locked
Conseils Après la Sauvegarde d'un DC ou de l'AD... la restauration !! RRS feed

  • Question

  • Bonjour,

    Sur mon réseau tout en Win2008R2, j'ai 2 controleurs de domaine 2008R2 donc qui fait le rôle PDC. Ils sont tous les 2 sauvegardés quotidiennement par WBAdmin  en FULL. Je pense que la méthode est bonne.

    J'ai compris récemment si un problème survient qu'on ne peut pas restaurer 1 DC à la volée, apparement il faut que "la forêt continue d'exister" sinon cela crée des problèmes de réplication.

    Disons, si le 1er DC (qui fait PDC) est HS, je le restore disons 24h par l'image crée par WBAdmin ca marchera sans soucis ? Il y a pas un passage à faire d'abord en restauration d'annuaire ou autre ?

    merci d'avance

    jeudi 24 janvier 2013 08:58

Réponses

  • Voici un lien qui décrit la procédure à suivre pour ton problème http://technet.microsoft.com/fr-fr/library/cc772519(v=ws.10).aspx

    Le principe que lors de la restauration ton contrôleur de domaine restauré viendra se mettre à jour à partir du controleur de domaine toujours en ligne.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.


    vendredi 25 janvier 2013 14:27
  • 1 -Mais justement imaginons que c'est celui qui a les rôles FSMO qui crash, c'est toujours possible par la suite pour le 2e DC (qui est opérationnel) de récupérer les rôles FSMO malgré l'absence du 1er DC ?

    oui en cas de crash on prends les rôles pour les attribuer à un nouveau serveur. Mais l'ancien doit être considéré comme définitivement HS et reconstruit (pas de restauration). En cas de coupure passagère ou de restauration l'urgence n'est pas forcément de remettre dans la minutes les rôles FSMO.

    http://support.microsoft.com/kb/255504/fr

    2- Restauration complète du 1er DC par la sauvegarde faite avec WBAdmin (avec l'outil de restauration de WinServer)

    Il faut essayer de différencier la restauration complète d'un AD (tous DC HS) avec la doc AD Forest recovery) de la restauration d'un DC. Ce n'est pas le même cas de figure.

    Si tu restaure tout l'AD il y a un certain nombre d'étape à respecter, comme décrit dans la doc.

    3 -

    http://www.microsoft.com/en-us/download/details.aspx?id=16506

    Voir chapitre, tenir compte des différences entre réplication sysvol par NTFRS ou par DFS-R(selon la facon dont le domaine a été installé) :

    Restore the first writable domain controller for the forest root domain<o:p></o:p>

    If you are restoring a domain controller that runs Windows Server 2008, use Wbadmin.exe to perform a nonauthoritative restore of AD DS. At the same time, perform an authoritative restore of SYSVOL by including the –authsysvol switch in your recovery command, as shown in the following example:

    wbadmin start systemstaterecovery <otheroptions> -authsysvol

    Caution

    Perform an authoritative (or primary) restore operation of SYSVOL only for the first domain controller to be restored in the forest root domain. Incorrectly performing primary restore operations of the SYSVOL on other domain controllers leads to replication conflicts of SYSVOL data

    4 - normalement oui la réplication se mets en route tout seul, mais il est important de la surveiller et de vérifier la topologie de réplication surtout sur une forêt de plusieurs domaines avec plusieurs DC dans chaque forêt, pour éviter d'avoir "une branche morte"

    5

    Tout est dans la doc ,

    - gestion du catalogue global, décaler la plage RID dans le registre etc...etc...


    mardi 29 janvier 2013 08:44

Toutes les réponses

  • Voici un lien qui décrit la procédure à suivre pour ton problème http://technet.microsoft.com/fr-fr/library/cc772519(v=ws.10).aspx

    Le principe que lors de la restauration ton contrôleur de domaine restauré viendra se mettre à jour à partir du controleur de domaine toujours en ligne.


    Cordialement Denis ECHE, Ingénieur Système-Réseaux. Mon Blog Si ma réponse vous a été utile, ou a permis la résolution de votre problème; merci de Voter ou de la marquer comme Utile.


    vendredi 25 janvier 2013 14:27
  • Je sauvegarde ma forêt de domaines par wbadmin et j'ai fait plusieurs test de restauration sans problème (y compris la restauration d'exchange).

    On peut soit restaurer un DC et reconstruire le deuxième, si c'est une restau compète mais attention il y a d'autres opérations à faire comme incrémenter le pool des SID qui peuvent être distribué par les DC. Tu auras plus de détail ci dessous.

    http://pbarth67.free.fr/?q=node/3


    http://www.microsoft.com/en-us/download/details.aspx?id=16506

    Si tu veux restaurer juste  DC car l'autre fonctionne encore. le plus simple si tu as des doutes c'est de le reconstruire surtout s'il n’héberge pas d'autres rôles.

    Mais il faut d'abord transférer les rôles FSMO sur le DC restant.

    MAis normalement la restau du DC HS ne devrait pas poser de problèmes depuis un backup avec l'état du système fait par WBadmin.

    Si tu as le temps fait un  test de restau dans une maquette, c'est bien d'en avoir fait une restau une fois.


    vendredi 25 janvier 2013 16:40
  • Si tu restaure, les object d'AD ont un timestamp aussi. Donc la syncro va suivre sont cour. C'est l'équivalent que si tu ferme physiquement le DC et que tu le rallume 24H après. La syncro entre les deux doit etre bonne avant par contre.

    MCP | MCTS 70-236: Exchange Server 2007, Configuring

    Twitter - @yagmoth555 ()
    Blog: http://www.jabea.net | http://blogs.technet.com/b/wikininjas/

    samedi 26 janvier 2013 03:12
    • Mais justement imaginons que c'est celui qui a les rôles FSMO qui crash, c'est toujours possible par la suite pour le 2e DC (qui est opérationnel) de récupérer les rôles FSMO malgré l'absence du 1er DC ?
    • Donc si j'ai bien saisi dans le cas du DC qui a les rôles FSMO qui crash :

    1- Récupération des Rôles FSMO pour le 2e DC (Possible malgré l'absence du DC1 qui est HS?)

    2- Restauration complète du 1er DC par la sauvegarde faite avec WBAdmin (avec l'outil de restauration de WinServer)

    3- Avant le 1er démarrage du DC restauré passer en Mode Restauration ActiveDirectory

    4- La Réplication du DC2 vers DC1 est automatique à nouveau (Corrigez moi si erreur, car pour le DC1 il a toujours les rôles FSMO, non ?)

    5- Manipulations à faire par la suite ?

    OK, une chose que je viens de comprendre c'est qu'il y a une différence de restauration avec et sans autorité donc :

    - avec autorité c'est pour modifier les données de l'AD

    - sans autorité cele ne modifie pas les données de l'AD

    mais où est cette option de restauration ?

    merci


    mardi 29 janvier 2013 08:18
  • 1 -Mais justement imaginons que c'est celui qui a les rôles FSMO qui crash, c'est toujours possible par la suite pour le 2e DC (qui est opérationnel) de récupérer les rôles FSMO malgré l'absence du 1er DC ?

    oui en cas de crash on prends les rôles pour les attribuer à un nouveau serveur. Mais l'ancien doit être considéré comme définitivement HS et reconstruit (pas de restauration). En cas de coupure passagère ou de restauration l'urgence n'est pas forcément de remettre dans la minutes les rôles FSMO.

    http://support.microsoft.com/kb/255504/fr

    2- Restauration complète du 1er DC par la sauvegarde faite avec WBAdmin (avec l'outil de restauration de WinServer)

    Il faut essayer de différencier la restauration complète d'un AD (tous DC HS) avec la doc AD Forest recovery) de la restauration d'un DC. Ce n'est pas le même cas de figure.

    Si tu restaure tout l'AD il y a un certain nombre d'étape à respecter, comme décrit dans la doc.

    3 -

    http://www.microsoft.com/en-us/download/details.aspx?id=16506

    Voir chapitre, tenir compte des différences entre réplication sysvol par NTFRS ou par DFS-R(selon la facon dont le domaine a été installé) :

    Restore the first writable domain controller for the forest root domain<o:p></o:p>

    If you are restoring a domain controller that runs Windows Server 2008, use Wbadmin.exe to perform a nonauthoritative restore of AD DS. At the same time, perform an authoritative restore of SYSVOL by including the –authsysvol switch in your recovery command, as shown in the following example:

    wbadmin start systemstaterecovery <otheroptions> -authsysvol

    Caution

    Perform an authoritative (or primary) restore operation of SYSVOL only for the first domain controller to be restored in the forest root domain. Incorrectly performing primary restore operations of the SYSVOL on other domain controllers leads to replication conflicts of SYSVOL data

    4 - normalement oui la réplication se mets en route tout seul, mais il est important de la surveiller et de vérifier la topologie de réplication surtout sur une forêt de plusieurs domaines avec plusieurs DC dans chaque forêt, pour éviter d'avoir "une branche morte"

    5

    Tout est dans la doc ,

    - gestion du catalogue global, décaler la plage RID dans le registre etc...etc...


    mardi 29 janvier 2013 08:44
  • OK, une chose que je viens de comprendre c'est qu'il y a une différence de restauration avec et sans autorité donc :

    - avec autorité c'est pour modifier les données de l'AD

    - sans autorité cele ne modifie pas les données de l'AD

    mais où est cette option de restauration ?

    Petit oublie :

    Il faut aussi différencier la restauration autoritaire de sysvol. 

    Pour sysvol il faut savoir si c'est du DFS-R ou du NTFRS.

    Enfin il y a une option dans la commande wbadmin pour la restauration authoritaire de sysvol et la encore c'est dans la doc de la restauration d'une forêt AD.


    mercredi 30 janvier 2013 20:19
  • Bonjour,

    à noter que l'on peut tout à fait restaurer un contrôleur de domaine qui avait des rôles, même si ceux ont été déplacés entre-temps vers un autre contrôleur de domaine.

    En effet, par défaut, la restauration d'un contrôleur de domaine n'est JAMAIS autoritaire ! Donc, toutes les propriétés sont répliquées et récupérées du contrôleur de domaine le plus à jour, y compris les FSMOs.

    Donc, pour la restauration autoritaire de tout ou partie des données, il faut utiliser la commande NTDSUTIL pour spécifier les objets provenant de la sauvegarde et qui écraseront les objets qui sont en  version plus récente dans l'annuaire.

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013 (75 MCPs). https://mvp.support.microsoft.com/profile=CE2B565B-B13D-4C24-B04D-F0D5766D14A1 http://www.faqexchange.info

    jeudi 31 janvier 2013 07:15