Vendredi après-midi, presque 17 heures. Vous êtes prêt à partir pour le weekend et voilà que le téléphone sonne : vous décrochez avec une certaine appréhension. Le Help desk vient juste de supprimer malencontreusement une OU (organizational unit) contenant les comptes utilisateur de plusieurs cadres supérieurs. Aucun d’eux ne peut plus se connecter au domaine pour accéder aux ressources : courriel, agendas et autres. Votre estomac se noue aussitôt parce que, bien que vous ayez testé la restauration de certains objets AD (Active Directory), vous ne l’avez jamais fait sous la pression pas plus que vous n’avez utilisé des bandes contrôlées par le groupe de sauvegarde dans un datacenter éloigné. Après deux heures de bagarre avec le groupe de sauvegarde et après avoir enfin obtenu les bandes correctes dans le chargeur de bande, vous êtes prêts à effectuer la restauration.Si vous avez auparavant bien testé et documenté vos procédures de sauvegarde et de restauration, il vous faudra simplement deux heures de plus pour restaurer le fichier d’arborescence d’informations des répertoires sur le DC (domain controller) et poursuivre avec la restauration des objets. Et, pendant tout ce temps-là, vous vous dites, Il doit exister un moyen plus rapide et plus simple.
De nombreuses sociétés comptent sur AD non seulement en tant que mécanisme d’authentification de domaine qui permet d’accéder aux ressources du réseau, mais aussi comme le répertoire de e-mail et, dans certains cas, le répertoire autoritaire de la société. Bien entendu, l’intégrité des données dans l’AD aura été jalousement préservée et la reprise après sinistre doit être une priorité. Chaque heure passée à restaurer un objet supprimé peut coûter quelques milliers d’euros. Entrez dans le site de reprise à réplication différée.
Réplication différée – Reprise d’AD
Le concept de base de la réplication différée est simple : imaginez une paire de DC qui se répliquent avec le reste de la forêt seulement une fois par semaine, d’après un calendrier échelonné. Ce long cycle de réplication, dans un répertoire multi maîtres, permet à un administrateur d’inverser les aiguilles du temps en cas de sinistre. Par exemple, un DC de réplication pourrait se répliquer chaque mardi à 11 heures du matin et l’autre chaque vendredi à 11 heures du soir. Ce calendrier de réplication échelonné assure que l’on a toujours un minimum de 3,5 jours pour récupérer un élément (ou des éléments) après sa (ou ses) suppression(s). Si vous n’instauriez qu’un DC de reprise par domaine, le timing pourrait être tel que la suppression précèderait immédiatement la réplication vers le DC de reprise, auquel cas vous perdriez la possibilité de récupérer l’élément. Considérons un scénario dans lequel un objet est supprimé le mardi à 10 heures du matin alors que la suppression ne se manifeste que mardi après-midi. Si vous n’aviez qu’un DC de reprise se répliquant à 11 heures du matin le mardi, le DC aurait été répliqué avec le reste du domaine et aurait reçu la suppression de l’objet. Vous auriez alors perdu l’occasion de récupérer l’objet. Si vous avez un second DC se répliquant selon un calendrier échelonné (par exemple, le mardi à 11 heures du soir), vous pouvez encore récupérer l’objet à partir de ce DC.
Vous pourriez appliquer plus de deux DC à reprise différée et établir un nombre quelconque de scénarios de timing de réplication. Vous pourriez avoir sept DC à réplication différée qui se répliquent différents jours, vous permettant de restaurer les objets avec plus de précision. Dans le scénario de 3,5 jours de cet article, il se peut que vous puissiez restaurer un objet vieux de plus de 3 jours. Cependant, les éventuels changements apportés à l’objet dans cette période de 3 jours seraient perdus à la restauration.
Par le passé, la récupération d’un objet supprimé pouvait prendre de 6 à 8 heures et faisait intervenir plusieurs personnes de divers groupes de support. Grâce à la réplication différée, vous pouvez récupérer un compte utilisateur supprimé en moins d’une heure, avec l’aide d’un technicien de support. Dans mon entreprise, la première fois que nous avons utilisé nos DC à réplication différée pour récupérer un compte supprimé, l’utilisateur lui-même a été étonné par la rapidité avec laquelle nous avons remis le compte en ordre de marche.
Le fait d’appliquer un calendrier de réplication différée aux DC présente un autre avantage : on peut interroger le répertoire sur le DC différé pour trouver des informations (comme le DN, distinguished name – qui est nécessaire pour restaure l’objet) à propos de l’élément supprimé. Cette fonctionnalité s’avèrera utile, par exemple, si un compte utilisateur a été supprimé mais que personne ne connaît l’emplacement du chemin OU du compte. Dans un scénario de restauration classique, il faudrait accéder à un répertoire restauré, offline, (pas sur le réseau) afin de pouvoir demander l’objet et recueillir le DN à utiliser dans le processus de restauration autoritaire.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
