Avantages de LVR pour la reprise ou récupération d’objets AD (1)

liens avant au début de l’article : seuls les liens avant sont répliqués entre les DC dans un domaine d’AD.

Par conséquent, si vous avez forcé la réplication d’un objet utilisateur avec tous ses attributs, tout se répliquera à l’exception des liens arrière référencés à partir de l’objet. Mais vous ne pourrez pas répliquer l’appartenance aux groupes de l’utilisateur, parce que les appartenances sont stockées dans l’attribut Member Of lié par l’arrière à l’utilisateur. Quand vous restaurez un objet par les méthodes d’OS natives, vous forcez en principe la réplication. Par exemple, après avoir initialisé dans le DSRM (Directory Services Restore Mode), vous restaureriez la base de données d’AD via la sauvegarde d’état du système à partir d’une bande ou d’un disque sur l’un de vos DC.

Ensuite – avant la réinitialisation – vous exécuteriez la commande Nt-dsutil pour effectuer une restauration autoritaire (authoritative restore). Une restauration autoritaire peut s’appliquer à une sous-arborescence entière ou à un seul objet, et elle augmente en fait le numéro de version de tous les attributs du ou des objets à récupérer, de 100 000 (par jour d’âge de la sauvegarde). Pour plus de détails sur ce processus, voir l’article Microsoft « How to restore deleted user accounts and their group memberships in Active Directory » (http://support.microsoft.com/kb/840001). Dans une forêt d’AD Win2K, un utilisateur restauré autoritairement ne répliquera pas ses appartenances aux groupes sur d’autres DC présents dans le domaine. Il faudra repeupler manuellement les appartenances aux groupes de l’utilisateur, ou utiliser un outil du genre Groupadd. Windows 2003 SP1 facilite quelque peu la reprise des appartenances aux groupes et autres valeurs liées, parce qu’il crée des fichiers LDIF (LDAP Data Interchange Format) pendant la restauration autoritaire, ce qui vous permet d’importer ensuite les appartenances aux groupes après réinitialisation. Mais toutes ces étapes peuvent prendre beaucoup de temps et sont des sources potentielles d’erreur humaine.

Dès lors que votre forêt Windows 2003 opère au niveau fonctionnel de forêt de Windows 2003, LVR présente un autre avantage important pour les liens qui sont stockés en tant que liens LVR dans vos domaines. Comme les liens peuvent désormais être répliqués séparément, le processus de restauration autoritaire Ntdsutil suivra les liens arrière et augmentera l’ID version pour tous les liens avant LVR qu’il trouvera pour le(s) objet(s) restauré(s). Dans le cas d’un utilisateur récupéré, cela signifie que toutes les appartenances au groupe de l’utilisateur dans son propre domaine seront entièrement récupérées. A noter qu’un DC ne peut mettre à jour que des objets et des liens dans son propre domaine.

Par conséquent, si votre forêt d’AD comporte de multiples domaines et s’il vous faut aussi récupérer les appartenances aux groupes d’un utilisateur dans ces domaines, vous devez encore vous servir des fichiers LDIF provenant de la version de Windows 2003 SP1 de Ntdsutil pendant l’opération de restauration autoritaire.