Pourquoi les instantanés DC ne remplacent pas les sauvegardes Active Directory

Sean Deuby

La plupart des organisations ont virtualisé tout ou partie de leurs l'ensemble leurs contrôleurs de domaine AD (DC). Les DC virtualisés ont leurs avantages, mais mais ils présentent également des risques qui n'existaient pas avec les serveurs physiques. L'un de ces risques est la tentation d'utiliser d'utiliser les snapshots de l'hyperviseur (un point dans le temps de la VM à un moment donné) pour les sauvegardes AD.

Ne le faites pas.

Soyons clairs : Lême si Microsoft prend en charge les hyperviseur snapshot de l'hyperviseur depuis Windows Server 2012 (c'est-à-dire qu'elles n'endommageront pas le système AD car qu'ils dans les versions précédentes du système d'exploitation), elles ne sont toujours pas recommandées. Et ils surtout ne sont pas recommandées pour les forêt de la forêt forestière de la forêt.

Dans le cadre d'une à l'échelle de la forêt AD à l'échelle de la forêt, l'objectif est de remettre AD en service aussi rapidementrapidement et fiablely aussi fiable que possible. Un événement de reprise forestière de gravité 1 n'a rien à voir avec un test de reprise dans votre laboratoire. Il s'agira très probablement de la situation informatique la plus stressante de votre vie, avec une direction de haut niveau soufflant sur le cou de votre équipe parce que la majeure partie ou la totalité de l'entreprise sera en panne. Chaque minute d'interruption de service coûtera à votre organisation des dizaines ou des centaines de milliers de dollars.donc chaque chaque chaque minute économisée est donc précieuse.

Avec cet objectif à l'esprit, examinons les lacunes de l'utilisation de la l'utilisation snapshots de l'hyperviseur pour restaurer AD :

Une forêt restaurée à partir d'instantanés aura des problèmes de problèmes de cohérence des données. Oactualisation des objets et des attributs réplication entre les DC est sans fin; une partition est rarement synchroronisée (c'est-à-dire, les mises à jour sont complètes et tous les DCs contiennent les mêmes informations). En raison de ce comportement, les instantanés d'un d'un DC presque certainement contiendra presque certainement des informations incohérentes par rapport aux autres DC en cours de snapshot. Ainsi, une restauration de ces DC créera très certainement des objets persistants dans les partitions accessibles en écriture et en lecture seule. Un objet AD persistant est un objet présent sur un DC mais qui a été supprimé et ramassé (c'est-à-dire qu'il a complètement disparu) sur d'autres DC, ce qui crée un problème de cohérence dans la partition du répertoire et le catalogue global. Si vos DC n'ont pas une cohérence de réplication stricte activéeles objets persistants répliquer vers d'autres DC. Et si vous utilisez toujours Windows Server 2008 / R2, vous pouvez induire un rollback USN dans votre forêt.

Le support d'escalade de Microsoft indique que "Les problèmes d'objets persistants sont les problèmes de réplication Active Directory les plus difficiles à résoudre et font régulièrement l'objet d'une escalade à travers plusieurs niveaux de support. En moyenne, il faut deux fois plus de temps pour résoudre un problème d'objet persistant qu'un problème de réplication AD moyen, en raison de la complexité de son dépannage."

Te seul moyen possible de prendre des instantanés sans créer d'objets persistants ou d'autres problèmes est d'arrêter l'ensemble de la forêt d'abord. Êtes-vous prêt à encourir les coupures qui l'arrêtl'arrêt de votre forêt de la forêt? Avez-vous les compétences et le temps nécessaires pour éliminer les objets persistants qui résulteront probablement d'une restauration instantanée ? si vous ne le faites pas?
Si des logiciels malveillants se trouvaient sur les DC au moment de l'instantané, vous ne faites que les restaurer. restaurer les logiciels malveillants. Étant donné qu'un instantané contient l'intégralité de la machine virtuelle, tout logiciel malveillant présent sur la VM sera également restauré. sera également restauré.
Les serveurs que vous ne restaurez pas à partir d'un instantané doivent être reconstruits.. Restauration d'un nombre réduit de DC à partir d'un instantanés réduit les risques de problèmes problèmes décrits ci-dessus. Mais cela signifie que votre forêt de semences pour soutenir l'entreprise sera plus petite (donc probablement surchargée) et que le processus de reconstruction deses DC restants seront manuels (et prendra donc plus de temps et sera sujet à plus d'erreurs).
La récupération des clichés n'est qu'un début. Une fois que votre forêt de semences est restaurerdvous devez suivre le long processus de processus de récupération de la forêt. Même sisi vous avez créé des scripts pour automatiser le nettoyage des métadonnées ou le nettoyage des DNS, vous devez procéder à un long processus de récupération de la forêt., vous devez les mettre à jour à chaque chaque fois que votre topologie AD change. Si quelque chose ne va pas dans processus processus et vous devez tout recommencer. Avez-vous élaboré et testé un processus manuel de récupération de la forêt forêt - de préférencede préférence avec des responsables qui vous crient à l'oreille ?

Les instantanés eux-mêmes peuvent être vulnérables aux attaques de logiciels malveillants logiciels malveillants. S'ils sont stockés dans l'emplacement par défaut sur l'hôte, ils sont tout aussi vulnérables au chiffrement par des logiciels malveillants que la VM DC elle-même.
L'équipe d'AD ne contrôle probablement pas ses sauvegardes. C'est généralement le groupe des opérations de virtualisation de virtualisation, et non de l'équipe AD, qui contrôle les VM snapshots. Cela a pour effet de déléguer une fonction critique de reprise après sinistre à une équipe qui ne connaît généralement rien à Active Directory et qui peut ne pas reconnaître l'extrême l'extrême sensibilité de ses sauvegardes.

Les instantanés d'hyperviseur peuvent constituer une stratégie de reprise après sinistre viable pour les petits environnements dans lesquels vous pouvez arrêter l'ensemble de la récupération de votre forêt AD pendant qu'ils sont pris. Mais cette approche n'est pas évolutive et est très sujette aux erreurs. N'oubliez pas que l'objectif est de remettre AD en ligne le plus rapidement et le plus sûrement possible, car votre organisation sera en mode crise.

Semperis figure sur la liste Deloitte Tech Fast 500 pour la troisième année consécutive

Semperis se classe parmi les cinq entreprises américaines à la croissance la plus rapide dans le domaine de la cybersécurité

Semperis remporte le prestigieux Partner Program Guide de CRN deux années de suite

Le point de vue du RSSI sur la sécurité fondée sur l'identité, avec Simon Hodgkinson

Semperis figure sur la "Cyber 60 List" de 2023 du magazine Fortune

Pourquoi les instantanés DC ne remplacent pas les sauvegardes Active Directory ?