Restaurer un contrôleur de domaine : meilleures pratiques pour protéger AD (2e partie)

Les articles de la série :

P. 1 — Sauvegarder un contrôleur de domaine
P. 2 — Restaurer un contrôleur de domaine

 


Il s’agit du second article de la série consacrée à la protection d’Active Directory (AD) avec Veeam. Dans l’article précédent, j’ai présenté les procédures de sauvegarde des contrôleurs de domaine (DC) physiques et virtuels. Aujourd’hui, je m’intéresse aux procédures de restauration.

Avertissement :
Cet article n’a pas vocation à être un guide complet de la restauration des services de domaine AD. Il traite plutôt de points importants à prendre en considération pour restaurer AD ou un DC en particulier, et explique comment Veeam mène à bien ce processus.

Connaître votre infrastructure sur le bout des doigts est extrêmement utile pour planifier la restauration d’AD. Y a-t-il un ou plusieurs DC dans votre environnement ? S’agit-il de DC en lecture-écriture (RWDC) ou en lecture seule (RODC) ? Avez-vous perdu un seul DC ou l’intégralité de l’infrastructure AD a-t-elle été endommagée ou altérée ? Si vous possédez plusieurs DC, utilisez-vous toujours le service FRS (File Replication Service) ou avez-vous migré vers un service DFSR (Distributed File System Replication) pour synchroniser les modifications entre les différents DC ? Vous devriez être capable de répondre à ces questions pour vous assurer la réussite de vos restaurations.

Remarque :
Le service FRS sert à répartir les fichiers partagés et les objets de stratégie de groupe (GPO) dans Windows Server 2000 et Windows Server 2003. Dans les versions ultérieures de Windows Server, il est remplacé par le service DFSR. Depuis Windows Server 2008, le service DFSR est l’option par défaut pour répliquer SYSVOL. Si le premier contrôleur du domaine a migré sur Windows Server 2008 ou une version ultérieure, cela signifie que vous utilisez le service DFSR. Consultez cet article pour déterminer si votre domaine utilise le service FRS ou DFSR. Vous pouvez également prendre connaissance des avantages de DFSR sur FRS.

Restaurer un contrôleur de domaine en mode non autoritaire

Lorsque vous êtes prêt à restaurer un DC, vous devez d’abord déterminer si une restauration non autoritaire est suffisante ou si vous devriez renforcer le processus en optant pour une restauration autoritaire. Ces deux types de restauration sont différents en ceci qu’avec la restauration non autoritaire, le DC comprend qu’il a été indisponible pendant un moment et laisse les autres DC du site actualiser sa propre base de données avec les modifications survenues entretemps. A contrario, avec la restauration autoritaire, le DC s’impose comme le seul à détenir des informations et une base de données correctes, et il met à jour les autres DC avec ses propres données, de manière autoritaire.

La restauration non autoritaire convient dans la plupart des scénarios, car les environnements possèdent généralement plusieurs DC. Sans compter que la restauration autoritaire peut être préjudiciable et causer encore plus de dommages. Cette problématique a été prise en considération dans la logique de développement de Veeam Backup & Replication. Par défaut, la restauration d’un DC s’effectue en mode non autoritaire, partant du principe qu’il ne s’agit pas du seul DC sur le site. Pour effectuer une restauration autoritaire avec Veeam, prenez connaissance des étapes supplémentaires requises ci-après.

REMARQUE :
Une autre pratique importante consiste à exclure le DC du périmètre, à en récupérer les rôles, et aussi à effectuer le nettoyage des métadonnées s’il est probable qu’il ne soit pas restauré. De cette manière, vous permettez à un ou plusieurs autres DC de prendre la main, sans avoir besoin de régler le problème du DC endommagé.

Je reprends maintenant les fichiers de sauvegarde créés pour rédiger le précédent article. Il est assez simple de restaurer un DC depuis une sauvegarde Veeam Backup & Replication. Il vous suffit de procéder de la manière suivante :

Énorme avantage dans ce cas précis : comme j’ai utilisé le traitement d’images prenant en charge les applications pour la sauvegarde de la VM, il n’y a rien d’autre à faire pour le moment. Veeam reconnaît le rôle de DC de cette VM et restaure celle-ci sans problème en suivant cette logique spécifique :

Le DC aura connaissance de son état restauré depuis la sauvegarde et agira en fonction de cela, c’est-à-dire qu’il invalidera la base de données existante et autorisera les partenaires de réplication à effectuer les mises à jour à partir des informations les plus récentes.

Figure 1. Veeam Backup & Replication : restauration de VM entières

Des informations sont disponibles sur la restauration bare-metal d’une sauvegarde à l’aide de Veeam Endpoint Backup (en anglais). Vous devrez préparer au préalable un support de restauration Veeam et disposer d’un accès au fichier de sauvegarde lui-même (disque USB ou partage réseau). Gardez à l’esprit que la logique spécifique de Veeam Backup & Replication ne s’appliquera pas dans ce cas. Une fois la restauration effectuée avec Veeam Endpoint Backup, votre DC redémarrera en mode de restauration et vous devrez décider si vous souhaitez reconfigurer les clés du Registre ou redémarrer immédiatement en mode normal. Cet article de la base de connaissances vous sera utile.

Figure 2. Veeam Endpoint Backup : restauration bare-metal

Restaurer un contrôleur de domaine en mode autoritaire

Rappel : il est probable que vous n’ayez pas besoin de ce type de restauration. Explorons-le néanmoins pour vous permettre de saisir le raisonnement. Cette opération peut s’appliquer lorsque vous tentez de restaurer la copie valide d’un DC dans un environnement possédant plusieurs DC, alors que l’AD entier a été altéré à un moment donné (par un ransomware, un virus, etc.). Dans ce cas, vous imposerez donc aux DC d’accepter les modifications provenant d’un DC restauré.

REMARQUE :
Suivez des procédures semblables à celles exécutées par la tâche Veeam SureBackup en cas de restauration d’un DC dans un environnement isolé.

Lorsqu’une sous-arborescence (une unité organisationnelle, par exemple) ou un objet spécifique ont été supprimés, effectuez la restauration en mode autoritaire et imposez que ce DC soit répliqué sur les autres DC en procédant comme suit :

  1. Optez pour la restauration de VM complète avec Veeam et laissez le programme effectuer automatiquement une restauration de DC standard, non autoritaire (comme décrit plus haut).
  2. Au second redémarrage du DC, lancez l’assistant de démarrage (en appuyant sur F8), sélectionnez le mode Directory Services Restore Mode (DSRM) et identifiez-vous sur le système en utilisant les informations d’identification DSRM (celles que vous aviez fournies pour attribuer à l’ordinateur sa qualité de DC).
  3. Exécutez ntdsutil sur une ligne de commande.
  4. Utilisez les commandes suivantes : activate instance ntds, puis authoritative restore, puis restore object « NomUnique » ou restore subtree « NomUnique »
    Exemple : restore subtree « OU=Succursale,DC=dc,DC=labo,DC=local »
  5. Validez la restauration autoritaire et redémarrez le serveur à la fin de la procédure.

Voici comment se déroule la procédure de restauration de SYSVOL en mode autoritaire  (avec le service DFSR) :

  1. Procédez à la restauration non autoritaire du DC (par exemple: restauration de VM entière dans Veeam Backup & Replication).
  2. Après le deuxième démarrage, rendez-vous dans la ruche de Registre HKLM\System\CurrentControlSet\Services\DFSR, créez une clé Restore et une chaîne SYSVOL avec la valeur authoritative.
    Le service DFSR lit cette valeur et si elle n’est pas définie, la restauration SYSVOL s’effectue en mode non autoritaire par défaut.
  3. Rendez-vous dans HKLM\System\CurrentControlSet\Control\BackupRestore, créez une clé SystemStateRestore et la chaîne LastRestoreId avec n’importe quelle valeur GUID. (Exemple : 10000000-0000-0000-0000-000000000000.)
  4. Redémarrez le service DFSR.
Figure 3. Restauration autoritaire de SYSVOL (service DFSR)

Procédure de restauration de SYSVOL en mode autoritaire (utilisation de l’ancien service FRS) :

  1. Procédez à la restauration non autoritaire du DC (par exemple: restauration de VM entière dans Veeam Backup & Replication).
  2. Après le deuxième démarrage, rendez-vous dans la ruche de Registre HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process et changez la valeur de la clé Burflag en 000000D4 (hex.) ou 212 (déc.).
    Cela impose aux contrôleurs de domaine qui utilisent toujours l’ancienne technologie FRS de lancer la réplication en mode autoritaire. En savoir plus sur la restauration FRS.
  3. Redémarrez le service NTFRS.

Cet article était consacré à la restauration d’un DC en particulier. Toutefois, dans les scénarios d’utilisation les plus courants avec AD, vous devez restaurer un objet AD supprimé accidentellement et cela ne justifie pas de restaurer la totalité du DC.


Ressources utiles :

Exit mobile version