Si vous voulez mettre un administrateur Active Directory mal à l'aise, demandez-lui quel est son plan de reprise.
Lorsque vous posez cette question, de nombreux administrateurs AD vous parleront plutôt de leur plan de récupération des objets. Certains décriront leurs procédures de récupération des contrôleurs de domaine. Mais si vous leur demandez s'ils ont élaboré un plan de récupération d'un domaine ou d'une forêt, moins d'un sur dix l'admettra. Et ils sont encore moins nombreux à dire qu'ils l'ont testé.
Pourquoi si peu d'organisations élaborent-elles et testent-elles un plan de reprise après sinistre pour ce qui est incontestablement l'un des éléments les plus critiques de la plomberie logicielle d'une entreprise ?
Il y a deux raisons majeures à cela. Premièrement, AD est très fiable en tant que service d'infrastructure de base. Il s'agit d'une application distribuée sur plusieurs instances, et les défaillances d'une ou plusieurs de ces instances n'empêcheront pas le service de continuer. Dans une forêt AD correctement entretenue, la défaillance d'un domaine ou d'une forêt (sans interférence extérieure) est un phénomène rare.
Ce manque de planification de la reprise après sinistre est aggravé par le fait que si vous avez une catastrophe Active Directory - la perte d'un domaine ou d'une forêt - la reprise après sinistre est une tâche résolument non triviale. Le document de Microsoft intitulé Planifier pour Active Directory Forest Recovery de Microsoft comporte 47 pages et est loin d'être une procédure opérationnelle. Il s'agit d'une procédure de haut niveau et d'un ensemble de lignes directrices que vous devez adapter à votre environnement. Vous pouvez juger du sérieux de ce document par la reconnaissance qu'il suppose - avant même de commencer ce qui y est décrit - que vous vous êtes entretenu avec le service d'assistance de Microsoft afin de déterminer la cause première et de vous conseiller sur l'opportunité de poursuivre.
Ne vous laissez pas décourager par ces obstacles. Soyons clairs : si vous n'élaborez pas, ne testez pas et ne maintenez pas un plan de reprise après sinistre pour Active Directory, vous ne faites pas votre travail. Si vous hésitez encore, imaginez que vous soyez convoqué dans une salle de conférence cossue après un événement de reprise après sinistre, où votre responsable, et tous les responsables jusqu'au DSI, vous demanderont pourquoi vous n'avez pas prévu cette éventualité. C'est le classique "événement générateur de CV".
À un niveau élevé, la récupération d'un domaine ou d'une forêt comporte les étapes suivantes :
- Déterminez la cause de la panne d'AD. Si vous ne savez pas pourquoi il est tombé en panne, vous ne pourrez pas passer à l'étape suivante et vous n'aurez pas d'autre choix que de reconstruire votre forêt à partir de zéro. La plupart des entreprises ne s'en remettent jamais.
- Déterminez une date de sauvegarde à partir de laquelle AD peut être récupéré (avant qu'il ne soit cassé). Point clé : si vous ne disposez pas d'une stratégie et d'un processus de sauvegarde efficaces, vous êtes coincé dans le scénario de reconstruction.
- Récupérer un domaine ou une forêt "de départ" composé d'un DC pour chaque domaine, sur un réseau isolé.
- Connectez la graine au réseau et récupérez les DC existants dans la graine.
Ce processus de haut niveau exige beaucoup de travail. Enfermez-vous dans une pièce et réfléchissez bien ; imaginez-vous en train de travailler sur ce scénario dans le monde réel. Le processus de récupération comporte également de nombreux problèmes. Par exemple, lorsque vous reliez la forêt d'amorçage au réseau de l'entreprise, vous devez toujours l'isoler des utilisateurs pendant que vous développez sa capacité. Sinon, les DC de la forêt d'amorçage vont fondre et vous ne pourrez pas en ajouter d'autres, car tous les utilisateurs de l'entreprise essaieront de se connecter au réseau.
Une fois que vous avez personnalisé la procédure dans le document, vous devez construire un laboratoire d'essai raisonnablement sophistiqué et tester votre procédure afin de l'affiner et de découvrir d'autres problèmes auxquels vous n'auriez pas pensé lors du processus de planification. Il s'agit d'un projet qui nécessite des semaines de travail. C'est une entreprise suffisamment importante pour que Microsoft la propose dans le cadre d'ADRES (AD Recovery Execution Service), un engagement de service de 5 jours qui se concentre sur les problèmes de récupération AD.
Alors oui, la planification de la reprise après sinistre de l'Active Directory est une tâche redoutable. Mais vous devez le faire. Si vous êtes responsable informatique, demandez à votre équipe AD si elle dispose d'un plan de reprise. Si vous constatez qu'ils n'en ont pas, aidez-les à le financer ou à le classer par ordre de priorité ! J'aime à considérer le DR AD de la même manière que nous considérons une assurance : Vous espérez ne jamais en avoir besoin, et la plupart n'en ont pas besoin. Mais si vous en avez besoin, vous en avez vraiment besoin.
