Planifiez l’exécution quotidienne de la tâche à 3h00 du matin.
12. Cliquez sur – Entrez un ensemble d’informations d’identification utilisateur —.
13. Cliquez sur – Entrez un ensemble des informations d’identification de l’utilisateur ——-.

Le travail de sauvegarde lui–même prendra probablement entre 15 et 30 minutes pour s’exécuter. Ensuite, vous pouvez sauvegarder le C:\Backup \ dossier sur bande. Personnellement, j’avais préféré planifier une autre tâche qui se lancerait à 4:00h à « robocopy » (qui peut être trouvé dans le cadre du téléchargement des outils du kit de ressources Windows Server 2003) chacun des fichiers de sauvegarde sur un autre serveur où ils ont tous été vidés sur bande quelques heures plus tard.

Vous n’avez vraiment besoin que de sauvegarder 1 contrôleur de domaine pour que cela fonctionne, mais vous êtes à peu près verrouillé dans un seul ensemble de matériel quand vient le temps de faire la restauration. Comme je ne savais jamais quel type de matériel j’aurais à ma disposition quand est venu le temps de faire les restaurations, j’ai essayé de m’entraîner à loger chaque contrôleur de domaine sur un modèle de serveur différent… et à sauvegarder chacun d’eux individuellement. Chaque sauvegarde m’a fait passer entre 600 et 800 Mo d’espace disque (ce qui est plutôt une petite bouchée de pain par rapport aux normes actuelles).

Oui, c’était probablement une quantité importante d’exagération de ma part. Cependant, je trouve que plus vous êtes paranoïaque, mieux vous avez tendance à vous trouver. Et j’ai tendance à être plutôt paranoïaque à propos de choses comme DR.

Comment restaurer le (s) Contrôleur(s) de domaine

Maintenant, prétendons qu’un désastre a frappé!

Vous avez récupéré vos bandes du stockage hors site et acquis votre matériel cible, alors mettons-nous au travail! (Rappelez-vous qu’il serait préférable de faire correspondre le matériel à la restauration CC, mais vous pouvez effectuer des substitutions. Ce n’est pas une science exacte, donc une expérimentation peut être nécessaire.)

Remarque: Ces instructions sont écrites avec quelques hypothèses à l’esprit.

1. Nous supposons que l’ensemble de votre domaine a été nivelé par un événement catastrophique.
2. Nous supposons que vos contrôleurs de domaine exécutent un système d’exploitation Windows 2003.
3. Nous supposons que quiconque effectue le travail connaît les informations de connexion (du domaine d’origine) au compte Administrateur du domaine ou à un compte d’utilisateur membre des groupes  » Admins de domaine  » et « Admins de schéma » du domaine.

1. Créez un serveur Windows 2003 autonome et amenez-le au même niveau de Service Pack que le DC d’origine.
2. Nommez le serveur avec le même nom d’hôte que votre DC d’origine.
3. Restaurez les fichiers de sauvegarde de l’état de votre système à partir d’une bande et copiez-les sur le disque dur local du nouveau serveur.
4. Redémarrez le serveur.
5. Après la PUBLICATION, cliquez et sélectionnez pour démarrer en « Mode de restauration des services d’annuaire (contrôleurs de domaine Windows uniquement) ».
6. Cliquez sur Démarrer – Tous les programmes – Accessoires – Outils système – Sauvegarde.
7. Cliquez sur – Sélectionnez Restaurer les fichiers et les paramètres — – Accédez à l’emplacement du fichier de sauvegarde —.
8. Développer Sauvegarde de l’État du système de fichiers – Cochez la case État du système —.
9. Cliquez sur – Sélectionnez l’emplacement d’origine —– Sélectionnez Laisser les fichiers existants (Recommandé) —.
10. Cochez les cases suivantes :

    * Restaurer les paramètres de sécurité
    * Restaurer les points de jonction, mais pas les données de dossier et de fichier
    * Préserver les points de montage de volume existants
    * Lors de la restauration d’ensembles de données répliqués, marquez les données restaurées comme données principales pour toutes les répliques

11. Cliquez sur —.
12. Une fois la restauration terminée, cliquez sur — pour redémarrer le système.

Si le matériel de votre serveur est significativement différent du DC d’origine, vous pouvez rencontrer des difficultés avec le démarrage de l’interface graphique. Si tel est le cas, vous pourrez peut-être toujours récupérer le système d’exploitation en démarrant en mode sans échec ou en démarrant sur un CD d’OS Windows 2003 d’origine pour effectuer une réparation.

Une fois que vous entrez dans l’interface graphique, vous devrez vous connecter en utilisant le mot de passe administrateur local du DC d’origine.

Maintenant, vous pourrez saisir les rôles FSMO. (Remarque : Après chaque commande « saisir », cliquez et attendez 3 à 5 minutes pour que la tâche se termine.)

1. Cliquez sur Démarrer – Exécuter – NTDSUTIL—.
2. Tapez les commandes suivantes dans NTDSUTIL.

   rôles
   connexions
   connexion au serveur DC123
   q
   maître de nommage de domaine à saisir
   maître d’infrastructure à saisir
   PDC à saisir
   maître RID à saisir
   maître de schéma à saisir
   q
   q

Ensuite, confirmez que votre DC est un serveur de catalogue global.

1. Lancer des sites et services d’annonces
   (C:\Windows\System32\dssite .msc)
2. Développez Sites-Default-First-Site–Name-Servers-DC123.
3. Cliquez avec le bouton droit de la souris et sélectionnez Paramètres NTDS – Dans l’onglet Général, vérifiez que la case Catalogue global est cochée.
4. Effectuez un redémarrage propre du système.

Maintenant, nous allons nettoyer les anciens contrôleurs de domaine de la base de données AD.

1. Cliquez sur Démarrer- Exécuter – NTDSUTIL—.
2. Tapez les commandes suivantes dans NTDSUTIL.

   métadonnées
   connexions de nettoyage
   connexion au serveur DC123
   quitter
   sélectionner la cible d’opération
   liste des domaines
   sélectionner le domaine <#>
   liste des sites
   sélectionner un site <#>
   liste des serveurs dans le site
   sélectionner le serveur < nombre de mauvais CC >
   quitter
   supprimer le serveur sélectionné
   quitter

3. Lancer des sites et services Active Directory (C:\Windows\System32\dssite .MSC).
4. Développez Sites-Default-First–Site-Name-Servers.
5. Faites un clic droit sur < mauvais nom d’hôte CC
6. Lancer des utilisateurs et des ordinateurs Active Directory (C:\Windows\System32\dsa .MSC).
7. Développez le domaine – Ouvrez le conteneur Contrôleurs de domaine.
8. Faites un clic droit sur < mauvais nom d’hôte CC
9. Sélectionnez Le contrôleur de domaine est déconnecté en permanence et ne peut plus être rétrogradé à l’aide de l’Assistant d’installation Active Directory (DCPROMO).
10. Cliquez sur – pour confirmer.

Votre domaine devrait maintenant être restauré avec succès, mais ne vous considérez pas comme terminé à ce stade. Ce serveur restauré doit au mieux être considéré comme un peu bizarre et ne doit pas être conservé comme une solution à long terme.

Avant de faire autre chose, je vous recommande de construire un 2ème contrôleur de domaine « propre » à côté de ce 1er DC restauré. Ensuite, transférez les rôles FSMO au 2e DC. Enfin, rétrogradez le 1er DC vers un serveur membre et retirez-le du domaine. Nous espérons que cela garantira que votre domaine fonctionne sur un DC propre et stable sur lequel vous pouvez compter. Ensuite, construisez un nouveau 2ème DC pour assurer une certaine redondance.

Félicitations! Votre domaine est restauré. Maintenant, mettez-vous au travail pour restaurer tout le reste. 🙂