Module 13 : Mise à jour de la base de données Active Directory

Module 13 : Mise à jour de la base de données Active Directory Table des matières Vue d'ensemble 1 Présentation de la mise à jour de la base de données Active Directory 2 Processus de modification des données dans Active Directory 3 Processus de nettoyage de la mémoire 5 Sauvegarde d'active Directory 7 Restauration d'active Directory 10 Atelier A : Sauvegarde et restauration d'active Directory 18 Déplacement de la base de données Active Directory 26 Défragmentation de la base de données Active Directory 28 Atelier B : Mise à jour de la base de données Active Directory 33 Conseils pratiques 37 Contrôle des acquis 39

Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis. Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs. L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent document vous autorise une et une seule copie. Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle. 2000 Microsoft Corporation. Tous droits réservés. Microsoft, Active Directory, BackOffice, FrontPage, IntelliMirror, PowerPoint, Visual Basic, Visual Studio, Win32, Windows, Windows Media et Windows NT sont soit des marques déposées de Microsoft Corporation, soit des marques de Microsoft Corporation aux États-Unis d'amérique et/ou dans d'autres pays. Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Chef de projet : Mark Johnson Concepteurs pédagogiques : Aneetinder Chowdhry (NIIT [USA] Inc.), Bhaskar Sengupta (NIIT [USA] Inc.) Directeur de programme : Paul Adare (FYI TechKnowlogy Services) Responsable de programme : Gregory Weber (Volt Computer Services) Consultants techniques : Jeff Clark, Chris Slemp Graphiste : Julie Stone (indépendante) Responsable d'édition : Lynette Skinner Éditeur : Jeffrey Gilbert Correctrice : Kaarin Dolliver (S&T Consulting) Responsables des tests : Sid Benavente, Keith Cotton Développeur des tests : Greg Stemp (S&T OnSite) Ingénieurs-testeurs du cours : Jeff Clark, H. James Toland III Responsable de programme en ligne : Debbi Conger Responsable des publications en ligne : Arlo Emerson (Aditi) Assistance en ligne : David Myka (S&T Consulting) Développement des présentations multimédias : Kelly Renner (Entex) Test du cours : Data Dimensions, Inc. Assistance à la production : Irene Barnett (S&T Consulting) Responsable de la fabrication : Rick Terek Assistance à la fabrication : Laura King (S&T OnSite) Responsable produit, Services de développement : Bo Galford Responsables produit : Gerry Lang, Julie Truax Directeur de l'unité produit : Robert Stewart

Module 13 : Mise à jour de la base de données Active Directory 1 Vue d'ensemble! Présentation de la mise à jour de la base de données Active Directory! Processus de modification des données dans Active Directory! Processus de nettoyage de la mémoire! Sauvegarde d'active Directory! Restauration d'active Directory! Déplacement de la base de données Active Directory! Défragmentation de la base de données Active Directory! Conseils pratiques Le service d'annuaire Active Directory de Microsoft Windows 2000 stocke ses informations dans une base de données transactionnelle. Il peut ainsi garantir l'intégrité des données après un sinistre. Les causes de sinistres informatiques vont de la panne matérielle à la perte d'un système complet, en cas d'incendie par exemple. La base de données Active Directory utilise des fichiers journaux de transaction pour récupérer des informations concernant les données endommagées. Après leur récupération, Active Directory utilise la duplication pour récupérer des données à partir d'autres contrôleurs de domaine du domaine. Les interactions entre les différents composants d'active Directory servent de base à la manière dont Active Directory sauvegarde et récupère des données. Il est essentiel de sauvegarder et de restaurer les données pour mettre à jour la base de données Active Directory. Vous pouvez sauvegarder et restaurer Active Directory en utilisant l'interface utilisateur graphique et les outils de ligne de commande fournis avec Windows 2000 Advanced Server. À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :!" décrire l'importance de la mise à jour de la base de données Active Directory ;!" décrire le processus de modification des données dans Active Directory ;!" décrire le processus de nettoyage de la mémoire dans Active Directory ;!" sauvegarder les données sur l'état du système à l'aide de l'utilitaire de sauvegarde ;!" restaurer Active Directory en restaurant les données sur l'état du système ;!" déplacer la base de données Active Directory ;!" défragmenter la base de données Active Directory ;!" mettre à jour la base de données Active Directory en respectant les conseils pratiques.

2 Module 13 : Mise à jour de la base de données Active Directory Présentation de la mise à jour de la base de données Active Directory Sauvegarde d'active Directory Restauration d'active Directory Déplacement de la base de données Défragmentation La mise à jour de la base de données Active Directory est une tâche administrative importante qui doit être effectuée régulièrement pour faciliter la récupération des données perdues ou endommagées, ainsi que la réparation de la base de données Active Directory. Lorsque des contrôleurs de domaine ne fonctionnent pas du fait de problèmes matériels ou logiciels, les utilisateurs peuvent avoir des difficultés à accéder aux ressources dont ils ont besoin ou à se connecter au réseau. Windows 2000 Advanced Server permet d'effectuer les tâches ci-dessous pour mettre à jour la base de données Active Directory.!" Sauvegarde d'active Directory. Vous pouvez utiliser l'utilitaire de sauvegarde de Windows 2000 pour sauvegarder des informations dans Active Directory. Les informations d'active Directory sont sauvegardées avec les données sur l'état du système.!" Restauration d'active Directory. Lorsqu'Active Directory est endommagé ou supprimé, ses objets sont modifiés ou disparaissent. Vous pouvez également utiliser l'utilitaire de sauvegarde pour restaurer Active Directory car il fait partie des données sur l'état du système.!" Déplacement de la base de données Active Directory. Vous déplacez une base de données lorsque vous la défragmentez. Le déplacement de la base de données ne supprime pas la base de données d'origine. Vous pouvez donc utiliser cette dernière au cas où la base de données défragmentée ne fonctionne pas ou soit endommagée. De même, si votre espace disque est limité, vous pouvez ajouter un autre disque dur et déplacer la base de données sur ce nouveau disque.!" Défragmentation de la base de données. Des mises à jour fréquentes de la base de données entraînent une mauvaise utilisation de l'espace de la base de données. La défragmentation de la base de données peut réorganiser les données et parfois même réduire la taille du fichier.

Module 13 : Mise à jour de la base de données Active Directory 3 Processus de modification des données dans Active Directory Ajout, modification, suppression Mémoire 1 4 Edb.chk Moteur ESE Fichier de contrôle 2 3 Edb.log Ntds.dit Dans Active Directory, chaque requête effectuée pour ajouter, modifier ou effacer un objet ou un attribut est traitée comme une transaction individuelle. Une transaction est un ensemble de changements, comme des insertions, des effacements et des mises à jour, agissant en tant qu'unité atomique. Active Directory possède son propre moteur de base de données, le moteur ESE (Extensible Storage Engine), qui stocke tous les objets Active Directory. Le moteur ESE utilise un concept de transactions et des fichiers journaux pour garantir l'intégrité de la base de données Active Directory. Fichiers d'active Directory Active Directory inclut les fichiers décrits ci-dessous.!" Ntds.dit. Ce fichier unique est la base de données Active Directory ; il stocke tous les objets Active Directory sur le contrôleur de domaine. L'extension.dit signifie arborescence d'informations de l'annuaire. L'emplacement par défaut est le dossier racine_système\ntds. Dans Active Directory, chaque transaction est enregistrée dans un ou plusieurs fichiers journaux de transaction associés au fichier Ntds.dit.!" Edb*.log.Il s'agit d'un fichier journal de transaction. Le fichier journal de transaction se nomme par défaut Edb.log. La taille de chacun de ces fichiers est de 10 mégaoctets (Mo).Lorsque le fichier Edb.log est plein, il est renommé Edbnnnnn.log, où nnnnn représente un nombre croissant à partir de un.

4 Module 13 : Mise à jour de la base de données Active Directory!" Edb.chk. Il s'agit d'un fichier de contrôle utilisé par le moteur de la base de données pour suivre les données qui ne sont pas encore écrites dans le fichier de base de données Active Directory. Le fichier de contrôle est un pointeur qui met à jour l'état entre la mémoire et le fichier de base de données sur le disque. Le pointeur du fichier de contrôle indique le point de départ dans le fichier journal à partir duquel les informations doivent être récupérées en cas de sinistre.!" Res1.log et Res2.log. Ces fichiers sont les fichiers journaux de transaction réservés. Le volume d'espace disque réservé aux fichiers de transaction sur un lecteur ou un dossier est de 20 Mo. Cet espace disque réservé permet aux fichiers journaux de transaction de se fermer si le reste de l'espace disque est utilisé. Processus de modification de la base de données Les événements ci-dessous se produisent lorsque des données sont modifiées dans Active Directory. 1. Le moteur ESE charge les données devant être modifiées en mémoire. Il met le disque en mémoire cache en transférant des blocs de données, que l'on appelle des pages, dans la mémoire. Il met ensuite à jour les pages en mémoire et réécrit de nouvelles pages ou des pages mises à jour sur le disque. Cette mise à jour permet au moteur ESE de mettre des données dans la mémoire tampon afin de ne pas avoir besoin de récupérer constamment des données du disque dur. La réalisation de plusieurs modifications de mémoire permet de réduire le nombre d'écritures sur le disque. Cette mise en mémoire cache accélère les performances. Lorsque les utilisateurs formulent des requêtes, le moteur ESE commence à les charger en mémoire et marque les pages. Ces pages marquées sont ensuite écrites dans la base de données de la banque d'informations sur le disque. 2. Le moteur ESE sécurise la transaction dans Edb.log, le fichier journal de transaction, et crée un enregistrement dans le fichier journal. Lorsqu'il atteint l'extrémité d'un fichier journal de transaction, il renomme Edb.log en Edbnnnnn.log et crée un fichier journal. Les anciens fichiers journaux, désormais inutiles, sont automatiquement effacés. 3. Le moteur ESE écrit le changement stocké en mémoire dans Ntds.dit, le fichier de base de données, sur le disque. 4. Le fichier de contrôle, Edb.chk, est mis à jour. Cela indique que la transaction dans le fichier journal a été validée dans la base de données.

Processus de nettoyage de la mémoire Module 13 : Mise à jour de la base de données Active Directory 5 # S'exécute périodiquement sur chaque contrôleur de domaine # Évalue et supprime les enregistrements désactivés # Défragmente la base de données Active Directory Le nettoyage de la mémoire est un processus qui s'exécute sur chaque contrôleur de domaine après 12 heures d'exploitation continue pour supprimer les objets qui ont expiré ou qui ont été désactivés, et défragmenter la base de données. Vous pouvez modifier l'intervalle de nettoyage de la mémoire. Le nettoyage de la mémoire est utilisé pour les tâches ci-dessous.!" Évaluation et suppression des enregistrements désactivés. Les enregistrements désactivés sont des marqueurs qui indiquent qu'un objet a été supprimé. Au lieu de supprimer tout de suite physiquement un objet en particulier, la base de données supprime la plupart de ses attributs, le déplace dans le dossier Deleted Objects et marque l'objet comme étant désactivé. Un délai s'écoule entre le moment où un objet est marqué avec la suppression d'origine et le moment où il est supprimé physiquement de la base de données. Ce délai s'appelle la durée de vie de l'enregistrement désactivé. Il existe pour fournir un intervalle durant lequel le contrôleur de domaine d'origine peut dupliquer la suppression sur d'autres contrôleurs de domaine de la forêt. La base de données supprime l'objet désactivé à la fin de la durée de vie de l'enregistrement désactivé. Vous pouvez configurer l'intervalle de durée de vie de l'enregistrement désactivé ou garder l'intervalle par défaut de 60 jours.

6 Module 13 : Mise à jour de la base de données Active Directory!" Défragmentation de la base de données. Le processus de défragmentation réorganise l'écriture des données dans la base de données et, dans certains cas, compresse la base de données. La défragmentation peut avoir lieu automatiquement ou manuellement. Le processus de nettoyage de la mémoire utilise toujours le processus de défragmentation en ligne. Remarque Pour configurer l'intervalle de nettoyage de la mémoire et la durée de vie de l'enregistrement désactivé, utilisez ADSI Edit pour vous connecter au conteneur de configuration du contrôleur de domaine. Dans la partition de configuration, ouvrez les propriétés de Configuration/Services/Windows NT/Service d'annuaire. Dans la zone Select a property to view, cliquez sur la flèche BAS et faites défiler la liste jusqu'à l'attribut garbagecollperiod et l'attribut tombstonelifetime, puis modifiez les valeurs. La valeur par défaut apparaît comme n'étant pas configurée.

Module 13 : Mise à jour de la base de données Active Directory 7 Sauvegarde d'active Directory! Les données sur l'état du système comprennent : # Active Directory et le dossier SYSVOL sur un contrôleur de domaine # Le Registre, les fichiers de démarrage du système et la base de données d'inscription de classe sur tous les ordinateurs # La base de données Certificate Services sur les serveurs de certificats Pour sauvegarder Active Directory Démarrez l'utilitaire de sauvegarde Ouvrez l'assistant Sauvegarde Sélectionnez une méthode pour sauvegarder les données sur l'état du système L'utilitaire de sauvegarde de Windows 2000 Advanced Server dispose de plusieurs fonctionnalités qui facilitent la sauvegarde d'active Directory. Vous pouvez également intégrer la sauvegarde d'active Directory dans vos procédures de sauvegarde régulières sans interrompre le réseau ou le fonctionnement du contrôleur de domaine que vous sauvegardez. Données sur l'état du système De même, lorsque vous sauvegardez Active Directory, l'utilitaire sauvegarde automatiquement tous les composants du système et les services distribués dont dépend Active Directory. Ces données indispensables sont connues sous le nom de données sur l'état du système. Les données sur l'état du système stockées sur un contrôleur de domaine comprennent les éléments ci-dessous.!" Active Directory (uniquement sur les contrôleurs de domaine).!" Le dossier partagé SYSVOL (uniquement sur les contrôleurs de domaine). Le dossier SYSVOL est un dossier partagé qui contient les modèles Group Policy et les scripts de connexion.!" Le registre. Le registre est une base de données où sont stockées les informations sur la configuration de l'ordinateur.!" Les fichiers de démarrage du système. Les fichiers de démarrage du système sont requis lors de la phase initiale de démarrage de Windows 2000 Advanced Server.!" La base de données d'inscription de classe. L'inscription de classe est une base de données d'informations sur les applications Component Services.!" La base de données Certificate Services (si le serveur fonctionne en tant que serveur de certificats). La base de données Certificate Services contient des certificats que Windows 2000 Advanced Server utilise pour authentifier les utilisateurs.

8 Module 13 : Mise à jour de la base de données Active Directory Sauvegarde des données sur l'état du système Pour sauvegarder les données sur l'état du système, exécutez la procédure ci-dessous. 1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, sur Outils système, puis cliquez sur Sauvegarde. 2. Cliquez sur l'icône Assistant Sauvegarde pour ouvrir l'assistant Sauvegarde. 3. Appliquez l'une des trois méthodes ci-dessous pour sauvegarder les données sur l'état du système sur un ordinateur local. Dans l'assistant Sauvegarde, dans la page Que voulez-vous sauvegarder?, cliquez sur Ne sauvegarder que les données sur l'état du système. Dans l'assistant Sauvegarde, dans la page Éléments à sauvegarder, développez Poste de travail, puis activez la case à cocher État du système. Dans la boîte de dialogue Sauvegarde, dans l'onglet Sauvegarde, développez Poste de travail, puis activez la case à cocher État du système. Vous pouvez utiliser les options de sauvegarde avancées de l'utilitaire de sauvegarde pour configurer des paramètres, comme la vérification des données, la compression matérielle, les étiquettes des supports, pour décider si vous souhaitez que le travail de sauvegarde soit ajouté à un travail précédent ou pour programmer la sauvegarde afin qu'elle s'effectue de manière autonome à un autre moment. Le contrôle des données permet à l'utilitaire de sauvegarde de vérifier s'il existe des différences entre les fichiers qu'il a sauvegardés à partir du contrôleur de domaine et ceux copiés vers les supports de sauvegarde. Les résultats du contrôle sont reportés dans l'observateur d'événements. Important Pour une récupération d'urgence, sauvegardez tous les disques durs et toutes les données sur l'état du système. Pour effectuer cette sauvegarde, exécutez l'utilitaire de sauvegarde, puis, dans l'assistant Sauvegarde, dans la page Que voulez-vous sauvegarder?, cliquez sur Tout sauvegarder sur mon ordinateur.

Module 13 : Mise à jour de la base de données Active Directory 9 Instructions pour sauvegarder les données sur l'état du système Suivez les instructions ci-dessous lorsque vous sauvegardez les données sur l'état du système.!" Vous devez être autorisé à sauvegarder les fichiers et les dossiers. Les membres des groupes Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur doivent disposer, par défaut, de l'autorisation de sauvegarder des fichiers/dossiers.!" Les données sur l'état du système ne contiennent pas Active Directory sauf si le serveur sur lequel vous les sauvegardez est un contrôleur de domaine.!" Vous pouvez sauvegarder uniquement les données sur l'état du système ou les sauvegarder dans le cadre de vos procédures de sauvegarde régulières.!" Vous pouvez sauvegarder les données sur l'état du système lorsque le contrôleur de domaine est en ligne. Important Dans la mesure où l'utilitaire de sauvegarde ne prend en charge que les sauvegardes locales d'active Directory, vous devez effectuer une sauvegarde sur chaque contrôleur de domaine de l'entreprise pour sauvegarder entièrement Active Directory. Vous ne pouvez pas sauvegarder Active Directory sur un ordinateur distant sans utiliser d'outils tiers comme VERITAS.

10 Module 13 : Mise à jour de la base de données Active Directory $ Restauration d'active Directory! Définition d'une restauration non forcée! Exécution d'une restauration non forcée! Définition d'une restauration forcée! Exécution d'une restauration forcée Windows 2000 vous donne la possibilité de restaurer la base de données Active Directory si elle est endommagée ou si elle est détruite suite à une défaillance matérielle ou logicielle. Deux méthodes permettent de restaurer des données dupliquées sur un contrôleur de domaine. Vous pouvez réinstaller le contrôleur de domaine, et laisser le processus de duplication normal remplir à nouveau le nouveau contrôleur de domaine avec des données de ses réplicas, ou encore utiliser l'utilitaire de sauvegarde pour restaurer les données dupliquées à partir des supports de sauvegarde sans réinstaller le système d'exploitation ni reconfigurer le contrôleur de domaine. Deux méthodes permettent de restaurer Active Directory à partir des supports de sauvegarde, la méthode non forcée et la méthode forcée. Lorsque vous souhaitez restaurer un objet récemment supprimé dans l'état où il se trouvait avant sa suppression, effectuez une restauration forcée de cet objet. Cependant, si vous devez récupérer Active Directory après une panne matérielle, vous ne devez effectuer qu'une restauration non forcée à partir de la sauvegarde la plus récente. Après la restauration non forcée, la duplication d'active Directory commence automatiquement à propager les éventuels changements émanant des autres contrôleurs de domaine qui ont été effectués après la date de la sauvegarde.

Module 13 : Mise à jour de la base de données Active Directory 11 Définition d'une restauration non forcée! Une restauration non forcée restaure les données Active Directory dans l'état où elles se trouvaient avant la sauvegarde! Les services distribués sont restaurés à partir des supports de sauvegarde, puis les données restaurées sont mises à jour par l'intermédiaire d'une duplication! L'utilitaire de sauvegarde n'effectue qu'une restauration non forcée d'active Directory! Après la restauration d'active Directory, Windows 2000 effectue automatiquement les tâches suivantes : # Il réalise un contrôle de la cohérence et réindexe la base de données # Il met à jour Active Directory et le service FRS Une restauration non forcée restaure les données Active Directory dans l'état où elles se trouvaient avant la sauvegarde. Si un quelconque objet a été mis à jour ou supprimé avant la sauvegarde, les données restaurées seront mises à jour dans l'état actuel des objets lors de la duplication. Lors d'une restauration non forcée, les services distribués sur un contrôleur de domaine sont restaurés à partir des supports de sauvegarde et les données restaurées sont ensuite mises à jour par l'intermédiaire d'une duplication normale. Chaque partition de répertoire restaurée est mise à jour avec celle de ses partenaires de duplication. L'utilisation d'une restauration non forcée se justifie, par exemple, lorsqu'une défaillance du disque dur nécessite le remplacement du disque dur principal sur un contrôleur de domaine. Vous formatez le nouveau disque, recréez les partitions dans l'état où elles se trouvaient avant le sinistre, réinstallez Windows 2000 Advanced Server sur la partition principale, restaurez tous les fichiers de données qui se trouvaient sur l'ordinateur, puis les services distribués et notamment Active Directory dans son intégralité. L'utilitaire de sauvegarde n'effectue qu'une restauration non forcée d'active Directory. Lorsque le contrôleur de domaine est mis en ligne après une restauration non forcée, il constate que les données restaurées n'ont pas été mises à jour depuis la sauvegarde. Ainsi, une fois que vous avez restauré Active Directory, Windows 2000 exécute automatiquement les tâches suivantes :!" vérification de la cohérence et réindexation de la base de données Active Directory ;!" mise à jour d'active Directory et du service de réplication de fichiers avec des données provenant des partenaires de réplication (ou duplication).

12 Module 13 : Mise à jour de la base de données Active Directory Exécution d'une restauration non forcée! Active Directory peut être restauré pendant le remplacement d'un contrôleur de domaine défaillant et lors de la réparation d'une base de données Active Directory endommagée! La base de données Active Directory ne peut pas être exécutée lorsque vous restaurez les fichiers Active Directory! La sauvegarde des données sur l'état du système ne peut pas être plus ancienne que la durée de vie de l'enregistrement désactivé Pour effectuer une restauration non forcée e d'active Directory Redémarrez le contrôleur de domaine Sélectionnez Mode restauration des services d'annuaire Ouvrez une session sur Windows 2000 à l'aide du compte SAM Restaurez l'état du système Redémarrez normalement le contrôleur de domaine Vous pouvez effectuer une restauration non forcée d'active Directory lors du processus de remplacement d'un contrôleur de domaine défaillant et lors de la réparation d'une base de données Active Directory endommagée. Si le système d'exploitation d'un contrôleur de domaine fonctionne normalement mais que la base de données Active Directory est endommagée, vous devez redémarrer l'ordinateur, sélectionner l'option de démarrage avancée Mode restauration des services d'annuaire, puis utiliser l'utilitaire de sauvegarde pour restaurer les dernières données concernant l'état du système. Du fait qu'active Directory fait partie des données sur l'état du système sur un contrôleur de domaine, vous devez restaurer les données sur l'état du système pour restaurer Active Directory. L'utilitaire de sauvegarde ne peut pas remplacer les fichiers Active Directory lorsque Active Directory est en cours d'exécution. Ainsi, vous devez démarrer le système d'exploitation en utilisant l'option de démarrage avancée Mode restauration des services d'annuaire. Important Vous ne pouvez pas restaurer Active Directory à partir d'une sauvegarde plus ancienne que la durée de vie de l'enregistrement désactivé, soit 60 jours par défaut. Un contrôleur de domaine ne garde des traces des objets supprimés que pendant cette période. Si vous n'avez qu'un contrôleur de domaine, tous les changements effectués depuis la dernière sauvegarde sont perdus. Si vous disposez de plusieurs contrôleurs de domaine et que la date de la sauvegarde est inférieure à la durée de vie de l'enregistrement désactivé, restaurez la sauvegarde que vous possédez et laissez la duplication entre les différents contrôleurs de domaine actualiser Active Directory.

Module 13 : Mise à jour de la base de données Active Directory 13 Pour effectuer une restauration non forcée d'active Directory, exécutez la procédure ci-dessous. 1. Redémarrez le contrôleur de domaine et appuyez sur F8 pour afficher les options de démarrage avancées. 2. Sélectionnez le mode de restauration des services d'annuaire pour démarrer Windows 2000. Cependant, cette sélection ne lance pas automatiquement Active Directory. 3. Ouvrez une session sur Windows 2000 en utilisant le compte Administrateur résidant dans la base de données de compte utilisateur local sur le contrôleur de domaine. 4. Utilisez l'utilitaire de sauvegarde pour restaurer les dernières données sur l'état du système. 5. Redémarrez le contrôleur de domaine. Après le redémarrage de l'ordinateur, Windows 2000 Advanced Server effectue des contrôles de cohérence, initialise (réindexe) la base de données Active Directory et met à jour les informations d'active Directory et les données FRS à partir des partenaires de duplication de l'ordinateur. S'il existe plusieurs contrôleurs de domaine, la base de données Active Directory du contrôleur de domaine est actualisée après la duplication. Avertissement Lorsque vous restaurez les données sur l'état du système, l'utilitaire de sauvegarde efface les données sur l'état du système actuellement sur votre ordinateur et les remplace par les données sur l'état du système que vous restaurez. En fonction de l'ancienneté des données sur l'état du système, vous perdrez peut-être les changements de configuration que vous avez faits récemment sur l'ordinateur. Pour minimiser les risques de perdre les modifications apportées à votre configuration, sauvegardez ces données régulièrement.

14 Module 13 : Mise à jour de la base de données Active Directory Définition d'une restauration forcée! Une restauration forcée vous permet de marquer des informations particulières dans la base de données! Une restauration forcée se produit après une restauration non forcée! Le numéro de version de chaque objet marqué comme forcé est augmenté de 100 000 chaque jour! Le contrôleur de domaine ayant le numéro de version le plus élevé pour un même objet est dupliqué vers le contrôleur de domaine ayant le plus petit numéro de version La restauration forcée est la méthode que vous utilisez pour restaurer un objet Active Directory dans un domaine disposant de plusieurs contrôleurs de domaine. En effectuant une restauration forcée, vous pouvez marquer des informations spécifiques de la base de données comme étant récentes, et empêcher ainsi la duplication d'écraser ces informations. Lorsque vous restaurez des objets de conteneur, tous les objets de l'unité d'organisation sont également restaurés. Une restauration forcée se produit après qu'une restauration non forcée a été effectuée. Une restauration forcée sert généralement à restaurer Active Directory dans un état connu précédemment, avant, par exemple, que des objets Active Directory n'aient été supprimés par erreur. Remarque Dans la mesure où vous ne pouvez pas marquer la partition de l'annuaire Schéma comme étant forcée, les changements apportés au schéma ne peuvent pas être annulés en effectuant une restauration forcée. Lorsque vous marquez un objet comme étant forcé, il possède le numéro de version le plus élevé dans Active Directory. La version est un numéro. Ce dernier part de un et est incrémenté à chaque mise à jour d'origine effectuée sur la base de données Active Directory. Par défaut, le numéro de version de chaque objet marqué comme étant forcé est augmenté de 100 000 pour chaque jour écoulé entre le moment où la sauvegarde a été effectuée et celui où la restauration a eu lieu. L'augmentation du numéro de version garantit que, lorsqu'une duplication de cet objet se produit, la valeur restaurée de manière forcée remplace toute mise à jour effectuée depuis la sauvegarde. On suppose que l'objet n'a pas été modifié 100 000 fois par jour depuis la sauvegarde. Lors de la duplication, le numéro de version est vérifié avant le cachet pour éviter des conflits de duplication. Le numéro de version est stocké en tant que valeur 64 bits. Vous pouvez modifier le multiple par défaut pour le nouveau numéro de version.

Module 13 : Mise à jour de la base de données Active Directory 15 Lorsque deux contrôleurs de domaine ont des numéros de version différents pour un même objet, l'objet modifié portant le numéro le plus élevé se duplique sur l'autre copie de l'objet. En attribuant le numéro de version le plus élevé aux objets, vous garantissez que les mises à jour de l'objet depuis la sauvegarde n'écrasent pas la valeur forcée lors de la duplication. Seuls les changements ou les suppressions qui affectent l'objet restauré de manière forcée sont effectifs. Pour plus d'informations sur la façon dont les numéros de version sont utilisés pour faciliter la résolution des conflits de duplication, consultez le module 11, «Gestion de la duplication Active Directory» du cours 2174A, Implémentation et administration des services d'annuaire Microsoft Windows 2000. Remarque Si vous ne faites pas appel à une restauration forcée, l'objet restauré garde le numéro de version qu'il avait lors de sa sauvegarde. Tout changement apporté à l'objet après la sauvegarde, comme une suppression incorrecte, se voit attribuer un numéro de version plus élevé. La version de l'objet modifié se duplique sur la version de l'objet restauré. Si vous n'avez qu'un contrôleur de domaine, ce scénario ne s'applique pas.

16 Module 13 : Mise à jour de la base de données Active Directory Exécution d'une restauration forcée Pour effectuer une restauration forcée e d'active Directory Démarrez le contrôleur de domaine, puis sélectionnez Mode restauration des services d'annuaire Restaurez Active Directory (les données sur l'état du système), mais ne redémarrez pas l'ordinateur Exécutez Ntdsutil.exe Basculez vers l'invite authoritative restore Donnez le nom complet de l'objet Quittez Ntdsutil Redémarrez normalement le contrôleur de domaine Ntdsutil.exe est un utilitaire qui vous permet de marquer les objets Active Directory comme étant forcés afin qu'ils reçoivent un numéro de version plus élevé. Ainsi, cela empêche les données récemment modifiées sur d'autres contrôleurs de domaine d'écraser ces informations lors de la duplication. Pour exécuter une restauration forcée, exécutez la procédure ci-dessous. 1. Démarrez le contrôleur de domaine, appuyez sur F8, puis, dans le menu des options de démarrage avancées, cliquez sur Mode restauration des services d'annuaire. Vous sélectionnez ce mode parce qu'active Directory ne peut pas être exécuté au cours de cette procédure. Connectez-vous en utilisant le compte Administrateur résidant dans la base de données de compte utilisateur local sur le contrôleur de domaine. 2. Restaurez Active Directory dans son emplacement d'origine. De même, restaurez Active Directory dans un autre emplacement lorsque vous devez effectuer une restauration forcée sur le dossier SYSVOL. Servez-vous de l'utilitaire de sauvegarde pour restaurer les données sur l'état du système, mais ne redémarrez pas l'ordinateur lorsque vous y êtes invité après la restauration. 3. Ouvrez une invite et exécutez Ntdsutil.exe. 4. Basculez vers l'invite authoritative restore. À l'invite ntdsutil, tapez authoritative restore 5. À l'invite authoritative restore, tapez restore subtree nom_complet_objet Où nom_complet_objet représente le nom complet, ou chemin, de l'objet. Par exemple, si vous voulez restaurer une unité d'organisation nommée Sales, qui existe directement dans le domaine nommé contoso.msft, tapez restore subtree OU=Sales,DC=contoso,DC=msft Pour plus d'informations sur les noms d'utilisateur complets, consultez l'annexe C, «Noms LDAP», située sur le CD-ROM du stagiaire.

Module 13 : Mise à jour de la base de données Active Directory 17 6. Tapez quit et appuyez sur ENTRÉE. Retapez quit et appuyez sur ENTRÉE pour quitter ntdsutil. 7. Redémarrez le contrôleur de domaine. Lorsque vous réalisez une restauration forcée de la base de données Active Directory, ou d'une partie de la base de données Active Directory incluant des objets de stratégie de groupe, vous devez effectuer une procédure supplémentaire impliquant le dossier SYSVOL pour garantir que les éléments adéquats sont restaurés avec autorité. Lorsqu'un dossier SYSVOL a été publié par le service de réplication de fichiers, copiez le dossier SYSVOL et ne copiez que les dossiers de stratégie de groupe correspondant aux objets de stratégie de groupe restaurés à partir de l'autre emplacement sur les emplacements existants. Vous pouvez constater la réussite de la copie en vérifiant le contenu du dossier SYSVOL\domaine.

18 Module 13 : Mise à jour de la base de données Active Directory Atelier A : Sauvegarde et restauration d'active Directory Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :!" effectuer une sauvegarde de la base de données Active Directory ;!" effectuer une sauvegarde non forcée de la base de données Active Directory ;!" effectuer une restauration forcée d'active Directory. Conditions préalables Avant de poursuivre, vous devez disposer de connaissances dans les domaines suivants :!" lancement de la duplication d'active Directory ;!" création d'objets dans Active Directory. Scénario Vous vérifiez les procédures de récupération d'urgence de Northwind Traders pour Active Directory. Celles-ci traitent de la sauvegarde de données sur l'état du système sur les contrôleurs de domaine puis de leur restauration. Pour l'entreprise, il s'agit avant tout de restaurer en toute sécurité les unités d'organisation supprimées accidentellement. Durée approximative de cet atelier : 30 minutes

Exercice 1 Sauvegarde d'active Directory Scénario Module 13 : Mise à jour de la base de données Active Directory 19 Northwind Traders a entamé des procédures de récupération d'urgence. Ces procédures de sauvegarde doivent être testées pour garantir leur efficacité avant leur implémentation dans toute l'entreprise. Objectif Dans cet exercice, vous allez créer une unité d'organisation test qui sera supprimée après une sauvegarde des données sur l'état du système de l'ordinateur. Remarque : Vous travaillerez avec un partenaire et serez regroupé par domaine pour réaliser cet exercice. Tâche 1. Dans domaine.nwtraders.msft (où domaine représente le nom de votre domaine), créez l'unité d'organisation suivante : Backup_serveur (où serveur représente le nom d'hôte de votre ordinateur) Détails a. Ouvrez une session sur le domaine en tant qu'administrateur avec le mot de passe password. b. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory. c. Dans l'arborescence de la console, développez domaine.nwtraders.msft (où domaine représente le nom de votre domaine), cliquez avec le bouton droit sur domaine.nwtraders.msft, pointez sur Nouveau, puis cliquez sur Unité d'organisation. d. Dans la boîte de dialogue Nouvel objet - Unité d'organisation, dans la zone Nom, tapez Backup_serveur (où serveur représente le nom de votre ordinateur), puis cliquez sur OK. Important : Attendez que vous et votre partenaire ayez terminé la tâche 1 avant de commencer la tâche 2. 2. Amorcez une duplication avec le contrôleur de domaine de votre partenaire. a. À partir du menu Outils d'administration, ouvrez la console Sites et services Active Directory. b. Développez Sites, Premier-Site-par-Defaut, Serveurs, puis serveur et cliquez sur NTDS Settings. c. Cliquez avec le bouton droit sur l'objet connexion du serveur de votre partenaire, cliquez sur Répliquer maintenant, puis sur OK pour fermer le message indiquant la réussite de la duplication. d. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur domaine.nwtraders.msft et appuyez sur F5 pour rafraîchir l'écran. e. Vérifiez que les unités d'organisation Backup_serveur et Backup_serveur_partenaire (où serveur_partenaire représente le nom d'hôte de l'ordinateur de votre partenaire) apparaissent. Remarque : Si l'unité d'organisation de votre partenaire n'apparaît pas, recommencez les étapes c et d. f. Fermez la console Sites et services Active Directory.

20 Module 13 : Mise à jour de la base de données Active Directory (suite) Tâche 3. Démarrez la sauvegarde des données sur l'état du système de votre contrôleur de domaine dans un fichier nommé C:\Backup.bkf en utilisant la journalisation détaillée. 4. Tout en laissant le processus de sauvegarde se poursuivre en arrière-plan, déterminez l'id d'invocation pour le contrôleur de domaine qui effectuera la restauration. Détails a. Cliquez sur Démarrer, pointez successivement sur Programmes, Accessoires et Outils système, puis cliquez sur Gestion des sauvegardes. b. Dans la fenêtre Sauvegarder - [Sans nom], dans le menu Outils, cliquez sur Options. c. Dans la boîte de dialogue Options, dans l'onglet Journal de sauvegarde, cliquez sur Tous les détails pour activer la journalisation détaillée, puis cliquez sur OK. d. Dans la fenêtre Sauvegarder - [Sans nom], cliquez sur Assistant Sauvegarde. e. Dans la page Bienvenue!, cliquez sur Suivant. f. Dans la page Que voulez-vous sauvegarder?, cliquez sur Ne sauvegarder que les données sur l'état du système, puis sur Suivant. g. Dans la page Où stocker la sauvegarde?, dans la zone Nom du fichier ou média de sauvegarde :, tapez C:\Backup.bkf et cliquez sur Suivant. h. Dans la page Dernière étape de l'assistant Sauvegarde, cliquez sur Terminer. i. Passez à la tâche 4 tandis que le processus de sauvegarde se poursuit en arrière-plan. a. Ouvrez une invite. b. À l'invite, tapez repadmin /showreps serveur_restauration (où serveur_restauration représente le nom d'hôte de l'ordinateur ayant le numéro de stagiaire le plus petit de la paire) et appuyez sur ENTRÉE.

Module 13 : Mise à jour de la base de données Active Directory 21 (suite) Tâche Détails Quel est l'objectif de l'id d'invocation? Notez l'id d'invocation (ou copiez-la et collez-la dans un fichier texte) de serveur_restauration. Ces informations seront utilisées pour effectuer des comparaisons plus tard au cours d'un autre exercice. Cet ID d'invocation est-il différent d'objectguid? 5. Tout en laissant le processus de sauvegarde se poursuivre en arrière-plan, déterminez le numéro de version de Backup_serveur_restauratio n (où serveur_restauration représente le nom d'hôte de l'ordinateur ayant le numéro de stagiaire le plus petit de la paire). a. À l'invite, tapez repadmin /showmeta "ou=backup_serveur_restauration,dc=domaine,dc=nwtraders,dc= msft" et appuyez sur ENTRÉE. Quel est le numéro de version pour l'attribut name de l'unité d'organisation Backup_serveur_restauration? 5. (suite) b. Fermez la invite. 6. Une fois le processus de sauvegarde terminé, regardez le rapport et fermez l'utilitaire de sauvegarde. 7. Supprimez les deux unités d'organisation tests : Backup_serveur et Backup_serveur_partenaire (où serveur_partenaire représente le nom d'hôte de l'ordinateur de votre partenaire). a. Dans l'utilitaire de sauvegarde, dans la boîte de dialogue Sauvegarde en cours, cliquez sur Rapport. b. Examinez le journal de sauvegarde pour visualiser les fichiers faisant partie de l'état du système d'un contrôleur de domaine, puis fermez le fichier journal. c. Dans la boîte de dialogue Sauvegarde en cours, cliquez sur Fermer, puis fermez l'utilitaire de sauvegarde. a. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur Backup_serveur, appuyez sur SUPPR, puis cliquez sur Oui pour fermer le message confirmant la suppression. b. Cliquez sur Backup_serveur_partenaire, appuyez sur SUPPR puis cliquez sur Oui pour fermer le message confirmant la suppression. c. Fermez la console Utilisateurs et ordinateurs Active Directory.

22 Module 13 : Mise à jour de la base de données Active Directory Exercice 2 Restauration d'active Directory Scénario Northwind Traders a entamé des procédures de récupération d'urgence. Les procédures de restauration, et notamment la restauration forcée, doivent être testées avant d'être implémentées dans toute l'entreprise. Objectif Dans cet exercice, vous allez restaurer la sauvegarde la plus récente avant de supprimer les unités d'organisation tests. Pour l'une des unités d'organisation tests, vous allez effectuer une restauration forcée. Remarque : Seul le contrôleur de domaine ayant le numéro de stagiaire le plus petit de la paire est utilisé dans cet exercice. Ce contrôleur de domaine est désigné comme serveur de restauration. Tâche Détails Important : N'effectuez cet exercice que sur le contrôleur de domaine désigné comme serveur de restauration. 1. Redémarrez votre contrôleur de domaine en mode de restauration d'active Directory, puis ouvrez une session en tant qu'administrateur. 2. Restaurez l'état du système de votre contrôleur de domaine à partir d'un fichier nommé C:\Backup.bkf a. Fermez toutes les applications ouvertes et redémarrez votre contrôleur de domaine. b. Lorsque le menu Choisissez le système d'exploitation à démarrer ou le message «Pressez F8 pour la résolution de problèmes et les options de démarrage avancées» apparaît en bas de l'écran, appuyez sur F8. c. Dans l'écran Menu d'options avancées de Windows 2000, sélectionnez Mode restauration Active Directory (contrôleurs de dom. Windows 2000), puis appuyez sur ENTRÉE. d. Ouvrez une session sur votre domaine en tant qu'administrateur avec le mot de passe password, puis cliquez sur OK pour fermer le message indiquant que Windows s'exécute en mode sans échec. a. Ouvrez l'utilitaire de sauvegarde Windows. b. Dans la fenêtre Sauvegarder - [Sans nom], dans l'onglet Bienvenue, cliquez sur Assistant Restauration pour démarrer l'assistant Restauration. c. Dans la page d'accueil de l'assistant Restauration, cliquez sur Suivant. d. Dans la page Que voulez-vous restaurer?, développez Fichier, puis Média créé le, activez la case à cocher État du Système, puis cliquez sur Suivant. e. Dans la page Fin de l'assistant Restauration, cliquez sur Terminer. f. Dans la boîte de dialogue Entrez le nom du fichier de sauvegarde, dans la zone Restaurer à partir du fichier de sauvegarde, tapez C:\Backup.bkf et cliquez sur OK. g. Une fois le processus de restauration terminé, cliquez sur Fermer, cliquez sur Non pour fermer le message demandant de redémarrer votre ordinateur, puis fermez l'utilitaire de sauvegarde.

Module 13 : Mise à jour de la base de données Active Directory 23 (suite) Tâche 3. Une fois le processus de restauration terminé, marquez l'unité d'organisation Backup_serveur_restauration comme devant faire l'objet d'une restauration forcée. Détails a. Ouvrez une invite. b. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE. c. À l'invite ntdsutil, tapez authoritative restore et appuyez sur ENTRÉE. d. À l'invite authoritative restore, tapez? et appuyez sur ENTRÉE. Passez en revue les options disponibles. 4. Redémarrez le contrôleur de domaine et ouvrez une session en tant qu'administrateur. e. À l'invite authoritative restore, tapez restore subtree "ou=backup_serveur_restauration,dc=domaine,dc=nwtraders,dc=m sft" et appuyez sur ENTRÉE. Cliquez ensuite sur Oui pour fermer le message confirmant la restauration faisant autorité. f. À l'invite authoritative restore, tapez quit et appuyez sur ENTRÉE pour revenir au menu précédent. g. À l'invite ntdsutil, tapez quit et appuyez sur ENTRÉE pour quitter ntdsutil. a. Fermez l'invite, puis redémarrez l'ordinateur. b. Ouvrez une session sur le domaine en tant qu'administrateur avec le mot de passe password.

24 Module 13 : Mise à jour de la base de données Active Directory Exercice 3 Vérification d'une restauration d'active Directory Scénario Northwind Traders a entamé des procédures de récupération d'urgence. Les procédures de vérification d'une restauration forcée et non forcée doivent être testées avant d'être implémentées dans toute l'entreprise. Objectif Dans cet exercice, vous allez constater la réussite de l'opération de restauration en examinant les données forcées et non forcées. Tâche Détails 1. Amorcez une réplication avec le contrôleur de domaine de votre partenaire. a. Ouvrez la console Sites et services Active Directory, développez successivement Sites, Default-First-Site, Servers, serveur puis cliquez sur NTDS Settings. b. Cliquez avec le bouton droit sur l'objet connexion du serveur de votre partenaire, cliquez sur Répliquer maintenant puis sur OK pour fermer le message indiquant le démarrage de la réplication. Remarque : Si un message d'erreur déclarant que le service RPC n'est pas disponible apparaît, attendez un moment puis répétez l'étape c. L'exécution de tous les services nécessaires peut prendre du temps après le redémarrage de l'ordinateur. c. Fermez la console Sites et services Active Directory. d. Ouvrez la console Utilisateurs et ordinateurs Active Directory, cliquez sur domaine.nwtraders.msft, puis appuyez sur F5 pour rafraîchir l'écran. Quelles sont les unités d'organisation Backup_serveur toujours présentes dans Active Directory après la duplication avec l'ordinateur de votre partenaire? Pour quelles raisons? 1. (suite) e. Fermez la console Utilisateurs et ordinateurs Active Directory. 2. Déterminez les éventuels changements apportés à l'id d'invocation du contrôleur de domaine qui a effectué la restauration. a. À l'invite, tapez repadmin /showreps serveur_restauration et appuyez sur ENTRÉE.

Module 13 : Mise à jour de la base de données Active Directory 25 (suite) Tâche Détails L'ID d'invocation de serveur_restauration a-t-il la même valeur qu'avant la restauration? Cet ID d'invocation est-il différent d'objectguid? 3. Déterminez les éventuels changements apportés au numéro de version de Backup_serveur_restauration et déconnectez-vous. a. À l'invite, tapez repadmin /showmeta "ou=backup_serveur_restauration,dc=domaine,dc=nwtraders,dc=m sft" et appuyez sur ENTRÉE. Quel est le numéro de version pour l'attribut name de l'unité d'organisation Backup_serveur_restauration? 3. (suite) b. Fermez la invite et toutes les fenêtres actives, puis fermez la session.

26 Module 13 : Mise à jour de la base de données Active Directory Déplacement de la base de données Active Directory Pour déplacer la base de données Active Directory Sauvegardez Active Directory Basculez vers l'invite files Redémarrez le contrôleur de domaine, puis sélectionnez Mode restauration des services d'annuaire Ouvrez une session en utilisant le compte SAM Déplacez la base de données en tapant move DB to <lecteur>:\<répertoire> Tapez deux fois quit pour revenir à l'invite Exécutez la commande ntdsutil Redémarrez normalement le contrôleur de domaine Vous utilisez l'utilitaire de ligne de commande ntdsutil en mode restauration des services d'annuaire pour déplacer la base de données d'un emplacement à un autre sur le disque. L'utilitaire de ligne de commande ntdsutil déplace les fichiers de base de données puis met à jour les clés du registre afin qu'active Directory redémarre depuis un autre emplacement. Pour déplacer la base de données Active Directory, exécutez la procédure ci-dessous. 1. Sauvegardez Active Directory par mesure de précaution. Vous pouvez sauvegarder Active Directory tout en restant connecté, si, dans l'assistant Backup, vous avez sélectionné soit l'option proposant de tout sauvegarder sur l'ordinateur, soit l'option proposant de sauvegarder les données sur l'état du système. 2. Redémarrez le contrôleur de domaine, appuyez sur F8 pour afficher le menu Menu d'options avancées de Windows 2000, sélectionnez Mode restauration des services d'annuaire, puis appuyez sur ENTRÉE. 3. Ouvrez une session en utilisant le compte Administrateur et le mot de passe défini pour le compte Administrateur local dans le Gestionnaire des comptes de sécurité (SAM, Security Accounts Manager). 4. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE. 5. Tapez files et appuyez sur ENTRÉE. Cette action vous renvoie à l'invite files, afin que vous puissiez gérer le fichier de base de données Ntds.dit.

Module 13 : Mise à jour de la base de données Active Directory 27 6. Après avoir défini un emplacement possédant suffisamment d'espace disque pour stocker la base de données, tapez la commande suivante et appuyez sur ENTRÉE : move DB to <lecteur>:\<répertoire> où <lecteur> et <répertoire> représentent le chemin de l'emplacement où vous voulez placer la base de données. Remarque Vous devez spécifier un chemin. Si le chemin contient des espaces, il doit être encadré par de guillemets, par exemple «C:\Nouveau dossier». La base de données nommée Ntds.dit est déplacée dans l'emplacement que vous avez spécifié. 7. Tapez quit et appuyez sur ENTRÉE. Pour retourner à l'invite, retapez quit 8. Redémarrez le contrôleur de domaine. Remarque Vous pouvez également déplacer les fichiers journaux de transaction. La commande Move logs to <lecteur>:\<répertoire> déplace les fichiers journaux de transaction dans un nouveau répertoire spécifié par <lecteur>:\<répertoire> et met à jour les clés de registre afin que le service d'annuaire redémarre depuis le nouvel emplacement.

28 Module 13 : Mise à jour de la base de données Active Directory $ Défragmentation de la base de données Active Directory! Définition de la défragmentation! Défragmentation d'une base de données La fragmentation se produit avec le temps à mesure que des enregistrements sont supprimés de la base de données Active Directory et que d'autres y sont ajoutés. Lorsque les enregistrements sont fragmentés, l'ordinateur doit parcourir la base de données Active Directory à chaque fois qu'elle est ouverte pour les trouver tous. Le temps de réponse s'en trouve donc ralenti. La fragmentation dégrade également les performances globales des opérations de la base de données Active Directory. Pour éviter ce problème de fragmentation, vous défragmentez la base de données Active Directory. La défragmentation consiste à réécrire les enregistrements de la base de données Active Directory dans des secteurs contigus pour augmenter la vitesse d'accès et de récupération. Lorsque des enregistrements sont mis à jour, ces mises à jour sont sauvegardées sur les espaces contigus les plus grands de la base de données Active Directory.

Module 13 : Mise à jour de la base de données Active Directory 29 Définition de la défragmentation! Une défragmentation réorganise les données stockées dans la base de données Active Directory! Une défragmentation peut se produire en ligne ou hors connexion! Une défragmentation en ligne réorganise efficacement les pages dans la base de données Réorganise! Une défragmentation hors connexion permet de réorganiser des pages dans la base de données et de créer une version compressée du fichier de base de données Nouvelle La défragmentation réorganise et compresse le stockage des données dans la base de données Active Directory. Pour mettre à jour le fichier de base de données d'active Directory, le moteur ESE met à jour rapidement la base de données. Cependant, il n'utilise pas l'espace de la base de données de la manière la plus efficace. Active Directory réécrit donc des parties de la base de données sur des secteurs contigus du disque. Il augmente ainsi la vitesse à laquelle les utilisateurs peuvent accéder aux données et les récupérer. Par exemple, les données sont écrites sur des pages numérotées de 1 à 100. Par la suite, certaines données figurant sur les pages 12, 55 et 87 sont supprimées. Ces pages redeviennent donc vierges. La prochaine fois que des données seront écrites, elles le seront sur les pages 12, 55 et 87. Le temps de réponse en sera donc ralenti. Cependant, si vous défragmentez la base de données Active Directory, les pages 12, 55 et 87 seront regroupées. Toutes les données seront donc placées sur des pages numérotées de 1 à 97 ; les pages 98, 99 et 100 resteront vierges et pourront accueillir de nouvelles données. Il est donc nécessaire d'effectuer une défragmentation de la base de données pour utiliser avec efficacité l'espace qui lui est attribué. La défragmentation peut avoir lieu en ligne, lorsque l'ordinateur fonctionne en tant que contrôleur de domaine, ou hors connexion lorsqu'il fonctionne en tant que serveur autonome.

30 Module 13 : Mise à jour de la base de données Active Directory Défragmentation en ligne La défragmentation en ligne réorganise avec efficacité les pages dans la base de données. Active Directory effectue automatiquement une défragmentation en ligne de la base de données à certains intervalles, toutes les 12 heures par défaut, dans le cadre du processus de nettoyage de la mémoire. La défragmentation en ligne ne réduit pas la taille du fichier de base de données Ntds.dit, mais optimise le stockage des données dans la base de données et optimise l'espace du répertoire pour de nouveaux objets. Défragmentation hors connexion Une défragmentation hors connexion permet de réorganiser des pages dans la base de données et de créer une version compressée du fichier de base de données. En fonction de la fragmentation du fichier de base de données d'origine, le nouveau fichier peut être bien plus petit que l'original. Ce nouveau fichier est stocké dans un autre répertoire choisi lorsque l'utilitaire est exécuté. Le fichier de base de données d'origine reste dans le même emplacement. Le seul changement apporté au fichier de base de données d'origine est qu'il est d'abord soumis à une restauration logicielle. Une restauration logicielle écrit toutes les transactions écrites dans les fichiers journaux avant la compression, afin que le nouveau fichier compressé corresponde aux fichiers journaux et au fichier de contrôle. Une défragmentation hors connexion de la base de données s'effectue manuellement.

Module 13 : Mise à jour de la base de données Active Directory 31 Défragmentation d'une base de données Pour défragmenter une base de données Active Directory hors connexion Sauvegardez Active Directory Redémarrez le contrôleur de domaine Sélectionnez Mode restauration des services d'annuaire Ouvrez une session en utilisant le compte SAM Exécutez la commande ntdsutil Basculez vers l'invite files Compressez la base de données en tapant compact to <lecteur>:\<répertoire> Tapez deux fois quit pour revenir à l'invite Copiez le nouveau fichier NTDS.DIT sur l'ancien fichier NTDS.DIT Redémarrez normalement le contrôleur de domaine La défragmentation en ligne s'effectue automatiquement lors du processus de nettoyage de la mémoire. La défragmentation hors connexion doit être effectuée manuellement. Elle n'est nécessaire que si vous souhaitez créer une version compressée du fichier de base de données d'origine. Pour défragmenter une base de données Active Directory hors connexion, exécutez la procédure ci-dessous. 1. Sauvegardez Active Directory par mesure de précaution. 2. Redémarrez le contrôleur de domaine et appuyez sur F8 pour afficher le menu Menu d'options avancées de Windows 2000. 3. Sélectionnez Mode restauration des services d'annuaire, puis appuyez sur ENTRÉE. 4. Ouvrez une session en utilisant le compte Administrateur et son mot de passe tels que stockés dans la base SAM hors connexion. 5. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE. 6. Tapez files et appuyez sur ENTRÉE. Cette action vous renvoie à l'invite files afin que vous puissiez gérer le fichier de base de données NTDS.

32 Module 13 : Mise à jour de la base de données Active Directory 7. Définissez un emplacement ayant suffisamment d'espace disque pour stocker la base de données compressée. Tapez ce qui suit et appuyez sur ENTRÉE : compact to <lecteur>:\<répertoire> où <lecteur> et <répertoire> représentent le chemin de l'emplacement. Remarque Vous devez spécifier un chemin. Si le chemin contient des espaces, il doit être encadré par des guillemets, par exemple «C:\Nouveau dossier». Une nouvelle base de données nommée Ntds.dit est créée dans le chemin que vous avez spécifié. 8. Tapez quit et appuyez sur ENTRÉE. Pour retourner à l'invite, retapez quit 9. Copiez le nouveau fichier Ntds.dit sur l'ancien fichier Ntds.dit dans le chemin actuel de la base de données Active Directory que vous avez noté à l'étape 6. 10. Redémarrez le contrôleur de domaine.

Module 13 : Mise à jour de la base de données Active Directory 33 Atelier B : Mise à jour de la base de données Active Directory Objectifs À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :!" effectuer une défragmentation hors connexion de la base de données Active Directory ;!" effectuer des contrôles d'intégrité et des analyses sémantiques de la base de données Active Directory ;!" déplacer la base de données Active Directory ;!" rediriger Active Directory pour utiliser le fichier de base de données situé dans un dossier différent. Conditions préalables Avant de poursuivre, vous devez savoir comment utiliser les options de démarrage avancées de Windows 2000. Expliquez les objectifs de l'atelier. Durée approximative de cet atelier : 30 minutes

34 Module 13 : Mise à jour de la base de données Active Directory Exercice 1 Réalisation d'une défragmentation hors connexion Scénario Northwind Traders n'avait pas prévu au départ quels contrôleurs de domaine serviraient de serveurs de catalogue global. Ainsi, trop de contrôleurs de domaine ont été désignés comme serveurs de catalogue global. Dès que Northwind Traders a pris conscience de ce problème, la société a défini un nombre adéquat de serveurs de catalogue global. Un grand nombre de contrôleurs de domaine utilisés comme serveurs de catalogue global l'ont donc été à nouveau comme contrôleurs de domaine. Un programme de maintenance a été mis en place pour déconnecter des contrôleurs de domaine, et effectuer une défragmentation hors connexion ainsi que d'autres contrôles de maintenance de la base de données sur ces contrôleurs de domaine. Ces contrôles étaient avant tout destinés à récupérer de l'espace disque pour réduire la taille du fichier de base de données Ntds.dit. Les données sur l'état du système du contrôleur de domaine étaient déjà sauvegardées en vue de cette tâche. Objectif Dans cet exercice, vous allez déplacer la base de données sur votre contrôleur de domaine puis effectuer une défragmentation hors connexion. Vous récupérerez ainsi l'espace disque utilisé par les informations de catalogue global. Vous effectuerez un contrôle d'intégrité ainsi qu'une analyse sémantique sur la base de données défragmentée. Vous reconfigurerez Active Directory pour utiliser ce fichier de base de données sans supprimer les fichiers d'origine. Lorsque la nouvelle base de données aura été mise en ligne, vous supprimerez les anciens fichiers de base de données. Tâche 1. Redémarrez votre contrôleur de domaine en mode de restauration d'active Directory, puis ouvrez une session en tant qu'administrateur. 2. Définissez la taille actuelle du fichier de base de données en utilisant l'utilitaire ntdsutil. Détails a. Ouvrez une session sur le domaine en tant qu'administrateur avec le mot de passe password. b. Redémarrez votre contrôleur de domaine. c. Lorsque le message «Pressez F8 pour la résolution de problèmes et les options de démarrage avancées» s'affiche en bas de l'écran, appuyez sur F8. d. Dans l'écran Menu d'options avancées de Windows 2000, sélectionnez Mode restauration Active Directory (contrôleurs de dom. Windows 2000), puis appuyez sur ENTRÉE. e. Si vous y êtes invité par le système d'exploitation, sélectionnez Microsoft Windows 2000 Advanced Server puis appuyez sur ENTRÉE. f. Ouvrez une session en tant qu'administrateur avec le mot de passe password et cliquez sur OK pour fermer le message indiquant que Windows est exécuté en mode sans échec. a. Ouvrez une invite. b. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE. c. À l'invite ntdsutil, tapez files et appuyez sur ENTRÉE pour basculer vers le menu file maintenance. d. À l'invite file maintenance, tapez info et appuyez sur ENTRÉE pour afficher la taille des fichiers de base de données.

Module 13 : Mise à jour de la base de données Active Directory 35 (suite) Tâche Détails Quelle est la taille du fichier Ntds.dit? Quel est l'emplacement de la base de données, du répertoire de sauvegarde, du répertoire de travail et du répertoire de journaux? 3. Déplacez la base de données et les fichiers journaux dans C:\2174_original. 4. Effectuez une défragmentation hors connexion de la base de données sur C:\Winnt\n=Ntds. 5. Redirigez le chemin des services d'annuaire vers : base de données : C:\Winnt\Ntds\Ntds.dit ; répertoire de sauvegarde : C:\Winnt\Ntds\ Dsadata.bak ; répertoire de travail : C:\Winnt\Ntds ; répertoire de journaux : C:\Winnt\Ntds. a. À l'invite file maintenance, tapez move db to c:\2174_original et appuyez sur ENTRÉE pour déplacer les fichiers de base de données dans cet autre emplacement. b. À l'invite file maintenance, tapez move logs to c:\2174_original et appuyez sur ENTRÉE pour déplacer les fichiers journaux dans cet autre emplacement. c. À l'invite file maintenance, tapez info et appuyez sur ENTRÉE pour vérifier que les chemins ont également été mis à jour. a. À l'invite file maintenance, tapez compact to c:\winnt\ntds et appuyez sur ENTRÉE pour défragmenter la base de données. a. À l'invite file maintenance, tapez set path db c:\winnt\ntds\ntds.dit et appuyez sur ENTRÉE. b. À l'invite file maintenance, tapez set path backup c:\winnt\ntds\dsadata.bak et appuyez sur ENTRÉE. c. À l'invite file maintenance, tapez set path working dir c:\winnt\ntds et appuyez sur ENTRÉE. d. À l'invite file maintenance, tapez set path logs c:\winnt\ntds et appuyez sur ENTRÉE. e. À l'invite file maintenance, tapez info et appuyez sur ENTRÉE pour vérifier que les chemins ont été définis correctement.

36 Module 13 : Mise à jour de la base de données Active Directory (suite) Tâche Détails Quelle est la taille du fichier Ntds.dit défragmenté? Est-elle inférieure à celle du fichier Ntds.dit d'origine? 6. Effectuez un contrôle d'intégrité et une analyse sémantique de la base de données sur le fichier de base de données défragmenté. Consultez le journal de résumé créé par l'analyse sémantique de la base de données. 7. Redémarrez le contrôleur de domaine, ouvrez une session, vérifiez le bon fonctionnement d'active Directory, supprimez les fichiers de base de données d'origine, puis fermez la session. a. À l'invite file maintenance, tapez integrity et appuyez sur ENTRÉE pour lancer le contrôle d'intégrité de la base de données. Un message indique que l'opération a été un succès. b. À l'invite file maintenance, tapez quit et appuyez sur ENTRÉE pour revenir à l'invite ntdsutil. c. À l'invite ntdsutil, tapez semantic database analysis et appuyez sur ENTRÉE pour aller à l'invite semantic checker. d. À l'invite semantic checker, tapez go et appuyez sur ENTRÉE pour lancer l'analyse sémantique de la base de données. Un message désigne le fichier où est stocké le résumé des résultats. Le fichier sera utilisé à l'étape g. e. À l'invite semantic checker, tapez quit et appuyez sur ENTRÉE pour revenir à l'invite ntdsutil. f. À l'invite ntdsutil, tapez quit et appuyez sur ENTRÉE pour revenir à l'invite. g. À l'invite, tapez notepad dsdit_fichier (où dsdit_fichier représente le fichier journal désigné par l'analyse sémantique de la base de données à l'étape d) et appuyez sur ENTRÉE. h. Consultez le résumé, fermez le Bloc-notes puis supprimez le fichier journal. a. Fermez l'invite, puis redémarrez l'ordinateur. b. Ouvrez une session sur le domaine en tant qu'administrateur avec le mot de passe password. c. Ouvrez l'observateur d'événements, puis cliquez sur Directory Service. d. Vérifiez qu'aucune erreur récente n'a été enregistrée depuis le redémarrage, puis fermez l'observateur d'événements. e. S'il n'y a pas d'erreurs Active Directory, supprimez le fichier nommé C:\2174_original pour libérer l'espace disque actuellement utilisé par les fichiers de base de données d'origine. f. Fermez toutes les fenêtres, puis la session.

Module 13 : Mise à jour de la base de données Active Directory 37 Conseils pratiques L'intervalle de durée de vie de l'enregistrement désactivé ne doit pas être réduit Séparez les fichiers de base de données et les fichiers journaux Sauvegardez fréquemment les données sur l'état du système des contrôleurs de domaine N'effectuez une défragmentation hors connexion que si vous récupérez un volume d'espace disque significatif La liste ci-dessous fournit des conseils pratiques en matière d'implémentation de la récupération d'urgence dans Active Directory.!" L'intervalle de la durée de vie de l'enregistrement désactivé ne doit pas être réduit. Lors de la restauration d'un contrôleur de domaine, l'utilitaire de sauvegarde compare la durée de vie de l'enregistrement désactivé à la date de sauvegarde et ne restaure pas les données sur l'état du système si la sauvegarde est plus ancienne que la durée de vie des enregistrements désactivés. Le contrôleur de domaine restauré n'est pas conscient des suppressions à l'origine du retrait de ses enregistrements désactivés. Ainsi, il peut y avoir des inconsistances entre les différents contrôleurs de domaine. Il est donc conseillé de paramétrer la durée de vie de l'enregistrement désactivé à une valeur supérieure à celle de la latence de la duplication ou de l'intervalle de sauvegarde, quelle que soit la plus importante des deux.!" Séparez les fichiers de base de données et les fichiers journaux. Déplacez la base de données et les fichiers journaux sur des disques durs distincts pour les empêcher d'être en concurrence avec les entrées/sorties du système d'exploitation. De même, déplacez les fichiers journaux et de base de données sur des disques durs distincts pour séparer leurs entrées/sorties respectives.

38 Module 13 : Mise à jour de la base de données Active Directory!" Sauvegardez fréquemment les données sur l'état du système des contrôleurs de domaine afin de restaurer les données les plus actuelles. Sauvegardez-les au moins chaque semaine, après l'installation d'un nouveau logiciel, après des changements de configuration ou après l'ajout d'objets dans Active Directory. Même si votre domaine possède plusieurs contrôleurs de domaine pouvant dupliquer Active Directory, plusieurs sinistres peuvent se produire.!" N'effectuez une défragmentation hors connexion que si vous récupérez un volume d'espace disque significatif que vous pouvez utiliser pour d'autres tâches. Par exemple, si le contrôleur de domaine a déjà été désigné comme serveur de catalogue global pour une forêt de domaine multiple mais a été supprimé par la suite, vous pouvez libérer un volume d'espace disque significatif en utilisant la méthode de défragmentation hors connexion.

Module 13 : Mise à jour de la base de données Active Directory 39 Contrôle des acquis! Présentation de la mise à jour de la base de données Active Directory! Processus de modification des données dans Active Directory! Processus de nettoyage de la mémoire! Sauvegarde d'active Directory! Restauration d'active Directory! Déplacement de la base de données Active Directory! Défragmentation de la base de données Active Directory! Conseils pratiques 1. Quel est l'objectif du processus de nettoyage de la mémoire? 2. Quel est l'objectif de la durée de vie de l'enregistrement désactivé et en quoi cela affecte-t-il l'opération de restauration? 3. Lorsque vous démarrez l'un des contrôleurs de domaine de votre domaine, vous recevez un message d'erreur indiquant qu'active Directory ne peut pas démarrer car sa base de données est endommagée. Que devez-vous faire pour restaurer la base de données Active Directory et comment vous assurez-vous qu'elle est actualisée?

40 Module 13 : Mise à jour de la base de données Active Directory 4. Quelqu'un a mal supprimé une unité d'organisation dans Active Directory. Que devez-vous faire? 5. Vous envisagez de défragmenter la base de données Active Directory. Quelle précaution devez-vous prendre afin que la base de données d'origine ne soit pas supprimée en cas de problème au cours de la défragmentation? 6. Quel type de défragmentation effectueriez-vous pour créer une version compressée du fichier de base de données?