Editions ENI

Windows Server 2012 R2

Installation et Configuration
Préparation à la certification
Examen MCSA 70-410

dans la collection Certification

Extrait
 Introduction aux services Active Directory Page 97

Chapitre 4
A. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
B. Vue d’ensemble d’Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
C. Vue d’ensemble d’un contrôleur de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
D. Promotion d’un contrôleur de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
E. La corbeille AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
F. La stratégie de mot de passe affinée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
G. Ateliers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
H. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
© Editions ENI - All rights reserved

Examen 70-410
Page 98 Chapitre 4

W i n d o wets objectifs
Pré-requis S e r v e r 2 0 1 2 R 2 - I n s ta ll a t i o n e t c o n f i g u r a t i o n Introduction aux services Active Directory

Pré-requis
Posséder des connaissances en Active Directory.

Objectifs
Définition de l'annuaire Active Directory.
Présentation des rôles FSMO.
Promotion d'un serveur membre en contrôleur de domaine.
Gestion de la corbeille AD et d'une stratégie de mot de passe affinée.

A. Introduction
Active Directory est un annuaire implémenté sur les systèmes d'exploitation Microsoft depuis Windows
2000 Server. Comme pour les autres annuaires, il s'appuie sur la norme LDAP. Beaucoup d'améliora-
tions ont été apportées depuis. Il comprend généralement l'ensemble des comptes nécessaires à
l'authentification des ordinateurs et utilisateurs d'une entreprise.

B. Vue d’ensemble d’Active Directory

Le rôle Services de domaine Active Directory contient des composants physiques et logiques.
Les composants physiques vont englober plusieurs éléments clés dans un domaine Active Directory.
Ces derniers peuvent être matériels ou logiciels :
- Le contrôleur de domaine, qui contient une copie de la base de données Active Directory.
- La base de données et le dossier sysvol, qui vont contenir l'ensemble des informations d'Active
Directory (propriétés des comptes utilisateurs, ordinateurs…). Chaque contrôleur de domaine du
domaine Active Directory en contient une copie.
- Le serveur catalogue global, qui contient une copie partielle des attributs (nom, prénom, adresse de
l'utilisateur…) des objets de la forêt. Il permet d'effectuer des recherches rapides sur un des attributs
d'un objet d'un domaine différent de la forêt.
Tous ces composants fonctionnent avec des composants logiques, ces derniers permettent de mettre
en place la structure Active Directory souhaitée.
Ainsi il est possible de trouver les composants suivants :
- Les partitions, qui sont des sections de la base de données Active Directory. Nous allons ainsi pouvoir
trouver la partition de configuration, la partition de domaine, la partition DNS…
- Le schéma Active Directory, qui contient les attributs de tous les objets qui peuvent être créés dans
Active Directory.
- Le domaine, il permet la mise en place d'une limite administrative pour les objets utilisateurs et ordi-
nateurs.
- Une arborescence de domaine, elle contient une suite de domaine qui partage un espace de noms
DNS contigu.

Windows Server 2012 R2 - Installation et configuration

 Introduction aux services Active Directory Page 99

- La forêt Active Directory, qui contient l'ensemble des domaines Active Directory.
- Le site Active Directory, qui permet de découper un domaine en plusieurs parties, ceci afin de limiter
et contrôler la réplication entre deux sites distants.
- L'unité d'organisation, qui permet d'appliquer une stratégie de groupe mais également de mettre en
place une délégation.

1. Le domaine Active Directory

Un domaine Active Directory est un regroupement logique de comptes utilisateurs, ordinateurs ou de
groupes. Les objets qui sont créés sont stockés dans une base de données présente sur tous les
contrôleurs de domaine Active Directory. Cette base de données peut stocker plusieurs types d'objets :
- Le compte utilisateur qui permet d'effectuer une authentification et d'autoriser des accès aux diffé-
rentes ressources partagées. Il représente une personne physique ou une application.
- Le compte ordinateur qui permet d'authentifier la machine sur laquelle l'utilisateur ouvre une session.
- Enfin les groupes qui permettent de regrouper des comptes utilisateurs et ordinateurs dans le but de
leur autoriser l'accès à une ressource, de mettre en place une délégation…

2. Les unités d'organisation

Les unités d'organisation (OU - Organizational Unit) sont des objets conteneurs qui permettent le
regroupement de comptes utilisateur ou d'ordinateur. La création de ce type d’objet est généralement
opérée afin d'assigner une stratégie de groupe à l'ensemble des objets présents dans le conteneur. Sa
deuxième fonction est la mise en place d'une délégation afin de permettre à une personne différente de
l'administrateur de gérer les objets présents dans le conteneur.
Ainsi les OU représentent une hiérarchie logique dans le domaine Active Directory (il est possible de
les imbriquer, on parle alors d'OU parent et d'OU enfant). Il est par exemple possible de créer une unité
d'organisation par ville (Aix, Paris...) ou même par type d'objet (utilisateur, ordinateur…). Lors de la
création du domaine, des dossiers système et des unités d'organisation sont par défaut présents :
- Dossier Builtin : stocke les groupes par défaut : Administrateurs, Opérateurs d'impression…
© Editions ENI - All rights reserved

Examen 70-410
Page 100 Chapitre 4

- Dossier Utilisateurs : dossier par défaut lors de la création d'un nouvel utilisateur. Il contient par
défaut le compte administrateur et les différents groupes administrateurs (Admins du domaine,
Administrateurs de l'entreprise…).

Windows Server 2012 R2 - Installation et configuration

 Introduction aux services Active Directory Page 101

- Dossier Computers : répertoire par défaut, les comptes ordinateur sont positionnés à cet endroit
lors de l'ajout de nouveaux postes de travail.
- Unité d'organisation Domain Controllers : emplacement par défaut pour les comptes des contrô-
leurs de domaine. Cette OU est la seule présente lors de la création du domaine. La stratégie de
groupe Default Domain Controller Policy est positionnée sur cette unité d'organisation.

3. La forêt Active Directory

Une forêt est constituée d'un ou plusieurs domaines Active Directory. On parle de domaine racine pour
le premier domaine de la forêt, de plus ce dernier donne son nom à la forêt. Dans notre maquette le
domaine racine est Formation.local, la forêt a donc le nom de ce dernier, soit Formation.local. On trouve
dans une forêt Active Directory une seule configuration et un seul schéma, ceux-ci sont partagés par
l'ensemble des contrôleurs de domaine présents dans la forêt. Elle a également pour but la mise en
place d'une frontière de sécurité, les autres forêts n'ont aucun droit sur elle et aucune donnée n'est
répliquée à l'extérieur de la forêt.
Une forêt Active Directory est donc composée d'une suite de domaines appelée également une
arborescence de domaines, ces derniers partagent un espace de noms contigu. La relation entre les
domaines d'une même arborescence est de type parent/enfant. Un domaine qui dispose d'un espace
de noms différent fait partie d'une arborescence différente.
© Editions ENI - All rights reserved

Le domaine représente lui aussi une limite de sécurité car l'objet utilisateur qui permet l'authentification
d'une entité (personne physique de l'entreprise…) est défini par domaine. Ce dernier contient au moins
un contrôleur de domaine, deux étant recommandés pour des raisons de disponibilité. Ce type de ser-
veur a la responsabilité de l'authentification des objets utilisateurs et ordinateurs dans un domaine AD.

Examen 70-410
Page 102 Chapitre 4

4. Le schéma Active Directory

Le schéma Active Directory est un composant qui permet de définir les objets ainsi que leurs attributs
pouvant être créés dans Active Directory. Lors de la création d'un nouvel objet, le schéma est utilisé afin
de récupérer les attributs de ce dernier et leurs syntaxes (booléen, entier...).

Ainsi, lors de la création de l'objet, l'annuaire Active Directory connaît chaque attribut et le type de
données à stocker. Lors de migration Active Directory ou en cas d'installation de certaines applications
(Exchange, etc.) le schéma doit être mis à jour. Cette opération vise à rajouter des objets et leurs attri-
buts qui pourraient être par la suite créés (exemple : une boîte mail). Cette opération ne peut être
effectuée que sur un contrôleur de domaine ayant le rôle de maître de schéma, l'utilisateur qui effectue
l'opération doit être membre du groupe Administrateur du schéma. Après avoir apporté la modification,
cette dernière est répliquée à l'ensemble des contrôleurs de domaine de la forêt.
Par défaut le logiciel enfichable Schéma Active Directory est caché. Pour pouvoir l'activer, il est néces-
saire de taper la commande regsvr32 schmmgmt.dll dans la console Exécuter.

Windows Server 2012 R2 - Installation et configuration

 Editions ENI

Windows Server 2012 R2

Administration
Préparation à la certification
Examen MCSA 70-411

dans la collection Certification

Extrait
 Gestion de l’environnement Page 125

Chapitre 4
A. Introduction. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
B. Automatisation de la gestion des comptes utilisateurs . . . . . . . . . . . . . . . . . . . . . 126
C. Stratégies de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
D. Mise en place et administration des stratégies de groupe . . . . . . . . . . . . . . . . . 141
E. Maintenance d’une stratégie de groupe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
F. Ateliers : Gestion de l’environnement utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . 152
G. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
© Editions ENI - All rights reserved

Examen 70-411
Page 126 Chapitre 4

W i n d o wets objectifs
Pré-requis Se r v e r 20 12 R 2 - A dm i n i s tr a ti o n Gestion de l’environnement

Pré-requis
Connaître les différents types d’objets utilisateur.
Avoir des notions sur les stratégies de groupe.
Avoir des notions sur les paramètres de stratégies de groupe permettant la mise en place d'une po-
litique de sécurité.

Objectifs
Automatisation de la gestion des comptes.
Mise en place d'une politique de sécurité.
Gestion d'une stratégie de groupe.
Maintenance de stratégie de groupe.

A. Introduction
La gestion des utilisateurs est une tâche quotidienne pour un administrateur système et réseau. Les
comptes utilisateurs permettent l'authentification de personnes physiques souhaitant accéder à une
ressource du domaine.

B. Automatisation de la gestion des comptes utilisateurs

En plus des consoles Active Directory, il est possible de procéder à la gestion des objets à l'aide d'outils
en ligne de commande.
CSVDE (Comma-Separated Values Data Exchange) est un outil permettant l'export et l'import d'objets
dans un annuaire Active Directory. Des fichiers au format CSV (Comma-Separated Value) sont utilisés
pour les différentes opérations. Ce type de fichier peut être modifié à l'aide du bloc-notes (notepad) pré-
sent dans les systèmes d'exploitation Windows ou avec Microsoft Excel.
Syntaxe de la commande
csvde -f NomFichier.csv
Le commutateur -f est utilisé afin d'indiquer le fichier à utiliser. La commande permet par défaut
d'effectuer une exportation.
Différents commutateurs peuvent être utilisés :
-d RootDN : permet de définir le conteneur où débute l'exportation. Par défaut, le conteneur sélection-
né est la racine du domaine.
-p ÉtendueRecherche : détermine l'étendue de la recherche (Base, OneLevel, Subtree).
-r Filtre : permet la mise en place d'un filtre LDAP.
-l ListeAttributs : fournit la liste des attributs sur lesquels il est nécessaire d'effectuer une re-
cherche. Chacun de ces attributs est séparé des autres par une virgule.

Windows Server 2012 R2 - Administration

 Gestion de l’environnement Page 127

Exemples d'attributs : givenName, userPrincipalName,…

-i : informe la commande qu'il est nécessaire d'effectuer une importation. Pour rappel, une exportation
est effectuée par défaut.
-k : le commutateur -k permet d'ignorer les erreurs lors de l'importation. Ainsi, l'exécution de la com-
mande se poursuit même si une erreur de type non-respect de contrainte ou objet existant est rencon-
trée.

Une deuxième commande peut être utilisée, ldifde. Cette instruction DOS permet comme pour
csvde d'effectuer des opérations d'importation ou d'exportation, de plus il est possible d'effectuer des
modifications sur un objet (contrairement à csvde).
Pour effectuer ces opérations des fichiers portant l'extension LDIF (LDAP Data Interchange Format)
sont nécessaires. Ces fichiers contiennent des blocs de lignes qui constituent chacun une opération. Il
est évident qu'un fichier peut contenir plusieurs actions, dans ce cas chaque bloc est séparé des autres
par une ligne blanche.
Chaque opération nécessite de posséder l'attribut DN (Distinguished Name) ainsi que l'opération à
effectuer (Add, Modify, Delete).
Syntaxe de la commande
ldifde -f NomFichier.ldif
© Editions ENI - All rights reserved

Le commutateur -f est utilisé afin d'indiquer le fichier à utiliser. La commande permet par défaut
d'effectuer une exportation.
Comme pour la commande csvde, plusieurs commutateurs peuvent être utilisés :
-i : permet d'effectuer une importation. Par défaut, une exportation est effectuée.
-k : le commutateur -k permet d'ignorer les erreurs lors de l'importation. Ainsi l'exécution de la com-
mande se poursuit même si une erreur de type non-respect de contrainte ou objet existant est rencon-
trée.

Examen 70-411
Page 128 Chapitre 4

-s NomServeur : indique le serveur sur lequel il est nécessaire de se connecter.

-t Port : indique le port à utiliser (port par défaut : 389).
-d NDRacine : permet de situer la racine de la recherche.
-r Filtre : permet la mise en place d'un filtre LDAP.

1. Configuration de la politique de sécurité

La politique de sécurité permet de définir un ensemble de paramètres qui s'appliquent à plusieurs
objets. On retrouve dans cette politique deux types de paramètres différents :
- Paramètre de sécurité
- Paramètre de verrouillage
Les deux peuvent évidemment être configurés pour une machine spécifique (stratégie de groupe
locale) ou l'ensemble des objets d'un domaine AD (généralement configuré dans la Default Domain
Policy).
Paramètres de sécurité
Plusieurs types de paramètres peuvent être configurés dans la politique.
L'âge minimal du mot de passe permet d'indiquer le temps minimum avant qu'un utilisateur puisse de
nouveau changer son mot de passe. L'âge maximal indique lui le nombre de jours pendant lequel le mot
de passe reste valide. Une fois ce délai passé, l'utilisateur doit changer son mot de passe pour pouvoir
ouvrir une session sur le domaine. L'historique de mot de passe est également à prendre en compte, il
permet d'interdire les x derniers mots de passe utilisés. Attention à ne pas mettre une trop grosse valeur
au niveau de ce paramètre, sans quoi les utilisateurs risquent fortement d'être mécontents.

Windows Server 2012 R2 - Administration

 Gestion de l’environnement Page 129

Lors de la création du domaine Active Directory, la complexité des mots de passe est activée, ce para-
mètre implique la nécessité de respecter des critères spécifiques dans le mot de passe. En effet, le mot
de passe est considéré comme complexe dès lors :
- Qu'il respecte trois des quatre critères suivants :
- Majuscules
- Minuscules
- Caractères alphanumériques
- Caractères spéciaux
- Qu'il ne contient pas le prénom ou le nom de l'utilisateur.
Cela complique la recherche du mot de passe par un éventuel pirate mais peut (très souvent d'ailleurs)
être difficilement accepté par les utilisateurs. Il est préférable de baisser les exigences en termes de
sécurité plutôt que de voir les mots de passe marqués en clair sur l'écran ou sous le clavier.
Un autre paramètre important dans une politique de mot de passe est la longueur minimale. En effet, il
permet d'indiquer le nombre de caractères que le mot de passe doit contenir.
© Editions ENI - All rights reserved

Examen 70-411
Page 130 Chapitre 4

Paramètres de verrouillage
Ces paramètres permettent la configuration du verrouillage.
La durée de verrouillage est celle pendant laquelle le compte utilisateur ne peut ouvrir de session. Pour
un déverrouillage manuel effectué par l'administrateur, il est nécessaire de configurer le paramètre à 0.
Le nombre de tentatives infructueuses limite le nombre d'essais en échec. Ainsi le compte concerné est
verrouillé une fois ce nombre de tentatives atteint. La valeur 0 implique des tentatives infructueuses
illimitées car le compte n'est alors jamais verrouillé.
Il est nécessaire de remettre à zéro le compteur du nombre de tentatives infructueuses sans quoi la
politique de verrouillage n'a plus de sens. Ainsi un autre paramètre entre en compte dans la politique
de verrouillage, il s'agit cette fois de la mise à jour du compteur (du nombre de tentatives en échec)
après un certain nombre de minutes.

Enfin, un troisième type de paramètres (politique Kerberos) peut être également configuré. Il est donc
possible d'avoir accès à des paramètres du protocole Kerberos v5.
La configuration peut, comme nous l'avons vu plus haut dans ce chapitre, être paramétrée depuis une
stratégie locale ou une stratégie du domaine (console Éditeur de gestion des stratégies de groupe).
Attention néanmoins, en cas de conflit entre une stratégie de groupe locale et une stratégie du domaine,
celle du domaine l'emporte.
Les paramètres de sécurité sont généralement configurés dans la stratégie de groupe Default Domain
Policy.

Windows Server 2012 R2 - Administration

 Editions ENI

Windows Server 2012 R2

Configuration des services avancés
Préparation à la certification
Examen MCSA 70-412

dans la collection Certification

Extrait
 Sauvegarde et restauration Page 645

Chapitre 15
A. Présentation de la récupération d’urgence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 646
B. Récupération des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655
C. Travaux pratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660
D. Résumé du chapitre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
E. Validation des acquis : questions/réponses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686
© Editions ENI - All rights reserved

Examen 70-412
Page 646 Chapitre 15

W i n d o wets objectifs
Pré-requis S e r v e r 20 12 R 2 - C o n f i g u r a t i o n de s se r v i ce s a v a n cé s Sauvegarde et restauration

Pré-requis
Connaître les principes d'une sauvegarde de données.
Connaître les principes d'une restauration de données.
Connaître les bases d'un plan de reprise d'activité.

Objectifs
Savoir implémenter un plan de reprise d'activité en cas de sinistre.
Savoir définir une stratégie de sauvegarde.
Savoir implémenter la sauvegarde sous Windows Server 2012 R2.
Savoir restaurer des données effacées d'un serveur de fichiers.
Savoir récupérer des objets supprimés accidentellement d'un annuaire.

A. Présentation de la récupération d’urgence

De nos jours, de plus en plus de sociétés fonctionnent en utilisant au quotidien l'outil informatique
(serveurs, postes de travail, terminaux fixes ou mobiles, e-mails, etc.). Les données manipulées sont
multiples présentes sous différents supports, accessibles à un ou plusieurs utilisateurs et sont plus ou
moins confidentielles. Pour beaucoup d'entreprises, l'essentiel de l'activité est basée sur des données
numériques (contrats, factures, commandes, gestion de stocks, produits, services en ligne, sites web,
projets, etc.). C'est pourquoi la perte de données informatiques lors d'un sinistre peut s'avérer vitale
pour une entreprise (incendie, suppression accidentelle, crash, piratage, vol, etc.). D'après les
statistiques, une entreprise qui perd l'essentiel de ses données informatique suite à un crash ou une
mauvaise manipulation a un pourcentage de chance plus élevé de cesser toute activité dans les se-
maines suivant le sinistre, si aucun plan de récupération d'urgence n'a été mis en place au préalable.
C'est pourquoi la sauvegarde est un point crucial, commun à presque toutes les entreprises. Mettre en
place une infrastructure informatique, signifie également de planifier et mettre en place des solutions
pour la restaurer en cas de sinistre.

1. Récupération d’urgence
La récupération d'urgence consiste à restaurer le service qui a été détérioré suite à un sinistre. Pour
cela, une entreprise peut, par exemple, mettre en place un Plan de Reprise d'Activité (PRA) qui consiste
à définir les tâches et actions à réaliser pour restaurer, en un temps record, le service offert aux utilisa-
teurs. Un PRA comprend notamment un plan de sauvegarde qui consiste à définir une stratégie visant
à sauvegarder l'ensemble des données de la société afin de pouvoir les restaurer si besoin. Avant de
mettre en place une stratégie de sauvegarde, une entreprise doit d'abord faire une étude préliminaire
qui aidera à mieux cibler les besoins et ainsi, orienter la bonne implémentation du plan de sauvegarde.
Afin de répondre au mieux aux exigences requises par un système informatique, il convient de respec-
ter et suivre les bonnes pratiques définies dans les normes ITIL (Information Technology Infrastructure
Library).

Windows Server 2012 R2 - Configuration des services avancés

 Sauvegarde et restauration Page 647

Les bonnes pratiques figurant dans les ouvrages ITIL préconisent de répondre aux questions suivantes
avant de mettre en place un plan de récupération d'urgence :
- Définir les éléments à sécuriser et/ou sauvegarder : sécuriser ou sauvegarder l'ensemble du
périmètre informatique occasionne des coûts (logiciels, matériels, espace de stockage disque ou sur
bande, redondance des équipements, etc.). C'est pourquoi il convient d'évaluer à l'avance la volumé-
trie à sauvegarder en faisant la sélection des éléments à conserver.
- Évaluer les coûts de la sauvegarde : plus il y a de données à sauvegarder, plus le coût du plan de
sauvegarde est élevé (équipement de sauvegarde, espace disque, etc.). Pour maîtriser son budget,
il est important de ne pas négliger l'évaluation des coûts liés à la sauvegarde. Tous les éléments de
l'infrastructure de sauvegarde doivent être évalués, comme le matériel, les logiciels, la volumétrie, les
coûts de rétention, les coûts de stockage ainsi que les coûts humains (administrateur, technicien,
etc.).
- Définir les clauses du contrat de niveau de service : les ouvrages décrivant les bonnes pratiques
informatiques mentionnent le fait qu'il est important de définir à l'avance le niveau de service apporté
aux utilisateurs. Ces clauses doivent être recensées dans un document exposant clairement la qua-
lité de service attendue (ce contrat client-fournisseur est également appelé SLA : Service Level
Agreement), ainsi que les délais d'interruption de service maximum en cas de panne ou sinistre. La
durée maximale d'interruption du service pouvant être tolérée avant la reprise de l'activité, est égale-
ment appelé RTO (Recovery Time Objective) d'après les ouvrages ITIL.
- Définir les pertes de données acceptables en cas de sinistre : lors d'un sinistre, il est possible de
restaurer les données perdues ou corrompues d'un serveur à un instant T, si la politique de sauve-
garde mise en place est opérationnelle. Cependant, les données saisies quelques minutes avant le
sinistre par les utilisateurs peuvent ne pas avoir été sauvegardées. Ce qui, implicitement, veut dire
qu'il n'est plus possible de restaurer ces éléments non sauvegardés. C'est pourquoi il est important
de définir la tolérance de perte de données en cas de sinistre dans un document spécifique, égale-
ment appelé RPO (Recovery Point Objective) dans les ouvrages ITIL.
- Définir la stratégie de rétention des sauvegardes : lorsque les sauvegardes sont réalisées sur
bande, online, ou sur disque, de l'espace de stockage est consommé. La politique de rétention des
sauvegardes définit le temps que ces archives sauvegardées doivent être conservées avant écrase-
ment par une nouvelle sauvegarde ou simple destruction. Plus la stratégie de rétention impose un
délai de conservation des sauvegardes élevé, et plus il est facile pour un administrateur de restaurer
des données supprimées depuis quelques jours. Le cas se présente surtout pour les situations de
suppression accidentelle de données. Par exemple, si un utilisateur supprime accidentellement un
dossier important et qu'aucun utilisateur ne s'en rend compte pendant deux semaines… Il sera alors
impossible pour un administrateur de restaurer les données supprimées si la politique de rétention
des sauvegardes impose une rotation par écrasement des archives plus vieille d'une semaine. Afin
© Editions ENI - All rights reserved

de pouvoir restaurer dans différentes situations, il est possible de mettre deux plans de sauvegarde
simultanément. Par exemple, un plan de sauvegarde hebdomadaire sur disque peut réaliser des
archives avec un délai de rétention sur quatre semaines, tandis qu'un autre plan de sauvegarde
mensuel sur bande peut réaliser des archives avec un délai de rétention sur un an.

Examen 70-412
Page 648 Chapitre 15

- Définir une stratégie de restauration des données : il existe différentes méthodes pour restaurer
des données en fonction des méthodes de sauvegarde ou récupération mises en place pour sécuri-
ser l'infrastructure informatique. Lors d'un sinistre, il convient de déterminer à l'avance les méthodes
de récupération des données en fonction de telle ou telle situation. Une stratégie de restauration doit
être définie en accord avec les clauses définies dans les contrats de qualité de service. Par exemple,
si un utilisateur perd un fichier, il sera plus rapide de tenter une restauration des données en jetant
un œil dans le cache des clichés instantanés plutôt que de rapatrier une bande du centre de stockage
des archives sauvegardées. Plus vite les données sont restaurées et plus grand est le pourcentage
pour les administrateurs de respecter les clauses de qualité de service, ainsi que le temps d'interrup-
tion maximale admissible pour les utilisateurs. Tout plan de sauvegarde mis en place doit être validé
et testé régulièrement afin de s'assurer que la stratégie de restauration est opérationnelle et que les
données sauvegardées sont exploitables. Il arrive bien trop souvent qu'une entreprise sauvegarde
des données sur bande et que le jour où une restauration s'impose, les administrateurs se retrouvent
impuissants face à une bande vierge ou contenant des données inexploitables. Il faut donc systéma-
tiquement tester que le processus de restauration fonctionne et que les fichiers restaurés sont acces-
sibles par les utilisateurs. Cela garantit ainsi l'intégrité des données restaurées ainsi que la qualité de
service apporté.

2. Présentation de la sauvegarde
Il existe plusieurs technologies de sauvegarde des données, plusieurs supports de destination,
plusieurs éditeurs tiers ; que les solutions utilisent des composants matériels ou logicielles.
On retrouve notamment des sauvegardes de données sur les supports suivants :
- Cloud
- Disques durs internes/externes
- Supports amovibles
- CD/DVD ROM
- Emplacements réseau
- Réplication des données (sur un équipement redondé ou un emplacement géographique
différent)
- Bandes de sauvegarde
- Clichés instantanés
- RAID
- Snapshots (sauvegarde de l'état du système à un instant précis)
La plupart des solutions logicielles existantes issues d'éditeurs tiers utilisent des composants qui
nécessitent un serveur sur lequel installer la solution de sauvegarde et des agents installés sur chaque
serveur pour assurer la communication et le transfert des données à sauvegarder. Ce manuel ne couvre
que la solution de sauvegarde intégrée au système d'exploitation Windows Server 2012 R2 (fonction-
nalité Sauvegarde Windows Server), les clichés instantanés (Shadow Copy), ainsi que le système
de sauvegarde de type Cloud proposé par Microsoft et nommé Windows Azure Online Backup.

Windows Server 2012 R2 - Configuration des services avancés

 Sauvegarde et restauration Page 649

3. Sauvegarde Windows Server

Le système d'exploitation Microsoft Windows Server 2012 R2 intègre nativement la fonctionnalité de
serveur nommée Sauvegarde Windows Server.
Une fois installé, cet utilitaire se présente sous la forme d'un composant logiciel enfichable accessible
depuis le répertoire système %Windir%\system32\wbadmin.msc, les outils d'administration du
système d'exploitation ou via le Gestionnaire de serveur.

Cet utilitaire permet notamment de gérer les sauvegardes locales (emplacement réseau, volume
disque) ou en ligne (Windows Azure Online Backup).
Lorsqu'une sauvegarde est exécutée via cet outil, le composant logiciel enfichable Sauvegarde
Windows Server, crée un disque virtuel du volume à archiver. Ce disque virtuel est un fichier image au
format *.vhdx, qui est le nouveau format de stockage des machines virtuelles sous Microsoft Hyper-V3.
Les disques virtuels VHDX peuvent supporter 64 To de données. Le disque virtuel dédié à la sauve-
garde des données est créé à l'emplacement suivant :
[Lecteur:\]\WindowsImageBackup\[Nom du serveur]\Backup [Date de la sauvegarde]
© Editions ENI - All rights reserved

Il est possible de naviguer à tout moment dans ces fichiers image de disque dur au travers du compo-
sant logiciel enfichable. L'utilitaire crée les fichiers BackupGlobalCatalog et GlobalCatalog qui enregis-
trent la configuration des volumes sauvegardés dans l'arborescence suivante :
[Lecteur:\]\WindowsImageBackup\[Nom du serveur]\Catalog

Examen 70-412
Page 650 Chapitre 15

Chaque sauvegarde réalisée doit être vérifiée afin de s'assurer que les données sont accessibles en
cas de demande de restauration en urgence. Si un incident survient pendant le processus de sauve-
garde, l'utilitaire enregistre des logs d'erreurs à l'emplacement suivant :
[Lecteur:\]\WindowsImageBackup\[Nom du serveur]\Logs

L'utilitaire de sauvegarde permet l'archivage de l'ensemble des données des systèmes d'exploitation
Windows Server, ainsi que des machines virtuelles fonctionnant sous Hyper-V.

a. Gestion de la sauvegarde Windows Server

La console de gestion Sauvegarde Windows Server permet de gérer les types Sauvegarde locale
ou Sauvegarde en ligne. Le menu Actions de la Sauvegarde locale permet de gérer les éléments
suivants :

Windows Server 2012 R2 - Configuration des services avancés