Sauvegarde et restauration Active Directory

La restauration Active Directory est un concept important pour les systèmes informatiques basés sur l’annuaire Microsoft.

Même si les annuaires, en général, sont multi-maîtres, hiérarchisés et répliqués, ce n’est jamais une bonne idée de faire abstraction de sa capacité à restaurer en cas de sinistre.

De toute évidence, la sauvegarde est un pré-requis afin de pouvoir restaurer Active Directory.

La sauvegarde Active Directory permet de protéger son annuaire contre toute sorte d’anomalies : erreurs humaines, pannes, attaques et cætera.

Votre capacité à restaurer reste clairement un levier permettant d’économiser du temps et de l’argent lorsque des évènements handicapants comme ceux cités ci-dessus se produisent.

 

Méthodologie au global

 

La restauration Active Directory commence par un plan de sauvegarde complet et bien pensé, grâce à une stratégie (la vôtre pour être précis). Il faut prendre en compte l’annuaire lui-même et l’ensemble des applications connexes.

La forme technique est simple et consiste à se prémunir de plusieurs strates de protection.

Ma recommandation en tant qu’expert est la suivante : il faut que vous ayez les différentes formes de sauvegarde comme indiqué ci-après :

  • Corbeille Active Directory : permet de restaurer en temps réel les objets en cas de suppression,
  • Cliché instantané Active Directory (snapshot Active Directory) : permet de reconstruire sans effort l’état exact des objets récupérés de la corbeille, en temps réel,
  • Sauvegarde de l’état système Active Directory (system data state backup) : permet de reconstruire l’annuaire en mode récupération au dessus d’un système sain,
  • Sauvegarde BMR (Bare Metal Recovery backup) : permet de reconstruire l’annuaire et le système en démarrant avec une image ISO.

 

En quelques mots, chacune de ces formes de sauvegarde est nécessaire avec l’objectif de limiter l’indisponibilité de l’annuaire Active Directory.

Ainsi, vous pouvez garantir une bonne cohérence de vos objets à tout moment et adapter votre façon de mener la restauration Active Directory en fonction des situations.

 

Différence entre System State et Bare Metal Recovery

 

La « sauvegarde de l’état du système » sauvegarde les fichiers du système d’exploitation, vous permettant de récupérer une machine qui démarre mais dont les fichiers systèmes et la base de registre ont été perdus.

L’état du système comprend :

  • Les fichiers d’amorçage, la base de données d’enregistrement des classes COM+, le registre pour un serveur membre du domaine,
  • La base Active Directory (NTDS.DIT), les fichiers de démarrage, la base de données d’enregistrement de la classe COM+, le registre et le volume système (SYSVOL) pour un serveur contrôleur de domaine

Par extrapolation, pour des raisons d’efficacité totale, les machines exécutant des services spécifiques nécessitent d’avoir une sauvegarde spécifique, e.g. PKI, Exchange et autres. Elles doivent être exécutées au même moment que celles de l’annuaire Active Directory.

Le processus « bare metal recovery » sauvegarde les fichiers du système d’exploitation et de toutes les données sur les volumes critiques. Il y a une exception pour les données relatives aux utilisateurs (non sauvegardées). Par conséquent, une sauvegarde BMR inclut une sauvegarde de l’état du système. Cette dernière offre une protection lorsqu’une machine ne démarre plus, un contrôleur  de domaine en l’occurence, et qu’il faut tout récupérer ou tout reconstruire, typiquement ex nihilo.

Ces deux types de sauvegarde sont complémentaires.

 

Outils, sauvegarde et restauration Active Directory

 

Les outils natifs de l’éditeur, ntdsutil et Windows Server Backup, sont largement suffisants pour mener à bien les quatre niveaux listés précédemment. Ils oeuvrent pour la protection, la sauvegarde et la restauration.

La sauvegarde peut être réalisée simplement comme suit :

  1. Add-windowsfeature Windows-Server-Backup
  2. wbadmin start systemstatebackup -backupTarget: %volume% [-quiet]

Il existe toutefois maints autres outils du marché pour réaliser la partie system state backup et bare metal recovery. Quoi qu’il en soit, ces outils tiers se basent sur l’API VSS fourni par l’éditeur, c’est-à-dire Windows Server Backup.

La bonne protection de son annuaire d’entreprise n’est pas une question d’outillage. C’est tout simplement une question de stratégie, de maturité et de lucidité avant tout.

Autrement dit, la rigueur est de mise, c’est l’unique clé. Tel est mon retour d’expérience après maints sauvetages d’annuaire LDAP menés et réussis : BIND, NDS, eDirectory et mon favori du moment Active Directory.

 

Restauration Active Directory, le concept

 

Il n’y a aucune possibilité de restaurer de façon cohérente et efficace sans détenir une sauvegarde consistante.

Les exercices de sauvegarde et de restauration Active Directory doivent ainsi être menés régulièrement et évalués. Ils sont donc à caler par rapport à une stratégie de type PRA ou PCA idéalement, toujours à l’échelle de l’entreprise.

La restauration Active Directory se catégorise essentiellement en deux parties : la restauration non-authoritative et la restauration authoritative. Cela est dû au fait qu’Active Directory est une base de données transactionnelles et multi-maîtres.

La première consiste à restaurer l’annuaire Active Directory afin que le serveur restauré absorbe les réplications, tandis que la seconde consiste à diffuser de manière autoritaire l’état de l’annuaire à l’entièreté des contrôleurs de domaine restés en ligne.

La restauration authoritative permet de récupérer de façon granulaire chaque élément et/ou chacune des partitions Actrice Directory si cela est nécessaire : objet(s), arborescence(s), partition(s) et ainsi de suite.

La restauration d’une forêt Active Directory revient à reconstruire la forêt à partir d’une sauvegarde en restaurant un contrôleur de domaine par domaine.

 

Restauration Active Directory, une analyse situationnelle permanente !

 

Dans les deux cas, restauration non-authoritative ou restauration authoritative, il faut activer le mode DSRM (Directory Services Restore Mode).

La restauration doit s’effectuer avec les mêmes outils ayant servis à mener la sauvegarde Active Directory. C’est pourquoi l’utilisation des outils natifs représentent un avantage non négligeable, puisqu’ils sont disponibles à la demande. Si vous devez remettre en état l’outil tiers avant de mener la restauration, cela aura un impact sur le RTO.

Lors de la phase de restauration, il vous faut préciser le type de restauration à mener : non-authoritative versus authoritative.

Cependant, il faut noter que la finalisation de la restauration nécessite des indications complémentaires quant aux objets à restaurer. C’est un impératif avant de revenir au mode normal, i.e. sortir du mode DSRM.

Voici deux exemples simples de restauration :

  • Restauration d’un objet unique :

ntdsutil « auth restore » « restore object %CN%  » q

  • Restauration d’une arborescence :

ntdsutil « auth restore » « restore subtree %OU%  » q

 

Les besoins relatifs à la restauration authoritative partielle peuvent être couverts avec la combinaison de la corbeille Active Directory et du cliché instantané, rappelons-le.

La reconstruction d’un environnement nécessite au moins la présence d’un contrôleur de domaine fonctionnel et opérationnel par domaine, rappelons-le également.

La reconstruction des contrôleurs de domaine non sauvegardés doit se faire via IFM (Install From Media).

La méthode de restauration que vous devez entreprendre dépend donc de vos RTO habituels. Cet indicateur doit clairement être formalisé dans la stratégie de sauvegarde.

Enfin, ceux qui recréent manuellement les objets supprimés me surprendront toujours, mais dans le mauvais sens du terme (sic).

 

Stratégie de sauvegarde Active Directory

 

Il y a une certaine conduite à mener avant de forger une stratégie de sauvegarde Active Directory.

Dès sa conception ou lors de la transformation du SI, il y a des points de vigilance à avoir vis-à-vis des éventuelles adhérences applicatives ou encore de la bonne redondance de l’annuaire Active Directory. L’objectif d’une restauration Active Directory est avant tout de rendre le service. Une cartographie à jour des applications est de ce fait plus que nécessaire.

Quand la gouvernance et la stratégie sont au rendez-vous, la règle devient simple : aucun contrôleur de domaine Active Directory ne doit être un SPOF (Single Point Of Failure) quelle que soit l’application.

Par la suite, il y a quelques points d’attention et reflexes à avoir :

  • Il n’est pas forcément nécessaire de sauvegarder chaque contrôleur de domaine,
  • La sauvegarde doit être cohérente, consistante et régulière,
  • Les adhérences doivent être éliminées ou au pire clairement identifiées et consignées.

Au-delà de ces points, vous devez veiller à ce que votre annuaire bénéficie des pré-requis (un système à jour, un DNS cohérent et stable, une bonne structure réseau a minima) pour être en capacité de rester dans un état optimal de façon permanente.

Pour le reste, les résultants des sauvegardes doivent de toute évidence être protégées contre l’effacement ou le chiffrement non maîtrisé par exemple.

 

Conclusion

 

Active Directory est un socle stratégique pour les entreprises, donc important. Il opère bien au-delà du simple mécanisme d’authentification des utilisateurs. Ce rappel est important puisque certaines firmes continuent de jouer avec le feu en minimisant l’intérêt des services d’annuaire.

A partir de là, la sauvegarde et la restauration Active Directory sont fondamentales. La reconstruction de l’infrastructure après un sinistre en dépend entièrement, mais cet exercice ne doit pas se faire n’importe comment. Restaurer sa forêt Active Directory est le dernier acte à mener en cas de sinistre.

Afin de garantir une stratégie réussie et sécurisée pour Active Directory, sans oublier les applications, vous devez documenter l’ensemble ; cela, dès l’intégration de chaque brique de votre infrastructure. La continuité des services se réfléchit dès la conception de son infrastructure informatique et reste un exercice permanent.

De cette documentation doivent découler des plans de sauvegarde et récupération Active Directory. Ces derniers sont essentiels vis-à-vis de la sécurité de l’infrastructure et de la continuité des services au quotidien.

Un bon niveau de maturité autour du sujet traité dans cet article doit au moins monter une production stable et sereine, un PCA puis enfin un PRA. Si vos plans ne montrent qu’une production fragile et un PRA qui plus est bancal, c’est que vous être très loins du compte.

Share This