La nouvelle fonctionnalité affecte la reprise après sinistre et la planification du déploiement
Dans Windows NT 4.0, le processus de promotion et de rétrogradation exige une refonte complète du serveur. Vous ne pouvez transformer un serveur en DC que pendant la préparation de Windows. Cet état de fait gêne les administrateurs qui veulent changer le rôle d’un serveur tout en conservant les autres services partagés ...Et la reconstruction d’un système à partir de zéro n’a rien d’une perspective séduisante. Windows 2000 Server améliore le processus de promotion et de rétrogradation de NT 4.0 DC en permettant à un administrateur de recourir à l’utilitaire Dcpromo pour promouvoir un serveur autonome ou membre sur un DC. Une rétrogradation est aussi une tâche Dcpromo simple, à la condition de disposer d’un DC en bon état de marche dans le domaine.
Toutefois, même dans le processus Win2K Dcpromo amélioré (pre-Service Pack 4 – SP4), un problème subsiste : pour effectuer des rétrogradations propres, Win2K Dcpromo exige que le DC ait une connectivité réseau physique avec un autre DC en fonctionnement. D’autres obstacles, comme des objets corrompus dans le répertoire, peuvent aussi conduire à des problèmes de rétrogradation. Si une rétrogradation propre est impossible, il faudra recourir à une refonte complète du serveur, assortie d’un nettoyage des métadonnées, pour enlever le DC du répertoire. Depuis les premiers jours de NT, il est une autre limitation de la promotion : la nécessité de répliquer toutes les données sur le réseau – on n’a jamais pu effectuer une promotion à partir d’un fichier ou d’un médium de stockage comprimé livré à un site distant. Avec les domaines pre-Active Directory (AD), une telle réplication n’était pas difficile, compte tenu des limitations de taille des bases de données SAM dans ces versions. Avec AD, un fichier DIT (Directory Information Tree) peut être de 10 Go ou plus. Dans de grands environnements qui utilisent Win2K AD, la promotion d’un serveur GC (Global Catalog) dans les lointains confins du réseau peut demander jusqu’à quatre ou cinq jours.
Nettement supérieur au processus de promotion et de rétrogradation de Win2K Server, Dcpromo de Windows Server 2003 permet de forcer une rétrogradation indépendamment de la connectivité au domaine et indépendamment du statut des objets par rapport au DC. (La version Dcpromo dans Win2K SP4 permet aussi des rétrogradations forcées.) Mais la fonction la plus intéressante de Windows 2003 Dcpromo est sa possibilité de promouvoir un DC à partir de médias. Le médium nécessaire pour promouvoir un DC est essentiellement une restauration dirigée d’une sauvegarde d’état du système à partir d’un autre DC Windows 2003. Ce médium de sauvegarde permet de promouvoir des DC dans des sites distants en bien moins de temps qu’il n’en faut à Win2K. En utilisant Windows 2003 Dcpromo pour promouvoir un DC à partir de médias, on peut promouvoir le même GC qui a demandé de quatre à cinq jours avec Win2K, en quelques minutes, selon l’âge de la sauvegarde d’état du système que l’on utilise. Ces nouvelles fonctions présentent un double avantage : elles évitent de gaspiller du temps à reconstruire des serveurs à partir de zéro, mais elles ouvrent aussi la porte à de nouvelles méthodes de reprise après sinistre et de déploiement.
Windows 2003 : DCPromo
La nouvelle possibilité qu’a Windows
2003 Dcpromo de promouvoir à partir
de médias peut améliorer grandement
votre possibilité de reprise après des
défaillances DC, particulièrement dans
des sites distants où la repromotion
d’un DC sur le fil peut prendre des
heures ou même des jours, selon la
bande passante du WAN et la taille du
répertoire. La fonction peut aussi améliorer
énormément votre possibilité de
déployer des services AD sur des sites
distants, tout en diminuant le volume
de trafic WAN nécessaire pour promouvoir
les DC. Vous pouvez utiliser
ce processus pour ne créer que des répliques
de serveurs DC ou GC, et les
deux systèmes devraient avoir le même
niveau de patches d’OS. Pour promouvoir
un DC à partir de médias, il faut
d’abord s’assurer de la situation suivante
:
- La sauvegarde de l’état du système
ne doit pas remonter à plus de 60
jours, qui est la durée de vie tombstone
par défaut. (La durée de vie
tombstone est la durée pendant laquelle
les objets subsistent avant que
le DC ne les supprime définitivement
du répertoire. Effectuer une promotion
à partir d’une sauvegarde plus
ancienne que la durée de vie tombstone
se traduit par la réintroduction
des objets tombstone.) - La sauvegarde de l’état du système
doit provenir d’un DC Windows 2003
dans le même domaine. Si vous voulez
que le DC soit aussi un serveur
GC, il faut créer la sauvegarde de
l’état du système à partir d’un DC
existant qui est aussi un DC dans le
même domaine. - Le DC source doit être en parfaite
santé au moment de la sauvegarde.
Utilisez netdiag.exe et dcdiag.exe
pour vous assurer que le DC a des
journaux d’événements propres et
des inscriptions DNS correctes.
Utilisez la commande rapadmin.exe
/showrepl /all pour vous assurer que
la réplication s’effectue de manière
propre et nette. Testez avec des fichiers
fictifs pour vous assurer que
vous avez une réplication FRS (File
Replication Service) propre. Assurezvous
que le DC est réactif aux requêtes
LDAP (Lightweight Directory
Access Protocol) et aux RPC (remote
procedure calls). Assurez-vous également
que le DC a des shares
Netlogon et Sysvol. Enfin, assurezvous
que le DIT contient peu de fragmentation. - Le serveur que vous voulez promouvoir
à partir de médias doit se trouver
sur le réseau et doit être capable
de communiquer avec d’autres DC
en bonne santé.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
