Sauvegarder un contrôleur de domaine : meilleures pratiques pour protéger AD (1e partie)

Les articles de la série :

P. 1 — Sauvegarder un contrôleur de domaine
P. 2 — Restaurer un contrôleur de domaine

 


Microsoft Active Directory est la norme dans les environnements d’entreprise nécessitant l’authentification et la gestion centralisée des utilisateurs. Il est quasiment inimaginable pour les administrateurs systèmes de se passer de cette technologie. Active Directory ne leur confère pas seulement un grand pouvoir, mais aussi une grande responsabilité, sans compter la nécessité de lui consacrer beaucoup de temps pour en exploiter toutes les fonctionnalités au maximum.

Ces articles ont été rédigés pour vous aider à sauvegarder et restaurer les services de domaine Active Directory grâce à Veeam, en vous donnant toutes les clés pour protéger AD sans peine. Avant d’entamer la lecture de celui-ci, il est conseillé de consulter l’article Meilleures pratiques pour l’administration d’AD publié il y a quelques années.

Les articles de la présente série traitent du rôle de Veeam dans la protection des données Active Directory, à savoir comment préserver les contrôleurs de domaine (DC) ou les objets AD, et les restaurer lorsque nécessaire.

Je vais présenter aujourd’hui les options de sauvegarde proposées par Veeam pour les DC physiques comme virtuels et les points à prendre en considération.

Points à prendre en considération pour sauvegarder un contrôleur de domaine

À l’image des services de domaine Active Directory conçus avec une forme de redondance, les règles et stratégies de sauvegarde courantes peuvent être réduites et adaptées au même niveau. En effet, il ne serait pas juste d’appliquer ici la stratégie de sauvegarde que vous utilisez pour SQL Server ou Exchange. Voici donc quelques points à prendre en considération pour créer vos propres stratégies Active Directory, en espérant qu’ils vous soient utiles :

  • Déterminer quels contrôleurs de domaine jouent le rôle de maître d’opérations unique (FSMO) dans votre environnement. Conseil : une simple commande permet de le vérifier via la ligne de commande : >netdom query fsmo
  • Pour restaurer l’intégralité d’un domaine, il est recommandé de commencer par le DC qui possède le plus grand nombre de rôles FSMO, c’est-à-dire généralement celui qui joue le rôle d’émulateur PDC (Primary Domain Controller). Sinon, vous devrez utiliser la commande ntdsutil seize pour transférer manuellement les rôles après la restauration. Gardez cela à l’esprit lorsque vous planifiez la sauvegarde et établissez une priorité entre les contrôleurs de domaine en conséquence.
  • Si vous possédez plusieurs contrôleurs de domaine pour le site et souhaitez protéger des objets individuels, il est inutile de sauvegarder tous les DC puisqu’une seule copie de la base de données Active Directory (ntds.dit) suffit pour la sauvegarde au niveau objet.
  • Des moyens existent pour limiter le risque de suppression/modification accidentelle/intentionnelle des objets AD, comme déléguer les opérations d’administration, restreindre l’accès des groupes de haut niveau et prévoir une réplication du site décalée dans le temps.
  • On recommande généralement de sauvegarder un contrôleur de domaine à la fois pour ne pas interférer avec la réplication DFS, même si les applications modernes de sauvegarde savent gérer cela (à partir de Veeam Backup & Replication v7 Patch 3, par exemple).
  • Il se peut que votre environnement VMware virtualisé ne permette pas la connexion au contrôleur de domaine sur le réseau, notamment si celui-ci se trouve dans la DMZ. Dans ce cas, Veeam basculera vers VIX pour traiter votre DC.

Comment sauvegarder un contrôleur de domaine virtuel

Les services Active Directory de Microsoft organisent et conservent les informations relatives aux objets individuels de la forêt et les stockent dans une base de données relationnelle (ntds.dit) hébergée sur un contrôleur de domaine. Sauvegarder un contrôleur de domaine était auparavant un processus pénible qui nécessitait de sauvegarder l’état système du serveur. Les services Active Directory sont notoirement peu gourmands en ressources système, c’est pourquoi les contrôleurs de domaine sont toujours les premiers serveurs à être virtualisés dans l’environnement. Si vous partagez cette ancienne croyance selon laquelle il faut privilégier les DC physiques, prenez connaissance de cet article.

Une fois virtualisés, ils sont assez simples à gérer pour les administrateurs de domaines/systèmes et peuvent être facilement sauvegardés à l’aide de Veeam Backup & Replication. Il vous faudra installer et configurer Veeam Backup & Replication au préalable. La configuration requise (en version 9.0) est la suivante :

Plateforme virtuelle : VMware vSphere 4.1 et ultérieure, Microsoft Hyper-V 2008 R2 SP1 et ultérieure

Serveur Veeam : Windows Server 2008 SP2 et ultérieure, Windows 7 SP1 et ultérieure, SE 64 bits

Machine virtuelle (VM) du contrôleur de domaine : Windows Server 2003 SP1 et ultérieure, Windows 2003 étant le niveau fonctionnel minimal de forêt pris en charge

Autorisations : droits d’administration sur l’Active Directory cible, compte d’administrateur d’entreprise ou de domaine.

Cet article ne traite pas du processus d’installation et de configuration de Veeam Backup & Replication qui a déjà été abordé par ailleurs. Si vous avez besoin d’aide à ce sujet, regardez cette vidéo enregistrée par un ingénieur systèmes Veeam.

Je pars du principe que votre installation fonctionne correctement. Vous allez maintenant configurer une tâche pour sauvegarder votre contrôleur de domaine virtuel. Le processus de configuration est plutôt simple (voir figure 1 ci-après) :

  1. Lancez l’assistant de création de tâche de sauvegarde.
  2. Ajoutez le contrôleur de domaine souhaité dans la tâche.
  3. Spécifiez la stratégie de rétentionde la chaîne de sauvegarde.
  4. Activez le traitement d’images prenant en charge les applications (AAIP) pour assurer la cohérence transactionnelle des SE et applications qui s’exécutent sur la VM, y compris la base de données Active Directory et le catalogue SYSVOL.
Remarque :
l’AAIP est une technologie Veeam permettant de sauvegarder les VM dans un mode qui prend en charge les applications. Elle consiste à détecter les applications d’un SE invité pour collecter leurs métadonnées, les suspendre à l’aide des VSS Writers correspondants, préparer la procédure de restauration VSS spécifique de ces applications qui s’exécutera au premier redémarrage de la VM restaurée et tronquer leurs journaux de transactions une fois la tâche de sauvegarde terminée. Pour plus d’informations, veuillez consulter la documentation sur l’AAIP.

Faute d’activer l’AAIP, le SE invité du contrôleur de domaine ne réalisera pas qu’il a été sauvegardé et qu’il est protégé. Vous remarquerez donc peut-être des avertissements internes dans les journaux du serveur (event 2089) indiquant qu’aucune sauvegarde n’a eu lieu depuis un nombre de jours correspondant à l’intervalle de latence de sauvegarde.

Edit Backup Job: Guest processing
Figure 1. Modification de la tâche de sauvegarde : traitement du SE invité
  1. Planifiez une tâche ou exécutez-la manuellement.
  2. Assurez-vous que la tâche s’est terminée normalement, sans erreur ni avertissement.
Performing incremental backup of a Domain Controller
Figure 2. Sauvegarde incrémentielle d’un DC
  1. Localisez le fichier de sauvegarde nouvellement créé dans la cible de sauvegarde. C’est aussi simple que cela !

De plus, vous pouvez stocker une sauvegarde dans le cloud via un fournisseur de service avec Veeam Cloud Connect (VCC) ou dans une autre cible de sauvegarde à l’aide d’une tâche de copie de sauvegarde Veeam, ou bien l’archiver sur bande au moyen d’une tâche de sauvegarde sur bande. Très important : la sauvegarde est désormais sécurisée et peut être restaurée à tout moment.

Comment sauvegarder un contrôleur de domaine physique

Pour être franc, j’espère que vous avez actualisé les services AD dans votre entreprise et que vos contrôleurs de domaine sont virtualisés depuis longtemps. Si ce n’est pas le cas, j’espère que vous avez au moins actualisé vos contrôleurs de domaine et qu’ils s’exécutent sur une version de Windows Server plutôt récente, c’est-à-dire Windows Server 2008 R2 ou ultérieure.

Vous disposez donc d’un ou plusieurs contrôleurs de domaine physiques s’exécutant sur Windows Server 2008 R2, ou une version ultérieure, et vous souhaitez protéger votre AD ? Intéressez-vous à Veeam Endpoint Backup, l’utilitaire conçu pour garantir que les données présentes sur les terminaux et les serveurs physiques sont sécurisées. Veeam Endpoint Backup récupère les données souhaitées sur la machine physique et les stocke dans un fichier de sauvegarde. Ainsi, en cas de sinistre, vous pouvez exécuter une restauration bare-metal ou au niveau volume, tout en conservant une totale maîtrise des procédures de restauration. À cela s’ajoute la possibilité d’effectuer une restauration au niveau objet avec Veeam Explorer for Microsoft Active Directory.

Pour sauvegarder votre contrôleur de domaine avec cet outil, vous devez :

  • Télécharger Veeam Endpoint Backup FREE depuis cette page et le copier sur votre DC.
  • Lancer l’assistant d’installation, accepter le contrat de licence et installer le programme.
    Remarque : pour une installation en mode sans surveillance, lisez ces instructions.
  • Configurer une tâche de sauvegarde en choisissant le mode de sauvegarde adapté. L’approche la plus simple, et celle que nous recommandons, consiste à sauvegarder l’ordinateur entier. Si vous utilisez le mode de sauvegarde au niveau fichier, veillez à sélectionner Operating system pour inclure le système d’exploitation dans les objets à sauvegarder (voir figure 3). Cela garantit que le programme capturera tous les fichiers nécessaires à une restauration bare-metal. La base de données Active Directory et le catalogue SYSVOL seront aussi enregistrés. Pour plus d’informations, consultez le guide de l’utilisateur du produit.
Selecting objects to backup in Veeam Endpoint Backup
Figure 3. Sélection des objets à sauvegarder dans Veeam Endpoint Backup
Remarque :
Si vous possédez une instance Veeam Backup & Replication dans votre infrastructure et souhaitez utiliser une cible Veeam Backup pour accepter les sauvegardes de terminaux, reconfigurez-la directement depuis Veeam Backup & Replication (Ctrl+clic droit sur la cible souhaitée pour en autoriser l’accès et activer le chiffrement des sauvegardes si nécessaire, voir figure 4).
VBR: Endpoint Backup permissions
Figure 4. Configuration des autorisations de sauvegarde des terminaux sur la cible de sauvegarde
  • Lancez la sauvegarde et assurez-vous qu’elle s’exécute sans erreur.
Veeam Endpoint Backup FREE: Backup job statistics
Figure 5. Veeam Endpoint Backup FREE : statistiques des tâches de sauvegarde
  • C’est terminé ! La sauvegarde est effectuée et votre contrôleur de domaine est maintenant protégé. Vous trouverez la sauvegarde ou la chaîne de sauvegarde à l’emplacement de destination.
Incremental backup chain
Figure 6. Chaîne de sauvegarde incrémentielle
Remarque :
Si vous avez configuré une cible Veeam Backup & Replication comme cible de sauvegarde du DC, la sauvegarde nouvellement créée se trouve dans le nœud Backups > Disk, sous Endpoint Backups.
Veeam Backup & Replication: Backups-disk
Figure 7. Veeam Backup & Replication – Backup-Disk

Conclusion

Est-il si simple de sauvegarder un contrôleur de domaine ? Oui et non. Réussir sa sauvegarde, c’est un excellent début, mais cela ne suffit pas. Chez Veeam, nous affirmons qu’une sauvegarde n’a aucune valeur si elle est impossible à restaurer.

Le second article de la série est consacré à la restauration d’un contrôleur de domaine en particulier.


Voir aussi :

V11

Eliminate Data Loss
Eliminate Ransomware

#1 Backup and Recovery

Start free trial

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.