Sauvegarde et maintenance d’Active Directory

Publié le 19 mars 2010 par Ecoleinfo

De plus en plus de services et de logiciels dépendent aujourd’hui du bon fonctionnement de l’annuaire Active Directory proposé par Microsoft autour de ses plates-formes Windows Server 2000, 2003 et 2008. L’intégration, même si elle constitue un élément de fragilité certain au sein des organisations, comporte l’avantage de l’authentification unique.

Des dysfonctionnements observés dans Exchange peuvent être liés à des erreurs Active Directory. Il est donc important de :

  1. sauver régulièrement l’annuaire
  2. effectuer les tâches de maintenance autour de l’annuaire

Sauvegarde de  l’annuaire

A chaud

Le processus de sauvegarde à chaud a l’avantage de pouvoir s’exécuter ou se planifier alors que le serveur est en plein fonctionnement.

Sous Windows 2000 et 2003, elle se réalise simplement à l’aide de l’outil fourni par Microsoft : ntbackup.exe. Sous Windows 2008, le composant qui permet de réaliser la sauvegarde n’est pas installé nativement. Il faut aller dans le gestionnaire de serveur (dans les outils d’administration). Dans les fonctionnalités, ajoutez Fonctionnalités de  la sauvegarde de Windows Server.  Il faut lancer alors la console wbadmin.msc. La raccourci à cette console figure dans le menu des outils d’administration. A noter que sous Windows Vista et Windows 7, vous devez exécuter la commande à partir du panneau de configuration ou directement à l’aide de la commande suivante :  control.exe /name Microsoft.BackupAndRestore.

S’ajoutent à ces solutions fournies par Microsoft les logiciels commerciaux tels que Symantec Backup Exec, CA ArcServe, Atempo Time Navigator (Tina), Novastor Novabackup,  EMC Networker (Legato), Symantec Netbackup (Veritas), par exemple. Signalons encore, dans ce registre, les services en ligne tels que Kiwi-Backup et d’excellentes solutions Open Source et totalement gratuites telles que Bacula et Amanda.

A froid

Il y a de nombreuses solutions pour réaliser les sauvegardes à froid des disques et partitions sur lesquelles sont installées les systèmes Windows Server. Signalons l’outil Open Source et gratuit, CloneZilla !

Réparation de l’annuaire

Les symptômes de la nécessité de réparer un annuaire interviennent lorsque des utilisateurs se connectent de manière aléatoire. Il peut se faire aussi que, tout en étant présent dans l’annuaire (via dsa.msc), certains utilisateurs ne puissent pas non plus se connecter. Enfin, parmi les symptômes, les utilisateurs peuvent avoir disparu alors qu’aucun administrateur ou utilisateur délégué ait procédé à la suppression de son compte.

Infrastructure à 1 seul serveur

Pour réparer votre annuaire, vous devez tout d’abord démarrer le système en Mode restauration des services d’annuaire en appuyant sur la touche F8 au boot de la machine.

Vous disposez de deux utilitaires :

  • ntdsutil.exe
  • esentutl.exe

Le premier vous offre une assistance là où le second - plus rustique - vous permet directement de réparer, récupérer ou bien de défragmenter tous les fichiers Active Directory stockés par défaut dans le dossier c:\windows\ntds. La commande esentutl.exe est, par ailleurs, très bien documentée :

C:\>esentutl /?

Extensible Storage Engine Utilities for Microsoft(R) Windows(R)
Version 6.1
Copyright (C) Microsoft Corporation. All Rights Reserved.

DESCRIPTION:  Database utilities for the Extensible Storage Engine for Microsoft
(R) Windows(R).

MODES OF OPERATION:
      Defragmentation:  ESENTUTL /d  [options]
             Recovery:  ESENTUTL /r  [options]
            Integrity:  ESENTUTL /g  [options]
             Checksum:  ESENTUTL /k  [options]
               Repair:  ESENTUTL /p  [options]
            File Dump:  ESENTUTL /m[mode-modifier]
            Copy File:  ESENTUTL /y  [options]

<<<<<  Press a key for more help  >>>>>
D=Defragmentation, R=Recovery, G=inteGrity, K=checKsum,
P=rePair, M=file duMp, Y=copY file
=>

Infrastructure à n serveurs

Le problème qui se pose lorsqu’on veut réparer une infrastructure à plusieurs  contrôleurs Active Directory, c’est le mécanisme de réplication.Les informations de réplication peuvent être consultées l’aide de la console dssite.msc. Préférez l’emploi de la commande en ligne repadmin.exe bien plus complète.

L’idéal serait évidemment d’être en capacité de pouvoir arrêter tous les contrôleurs simultanément afin de les réparer tous sans exception. C’est hélas rarement possible ! Il est en effet toujours très difficile de savoir d’où vient le problème à l’intérieur d’un ensemble de contrôleurs. Grâce à l’utilitaire dcdiag.exe, vous pouvez toutefois consulter tous les journaux des différents contrôleurs de façon à repérer d’où vient l’erreur.