Maintenance et Restauration d’Active Directory

Sommaire

• Sauvegarde de l’AD• Les méthodes de restauration• Récupération de l’AD• Réparation de l’AD et opérations de

maintenance• Les outils

La sauvegarde de l’État du Système• Composants inclus dans la sauvegarde de l’État

du Système :– Fichiers de démarrage (boot.ini, ntldr,

ntdetect.com)– La base de registre du système– La base de données d’enregistrement des

composants COM+– SYSVOL– Active Directory (NTDS.dit, EDB.chk, EDB*.log,

RES1.log et RES2.log)– Base du service de certificat (si le service est

installé)– Informations du service cluster (si le service est

installé)

Types de sauvegardes• Types :

– Normal– Copie– Incrémentielle– Différentielle– Journalière

• Pour la sauvegarde de l’AD :– Choisir ‘normale’ car l’état du système est sauvegardé

pendant que le DC est actif, mais marque aussi les fichiers comme sauvegardés (supprime l’attribut archive du fichier)

Sauvegarde correcte• Dépends du :

– Contenu– Ancienneté

• Contenu :– Disque système (incluant Sysvol).– Etat du système.

• Ancienneté :– Ne doit pas dépasser l’âge maximal du Tombstone

(par défaut 60 jours) afin d’éviter le ‘lingering’ (réapparition d’objets supprimés)

Droits requis et performance

• Droits requis :– Être membre des groupes "Opérateurs de

sauvegarde" ou "Administrateurs"

• Performance :– Dépend du périphérique– A programmer en dehors des heures de pics

d’utilisation– De manière générique peut prendre jusqu’à une

heure

Lag Site• Un Lag Site permet de récupérer un objet supprimé sur un DC qui

n’a pas encore répliqué la suppression.• Un 'lag site' est un DC dans un site à part, configuré pour répliquer

chaque 1 ou 2 jours avec le domaine. Il peut être utilisé pour initier une restauration autoritaire du domaine AD. Il suffit de le redémarrer en mode restauration AD, de lancer les commandes NTDSUTIL pour restaurer les objets effacés.– 1. Créer un site AD Séparé. Placer un DC dans ce site.– 2. Vérifier qu'il n'y ait pas de subnets clients associés avec ce

site– 3. Paramétrer le lien de réplication inter site à 1 ou 2 jours– 4. Arrêter le service netlogon sur le DC afin qu'il ne puisse servir

à l'authentification des utilisateurs– 5. Désactiver réplication entrante: "Repadmin /options <DCNAME> +/-DISABLE_INBOUND_REPL"– 6. Il est possible de mettre en oeuvre un second 'lag site' qui

réplique à des jours différents, en complément du premier 'lag site'.

Programme

• Sauvegarde de l’AD• Les méthodes de restauration• Récupération de l’AD• Réparation de l’AD et opérations de

maintenance

Méthodes de restauration de l’AD• Causes pouvant nécessiter une restauration :

– Panne d’un DC.– Corruption de la base de données ( ntds.dit) par

corruption des disques ou défaillance matérielle.– Corruption des données (suppression accidentelle de

données suivie d’une réplication et/ou propagation d’une donnée incorrecte par réplication)

• Attention en cas de restauration sur un serveur au matériel différent : Q263532 http://support.microsoft.com/default.aspx?scid=KB;EN-US;263532

Modification du BOOT.INI pour effectuer les actions via TS

• Copier la ligne contenant l’option /Fastdetect et sur cette nouvelle ligne remplacer /Fastdetect par /safemode:dsrepair

• Si utilisation de Terminal Server pour effectuer les opérations, il faut ajouter la ligne /safemode:dsrepair

• Exemple : multi(0)disk(0)rdisk(0)partition(1)\WINNT="Windows 2000 Directory Services Repair Mode" /safemode:dsrepair

• http://support.microsoft.com/default.aspx?scid=KB;EN-US;256588 • http://support.microsoft.com/default.aspx?scid=KB;EN-US;239780

Méthodes de restauration

Restauration Non Autoritaire

Restauration Autoritaire avec

Stratégies

Restauration Autoritaire

sans StratégiesRéinstallation Soft Repair

F8 F8 F8Nettoyage

ancien compte du DC dans l'AD

F8

NTBACKUP NTBACKUP NTBACKUP DCPROMO NTDSUTIL

RedémarrageNTDSUTIL + autoritative

restore

NTDSUTIL + autoritative

restore

recover + semantic analysis

Réplication NTBACKUP dans répertoire différent Redémarrage integrity

Redémarrage + Réplication repair

F8 + Copie du SYSVOL vers son

emplacement d'origine

Programme

• Sauvegarde de l’AD• Les méthodes de restauration• Récupération de l’AD• Réparation de l’AD et opérations de

maintenance• Les outils

1. Restauration via une réinstallation du serveur

• Uniquement possible si le DC (Contrôleur de Domaine) n’est pas unique dans le domaine

• Metadatacleanup :– 216498 COMMENT FAIRE : Suppression de données dans

Active Directory après l'échec d'une rétrogradation de contrôleur de domainehttp://support.microsoft.com/default.aspx?scid=kb;fr;216498

• Installation à partir de zéro d’un système• Faire un DCPROMO pour initier une réplication

complète.

Installation d’un DC à partir d’un Media

• Disponible exclusivement à partir de Windows Server 2003

• Q311078 How to use the Install from Media feature to promote Windows Server http://kb/article.asp?id=Q311078

• Évite de faire transiter les informations sur le réseau pour promouvoir un DC

Nettoyage de l’AD

• Utilisation de NTDSUTIL (droit d’administrateur d’entreprise)

select domain <numéro>

list sites

select site <numéro>

list servers in site

select server <numéro>

quit

remove selected server

quit

N’importe quel DC opérationnel dans

le domaine

NTDSUTIL

metadata cleanup

connections

connect to server <serveur>

quit

select operation target

list domains

2. Restauration via une sauvegarde

• Deux méthodes :– Non autoritaire : méthode par défaut qui permet de ne pas

remplacer les informations existantes (domaine, schéma, configuration). Le DC sera mis à jour après réplication. Utile pour la corruption de la base de données.

– Autoritaire : méthode qui incrémente l’ensemble des numéro de version d’un domaine, d’un containeur ou d’objets individuels. Utile pour la corruption de données.

2.1. Restauration non autoritaire• Redémarrer en mode restauration d’annuaire

AD (F8 au démarrage)

• Ouvrir une session avec le compte « Administrateur » local de restauration AD

• Lancer NTBACKUP et vérifier dans ‘avancée’ si tout est correctement paramétré :– Restaurer la sécurité– Restaurer les point de jonction– Préserver les volumes existant– Marquer les données restaurées comme données

primaire de tous les réplicats (s’il s’agit du seul DC du domaine)

2.2. Restauration autoritaire

• Il est fortement recommandé de demander l’assistance du Support Microsoft pour une restauration autoritaire.

• Méthode décrite dans l’article Q241594 How to perform an authoritative restore to a domain controller in Windows 2000• Impact sur l’appartenance des groupes et les relations

d’approbation :– Q216243 Authoritative Restore of Active Directory and Impact on Trus

ts and Computer Accounts– Q840001 How to restore deleted user accounts and their group memb

erships in Active Directory

Restauration autoritaire - Étapes

• Plusieurs types de restauration autoritaire :– Domaine dans son ensemble– Un containeur du domaine

• Pour la première partie, idem que la restauration non autoritaire, mais sans redémarrer le DC

• Attention, lors de la restauration, relancer la procédure pour l’état du système et choisir une destination alternative (pour le SYSVOL en cas de stratégie défectueuse)

• Utiliser NTDSUTIL

Restauration autoritaire – Étapes (domaine)

• Utilisation de NTDSUTIL :

NTDSUTIL

metadata cleanup

connections

connect to server < serveur>

quit

select operation target

list domains

NTDSUTIL

autoritative restore

restore database

Répondre oui à l’avertissement

quit

quit

exit

Restauration autoritaire – Étapes (suite)

• Le SYSVOL :– Copier les scripts du domaine :<alt>\sysvol\c_\winnt\sysvol\domain\scriptsvers c:\winnt\sysvol\domain\scripts– Copier les stratégies du domaine :<alt>\sysvol\c_\winnt\sysvol\domain\policiesvers c:\winnt\sysvol\domain\policies

• Effectuer cette étape après que la première réplication ait eu lieu.

Restauration autoritaire – Étapes (conteneur)

• NTDSUTIL : NTDSUTIL

authoritative restore

restore subtree "ou=<nom ou>,dc=<nom domaine>,dc=<top>"

répondre oui à l’avertissement

quit

exit

Redémarrer normalement le DC pour que les changements soient actifs

3. Vérification de la restauration

• Vérifier que le serveur puisse normalement redémarrer

• Vérifier que le DC soit capable de s’authentifier avec ses partenaires :– repadmin /showreps

• Eventuellement, forcer une réplication :– repadmin /sync <naming context> <destination>

<source GUID>• Contrôler les journaux d’événement

4. Restauration d’un Catalogue Global (GC)

• Pas de manipulation si la sauvegarde concerne un DC qui était GC

• En revanche une restauration à partir d’une réinstallation, puis promotion en tant que DC implique que cette fonctionnalité soit activée manuellement

5. Récupération d’un rôle AD

• Peuvent être automatiquement restaurés à partir de la sauvegarde

• En cas de réinstallation puis promotion, il faudra saisir (to seize) le rôle.

• Il est possible de fonctionner temporairement avec un ou des rôles manquant.

• Une fois le rôle saisi (avec NTDSUTIL), il est ensuite possible de le rapatrier (déplacer) sur le serveur réinstallé

5.1. Ntdsutil

• Commande NTDSUTIL :

5.2. Par l’interface graphique.• En utilisant l’interface graphique :

Sommaire

• Sauvegarde de l’AD• Les méthodes de restauration• Récupération de l’AD• Réparation de l’AD et opération de

maintenance• Les outils

1. Récupération ‘soft recovery’• Automatique au redémarrage d’un DC après un arrêt

inattendu, si le DSA détecte une corruption• Possible de le lancer via commande NTDSUTIL si

démarrage en mode ‘restauration Active Directory’ :

2. Vérification de l’intégrité des données de l’AD• Se fait en mode ‘restauration AD’• Deux types :

– la commande ‘integrity’ teste l’intégrité de la base (niveau fichier)

– La commande ‘semantic database analysis’ teste la cohérence de la base (niveau objets)

– Si des erreurs sont repérées, alors taper ‘go fixup’ pour les fixer

3. Réparation de l’AD• Toujours en mode ‘restauration de l’AD’• Via NTDSUTIL :

4. Opérations de maintenance (déplacement)

• Se fait en mode ‘restauration AD’• Déterminer l’emplacement de la base de données et les

fichiers de log :

• Déplacer la base de donnée et les logs :– Voir les articles suivants :Q257420 How To Move the Ntds.dit File or Log Files

http://support.microsoft.com/default.aspx?scid=KB;EN-US;257420

Q259278 Directory Service Does Not Start If Disk Is Full http://support.microsoft.com/default.aspx?scid=KB;EN-US;259278

4. Opérations de maintenance (défragmentation offline)

• Une défragmentation online se fait automatiquement par le Garbage Collection (edb*.log)

• La défragmentation offline se fait en mode ‘restauration AD’• Libère l’espace disque inutilisé par le base• A ne faire qu’après des suppressions massive dans l’AD, ou

avoir ôté la fonction de GC à un DC.• Utilisation de NTDSUTIL :

• Puis une fois l’opération terminée, remplacer l’ancien NTDS.dit par le nouveau

Sommaire

• Sauvegarde de l’AD• Les méthodes de restauration• Récupération de l’AD• Réparation de l’AD et opérations de

maintenance• Les outils

Les Outils• NetDom.exe :

– Permet de gérer les domaines et les relations d’approbation en ligne de commande (support tools)

• Repadmin.exe :– Permet de vérifier et créer des topologies de réplication (support tools)

• Ntdsutil.exe :– Outil de diagnostic et de maintenance d’AD

• Ntbackup.exe :– Outil de sauvegarde qui permet entre autre la sauvegarde de l’état du système

• ADSIEdit.msc et ldp.exe:– Editeur bas niveau de l’AD (à manier avec précaution) (support tools)

• Replmon.msc– Moniteur de la réplication (support tools)