Le contrôle de l’intégrité de la base de données Active Directory permet d’identifier une éventuelle corruption de la base, une base transactionnelle rappelons-le, représentée au niveau binaire par le fichier NTDS.dit.
Intégrité de la base de données Active Directory, le concept
Cette possibilité de vérification est nativement intégrée à l’outil ntdsutil. Il est utilisé pour la maintenance de la base de données Active Directory de façon générale et offre maintes possibilité.
Le principe consiste à examiner chaque octet du fichier de la base de données.
La commande de vérification de l’Intégrité de la base de données Active Directory s’assure aussi que les en-têtes soient correctes dans la base de données. De surcroit, elle contrôle que toute les tables fonctionnent de façon cohérente. C’est pourquoi ce même principe est naturellement joué dans le cadre d’une restauration du service Active Directory (mode DRSM). En effet, restaurer une base incohérente ne sera jamais efficace.
Les conditions
La vérification de l’intégrité de la base de données Active Directory peut donc se faire dans plusieurs situations :
- Mode nominal, cela à condition de stopper la base Active Directory
- Mode restauration ou mode DSRM
Dans les deux situations susmentionnées, voici les deux démarches possibles à mener pour vérifier l’intégrité de la base de données Active Directory.
Processus de vérification (mode nominal et/ou DSRM)
– Première possibilité :
ntdsutil
activate instance ntds
files
integrity
– Seconde possibilité :
ntdsutil
activate instance ntds
semantic database analysis
go
Démarrage en mode DSRM
Le démarrage en mode restauration (ou mode DSRM) requiert une modification au niveau du système avant de jouer les précédentes commandes.
Le second prérequis est que vous déteniez le compte Administrateur prévu à cet effet pour l’ouverture de session.
– Première démarche possible :
Démarrage en mode DSRM :
Windows + R
msconfig
Boot
Boot options > Safe Boot > Active Directory repair
Redémarrer
Le retour en mode nominal :
Windows + R
msconfig
Boot
boot options > décocher Safe boot
Redémarrer
– Seconde démarche possible :
Démarrage en mode DSRM :
bcdedit /set safeboot dsrepair
shutdown /r /f /t 3
Retour en mode nominal :
bcdedit /deletevalue safeboot
shutdown /r /f /t 3
Pour rappel, appuyer sur la touche F8 durant la phase de chargent du système d’exploitation suffit pour activer le démarrage en mode DSRM pour les anciennes versions de Microsoft Windows Server.
Conclusion
Cette vérification de l’intégrité de la base de données Active Directory est complètement automatisable, quelle que soit la méthode choisie parmi celles exposées dans cet article.
En admettant que l’’Active Directory doit être considéré comme un service d’infrastructure critiques pour les entreprises.
Donc, une perturbation peut entraîner une indisponibilité.
C’est pourquoi, Active Directory pour doit être protégé contre toutes éventuelles défaillances.
Le choix de la bonne solution de sauvegarde et le principe de contrôle sont des points importants à retenir impérativement dans ce cas.