Reprise après sinistre

les DC d’un domaine
donné. Avant Windows 2003,
pour récupérer un DC défaillant, il fallait
généralement reconstruire le serveur
à  partir de zéro puis le repromouvoir
au rang de DC (et, si possible, de
GC) sur le réseau. On pouvait perdre
des heures et parfois des jours à  attendre
que les promotions se terminent
– particulièrement dans le cas où
on élevait l’état d’un DC à  celui
d’un GC, une opération qui demande
la réplication supplémentaire des
contextes de nommage en lecture
seule qui doivent être très grands selon
l’environnement. Dans un site à  distance,
ce long processus pouvait représenter
des jours de performance de requêtes
LDAP médiocres sur le WAN et
peut-être le manque d’un serveur
DDNS (Dynamic DNS) dans le site local.
Songez aussi à  la quantité de données
poussées sur les liens WAN pour
mener la promotion à  terme. En utilisant
la fonctionnalité promote-frommedia
de Dcpromo, vous pouvez facilement
surmonter des fichiers DIT
corrompus et un matériel défaillant en
une simple fraction du temps que
Win2K demande. Il suffit de construire
un serveur au niveau de base et de repromouvoir
le serveur à  son état DC
ou GC précédent à  partir d’une sauvegarde
de l’état du système.
Comme je l’ai indiqué plus haut,
Dcpromo de Windows 2003 (et de
Win2K SP4) vous permet de forcer une
rétrogradation même s’il n’est pas possible
de communiquer avec le domaine.
Supposons que vous découvriez
qu’un DC n’a pas répliqué les
changements entrants pendant plus de
60 jours (la durée de vie tombstone par
défaut). Vous ne voulez pas mettre ce
DC online parce qu’il répliquerait des
objets supprimés précédemment (des
objets supprimés sur les DC qui sont
encore en ligne) pour les remettre
dans l’environnement, introduisant
ainsi des objets persistants. Les objets
persistants sont aussi appelés fantômes
(dans des partitions en lecture
seule) ou zombies (dans des partitions
écrivables) parce qu’ils ont essentiellement
ressuscité. Quand les objets persistants
sont piégés dans un contexte
de nommage en lecture seule, il peut
être difficile de les trouver et de les
supprimer. Leur simple existence peut
arrêter la réplication, donc vous devez
veiller à  les tenir à  l’écart de votre environnement.
La commande Dcpromo
/forceremove permet de ramener le
serveur au statut de serveur membre
malgré l’incapacité de communiquer
avec les autres DC. Vous pouvez ensuite
utiliser la fonctionnalité promotefrom-
media de Dcpromo pour repromouvoir
rapidement le serveur en un
DC. Comprenez bien que si une rétrogradation
forcée ou autre suppression
« douteuse » d’un DC se produit, il
vous faudra effectuer un nettoyage de
métadonnées du répertoire et peutêtre
un nettoyage de l’enregistrement
DNS. Pour des informations détaillées
sur ce processus, voir l’article Microsoft
« HOW TO: Remove Data in Active
Directory After an Unsuccessful
Domain Controller Demotion » (http://
support.microsoft.com/?kbid=216498).
Vous devez tenir compte de l’emplacement
des éventuels rôles FSMO
(Flexible Single-Master Operation) que
le DC que vous êtes en train de récupérer
pourrait contenir. Si une rétrogradation
forcée est nécessaire pour
une raison quelconque, vous devrez
peut-être saisir un rôle FSMO pour que
la forêt ou le domaine continue à  fonctionner
correctement.