Guide de sauvegarde Active Directory
Active Directory (AD)est un service d'annuaire propriétaire Microsoft développé pour les réseaux de domaine Windows. Il a été introduit pour la première fois dans Windows Server 2000 pour la gestion centralisée des domaines.
Il est désormais inclus dans tous les systèmes d'exploitation Windows Server ultérieurs, permettant aux administrateurs réseau de créer et de gérer des domaines, des utilisateurs, des objets, des privilèges et des accès au sein d'un réseau.
AD est excellent pour gérer l’infrastructure Microsoft traditionnelle sur site, mais pas les environnements cloud. L'infrastructure cloud Microsoft utilise Azure Active Directory, qui remplit les mêmes objectifs que son homologue sur site. Active Directory et Azure Active Directory sont distincts mais peuvent fonctionner ensemble dans une certaine mesure si votre organisation dispose d'un déploiement hybride (sur site et cloud).
La disposition AD suit une structure à plusieurs niveaux composée de domaines, d'arborescences et les forêts . Un domaine est un groupe d'objets (tels que des utilisateurs ou des appareils) partageant la même base de données AD. Un arbre est un ensemble de domaines et une forêt est un ensemble d'arbres. Le principal service Active Directory est Active Directory Domain Services (AD DS), qui fait partie du système d'exploitation Windows Server. Les serveurs qui exécutent AD DS sont appelés contrôleurs de domaine (DC). Certaines organisations disposent de plusieurs contrôleurs de domaine et chacun dispose d’une copie du répertoire pour l’ensemble du domaine. Pour garantir que les contrôleurs de domaine restent à jour, les modifications apportées au répertoire sur un contrôleur de domaine, telles que le changement de mot de passe, sont également répliquées sur les autres contrôleurs de domaine.
La base de données (répertoire) Active Directory a une structure arborescente hiérarchique et contient des informations sur les objets AD du domaine. Les types courants d'objets AD incluent les utilisateurs, les ordinateurs, les applications, les imprimantes et les dossiers partagés. Lentds.itLe fichier est utilisé pour stocker la base de données AD. La base de données est divisée en plusieurs sections contenant différents types d'informations : une partition de schéma (qui détermine la conception de la base de données AD), une partition de configuration (informations sur la structure AD) et le contexte des noms de domaine (utilisateurs, groupes, objets imprimante). Active Directory est étroitement intégré aux fichiers système protégés par Windows, au registre système d'un contrôleur de domaine, au répertoire Sysvol, à la base de données d'enregistrement de classe COM+ et aux informations sur le service de cluster. Lors de la planification d'une stratégie de sauvegarde, il est important d'envisager une telle intégration, notamment en raison de l'impact immédiat qu'elle a sur l'AD.
Avez-vous besoin de sauvegarder le répertoire actif ?
Active Directory est l'un des composants les plus importants de tout réseau Windows. N’avoir aucune stratégie de sauvegarde pourrait mettre l’ensemble de l’organisation en danger. Sa meilleure pratique consiste à disposer de plusieurs contrôleurs de domaine Active Directory dotés de fonctionnalités de basculement afin qu'en cas de panne, vous puissiez toujours récupérer même sans sauvegarde. Cependant, disposer de plusieurs contrôleurs de domaine ne constitue pas une justification suffisante pour ne pas effectuer de sauvegarde. Vous devez toujours effectuer une sauvegarde du répertoire actif, que vous disposiez ou non de plusieurs contrôleurs de domaine. Plusieurs contrôleurs de domaine peuvent échouer en même temps, une suppression accidentelle ou délibérée de tous les comptes ou unités organisationnelles (UO) critiques peut se produire, une corruption complète de la base de données peut se produire, des virus et des ransomwares ou une autre catastrophe pourraient anéantir tous les contrôleurs de domaine. Dans une telle situation, vous devrez le restaurer à partir d'une sauvegarde. C'est pourquoi vous devez effectuer une sauvegarde.
Vous n’avez probablement pas besoin de sauvegarder chaque contrôleur de domaine pour obtenir une bonne sauvegarde de l’AD. Vous ne devriez vraiment avoir à sauvegarder qu'un des contrôleurs de domaine. Si votre contrôleur de domaine tombe en panne, votre réseau et par extension, vos activités commerciales s'arrêtent. Bien que les services Active Directory soient conçus avec une redondance élevée (si vous avez déployé plusieurs contrôleurs de domaine sur votre réseau). Il est donc important de développer et de mettre en œuvre une politique claire de sauvegarde d’Active Directory. Si plusieurs contrôleurs de domaine sont en cours d’exécution, vous devez en sauvegarder au moins un. Le contrôleur de domaine idéal à sauvegarder doit être celui qui exécute le rôle FSMO (Flexible Single Master Operation). Avec une bonne mise en œuvre d’une stratégie de sauvegarde et de récupération, votre organisation peut facilement récupérer après une panne de vos contrôleurs de domaine.
Si le contrôleur de domaine Active Directory (AD DC) devient indisponible pour une raison quelconque, les utilisateurs ne peuvent pas se connecter et les systèmes ne peuvent pas fonctionner correctement, ce qui peut perturber les activités commerciales. C'est pourquoi la sauvegarde de votre Active Directory est importante. Dans cet article, nous allons vous montrer comment sauvegarder un contrôleur de domaine Active Directory exécuté sur Windows Server 2019. Avant de commencer, nous examinerons un concept connu sous le nom de sauvegarde de l'état du système et comment il affecte les données Active Directory.
Sauvegarde de l'état du système
Microsoft Windows Server offre la possibilité d'effectuer une sauvegarde « complète » ou une sauvegarde « de l'état du système ». UNCompletla sauvegarde effectue une copie des lecteurs système d'une machine physique ou virtuelle, y compris les applications, les systèmes d'exploitation et même l'état du système. Cette sauvegarde peut être utilisée pour une restauration complète : cela vous permet de réinstaller facilement le système d'exploitation et d'utiliser la sauvegarde pour effectuer la restauration.
La sauvegarde de l'état du système, quant à elle, crée un fichier de sauvegarde pour les composants critiques liés au système. Ce fichier de sauvegarde peut être utilisé pour récupérer les composants critiques du système en cas de panne. Active Directory est sauvegardé dans le cadre de l'état du système sur un contrôleur de domaine chaque fois que vous effectuez une sauvegarde à l'aide de Serveur Windows Sauvegarde, Wbadmin.exe ou PowerShell. Pour les besoins de ce guide, nous utiliserons la sauvegarde de l'état du système car elle nous permet de sauvegarder uniquement les composants nécessaires à la restauration d'Active Directory. Notez toutefois que Microsoft ne prend pas en charge la restauration d'une sauvegarde de l'état du système d'un serveur vers un autre serveur d'un modèle ou d'une configuration matérielle différente. La sauvegarde de l'état du système est la mieux adaptée pour restaurer Active Directory uniquement sur le même serveur.
Comme décrit plus loin dans ce guide, la Sauvegarde Windows Server doit être installée via les fonctionnalités du Gestionnaire de serveur avant que vous puissiez l'utiliser pour sauvegarder ou restaurer votre serveur. Le type de sauvegarde que vous sélectionnez pour vos contrôleurs de domaine dépendra de la fréquence des modifications apportées à Active Directory et des données ou applications susceptibles d'être installées sur le contrôleur de domaine. Le strict minimum que vous devez sauvegarder pour protéger les données Active Directory essentielles sur un contrôleur de domaine est l’état du système. L'état du système comprend la liste suivante ainsi que quelques éléments supplémentaires en fonction des rôles installés :
- Contrôleur de domaine : fichiers de base de données Active Directory DC (NTDS.DIT), fichiers de démarrage et fichiers protégés par le système, base de données d'enregistrement de classe COM+, registre, volume système (SYSVOL)
- Membre du domaine : fichiers de démarrage, base de données d'enregistrement de classe COM+, registre
- Une machine exécutant des services de cluster : sauvegarde également les métadonnées du serveur de cluster
- Une machine exécutant des services de certificat : sauvegarde également les données de certificat
De plus, les sauvegardes de l'état du système sauvegarderont les données intégrées à Active Directory. DNS mais ne sauvegardera pas les zones DNS basées sur des fichiers. Les zones DNS basées sur des fichiers doivent être sauvegardées dans le cadre d'une sauvegarde de niveau volume, telle qu'une sauvegarde de volume critique ou une sauvegarde complète du serveur. Tous les types de sauvegarde ci-dessus peuvent être exécutés manuellement à la demande ou planifiés à l'aide de la Sauvegarde Windows Server. Vous pouvez utiliser la sauvegarde Windows Server ou Wbadmin.exe pour effectuer une sauvegarde de l'état du système d'un contrôleur de domaine afin de sauvegarder Active Directory. Microsoft recommande d'utiliser soit un disque interne dédié, soit un disque amovible externe tel qu'un disque dur USB pour effectuer les sauvegardes.
Les opérateurs de sauvegarde ne disposent pas des privilèges requis pour planifier des sauvegardes. Vous devez disposer de droits d'administrateur pour pouvoir planifier une sauvegarde ou une restauration de l'état du système. Une sauvegarde de l'état du système est particulièrement importante à des fins de reprise après sinistre, car elle élimine le besoin de reconfigurer Windows à son état d'origine avant que la panne du système ne se produise. Il est important que vous disposiez toujours d'une sauvegarde récente de l'état de votre système. Ils peuvent vous obliger à effectuer des sauvegardes régulières de l’état du système pour augmenter votre niveau de protection. Nous vous recommandons d'effectuer des sauvegardes de l'état du système avant et après toute modification majeure apportée à votre serveur.
Avant de poursuivre le processus de sauvegarde, vous devez prendre note des étapes initiales suivantes :
- Il est important que vous disposiez de la quantité d’espace de stockage nécessaire pour accueillir la sauvegarde que vous êtes sur le point d’effectuer.
- Si vous envisagez d'effectuer une sauvegarde alors que les applications qui produisent les données sont encore en cours d'exécution (ce qui est généralement le cas), vous devez configurer le service de cliché instantané des volumes, également connu sous le nom de service d'instantanés de volume (VSS) sur le lecteur pour la sauvegarde soit réussie. Ce service permet de créer des copies de sauvegarde ou des instantanés de fichiers ou de volumes informatiques, même lorsqu'ils sont en cours d'utilisation.
- Vous devez installer la fonctionnalité de sauvegarde de Windows Server si vous ne l'avez pas encore fait. Windows Server 2019, tout comme les éditions précédentes, est livré avec la fonctionnalité de sauvegarde Windows Server qui permet d'effectuer des sauvegardes et des restaurations de bases de données Active Directory. Nous allons maintenant passer en revue les étapes ci-dessus en détail.
Configurer le service de cliché instantané des volumes (VSS)
Il est important de garantir que la base de données AD est sauvegardée de manière à préserver sa cohérence. Une façon de préserver la cohérence consiste à sauvegarder la base de données AD lorsque le serveur est hors tension. Cependant, sauvegarder le serveur Active Directory hors tension peut ne pas être une bonne idée si le serveur fonctionne en mode 24h/24 et 7j/7.
Pour cette raison, Microsoft recommande l'utilisation du service VSS (Volume Shadow Copy Service) pour sauvegarder un serveur exécutant Active Directory. VSS est une technologie incluse dans Microsoft Windows qui permet de créer des copies de sauvegarde ou des instantanés de fichiers ou de volumes informatiques, même lorsqu'ils sont en cours d'utilisation. Les rédacteurs VSS créent un instantané qui gèle l'état du système jusqu'à ce que la sauvegarde soit terminée afin d'empêcher la modification des fichiers actifs utilisés par Active Directory pendant un processus de sauvegarde. De cette manière, il est possible de sauvegarder un serveur en cours d'exécution sans affecter ses performances. Pour ce guide, nous allons vous montrer comment modifier la configuration de la limite de taille du cliché instantané sur le volume sur lequel nous allons stocker la base de données AD.
1. Appuyez sur une combinaison de Win+X sur votre clavier pour ouvrir le Gestionnaire de disques. Sélectionnez la partition sur laquelle est installé le serveur, puis faites un clic droit dessus et cliquez sur Propriétés .
2. Accédez au Clichés instantanés onglet puis cliquez sur Activer comme le montre l'image ci-dessous.
3. Dans la fenêtre suivante, cliquez sur Oui pour confirmer que vous souhaitez activer les clichés instantanés comme indiqué ci-dessous.
4. Après confirmation, vous verrez un point de restauration créé dans la partition sélectionnée. Cliquer sur Paramètres continuer.
5. Dans le Paramètres écran illustré ci-dessous, sous Taille maximum, sélectionner sans limites . Une fois terminé, cliquez sur le D'ACCORD bouton, et c'est le cas pour cette section : configurez le service de cliché instantané des volumes (VSS).
Installez la fonctionnalité de sauvegarde de Windows Server
Windows Server Backup est un utilitaire fourni par Microsoft avec Windows Server 2008 et éditions ultérieures. Il a remplacé l'utilitaire NTBackup intégré à Windows Server 2003. Windows Server Backup est une fonctionnalité installable dans Windows Server 2019, tout comme dans les autres éditions précédentes. Donc, si vous n’avez pas encore utilisé la fonction de sauvegarde, vous devrez probablement l’installer d’abord. La façon d'installer cette fonctionnalité consiste à utiliser le gestionnaire de serveur.
1. Ouvrez la console Server Manager comme indiqué dans l'image ci-dessous.
2. Allez à Serveur local >> Gérer onglet >> et cliquez sur l'onglet Ajouter des rôles et des fonctionnalités comme le montre l'image ci-dessous. Cela ouvrira l'assistant d'ajout de rôles et de fonctionnalités.
3, dans le Sélectionnez le type d'installation écran, sélectionnez le Installation basée sur des rôles ou des fonctionnalités option et cliquez sur Suivant .
4. Dans l'écran suivant appelé Sélectionnez le serveur de destination , vous devrez sélectionner le serveur sur lequel vous souhaitez installer des rôles et des fonctionnalités. Windows affichera automatiquement le pool de serveurs. Dans ce cas, nous allons sélectionner le serveur local, qui est WD2K19-DC01-mylablocal.
5. Dans le Sélectionnez les rôles du serveur écran, vous devez sélectionner les rôles à installer sur le serveur. Puisque nous installons une fonctionnalité, vous pouvez ignorer cette section et passer à l'écran suivant. Cliquez sur Suivant continuer.
6. Dans le Sélectionnez les fonctionnalités l'écran ci-dessous, faites défiler jusqu'à l'écran Sauvegarde du serveur Windows fonctionnalité et sélectionnez-la comme indiqué dans l’image ci-dessous. Cliquez sur Suivant continuer.
7. Dans le Confirmer les sélections d'installation écran, assurez-vous que la fonctionnalité de sauvegarde de Windows Server est à l'écran et cliquez sur le Installer bouton pour commencer l’installation.
La fonctionnalité de sauvegarde de Windows Server commencera à s'installer sur votre serveur local. Une fois l'installation terminée, cliquez sur le Fermer bouton pour fermer la console.
Sauvegarder la base de données Active Directory
1. Allez maintenant dans le gestionnaire de serveur et cliquez sur Outils >> Sauvegarde du serveur Windows , afin de l'ouvrir. Vous pouvez également ouvrir cette console en exécutant la commande wbadmin.msc sur Windows Exécuter (Ctrl+R). Une fois ouvert, vous pourrez voir l'état de la sauvegarde planifiée et de la dernière sauvegarde (sauf si c'est la première fois que vous le faites.)
2. Une fois la sauvegarde du serveur ouverte, cliquez sur Sauvegarde une fois pour lancer une sauvegarde manuelle de la base de données AD. Bien que vous puissiez également créer des sauvegardes planifiées automatiques en cliquant sur Planification de sauvegarde, pour ce guide, nous allons créer une sauvegarde manuelle.
3. Sous Options de sauvegarde, sélectionnez Différentes options et cliquez sur le Suivant bouton Cette option est utilisée lorsqu'il n'y a pas de sauvegarde planifiée.
4. Dans le Sélectionnez la configuration de sauvegarde écran, vous avez deux options :
- Full Server sauvegarde toutes les données du serveur, les applications et l'état du système
- Personnalisé vous permet de choisir ce que vous souhaitez sauvegarder.
Puisque nous voulons simplement sauvegarder le répertoire actif, nous choisissons la deuxième option. Alors sélectionnez Coutume et cliquez Suivant.
5. Dans le Sélectionner les éléments à sauvegarder écran, spécifiez les éléments que vous souhaitez inclure dans la sauvegarde. Dans cette sauvegarde, nous allons choisir le État du système Élément de sauvegarde. Pour ce faire, cliquez sur le Ajouter des articles bouton >> sélectionner État du système option >> et cliquez sur le D'accord bouton pour terminer le processus.
6. Nous allons maintenant activer le service Volume Shadow Copy pour cet élément de sauvegarde. Cela empêche la modification des données AD pendant la sauvegarde. Pour activer VSS, cliquez sur Réglages avancés >> Paramètres VSS >> Sélectionnez Sauvegarde complète VSS, et cliquez D'accord . Le Sauvegarde complète VSS est l'option recommandée s'il s'agit de votre première sauvegarde et que vous n'utilisez aucun outil de sauvegarde tiers. Cette option vous permet de créer une sauvegarde de tous les fichiers. C'est également la méthode préférée pour les sauvegardes incrémentielles, car elle n'affecte pas la séquence de sauvegarde.
7. Dans l'écran suivant, vous devrez spécifier le type de destination de sauvegarde - Disques locaux ou Dossier partagé distant . Pour les besoins de cette démonstration, nous utilisons un disque dur local pour stocker la sauvegarde. Alors choisis Disques locaux et cliquez Suivant .
8. Dans le Sélectionnez la destination de sauvegarde Sur l'écran, vous pouvez choisir la partition réelle sur laquelle vous souhaitez stocker la sauvegarde. Une fois que vous avez terminé, cliquez sur Suivant pour passer à l'écran suivant.
9. Le Confirmation L'écran vous permet de vérifier que tous les paramètres de sauvegarde sont correctement configurés. Une fois que vous êtes prêt à partir, cliquez sur le Sauvegarde bouton. La sauvegarde devrait prendre un certain temps en fonction de la taille du serveur contrôleur de domaine. Une fois la sauvegarde terminée avec succès, vous pouvez fermer l'assistant de sauvegarde.
Si vous avez fermé l'assistant de sauvegarde sans attendre le dernier état du message, la sauvegarde continuera à s'exécuter en arrière-plan. Vous pouvez également confirmer l'état et les résultats d'achèvement de la sauvegarde à partir de la console d'administration Web (ou de la fonctionnalité de sauvegarde de Windows Server). La console affichera un message avec les informations de cette sauvegarde (et d'autres).
Automatisation de la sauvegarde Active Directory
Il existe un certain nombre d'outils disponibles pour gérer les fonctions de sauvegarde et de restauration d'applications ou de disques entiers et ceux-ci peuvent vous aider à gagner du temps lors de la sauvegarde d'Active Directory. De tels systèmes peuvent également être utilisés pour répliquer et migrer les objets dans un contrôleur de domaine.
ManageEngine AD360 (ESSAI GRATUIT)
Un exemple de système de sauvegarde Active Directory peut être trouvé dansGérerEngine AD360.
L'édition Standard de cet ensemble comprend un outil appeléRecoveryManager Plus. L'avantage de cet outil est qu'il est intégré à un ensemble d'outils de gestion d'Active Directory, vous obtenez ainsi tous vos systèmes de gestion AD dans une seule console.
AD360 est capable de gérer les implémentations d'Active Directory dans le cloud et sur site. Il s'agit d'un ensemble de logiciels et vous l'installez sur Windows Server. Il est également disponible sur le marché d'AWS et d'Azure – ce ne sont pas des plates-formes SaaS mais des progiciels que vous exécutez dans votre espace de compte cloud.
Avantages:
- Améliore considérablement la convivialité d'Active Directory, facilitant ainsi l'exécution et l'automatisation des tâches de routine.
- Peut surveiller les changements dans les environnements AD locaux et basés sur le cloud
- Prend en charge SSO et MFA, idéal pour sécuriser votre gestion des accès avec plusieurs couches d'authentification
- Période d'essai étendue de 60 jours
Les inconvénients:
- L’exploration complète de l’ensemble de la plateforme peut prendre du temps
La meilleure façon de comprendre les fonctionnalités de sauvegarde Active Directory d'AD360 est d'y accéder sur un30 jours d'essai gratuit.
ManageEngine 360 Commencez un essai GRATUIT de 30 jours
FAQ sur la sauvegarde Active Directory
Est-il nécessaire de sauvegarder Active Directory ?
Il est très important de sauvegarder Active Directory. Le système ne se sauvegardera pas sans votre intervention. Cependant, il existe un système de sauvegarde natif intégré à Windows Server, ce qui facilite le processus d'enregistrement d'une copie d'Active Directory.
Quels sont les différents types de sauvegarde dans Active Directory ?
Vous pouvez exécuter une sauvegarde complète pour prendre une copie de l'intégralité de la base de données Active Directory, puis répéter ce processus périodiquement selon un planning pour créer des points de restauration. Il s'agit du système disponible dans le service de sauvegarde natif de Windows Server, appelé Volume Shadow Copy Service (VSS). Il est plus efficace d'effectuer des sauvegardes complètes périodiques, puis d'effectuer des sauvegardes incrémentielles ou différentielles plus fréquemment. Ceux-ci extraient simplement les objets qui ont changé depuis la dernière sauvegarde et sont donc beaucoup plus rapides et prennent moins de place. Toutefois, vous avez besoin d'un outil tiers pour mettre en œuvre ces stratégies, car elles ne sont pas disponibles dans Windows Server VSS.
Comment fonctionne la sauvegarde de Windows Server ?
La sauvegarde Windows Server utilise une méthode appelée Volume Shadow Copy Service (VSS). cela vous donne la possibilité de sauvegarder le système d'exploitation et tout le contenu du disque. C'est ce qu'on appelle une sauvegarde Bare Metal et elle copiera tout sur l'ordinateur, pas seulement Active Directory. L'autre option s'appelle System State Backup. Cela copie les fichiers système importants ainsi que les éléments que vous sélectionnez. C'est l'option à choisir afin de sauvegarder Active Directory.
Conclusion
Nous avons expliqué en détail comment sauvegarder Active Directory à l'aide de la sauvegarde Windows Server. Nous avons utilisé l'approche manuelle « Sauvegarde une fois », mais bien sûr, vous pouvez également configurer un « Planification de sauvegarde » pour exécuter des tâches de sauvegarde AD périodiques.
Comme déjà mentionné, la fonctionnalité de sauvegarde de Windows Server est un outil gratuit facile à utiliser qui est intégré à la plupart des systèmes d'exploitation Windows Server et qui peut fonctionner avec VSS pour effectuer des sauvegardes complètes ou de l'état du système. Cependant, il existe également de nombreux outils de sauvegarde Active Directory tiers que vous pouvez utiliser. En fait, presque tous les services de sauvegarde au niveau de l'entreprise devraient être capables de sauvegarder Active Directory avec peu ou pas de difficulté. La différence entre tous ces outils réside principalement dans la manière dont certains d'entre eux offrent plus de fonctionnalités, notamment en matière de sauvegarde et de restauration d'Active Directory.