Restauration du contrôleur de domaine à partir d'une sauvegarde en mode Application-Aware

KB ID: 2119
Produit: Veeam Backup & Replication
Version: 7.x 8.x 9.x
Publié:
Dernière modification: 2018-08-21
KB langues: EN

Description

La sauvegarde en mode Application-Aware image processing doit être activée et doit fonctionner conformément à Microsoft pour pouvoir être restaurée fonctionnellement à partir d'un DC.

Veuillez consulter cette page Microsoft pour plus d'informations:
https://technet.microsoft.com/en-us/library/d2cae85b-41ac-497f-8cd1-5fbaa6740ffe(v=ws.10)#backup_and_restore_considerations_for_virtualized_domain_controllers
 

Puisque Active Directory implémente la réplication multi-maître, où plusieurs contrôleurs de domaine se synchronisent les uns avec les autres, l'un des principaux défis est le processus de récupération du DC. Cet article décrit différents scénarios de restauration du DC et explique quand et pourquoi tel ou tel type de restauration est nécessaire et donne des instructions sur les étapes manuelles pour effectuer correctement une restauration du DC à partir d'une sauvegarde créée avec Veeam B&R.
 
Avant d'entrer dans les détails, il est important de souligner que par défaut Veeam B&R effectue par défaut une restauration automatisée non autorisée du contrôleur de domaine et que dans la plupart des cas lorsque vous avez besoin de récupérer le DC en panne, la restauration autorisée n'est pas nécessaire.
 
Les situations suivantes sont possibles: 

  • Restauration d'un seul DC perdu dans un environnement multiDC
  • Restauration de l'ensemble de l'infrastructure AD (AKA "tous les DC sont perdus")
  • Restauration à partir d'une corruption dans l'Active Directory
Selon le scénario, différentes étapes (ou aucune) sont nécessaires pour effectuer la restauration du contrôleur de domaine. Tous les scénarios supposent que l'application-aware image processing a été activé dans la job de backup qui a sauvegardé le DC en cours de restauration.

Solution

Restauration d'un seul contrôleur de domaine perdu dans un environnement multi-DC ou dans un environnement avec un seul contrôleur de domaine.
 
Ce scénario, actuellement le plus courant implique la restauration d'un seul des multiples contrôleurs de domaine lorsqu'il y a encore d'autres contrôleurs de domaine fonctionnels dans l'environnement à partir desquels le contrôleur de domaine restauré peut reproduire les changements.
Dans ce cas, la restauration du contrôleur de domaine avec Veeam B&R est entièrement automatisée et ne nécessite aucune interaction de la part de l'utilisateur. Si votre sauvegarde a été effectuée avec application-aware image processing activé dans les paramètres du job de backup, Veeam B&R effectue une restauration non autorisée du DC, où la VM restaurée devrait d'abord démarrer en mode Directory Services Restore Mode (DSRM) et ensuite redémarrer automatiquement immédiatement pour démarrer la prochaine fois normalement.
Le contrôleur de domaine lui-même comprendra qu'il a été restauré à partir d’une sauvegarde et permettra à la réplication normale de mettre à jour tout ce qui a été modifié depuis que la sauvegarde a eu lieu.
La récupération automatique devrait également fonctionner pour les environnements avec un seul contrôleur de domaine.

 

Restauration de toute l'infrastructure AD ("tous les contrôleurs de domaine sont perdus")
 
Comme mentionné ci-dessus, le processus de récupération automatique effectue une restauration non autorisée, où le DC redémarre et commence à chercher d'autres DC à synchroniser. Cependant, dans un scénario où tous les DC sont partis, il n'y a pas d'autres partenaires disponibles et la réplication peut prendre beaucoup de temps (15 à 30 minutes) pour commencer. Pour éviter de perdre du temps à tenter de contacter les partenaires de réplication, il est recommandé de restaurer deux contrôleurs de domaine à la fois, de les mettre sous tension, d'attendre leur redémarrage et de forcer l'un d'entre eux à faire autorité pour SYSVOL, afin qu'ils puissent commencer à répliquer. Ensuite, la restauration d'autres DC sera similaire au premier scénario, c'est-à-dire qu'elle sera automatique à 100%.

 
Remarque : Pendant la procédure de restauration, assurez-vous que les enregistrements DNS du contrôleur de domaine restauré pointent vers les serveurs DNS disponibles (par exemple vers lui-même).
 
La procédure de désignation de contrôleur de domaine comme faisant autorité pour SYSVOL varie selon que FRS ou DFS-R est utilisé pour la réplication SYSVOL. Pour déterminer si vous utilisez FRS ou DFSR pour SYSVOL dans l'environnement de production, vérifiez la valeur de la sous-clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Paramètres\SysVols\Migrating Sysvols\LocalState. Si cette clé de registre existe et que sa valeur est réglée sur 3 (ELIMINÉ), DFS-R est utilisé. Si la clé secondaire n'existe pas ou si elle a une valeur différente, FRS est utilisée.
 
Remarques :

  • Si vous restaurez le contrôleur de domaine sans les rôles FSMO, vous pouvez les transférer manuellement après la restauration en utilisant la commande ntdsutil Seize.
  • Ce type de restauration est similaire à ce que Veeam B&R exécute automatiquement lors de la restauration du contrôleur de domaine dans le laboratoire virtuel isolé avec le SureBackup.
 
Restauration de la corruption d'Active Directory

Scénario où aucun contrôleur de domaine n'est réellement perdu, cependant, AD lui-même est endommagé d'une certaine manière (objets corrompus ou schéma) et vous devez restaurer à partir de la sauvegarde créée avant que la corruption ne se produise. Dans ce cas, vous devez restaurer l'un des multiples contrôleurs de domaine lorsque d'autres contrôleurs de domaine fonctionnent encore avec une copie endommagée de l'AD et les forcer à accepter les modifications de réplication du contrôleur de domaine restauré. C'est là que la restauration faisant autorité du DC est nécessaire.
 
Remarque : Il est recommandé d'exécuter la restauration avec la connexion au réseau désactivée pour empêcher le contrôleur de domaine d'accepter les changements des autres contrôleurs après la restauration ne faisant pas autorité par défaut.
 
Effectuer une restauration faisant autorité:
1. Restaurez le contrôleur de domaine et laissez-le effectuer la restauration ne faisant pas autorité par défaut (attendez jusqu' à ce qu'il redémarre une deuxième fois).
2. Pendant ce second démarrage, appuyez sur F8 pour passer en mode DSRM.
3. Connectez-vous avec votre compte DSRM et votre mot de passe.
4. Ouvrez une invite de commande et exécutez la commande ntdsutil.
5. A l'invite "ntdsutil:", tapez "authoritative restore" et appuyez sur Entrée.
6. A l'invite "ntdsutil authoritative restore:", tapez "restore database" et appuyez sur Entrée.
7. Dans la boîte de dialogue Authoritative Restore Confirmation, cliquez sur Oui.
8. Une fois la restauration terminée, tapez "quit" et appuyez sur Entrée pour quitter l'utilitaire ntdsutil.
9. Redémarrez le serveur.
10. Effectuer une restauration faisant autorité du SYSVOL, comme nous l'avons déjà mentionné plus haut.

Remarque: Pour une récupération plus facile des objets Active Directory au niveau de l'élément (sans avoir à restaurer le contrôleur de domaine lui-même), pendez à utiliser Veeam Explorer pour Active Directory.

Pour les machines virtuelles qui utilisent le DFRS (Server 2008 Domain functionality level et supérieur) vous pouvez suivre la KB Microsoft suivante :
http://technet.microsoft.com/en-us/library/cc816897(WS.10).aspx
 
Pour les machines virtuelles qui utilisent le service de réplication de fichiers (Server 2003 Domain functionality level), cela se fait en réglant les burflags à travers le registre:
http://support.microsoft.com/kb/290762

Lire la suite

Nous vous rappelons qu’à partir de septembre 2018, il vous faudra un contrat en cours de validité relatif au produit concerné pour télécharger les mises à jour.

OK

Avez-vous trouvé cet article utile: 
4.4 out of 5 based on 18 ratings

Vous n'avez pas trouvé ce que vous cherchiez ?

Ci-dessous, vous pouvez envoyer une idée pour un nouvel article de base de connaissances.

Demander un nouveau contenu

Pour signaler une erreur sur cette page:

Mettez en relief la faute d'orthographe avec la souris et appuyez Ctrl+Entrée pour nous la signaler.

Orphus system