Lire la série complète:
Ch.1- Sauvegarde du Contrôleur de domaine
Ch.2 – Comment récupérer un contrôleur de domaine
Ch.3 – Réanimation des objets de pierre tombale Active Directory
Ch.4- Tirer parti de la corbeille Active Directory
Microsoft Active Directory est une norme dans les environnements d’entreprise où l’authentification et la gestion centralisée des utilisateurs sont requises. Il est presque impossible d’imaginer comment les administrateurs système seraient capables de faire leur travail efficacement si cette technologie n’existait pas. Active Directory est non seulement une grande puissance, mais c’est aussi une grande responsabilité — et cela nécessite de passer beaucoup de temps avec elle afin de maximiser ses capacités.
Le but de cette série est de vous aider à la sauvegarde et à la récupération réussies des services de domaine Active Directory avec Veeam, en vous donnant toutes les clés d’une protection AD sans douleur. Avant de lire ceci, vous voudrez peut-être jeter un coup d’œil aux Meilleures pratiques pour la série d’administration des annonces que nous avons publiée il y a quelque temps.
La série actuelle va discuter de la manière dont Veeam peut protéger les données Active Directory — préserver les contrôleurs de domaine (DCS) ou les objets AD individuels et récupérer l’un ou l’autre d’entre eux si nécessaire.
Aujourd’hui, je vais parler des options de sauvegarde proposées par Veeam pour les contrôleurs de domaine physiques et virtualisés, et des considérations de sauvegarde à garder à l’esprit pendant que vous faites cela.
Considérations relatives au contrôleur de domaine de sauvegarde
En tant que services de domaine Active Directory conçus avec une sorte de redondance, les règles et tactiques de sauvegarde communes peuvent être atténuées et adaptées à ce niveau. Il ne serait pas juste d’appliquer la même politique de sauvegarde que vous avez pour SQL ou Exchange Server ici. Voici quelques considérations qui, à mon avis, pourraient être utiles pour créer vos propres stratégies Active Directory:
- Découvrez quels contrôleurs de domaine détiennent des rôles FSMO (Single Master Operations) flexibles dans votre environnement. Astuce: une commande simple pour vérifier cela via la ligne de commande: > requête netdom fsmo
Lorsque vous effectuez une récupération complète du domaine, vous pouvez commencer à partir du DC avec la plupart des rôles FSMO, généralement un avec un rôle d’émulateur PDC. Sinon, vous devrez transférer les rôles manuellement après la restauration avec la commande ntdsutil seize. Soyez conscient de cela lors de la planification de la sauvegarde et hiérarchisez les contrôleurs de domaine en conséquence. Reportez-vous au livre blanc sur les bases d’Active Directory pour en savoir plus sur les rôles FSMO.
- Si vous avez plusieurs contrôleurs de domaine pour le site et que vous recherchez une protection des objets individuels, il n’est pas nécessaire de sauvegarder tous les CD, comme pour la récupération au niveau de l’élément, une copie de la base de données Active Directory (NTDS.dit) serait suffisant
- Il y a des choses qui peuvent toujours atténuer le risque de suppression accidentelle / intentionnelle / changement d’objets AD. Considérez la délégation des opérations d’administration, la configuration de l’accès restreint aux groupes élevés et le maintien d’un site « lag »
- Il est généralement recommandé d’effectuer une sauvegarde d’un contrôleur de domaine à la fois, pour ne pas interférer avec la réplication DFS – même si les applications de sauvegarde modernes (ex. Veeam Backup & Réplication v7 avec Patch 3 et suivants) sachez comment gérer ce
- Si vous disposez d’un environnement virtuel VMware et qu’il n’est pas possible de vous connecter à votre contrôleur de domaine sur le réseau, comme par exemple, il peut être en DMZ. Dans ce cas, Veeam basculera sur le VIX et devrait pouvoir traiter votre DC.
Comment sauvegarder un contrôleur de domaine virtuel
Les services Active Directory de Microsoft organisent et conservent les informations sur les objets individuels dans la forêt et les stockent dans une base de données relationnelle (NTDS.dit), hébergé par un contrôleur de domaine. La sauvegarde d’un contrôleur de domaine était auparavant un processus fastidieux, impliquant la sauvegarde de l’état du système du serveur. C’est un fait bien connu, que les services Active Directory ne consomment pas beaucoup de ressources du système, de sorte que les contrôleurs de domaine semblent être les premiers serveurs toujours virtualisés dans l’environnement. S’il vous arrive de partager l’ancienne croyance du « DCs physique uniquement », veuillez vous référer à cet article.
Une fois virtualisés, ils sont assez faciles à gérer par un administrateur de domaine/système et peuvent être facilement sauvegardés avec la réplication Veeam Backup &. En ce qui concerne les détails, la réplication Veeam Backup & devrait être installée et configurée. La configuration système requise (de la version 9.0) sont les suivantes :
Plate-forme virtuelle : VMware vSphere 4.1 et plus récent ; Microsoft Hyper-V 2008 R2 SP1 et plus récent
Veeam server : Windows Server 2008 SP2 et plus récent ; Windows 7 SP1 et plus récent, SYSTÈME d’exploitation 64 bits
Machine virtuelle (VM) de contrôleur de domaine : Windows Server 2003 SP1 et plus récent, le niveau fonctionnel de forêt minimum pris en charge de Autorisations Windows 2003
: Droits d’administration pour Active Directory cible. Compte d’un administrateur d’entreprise ou d’un administrateur de domaine.
Cet article n’a pas l’intention de couvrir un processus d’installation et de configuration de réplication Veeam Backup &, tel qu’il a déjà été défini à plusieurs reprises. Mais, si vous avez besoin d’aide pour cela, veuillez vous référer à la vidéo suivante enregistrée par un ingénieur système Veeam.
Je vais supposer que tout fonctionne bien. Vous souhaitez maintenant configurer une tâche de sauvegarde pour votre contrôleur de domaine virtuel. Le processus de configuration est assez simple (voir figure 1 ci-dessous):
1. Lancez un assistant de création de tâche de sauvegarde
2. Ajoutez un contrôleur de domaine souhaité à la tâche
3. Spécifiez la stratégie de rétention pour la chaîne de sauvegarde
4. Assurez-vous d’activer l’application-aware image processing (AAIP) pour assurer la cohérence transactionnelle du système d’exploitation et des applications s’exécutant sur la machine virtuelle, y compris la base de données Active Directory et le catalogue SYSVOL
Remarque : AAIP est une technologie Veeam qui permet aux logiciels de sauvegarder les machines virtuelles de manière compatible avec les applications. Cela implique de détecter les applications d’un système d’exploitation invité et de collecter leurs métadonnées, de les désactiver à l’aide des rédacteurs VSS Microsoft correspondants, de préparer une procédure de restauration VSS spécifique à l’application qui aura lieu lors du premier démarrage de la machine virtuelle restaurée et de tronquer les journaux de transactions de l’application si la tâche de sauvegarde réussit. Veuillez vous référer à la documentation de l’AAIP pour plus de détails.
Ne pas activer AAIP ne déclenchera pas le système d’exploitation invité du contrôleur de domaine pour se rendre compte qu’il a été sauvegardé et protégé. Ainsi, quelque temps plus tard, vous remarquerez peut—être un avertissement interne dans les journaux du serveur – événement 2089, indiquant qu’il n’y avait pas de sauvegarde pour les jours « intervalle de latence de sauvegarde ».
5. Planifiez une tâche ou exécutez-la manuellement
6. Assurez-vous que la tâche est terminée avec succès sans erreurs ni avertissements
7. Trouvez le fichier de sauvegarde nouvellement créé dans le référentiel de sauvegarde — c’est tout!
En outre, vous pouvez stocker une sauvegarde dans le cloud avec le fournisseur de services Veeam Cloud Connect (VCC) ou un autre référentiel de sauvegarde à l’aide des tâches de copie de sauvegarde Veeam ou l’archiver sur bande avec la tâche de sauvegarde sur bande. La chose la plus importante est que la sauvegarde est maintenant sûre et peut être restaurée dès que vous en avez besoin.
Comment sauvegarder un contrôleur de domaine physique
Franchement, j’espère que vous mettez à jour les services AD dans votre entreprise et que vos contrôleurs de domaine sont virtualisés depuis longtemps. Sinon, j’espère que vous avez au moins mis à jour vos contrôleurs de domaine et qu’ils exécutent des versions de système d’exploitation Windows Server relativement modernes, Windows Server 2008 R2 ou plus récent. (Si vous gérez des systèmes plus anciens, ignorez ce qui suit et passez immédiatement au troisième article)
Vous avez donc un contrôleur de domaine physique — ou un ensemble d’entre eux — fonctionnant sur Windows Server 2008 R2 ou plus récent, et vous souhaitez protéger votre ANNONCE ? Rencontrez Veeam Endpoint Backup, l’utilitaire visant à garantir la sécurité des données de vos terminaux et serveurs physiques restants. Veeam Endpoint Backup capture les données souhaitées de la machine physique et les stocke dans un fichier de sauvegarde. Ensuite, en cas de sinistre, vous pouvez effectuer une restauration au niveau du métal nu ou du volume, tout en ayant le contrôle total des procédures de récupération. De plus, récupération au niveau des éléments avec Veeam Explorer pour Microsoft Active Directory.
Afin de sauvegarder votre contrôleur de domaine physique avec cet outil, vous devez:
- Téléchargez Veeam Endpoint Backup GRATUITEMENT à partir de cette page et copiez-le sur votre DC
- Lancez l’assistant d’installation, acceptez le contrat de licence et installez le programme
Remarque : lisez ces instructions pour l’installation en mode sans surveillance.
- Configurez une tâche de sauvegarde en sélectionnant le mode de sauvegarde approprié. La sauvegarde de l’ordinateur entier est l’approche la plus simple et recommandée. Lorsque vous utilisez le mode de sauvegarde au niveau du fichier, assurez-vous de sélectionner le système d’exploitation comme objet à sauvegarder (voir Figure 3). Cela garantit que le programme capture tous les fichiers requis pour la restauration nue, la base de données Active Directory et le catalogue SYSVOL seront également enregistrés. Reportez-vous au guide de l’utilisateur du produit pour plus de détails
Remarque : Si vous disposez d’une instance de réplication Veeam Backup & dans votre infrastructure et que vous souhaitez utiliser un référentiel Veeam Backup configuré pour accepter les sauvegardes de points de terminaison, veuillez le reconfigurer directement à partir de la réplication Veeam Backup & (Ctrl – clic droit sur un référentiel souhaité, autoriser l’accès au référentiel et activer le chiffrement des sauvegardes si nécessaire, voir Figure 4).
- Exécutez la sauvegarde et assurez-vous qu’elle est effectuée sans erreur
- Voilà! La sauvegarde est effectuée et votre contrôleur de domaine est désormais protégé. Accédez à la destination de la sauvegarde et recherchez la sauvegarde ou la chaîne de sauvegarde
Remarque. Si vous avez configuré un référentiel de réplication Veeam Backup & comme cible pour la sauvegarde CC, recherchez la sauvegarde nouvellement créée dans le nœud de disque Backups >, placé sur le nœud Backups Endpoint.
Conclusion
La sauvegarde du contrôleur de domaine est-elle aussi simple que cela ? Oui et non. Une sauvegarde réussie est idéale pour les débutants, mais ce n’est pas tout ce dont vous avez besoin. Comme nous le disons chez Veeam, » La sauvegarde ne vaut pas un sou si vous ne pouvez pas la restaurer. »
Les articles suivants de cette série sont consacrés à différents scénarios de récupération Active Directory, y compris la restauration d’un contrôleur de domaine particulier, ainsi que la récupération d’objets supprimés et modifiés individuels à l’aide d’utilitaires Microsoft natifs et de Veeam Explorer pour Active Directory.
Voir aussi
- Livre blanc Récupération granulaire des objets Active Directory
- Forums communautaires Veeam : Sauvegarde du Contrôleur de domaine dans un autre problème de domaine AD