15/03/2025
IT-Connect » Cours - Tutoriels » Administration Systèmes » Windows Server » Active Directory » Comment restaurer un contrôleur de domaine Active Directory ?

Comment restaurer un contrôleur de domaine Active Directory
Active Directory

Comment restaurer un contrôleur de domaine Active Directory ?

Mehdi DAKHAMA 0 commentaire

I. Présentation

Dans cet article, nous allons voir comment restaurer un Active Directory, suite à une panne ou un problème, ainsi que les bonnes pratiques pour éviter toute casse de forêt. Quels sont les types de restauration AD ? Comment effectuer la restauration d'un DC ou d'une OU ? C'est ce que nous verrons dans ce tutoriel détaillé.

Nous avons vu dans un article précédent, comment sauvegarder l'Active Directory avec l’outil de Sauvegarde Windows :

Contrairement à celle-ci qui est simple, la restauration AD demeure une opération délicate qu'il faut prendre au sérieux. Plusieurs paramètres ou mauvaises configurations peuvent entraîner une perte de données, d'accès ou de droits.

II. Pourquoi restaurer un AD ?

Il ne faut pas confondre la restauration d'un annuaire entier AD ou d'un contrôleur de domaine avec la récupération d'éléments supprimés dans l'AD.

Cette dernière tâche est assurée par la corbeille AD, d'où l'intérêt d'activer cette dernière et d'effectuer des sauvegardes régulières des GPOs et DNS. Ainsi, il est plus aisé de récupérer uniquement un élément.

Pour approfondir ce sujet, consultez ces articles :

Par le passé, en l'absence de la corbeille, certaines pratiques consistaient à restaurer un AD à un état antérieur et à effectuer des manipulations pour récupérer des objets supprimés et propagés par la réplication, ce qui n'est plus le cas aujourd'hui.

La restauration peut s'avérer nécessaire en cas de crash avec un « écran bleu de la mort » (BSoD), d'attaque par un virus ou un logiciel malveillant, ou encore de perte de service AD. L'image ci-dessous est un exemple, car elle illustre un dysfonctionnement sur un service critique.

III. Les types de restauration AD

Nous avons le choix entre plusieurs types de restauration : la restauration complète du serveur et la restauration d'état du système. Selon le besoin, l'une ou l'autre peut être utilisée. Attention cependant, la sauvegarde d'état du système n'inclut pas la restauration complète du serveur. Assurez-vous de sauvegarder l'ensemble du serveur et d'être conscient des enjeux. Nous allons détailler ces deux types de restaurations.

A. Restauration d'état du système

La restauration d'état du système permet de restaurer des composants critiques d'un contrôleur de domaine sans affecter l'ensemble du serveur. Cette méthode est utile lorsque l'Active Directory a subi des dommages, mais que le système d'exploitation reste fonctionnel. Elle inclut :

  • La base de données Active Directory (Ntds.dit) : contient toutes les informations de l'annuaire AD.
  • Les journaux de transaction AD : permettent d'assurer l'intégrité et la récupération des modifications.
  • Le dossier SYSVOL : stocke les GPO et les scripts de connexion.
  • Le registre Windows : inclut des configurations critiques du contrôleur de domaine.

La restauration d'état du système est utile pour des problèmes limités à AD, sachant que cette dernière ne peut être effectuée qu'à partir du contrôleur de domaine spécifique à la sauvegarde, il n'est pas possible de restaurer une base AD sur un autre contrôleur de domaine pour des raisons de compatibilité.

B. Restauration complète du serveur

La restauration complète du serveur consiste à restaurer l'ensemble du contrôleur de domaine à un état précédent. Cette méthode est essentielle en cas de panne matérielle, de corruption majeure du système ou pour une installation sur nouvelle machine virtuelle. Elle inclut :

  • Tous les fichiers système et applications installées.
  • L'ensemble de la base AD et ses composants (Ntds.dit, journaux de transaction, SYSVOL).
  • Les paramètres de configuration du serveur.
  • Tous les services et applications associés à AD DS.
  • AV et EDR, ou tous autres agents

En fonction de la gravité du problème, il est essentiel de choisir la méthode de restauration la plus adaptée afin d'éviter toute perte de données ou interruption prolongée des services Active Directory.

IV. Les modes de restauration AD

Une fois la méthode de restauration choisie, il est essentiel de déterminer le mode de restauration à adopter. En effet, lorsqu'un domaine compte plusieurs contrôleurs de domaine, restaurer un DC signifie le ramener à un état antérieur (instant T), entraînant ainsi la perte des modifications effectuées après ce point.

Selon les besoins, ces changements peuvent être conservés ou écrasés lors des prochaines réplications, ce qui peut avoir un impact critique sur la cohérence globale du domaine. Pour éviter cela, nous avons le choix entre la restauration autoritaire et non autoritaire.

A. AD : restauration non autoritaire

Cette méthode consiste à restaurer un DC à un état antérieur sans empêcher la réplication. Après la restauration, le contrôleur synchronise automatiquement ses données avec les autres DC du domaine, récupérant ainsi les modifications les plus récentes.

  • Utilisation : en cas de panne ou de corruption d’un DC, tant que les autres contrôleurs restent fonctionnels.

B. AD : restauration autoritaire

Contrairement à la précédente, cette méthode impose la version restaurée des objets Active Directory aux autres DC. Cela permet de récupérer des objets supprimés ou modifiés de manière indésirable. L’opération se fait via l’outil ntdsutil.

  • Utilisation : après une suppression accidentelle d’objets critiques (utilisateurs, GPO, OU…). Le plus souvent après modification des ACLs (délégations, droits) sur une grande arborescence OU suite à une mauvaise action comme un script de hardening non maitrisé, par exemple.

C. Restauration Primaire

La restauration primaire est utilisée lorsque aucun contrôleur de domaine (DC) n’est disponible et que le domaine doit entièrement être reconstruit à partir d’une sauvegarde.

  • Utilisation : Lorsque tous les contrôleurs de domaine du domaine ont été perdus (panne totale, corruption irréversible, cyberattaque…).

Lorsque vous souhaitez complètement reconstruire votre environnement Active Directory à partir d’une sauvegarde.

Attention : n'exécutez pas de restauration primaire si au moins un DC est encore fonctionnel.

En résumé :

  • Non autoritaire = synchronisation post-restauration avec l’AD existant.
  • Autoritaire = imposer les données restaurées aux autres DC.

De ce fait, la restauration non autoritaire ne nécessite pas d'action supplémentaire.

V. Les bonnes pratiques pour restaurer AD

Avant d’aborder les étapes et procédures de restauration, voici quelques bonnes pratiques à respecter, ainsi que des erreurs à éviter :

✅ Effectuer des tests de restauration AD régulièrement

Il est essentiel de tester la restauration d'Active Directory au moins une fois par an, dans un environnement de test, afin de s'assurer de la fiabilité des sauvegardes et des procédures.

✅ Restaurer un état du système uniquement sur le même contrôleur de domaine

Une restauration de l'état du système doit toujours être effectuée sur le contrôleur de domaine concerné, et non sur un autre DC du domaine.

✅ Faire preuve de prudence lors d’une restauration autoritaire

Lorsque vous effectuez une restauration autoritaire, privilégiez la restauration d'une OU ou d'une sous-OU plutôt que de tenter une restauration à la racine du domaine, ce qui pourrait engendrer des incohérences majeures.

❌ Ne jamais restaurer Active Directory à partir d’une simple sauvegarde de machine virtuelle

Il est fortement déconseillé d’utiliser une sauvegarde VM classique pour restaurer un DC. Les outils de sauvegarde classiques (Veeam, Commvault…) proposent des agents spécialisés pour restaurer correctement un DC et éviter des problèmes d’incohérence de réplication liés aux numéros de signature de sauvegarde.

❌ Une sauvegarde de VM ou un point de contrôle n’est pas une sauvegarde AD valide

Les snapshots et sauvegardes de machines virtuelles ne constituent pas une méthode de sauvegarde fiable pour Active Directory. Une restauration basée sur un instantané peut provoquer des incohérences de réplication et des USN rollback, ce qui mettrait en péril l’intégrité du domaine.

VI. Restauration complète d'Active Directory

Pour effectuer une restauration complète de votre Active Directory, démarrez le serveur à partir du support d'installation de Windows Server. Il est fortement recommandé d'utiliser la même version que celle du système d'exploitation installé, ou une version ultérieure.

Sélectionnez l'option de réparation du système, puis cliquez sur « Dépannage ».

Choisissez ensuite l'option de « Récupération de l'image système ».

Si l’image de sauvegarde se trouve sur un serveur distant, vérifiez à l’aide de la commande ipconfig que le serveur a bien obtenu une adresse IP. Dans certains environnements, le réseau T0 peut être dépourvu de DHCP, rendant nécessaire la configuration d’une adresse IP statique. De plus, par défaut, la carte réseau peut être désactivée après le démarrage en mode récupération. Pour l’activer, utilisez la commande suivante.

wpeutil InitializeNetwork

Vérifiez ensuite que vous avez bien obtenu une adresse IP :

Cliquez sur « Suivant », « Avancé » puis choisissez « Chercher une image système sur le réseau ».

Entrez ensuite le chemin réseau vers votre image. Par exemple :

Dans la fenêtre d'authentification, entrez vos identifiants sous forme UPN, puis cliquez sur « OK ».

Choisissez ensuite la sauvegarde correspondante au serveur qui vous intéresse, dans notre cas, c'est le serveur nommé « DC-1 ».

Sélectionnez l'image système que vous souhaitez restaurer, puis cliquez sur « Suivant ».

Cochez les cases pour formater le disque principal, puis cliquez sur le bouton « Avancé ».

Laissez les cases par défaut pour effectuer une vérification de disque en cas d'erreur, et redémarrer automatiquement après la restauration, ajustez le choix selon votre besoin.

À la fin, cliquez sur « Terminer » pour lancer la récupération. Une fois l'opération terminée, la machine redémarrera automatiquement.

Une fois la restauration terminée, votre serveur devrait être opérationnel avec l’état exact de la dernière sauvegarde valide. Vous pouvez maintenant vous connecter et vérifier que l’Active Directory fonctionne normalement. L’avantage de la restauration à partir d’une image système est sa rapidité, puisqu’elle permet de restaurer non seulement l’AD, mais également l’ensemble des applications, tâches planifiées et configurations associées.

A. Restauration de l’état du système Active Directory

Nous allons maintenant aborder la restauration de l’état du système. Ce mode doit impérativement être exécuté depuis le contrôleur de domaine hébergeant la base NTDS ou l’élément à restaurer. Il est donc essentiel que ce serveur soit fonctionnel et non corrompu avant d’initier la procédure.

Pour illustrer l’importance de cette opération, j’ai volontairement réinitialisé les ACL par défaut sur une OU de mon Active Directory. Cela a entraîné la perte de toutes les modifications et délégations de droits effectuées précédemment. Après la réplication entre les différents contrôleurs de domaine, il n’existe plus de moyen simple pour récupérer ces permissions, rendant leur reconfiguration manuelle fastidieuse et risquée.

Ne réalisez pas cette manipulation sur votre environnement de production, car elle pourrait compromettre la sécurité et la gestion de votre annuaire.

B. Accéder au mode de restauration AD

Pour lancer une restauration de l’état du système Active Directory, il est nécessaire de redémarrer le serveur en mode de restauration des services d’annuaire (DSRM). Plusieurs méthodes permettent d’y accéder.

Via l’utilitaire MSCONFIG, en cochant la case « Réparer Active Directory », puis en redémarrant le serveur.

Ou bien en accédant au démarrage avancé à partir du menu Paramètres système, via les options de récupération.

Au redémarrage, choisissez « Options avancées » puis « Paramètres ».

Cliquez sur le bouton « Redémarrer ».

Au redémarrage, choisissez « Mode de réparation des services d'annuaire » à l’aide des touches du clavier. Cette option est aussi accessible si vous bootez sur un ISO Windows ou en appuyant sur la touche F8 plusieurs fois lors du démarrage du système.

Une fois le serveur redémarré en mode de restauration des services d’annuaire, connectez-vous avec les identifiants du compte de restauration du système. Ce compte a été créé lors de l’installation d’Active Directory et est distinct des comptes du domaine. Il permet d’accéder à l’instance locale de la base de données Active Directory sans dépendre des services du domaine.

Ouvrez Windows Backup ou Sauvegarde Windows, selon la langue de votre système, et cliquez sur « Récupérer » à droite.

Choisissez un autre emplacement si votre sauvegarde se trouve sur le réseau, puis cliquez sur « Suivant ».

Cliquez sur l'option intitulée "Dossier partagé distant" et poursuivez.

Entrez ensuite le chemin du dossier contenant la sauvegarde AD, puis cliquez sur « Suivant », saisissez ensuite vos identifiants puis cliquez sur « Suivant ». Ici, nous ciblons le partage \\srvadovh\Shares\Backup.

Comme pour la restauration complète, sélectionnez la date de sauvegarde à laquelle vous souhaitez restaurer l’état du système. Assurez-vous de choisir une sauvegarde valide et récente afin d’éviter toute incohérence ou perte de données critiques.

Sélectionnez le mode « État du système », puis cliquez sur « Suivant ».

Il est déconseillé de cocher l’option "Effectuer une restauration faisant autorité des fichiers Active Directory", sauf en dernier recours. Cette option force la réplication des fichiers restaurés sur tous les contrôleurs de domaine, supprimant définitivement toutes les modifications effectuées après la sauvegarde. Cela inclut les utilisateurs, groupes, stratégies de groupe (GPO) et permissions.

De plus, cette action écrase le dossier SYSVOL, ce qui peut provoquer des problèmes de réplication des GPO. Dans un environnement multi-DC, cela peut entraîner des conflits et désynchroniser l’Active Directory.

Si la restauration concerne uniquement un élément précis comme dans notre cas (restauration OU), nous devrions forcer la restauration autoritaire manuellement, chose que nous allons faire par la suite.

Lisez le message d'avertissement puis validez, il s'agit d'un avertissement des risques de restauration à partir du réseau.

Validez l'élément à restaurer puis cliquez sur le bouton « Récupérer ».

Cliquez sur « Oui » après avoir lu l'avertissement et pris en compte les risques de casse du serveur en cas suspension ou annulation du process.

La récupération est alors lancée. Patientez un instant.

Une fois l’installation terminée, ne redémarrez pas immédiatement votre serveur. C’est à ce moment-là que nous allons effectuer une restauration autoritaire, si nécessaire, pour un objet ou une unité organisationnelle (OU) spécifique.

Dans notre cas, nous allons restaurer l’OU « Parc » de l’annuaire, dont les ACL et délégations ont été écrasées suite à une mauvaise manipulation. Pour éviter que la restauration soit annulée par la réplication Active Directory, nous allons forcer la restauration en mode autoritaire

Ouvrez une invite de commande en mode administrateur, et exécutez les commandes suivantes.

Ntdsutil
activate instance ntds
authoritative restore
restore object

Entrez ensuite le chemin correspondant au DistinguishedName de l’objet à restaurer.

Dans notre cas, nous allons restaurer l’OU « Parc », qui contient des sous-OU ainsi que des objets tels que des machines et utilisateurs. La commande à exécuter sera donc sous la forme suivante :

Restore subtree OU=parc, DC=info, DC=lab

Validez le message de confirmation pour lancer la restauration.

Assurez-vous que la restauration s’est bien déroulée en vérifiant le message affiché à l’issue de la commande.

Quittez l’outil ntdsutil à l'aide de la commande quit.

Une fois la restauration terminée, vous pouvez redémarrer le serveur en mode normal.

Après le redémarrage, vérifiez que l’objet restauré est bien présent. Dans mon cas, après avoir forcé une restauration autoritaire sur mon OU, j’ai pu constater que les ACL ont bien été récupérées et surtout, qu’elles ont été répliquées et imposées aux autres contrôleurs de domaine.

Notre démarche est maintenant terminée. Dans le cas d’une restauration partielle, comme nous l’avons vu dans cette procédure, en décochant la case de restauration autoritaire, nous avons empêché la restauration forcée du dossier SYSVOL. Cela nous a permis de restaurer l’annuaire sans écraser les modifications effectuées sur les autres contrôleurs de domaine, à l’exception de l’OU "Parc" que nous avons volontairement restaurée en mode autoritaire.

Si la situation l’exige, il est toujours possible de forcer une restauration autoritaire du dossier SYSVOL afin de garantir la cohérence des stratégies de groupe sur l’ensemble du domaine. Cette opération sera abordée en détail dans un prochain article.

VII. Conclusion

Comme vous avez pu le constater, la restauration d’Active Directory est une manipulation stratégique avant d’être technique. Le choix du type de restauration (autoritaire ou non) ainsi que des objets à restaurer peut avoir un impact majeur sur le bon fonctionnement du domaine. Une mauvaise décision peut entraîner la perte de données récentes, des conflits de réplication ou des incohérences dans la gestion des permissions et des stratégies de groupe.

Il est donc essentiel de bien documenter ces étapes et de tester régulièrement la procédure dans un environnement isolé. Cela permet d’anticiper d’éventuels problèmes et de garantir une restauration maîtrisée en cas d’incident réel.

De plus, la méthode de restauration peut varier selon l’outil de sauvegarde utilisé. Si vous utilisez un agent spécifique ou un logiciel comme Veeam ou Commvault, il est recommandé de suivre la documentation officielle du fabricant afin d’appliquer la procédure à jour.

author avatar
Mehdi DAKHAMA Consultant et formateur
Consultant et formateur expert Windows Server et Cloud Azure. Chercheur en Cybersécurité.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Sécurité Active Directory - AdminSDHolder adminCount

Sécurité Active Directory : le principe d’AdminSDHolder et l’attribut adminCount

Florian BURNEL 5

Active Directory : ajouter un utilisateur à un groupe pour une durée limitée

Florian BURNEL 5

Active Directory : comment ajouter un suffixe UPN ?

Florian BURNEL 3

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.