Active Directory (AD) est un service d’annuaire propriétaire Microsoft développé pour les réseaux de domaines Windows. Il a été introduit pour la première fois dans Windows Server 2000 pour la gestion centralisée des domaines. Il est maintenant inclus dans tous les systèmes d’exploitation Windows Server suivants, permettant aux administrateurs réseau de créer et de gérer des domaines, des utilisateurs, des objets, des privilèges et des accès au sein d’un réseau.
AD est idéal pour gérer l’infrastructure Microsoft sur site traditionnelle, mais pas les environnements cloud. L’infrastructure cloud de Microsoft utilise Azure Active Directory, qui sert les mêmes objectifs que son homologue sur site. Active Directory et Azure Active Directory sont distincts, mais peuvent fonctionner ensemble dans une certaine mesure si votre organisation dispose d’un déploiement hybride (sur site et dans le cloud).
La mise en page de l’ANNONCE suit une structure à plusieurs niveaux composée de domaines, d’arbres et de forêts. Un domaine est un groupe d’objets (tels que des utilisateurs ou des appareils) partageant la même base de données AD. Un arbre est une collection de domaines, et une forêt est une collection d’arbres. Le principal service Active Directory est Active Directory Domain Services (AD DS), qui fait partie du système d’exploitation Windows Server. Les serveurs qui exécutent AD DS sont appelés contrôleurs de domaine (DCS). Certaines organisations ont plusieurs CD, et chacune a une copie du répertoire pour l’ensemble du domaine. Pour s’assurer que le DCs reste à jour, les modifications apportées au répertoire sur un DC, telles que le changement de mot de passe, sont également répliquées sur les autres DCS.
La base de données Active Directory (répertoire) a une structure arborescente hiérarchique et contient des informations sur les objets AD du domaine. Les types courants d’objets PUBLICITAIRES incluent les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés. Les MTN.le fichier dit est utilisé pour stocker la base de données AD. La base de données est divisée en plusieurs sections contenant différents types d’informations : une partition de schéma (qui détermine la conception de la base de données AD), une partition de configuration (informations sur la structure de l’ANNONCE) et un contexte de noms de domaine (utilisateurs, groupes, objets d’imprimante). Active Directory est étroitement intégré aux fichiers système protégés par Windows, au Registre système d’un contrôleur de domaine, au répertoire Sysvol, à la base de données d’enregistrement de classe COM+ et aux informations de service de cluster. Lors de la planification d’une stratégie de sauvegarde, il est important de considérer une telle intégration, en particulier en raison de l’impact immédiat qu’elle a sur l’annonce.
Avez-vous besoin de sauvegarder l’active directory?
Active Directory est l’un des composants les plus importants de tout réseau Windows. N’avoir aucune stratégie de sauvegarde pourrait mettre toute l’organisation en danger. Sa meilleure pratique est d’avoir plusieurs contrôleurs de domaine active directory avec des fonctionnalités de basculement afin que, en cas d’échec, vous puissiez toujours récupérer même sans sauvegarde. Cependant, avoir plusieurs contrôleurs de domaine n’est pas une justification suffisante pour ne pas effectuer de sauvegarde. Vous devriez toujours effectuer une sauvegarde de l’Active directory, que vous ayez plusieurs contrôleurs de domaine ou non. Plusieurs contrôleurs de domaine peuvent échouer à la fois, la suppression accidentelle ou délibérée de tous les comptes ou unités organisationnelles critiques peut se produire, une corruption complète de la base de données peut se produire, des virus et des ransomwares ou une autre catastrophe pourrait anéantir tous les contrôleurs de domaine. Dans une telle situation, vous devrez le restaurer à partir d’une sauvegarde. C’est pourquoi vous devez sauvegarder.
Vous n’avez probablement pas besoin de sauvegarder chaque contrôleur de domaine pour obtenir une bonne sauvegarde de l’ANNONCE. Vous ne devriez vraiment avoir qu’à sauvegarder l’un des contrôleurs de domaine. Si votre contrôleur de domaine tombe en panne, votre réseau et par extension, les activités commerciales s’arrêtent. Bien que les services active directory soient conçus avec une redondance élevée (si vous avez déployé plusieurs CD dans votre réseau). Il est donc important de développer et de mettre en œuvre une stratégie de sauvegarde Active directory claire. Si plusieurs DCS sont en cours d’exécution, vous devez en sauvegarder au moins un. Le DC idéal pour la sauvegarde devrait être celui exécutant le rôle FSMO (Flexible Single Master Operation). Avec une bonne implémentation de la stratégie de sauvegarde et de récupération, votre organisation peut facilement récupérer après le crash de vos contrôleurs de domaine.
Si le contrôleur de domaine Active Directory (AD DC) devient indisponible pour une raison quelconque, les utilisateurs ne peuvent pas se connecter et les systèmes ne peuvent pas fonctionner correctement, ce qui peut perturber les activités commerciales. C’est pourquoi la sauvegarde de votre Active Directory est importante. Dans cet article, nous allons vous montrer comment sauvegarder un contrôleur de domaine Active Directory exécuté sur Windows Server 2019. Avant de commencer, nous examinerons un concept connu sous le nom de sauvegarde de l’état du système et comment il affecte les données Active Directory.
Sauvegarde de l’État du système
Microsoft Windows Server offre la possibilité d’effectuer une sauvegarde « complète » ou une sauvegarde de l’état du système. Une sauvegarde complète fait une copie des lecteurs système d’une machine physique ou virtuelle, y compris les applications, les systèmes d’exploitation et même l’état du système. Cette sauvegarde peut être utilisée pour la récupération de métal nu — cela vous permet de réinstaller facilement le système d’exploitation et d’utiliser la sauvegarde pour récupérer.
Sauvegarde de l’état du système d’autre part crée un fichier de sauvegarde pour les composants critiques liés au système. Ce fichier de sauvegarde peut être utilisé pour récupérer des composants système critiques en cas de plantage. Active Directory est sauvegardé dans le cadre de l’état du système sur un contrôleur de domaine chaque fois que vous effectuez une sauvegarde à l’aide de la sauvegarde Windows Server, Wbadmin.exe, ou PowerShell. Pour les besoins de ce guide, nous utiliserons la sauvegarde de l’état du système car elle nous permet de sauvegarder uniquement les composants nécessaires à la restauration d’Active Directory. Notez cependant que Microsoft ne prend pas en charge la restauration d’une sauvegarde de l’état du système d’un serveur à un autre serveur d’un modèle ou d’une configuration matérielle différente. La sauvegarde de l’état du système est la mieux adaptée pour récupérer Active Directory uniquement sur le même serveur.
Comme décrit plus loin dans ce guide, la sauvegarde Windows Server doit être installée via les fonctionnalités du Gestionnaire de serveur avant de pouvoir l’utiliser pour sauvegarder ou récupérer votre serveur. Le type de sauvegarde que vous sélectionnez pour vos contrôleurs de domaine dépendra de la fréquence des modifications apportées à Active Directory et des données ou applications pouvant être installées sur le contrôleur de domaine. Le strict minimum que vous devez sauvegarder pour protéger les données essentielles d’Active Directory sur un contrôleur de domaine est l’état du système. L’état du système comprend la liste suivante ainsi que des éléments supplémentaires en fonction des rôles installés:
- Contrôleur de domaine : Fichiers de base de données DC Active Directory (NTDS.(DIT), fichiers de démarrage & fichiers protégés par le système, base de données d’enregistrement de classe COM+, registre, volume système (SYSVOL)
- Membre du domaine: Fichiers de démarrage, base de données d’enregistrement de classe COM +, registre
- Une machine exécutant des services de cluster : sauvegarde en outre les métadonnées du serveur de cluster
- Une machine exécutant des services de certificat: sauvegarde en outre les données de certificat
En outre, les sauvegardes d’état du système zones DNS intégrées à Active Directory, mais ne sauvegardera pas les zones DNS basées sur des fichiers. Les zones DNS basées sur des fichiers doivent être sauvegardées dans le cadre d’une sauvegarde au niveau du volume, telle qu’une sauvegarde de volume critique ou une sauvegarde complète du serveur. Tous les types de sauvegarde ci-dessus peuvent être exécutés manuellement à la demande ou planifiés à l’aide de la sauvegarde Windows Server. Vous pouvez utiliser Windows Server backup ou Wbadmin.exe pour effectuer une sauvegarde de l’état du système d’un contrôleur de domaine pour sauvegarder Active Directory. Microsoft recommande d’utiliser un disque interne dédié ou un disque amovible externe tel qu’un disque dur USB pour effectuer les sauvegardes.
Les opérateurs de sauvegarde ne disposent pas des privilèges requis pour planifier des sauvegardes. Vous devez disposer de droits d’administration pour pouvoir planifier une sauvegarde ou une restauration de l’état du système. Une sauvegarde de l’état du système est particulièrement importante à des fins de reprise après sinistre, car elle élimine le besoin de reconfigurer Windows à son état d’origine avant que la défaillance du système ne se produise. Il est important que vous ayez toujours une sauvegarde récente de l’état de votre système. Ils peuvent vous obliger à effectuer des sauvegardes régulières de l’état du système pour augmenter votre niveau de protection. Nous vous recommandons d’effectuer des sauvegardes de l’état du système avant et après toute modification majeure apportée à votre serveur.
Avant de poursuivre le processus de sauvegarde, vous devez prendre note des étapes initiales suivantes:
- Il est important que vous disposiez de l’espace de stockage nécessaire pour accueillir la sauvegarde que vous êtes sur le point d’effectuer.
- Si vous allez effectuer une sauvegarde pendant que les applications qui produisent les données sont toujours en cours d’exécution (ce qui est généralement le cas), vous devez configurer le Service de copie fantôme de volume, également connu sous le nom de Service d’instantané de volume (VSS) sur le lecteur pour que la sauvegarde réussisse. Ce service permet de créer des copies de sauvegarde ou des instantanés de fichiers informatiques ou de volumes, même lorsqu’ils sont utilisés.
- Vous devez installer la fonctionnalité de sauvegarde de Windows Server si vous ne l’avez pas encore fait. Windows Server 2019, tout comme les éditions précédentes, est livré avec la fonctionnalité de sauvegarde Windows Server qui permet d’effectuer des sauvegardes et des restaurations de bases de données Active Directory. Nous allons maintenant passer en détail par les étapes ci-dessus.
Configurer le service de copie fantôme de volume (VSS)
Il est important de s’assurer que la base de données AD est sauvegardée de manière à préserver la cohérence de la base de données. Une façon de préserver la cohérence consiste à sauvegarder la base de données AD lorsque le serveur est hors tension. Cependant, la sauvegarde du serveur Active Directory dans un état hors tension peut ne pas être une bonne idée si le serveur fonctionne en mode 24/7.
Pour cette raison, Microsoft recommande l’utilisation de Volume Shadow Copy Service (VSS) pour sauvegarder un serveur exécutant Active Directory. VSS est une technologie incluse dans Microsoft Windows qui peut créer des copies de sauvegarde ou des instantanés de fichiers ou de volumes informatiques, même lorsqu’ils sont utilisés. Les rédacteurs VSS créent un instantané qui fige l’état du système jusqu’à ce que la sauvegarde soit terminée pour empêcher la modification des fichiers actifs utilisés par Active Directory pendant un processus de sauvegarde. De cette façon, il est possible de sauvegarder un serveur en cours d’exécution sans affecter ses performances. Pour ce guide, nous allons vous montrer comment modifier la configuration de limite de taille de copie fantôme sur le volume où nous allons stocker la base de données AD.
1. Appuyez sur une combinaison de Win + X sur votre clavier pour ouvrir le Gestionnaire de disques. Sélectionnez la partition sur laquelle le serveur est installé, puis cliquez dessus avec le bouton droit de la souris et cliquez sur Propriétés.
2. Allez dans l’onglet Shadow Copies, puis cliquez sur Activer comme indiqué sur l’image ci-dessous.
3. Dans la fenêtre suivante, cliquez sur Oui pour confirmer que vous souhaitez activer les copies fantômes comme indiqué ci-dessous.
4. Après confirmation, vous verrez un point de restauration créé dans la partition sélectionnée. Cliquez sur Paramètres pour continuer.
5. Dans l’écran Paramètres ci-dessous, sous Taille maximale, sélectionnez Aucune limite. Une fois terminé, cliquez sur le bouton OK, et cela le fait pour cette section — configurez le Service de copie fantôme de volume (VSS).
Installez la fonctionnalité de sauvegarde de Windows Server
La sauvegarde de Windows Server est un utilitaire fourni par Microsoft avec Windows Server 2008 et les éditions ultérieures. Il a remplacé l’utilitaire NTBackup intégré à Windows Server 2003. La sauvegarde de Windows Server est une fonctionnalité qui peut être installée dans Windows Server 2019, tout comme dans les autres éditions précédentes. Donc, si vous n’avez pas encore utilisé la fonctionnalité de sauvegarde, vous devrez probablement l’installer en premier. La façon d’installer cette fonctionnalité est via le gestionnaire de serveur.
1. Ouvrez la console du gestionnaire de serveur comme indiqué dans l’image ci-dessous.
2. Accédez au Serveur local > > Onglet Gérer > > et cliquez sur Ajouter des rôles et des fonctionnalités comme on le voit dans l’image ci-dessous. Cela ouvrira l’Assistant Ajouter des rôles et des fonctionnalités.
3, Dans l’écran Sélectionner le type d’installation, sélectionnez l’option d’installation basée sur les rôles ou les fonctionnalités, puis cliquez sur Suivant.
4. Dans l’écran suivant appelé Sélectionner le serveur de destination, vous devrez sélectionner le serveur sur lequel vous souhaitez installer des rôles et des fonctionnalités. Windows affichera automatiquement le pool de serveurs. Dans ce cas, nous allons sélectionner le serveur local, qui est WD2K19-DC01-mylablocal.
5. Dans l’écran Sélectionner les rôles de serveur, vous devez sélectionner les rôles à installer sur le serveur. Puisque nous installons une fonctionnalité, vous pouvez ignorer cette section et passer à l’écran suivant. Cliquez sur Suivant pour continuer.
6. Dans l’écran Sélectionner les fonctionnalités ci-dessous, faites défiler jusqu’à la fonctionnalité de sauvegarde du serveur Windows et sélectionnez-la comme indiqué dans l’image ci-dessous. Cliquez sur Suivant pour continuer.
7. Dans l’écran Confirmer les sélections d’installation, assurez-vous que la fonction de sauvegarde de Windows Server est à l’écran et cliquez sur le bouton Installer pour commencer l’installation.
La fonction de sauvegarde Windows Server commencera à s’installer sur votre serveur local. Une fois l’installation terminée, cliquez sur le bouton Fermer pour fermer la console.
Sauvegardez la base de données Active Directory
1. Allez maintenant dans le Gestionnaire de serveur et cliquez sur Outils > > Sauvegarde Windows Server, afin de l’ouvrir. Vous pouvez également ouvrir cette console en exécutant la commande wbadmin.msc sur l’exécution de Windows (Ctrl + R). Une fois qu’il s’ouvre, vous pourrez voir l’état de la sauvegarde planifiée et de la dernière (sauf si c’est la première fois que vous le faites.)
2. Une fois la sauvegarde du serveur ouverte, cliquez une fois sur Sauvegarder pour lancer une sauvegarde manuelle de la base de données AD. Bien que vous puissiez également créer des sauvegardes planifiées automatiques en cliquant sur Planification des sauvegardes, pour ce guide, nous allons créer une sauvegarde manuelle.
3. Sous Options de sauvegarde, sélectionnez Différentes options et cliquez sur le bouton Suivant Cette option est utilisée lorsqu’il n’y a pas de sauvegarde planifiée.
4. Dans l’écran Sélectionner la configuration de sauvegarde, vous disposez de deux options:
-
- Le serveur complet sauvegarde toutes les données du serveur, les applications et l’état du système
- Personnalisé vous permet de choisir ce que vous souhaitez sauvegarder.
Puisque nous voulons juste sauvegarder l’active directory, nous choisissons la deuxième option. Sélectionnez donc Personnalisé et cliquez sur Suivant.
5. Dans l’écran Sélectionner des éléments pour la sauvegarde, spécifiez les éléments que vous souhaitez inclure dans la sauvegarde. Dans cette sauvegarde, nous allons choisir l’élément de sauvegarde de l’état du système. Pour ce faire, cliquez sur le bouton Ajouter des éléments > > sélectionnez l’option État du système > > et cliquez sur le bouton Ok pour terminer le processus.
6. Nous allons maintenant activer le service de copie fantôme de volume pour cet élément de sauvegarde. Cela empêche la modification des données PUBLICITAIRES pendant la sauvegarde en cours. Pour activer VSS, cliquez sur Paramètres avancés > > Paramètres VSS > > Sélectionnez Sauvegarde complète VSS, puis cliquez sur Ok. La sauvegarde complète VSS est l’option recommandée s’il s’agit de votre première sauvegarde et que vous n’utilisez aucun outil de sauvegarde tiers. Cette option vous permet de créer une sauvegarde de tous les fichiers. C’est également la méthode préférée pour les sauvegardes incrémentielles, car elle n’affecte pas la séquence de sauvegarde.
7. Dans l’écran suivant, vous devez spécifier le type de destination de la sauvegarde — Lecteurs locaux ou dossier partagé distant. Pour les besoins de cette démonstration, nous utilisons un disque dur local pour stocker la sauvegarde. Choisissez donc des lecteurs locaux et cliquez sur Suivant.
8. Dans l’écran Sélectionner la destination de la sauvegarde, vous pouvez choisir la partition sur laquelle vous souhaitez stocker la sauvegarde. Une fois que vous avez terminé, cliquez sur Suivant pour passer à l’écran suivant.
9. L’écran de confirmation vous permet de vérifier que tous les paramètres de sauvegarde sont correctement configurés. Une fois que vous êtes prêt à partir, cliquez sur le bouton de sauvegarde. La sauvegarde devrait prendre un certain temps en fonction de la taille du serveur du contrôleur de domaine. Une fois la sauvegarde terminée, vous pouvez fermer l’Assistant de sauvegarde.
Si vous avez fermé l’Assistant de sauvegarde sans attendre l’état du dernier message, la sauvegarde continuera de s’exécuter en arrière-plan. Vous pouvez également confirmer l’état et les résultats d’achèvement de la sauvegarde à partir de la console webadmin (ou de la fonction de sauvegarde Windows Server). La console affichera un message contenant les informations de cette sauvegarde (et d’autres).
Conclusion
Nous avons expliqué en détail comment sauvegarder Active Directory à l’aide de la sauvegarde Windows Server. Nous avons utilisé l’approche manuelle « Sauvegarde une fois », mais bien sûr, vous pouvez également configurer un « Calendrier de sauvegarde » pour exécuter des tâches de sauvegarde AD périodiques.
Comme déjà mentionné, la fonctionnalité de sauvegarde de Windows Server est un outil gratuit facile à utiliser qui est fourni dans la plupart des systèmes d’exploitation Windows Server, et il peut fonctionner avec VSS pour effectuer des sauvegardes complètes ou de l’état du système. Cependant, il existe également de nombreux outils de sauvegarde Active Directory tiers que vous pouvez utiliser. En fait, presque tous les services de sauvegarde au niveau de l’entreprise devraient être capables de sauvegarder Active Directory avec peu ou pas de difficulté. La différence entre tous ces outils réside principalement dans la façon dont certains d’entre eux offrent plus de capacités, en particulier lorsqu’il s’agit de sauvegarder et de restaurer Active Directory.