Vous êtes sur la page 1sur 16

Sauvegarde et restauration Active Directory dans Windows Server 2008

VUE D'ENSEMBLE:

NTBACKUP - Sauvegarde Windows Server Outils et options de sauvegarde Outils et options de rcupration Cls d'une bonne stratgie de sauvegarde Active Directory

Vous savez parfaitement qu'ADDS (Active Directory Domain Services) est un composant trs important de votre infrastructure Windows. Si Active Directory tombe en panne, votre rseau est pratiquement inutile. Par consquent, vos plans de sauvegarde et rcupration Active
Directory sont essentiels la scurit et la continuit de l'activit ainsi qu' la conformit la rglementation.

Windows Server 2008 apporte de nombreuses fonctionnalits Active Directory, dont deux ont un impact trs important sur vos plans de sauvegarde et rcupration : le nouvel utilitaire Sauvegarde Windows Server et la possibilit de prendre et d'utiliser des instantans VSS (Volume Shadow Copy Service) d'Active Directory. Dans cet article, je dcrirai les modifications de la table lies ces amliorations et vous montrerai comment vous pouvez exploiter ces modifications pour rationaliser vos activits de sauvegarde Active Directory.

NTBACKUP - Sauvegarde Windows Server

Paramtres de stratgie de groupe


L'outil Sauvegarde Windows Server propose plusieurs paramtres de stratgie de groupe qui vous donnent un certain contrle sur la faon dont les sauvegardes fonctionnent sur vos serveurs. Ces stratgies de sauvegarde vous permettent de rduire les risques associs aux sauvegardes non autorises effectues dans le but d'accder illgalement aux donnes. Parmi ces options, citons : Autoriser uniquement la sauvegarde du systme Si cette option est active, Sauvegarde Windows Server peut uniquement sauvegarder les volumes systme critiques. Il ne peut pas effectuer de sauvegarde de volume. Ne pas autoriser un priphrique de stockage connect localement comme cible de sauvegarde Lorsqu'il est activ, ce paramtre n'autorise pas les sauvegardes sur les lecteurs connects localement. Vous ne pouvez sauvegarder que sur un partage rseau. Ne pas autoriser un rseau comme cible de sauvegarde Ce paramtre n'autorise pas la sauvegarde sur un partage rseau. Ne pas autoriser un support optique comme cible de sauvegarde Lorsque ce paramtre est activ, Sauvegarde Windows Server ne peut pas sauvegarder sur un priphrique optique tel qu'un lecteur DVD enregistrable. Ne pas autoriser les sauvegardes excution unique Ce paramtre empche Sauvegarde Windows Server d'excuter des sauvegardes non planifies ou ad hoc. Seules les sauvegardes planifies via le composant logiciel enfichable MMC de Sauvegarde Windows Server sont autorises s'excuter.

Le NTBACKUP que vous connaissez et aimez depuis Windows NT 3.5 n'existe plus. Il a t remplac par Sauvegarde Windows Server. Ce nouvel outil n'est pas une version retape de NTBACKUP mais une technologie de sauvegarde entirement nouvelle qui vous obligera repenser la faon dont vous sauvegardez vos systmes. Bien que Sauvegarde Windows Server soit la seule solution de sauvegarde disponible pour Windows Server 2008, il ne s'agit pas d'un remplacement fonctionnalit pour fonctionnalit de NTBACKUP. La plus grande diffrence rside dans le fait que Sauvegarde Windows Server est une solution de sauvegarde de disque disque ; il ne prend pas en charge la sauvegarde sur bande. Vous pouvez crer des images de sauvegarde sur des volumes de disque en connexion directe, sur des partages rseau et mme sur des disques durs USB externes et des DVD enregistrables multivolumes. Mais vous ne pouvez pas sauvegarder sur bande. Pour tre plus prcis, vous pouvez toujours connecter un lecteur de bande un serveur Windows Server 2008 et copier les images de sauvegarde gnres par Sauvegarde Windows Server sur le lecteur de bande, mais pour ce faire, vous devrez utiliser un logiciel tiers. Tandis que NTBACKUP est un outil de sauvegarde et restauration bas sur les fichiers, Sauvegarde Windows Server est bas sur les volumes et les blocs. Sauvegarde Windows Server gre sa source de sauvegarde comme un ensemble de volumes, chaque volume tant considr comme une collection de blocs de disque. Cette mthode est beaucoup plus efficace que la sauvegarde des fichiers via le systme de fichiers. En grant les sauvegardes par blocs, Sauvegarde Windows Server peut galement utiliser les instantans VSS pour excuter des sauvegardes incrmentielles au niveau des blocs et pour crer des instantans sur le volume cible afin de simplifier l'utilisation des sauvegardes multiples (et de rduire l'espace qu'elles occupent). Mme si vous effectuez des sauvegardes compltes, Sauvegarde Windows Server vous permet d'conomiser normment d'espace sur les disques cibles. Vous pourriez, par exemple, dcider d'excuter plusieurs sauvegardes compltes sur un mme volume. Dans la mesure o Sauvegarde Windows Server utilise les instantans VSS sur les disques cibles dans lesquels il stocke les images de sauvegarde, les instantans n'enregistreront que les blocs qui ont t modifis. Ceci rduit considrablement l'espace utilis par les sauvegardes compltes multiples. Vous vitez ainsi d'avoir effectuer plusieurs oprations de restauration pour rcuprer une sauvegarde incrmentielle. Bien que l'instantan stocke uniquement les deltas pour chaque sauvegarde, le service VSS fait en sorte que chaque sauvegarde semble complte. Sachez, cependant, que vous ne bnficiez des avantages des instantans VSS sur la cible que si vous sauvegardez sur un disque dur local ; Sauvegarde Windows Server ne peut pas excuter d'opration VSS sur les sauvegardes stockes sur DVD ou sur les partages rseau. Autre avantage non ngligeable, Sauvegarde Windows Server stocke ses images de sauvegarde au format VHD (Virtual Hard Disk) de Microsoft. En fait, vous pouvez prendre une image de sauvegarde et la monter en tant que volume dans un ordinateur virtuel tournant sous Microsoft Virtual Server. Vous pouvez tout simplement monter les VHD dans un ordinateur virtuel et rechercher un fichier donn au lieu de devoir excuter des tests de restauration de diverses bandes pour voir laquelle renferme ce fichier. (Remarque : vous ne pouvez pas prendre une image de sauvegarde et lancer un ordinateur virtuel depuis cette image. Dans la mesure o la configuration matrielle sauvegarde ne correspond pas la configuration de l'ordinateur virtuel, vous ne pourrez pas utiliser Sauvegarde Windows Server en tant qu'outil de migration physique vers virtuel.) L'orientation volumes et blocs de Sauvegarde Windows Server comporte un inconvnient. tant donn que ce nouvel outil considre la source de sauvegarde comme un ensemble de volumes et de blocs, il ne vous permet pas de sauvegarder uniquement certains fichiers. Vous devez sauvegarder le volume entier. Qui plus est, vous ne pouvez pas stocker, par dfaut, une image de sauvegarde sur l'un des volumes en train d'tre sauvegards (il existe toutefois des faons de contourner ce problme ; voir l'article l'adresse support.microsoft.com/kb/944530). Cette restriction a des implications importantes pour la sauvegarde de l'tat du systme, comme nous le verrons plus tard dans cet article.

Installation de Sauvegarde Windows Server


Sauvegarde Windows Server est une fonctionnalit de Windows Server 2008 et n'est pas install par dfaut. Avant de pouvoir effectuer une sauvegarde avec Sauvegarde Windows Server, vous devez installer la fonctionnalit en utilisant soit le Gestionnaire de serveur, soit l'utilitaire de ligne de commande SERVERMANAGERCMD :
C:\> servermanagercmd -install Backup-Features

Sauvegarde Windows Server est compos de deux sous-fonctionnalits : Sauvegarde Windows Server et les outils de ligne de commande. Notez que les outils de ligne de commande sont une srie d'applets de commande Windows PowerShellTM et non les outils de ligne de commande WBADMIN .EXE. Aussi, si vous choisissez d'installer les deux sous-fonctionnalits, vous devez installer la fonctionnalit Windows PowerShell. Aprs avoir install Sauvegarde Windows Server, vous trouverez le composant logiciel enfichable MMC (Microsoft Management Console) sous le nud Stockage du Gestionnaire de serveur et sur le menu Outils d'administration. Si vous utilisez une installation Windows Server 2008 Server Core pour installer Sauvegarde Windows Server, utilisez la commande OCSETUP (il est important de noter que la commande OCSETUP est sensible la casse) :
C:\> ocsetup WindowsServerBackup
Une description complte du processus d'installation est disponible l'adresse go.microsoft.com/fwlink/?LinkId=113146.

Notez que Sauvegarde Windows Server ne peut pas restaurer les images cres avec NTBACKUP. Pour ce scnario peu probable, Microsoft a mis votre disposition une version tlchargeable de NTBACKUP pour Windows Server 2008 (voir go.microsoft.com/fwlink/?LinkId=113147).

Composants de Sauvegarde Windows Server


L'architecture de l'application Sauvegarde Windows Server reprsente un changement important. Cette nouvelle solution de sauvegarde consiste en quatre composants :

Interface utilisateur MMC (WBADMIN.MCS) Interface de ligne de commande

(WBADMIN EXE)

Service de sauvegarde (WBENGINE.EXE) Jeu d'applets de commande Windows PowerShell

Le fait de diviser l'application en client et service comporte plusieurs avantages, le plus important tant une fiabilit accrue. Que vous lanciez une sauvegarde depuis le client MMC ou l'interface de ligne de commande, c'est le service WBENGINE qui effectue le gros du travail. Les programmes client ne font que signaler l'tat de la sauvegarde. Ainsi, en arrtant le client, vous n'arrtez pas la sauvegarde. Le client s'arrte mais le service continue jusqu'au bout. Bien sr, vous pouvez arrter la sauvegarde si vous le souhaitez, mais vous devez le faire explicitement. L'autre avantage de cette architecture divise est que vous pouvez utiliser le client pour grer les sauvegardes sur les ordinateurs distance. Ceci est particulirement utile lorsque vous devez sauvegarder des ordinateurs Windows Server 2008 Core. Sauvegarde Windows Server prend en charge les restaurations sans systme d'exploitation l'aide de l'Environnement de rcupration Windows (WinRE), qui est fourni avec le support d'installation de Windows Server 2008. WinRE simplifie la rcupration d'un serveur ex nihilo. J'aborderai la restauration sans systme d'exploitation plus loin dans cet article. Il est important de mentionner que Sauvegarde Windows Server prend en charge plusieurs paramtres de stratgie de groupe pour la gestion des sauvegardes. Ces paramtres sont prsents dans l'encadr Paramtres de stratgie de groupe .

Service VSS
Sauvegarde Windows Server utilise le Service VSS (Volume Shadow Copy Service) de trois faons diffrentes. Lorsque vous lancez une sauvegarde complte sur Windows Server 2008, la premire chose que fait l'application consiste prendre un clich instantan de tous les volumes sources. Cela permet ainsi d'avoir une vue cohrente du systme de fichiers utilis par le logiciel de sauvegarde. (C'est ce que faisait galement NTBACKUP). Sauvegarde Windows Server copie ensuite bloc par bloc les blocs du volume source sur la cible de sauvegarde, crant au passage une image VHD pour chaque volume de sauvegarde. Sauf instruction contraire, Sauvegarde Windows Server cre galement un instantan du volume source pour permettre au service VSS d'assurer le suivi de tous les blocs modifis sur le volume. Ceci permet Sauvegarde Windows Server de crer des sauvegardes incrmentielles au niveau des blocs qui consistent uniquement lire les blocs modifis du volume source. Au lieu de lire et d'crire un fichier entier parce qu'un bit y a t modifi, Sauvegarde Windows Server peut ne lire et crire que le bloc qui a t modifi. Ceci permet d'effectuer des sauvegardes incrmentielles trs efficaces, mais aux dpends d'E/S de disque supplmentaires pour les oprations d'criture sur le volume source. Si vous sauvegardez un volume particulirement actif ou important pour les performances, vous devez dsactiver l'instantan VSS du volume source en slectionnant le lien Configurer les paramtres de performances et en dsactivant ensuite les sauvegardes incrmentielles de ce volume (comme illustr la figure 1).

Figure 1 Dsactivation des sauvegardes incrmentielles des volumes trs actifs Une fois la sauvegarde termine, Sauvegarde Windows Server prend un instantan du volume cible ( supposer que vous sauvegardiez sur un disque dur connect localement). la sauvegarde suivante, les fichiers VHD cibles sont crass. Toutefois, puisque le service VSS conserve des clichs instantans du volume cible, il existe en fait plusieurs versions de chaque fichier VHD correspondant chacune des sauvegardes compltes. En bref, vous obtenez plusieurs sauvegardes compltes pour le cot d'une sauvegarde complte et des blocs modifis.

Sauvegarde sur partages rseau


La sauvegarde sur un partage rseau est toute aussi simple que la sauvegarde sur un volume local. La principale diffrence rside dans le fait qu'elle ne peut pas crer d'instantan VSS du volume distant. Chaque sauvegarde complte remplace par consquent la sauvegarde prcdente, si bien que seule la dernire image de sauvegarde complte de chaque serveur est conserve sur le partage rseau. En raison de cette restriction, vous ne pouvez pas utiliser le planificateur de Sauvegarde Windows Server pour planifier des sauvegardes sur un partage rseau. Vous pouvez, cependant, utiliser le planificateur de tches Windows pour excuter le programme de ligne de commande WBADMIN afin d'effectuer des sauvegardes compltes sur un partage rseau. Si vous choisissez de planifier des sauvegardes compltes sur un partage rseau de cette faon, modifiez le dossier cible de chaque sauvegarde afin d'viter d'craser les sauvegardes prcdentes.

Sauvegarde sur DVD enregistrables


Sauvegarde Windows Server prend galement en charge les sauvegardes sur les supports optiques tels que les DVD inscriptibles. En outre, vous pouvez crer des jeux de sauvegarde de plusieurs volumes. Sauvegarde Windows Server compresse toujours les sauvegardes sur DVD, ce qui signifie que vous pouvez effectuer uniquement des restaurations de systme ou volume complet depuis un DVD. Sauvegarde Windows Server ne prend pas en charge les sauvegardes et restaurations de l'tat du systme ou au niveau des fichiers avec les DVD. De plus, vous ne pouvez pas planifier des sauvegardes sur DVD.

Sauvegardes et restaurations de l'tat du systme


Les sauvegardes de l'tat du systme, qui incluent seulement certains fichiers et certaines bases de donnes d'application (et non des volumes entiers), sont trs pratiques et souvent essentielles. Toutefois, les toutes premires versions de Windows Server 2008 ne prenaient pas en charge les sauvegardes et restaurations de l'tat du systme. Au lieu de cela, l'outil de sauvegarde se contentait de sauvegarder les volumes systme critiques (c'est--dire les volumes ncessaires la rcupration et au redmarrage du systme d'exploitation et des applications cls). Ces volumes systme critiques reprsentaient l'quivalent orient volumes d'une sauvegarde de l'tat du systme. Suite aux commentaires des clients, Microsoft a ajout des fonctionnalits de sauvegarde et restauration de l'tat du systme Sauvegarde Windows Server. L'application cre plusieurs fichiers VHD, un pour chaque volume qui hberge les donnes de l'tat du systme, mais ne copie que les fichiers et bases de donnes ncessaires sur les VHD. En outre, lorsque vous excutez une sauvegarde de l'tat du systme, l'application Sauvegarde Windows Server ne cre pas d'instantan du volume cible comme elle le fait lors du processus de sauvegarde normal. Au lieu de cela, chaque sauvegarde de l'tat du systme cre un tout nouveau jeu de fichiers VHD, ce qui signifie que vous ne bnficiez pas des conomies d'espace que confrent les sauvegardes de volumes bases sur les instantans. Vous ne pouvez effectuer une sauvegarde de l'tat du systme qu'avec le programme de ligne de commande WBADMIN.EXE ; le composant logiciel enfichable MMC ne propose pas cette option. Pour effectuer une sauvegarde de l'tat du systme, vous devez utiliser cette commande :
C:\> wbadmin start systemstatebackup backuptarget:e:

WBADMIN sauvegarde ensuite les fichiers systme critiques et les bases de donnes d'application sur le volume cible, dans un dossier rserv aux sauvegardes de l'tat du systme. La sauvegarde de l'tat du systme sur un contrleur de domaine (DC) Windows Server 2008 32 bits avec une arborescence d'informations d'annuaire (DIT) par dfaut s'lve un peu plus de 6 Go, soit 5 Go de plus que sur Windows Server 2003, en raison, notamment, du fait que Sauvegarde Windows Server capture les fichiers de systme d'exploitation de base que NTBACKUP ne capturait pas. Comme vous pouviez vous y attendre, la sauvegarde de l'tat du systme prend galement plus de temps. Bien sr, les chiffres cits sont bass sur une version prliminaire du systme d'exploitation. Vous devrez vrifier ces donnes dans votre propre environnement de test, mais vous il vous faudra probablement prvoir des

sauvegardes de l'tat du systme plus volumineuses (et plus longues) lorsque vous migrerez vos contrleurs de domaine vers Windows Server 2008.

Sauvegarde d'un serveur avec la console MMC


Lorsque vous excutez la console MMC de Sauvegarde Windows Server (voir figure 2), vous avez la possibilit soit de configurer un calendrier de sauvegarde, soit d'excuter immdiatement une sauvegarde ad hoc. Dans le cas prsent, je slectionne Sauvegarde unique pour effectuer une sauvegarde immdiate.

Figure 2 Console MMC de Sauvegarde Windows Server Comme l'illustre la figure 3, je peux sauvegarder tous les volumes prsents sur le serveur ou uniquement les volumes spcifiques que je choisis. Si je slectionne Serveur entier, Sauvegarde Windows Server sauvegardera tous les volumes monts, mais je n'aurai pas la possibilit de sauvegarder sur un disque dur mont ; au lieu de cela, je devrai sauvegarder sur un DVD enregistrable ou un partage rseau.

Figure 3 Utilisation de la bote de dialogue de configuration de la sauvegarde pour spcifier tous les volumes ou uniquement certains volumes Dans cet exemple, je veux sauvegarder sur un disque dur local, donc je slectionne l'option Personnalise. Une bote de dialogue me permet alors de slectionner les volumes sauvegarder (voir figure 4). Par dfaut, Sauvegarde Windows Server coche la case Activer la rcupration du systme et slectionne le volume de dmarrage, le volume du systme d'exploitation et tout autre volume comprenant des fichiers systme et bases de donnes d'application critiques. Sur un contrleur de domaine, ceci inclut les volumes hbergeant SYSVOL, la DIT d'Active Directory et les journaux d'Active Directory. Cela quivaut une sauvegarde de l'tat du systme, mais avec une sauvegarde de tous les volumes critiques, et non uniquement des fichiers critiques de ces volumes. En fait, je peux mme excuter une rcupration de l'tat du systme partir d'un jeu de sauvegarde de rcupration du systme.

Figure 4 Slection de volumes spcifiques sauvegarder Lorsque j'ai slectionn le type de destination (lecteur local ou partage rseau) et spcifi la destination, Sauvegarde Windows Server m'invite slectionner soit une sauvegarde copie VSS soit une sauvegarde complte VSS . La terminologie prte confusion, car ces options sauvegardent toutes deux les volumes slectionns dans leur intgralit. La diffrence rside dans la faon dont Sauvegarde Windows Server contrle les fichiers sources aprs qu'ils ont t sauvegards. Si vous slectionnez l'option de copie, Sauvegarde Windows Server ne touchera pas aux fichiers sauvegards. Si vous choisissez l'option complte, Sauvegarde Windows Server rinitialisera l'archive.

Sauvegarde d'un serveur partir de la ligne de commande


Si vous souhaitez scripter le processus de sauvegarde ou si vous sauvegardez un serveur sur une installation Server Core, vous pouvez utiliser le programme de ligne de commande WBADMIN.EXE. WBADMIN offre un jeu complet d'options qui effectuent essentiellement les mmes tches que le composant logiciel enfichable MMC, y compris la gestion des calendriers de sauvegarde. Supposons que je souhaite dmarrer le service WBENGINE qui, son tour, excutera le processus de sauvegarde. Il me suffit d'entrer la commande suivante :
C:\> wbadmin start backup include:c:,d: backuptarget:e:

Ou bien, pour sauvegarder tous les volumes systme critiques, je peux entrer la commande suivante :

C:\> wbadmin start backup -allcritical backuptarget:e:

Aprs avoir lanc la sauvegarde, WBADMIN continue d'excuter et d'afficher la progression de la sauvegarde. Si je mets fin WBADMIN, la sauvegarde continue en arrire-plan. Je peux alors reconnecter WBADMIN une sauvegarde en cours d'excution l'aide de la commande suivante :
C:\> wbadmin get status
Et si je souhaite mettre fin une sauvegarde en cours d'excution, il me suffit d'entrer la commande suivante :

C:\> wbadmin stop job

Planification de sauvegardes avec la console MMC


Le planificateur de sauvegarde intgr Sauvegarde Windows Server est en fait conu pour rpondre un objectif unique : simplifier la planification des sauvegardes quotidiennes de systme complet sur un volume de disque local. Vous pouvez utiliser le planificateur intgr pour instaurer un systme de rotation automatique des sauvegardes sur plusieurs volumes cibles. Si vous avez des disques durs aisment amovibles (ou si vous utilisez des disques durs USB), vous pouvez utiliser cette fonctionnalit pour crer un systme de rotation vous permettant de supprimer le disque de sauvegarde et de le stocker hors site avant et de renvoyer le disque de sauvegarde le plus ancien au serveur pour la prochaine sauvegarde planifie. Le planificateur de Sauvegarde Windows Server vous permet uniquement de planifier des sauvegardes qui ont toujours lieu quotidiennement. Il n'est pas possible de planifier des sauvegardes pour lundi, mercredi et vendredi, par exemple. Par consquent, si vous ne voulez pas excuter vos sauvegardes planifies quotidiennement, vous devrez utiliser le planificateur de tches Windows. Lorsque vous configurez une sauvegarde planifie sur un disque local, Sauvegarde Windows Server effectue toutes les oprations lies au disque ncessaires la sauvegarde : il le formate, organise une structure de dossiers spcifique et rend le disque cible invisible pour l'Explorateur Windows. Le disque cible doit tre un volume de base ; Sauvegarde Windows Server ne peut pas sauvegarder sur des disques configurs en tant que volumes dynamiques. La planification de sauvegardes par le biais du composant logiciel enfichable MMC est trs simple. Dans cet exemple, je slectionne d'abord le lien Planification de sauvegarde et spcifie le type de sauvegarde et les volumes sauvegarder ; Sauvegarde Windows Server affiche ensuite la bote de dialogue Spcifiez lheure de la sauvegarde (voir figure 5).

Figure 5 Spcification des moments auxquels les sauvegardes quotidiennes doivent avoir lieu Aprs avoir slectionn les heures auxquelles je souhaite effectuer la sauvegarde, je peux slectionner le ou les volumes sur lesquels je veux sauvegarder. En l'occurrence, je slectionne le volume de sauvegarde E:, comme illustr la figure 6. Sauvegarde Windows Server essaie de slectionner un volume cible appropri pour vous, mais si le disque sur lequel vous voulez sauvegarder n'apparat pas, vous pouvez utiliser le bouton Afficher tous les disques disponibles pour afficher tous les priphriques de disque connects. Au bout de quelques botes de dialogue de confirmation, Sauvegarde Windows Server formate le ou les volumes cibles et planifie la tche de sauvegarde l'aide du planificateur de tches Windows.

Figure 6 Spcification du disque de destination d'une sauvegarde planifie Chaque fois qu'une sauvegarde planifie est termine, Sauvegarde Windows Server prend un instantan du volume cible. Tous les sept jours, il cre une nouvelle image de base. L'activit est enregistre dans le journal Microsoft/Sauvegarde/Oprationnel. Vous pouvez consulter ce rpertoire pour voir si vos sauvegardes ont russi ; vous pouvez galement associer une tche, telle que l'envoi d'un message lectronique, aux vnements qui ont abouti et ceux qui ont chou afin d'tre toujours inform de l'tat de vos sauvegardes planifies.

Planification de sauvegardes depuis la ligne de commande


Si vous planifiez des sauvegardes sur une installation Server Core ou si vous souhaitez simplement scripter le processus, vous pouvez grer le calendrier des sauvegardes l'aide de la ligne de commande WBADMIN. Pour ajouter une sauvegarde planifie, vous devez utiliser la commande WBADMIN ENABLE BACKUP, en spcifiant le cible, la source et l'heure prvue, comme suit :
C:\> wbadmin enable backup addtarget:e: -include:c:,d: -schedule:06:00,12:00,18:00

Cette commande sauvegardera les lecteurs C: et D: sur le lecteur E: trois fois par jour, 6h00, midi et 18h00 (notez l'utilisation du format 24 heures). Pour sauvegarder tous les volumes systme critiques (depuis lesquels vous pouvez excuter une restauration sans systme dexploitation ou une restauration de l'tat du systme), remplacez le commutateur include par le commutateur allcritical. Vous pouvez galement utiliser WBADMIN pour dsactiver toutes les sauvegardes planifies, comme suit :
C:\> wbadmin disable backup
Cette commande supprimera toutes les tches de sauvegarde planifies cres par le planificateur de Sauvegarde Windows Server et librera tous les volumes cibles de sauvegarde pour un usage normal. Notez que vous pouvez toujours utiliser le composant logiciel enfichable MMC WBADMIN pour grer distance les activits de sauvegarde et restauration des serveurs Server Core.

Rcupration sans systme dexploitation d'un contrleur de domaine


L'une des amliorations les plus intressantes concernant la sauvegarde et rcupration rside dans la faon dont WinRE a t intgr au processus d'installation. Lorsque vous dmarrez Windows Server 2008 depuis le support d'installation, vous pouvez choisir l'option Rparer votre ordinateur, comme illustr la figure 7. Cette option s'oublie facilement, et c'est pour cette raison que je la mentionne.

Figure 7 L'option Rparer votre ordinateur est disponible sur l'cran d'installation Une fois l'option de rparation slectionne sur l'cran d'installation, Windows me permet de slectionner une option de rcupration, comme illustr la figure 8. Dans le cas prsent, je slectionne Restauration complte de lordinateur Windows qui appelle l'Environnement de rcupration Windows.

Figure 8 Spcification des options de rcupration du systme (Cliquer sur l'image pour l'agrandir) Une fois le systme d'exploitation que vous voulez rparer slectionn (un seul choix est gnralement propos), WinRE vous permet de slectionner la sauvegarde depuis laquelle vous voulez effectuer la restauration. Par dfaut, WinRE slectionne la sauvegarde systme complte la plus rcente, mais vous pouvez spcifier d'autres sauvegardes stockes sur les disques locaux ou rechercher, sur le rseau, des sauvegardes stockes sur les partages de fichiers d'autres serveurs. Dans mon exemple, je slectionne la sauvegarde systme complte la plus rcente. La bote de dialogue suivante (illustre la figure 9) me permet de formater et de repartitionner tous les disques avant qu'ils ne soient restaurs. Cette option est approprie si le problme de rcupration a t caus par une dfaillance de disque ou si vous avez remplac un ou plusieurs lecteurs de disques du serveur.

Figure 9 Vous pouvez facilement formater et repartitionner les disques avant qu'ils ne soient restaurs Au bout de quelques botes de dialogue de confirmation, WinRE lance le processus de restauration et le serveur redmarre. Il s'agit l d'un moyen relativement simple d'excuter une rcupration sans systme d'exploitation sur un serveur.

Rcupration de l'tat du systme d'un contrleur de domaine


Si vous avez besoin de rcuprer d'une dfaillance lie Active Directory, telle qu'une UO supprime de la sauvegarde, vous devez restaurer la base de donnes ADDS (Active Directory Domain Services) un tat prcdent, au lieu de restaurer le systme entier. Bien que vous puissiez arrter ADDS comme un service dans Windows Server 2008, vous devez cependant dmarrer le serveur en mode DSRM (Restauration des services d'annuaire) pour excuter une restauration de l'tat du systme sur un contrleur de domaine. Il n'est aujourd'hui plus aussi facile de modifier les options de dmarrage pour lancer Windows Server 2008 en mode DSRM qu'auparavant. L'environnement de dmarrage Windows entier a t remani pour prendre en charge la nouvelle interface EFI (Extensible Firmware Interface) et l'ancien fichier boot.ini n'existe plus. Au lieu de cela, Windows Server 2008 utilise la BCD (base de donnes de configuration de dmarrage) pour contrler le processus de dmarrage. La faon la plus simple de grer la BCD est d'utiliser le programme de ligne de commande BCDEDIT. Une discussion couvrant toutes les commandes et options BCDEDIT ncessiterait elle seule tout un article. Je me contenterai donc de vous montrer quelques exemples utiles. Pour redmarrer un contrleur de domaine Windows Server 2008 DC en mode DSRM, utilisez la commande suivante :
C:\> bcdedit /set safeboot dsrepair
Ceci dfinira l'option de dmarrage sans chec pour l'entre du chargeur de dmarrage par dfaut. Dans une nouvelle installation Windows Server 2008, il n'existe qu'une seule entre de chargeur de dmarrage, WINLOAD.EXE. Pour supprimer l'option de dmarrage sans chec et redmarrer en mode normal, utilisez la commande suivante :

C:\> bcdedit /deletevalue safeboot

Pour ne pas trop compliquer les choses, vous pouvez configurer deux entres de chargeur de dmarrage sur vos contrleurs de domaine : une pour un dmarrage normal et une autre pour un dmarrage DSRM. Ainsi, vous pouvez modifier les options de dmarrage en utilisant la bote de dialogue Paramtres de dmarrage et rcupration disponible sous Paramtres systme. Pour ajouter une nouvelle entre de chargeur de dmarrage, utilisez la commande suivante :

C:\> bcdedit /copy {default} /d "Directory Service Repair Mode"


Cette action crera une nouvelle entre de chargeur de dmarrage en copiant l'entre de chargeur de dmarrage par dfaut. BCDEDIT affichera quelque chose comme ceci :

The entry was successfully copied to {c50d4710-a1f0-11dc-9580-0003ff402ae9}.

Le GUID identifie la nouvelle entre. Utilisez ensuite cette commande pour dfinir l'option de dmarrage sans chec pour la nouvelle entre de chargeur de dmarrage dans la BCD :
C:\> bcdedit /set {<GUID for new entry>} safeboot dsrepair

Vous pouvez maintenant passer du mode de dmarrage normal au mode de dmarrage DSRM en utilisant les paramtres Dmarrage et Rcupration (voir figure 10).

Figure 10 Dsactivation des sauvegardes incrmentielles des volumes trs actifs Avant d'utiliser WBADMIN pour lancer une restauration de l'tat du systme, vous devez identifier la sauvegarde depuis laquelle vous voulez effectuer la restauration. WBADMIN peut excuter une restauration de l'tat du systme depuis une sauvegarde de systme complte, une sauvegarde qui contient juste les volumes systme critiques ou une sauvegarde de l'tat du systme. Dans tous les cas, vous devrez spcifier la version de la sauvegarde que vous souhaitez utiliser. La faon la plus simple d'identifier les versions des sauvegardes disponibles est d'utiliser la commande WBADMIN suivante :
C:\> wbadmin get versions

WBADMIN affichera ensuite les versions des sauvegardes sous une forme semblable celle des informations illustres la figure 11. Notez qu' chaque sauvegarde sont associs une heure de sauvegarde, une cible de sauvegarde, un identificateur de version (heure au format universel et date de lancement de la sauvegarde) et une liste des types d'oprations de rcupration que la sauvegarde peut prendre en charge.

Figure 11 Identifiez les sauvegardes disponibles pour la rcupration wbadmin 1.0 - Backup command-line tool (C) Copyright 2004 Microsoft Corp. Backup time: 11/30/2007 3:47 PM Backup target: Fixed Disk labeled E: Version identifier: 11/30/2007-22:47 Can Recover: Application(s), System State Backup time: 12/1/2007 10:46 PM Backup target: Fixed Disk labeled Backup(E:) Version identifier: 12/02/2007-05:46 Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State Backup time: 12/2/2007 5:58 PM Backup target: Fixed Disk labeled Backup(E:) Version identifier: 12/03/2007-00:58 Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery, System State Backup time: 12/3/2007 11:25 AM Backup target: Fixed Disk labeled E: Version identifier: 12/03/2007-18:25 Can Recover: Application(s), System State

En l'occurrence, je slectionne la sauvegarde la plus rcente et lance la restauration de l'tat du systme avec la commande WBADMIN suivante :
C:\> wbadmin start systemstaterecovery version:12/03/2007-18:25
Ceci excutera une restauration ne faisant pas autorit. Si vous souhaitez excuter une restauration faisant autorit du SYSVOL, il vous suffit de marquer la rplique SYSVOL restaure comme faisant autorit en ajoutant l'option authsysvol la commande WBADMIN. Pour plus d'informations sur ce processus, consultez l'article go.microsoft.com/fwlink/?LinkId=113152.

Prise d'instantans Active Directory


L'un des changements les plus intressants concernant la sauvegarde Active Directory est un changement qui n'a absolument rien voir avec Sauvegarde Windows Server. Dans Windows Server 2008, vous pouvez tirer parti du fait qu'Active Directory peut fournir des instantans VSS. Ces instantans sont des sauvegardes ponctuelles trs lgres du service Active Directory en cours d'excution. Mieux encore, vous pouvez les crer en quelques secondes ! Vous pouvez ensuite monter ces instantans et y accder l'aide d'utilitaires LDAP normaux tels que l'outil LDP. Pour prendre des instantans ADDS (Active Directory Domain Services) ou ADLDS (Active Directory Lightweight Directory Services), vous devez utiliser la commande NTDSUTIL, comme indiqu ci-aprs :
ntdsutil: snapshot snapshot: activate instance ntds Active instance set to "ntds". snapshot: create Creating snapshot... Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated successfully. snapshot: quit ntdsutil: quit

Cette squence de commandes NTDSUTIL cre un instantan VSS des volumes qui contiennent la DIT d'Active Directory, les journaux et SYSVOL. Bien qu'Active Directory soit toujours en cours de mise jour, le service VSS utilise une stratgie de copie l'criture pour garantir que les instantans que vous avez pris sont convenablement maintenus. Notez que les instantans ne sont pas une copie complte de la DIT. En fait, il s'agit

juste d'une collection de blocs de disques de la DIT qui ont t modifis depuis que l'instantan a t pris. En combinant ces blocs avec la copie actuelle de la DIT, le service VSS peut prsenter la DIT d'Active Directory exactement comme elle est apparue lors de la prise de l'instantan. La figure 12 montre comment supprimer les vieux instantans ou ceux dont vous n'avez plus besoin.
Figure 12 Supprimez les instantans inutiles C:\> ntdsutil ntdsutil: snapshot snapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931} snapshot: delete 1 Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\ Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\ snapshot: quit ntdsutil: quit C:\>

Montage d'instantans Active Directory


Pour utiliser l'un de ces instantans, vous devez tout d'abord demander au service VSS de le mettre la disposition du systme de fichiers. Pour ce faire, utilisez la commande ntdsutil pour afficher les instantans disponibles et montez l'instantan qui vous intresse (voir la figure 13).
Figure 13 Utilisation de ntdsutil pour monter un instantan C:\> ntdsutil ntdsutil: snapshot snapshot: list all 1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4} 2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} 3: D: {2bbd739f-905a-431b-9449-11fba01f9931} snapshot: mount 1 Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as C:\$SNAP_200712032318_VOLUMEC$\ Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as C:\$SNAP_200712032318_VOLUMED$\ snapshot: quit ntdsutil: quit C:\>

La commande "list all" affiche tous les instantans Active Directory qui sont actuellement maintenus par le service VSS. La commande "mount 1" monte les instantans de la DIT d'Active Directory et des volumes de journaux slectionns et les rend disponibles dans le systme de fichiers. Ils se trouvent dans les rpertoires C:\$SNAP_200712032318_VOLUMEC$\ and C:\$SNAP_200712032318_VOLUMED$\. Si vous regardez dans ces dossiers, vous verrez le contenu entier de ces volumes tels qu'ils taient lorsque l'instantan a t pris. Notez, cependant, que les instantans monts sont en lecture seule, ce qui signifie que vous ne pouvez pas en modifier les fichiers.

Rcupration de donnes partir d'instantans Active Directory


Le montage des instantans des volumes qui contiennent Active Directory ressemble un peu de la magie. Comment accder aux donnes Active Directory renfermes dans ces instantans ? Le secret rside dans la commande DSAMAIN, c'est--dire l'excutable qui excute ADLDS. Il s'agit essentiellement d'un serveur LDAP autonome qui partage presque tout son code avec ADDS. Vous pouvez utiliser DSAMAIN pour faire ressembler les instantans monts un serveur LDAP en lecture seule renfermant les donnes Active Directory telles qu'elles taient au moment o l'instantan a t pris. Examinez cette commande :
C:\> dsamain dbpath c:\$snap_200712032318_volumed$\ntds\dit \ntds.dit -ldapport 10000
Elle monte le fichier ntds.dit situ dans le dossier c:\$snap_200712032318_volumed$\ntds\dit et le rend disponible aux oprations LDAP sur le port TCP 10000 (ou sur le port que vous spcifiez). DSAMAIN ouvre le port LDAPS (le port utilis pour LDAP sur SSL) sur le port que vous avez spcifi plus un (dans ce cas, 10001), le port GC (le port utilis pour les connexions de catalogue global) sur le port que vous avez spcifi plus deux (10002) et le port GCS (le catalogue global sur SSL) sur le port que vous avez spcifi plus trois (10003).

Vous pouvez utiliser n'importe quel programme LDAP (tel que LDP) pour accder la DIT monte sur le port spcifi. Toutefois, dans Windows Server 2008, les utilisateur et ordinateurs Active Directory (ADUC), les sites et services et les domaines et approbations ainsi qu'ADSIEDIT ont tous t modifis, ce qui vous permet de les connecter une DIT monte l'aide de DSAMAIN. Si vous cliquez avec le bouton droit sur le nud de niveau suprieur du volet de navigation de n'importe quel ADUC et slectionnez Modifier le contrleur de domaine, vous verrez s'afficher la bote de dialogue illustre la figure 14. Si vous tapez simplement le nom ou l'adresse IP du serveur hbergeant l'instantan mont ainsi que le port (dans mon exemple, localhost:10000), ADUC se connectera l'instantan mont, ce qui vous permet de parcourir le contenu du rpertoire tel qu'il tait lors de la prise de l'instantan. Impressionnant, n'est-ce pas ?

Figure 14 Connexion d'utilisateurs et ordinateurs Active Directory un instantan mont La possibilit d'accder aux donnes de rpertoire de cette faon simplifie considrablement un grand nombre de tches de rcupration de donnes. titre d'exemple, auparavant, pour rcuprer un objet supprim d'une sauvegarde, vous deviez excuter une restauration ne faisant pas autorit de la sauvegarde sur un contrleur de domaine existant puis excuter une restauration faisant autorit de l'objet supprim. Et si la sauvegarde que vous aviez restaure ne contenait pas les bonnes donnes, vous deviez tout recommencer avec une sauvegarde diffrente. Dsormais, grce la ranimation des objets tombstone et des instantans, vous pouvez rapidement trouver et rcuprer les donnes supprimes, et vous n'tes mme pas oblig de mettre le contrleur de domaine hors connexion. Il existe toutefois certaines restrictions. Par exemple, chaque instantan actif augmente l'E/S de disque associe aux oprations d'criture sur le rpertoire ; il est donc conseill de ne pas avoir plus d'un ou deux instantans actifs tout moment sur un contrleur de domaine de production. En outre, plus les instantans restent actifs, plus la taille du magasin de deltas du service VSS augmente, ce qui peut galement avoir un effet sur les

performances. Et, bien sr, la rcupration d'un objet supprim n'est que la premire tape du processus de rcupration. Vous devrez probablement galement rcuprer les attributs lis de l'objet tels que les appartenances aux groupes. Mais mme dans ce cas, l'instantan peut vous aider identifier tous les groupes dont faisait partie l'objet supprim.

Stratgie de rcupration et de sauvegarde solide pour Active Directory


Windows Server 2008 propose un tout nouveau systme de rcupration et de sauvegarde. Certaines modifications peuvent premire vue laisser perplexe ou faire grincer des dents. Mais une fois ces modifications acceptes et la nouvelle technologie de sauvegarde intgre leurs oprations quotidiennes, les organisations informatiques pourront mettre en uvre une stratgie de sauvegarde et rcupration beaucoup plus efficace. Mme avec toutes les modifications apportes la faon dont vous sauvegardez les serveurs dans Windows Server 2008, la stratgie de base lie la sauvegarde et rcupration Active Directory n'a pas vraiment tellement chang. Par consquent, lorsque vous prparez votre stratgie, gardez les meilleures pratiques suivantes l'esprit :

Planifiez des sauvegardes de systme compltes priodiques afin de pouvoir rcuprer un contrleur de domaine aprs une dfaillance matrielle. La frquence laquelle vous planifiez des sauvegardes compltes d'un contrleur de domaine dpend de la frquence laquelle vous mettez jour vos donnes, de votre tolrance l'gard des interruptions de service et/ou des pertes de donnes et de l'effort ncessaire pour reconstruire entirement le contrleur de domaine.

Planifiez des sauvegardes de l'tat du systme frquentes afin de sauvegarder les modifications dans Active Directory. La frquence laquelle vous excutez les sauvegardes de l'tat du systme dpend de votre tolrance l'gard des pertes de donnes Active Directory. Dans tous les cas, vous devriez sauvegarder au moins une fois par jour. Dans la mesure du possible, gardez au moins une ou deux sauvegardes de l'tat du systme sur un disque local et copiez les anciennes versions de l'tat du systme sur un DVD ou un partage rseau.

Veillez effectuer des sauvegardes de l'tat du systme sur au moins deux contrleurs de domaine dans chaque domaine, au cas o l'une des sauvegardes serait dfaillante ou indisponible.

Veillez sauvegarder les contrleurs de domaine avec des rpliques de partitions d'application si vous les avez dfinies. Et pensez crer une partition Environnement de rcupration Windows sur vos contrleurs de domaine afin de pouvoir dmarrer rapidement dans WinRE en cas de dfaillance d'un lecteur systme critique.