Qu’est-ce qu’Active Directory ?
Active Directory de Microsoft (MS AD) est l’un des outils d’authentification des utilisateurs et de gestion des autorisations réseau les plus utilisés au monde. Il permet une connexion fédérée sur l’ensemble d’un réseau d’entreprise et la gestion des rôles et des autorisations des utilisateurs à partir d’un point unique sur plusieurs services.
Ce service est extrêmement utile pour les structures commerciales plus grandes et plus développées, car les administrateurs système géreraient plus efficacement les ordinateurs ajoutés au domaine de manière centralisée. Des services tels que Microsoft Exchange et Microsoft SQL Server ont également besoin d’Active Directory pour fonctionner correctement. Toute instance de contrôleur de domaine Active Directory se déconnectant est un problème important car tous les utilisateurs ne pourront pas se connecter et le système global ne pourra pas fonctionner correctement en général.
Même si les entreprises se tournent vers les offres cloud et SaaS, l’intégration à l’infrastructure PUBLICITAIRE existante est souvent considérée comme une exigence pour la réussite du projet. Cela dit, la complexité d’Active Directory ainsi que sa capacité à être maintenue à un temps de disponibilité presque parfait signifient qu’une solution de sauvegarde et de reprise après sinistre Active Directory viable est une nécessité absolue.
À noter: AD Disaster Recovery (DR) est quelque chose qui ne doit pas être fait – ou confondu avec – des sauvegardes de serveur d’annuaire, car ces plans devraient inclure des moyens de revenir à avant la pierre tombale la plus ancienne. De même, les restaurations de données de serveur d’annuaire de granularité à un seul élément ne doivent pas être confondues avec DR. Voir le dernier paragraphe de ce blog pour plus de détails.
Comment fonctionne Active Directory?
Le cœur d’Active Directory en tant que système de gestion est une base de données contenant à la fois des journaux de transactions et des objets individuels. Cette base de données est divisée en plusieurs parties – et chaque partie contient un type d’informations différent, soit le contexte des noms de domaine (groupes d’utilisateurs ou individuels), soit la partition de configuration / schéma (informations sur la structure de l’annonce et informations sur la conception de l’annonce respectivement). La structure de la base de données Active Directory est hiérarchique et sa forme ressemble beaucoup à un arbre. Le fichier principal utilisé pour le stockage de base de données Active Directory est Ntds.dit.
Active Directory fonctionne à travers plusieurs protocoles pour assurer la sécurité du réseau avec lequel il fonctionne. Ces protocoles sont les suivants:
- Le protocole LDAP (Lightweight Directory Access Protocol) est utilisé pour l’accès aux répertoires (Active Directory et autres) et les services d’authentification des répertoires à la fois par nom d’utilisateur et mot de passe, il est également ouvert et multiplateforme;
- Le protocole Kerberos est un protocole basé sur la cryptographie utilisé pour les opérations d’authentification unique et d’authentification sécurisée, il vérifie les noms d’utilisateur et les mots de passe avant de les stocker dans l’annuaire LDAP.
Active Directory est également profondément intégré aux fichiers système protégés par Windows, au serveur DNS, à la base de données d’enregistrement de classe COM+, au répertoire Sysvol, aux informations de service de cluster et à plusieurs autres. Cette quantité d’intégrations influence également directement la stratégie globale de sauvegarde Active Directory.
Recommandations de sauvegarde Active Directory
Ensuite, nous parlerons de plusieurs recommandations d’utilisation générales lors de la sauvegarde de votre serveur Active Directory.
Sauvegardez régulièrement votre Active Directory
La fréquence de sauvegarde recommandée pour Active Directory ne dépasse pas 60 jours. La raison en est l’une des spécificités de la gestion de base de données Active Directory – objets AD tombstone.
Lorsque l’objet du répertoire est supprimé (ce qui signifie que la plupart des attributs de l’objet, ou tous, sont supprimés) – il est marqué comme un objet de pierre tombale et n’est pas supprimé physiquement avant l’expiration de la durée de vie de la pierre tombale, qui est de 60 jours exactement. Si plusieurs contrôleurs de domaine fonctionnent en même temps et que la fonction de réplication Active Directory est activée, tous ces fichiers Tombstone seront copiés sur chacun de vos contrôleurs et y seront conservés jusqu’à son expiration. Il y a aussi le fait que si vous restaurez une sauvegarde de contrôleur de domaine créée plus de 60 jours avant aujourd’hui, vous risquez d’avoir beaucoup d’incohérences en raison du fait que l’un des contrôleurs de domaine contient des informations sur des objets qui n’existent même plus.
Une raison de plus pour la marque « 60 jours ou moins » est que tout logiciel ou pilote installé après la dernière sauvegarde ne fonctionnerait pas du tout dans le cas de la restauration de données car il n’y aura aucune information dans le registre sur lesdits pilotes ou logiciels.
Il y a beaucoup plus de problèmes potentiels qui peuvent survenir en raison du fait que les données ne sont pas suffisamment sauvegardées. La recommandation la plus « sûre » est de faire une sauvegarde Active Directory quotidiennement.
Sauvegardez au moins l’un des contrôleurs de domaine
Ce conseil s’adresse principalement aux grandes entreprises qui ont plus d’un contrôleur de domaine dans leur infrastructure. Vous devez sauvegarder au moins un de vos contrôleurs de domaine si vous en avez plusieurs pour assurer une récupération au moins partielle des données en cas de défaillance matérielle ou logicielle. De plus, si vous avez des rôles FSMO (Flexible Single Master Operation) installés sur l’un de vos contrôleurs, vous devez d’abord donner la priorité à la sauvegarde. De cette façon, si vous perdez tous vos contrôleurs, vous pouvez en récupérer un – celui avec FSMO – qui sera considéré comme « principal », et après cela, si vous déployez un autre contrôleur – vous pourrez, essentiellement, copier toutes les modifications du contrôleur de domaine « principal » en contrôleur de domaine « secondaire ».
Prioriser les logiciels qui fournissent la cohérence des données
Il est de notoriété publique que toute sauvegarde doit être effectuée de manière à garantir que sa cohérence est préservée. Il en va de même pour la sauvegarde Active Directory. La meilleure option consiste à sauvegarder les données lorsque le serveur est éteint ou lorsque VSS est utilisé sur un serveur en cours d’exécution. Au contraire, essayer de sauvegarder les données du serveur qui fonctionne 24/7 n’est pas la meilleure idée. C’est pourquoi il est fortement recommandé d’utiliser des services compatibles VSS pour tous vos besoins de sauvegarde Active Directory. VSS crée un instantané des données, ce qui gèle essentiellement le système et ses informations jusqu’à ce que le processus de sauvegarde soit terminé. De cette façon, vous ne perdrez pas ou ne corromprez pas les fichiers qui se réécrivaient sur le serveur au moment où la sauvegarde se créait elle-même.
Votre plan de reprise après sinistre doit inclure une sauvegarde AD
Avoir un plan de reprise après sinistre est un must en général, et plus vous pouvez prévoir et prévenir ou vous y préparer, mieux vous serez en cas de catastrophe. Dans ce cas, la sauvegarde des publicités est importante car vous ne pouvez utiliser aucun service lié aux publicités si vous les restaurez avant de restaurer votre sauvegarde PUBLICITAIRE. Vous pouvez sauvegarder votre contrôleur de domaine sur plusieurs emplacements de stockage différents : cloud, site local ou distant. Avoir plus d’une copie de votre Active Directory est également fortement recommandé.
Recherchez l’option de récupération granulaire, si possible
Alors que le processus de récupération et de réécriture de toutes vos données Active Directory est une bonne idée la plupart du temps – vous voudrez peut-être également rechercher des services qui fournissent une option de récupération granulaire. De cette façon, si vous souhaitez récupérer un seul ou quelques fichiers de votre sauvegarde, vous pourrez le faire assez facilement. Cela réduit également le temps global de restauration des données, en particulier lorsque votre Active Directory est plus grand que la moyenne.
Outils et services de sauvegarde Active Directory natifs
Il existe plusieurs outils de sauvegarde natifs pour Active Directory créés par Microsoft pour la sauvegarde des serveurs Windows, y compris ceux qui exécutent des contrôleurs de domaine Active Directory.
Sauvegarde Windows Server
Sauvegarde Windows Server est un programme qui a remplacé NTBackup dans Windows Server 2008 et les versions plus récentes. WSB est livré avec une nouvelle interface et la possibilité de créer des sauvegardes incrémentielles avec l’utilisation de VSS (Microsoft Volume Shadow Copy Service). Les données sauvegardées sont enregistrées au format VHD. Après l’avoir sauvegardé, vous pourrez monter de tels disques VHD sur une machine – à la fois virtuelle et physique – pour accéder aux données que vous avez sauvegardées. La différence entre ce VHD et celui créé à l’aide de MVMC (Microsoft Virtual Machine Converter) est que ce VHD n’est pas amorçable. La commande pour sauvegarder tout le volume ou l’état du système est la suivante: wbadmin start systemstatebackup.
Les principaux avantages de cette méthode de sauvegarde pour la sauvegarde Active Directory sont les suivants: c’est abordable, il peut fonctionner avec VSS et vous pouvez sauvegarder l’ensemble du système ou sauvegarder uniquement des fichiers Active Directory. Le principal inconvénient est que travailler avec WSB nécessite beaucoup de connaissances et de compréhension préalables pour atteindre le plein potentiel du programme en ce qui concerne le processus de sauvegarde et de récupération.
System Center Data Protection Manager
L’autre service de sauvegarde créé par Microsoft est System Center Data Protection Management (SC DPM). La création des sauvegardes de données habituelles et des sauvegardes Active Directory est dans les capacités du programme. SC DPM est un service de sauvegarde/ récupération au niveau de l’entreprise qui peut être utilisé pour la protection des données de Windows Server (qui inclut les sauvegardes Active Directory). La différence entre WSB et SC DPM est que le premier est gratuit, tandis que le second est un logiciel payant installé séparément et non inclus dans le package système Microsoft de base. Il est également un peu plus difficile à configurer par rapport à WSB. Mais il est toujours fortement recommandé de l’utiliser pour assurer la protection complète de votre appareil. La liste des fonctionnalités SC DPM comprend la prise en charge de VSS, la prise en charge de la sauvegarde incrémentielle, la prise en charge de la sauvegarde dans le cloud Microsoft Azure et l’impossibilité de récupérer des fichiers singuliers à partir d’Active Directory sauvegardé. L’utilisation la plus pratique de SC DPM est de protéger un certain nombre de serveurs Microsoft Exchange / Microsoft SQL et d’autres périphériques basés sur Windows.
Méthodes de sauvegarde Active Directory tierces
Même si WSB et SC DPM sont les solutions natives pour la sauvegarde d’Active Directory– il existe de nombreuses autres solutions possibles pour cela. En fait, presque tous les services de sauvegarde au niveau de l’entreprise devraient être capables de sauvegarder Active Directory avec peu ou pas de problèmes. La différence entre tous ces services dans ce cas est la façon dont certains d’entre eux offrent plus de capacités tout en s’occupant à la fois de la sauvegarde et de la restauration d’Active Directory.
Le point principal des sauvegardes en général fonctionne également avec Active Directory – la sauvegarde des données doit être effectuée de manière spécifique pour s’assurer que les données sont suffisamment cohérentes. La plupart des services de sauvegarde tiers utilisent VSS pour créer un instantané des données copiées afin d’empêcher lesdites données d’être modifiées de quelque manière que ce soit au milieu du processus de sauvegarde. Il y a aussi la possibilité qu’un autre problème se produise: si la sauvegarde d’Active Directory est écrite sur un disque physique – l’instantané qui a été créé sera utilisé pour l’opération d’écriture, mais s’il est basé sur la copie de base de données Active Directory en direct – des incohérences sont inévitables d’une manière ou d’une autre.
Chaque fournisseur de sauvegarde a sa propre façon de traiter ledit problème, certaines plus efficaces que d’autres.
De plus, certains services de sauvegarde tiers peuvent fournir une restauration d’objet très spécifique pour les sauvegardes Active Directory. L’un des exemples de cela est la possibilité de restaurer des comptes d’utilisateurs individuels plutôt que l’ensemble de la base de données. Mais tous ces produits ne peuvent pas le faire, la plupart d’entre eux ne peuvent fournir qu’un service de sauvegarde et de restauration complet pour les sauvegardes Active Directory.
Sauvegarde Active Directory avec Bacula Enterprise Edition
Active Directory s’exécute dans une architecture hautement redondante par conception, et la perte de l’ensemble du répertoire représente normalement une défaillance majeure du site. Dans ce cas, la récupération consiste souvent en des reconstructions complètes ou des restaurations nues à partir d’une sauvegarde, et souvent en une étape de récupération séparée pour les bases de données et les composants AD. Le plugin VSS de Bacula Enterprise Edition peut fournir les outils de sauvegarde et de récupération de niveau DR pour ces situations, et le plugin de récupération Bare Metal permet la récupération d’un système en cours d’exécution sur lequel les services publicitaires peuvent être récupérés. Cependant, bien que les sauvegardes de reprise après sinistre soient une excellente chose à avoir, elles n’aident pas en cas de modifications erronées ou de corruptions qui causent des problèmes importants à une partie de la structure du répertoire, mais ne devraient pas nécessiter une restauration de l’ensemble du répertoire. Par exemple, un administrateur négligent (ou mécontent) pourrait modifier les autorisations d’une unité d’organisation entière, ce qui poserait toutes sortes de problèmes à l’organisation.
Dans ce scénario, les solutions peuvent être limitées à une reconstruction manuelle très longue et sujette aux erreurs de la structure, ou à une restauration à partir d’une sauvegarde. C’est là que le plugin Bacula Enterprise Directory Server peut vous aider. Le plugin de sauvegarde Active Directory communique directement avec votre environnement Active Directory ou LDAP à l’aide du protocole réseau LDAP pour extraire correctement la structure de votre répertoire et activer la sauvegarde et la récupération au niveau de l’objet. Les objets peuvent même être restaurés à différents emplacements dans l’arborescence des répertoires.
Cela permet de récupérer des objets individuels ainsi que l’ensemble du répertoire. Contrairement à la méthode du plugin VSS, le plugin Directory Server suppose qu’une infrastructure AD fonctionnelle a été réinstallée, sur laquelle les informations AD sauvegardées seront restaurées, tandis que le plugin VSS est plus adapté aux scénarios de reprise après sinistre. Pour plus d’informations sur le plugin qui répondra à vos besoins, veuillez contacter Bacula Systems.
La récupération des objets Active Directory avec le plugin Directory Server est facile. Les objets ressemblent à des fichiers au moment de la restauration, et beaucoup des mêmes options fonctionnent. Cette image montre un exemple de fenêtre de restauration dans bconsole:
Comme vous pouvez le voir, nous sommes en mesure de sélectionner un seul objet pour la récupération et à ce stade, nous aurons accès à de nombreuses options de restauration.
Par exemple, les objets peuvent être restaurés sur un serveur différent de celui d’où ils proviennent. Ils peuvent être restaurés par-dessus des objets existants, et vous pouvez choisir de conserver les objets existants qui sont plus récents que les objets en cours de restauration, plus anciens, de toujours les remplacer ou de ne jamais remplacer les objets existants. Vous pouvez également demander au plugin directory server de rechercher des pierres tombales d’objets, particulièrement utile lors de la restauration d’objets qui ont été supprimés de manière incorrecte pour une raison ou une autre. Il est également possible, bien sûr, de sélectionner l’ensemble de la structure d’annuaire pour la récupération sur un serveur Active Directory ou LDAP fonctionnel.
Conclusion
L’Active Directory est fondamentalement au cœur de l’entreprise, d’où la gamme d’outils et de services pour prévenir tout type de perturbation ou de perte de mémoire pouvant à tout le moins entraîner des temps d’arrêt pour les utilisateurs et les services fournis par votre entreprise. Il est également important de rechercher correctement les méthodes et services de sauvegarde avant d’appliquer l’un d’eux à votre entreprise. La sélection de la solution de sauvegarde qui vous convient le mieux est la clé pour éviter la plupart, sinon la totalité, des problèmes avec Active Directory et ses données.
La capacité de récupérer Active Directory en cas de catastrophe est cruciale pour une bonne stratégie de gestion des risques pour toute organisation qui en dépend fortement. Bacula Enterprise Edition fournit des outils pour récupérer après une perte totale, mais aussi des outils précieux pour sauvegarder Active Directory et récupérer des parties de votre infrastructure lorsque les choses tournent mal.