NAKIVO > Blog

Bonnes pratiques en matière de sauvegarde Active Directory

Publié le: mars 25, 2019

Written by: NAKIVO Team

Active Directory est un service largement connu pour la gestion centralisée et l’authentification des utilisateurs dans les environnements Windows. Les administrateurs peuvent gérer de manière centralisée les ordinateurs ajoutés au domaine, ce qui est pratique et permet de gagner du temps pour les infrastructures étendues et distribuées. MS SQL et MS Exchange nécessitent généralement Active Directory. Si le contrôleur de domaine Active Directory (AD DC) devient indisponible, les utilisateurs concernés ne peuvent plus se connecter et les systèmes ne peuvent plus fonctionner correctement, ce qui peut causer des problèmes dans votre environnement. C’est pourquoi il est important de sauvegarder votre Active Directory.

Cet article de blog explique les bonnes pratiques en matière de sauvegarde d’Active Directory , notamment les méthodes et outils efficaces.

NAKIVO for Windows Backup

NAKIVO for Windows Backup

Fast backup of Windows servers and workstations to onsite, offiste and cloud. Recovery of full machines and objects in minutes for low RTOs and maximum uptime.

DISCOVER SOLUTION

Principe de fonctionnement d’Active Directory

Active Directory est un système de gestion qui consiste en une base de données dans laquelle sont stockés les objets individuels et les journaux de transactions. La base de données est divisée en plusieurs sections qui contiennent différents types d’informations : une partition de schéma (qui détermine la conception de la base de données AD, y compris les classes d’objets et leurs attributs), une partition de configuration (informations sur la structure AD) et un contexte de noms de domaine (utilisateurs, groupes, objets imprimante). La base de données Active Directory a une structure hiérarchique arborescente. Le fichier Ntds.dit est utilisé pour stocker la base de données AD.

Active Directory utilise les protocoles LDAP et Kerberos pour fonctionner sur le réseau. LDAP (Lightweight Directory Access Protocol) est un protocole ouvert multiplateforme utilisé pour accéder à des répertoires (tels qu’Active Directory) qui permet également d’accéder à l’authentification des services d’annuaire par le biais d’un nom d’utilisateur et d’un mot de passe. Kerberos est un protocole d’authentification sécurisée et d’authentification unique qui utilise la cryptographie à clé secrète. Les noms d’utilisateur et les mots de passe vérifiés par le serveur d’authentification Kerberos sont stockés dans le répertoire LDAP (en cas d’utilisation d’Active Directory).

Active Directory est étroitement intégré au serveur DNS, aux fichiers système protégés de Windows, au registre système d’un contrôleur de domaine, ainsi qu’au répertoire Sysvol, à la base de données d’enregistrement des classes COM+ et aux informations sur les services de cluster. Cette intégration a une influence directe sur la stratégie de sauvegarde d’Active Directory.

Quelles données doivent être sauvegardées ?

Selon la section précédente, vous devez faire une copie non seulement de Ntds.dit, mais aussi de tous les composants intégrés à Active Directory. La liste de tous les composants qui font partie intégrante du système de contrôleur de domaine est la suivante :

  • Services de domaine Active Directory
  • Registre du système de contrôleur de domaine
  • Sysvol répertoire
  • Base de données d’enregistrement des classes COM+
  • Informations de zone DNS intégrées à Active Directory
  • Fichiers système et fichiers d’amorçage
  • Informations sur le service de cluster
  • Base de données des services de certificats (si votre contrôleur de domaine est un serveur de services de certificats)
  • Dossiers méta IIS (si Microsoft Internet Information Services est installé sur votre contrôleur de domaine)

Recommandations générales pour les sauvegardes AD

Examinons quelques recommandations générales pour les sauvegardes Active Directory.

Au moins un contrôleur de domaine dans un domaine doit être sauvergardé

Il est évident que si vous n’avez qu’un seul contrôleur de domaine dans votre infrastructure, vous devez sauvergarder ce contrôleur. Si vous disposez de plusieurs contrôleurs de domaine, vous devez pour sauvergarder au moins l’un d’entre eux. Vous devez sauvegarder le contrôleur de domaine sur lequel sont installés les rôles FSMO (Flexible Single Master Operation). Si vous avez perdu tous vos contrôleurs de domaine, vous pouvez effectuer la récupération d’un contrôleur de domaine principal (qui contient les rôles FSMO) et réaliser le déploiement d’un nouveau contrôleur de domaine secondaire, en répliquant les modifications du contrôleur de domaine principal vers le contrôleur de domaine secondaire.

Intégrez votre sauvegarde Active Directory dans votre plan de reprise après sinistre

Élaborez votre plan de reprise après sinistre (DR) avec plusieurs scénarios de récupération de votre infrastructure afin de vous préparer à des sinistres hypothétiques. Les bonnes pratiques consistent à créer un plan DR complet avant qu’un sinistre ne se produise. Portez une attention particulière à la séquence de récupération. N’oubliez pas qu’un contrôleur de domaine doit être restauré avant de pouvoir réaliser la récupération d’autres machines avec des services liés à Active Directory, car celles-ci peuvent devenir inutilisables sans le contrôleur de domaine AD. La création d’un plan de reprise après sinistre viable qui tient compte des dépendances des différents services exécutés sur différentes machines vous garantit une récupération réussie. Vous pouvez sauvegarder votre contrôleur de domaine sur un site local, un site distant ou dans le cloud. L’une des bonnes pratiques en matière de sauvegarde Active Directory consiste à disposer de plusieurs copies de votre contrôleur de domaine, conformément à la règle de sauvegarde 3-2-1.

Sauvegardez régulièrement Active Directory

Vous devez sauvegarder régulièrement votre Active Directory à des intervalles ne dépassant pas 60 jours. Les services AD partent du principe que l’âge de la sauvegarde Active Directory ne peut pas dépasser la durée de vie des objets tombstone AD, qui est de 60 jours par défaut. En effet, Active Directory utilise les objets tombstone lorsque des objets doivent être supprimés. Lorsqu’un objet AD est supprimé (la majorité des attributs dudit objet sont supprimés), il est marqué comme objet tombstone et n’est pas supprimé physiquement avant l’expiration de la durée de vie du tombstone.

Si votre infrastructure comporte plusieurs contrôleurs de domaine et que la réplication Active Directory est activée, l’objet tombstone est copié sur chaque contrôleur de domaine jusqu’à l’expiration de la durée de vie du tombstone. Si vous restaurez l’un de vos contrôleurs de domaine à partir d’une sauvegarde dont l’âge est supérieur à la durée de vie de l’objet tombstone, vous rencontrerez des informations incohérentes entre les contrôleurs de domaine Active Directory. Dans ce cas, le contrôleur de domaine récupéré disposerait d’informations sur des objets qui n’existent plus. Cela peut entraîner des erreurs.

Si vous avez installé des pilotes ou des applications sur votre contrôleur de domaine après avoir effectué une sauvegarde, ceux-ci ne disposeront plus de fonctionnalité après la restauration à partir de ladite sauvegarde, car l’état du système (y compris le registre) sera restauré à un état antérieur. C’est une raison supplémentaire pour sauvergarder Active Directory plus d’une fois tous les 60 jours. Nous vous recommandons vivement de sauvergarder le contrôleur de domaine Active Directory chaque nuit.

Utilisez un logiciel qui garantit la cohérence des données

Comme pour toute autre base de données, la base de données Active Directory doit être sauvergardée de manière à garantir la cohérence de la base de données. La meilleure façon de préserver la cohérence est de sauvegarder les données AD DC lorsque le serveur est éteint ou lorsque Microsoft Volume Shadow Copy Service (VSS) est utilisé sur une machine en cours d’exécution. Sauvegarder le serveur Active Directory à l’état éteint n’est peut-être pas une bonne idée si le serveur fonctionne en mode 24/7.

Les bonnes pratiques en matière de sauvegarde d’Active Directory recommandent d’utiliser des applications de sauvegarde compatibles avec VSS pour sauvegarder un serveur exécutant Active Directory. Les rédacteurs VSS créent un instantané qui fige l’état du système jusqu’à la fin de la sauvegarde afin d’empêcher la modification des fichiers actifs utilisés par Active Directory pendant le processus de sauvegarde.

Utilisez des solutions de sauvegarde qui offrent une récupération granulaire

Lorsqu’il s’agit de réaliser la récupération d’un Active Directory, vous pouvez réaliser la récupération de l’ensemble du serveur avec Active Directory et tous ses objets. Une récupération complète peut prendre beaucoup de temps, en particulier si votre base de données AD a une taille importante. Si certains objets Active Directory sont accidentellement supprimés, vous pouvez choisir de ne restaurer que ces objets et rien d’autre. Les bonnes pratiques en matière de sauvegarde Active Directory recommandent d’utiliser des méthodes et des applications de sauvegarde permettant une récupération granulaire, c’est-à-dire la récupération d’objets Active Directory spécifiques à partir d’une sauvegarde. Cela vous permet de limiter le temps consacré à la récupération.

Méthodes de récupération natives d’Active Directory

Microsoft a développé une série d’outils natifs pour sauvergarder les serveurs Windows, y compris les serveurs exécutant des contrôleurs de domaine Active Directory.

Windows Server Backup

Windows Server Backup est un utilitaire fourni par Microsoft avec Windows Server 2008 et les versions ultérieures de Windows Server qui a remplacé l’utilitaire NTBackup intégré à Windows Server 2003. Pour y accéder, il suffit d’activer Windows Server Backup dans le menu Ajouter des rôles et des fonctionnalités . Windows Server Backup dispose d’une nouvelle interface graphique (GUI) et vous permet de créer des sauvegardes incrémentielles par l’intermédiaire de VSS. Les données sauvegardées sont enregistrées dans un fichier VHD, le même format de fichier utilisé pour Microsoft Hyper-V. Vous pouvez monter ces disques VHD sur une machine virtuelle ou une machine physique et accéder aux données sauvegardées. Notez que, contrairement au VHD créé par MVMC (Microsoft Hyper-V), l’image VHD n’est pas amorçable dans ce cas. Vous pouvez sauvegarder l’intégralité du volume ou uniquement l’état du système par l’intermédiaire de la commande wbadmin start systemstatebackup . Par exemple :

wbadmin start systemstatebackup --backuptarget:E:

Vous devez sélectionner une cible de sauvegarde différente du volume de sauvegarde et qui n’est pas un dossier partagé distant.

Au moment de la récupération, vous devez démarrer le contrôleur de domaine en mode de restauration des services d’annuaire (DSRM) Directory Services Restore Mode en appuyant sur F8 pour ouvrir les options d’amorçage avancées (comme vous le feriez pour passer en mode sans échec). Vous devez ensuite utiliser la commande wbadmin get versions -backupTarget:path_to_backup machine:name_of_server pour sélectionner la sauvegarde appropriée et commencer à restaurer les données nécessaires. Vous pouvez également utiliser NTDSutil pour gérer des objets Active Directory particuliers dans la ligne de commande pendant la récupération.

Les avantages de l’utilisation de la sauvegarde Windows Server pour la sauvegarde Active Directory sont son prix abordable, sa compatibilité VSS et la possibilité de sauvergarder l’ensemble du système ou uniquement les composants Active Directory.

Les inconvénients incluent la nécessité de posséder les compétences et les connaissances appropriées pour configurer un processus de sauvegarde et de récupération.

System Center Data Protection Manager

Microsoft recommande d’utiliser System Center Data Protection Manager (SC DPM) pour sauvegarder les données, y compris Active Directory, dans une infrastructure Windows. SC DPM est une solution centralisée de sauvegarde et de récupération de niveau entreprise qui fait partie de la suite System Center et peut être utilisée pour protéger Windows Server, qui inclut des services tels qu’Active Directory. Contrairement à la sauvegarde Windows Server intégrée gratuite, SC DPM est un logiciel payant qui doit être déployé séparément en tant que solution complexe. Son installation peut sembler quelque peu difficile par rapport à Windows Server Backup. En effet, un agent de sauvegarde doit être installé pour garantir la protection complète de votre machine.

Les principales fonctionnalités de System Center Data Protection Manager liées à la sauvegarde d’Active Directory sont les suivantes :

  • Prise en charge VSS
  • Sauvegarde incrémentielle
  • Sauvegarde vers le cloud Microsoft Azure
  • Pas de récupération granulaire des objets pour Active Directory

L’utilisation de SC DPM est particulièrement pratique lorsque vous devez protéger un grand nombre de machines Windows, y compris les serveurs MS Exchange et MS SWL.

Sauvegarde du contrôleur de domaine virtuel

Les méthodes de sauvegarde natives d’Active Directory répertoriées peuvent être utilisées pour sauvegarder les serveurs Active Directory déployés à la fois sur des serveurs physiques et des machines virtuelles. L’exécution de contrôleurs de domaine sur des machines virtuelles offre un ensemble d’avantages spécifiques aux VMs, tels que la sauvegarde au niveau de l’hôte, la possibilité de procéder à la récupération en tant que VM s’exécutant sur différents serveurs physiques, etc. Les bonnes pratiques en matière de sauvegarde d’Active Directory recommandent d’utiliser des solutions de sauvegarde au niveau de l’hôte lorsque vous effectuez des sauvegardes de vos contrôleurs de domaine Active Directory s’exécutant sur des Virtuelles Maschinen au niveau de l’hyperviseur.

Conclusion

Active Directory est classé parmi les applications les plus critiques pour l’entreprise, dont la perturbation peut entraîner des temps d’arrêt pour les utilisateurs et les services. L’article publié aujourd’hui sur notre blog explique les bonnes pratiques en matière de sauvegarde d’Active Directory afin de vous aider à protéger votre infrastructure contre les pannes d’AD. Dans ce cas, il est important de choisir la bonne solution de sauvegarde.

NAKIVO Backup & Replication est un logiciel de sauvegarde au niveau de l’hôte pour les machines virtuelles VMware et Hyper-V exécutant Active Directory Domain Controller. Cette solution vous permet de sauvergarder l’intégralité des VMs du contrôleur de domaine, même si la VM est en état de fonctionnement, tout en respectant la cohérence avec les applications (VSS est utilisé) et en fournissant une récupération instantanée des objets AD. Aucun agent n’est nécessaire. NAKIVO Backup & Replication prend en charge la récupération granulaire d’Active Directory, ce qui vous permet de récupérer des objets et des conteneurs AD particuliers sans passer par une récupération complète de la VM. Bien sûr, la récupération complète de la VM du contrôleur de domaine est également prise en charge.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Réalisation d’une réplication pour la reprise après sinistre : guide complet
Picture
10 bonnes pratiques pour garantir la sécurité de Microsoft Office 365
Picture
Comprendre les options de chiffrement des sauvegardes