Sauvegarder un contrôleur de domaine : meilleures pratiques pour protéger AD (1e partie)

Les articles de la série :

P. 1 — Sauvegarder un contrôleur de domaine
P. 2 — Restaurer un contrôleur de domaine

 


Microsoft Active Directory est la norme dans les environnements d’entreprise nécessitant l’authentification et la gestion centralisée des utilisateurs. Il est quasiment inimaginable pour les administrateurs systèmes de se passer de cette technologie. Active Directory ne leur confère pas seulement un grand pouvoir, mais aussi une grande responsabilité, sans compter la nécessité de lui consacrer beaucoup de temps pour en exploiter toutes les fonctionnalités au maximum.

Ces articles ont été rédigés pour vous aider à sauvegarder et restaurer les services de domaine Active Directory grâce à Veeam, en vous donnant toutes les clés pour protéger AD sans peine. Avant d’entamer la lecture de celui-ci, il est conseillé de consulter l’article Meilleures pratiques pour l’administration d’AD publié il y a quelques années.

Les articles de la présente série traitent du rôle de Veeam dans la protection des données Active Directory, à savoir comment préserver les contrôleurs de domaine (DC) ou les objets AD, et les restaurer lorsque nécessaire.

Je vais présenter aujourd’hui les options de sauvegarde proposées par Veeam pour les DC physiques comme virtuels et les points à prendre en considération.

Points à prendre en considération pour sauvegarder un contrôleur de domaine

À l’image des services de domaine Active Directory conçus avec une forme de redondance, les règles et stratégies de sauvegarde courantes peuvent être réduites et adaptées au même niveau. En effet, il ne serait pas juste d’appliquer ici la stratégie de sauvegarde que vous utilisez pour SQL Server ou Exchange. Voici donc quelques points à prendre en considération pour créer vos propres stratégies Active Directory, en espérant qu’ils vous soient utiles :

Comment sauvegarder un contrôleur de domaine virtuel

Les services Active Directory de Microsoft organisent et conservent les informations relatives aux objets individuels de la forêt et les stockent dans une base de données relationnelle (ntds.dit) hébergée sur un contrôleur de domaine. Sauvegarder un contrôleur de domaine était auparavant un processus pénible qui nécessitait de sauvegarder l’état système du serveur. Les services Active Directory sont notoirement peu gourmands en ressources système, c’est pourquoi les contrôleurs de domaine sont toujours les premiers serveurs à être virtualisés dans l’environnement. Si vous partagez cette ancienne croyance selon laquelle il faut privilégier les DC physiques, prenez connaissance de cet article.

Une fois virtualisés, ils sont assez simples à gérer pour les administrateurs de domaines/systèmes et peuvent être facilement sauvegardés à l’aide de Veeam Backup & Replication. Il vous faudra installer et configurer Veeam Backup & Replication au préalable. La configuration requise (en version 9.0) est la suivante :

Plateforme virtuelle : VMware vSphere 4.1 et ultérieure, Microsoft Hyper-V 2008 R2 SP1 et ultérieure

Serveur Veeam : Windows Server 2008 SP2 et ultérieure, Windows 7 SP1 et ultérieure, SE 64 bits

Machine virtuelle (VM) du contrôleur de domaine : Windows Server 2003 SP1 et ultérieure, Windows 2003 étant le niveau fonctionnel minimal de forêt pris en charge

Autorisations : droits d’administration sur l’Active Directory cible, compte d’administrateur d’entreprise ou de domaine.

Cet article ne traite pas du processus d’installation et de configuration de Veeam Backup & Replication qui a déjà été abordé par ailleurs. Si vous avez besoin d’aide à ce sujet, regardez cette vidéo enregistrée par un ingénieur systèmes Veeam.

Je pars du principe que votre installation fonctionne correctement. Vous allez maintenant configurer une tâche pour sauvegarder votre contrôleur de domaine virtuel. Le processus de configuration est plutôt simple (voir figure 1 ci-après) :

  1. Lancez l’assistant de création de tâche de sauvegarde.
  2. Ajoutez le contrôleur de domaine souhaité dans la tâche.
  3. Spécifiez la stratégie de rétentionde la chaîne de sauvegarde.
  4. Activez le traitement d’images prenant en charge les applications (AAIP) pour assurer la cohérence transactionnelle des SE et applications qui s’exécutent sur la VM, y compris la base de données Active Directory et le catalogue SYSVOL.
Remarque :
l’AAIP est une technologie Veeam permettant de sauvegarder les VM dans un mode qui prend en charge les applications. Elle consiste à détecter les applications d’un SE invité pour collecter leurs métadonnées, les suspendre à l’aide des VSS Writers correspondants, préparer la procédure de restauration VSS spécifique de ces applications qui s’exécutera au premier redémarrage de la VM restaurée et tronquer leurs journaux de transactions une fois la tâche de sauvegarde terminée. Pour plus d’informations, veuillez consulter la documentation sur l’AAIP.

Faute d’activer l’AAIP, le SE invité du contrôleur de domaine ne réalisera pas qu’il a été sauvegardé et qu’il est protégé. Vous remarquerez donc peut-être des avertissements internes dans les journaux du serveur (event 2089) indiquant qu’aucune sauvegarde n’a eu lieu depuis un nombre de jours correspondant à l’intervalle de latence de sauvegarde.

Figure 1. Modification de la tâche de sauvegarde : traitement du SE invité
  1. Planifiez une tâche ou exécutez-la manuellement.
  2. Assurez-vous que la tâche s’est terminée normalement, sans erreur ni avertissement.
Figure 2. Sauvegarde incrémentielle d’un DC
  1. Localisez le fichier de sauvegarde nouvellement créé dans la cible de sauvegarde. C’est aussi simple que cela !

De plus, vous pouvez stocker une sauvegarde dans le cloud via un fournisseur de service avec Veeam Cloud Connect (VCC) ou dans une autre cible de sauvegarde à l’aide d’une tâche de copie de sauvegarde Veeam, ou bien l’archiver sur bande au moyen d’une tâche de sauvegarde sur bande. Très important : la sauvegarde est désormais sécurisée et peut être restaurée à tout moment.

Comment sauvegarder un contrôleur de domaine physique

Pour être franc, j’espère que vous avez actualisé les services AD dans votre entreprise et que vos contrôleurs de domaine sont virtualisés depuis longtemps. Si ce n’est pas le cas, j’espère que vous avez au moins actualisé vos contrôleurs de domaine et qu’ils s’exécutent sur une version de Windows Server plutôt récente, c’est-à-dire Windows Server 2008 R2 ou ultérieure.

Vous disposez donc d’un ou plusieurs contrôleurs de domaine physiques s’exécutant sur Windows Server 2008 R2, ou une version ultérieure, et vous souhaitez protéger votre AD ? Intéressez-vous à Veeam Endpoint Backup, l’utilitaire conçu pour garantir que les données présentes sur les terminaux et les serveurs physiques sont sécurisées. Veeam Endpoint Backup récupère les données souhaitées sur la machine physique et les stocke dans un fichier de sauvegarde. Ainsi, en cas de sinistre, vous pouvez exécuter une restauration bare-metal ou au niveau volume, tout en conservant une totale maîtrise des procédures de restauration. À cela s’ajoute la possibilité d’effectuer une restauration au niveau objet avec Veeam Explorer for Microsoft Active Directory.

Pour sauvegarder votre contrôleur de domaine avec cet outil, vous devez :

Figure 3. Sélection des objets à sauvegarder dans Veeam Endpoint Backup
Remarque :
Si vous possédez une instance Veeam Backup & Replication dans votre infrastructure et souhaitez utiliser une cible Veeam Backup pour accepter les sauvegardes de terminaux, reconfigurez-la directement depuis Veeam Backup & Replication (Ctrl+clic droit sur la cible souhaitée pour en autoriser l’accès et activer le chiffrement des sauvegardes si nécessaire, voir figure 4).
Figure 4. Configuration des autorisations de sauvegarde des terminaux sur la cible de sauvegarde
Figure 5. Veeam Endpoint Backup FREE : statistiques des tâches de sauvegarde
Figure 6. Chaîne de sauvegarde incrémentielle
Remarque :
Si vous avez configuré une cible Veeam Backup & Replication comme cible de sauvegarde du DC, la sauvegarde nouvellement créée se trouve dans le nœud Backups > Disk, sous Endpoint Backups.
Figure 7. Veeam Backup & Replication – Backup-Disk

Conclusion

Est-il si simple de sauvegarder un contrôleur de domaine ? Oui et non. Réussir sa sauvegarde, c’est un excellent début, mais cela ne suffit pas. Chez Veeam, nous affirmons qu’une sauvegarde n’a aucune valeur si elle est impossible à restaurer.

Le second article de la série est consacré à la restauration d’un contrôleur de domaine en particulier.


Voir aussi :

Exit mobile version