> Tech > Le processus de reprise

Le processus de reprise

Tech - Par iTPro - Publié le 24 juin 2010
email

Pour pouvoir restaurer un objet (ou une sous-arborescence d’objets) dans AD, il faut d’abord connaître le DN spécifique de l’objet. Le DN est le chemin de répertoire de l’objet que Ntdsutil utilisera pour trouver et restaurer l’objet. Souvent, vous ne connaîtrez pas le DN exact d’un objet restauré, donc vous

serez peut-être contraint de chercher l’objet pour obtenir cette information. Après avoir déterminé le DN, vous utiliserez Ntdsutil dans Directory Services Restore Mode sur le DC à réplication différée pour restaurer l’objet. Après quoi, il faudra répliquer l’objet récupéré dans l’environnement de production.

Trouver le DN de l’objet supprimé. Pour trouver le DN d’un objet, connectez-vous au DC à réplication différée que vous voulez utiliser pour restaurer l’élément supprimé et lancez une recherche de l’objet. Pour effectuer la requête, servez-vous de l’utilitaire Support Tools ADSIedit. msc, de la manière suivante :

  • Ouvrez l’outil et connectez-vous au DC à réplication différée, puis faites un clic droit sur la partition du domaine et sélectionnez New, Query.
  • Tapez un nom (FindUser, par exemple) pour la requête.
  • Dans la section Root of Search, sélectionnez l’option Browse. Appuyez sur Entrée pour sélectionner le domaine.
  • Sous Query String, tapez cn= et la première partie du DC – par exemple, cn=jesse.
  • Assurez-vous que Subtree Search est sélectionné et cliquez sur OK.
  • Etendez le domaine et visualisez les résultats de la requête, comme le montre la figure 4.
  • Faites un clic droit sur l’objet trouvé et ouvrez la boîte de dialogue Properties de l’objet. Assurez-vous que la case Show optional attributes est cochée. Trouvez la valeur de l’attribut Distinguished Name et copiez-la. Vous aurez besoin de cette chaîne de texte pour la restauration autoritaire : par conséquent, veillez à la sauvegarder correctement.

Restaurer l’objet. Comme la copie du DC à la traîne du répertoire contient encore l’objet, vous pouvez le restaurer sans être obligé d’extraire des sauvegardes sur bande ou de restaurer un ancien fichier d’arbres de répertoires. Vous pouvez utiliser Ntdsutil pour augmenter l’USN (universal serial number) de l’objet d’un incrément de 100 000, pour être sûr que l’objet restauré sera vainqueur du conflit de réplication.

  • Réinitialisez le DC à réplication différée que vous utilisez dans Directory Service Restore Mode. Pour cela, appuyez sur F8 sur l’écran de sélection OS pendant l’initialisation et sélectionnez l’option Directory Service Restore Mode. Pour vous connecter, il vous faudra connaître le mot de passe du mode restauration.
  • A une invite de commande, tapez ntdsutil. Sélectionnez l’option Authoritative Restore en tapant authoritative restore.
  • Tapez Restore object, suivi du DN de l’objet. par exemple :

    restore object CN=jesse.sutela@hp.com,
    OU=US,DC=wamericas,DC=wtest,
    DC=cpqtest,DC=net

    Cette commande devrait apparaître sur une ligne. Si le DN contient des espaces, mettez-le entre guillemets. Appuyez sur Entrée.

  • Réinitialisez en mode normal.

Répliquer l’objet restauré dans le reste du domaine. Examinez le snap-in Active Directory Sites and Services pour déterminer quel DC de production dans le domaine est en train d’obtenir des mises à jour de la part du DC à réplication différée. Après avoir trouvé le DC de production qui a un objet de connexion provenant du DC à réplication différée que vous souhaitez, faites un clic droit sur l’objet de connexion et sélectionnez Replicate Now pour forcer le DC de production à tirer les mises à jour du DC à réplication différée. L’objet restauré devrait maintenant se répliquer en retour sur le DC de production.

Récupérer l’information importante à propos de l’objet supprimé. Si un objet utilisateur a été supprimé, sa restauration ne reprendra pas forcément toute l’information sur cet utilisateur. Ainsi, quand on restaure un objet utilisateur dans Win2K, on perd des appartenances à des groupes. C’est pourquoi il faut aussi examiner les propriétés de l’utilisateur dans la snap-in Active Directory Users and Computers. On peut obtenir les appartenances à des groupes pour l’utilisateur sur l’onglet Member of de la feuille Properties du compte. En revanche, Windows 2003 corrige très bien les appartenances à des groupes de domaines après une restauration. Cependant, dans l’un ou l’autre des OS, l’appartenance à des groupes locaux de domaines « trusting » sera perdue. Pour pouvoir facilement repeupler les groupes locaux après une restauration utilisateur, il est bon de suivre de près l’appartenance aux groupes locaux et de journaliser cette information. Cette tâche sera fastidieuse si l’on n’utilise pas quelques formes d’automatisation cryptée. Pour plus d’informations sur la restauration des groupes, voir l’encadré « Ressources ».

Bien entendu, d’autres types d’objets dans l’AD devront peut-être être restaurés : comme les données DNS. Rappelons que les données DNS pourraient être stockées dans une partition d’application. Windows 2003 permet de déplacer les données DNS hors du contexte de nommage par défaut et dans une application. Par défaut, les partitions d’applications ne sont pas répliquées sur tous les DC. Pour savoir si votre plan de reprise après sinistre inclut les partitions d’applications, voir l’encadré « Inclure les partitions d’applications ».

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010