Sander Berkouwer

Le mois dernier, j'ai eu de nombreuses discussions avec beaucoup de personnes sur la sauvegarde et la restauration d'Active Directory. Les sujets les plus évidents sont la reprise après sinistre et la reprise forestière. Bien sûr, nous en avons parlé, mais dans de nombreuses discussions le mois dernier, nous nous sommes davantage concentrés sur ce que j'appellerais la "résilience aux changements", c'est-à-dire la capacité à annuler rapidement les changements effectués par les administrateurs d'Active Directory.

Je pense qu'il s'agit d'un sujet qui est souvent négligé.

Pour comprendre pourquoi il s'agit d'un aspect intéressant de l'histoire, il suffit de regarder ce que Microsoft offre dans Windows Server et ce que les solutions typiques de sauvegarde et de restauration de l'Active Directory offrent. Il devient alors très facile de voir comment être vraiment intelligent dans l'annulation des changements dans Active Directory.

Note :
Darren et moi avons largement discuté de ces solutions lors de notre webcast gratuit du 27 juin sur le thème "Choisir le bon type de solution pour la sauvegarde et la restauration d'Active Directory", donc si vous préférez nous écouter plutôt que de lire les trois paragraphes qui suivent, n'hésitez pas à nous rejoindre!

Ce que propose Microsoft

Microsoft propose trois technologies utiles aux administrateurs d'Active Directory dans Windows Server :

1. Sauvegarde du serveur Windows

2. La corbeille Active Directory

3. L'option "Protéger contre les suppressions accidentelles".

Dans Active Directory, les objets sont désignés par des identifiants de sécurité uniques, les sID. Lorsque vous supprimez un objet, mais que vous le recréez avec le même nom, le même nom d'utilisateur, etc. il ne s'agira pas du même objet. Il ne s'agira pas du même objet, car le sID ne sera pas le même. Depuis que l'objet original a été supprimé de la base de données, son sID a été supprimé avec lui. Un nouvel objet aura toujours un sID différent, même si tous les autres attributs gérables sont identiques à ceux de l'original. Le sID, cependant, est l'attribut utilisé dans de nombreux mécanismes pour accorder (ou refuser) l'accès, comme l'appartenance à un groupe, les listes de contrôle d'accès (ACL).

Sauvegarde du serveur Windows

La réanimation d'objets Active Directory et la restauration à partir d'une sauvegarde permettaient de restaurer des objets dans la situation décrite ci-dessus, avant Windows Server 2008. Sysinternals propose un outil pour réaliser la première opération et Microsoft, heureusement, fournit un outil de sauvegarde et de restauration avec Windows Server : Windows Server Backup.

Windows Server Backup peut être utilisé pour créer des sauvegardes de la base de données Active Directory, également désignée par son nom de fichier ntds.dit ou simplement "le dit". Le même outil peut être utilisé pour créer des supports d'amorçage de restauration bare metal afin de restaurer un contrôleur de domaine à son état antérieur, d'une manière prise en charge.

Je pense qu'il est important de noter que la sauvegarde du serveur Windows utilise des copies d'ombre de volume, à ce stade. Cela permet à la sauvegarde du serveur Windows de créer une sauvegarde cohérente sans que les utilisateurs finaux ne remarquent de temps d'arrêt. De plus, lorsque vous restaurez un contrôleur de domaine avec une sauvegarde Windows Server, plusieurs changements et vérifications sont effectués pour garantir une restauration correcte entre tous les autres contrôleurs de domaine de l'environnement. C'est intrinsèquement différent des instantanés tels que ceux que de nombreux administrateurs inconscients avaient l'habitude de faire avec des outils comme Acronis TrueImage, l'un des outils préférés de l'industrie pour détruire Active Directory...

L'option "Protéger contre les suppressions accidentelles".

Avec Windows Server 2008, Microsoft a introduit une option dans les outils de gestion d'Active Directory, intitulée "Protéger contre la suppression accidentelle". Bien que cette fonctionnalité semble être une simple option dans les interfaces utilisateurs graphiques Active Directory Users and Computers(dsa.msc) et Active Directory Administrative Center(dsac.exe), sous le capot, un ensemble d'entrées de contrôle d'accès (ACE) "Deny" est appliqué à l'objet lui-même et à son objet parent pour le principe de sécurité "Everyone" (Tout le monde).

Lorsque vous utilisez un outil quelconque pour supprimer l'objet, l'action échoue et signale un problème d'autorisation. L'option doit d'abord être supprimée avant que l'objet ne puisse être supprimé. Cela évite aux gestionnaires de systèmes Active Directory qui utilisent des outils graphiques d'avoir à se rendre à l'évidence. Sa véritable force se manifeste lorsque certains objets sont exclus des moments "Oops" à l'échelle du répertoire lorsque les administrateurs utilisent PowerShell ou d'autres outils de script et de masse.

La corbeille Active Directory

Depuis Windows Server 2008 R2 Forest Functional Level (FFL), Microsoft propose une solution pour les objets supprimés, au-delà de la réanimation et de la restauration à partir d'une sauvegarde, sous la forme de la corbeille Active Directory.

La technologie qui sous-tend la corbeille Active Directory est un nouvel attribut : isRecycled. Auparavant, lorsqu'un objet, comme un ordinateur ou un utilisateur, était supprimé, l'attribut isDeleted prenait la valeur true. Lorsque la corbeille Active Directory est activée, l'attribut isRecycled prend également la valeur true après l'expiration de la durée de vie du recyclage. Ensuite, après l'expiration de la durée de vie de la pierre tombale, l'objet est réellement supprimé de la base de données. Lorsque seul l'attribut isDeleted est défini, l'objet peut être récupéré via la corbeille Active Directory. Tous les outils de gestion de Microsoft filtreront les objets dont l'attribut isDeleted est défini sur true, mais lorsque vous utilisez le Centre administratif Active Directory(dsac.exe) sur Windows Server 2012 ou supérieur, ou le module Active Directory PowerShell, vous pouvez restaurer ces objets facilement, ainsi que leurs sID, et donc l'accès d'origine.

Ce qu'offrent les solutions classiques de sauvegarde et de restauration d'Active Directory

L'examen des outils et des technologies proposés par Microsoft fait apparaître une image peu reluisante : Ils fonctionnent tous au niveau de l'objet, mais pas au niveau de l'attribut. Je ne sais pas ce qu'il en est pour vous, mais je n'utilise pas le bouton d'effacement de mon clavier aussi souvent que je gère des attributs typiques tels que l'appartenance à un groupe, les adresses électroniques et les noms d'affichage.

Lorsque je souhaite revenir sur l'une de ces modifications, je dois généralement restaurer une sauvegarde et créer un fichier au format LDIF (Lightweight Directory Interchange Format) avec les différences que je souhaite annuler.

Cela prend du temps, beaucoup de temps.
C'est ce que j'appelle le défi de la résilience au changement.

Les solutions classiques de sauvegarde et de restauration ont quelque peu facilité la tâche en facilitant la restauration (test) ou la sélection des attributs à annuler dans une interface graphique, tout en préservant la cohérence de la base de données.

Restauration (test) plus facile

L'une des solutions de sauvegarde et de restauration qui, selon moi, facilite grandement les restaurations et les tests de restauration est Azure Site Recovery Services. Avec cette solution, vous n'avez pas besoin de dénoter un matériel identique pour la restauration, et vous n'avez même pas besoin du même hyperviseur pour effectuer une restauration. Tout ce dont vous avez besoin, c'est d'un abonnement à Azure Infrastructure-as-a-Service et vous payez au fur et à mesure pour le stockage et la ou les VM que vous mettez en service, mais seulement pour le temps où vous en avez réellement besoin, ce qui ne représente généralement que quelques heures.

Des sélections plus faciles

Parmi les outils qui facilitent la sélection des attributs à restaurer, l'agent de Veeam pour Microsoft Active Directory se distingue. Dans son interface utilisateur graphique (GUI), il permet de sélectionner des attributs individuels, mais les administrateurs Active Directory chevronnés peuvent également utiliser des filtres basés sur LDAP (Lightweight Directory Access Protection). L'agent crée ensuite le fichier LDIF pour vous et l'applique. Un autre fichier LDIF est également créé pour annuler, si nécessaire.

Comment faire preuve d'intelligence en matière de résilience aux changements d'Active Directory ?

En discutant avec Darren, j'ai appris qu'il existait une manière plus intelligente de relever le défi de la résilience au changement.

Je serai le premier à admettre que s'il est logique de conserver des sauvegardes (mises en cache) sur les contrôleurs de domaine en termes de reprise après sinistre et de récupération des forêts, en termes de résilience aux changements, il est préférable de disposer d'un flux de modifications en temps réel !

Au lieu d'avoir à localiser les sauvegardes, à (tester) restaurer le contrôleur de domaine, à choisir les attributs à restaurer, à manipuler les fichiers LDIF et à s'inquiéter des scénarios d'annulation, Semperis'Directory Services Protector for Active Directory fait tout le travail à votre place. Comme DS Protector recueille les modifications en temps réel, y compris le moment précédant votre " Oups ! ", vous pouvez revenir à l'état cohérent antérieur en quelques secondes. Sinon, vous finirez par passer des heures sur les mécanismes et les technologies d'Active Directory dont vous ne vouliez rien savoir auparavant.

Comme Semperis'Directory Services Protector suit toutes les modifications au fur et à mesure qu'elles se produisent, vous pouvez annuler une modification, tester son effet et, si vous n'êtes pas satisfait, revenir simplement à l'état précédent. Oui, vous pouvez avoir le beurre et l'argent du beurre !

Pour en savoir plus
Si vous souhaitez en savoir plus, je vous invite à lire le livre blanc gratuit de 17 pages que nous avons créé sur la base des discussions et du webcast, intitulé "Picking the right type of solution for Active Directory Backup and Restore" (Choisir le bon type de solution pour la sauvegarde et la restauration d'Active Directory).