Récupération de forêt Active Directory : redéployer les contrôleurs de domaine restants
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 et 2012 R2, Windows 2008 et 2008 R2
Jusqu’à ce stade, les étapes s’appliquent à toutes les forêts : rechercher une sauvegarde valide pour chaque domaine, récupérer les domaines isolément, les reconnecter, réinitialiser le catalogue global et nettoyer. Pour cette nouvelle étape, vous allez redéployer la forêt. La façon de procéder dépend grandement de la conception de votre forêt, de vos contrats de niveau de service, de la structure du site, de la bande passante disponible et de nombreux autres facteurs. Vous devrez concevoir votre propre plan de redéploiement en fonction des principes et des suggestions de cette section, de la manière la mieux adaptée aux besoins de votre entreprise.
L’étape suivante consiste à installer AD DS sur tous les contrôleurs de domaine présents avant la récupération de la forêt. Si les contrôleurs de domaine existent toujours, le service AD DS doit être supprimé de force, ou les contrôleurs de domaine peuvent être réinstallés. Les sauvegardes existantes pour ces contrôleurs de domaine ne peuvent pas être réutilisées, car les métadonnées correspondantes ont été supprimées lors de la récupération de la forêt. Dans un environnement peu compliqué, ce processus de redéploiement peut être aussi simple que de reconnecter les contrôleurs de domaine récupérés au réseau de production et de promouvoir de nouveaux contrôleurs de domaine si nécessaire.
Dans une grande entreprise confrontée à une infrastructure mondiale, un plan plus sophistiqué est nécessaire. La première phase consiste généralement à restaurer AD en tant que service ; installer des contrôleurs de domaine placés de manière stratégique afin que toutes les divisions et applications critiques puissent recommencer à fonctionner. (Il peut être acceptable que les succursales aient temporairement des performances réduites en conséquence.) Dans une deuxième phase, tous les contrôleurs de domaine restants et moins critiques sont redéployés.
Il existe deux méthodes pour installer des contrôleurs de domaine supplémentaires, qui peuvent toutes deux être automatisées :
Cloner
Vous pouvez automatiser la récupération de tous les contrôleurs de domaine virtualisés dans un domaine après avoir restauré un seul contrôleur de domaine virtualisé à partir d’une sauvegarde. Pour plus d’informations sur le clonage et les prérequis, voir Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100).
Réinstaller les services AD DS à l’aide de Windows Powershell
Pour accélérer la nouvelle installation d’AD DS, vous pouvez utiliser l’option Installer à partir d’un support (IFM) pour réduire le trafic de réplication pendant l’installation. Pour plus d’informations sur l’utilisation de la commande ntdsutil ifm pour créer un support d’installation, consultez Installation d’AD DS à partir d’un support.
Considérez les points supplémentaires suivants pour chaque contrôleur de domaine réplica récupéré dans la forêt par clonage de contrôleur de domaine virtualisé ou en installant AD DS (par opposition à la restauration à partir d’une sauvegarde) :
- Tous les logiciels d’un contrôleur de domaine qui sont utilisés comme source pour le clonage doivent pouvoir être clonés. Les applications et services qui ne peuvent pas être clonés doivent être supprimés avant le début du clonage. Si ce n’est pas possible, un autre contrôleur de domaine virtualisé doit être choisi comme source.
- Si vous clonez d’autres contrôleurs de domaine virtualisés à partir du premier contrôleur de domaine virtualisé à restaurer, le contrôleur de domaine source doit être arrêté pendant que son fichier VHDX est copié. Ensuite, il doit être en cours d’exécution et disponible en ligne lors du premier démarrage des contrôleurs de domaine virtuels de clonage. Si le temps d’arrêt requis par l’arrêt n’est pas acceptable pour le premier contrôleur de domaine récupéré, déployez un contrôleur de domaine virtualisé supplémentaire en installant AD DS comme source pour le clonage.
- Il n’existe aucune restriction sur le nom d’hôte du contrôleur de domaine virtualisé cloné ou du serveur sur lequel vous souhaitez installer AD DS. Vous pouvez utiliser un nouveau nom d’hôte ou le nom d’hôte utilisé précédemment. Pour plus d’informations sur la syntaxe du nom d’hôte DNS, consultez Création de noms d’ordinateurs DNS (https://go.microsoft.com/fwlink/?LinkId=74564).
- Configurez chaque serveur avec le premier serveur DNS de la forêt (le premier contrôleur de domaine restauré dans le domaine racine) comme serveur DNS préféré dans les propriétés TCP/IP de sa carte réseau. Pour plus d’informations, consultez Configurer TCP/IP pour utiliser DNS.
- Redéployez tous les contrôleurs de domaine en lecture seule (RODC) du domaine, soit par clonage de contrôleur de domaine virtualisé si plusieurs RODC sont déployés dans un emplacement central, soit par la méthode traditionnelle qui consiste à les reconstruire en supprimant et en réinstallant AD DS s’ils sont déployés individuellement dans des emplacements isolés, comme des filiales.
- La reconstruction des RODC garantit qu’ils ne contiennent pas d’objets en attente et peut aider à empêcher des conflits de réplication de se produire ultérieurement. Lorsque vous supprimez AD DS d’un RODC, choisissez l’option permettant de conserver les métadonnées du contrôleur de domaine. L’utilisation de cette option conserve le compte krbtgt pour le RODC, ainsi que les autorisations pour le compte d’administrateur de RODC délégué et la stratégie de réplication de mot de passe (PRP), et vous évite d’avoir à utiliser les informations d’identification de domaine Administration pour supprimer et réinstaller AD DS sur un RODC. Elle conserve également le serveur DNS et les rôles de catalogue global s’ils sont installés sur le RODC à l’origine.
- Lorsque vous régénérez des contrôleurs de domaine (RODC ou contrôleurs de domaine accessibles en écriture), le trafic de réplication peut augmenter pendant leur réinstallation. Pour réduire cet impact, vous pouvez échelonner la planification des installations de RODC et utiliser l’option Installer à partir d’un support (IFM). Si vous utilisez l’option IFM, exécutez la commande
ntdsutil ifmsur un contrôleur de domaine en écriture que vous estimez exempt de données endommagées. Cela permet d’éviter qu’une altération possible s’affiche sur le RODC une fois la réinstallation d’AD DS terminée. Pour plus d’informations sur IFM, consultez Installation d’AD DS à partir d’un support. - Pour plus d’informations sur la reconstruction des RODC, consultez Suppression et réinstallation de RODC.
- Si un contrôleur de domaine exécutait le service de serveur DNS avant le dysfonctionnement de la forêt, installez et configurez le service de serveur DNS pendant l’installation d’AD DS. Sinon, configurez ses anciens clients DNS avec d’autres serveurs DNS.
- Si vous avez besoin de catalogues globaux supplémentaires pour partager l’authentification ou la charge de requête pour les utilisateurs ou les applications, vous pouvez ajouter le catalogue global au contrôleur de domaine virtualisé source avant le clonage ou faire d’un contrôleur de domaine un serveur de catalogue global pendant l’installation d’AD DS.
Étapes suivantes
- Récupération de la forêt Active Directory : conditions préalables
- Récupération de forêt AD : concevoir un plan de récupération de forêt personnalisé
- Récupération de forêt AD : étapes de restauration de la forêt
- Récupération de forêt AD – Identification du problème
- Récupération de forêt AD – Identification de la procédure de récupération
- Récupération de forêt AD – Récupération initiale
- Récupération de la forêt Active Directory : procédures
- Récupération de forêt AD : forum aux questions (FAQ)
- Récupération de forêt AD : récupérer un domaine unique au sein d’une forêt multidomaine
- Récupération de forêt AD : redéployer les contrôleurs de domaine restants
- Récupération de la forêt Active Directory : virtualisation
- Récupération de forêt AD : nettoyage