Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment sauvegarder et restaurer des contrôleurs de domaine Active Directory à l’aide de Sauvegarde Azure, en cours d’exécution sur des machines virtuelles Azure ou sur des serveurs locaux. Vous pouvez utiliser les procédures recommandées pour protéger votre environnement Active Directory et récupérer des contrôleurs de domaine pendant la corruption, la compromission ou la catastrophe. Pour obtenir des conseils sur le choix du scénario de restauration approprié pour vos besoins, consultez le Guide de récupération de forêt Active Directory.
Remarque
Cet article ne traite pas de la restauration d’éléments à partir de l’ID Microsoft Entra. Pour plus d’informations sur la restauration des utilisateurs Microsoft Entra, consultez cet article.
Meilleures pratiques
Avant de commencer la protection d’Active Directory, vérifiez les meilleures pratiques suivantes :
Assurez-vous qu’au moins un contrôleur de domaine est sauvegardé.
Sauvegardez régulièrement Active Directory. L’âge de la sauvegarde ne doit pas être supérieur à la durée de vie des tombstones (TSL), car les objets plus anciens que la TSL sont tombstoned et ne sont plus considérés comme valides.
La TSL par défaut pour les domaines basés sur Windows Server 2003 SP2 et versions ultérieures est de 180 jours.
Vous pouvez vérifier la TSL configurée à l’aide du script PowerShell suivant :
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
Ayez un plan clair de récupération d’urgence qui contient des instructions sur la façon de restaurer vos contrôleurs de domaine. Pour préparer la restauration d’une forêt Active Directory, consultez le guide de récupération d’une forêt Active Directory.
Si vous avez besoin de restaurer un contrôleur de domaine et qu’il vous reste un contrôleur de domaine fonctionnel dans le domaine, vous pouvez créer un nouveau serveur au lieu d’effectuer une restauration à partir d’une sauvegarde. Ajoutez le rôle de serveur Active Directory Domain Services au nouveau serveur pour en faire un contrôleur de domaine dans le domaine existant. Ensuite, les données Active Directory sont répliquées sur le nouveau serveur. Pour supprimer le contrôleur de domaine précédent d’Active Directory, suivez les étapes de cet article afin d’effacer les métadonnées.
Remarque
Azure Backup n’inclut pas la restauration granulaire pour Active Directory. Si vous souhaitez restaurer des objets supprimés et que vous pouvez accéder à un contrôleur de domaine, utilisez la corbeille d’Active Directory. Si cette méthode n’est pas disponible, vous pouvez utiliser la sauvegarde de votre contrôleur de domaine pour restaurer les objets supprimés avec l’outil ntdsutil.exe comme expliqué ici.
Pour plus d’informations sur l’exécution d’une restauration de SYSVOL faisant autorité, consultez cet article.
Sauvegarder des contrôleurs de domaine
Vous pouvez sauvegarder des contrôleurs de domaine à l’aide de Sauvegarde Azure. Cette opération vous permet de protéger votre environnement Active Directory et de vous assurer que vous pouvez récupérer à partir de tout problème potentiel.
Choisissez un environnement de contrôleur de domaine :
Si le contrôleur de domaine est une machine virtuelle Azure, vous pouvez sauvegarder le serveur à l’aide de Sauvegarde de machine virtuelle Azure.
Pour garantir la réussite des sauvegardes (et des restaurations ultérieures) de vos contrôleurs de domaine de machine virtuelle Azure, consultez les considérations opérationnelles pour les contrôleurs de domaine virtualisés.
Restaurer Active Directory
Lors de la restauration des données Active Directory, vous pouvez choisir l’un des modes suivants :
- Restauration autoritaire : les données restaurées remplacent celles sur tous les autres contrôleurs de domaine de la forêt. Utilisez ce mode si vous devez récupérer des objets supprimés et s’assurer qu’ils sont répliqués dans votre environnement.
- Restauration non authentifiée : le contrôleur de domaine restauré reçoit les mises à jour d’autres contrôleurs de domaine après la récupération. Il s’agit de l’approche recommandée lors de la reconstruction d’un contrôleur de domaine dans un domaine existant.
Pour la plupart des scénarios, notamment la reconstruction d’un contrôleur de domaine, vous devez effectuer une restauration non authentifiée.
Pendant la restauration, le serveur est démarré en mode de restauration des services d’annuaire (DSRM). Vous devez fournir le mot de passe Administrateur pour le mode de restauration des services d’annuaire.
Remarque
Si vous oubliez le mot de passe DSRM, réinitialisez-le.
Choisissez un environnement de contrôleur de domaine pour la restauration :
Pour restaurer un contrôleur de domaine de machine virtuelle Azure, consultez Restaurer les machines virtuelles d’un contrôleur de domaine.
Si vous restaurez une seule machine virtuelle de contrôleur de domaine ou plusieurs machines virtuelles de contrôleur de domaine dans un domaine unique, restaurez-les comme n’importe quelle autre machine virtuelle. Le mode DSRM (Directory Restore Mode) étant également disponible, tous les scénarios de récupération Active Directory sont viables.
Si vous devez restaurer une seule machine virtuelle de contrôleur de domaine dans une configuration à plusieurs domaines, restaurez les disques et créez une machine virtuelle en utilisant PowerShell.
Si vous restaurez le dernier contrôleur de domaine restant dans le domaine ou si vous restaurez plusieurs domaines dans une forêt, nous vous recommandons d’utiliser une récupération de forêt.
Remarque
À partir de Windows 2012, les contrôleurs de domaine virtualisés utilisent des protections basées sur la virtualisation. Grâce à ces garanties, Active Directory comprend si la machine virtuelle restaurée est un contrôleur de domaine et effectue les étapes nécessaires pour restaurer les données d’Active Directory.