locked
AD DS restauration authoritative depuis la sauvegarde d'un autre DC RRS feed

  • Question

  • Bonjour,

    Je possède un parc réparti sur de nombreux sites distants avec un certain nombre de Domain Controllers sous Windows Server 2008 R2. Je souhaiterais faire des sauvegardes de l'AD en utilisant Windows Server Backup.

     

    Les best practices disent qu'il faut faire des sauvegardes sur au moins 2 DC par site dont au moins 1 avec des rôles FSMO.

    Toutefois, je voudrais savoir si je dois faire des sauvegardes de tous mes DC ? Je m'explique, il y a suffisamment de DC répartis dans différents sites, donc les sauvegardes seraient utilisées notamment pour restaurer des Objets supprimés de l'AD.

     

    Je vais mettre en place la corbeille AD, mais je voulais savoir s'il était possible de faire une restauration authoritative sur un DC en utilisant la sauvegarde d'un autre DC.

    Par exemple, je possède 3 DC sur le site A (DC-A1, DC-A2, DC-A3) et 2 sur le site B (DC-B1 et DC-B2) et je ne sauvegarde que DC-A1, DC-A2. Est-ce que je peux utiliser la sauvegarde de DC-A1 sur DC-B2 ?

     

    J'ai trouvé beaucoup de documentation sur la méthode à appliquer (reboot en DSRM, restauration non authoritative, puis restauration authoritative de l'objet à récupérer), mais je ne sais pas s'il est possible d'utiliser la sauvegarde d'un DC pour restaurer sur un autre. 

     

    Désolé si le sujet à déjà été abordé, mais dès qu'on se plonge dans un sujet et qu'on a la tête dans le guidon, on rate parfois des infos alors qu'elles sont devant nos yeux. ;-)

     

    Merci à tous

    Cordialement,

    Clément

    jeudi 2 février 2012 08:59

Réponses

  • Bonjour,

    non, ce qui était vrai pour Windows 2000 n'est plus vrai pour 2008 et plus...

    Tout d'abord, le déploiement d'un DC distant peut se faire avec une sauvegarde de n'importe quel DC de ce domaine. C'est même préconisé pour les annuaires de taille importante.

    http://technet.microsoft.com/en-us/library/cc733027(WS.10).aspx

    Extrait:

    You also have the option to use the install from media (IFM) method of installation. For this option, you must have prepared installation media, either by using the improved Ntdsutil.exe command-line tool or, if necessary, from a restored backup of a domain controller in the same domain. For information about using IFM to install a domain controller in an existing domain, see Installing AD DS from Media.

     

    Concernant la sauvegarde d'un domaine, en théorie, la sauvegarde d'UN SEUL DC suffit. En effet, lorsqu'un domaine n'est pas sauvegardé du tout, des alertes apparaissent sur tous les DC à partir d'un certain délai (30 jours...). Ces alertes disparaissent en réalisant une sauvegarde. Normalement, il n'est pas nécessaire de sauvegarder un DC précis plutôt qu'un autre. Seul le rôle "Master RID" doit être traité avec précaution. Tous les autres rôles peuvent être repris facilement par n'importe quel DC.

    De manière pratique, il est souvent plus simple et efficace de réinstaller un nouveau DC que d'essayer de restaurer un DC existant. Quand cela est possible, on peut aussi dépromouvoir le serveur, puis le repromouvoir.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    jeudi 2 février 2012 12:55
  • Bonjour,

     

    J'ai réussi à récupérer des objets AD avec uniquement la sauvegarde du System State. Le seul problème vient de la récupération de GPO qui nécessite de connaître les GUID, mais il suffit d'exporter les GPOs et de lé réimporter en cas de besoins.

    Merci

     


    Clément
    lundi 6 février 2012 13:01

Toutes les réponses

  • J'ai trouvé cette info :

    http://technet.microsoft.com/en-us/library/bb727048.aspx

    Which domain controllers to back up

    At a minimum, back up two domain controllers in each domain, one of which should be an operations master role holder (excluding the relative ID (RID) master, which should not be restored). Note that backup data from a domain controller can only be used to restore that domain controller. You cannot use a backup of one domain controller to restore another.

     

    Elle s'applique pour Windows 2000 Server, mais est-elle toujours d'actualité sous Windows Server 2008 R2 ?


    Clément
    jeudi 2 février 2012 09:39
  • Bonjour,

    non, ce qui était vrai pour Windows 2000 n'est plus vrai pour 2008 et plus...

    Tout d'abord, le déploiement d'un DC distant peut se faire avec une sauvegarde de n'importe quel DC de ce domaine. C'est même préconisé pour les annuaires de taille importante.

    http://technet.microsoft.com/en-us/library/cc733027(WS.10).aspx

    Extrait:

    You also have the option to use the install from media (IFM) method of installation. For this option, you must have prepared installation media, either by using the improved Ntdsutil.exe command-line tool or, if necessary, from a restored backup of a domain controller in the same domain. For information about using IFM to install a domain controller in an existing domain, see Installing AD DS from Media.

     

    Concernant la sauvegarde d'un domaine, en théorie, la sauvegarde d'UN SEUL DC suffit. En effet, lorsqu'un domaine n'est pas sauvegardé du tout, des alertes apparaissent sur tous les DC à partir d'un certain délai (30 jours...). Ces alertes disparaissent en réalisant une sauvegarde. Normalement, il n'est pas nécessaire de sauvegarder un DC précis plutôt qu'un autre. Seul le rôle "Master RID" doit être traité avec précaution. Tous les autres rôles peuvent être repris facilement par n'importe quel DC.

    De manière pratique, il est souvent plus simple et efficace de réinstaller un nouveau DC que d'essayer de restaurer un DC existant. Quand cela est possible, on peut aussi dépromouvoir le serveur, puis le repromouvoir.

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    jeudi 2 février 2012 12:55
  • Merci beaucoup, Thierry.

    Peux-tu me dire s'il est nécessaire de sauvegarder uniquement le System State ou s'il faut aussi sauvegarder les volumes critiques en utilisant la commande wbadmin start backup -allCritical ?

    Et ce, plutôt dans l'optique de restauration d'objets AD en cas de suppression accidentelle, que de restauration d'un DC existant.

     

    Merci,

    Clément


    Clément
    jeudi 2 février 2012 13:24
  • Bonjour,

     

    J'ai réussi à récupérer des objets AD avec uniquement la sauvegarde du System State. Le seul problème vient de la récupération de GPO qui nécessite de connaître les GUID, mais il suffit d'exporter les GPOs et de lé réimporter en cas de besoins.

    Merci

     


    Clément
    lundi 6 février 2012 13:01