2. Scénarios de restauration
Le dysfonctionnement de l'artère principale du réseau de l'entreprise
est toujours une source de stress et d'ennuis. Mais suivant le niveau de dysfonctionnement
(plus ou moins grave), les procédures de restauration seront, elles aussi, plus
ou mois complexes et longues. Dans tous les cas il s'agît d'une tâche fastidieuse
que seul des personnes expérimentées peuvent réaliser.
2.1 Scénario 1 : Dysfonctionnement d'un seul DC
Le cas le plus simple est bien entendu le dysfonctionnement
d'un unique DC au sein de l'entreprise.
Cependant il faut quand même suivre un certains nombres d'étapes afin d'être
certain que la restauration se passe correctement.
Dans ce cas concret, de nombreux problèmes peuvent surgir telles
que l'impossibilité d'ouvrir une session sur le domaine (dans le cas d'un seul
DC), une surcharge de travail sur les autres contrôleurs, absence possible de
rôle de maîtres d'opération durant la panne...
Deux méthodes s'offrent à vous pour la restauration :
-
Restauration à partir d'une sauvegarde : dans ce cas, il
suffit de redémarrer la machine en mode de Restauration Active Directory
(F8) ou de réinstaller le système d'exploitation puis de faire une restauration
non forcée à partir du média de sauvegarde puis de redémarrer la machine
en mode normal. Après le redémarrage, une réplication va avoir lieu
avec les autres DC et le service d'annuaire sera donc de nouveau à jour.
-
Dans le cas où vous n'avez pas de sauvegarde disponible
pour votre serveur défaillant et au moins deux DC dans votre entreprise,
une deuxième méthode s'offre à vous. Elle consiste à supprimer le rôle
de contrôleur de domaine du serveur défaillant ou de réinstaller un
OS neuf afin de repartir avec un serveur autonome (ou un nouveau serveur
plus performant). Puis nettoyer les meta-données afin de supprimer toutes
les références de l'ancien contrôleur de domaine. Enfin, réinstallez AD
(dcpromo), puis laissez faire la réplication. Si jamais votre ancien
serveur possédait des rôles de maîtres d'opération il vous faudra les reprendre
à l'aide de la commande : seize.
L'avantage de la première méthode est que la restauration
est plus rapide qu'une réplication totale de la base Active Directory.
2.2 Scénario 2 : Dysfonctionnement d'un DC dans un site distant
Dans ce cas, seul le site distant sera gêné par la panne, du
coup nous nous retrouvons dans le même cas qu'au dessus. Il faudra donc suivre
la même procédure sachant qu'un problème de réplication peut avoir lieu à cause
d'une liaison trop lente entre les deux sites, c'est pour cela que vous pouvez
utiliser la fonctionnalité
d'installation à partir d'un média (dcpromo /adv) que nous offre Windows
Server 2003 pour pallier à ce problème.
2.3 Scénario 3 : Dysfonctionnement du dossier SYSVOL sur un
seul DC
Pour rappel, le dossier SYSVOL est un dossier créé et
partagé automatiquement à la promotion d'un serveur membre entant que contrôleur
de domaine. Dans ce scénario, les utilisateurs ne pourront donc plus ouvrir
de session à l'aide de ce contrôleur de domaine.
Il s'agit d'un problème majeur pour lequel une enquête sera nécessaire avec
de connaître les raisons de cette défaillance pour éviter qu'elle se reproduise.
Dans ce cas, il va être nécessaire de redémarrer en mode de restauration
Active Directory (F8) afin de modifier la clef de registre suivante
HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process
at Startup et de lui affecter la valeur D2. Cette valeur
permet de spécifier que l'on souhaite faire une restauration non forcée.
Au prochain redémarrage le dossier SYSVOL se reconstruira à partir
des autres DC encore en marche.
2.4 Scénario 4 : Dysfonctionnement du dossier SYSVOL sur tous
les DC
Nous sommes dans un cas très délicat. En effet, il s'agît réellement
d'un problème inquiétant puisque plus personne ne pourra ouvrir de session dans
l'entreprise et du coup travailler. Heureusement une procédure longue et complexe
existe pour ce cas précis. Voici les étapes à suivre pour résoudre ce problème
et restaurer correctement le dossier SYSVOL sur tous les DC.
Tout d'abord il faut arrêter et désactiver le service FRS (File
Replication Services) sur l'intégralité des contrôleurs de domaines. Ensuite
supprimer le partage du dossier SYSVOL (Attention : il ne faut pas supprimer
le dossier en lui même mais juste désactiver son partage) également sur l'ensemble
des DC. Maintenant choisissez votre DC préféré pour la restauration, généralement
celui qui possède une sauvegarde de l'état du système (System State),
la plus récente puis effectuer la restauration du dossier SYSVOL dans un autre
emplacement que celui habituel. Ensuite vous devez copier le dossier SYSVOL
de votre DC préféré vers les autres DC distants, et réactiver le partage des
dossiers SYSVOL et NETLOGON sur tous les DC distants.
Attention :
il ne faut pas redémarrer le service de réplication de fichier (FRS) maintenant
!
A partir de maintenant tous les utilisateurs peuvent de nouveau
s'authentifier et reprendre le travail.
Cependant, pour vous le travail n'est pas fini puisque vous
devez encore remettre en place l'infrascture de votre forêt. Pour celà commencez
par supprimer le contenu du dossier SYSVOL sur votre DC préféré puis copiez
le bon fichier SYSVOL à partir de la restauration faîte précédemment. Configurez
maintenant le service de replication de fichier (FRS) pour qu'il s'exécute
de façon non forcée sur tous les DC excepté sur le
DC préféré, pour celà il vous suffit d'affecter la valeur D2
à la clé suivante : HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process
at Startup. Maintenant configurez le service FRS pour se reconstruire en
forcée sur votre DC préféré, il suffit d'affecter la valeur D4
à la clé : HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup\Restore\Process
at Startup.
La procédure est presque terminée, vous devez démarrer le service
FRS sur votre serveur préféré, puis faîtes de même pour tous les autres DC distants.
Pour vérifier que la réplication se passe bien vous devez apercevoir l'événement
N°13516 dans l'observateur d'événements ce qui indique que
la réplication s'est correctement déroulée.
Redémarrez enfin tous les DC distants et les clients !
 Présentation
1. Définition d'un désastre Active Directory
2. Scénarios de restauration
3. Restauration intégrale d'une forêt
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tech-Ed 2005 : Restauration d'Active Directory 2003 après un désastre
