Procédure de PRA Active Directory -> scénario Forest Recovery

Bonjour

Objectif de cet article :
Présenter la procédure de restauration d’un annuaire Active Directory en cas de corruption du schéma ou d’un changement non souhaitable au niveau de la partition de configuration Active Directory (exemple : suppression d’un domaine de la forêt).

A savoir :
– La réplication Active Directory se base sur un système de numéros de séquence. En simplifiant (c’est beaucoup plus compliqué), le principe est qu’un contrôleur de domaine A (DCA) réplique un objet depuis le contrôleur de domaine B (DCB) si le numéro de séquence de l’objet sur DCA est inférieur au numéro de séquence de l’objet sur DCB. Voir article Microsoft :
http://technet.microsoft.com/en-us/library/cc772726(v=ws.10).aspx
– Active Directory permet d’effectuer une restauration autoritaire de la partition de domaine. Cette procédure permet par exemple de restaurer une OU supprimée accidentellement en restaurant l’état du système et en utilisant l’outil NTDSUTIL pour incrémenter le numéro de séquence (USN) de chaque objet à restaurer. Pour plus d’informations, voir :
http://technet.microsoft.com/fr-fr/library/cc816878(v=ws.10).aspx
– Microsoft ne supporte pas d’effectuer une restauration autoritaire de la partition de configuration ou de la partition de schéma Active Directory. En cas de corruption du schéma Active Directory (échec mise à jour du schéma, attribut ajouté manuellement en conflit…) ou de changement dans la configuration de l’annuaire (comme la suppression d’un domaine), la seule solution est d’appliquer la procédure Forest Recovery Active Directory. Pour plus d’informations, voir :
http://technet.microsoft.com/fr-fr/library/cc757662(v=ws.10).aspx

Présentation de l’annuaire (ce n’est pas des prérequis juste ma configuration) :
– 1 domaine Active Directory appelé msreport.intra avec 20 contrôleurs de domaine Windows 2008 R2 appelés DCA, DCB, DCC…
– DCA héberge les 5 rôles FSMO.
– Tous les contrôleurs de domaine sont Catalogue Global et serveur DNS.
– Tous les contrôleurs de domaine sont des machines virtuelles VMware ESX 5.1.
– Le contrôleur de domaine DCB est sauvegardée avec Windows Server Backup sur un disque dédié une fois par jour (disque de 80 Go).
– NTFRS est le moteur de réplication pour le répertoire SYSVOL (on a pas encore basculé en DFS-R).
– Le domaine est en mode natif 2008 R2
– DCB se trouve dans le site avec ID 0 (résultat commande NTDSUTIL List sites).

La procédure ci-dessous présente comment effectuer la procédure Forest Recovery dans un environnement de qualification (cohabitation avec l’environnement de production).
Seul le contrôleur de domaine DCB est restauré dans ce scénario. Les autres contrôleurs de domaine sont réinstallés via l’assistant DCPROMO (ajout d’un contrôleur de domaine supplémentaire).

Etape 1 : préparation de l’environnement :

Cas 1 : test d’un PRA :
Si vous testez la procédure de PRA sur un environnement de qualification, la première étape est de créer un vSwitch PRA-ISOLE (VM port group).
Ce vSwitch ne doit pas être lié à une carte réseau physique (pas d’adaptateur).
Créer une machine virtuelle appelée DCB-PRA avec la même configuration matérielle que DCB :
– Taille de disque : 40 Go
– Contrôleur SAS : LSI Logic SAS
– 1 carte réseau : E1000
– Version de machine virtuelle : 8
– Configurer la carte réseau sur le VM Port group (vswitch) PRA-ISOLE

Cas 2 : application réelle d’un PRA Active Directory
Si vous souhaitez réellement effectuer une restauration dans le scénario Forest Recovery :
– Arrêter tous les contrôleurs de domaine ou au pire empêcher ces serveurs de communiquer sur le réseau définitivement (bloquer les ports réseaux sur le switch le temps de pouvoir les arrêter définitivement).
Si vous devez conserver les serveurs, faire un DCPROMO /forceremoval sur tous les contrôleurs de domaine sauf celui que vous restaurez (DCB).

Etape 2 : préparation de la restauration :
Déconnecter le disque de sauvegarde Windows Server Backup sur DCB.
Le connecter sur la machine DCB-PRA.
Sélectionner le choix Supprimer de la machine virtuelle sans supprimer le disque dur virtuelle (fichier VMDK).
Noter l’emplacement (datastore VMFS) du fichier VMDK.
Avec Windows 2008 R2 il est possible d’ajouter / supprimer à chaud des disques.

Etape 3 : restaurer la VM à l’aide de Windows Server Backup :
Démarrer sur le DVD d’installation de Windows 2008 R2 et choisir Repair your computer.
Sélectionner ensuite Restore your computer using a system image that you created earlier.
Sélectionner ensuite Select a system image.
Sélectionner ensuite le disque de sauvegarde Windows Server Backup.
Sélectionner la sauvegarde que vous souhaiterez restaurer.
Configurer la sauvegarde pour ne pas redémarrer le serveur automatiquement.
Cliquer sur Next plusieurs fois. Tout le contenu du disque de DCB-PRA est supprimée.
Une fois la restauration terminée, débrancher la carte réseau et redémarrer.

Remarque très importante :
Il est très fortement déconseiller de restaurer un contrôleur de domaine sur une période de temps supérieure à la TombstoneLifeTime (60 ou 180 jours par défaut selon le cas). Voir :
http://www.petri.co.il/changing_the_tombstone_lifetime_windows_ad.htm

Etape 4 : reconfiguration réseau :
Reconnecter la carte réseau et lui affecter une adresse IP dans une plage non routée du réseau de production. Cette action ne doit être effectuée que dans le cadre de la simulation du PRA.
En situation réelle, vérifier que la carte réseau a conservée l’adresse IP d’origine. La redéfinir si besoin.
Redémarrer le serveur.
A cette étape, si on essaie de lancer la console Utilisateurs et Ordinateurs Active Directory après redémarrage, on a ce message d’erreur.
Les informations de noms sont introuvables pour la raison suivante : le serveur n’est pas opérationnel….
Cela est dû au fait que le service DNS n’arrive pas à charger les zones DNS du domaine car l’annuaire Active Directory n’arrive pas à effectuer la synchronisation initiale avec les autres contrôleurs de domaine (procédure standard après une restauration).

Etape 5 : faire une restauration autoritaire de NTFRS :
Il faut obligatoirement faire une restauration autoritaire de NTFRS.
Arrêter le service NTFRS en entrant la commande suivante :
Net stop ntfrs
Modifier l’entrée de registre BurFlags (REG_DWORD) existante à D4 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NtFrs\Parameters\Backup/Restore\Process at Startup).
Si le dossier c:\windows\sysvol\sysvol\nomdnsdomaine est vide, déplacer le contenu du dossier c:\windows\sysvol\sysvol\nomdomainedns\NTFRS_PreExistingXXX dans c:\windows\sysvol\sysvol\nomdomainedns.
Dans notre cas nomdomainedns est msreport.intra.
Taper la commande net start ntfrs.
Taper la commande net share et vérifier que les partages Netlogon et Sysvol existent.

Etape 6 : configurer l’entrée de registre Repl Perform Initial Synchronisations :
Créer l’entrée de registre Repl Perform Initial Synchronizations (REG_DWORD) à la valeur 0 dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Redémarrer ensuite le serveur.
Pour plus d’informations :
http://support.microsoft.com/kb/2001093/en-us

Etape 7 : supprimer les références de tous les contrôleurs de domaine sauf DCB dans l’annuaire :
Comme on fait une restauration de la partition de configuration ou du schéma, on ne peut pas restaurer les 19 autres contrôleurs de domaine. On est obligé de les supprimer manuellement.
L’exemple ci-dessous montre la procédure à appliquer pour les 19 contrôleurs de domaine qui ne sont pas restaurés.
Pour rappel ces 19 contrôleurs de domaine doivent avoir été arrêtés à l’étape 1. Si un seul contrôleur de domaine reste en ligne, les actions néfastes seront répliquées sur le DC restauré (DCB) et tout sera à refaire !
Pour supprimer DCA, entrer les commandes suivantes :
ntdsutil
metadata cleanup
connections
connect to server DCB
quit
Select operation target
List domains
select domain 0
List sites
Sélectionner le site où se trouve chaque contrôleur de domaine DCA (ID 0 dans notre cas)
select site 0
List servers in site
Sélectionner le contrôleur de domaine DCA. Dans notre cas celui avec l’ID 0.
Select server 0
quit
Remove selected server.
Confirmer la suppression de DCA.
Comme DCA avait les 5 rôles FSMO, ces derniers sont transférés sur DCB. Accepter le transfert des rôles.
Faire cette procédure pour tous les autres contrôleurs de domaine sauf DCB.

Etape 8 : finalisation de la restauration :
Lancer la console Active Directory Sites et Services et supprimer les objets correspondants aux anciens contrôleurs de domaine.
Lancer la console DNS et supprimer les entrée NS correspondant aux anciens contrôleurs de domaine non restaurés dans les zones DNS.

En cas de compromission de la sécurité :
Les actions suivantes doivent être effectuées en cas de compromission de la sécurité de l’annuaire par un tiers. La simple restauration à l’état initial permet un retour au bon fonctionnement de l’annuaire mais ne protègera pas contre une nouvelle attaque. Pour se protéger il faut effectuer les actions suivantes :
– Réinitialiser le mot de passe de compte de chaque contrôleur de domaine 2 fois.
– Réinitialiser tous les mots des comptes membres des groupes Admins du domaine, Administrateurs, Opérateurs de sauvegarde, Opérateurs d’impression.
– Réinitialiser le mot de passe du compte KRBTG deux fois.
– Réinitialiser deux fois les mots de passe des relations d’approbation.
Pour plus d’informations :
http://technet.microsoft.com/fr-fr/library/cc757662(v=ws.10).aspx

La procédure indique aussi de régénérer le catalogue globale. Si vous effectuez cette procédure pour un domaine unique dans une forêt, cela ne me semble pas nécessaire.

Etape 9 : retour à un fonctionnement standard :
Réinstaller tous vos contrôleurs de domaine et les ajouter en tant que contrôleurs de domaine supplémentaires via l’assistant DCPROMO pour le domaine msreport.intra.
Transférer les rôles FSMO sur DCA et configurer ce serveur pour se synchroniser avec une source de temps externe.

Conclusion:
Cette procédure de PRA devrait être testée tous les 6 mois !
Eviter de restaurer trop loin dans le passé (idéalement quelques jours au plus). Vous pouvez avoir des problèmes avec les mots de passe de compte ordinateur sur les machines membres dans le cas contraire.

MAJ 29/12/2014 :
Le scénario Forest Recovery présenté dans cet article s’applique plus au scénario “Corruption du schéma / partition de configuration”.
Si votre annuaire a été compromis au niveau de sa sécurité, vous devez aussi exécuter un Forest Recovery et appliquer cette fois ci toutes les recommandations de Microsoft de sécurité comme :
– La réinitialisation des mots de passe des comptes ordinateurs (un nombre de fois = historique des mots de passe + 1)
– La réinitialisation du mot de passe du compte krbtgt (un nombre de fois = historique des mots de passe + 1). Si ce compte est compromis, tout le protocole d’authentification Kerberos est compromis.
– La réinitialisation des mots de passe  des comptes d’administration.
– La réinitialisation des mots de passe des Relation d’approbation.

A+

Guillaume MATHIEU
Consultant Proservia
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Active Directory, Annuaire, Système, Troubleshouting, Windows Server 2008 R2, avec comme mot(s)-clé(s) , , , . Vous pouvez le mettre en favoris avec ce permalien.

Une réponse à Procédure de PRA Active Directory -> scénario Forest Recovery

  1. lechere dit :

    Très bon tuto, merci pour le partage.

Laisser un commentaire