L’une des tâches que détestent de nombreux administrateurs AD est la récupération d’objets supprimés. Les efforts de récupération comprennent généralement le redémarrage d’un contrôleur de domaine de production en mode de restauration des services d’annuaire, la restauration de la dernière sauvegarde de l’état du système sur le DC et l’utilisation de NTDSUTIL pour restaurer les objets supprimés de manière autoritaire.
Bien que ce processus fonctionne bien, il peut prendre beaucoup de temps, en supposant qu’une bonne sauvegarde soit disponible. Pour ceux d’entre vous qui ont mis à niveau leur infrastructure vers AD 2008 R2, vous avez maintenant la chance d’avoir accès à la corbeille AD. Cependant, pour ceux qui sont sur des domaines antérieurs à 2008 R2, ce processus est toujours nécessaire.
Il existe une option qui peut être utilisée pour restaurer rapidement les objets supprimés sans dépendre des sauvegardes de l’état du système. Cette option nécessite un serveur supplémentaire, mais elle en vaut la peine si vous prenez en charge une grande organisation qui supprime régulièrement des objets devant être restaurés.
Le temps de restauration typique utilisant la conception suivante peut être de 5-15 minutes, plutôt que jusqu’à plusieurs heures en utilisant les méthodes de restauration traditionnelles. Cette option crée une sorte de « sauvegarde en ligne » de vos objets AD.
Pour créer cette « sauvegarde en ligne », il suffit de créer un SITE supplémentaire, éventuellement appelé « Recovery », à l’aide de la console Active Directory Sites and Services Console (ADSS). Pour isoler davantage ce site, il serait préférable de le placer sur son propre sous-réseau dédié afin de pouvoir contrôler efficacement le trafic vers et depuis ce site.
Vous ne voulez vraiment pas que les utilisateurs utilisent le « Recovery DC » pour l’authentification et l’autorisation, car il aura des informations AD quelque peu périmées. D’un point de vue physique, ce site peut être situé dans le même centre de données que vos autres DC.
Une fois l’objet Site and Subnet créé, l’étape suivante consiste à créer un nouveau SITELINK, éventuellement appelé RECOVERY_SITELINK, qui relie le site de récupération à un autre site principal défini dans AD. Configurez ce nouveau SITELINK pour qu’il réplique UNIQUEMENT pendant les heures creuses, par exemple entre 23h00 et 6h00.
Vous pouvez raccourcir cette fenêtre pour les petites infrastructures AD. Il suffit que cette fenêtre soit aussi grande que nécessaire pour que le DC de restauration puisse se répliquer périodiquement avec d’autres DC de production.
Le résultat de cette conception est que tout objet supprimé avant 23h00 peut être immédiatement récupéré en utilisant le « Recovery DC » sans utiliser de sauvegarde. Après 23h00, vous serez obligé d’utiliser une bonne sauvegarde de la veille. Ceci est dû au fait que la suppression n’a pas été répliquée sur le « Recovery DC ».
Examinons un exemple plus en détail. Supposons que l’objet d’un utilisateur soit supprimé par erreur à 14h00 par un technicien du service d’assistance. Lorsque l’objet est supprimé, AD réplique la suppression de cet objet au reste des DCs du domaine selon les programmes de réplication intra-site et inter-site. D’un point de vue intrasite, les DCs du site où la suppression a eu lieu répliqueront la suppression presque immédiatement.
Cependant, en fonction des SITELINKS en place, le reste des DCs du domaine peuvent répliquer aussi rapidement que 15 minutes ou plusieurs heures. Là encore, cela dépend des SITELINKS en place. Cependant, le « Recovery DC » ne répliquera PAS la suppression avant 23h00 ce soir-là.
Si le technicien du service d’assistance signale cet événement avant 23h00, un administrateur Active Directory peut utiliser le « Recovery DC » pour restaurer rapidement l’objet. Voici comment procéder :
Pour un DC de récupération 2000 ou 2003 :
Redémarrez le DC en mode de restauration des services d'annuaire. Ouvrez une invite de commande en utilisant les informations d'identification de l'administrateur. Lancez l'invite NTDSUTIL Effectuez une RESTAURATION AUTORISÉE de l'objet ou des objets supprimés. Redémarrez le DC en mode normal
Pour un DC de récupération 2008 :
Arrêtez le service "Active Directory Domain Services". Ouvrez une invite de commande en utilisant les informations d'identification de l'administrateur. Lancez l'invite NTDSUTIL Effectuez une RESTAURATION AUTORISÉE du ou des objets supprimés. Démarrer le service "Active Directory Domain Services".
Puisque l’objet supprimé a été restauré de manière autoritaire, une fois la réplication terminée à l’échelle du domaine, l’objet sera entièrement restauré sur tous les DCs. La procédure de « authoritative restore » sera légèrement différente selon le type d’objet (utilisateur, ordinateur, groupe, OU, etc…).
Comme vous pouvez le lire, tant que vous êtes au courant de la suppression dans la même journée, la récupération des objets supprimés peut être effectuée en une fraction du temps.
Ressources supplémentaires :
Exécution d’une restauration autorisée d’objets Active Directory
technet.microsoft.com/de-de/library/cc779573(WS.10).aspx
Comment restaurer des comptes d’utilisateurs supprimés et leurs appartenances à des groupes dans Active Directory ?
support.microsoft.com/kb/840001/en-us