Comment sauvegarder l’Active Directory avec Windows Server Backup ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons apprendre à sauvegarder un contrôleur de domaine Active Directory avec l'outil Windows Server Backup intégré à Windows Server.
Bien que la majorité des entreprises soient équipées d'outils de sauvegarde tiers, il ne faut pas oublier la présence de Windows Server Backup, inclus à Windows Server et utilisable sans coût supplémentaire. Ainsi, vous pouvez réaliser le strict minimum en matière de sauvegarde pour votre Active Directory : ce qui est indispensable.
II. Pourquoi et comment sauvegarder l'Active Directory ?
A. Pourquoi sauvegarder l'Active Directory ?
Lorsqu'un Active Directory est présent dans une entreprise, il devient un élément à la fois central et critique. C'est pour cette raison que l'on recommande de mettre en place au moins deux contrôleurs de domaine pour assurer une haute disponibilité du service d'annuaire et pérenniser la base de données puisque chaque DC en contient une copie.
Si l'Active Directory est hors ligne, injoignable, les conséquences sont désastreuses car les services d'authentification sont inopérants. Par conséquent, il n'est plus possible d'ouvrir de sessions, d'accéder à des applications, à des ressources, etc.
Même si on met en oeuvre plusieurs contrôleurs de domaine, il est indispensable de réaliser une sauvegarde de l'Active Directory pour se protéger contre les cyberattaques et les incidents majeurs (corruption de la base Active Directory, par exemple).
Il est recommandé de sauvegarder au moins deux contrôleurs de domaine, au moins une fois par jour.
B. Comment sauvegarder l'Active Directory ?
Pour sauvegarder l'Active Directory, nous avons donc la possibilité d'utiliser Windows Server Backup, ou en français, la Sauvegarde Windows Server, ainsi que des outils tiers de chez Veeam, Nakivo, HornetSecurity (Altaro), etc... et Azure Backup pour une sauvegarde externalisée dans Azure. D'ailleurs, il me semble intéressant d'utiliser ces outils conjointement : l'un n'empêche pas l'autre, et cette approche devrait plaire aux amateurs de la méthode "ceinture + brettelles".
Windows Server Backup est capable de sauvegarder les données d'une machine et l'état du système. Ni plus ni moins. Autrement dit, ce n'est pas un outil capable de faire de la sauvegarde de machines virtuelles complètes.
L'outil de sauvegarde Windows Server Backup présente l'avantage d'être maintenu par Microsoft, et donc d'être pris en charge par Microsoft, au même titre que le système Windows Server et l'Active Directory. Dans le cas où il sera nécessaire de solliciter le support de Microsoft, ce sera forcément un avantage. En tout cas, en principe.
Dans la suite de cet article, nous allons mettre en œuvre pour sauvegarder un contrôleur de domaine, mais ce principe peut s'appliquer à des serveurs qui hébergent d'autres rôles.
Si vous le pouvez, orientez-vous vers une solution permettant les sauvegardes immuables (que l'on ne peut pas modifier), ce qui permet de se protéger des actes malveillants. Sinon, vous pouvez avoir un contrôleur de domaine supplémentaire dans le Cloud (sur Azure, par exemple), et le sauvegarder dans le Cloud, ce qui permet en même temps d'avoir une sauvegarde externalisée.
III. Installer Windows Server Backup
Pour installer Windows Server Backup, nous avons l'embarras du choix comme bien souvent... En mode graphique, voici ce qu'il faut choisir :
Sinon, en PowerShell, voici la commande à exécuter :
Install-WindowsFeature -Name Windows-Server-Backup
Après avoir installé la fonctionnalité, et avant d'aller plus loin, nous devons ajouter et initialiser le disque de sauvegarde sur le DC. Dans mon exemple, il s'agit d'un disque virtuel dédié, rattaché à la VM, et que j'initialise à partir de Windows Admin Center.
Ce disque peut tout à fait être initialisé avec la console "Gestion des disques" ou encore en ligne de commande avec diskpart.
IV. Sauvegarder l'AD avec Windows Server Backup
La fonctionnalité étant installée, passons à sa configuration avec pour objectif la sauvegarde d'un contrôleur de domaine Active Directory.
Sur un serveur en mode Core, nous pouvons utiliser en local l'exécutable wbadmin pour configurer la sauvegarde (Doc Microsoft). Sinon, à distance, nous pouvons utiliser une console MMC avec le composant "Sauvegarde Windows Server". Dans ce cas, il faudra configurer le pare-feu pour activer les règles du groupe "Gestion à distance des journaux des événements" grâce à la commande PowerShell suivante :
Enable-NetFirewallRule -DisplayGroup "Gestion à distance des journaux des événements"
Ensuite, nous avons la possibilité d'affiner la règle pour autoriser uniquement le serveur de gestion :
Set-NetFirewallRule -DisplayGroup -DisplayGroup "Gestion à distance des journaux des événements" -RemoteAddress "IP du serveur à autoriser"
Sinon, la console "Sauvegarde Windows Server" est utilisable en local directement sur un serveur doté d'une interface graphique.
Commençons par cliquer sur "Planification de sauvegarde" en haut à droite.
Poursuivons en cliquant sur "Suivant".
L'étape "Sélectionner la configuration de la sauvegarde" apparaît. On sélectionne "Serveur complet (recommandé)".
Ensuite, l'heure et la fréquence de la sauvegarde doivent être définit. Dans cet exemple, on sélectionne "Tous les jours" à 02:00.
Puis, nous devons choisir la destination de la sauvegarde. Il est recommandé d'utiliser l'option "Sauvegarder vers un disque dur dédié aux sauvegardes". Bien que ça peut être tentant de choisir la dernière option pour stocker la sauvegarde sur un espace partagé (sur un NAS, par exemple), ce n'est pas recommandé car, avec ce mode, l'outil conserve une seule sauvegarde et il écrase la précédente à chaque fois...!
Puisque l'on souhaite effectuer la sauvegarder sur un disque dédié, il convient de choisir le disque à l'étape suivante. S'il s'agit d'une machine virtuelle, il peut s'agir d'un disque virtuel attaché directement à la VM, et dédié à ces sauvegardes.
Un message d'avertissement car précédemment on a indiqué que l'on souhaitait sauvegarder le serveur complet, ce qui signifie que l'on souhaite inclure à la sauvegarde le disque de sauvegarde en lui-même. En cliquant sur "OK", on donne notre accord à l'outil de sauvegarde pour exclure le disque du job de sauvegarde. Ensuite, il faudra valider une seconde fois pour indiquer que l'on est d'accord que le disque soit formaté (information importante !).
Un résumé s'affiche, cliquons sur "Terminer" pour finaliser la création de la tâche.
Voilà, c'est fait, cliquons sur "Fermer" pour finaliser.
Lorsque la sauvegarde sera effectuée, selon le planning établit, le statut sera visible à partir de la console de Windows Server Backup.
Par ailleurs, suite à l'exécution de la tâche de sauvegarde, un événement sera généré sur le serveur local et visible dans l'Observateur d'événements de Windows. Le journal correspondant est visible à cet emplacement :
Journaux des applications > Microsoft > Windows > Backup > Operational
Dans l'exemple ci-dessous, on remarque un événement avec l'ID "4" et le statut "L'opération de sauvegarde s'est terminée correctement".
V. Conclusion
Ce contrôleur de domaine bénéficie d'une sauvegarde ! Maintenant, cette opération doit être répétée au moins sur un autre contrôleur de domaine de votre environnement.
En ce qui concerne la restauration de la sauvegarde, en cas de crash, c'est une opération sensible et à utiliser en derniers recours. Dans certains cas, on peut être amené à restaurer la sauvegarde d'un contrôleur de domaine, et on peut imaginer plusieurs scénarios :
- Un DC hors service dans un environnement multi-DC ?
- Un DC hors service dans un environnement mono-DC ?
- Une base d'annuaire AD corrompue ou purgée ?
- Une base d'annuaire chiffrée par un ransomware ?
Il y a deux méthodes possibles pour restaurer une sauvegarde AD : authoritative, utile si tous les DC sont inutilisables, ou non-authoritative, utile s'il reste 1+ DC avec une copie en ligne de la base Active Directory. Avec une restauration authoritative, le DC va chercher à diffuser sa base d'annuaire vers les autres DC, ce qui ne sera pas forcément adapté en fonction de la situation dans la quelle on se trouve. Tandis qu'en mode non-authoritative, le DC sera en attente de réception des données à jour de la part d'un autre DC.
Un prochain article pourra faire l'objet d'une mise en pratique autour de la restauration Active Directory. Personnellement, lorsqu'un DC crash dans un environnement multi-DC, je préfère installer un nouveau DC proprement, de A à Z. Mais, il faut se préparer au pire.
N'hésitez pas à poster un commentaire pour partager votre retour d'expérience à ce sujet !
un article sur sophos xg et active directory
Bonjour,
J’espèrequ’il y a aura des articles concernant des migrations de serveur AD complet.
Bonjour,
Super article mais j’ai une petite question comment gérer les points de rétention.
Cdt