EPFL > VPSI > IT > EXAPP - Site d'information: WinAD (Windows Active Directory)
 

  Affiche tous les articles

 Mode d'emploi du moteur de recherche  Rechercher : 
Moteur de recherche
Home page
Accréditation
Activation MS
AD c'est quoi ?
AD PowerShell
Authentifications
Autorisations DHCP
bugs
Conseils AD
DCs Sécurité
Délégations OUs
Domaine SC
Gaspar
GPO
Grp-Staff
KMS
Migrations
Outils
Procès verbaux
Profiles Itinérants
PWAD
Règles de nommage
Restaurations DC Fac
· Event ID 2087: DNS lookup failure caused replication to fail
· Comment Enlever un DC orphelin d'un domaine
· Pour restaurer les données d’un DC
· oublié le Mot de passe de restauration du service d'annuaire
· Documentation minimale pour la restauration des domaines contrôleurs de facultés
· DOC-Modèle pour la restauration des domaines contrôleurs de facultés
· Comment rétrograder un DC irréparable sans reformater la machine
· Réparation de l'Active Directory
· Compactage et réindexation de la base de données Active Directory
· topologie réseau avec VISIO
ServerAD2003
ServerAD2008
Seven
Students
synchro
toto1
Trucs et Astuces
Win 8.1
WinAD
Windows 10
Windows 8
Windows Server
Wins
Work Shop
  Afficher une version imprimable de ce document dans une nouvelle fenêtre
 
Pour restaurer les données d’un DC
 

Démarrer directement à partir d'une image saine (en Workgroup) ou d'une réinstallation de l'OS sur le serveur, c'est mieux si votre serveur est trop pourri !

Puis une fois la machine patchée et sécurisée (check sécurité full scan EPO ) en mode WorkGroup (il n'est pas nécessaire de la mettre dans le domaine car c'est durant la restauration du SystèmeState que se fera le boulot) amorcez une des deux procédures (A ou B) ci-dessous afin de restaurer l'état du système Active Directory

Conseils

Ouvrez l'utilitaire de sauvegarde L'Assistant Sauvegarde ou Restauration démarre par défaut, sauf s'il est désactivé.Cliquez sur le lien Mode avancé dans l'Assistant Sauvegarde ou Restauration.

Cliquez sur l'onglet Restaurer et gérer le média, puis activez la case à cocher qui se trouve à côté de État du système. Cela permet de restaurer les données sur l'état du système en même temps que les autres données sélectionnées pour l'opération de restauration en cours.Mais pour un DC seul État du système suffit pour restaurer un DC défaillant (à condition que le Hardware de la machine soit identique au DC original en cas de remplacement matériel)

Remarques

  • Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs sur l'ordinateur local, ou avoir reçu par délégation les autorisations nécessaires. Si l'ordinateur est joint à un domaine, les membres du groupe Admins du domaine peuvent être en mesure d'effectuer cette procédure. Pour des raisons de sécurité, il est recommandé d'utiliser Exécuter en tant que pour effectuer cette procédure.
  • Pour démarrer l'utilitaire de sauvegarde, cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, puis sur Outils système, puis cliquez sur Sauvegarde.
  • Vous pouvez également utiliser l'Assistant Restauration pour restaurer les données sur l'état du système, en cliquant dans le menu Outils sur Assistant Restauration.
  • Si vous restaurez les données sur l'état du système vers un contrôleur de domaine, vous devez choisir entre exécuter une restauration principale, une restauration faisant autorité ou une restauration ne faisant pas autorité. La méthode de restauration par défaut des données sur l'état du système vers un contrôleur de domaine est la restauration ne faisant pas autorité (normale). Dans ce mode, tous les composants de l'état du système qui sont répliqués sur un autre contrôleur de domaine, par exemple le service d'annuaire Active Directory ou le service de réplication de fichiers (ainsi que le répertoire SYSVOL), sont mis à jour par réplication une fois les données restaurées. Par exemple, si la dernière sauvegarde date d'une semaine et que l'état du système est restauré à l'aide de la méthode de restauration par défaut (ne faisant pas autorité), toutes les modifications postérieures à l'opération de sauvegarde sont répliquées à partir des contrôleurs de domaines.

    Parfois, vous ne souhaiterez peut-être pas répliquer les modifications postérieures à la dernière opération de sauvegarde. En d'autres termes, vous souhaiterez que l'état de tous les réplicas soit identique à celui des données sauvegardées. Pour parvenir à ce résultat, vous devrez effectuer une restauration faisant autorité.

    Vous devrez par exemple effectuer une restauration faisant autorité si vous supprimez par inadvertance des utilisateurs, groupes ou unités d'organisation du service d'annuaire Active Directory et que vous souhaitez restaurer le système afin de récupérer et de répliquer les objets supprimés. Pour cela, vous devrez exécuter l'utilitaire Ntdsutil après avoir restauré les données mais avant de redémarrer le contrôleur de domaine. Cet utilitaire vous permet de marquer les objets destinés à une restauration faisant autorité, garantissant ainsi que toutes les données répliquées ou distribuées que vous restaurez sont ensuite convenablement répliquées ou distribuées dans votre organisation. L'utilitaire de ligne de commande Ntdsutil peut être exécuté à partir d'une invite de commandes. L'aide de l'utilitaire Ntdsutil peut également être obtenue à l'invite de commandes en tapant ntdsutil /?.

  • Pour restaurer les données sur l'état du système sur un contrôleur de domaine, vous devez tout d'abord démarrer votre ordinateur dans un mode de démarrage spécial nommé Restauration des services d'annuaire. Cela vous permet de restaurer le répertoire SYSVOL et la base de données du service d'annuaire Active Directory. Pour accéder au mode Restauration des services d'annuaire, appuyez sur F8 pendant le démarrage et sélectionnez ce mode dans la liste des options de démarrage
  • Vous ne pouvez restaurer les données sur l'état du système que sur un ordinateur local. Vous ne pouvez pas restaurer les données sur l'état du système sur un ordinateur distant.
  • Attention,
  • Important de ne pas restaurer un DC, possédant un rôle FSMO transféré durant son absence sur un autre DC, un conflit FSMO grave se produirai dans la forêt

A) Procédure de la restauration Active Directory dite Normal , non-authoritative (par défault)

Définition:En cas de restauration non forcée, tout composant de l'état du système qui est répliqué vers un autre contoleur de domaine, tel que le service d'annuaire Active Directory, sera mis à jour par la réplication une fois les données restaurées.

 

Grâce à la sauvegarde du système précédente nous allons effectuer une restauration normale.

 

1. Redémarrez le contrôleur de domaine

2. Lorsqu’ on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur,

3. Dans le menu, sélectionnez Mode restauration Active Directory (contrôleurs de dom.Windows).

4. Ouvrez une session en tant qu'administrateur avec le mot de passe que vous avez

entrez lors de l'installation d’active Directory.

Attention : il s'agit la du compte local de la Base de données des utilisateurs qui appartient à la

machine qui a été démarré dans le Mode de restauration Active Directory. Contrairement a

Windows NT cette base existe sur chaque Contrôleur de domaine Windows.

Lors d'un démarrage normal de Windows cette base de données des comptes des

utilisateurs stocké dans le registre n est pas disponible et vous pouvez uniquement ouvrir une session avec un compte défini dans Active Directory.

5. Sélectionner la sauvegarde correspondant à l’état de votre système, importer l’Etat du système,ensuite il faut bien préciser le type de restauration à effectuer, comme le choix de l’écrasement des fichiers existants ou non.Dans notre cas nous choisirons « Ne pas remplacer les fichiers sur mon ordinateur », choix recommandé par défaut., Restaurer la base de données, Terminer

6. Une fois la restauration terminée, quittez le gestionnaire des sauvegardes

7. Voulez vous redémarrer votre ordinateur maintenant ?

8. Répondez OUI

9. Redémarrez le serveur

10. Effectuez une synchronisation entre les contrôleurs du domaine

 

 

    B) Procédure de Restauration authoritative d'objet dans Active Directory

    Définition: Si vous ne voulez pas répliquer les modifications intervenues après la dernière opération de sauvegarde, vous devez procéder à une restauration forcée.c'est ce que vous devrez faire, si vous avez supprimé, par inadvertance, des utilisateurs, des groupes ou des unités d'organisations et si vous voulez restaurer le système afin de récupérer et répliquer les objets supprimés

     

    N'effectuez jamais une restauration autoritaire de plusieurs contrôleurs de domaine en même temps !

     

    La restauration autoritaire d'un contrôleur de domaine restaure : AD (NTDS), Le Registre Le volume SYSVOL, BOOT Files, La base de données COM+ et si il est installé le serveur des certificats.

     

    Nous allons procéder à la restauration authoritative d’une OU qui à été effacée par erreur, en utilisant la dernière sauvegarde du DC ( IMPORTANT DE FAIRE DES BACKUP DEUX FOIS PAR JOUR SUR LE DC QUI DETIENT LES FSMO)

    Ne restaurez pas tous les contrôleurs d'un domaine d'une manière autoritaire en même temps !

    Si nécessaire faites d'abord une restauration autoritaire pour le premier et une

    Restauration non-authoritative sur le deuxième ;

     

    1. Redémarrez le contrôleur de domaine

    2. Lorsqu'on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur

    3. Dans le menu sélectionnez Mode restauration Active Directory (contrôleurs de dom.

    Windows).

    4. Ouvrez une session en tant qu’administrateur avec le mot de passe que vous avez

    entrez lors de l'installation d'Active Directory.

    Attention :  il s'agit ici du Compte local de la Base de données des utilisateurs locale (SAM) qui

    appartient à la machine qui a été démarrée dans le Mode de restauration Active Direcory.

    Contrairement à Windows NT cette base existe Séparément sur chaque Contrôleur de domaine

    Windows. Lors d’un démarrage normal de Windows cette base de données des

    comptes des utilisateurs (SAM) stockées dans le registre n'est pas disponible et vous pouvez

    uniquement ouvrir une session avec un compte défini dans Active Directory.

    5. Ensuite restaurer à partir de votre dernière sauvegarde l’état du système (soit ntbackup,veritas par ex.) ,

    Ensuite il faut bien préciser le type de restauration à effectuer, comme le choix de l’écrasement des fichiers existants ou non.Dans notre cas nous choisirons « Ne pas remplacer les fichiers sur mon ordinateur  », choix recommandé par défaut., Restaurer la base de données, Terminer

    6. Une fois la restauration terminée quittez le gestionnaire de sauvegardes

    7. Voulez vous redémarrer votre ordinateur maintenant ?

    8. Répondez NON pour effectuer une restauration autoritaire

    9. A l'invité de commande de Windows tapez ntdsutil

    10. A l'invité de commande de ntdsutil, entrez : authoritative restore

    11. tapez ensuite : restore subtree  par exemple : "OU=……,DC=intranet,DC=epfl,DC=ch" ou restore object par exemple :
    "CN=Petrescu Camil-Demetru,OU=users,OU=cms,OU=f-cms,ou=hote,DC=hote,DC=intranet,DC=epfl,DC=ch"

    (Seulement Si il est nécessaire de restaurer l’intégralité de la base donnée de l’annuaire vous

    pouvez utiliser la commande . restore database)

    12. Quittez ntdsutil en tapant à deux reprises la commande Quit

    13. Redémarrez le serveur Le redémarrage peut durer 15 a 30 minutes

    14. Pour vous assurer d’avoir les fichiers les plus récents , Attendez que le Sysvol soit

    publié, cela peux prendre du temps ( 30 minutes suivant les cas)

    15. Vérifiez l’existence de l’unité d’organisation que vous venez de restaurez et ce qu’elle contient.

    Article N° 69, du 07.10.2005, par Alain Gremaud
    URL de cet article : http://winad.epfl.ch/?article=69

    © 2017 VPSI - EXAPP - TC