Copains Comme Cochon

Active Directory est le coeur et le fondement du système serveur de Windows. Plus d'Active Directory signifie que vous avez perdu la gestion des utilisateurs, des comptes d'ordinateurs, des stratégies de groupes, des permissions sur les imprimantes et sur les fichiers. Si Exchange est installé, vous perdez encore plus car Exchange modifie le schéma Active Directory. Si vous avez une autorité de certification, même problème. Bref, vous perdez tous ce qui a donc une importance vitale.

En cas de crash du seul serveur et donc du seul contrôleur Active Directory (ce qui est le cas dans la majorité des TPE/PME), vous permet donc l'intégralité du fonctionnement du système avec impossibilité pour les utilisateurs de se connecter et d'utiliser les ressources partagées par ce serveur. Chaque minutes passées dans cet état est une perte de production nette pour l'entreprise. Dans un environnement économique tel que le notre, aucune entreprise ne peut se permettre un arrêt de production.

Il est donc primordial de sauvegarder Active Directory. Théoriquement, il n'est pas nécessaire d'effectuer une sauvegarde quotidienne de l'AD, sauf si vous faites des modifications tous les jours. Une sauvegarde, une fois par semaine, semble suffisant pour s'assurer de la reprise de Windows.

Généralement, les serveurs sont équipés de logiciel de sauvegarde, type BackupExec ou Brighstor Arcserve. Ces logiciels offrent la possibilité de sauvegarder Active Directory. Cependant, la procédure de restauration peut s'avérer longue et compliquée et pas sans erreur, surtout si on est pressé.

Personnellement, je conseille d'utiliser l'utilitaire de sauvegarde integré à Windows : NTBackup (ou Windows Backup sous 2008). Je ne parle pas de remplacer BackupExec et les autres, je conseille plutot de faciliter la vie de l'administrateur. En effet, il est assez simple de planifier une sauvegarde de l'état du système dans NTBackup vers un fichier à plat (.bkf) et de ramasser ensuite ce fichier sur bande via le logiciel approprié.

Ce phénoméne prend d'autant plus d'importance avec la généralisation de la sauvegarde à distance. Majoritairement, les services de sauvegardes à distance ne sont pas en mesure d'effectuer la sauvegarde du système. Il est donc indispensable de faire une sauvegarde via NTBackup et de la remonter directement par le service de sauvegarde à distance. Cette précaution évite ainsi de s'apercevoir, lorsque le serveur est crashé, que l'on ne dispose pas de sauvegarde d'Active Directory.

Dans un environnement TPE/PME, moins de 50 utilisateurs, il faut moins d'une demi-journée pour remettre le serveur en route avec la sauvegarde adapté (hors cas spécifiques) alors qu'il faudra 2 ou 3 jours pour tout reconstruire manuellement. Le gain de temps et donc d'argent est inévitable ...

Restaurer l'Active Directory peut être nécessaire pour beaucoup de raison, surtout si l'on dispose uniquement d'un controleur de domaine. Bon nombre d'installation sont équipées de Symantec Backup Exec pour la partie sauvegarde. Les administrateurs qui utilisent ce logiciel savent bien qu'il est nécessaire de faire tourner les services Backup Exec avec un compte de service autre que système local pour permettre la sauvegarde de certains éléments tel que les boites Exchange ou les bases de données SQL.

Le problème est que pour restaurer l'Active Directory, il est nécessaire de rédemarrer le contrôleur de domaine en mode "Restauration Active Directory" (F8 au démarrage de Windows). Or, comme pour restaurer un système, Active Directory n'est pas démarrer dans ce mode. Les services utilisant donc un compte Active Directory ne démarre donc pas, faute de pouvoir s'authentifier. C'est donc le cas pour les services Backup Exec, qui, dans cet état permet donc de restaurer rien du tout. Mais alors comment on fait pour récupérer la sauvegarde AD ???

L'astuce consiste à passer les services Backup Exec (ainsi que la base de données SQL de Backup Exec) en connexion sur le compte système local. Cependant, après avoir modifier l'authentification des services, il est toujours impossible de les démarrer. Il est donc nécessaire et impératif de rédémarrer le serveur complétement à nouveau. Il est possible de le rédémarrer en mode "Restauration Active Directory" sans passer par un mode normal (encore heureux si l'OS est complétement planté). A ce moment, une fois authentifié, vous pourrez accèder à Backup Exec et restaurer l'Active Directory. 

Attention toutefois, vous devez vous authentifier pour restaurer la ressource, vous devrez donc modifier, ou mieux créer, un compte dans Backup Exec pour l'accès à la ressource. D'ailleurs, ce compte ne peut avoir qu'une seule identité, celle de l'administrateur et le mot de passe celui du mode de restauration Active Directory.

PETIT CONSEIL : Rien de mieux que de réaliser un NTBackup dans un fichier BKF sur disque et de sauvegarder ensuite ce fichier sur un média (Bande ou disque externe). Cet article sur Backup Exec montre bien qu'il sera plus simple d'utiliser un NTBackup que de faire les modifications de compte de service qui requiert un redémarrage supplémentaire. L'utilité de laisser une copie de ce BKF sur le serveur permet encore de gagner du temps dans le cas où le disque est lisible.