Tech-Ed 2005 : Restauration d'Active Directory 2003 après un désastre Accueil > Articles > Evènements
Auteur  Antoine RICHET LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT Ingénieur Système  Tous les articles de cet auteur Joachim GOMARD Microsoft France Consultant Système  Tous les articles de cet auteur		2,4/5 Moyen 91408 155/381

2. Scénarios de restauration

Le dysfonctionnement de l'artère principale du réseau de l'entreprise est toujours une source de stress et d'ennuis. Mais suivant le niveau de dysfonctionnement (plus ou moins grave), les procédures de restauration seront, elles aussi, plus ou mois complexes et longues. Dans tous les cas il s'agît d'une tâche fastidieuse que seul des personnes expérimentées peuvent réaliser.

2.1 Scénario 1 : Dysfonctionnement d'un seul DC

Le cas le plus simple est bien entendu le dysfonctionnement d'un unique DC au sein de l'entreprise.
Cependant il faut quand même suivre un certains nombres d'étapes afin d'être certain que la restauration se passe correctement.

Dans ce cas concret, de nombreux problèmes peuvent surgir telles que l'impossibilité d'ouvrir une session sur le domaine (dans le cas d'un seul DC), une surcharge de travail sur les autres contrôleurs, absence possible de rôle de maîtres d'opération durant la panne...

Deux méthodes s'offrent à vous pour la restauration :

1. Restauration à partir d'une sauvegarde : dans ce cas, il suffit de redémarrer la machine en mode de Restauration Active Directory (F8) ou de réinstaller le système d'exploitation puis de faire une restauration non forcée à partir du média de sauvegarde puis de redémarrer la machine en mode normal. Après le redémarrage, une réplication va avoir lieu avec les autres DC et le service d'annuaire sera donc de nouveau à jour.

2. Dans le cas où vous n'avez pas de sauvegarde disponible pour votre serveur défaillant et au moins deux DC dans votre entreprise, une deuxième méthode s'offre à vous. Elle consiste à supprimer le rôle de contrôleur de domaine du serveur défaillant ou de réinstaller un OS neuf afin de repartir avec un serveur autonome (ou un nouveau serveur plus performant). Puis nettoyer les meta-données afin de supprimer toutes les références de l'ancien contrôleur de domaine. Enfin, réinstallez AD (dcpromo), puis laissez faire la réplication. Si jamais votre ancien serveur possédait des rôles de maîtres d'opération il vous faudra les reprendre à l'aide de la commande : seize.

L'avantage de la première méthode est que la restauration est plus rapide qu'une réplication totale de la base Active Directory.

2.2 Scénario 2 : Dysfonctionnement d'un DC dans un site distant

Dans ce cas, seul le site distant sera gêné par la panne, du coup nous nous retrouvons dans le même cas qu'au dessus. Il faudra donc suivre la même procédure sachant qu'un problème de réplication peut avoir lieu à cause d'une liaison trop lente entre les deux sites, c'est pour cela que vous pouvez utiliser la fonctionnalité d'installation à partir d'un média (dcpromo /adv) que nous offre Windows Server 2003 pour pallier à ce problème.

2.3 Scénario 3 : Dysfonctionnement du dossier SYSVOL sur un seul DC

Pour rappel, le dossier SYSVOL est un dossier créé et partagé automatiquement à la promotion d'un serveur membre entant que contrôleur de domaine. Dans ce scénario, les utilisateurs ne pourront donc plus ouvrir de session à l'aide de ce contrôleur de domaine.
Il s'agit d'un problème majeur pour lequel une enquête sera nécessaire avec de connaître les raisons de cette défaillance pour éviter qu'elle se reproduise. Dans ce cas, il va être nécessaire de redémarrer en mode de restauration Active Directory (F8) afin de modifier la clef de registre suivante HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup et de lui affecter la valeur D2. Cette valeur permet de spécifier que l'on souhaite faire une restauration non forcée. Au prochain redémarrage le dossier SYSVOL se reconstruira à partir des autres DC encore en marche.

2.4 Scénario 4 : Dysfonctionnement du dossier SYSVOL sur tous les DC

Nous sommes dans un cas très délicat. En effet, il s'agît réellement d'un problème inquiétant puisque plus personne ne pourra ouvrir de session dans l'entreprise et du coup travailler. Heureusement une procédure longue et complexe existe pour ce cas précis. Voici les étapes à suivre pour résoudre ce problème et restaurer correctement le dossier SYSVOL sur tous les DC.

Tout d'abord il faut arrêter et désactiver le service FRS (File Replication Services) sur l'intégralité des contrôleurs de domaines. Ensuite supprimer le partage du dossier SYSVOL (Attention : il ne faut pas supprimer le dossier en lui même mais juste désactiver son partage) également sur l'ensemble des DC. Maintenant choisissez votre DC préféré pour la restauration, généralement celui qui possède une sauvegarde de l'état du système (System State), la plus récente puis effectuer la restauration du dossier SYSVOL dans un autre emplacement que celui habituel. Ensuite vous devez copier le dossier SYSVOL de votre DC préféré vers les autres DC distants, et réactiver le partage des dossiers SYSVOL et NETLOGON sur tous les DC distants.

Attention : il ne faut pas redémarrer le service de réplication de fichier (FRS) maintenant !

A partir de maintenant tous les utilisateurs peuvent de nouveau s'authentifier et reprendre le travail.

Cependant, pour vous le travail n'est pas fini puisque vous devez encore remettre en place l'infrascture de votre forêt. Pour celà commencez par supprimer le contenu du dossier SYSVOL sur votre DC préféré puis copiez le bon fichier SYSVOL à partir de la restauration faîte précédemment. Configurez maintenant le service de replication de fichier (FRS) pour qu'il s'exécute de façon non forcée sur tous les DC excepté sur le DC préféré, pour celà il vous suffit d'affecter la valeur D2 à la clé suivante : HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup. Maintenant configurez le service FRS pour se reconstruire en forcée sur votre DC préféré, il suffit d'affecter la valeur D4 à la clé : HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process at Startup.

La procédure est presque terminée, vous devez démarrer le service FRS sur votre serveur préféré, puis faîtes de même pour tous les autres DC distants. Pour vérifier que la réplication se passe bien vous devez apercevoir l'événement N°13516 dans l'observateur d'événements ce qui indique que la réplication s'est correctement déroulée.

Redémarrez enfin tous les DC distants et les clients !

Présentation
1. Définition d'un désastre Active Directory
2. Scénarios de restauration
3. Restauration intégrale d'une forêt

En Savoir Plus

Evaluez cet article  0 1 2 3 4 5 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft