Module 13 : Mise à jour de la base de données Active Directory

Table des matières

Vue d'ensemble 1

Présentation de la mise à jour de la

base de données Active Directory 2 Processus de modification des données

dans Active Directory 3

Processus de nettoyage de la mémoire 5 Sauvegarde d'Active Directory 7 Restauration d'Active Directory 10 Atelier A : Sauvegarde et restauration

d'Active Directory 18

Déplacement de la base de données

Active Directory 26

Défragmentation de la base de données

Active Directory 28

Atelier B : Mise à jour de la base de

données Active Directory 33

Conseils pratiques 37

Contrôle des acquis 39

Module 13 : Mise à jour

de la base de données

Active Directory

Les informations contenues dans ce document pourront faire l'objet de modifications sans préavis.

Sauf mention contraire, les sociétés, les noms et les données utilisés dans les exemples sont fictifs.

L'utilisateur est tenu d'observer la réglementation relative aux droits d'auteur applicable dans son pays. Aucune partie de ce manuel ne peut être reproduite ou transmise à quelque fin ou par quelque moyen que ce soit, électronique ou mécanique, sans la permission expresse et écrite de Microsoft Corporation. Si toutefois, votre seul moyen d'accès est électronique, le présent document vous autorise une et une seule copie.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle.

 2000 Microsoft Corporation. Tous droits réservés.

Microsoft, Active Directory, BackOffice, FrontPage, IntelliMirror, PowerPoint, Visual Basic, Visual Studio, Win32, Windows, Windows Media et Windows NT sont soit des marques déposées de Microsoft Corporation, soit des marques de Microsoft Corporation aux États-Unis d'Amérique et/ou dans d'autres pays.

Les autres noms de produit et de société mentionnés dans ce document sont des marques de leurs propriétaires respectifs.

Chef de projet : Mark Johnson

Concepteurs pédagogiques : Aneetinder Chowdhry (NIIT [USA] Inc.), Bhaskar Sengupta (NIIT [USA] Inc.)

Directeur de programme : Paul Adare (FYI TechKnowlogy Services) Responsable de programme : Gregory Weber (Volt Computer Services) Consultants techniques : Jeff Clark, Chris Slemp

Graphiste : Julie Stone (indépendante) Responsable d'édition : Lynette Skinner Éditeur : Jeffrey Gilbert

Correctrice : Kaarin Dolliver (S&T Consulting) Responsables des tests : Sid Benavente, Keith Cotton Développeur des tests : Greg Stemp (S&T OnSite)

Ingénieurs-testeurs du cours : Jeff Clark, H. James Toland III Responsable de programme en ligne : Debbi Conger Responsable des publications en ligne : Arlo Emerson (Aditi) Assistance en ligne : David Myka (S&T Consulting)

Développement des présentations multimédias : Kelly Renner (Entex) Test du cours : Data Dimensions, Inc.

Assistance à la production : Irene Barnett (S&T Consulting) Responsable de la fabrication : Rick Terek

Assistance à la fabrication : Laura King (S&T OnSite) Responsable produit, Services de développement : Bo Galford Responsables produit : Gerry Lang, Julie Truax

Directeur de l'unité produit : Robert Stewart

Vue d'ensemble

! Présentation de la mise à jour de la base de données Active Directory

! Processus de modification des données dans Active Directory

! Processus de nettoyage de la mémoire

! Sauvegarde d'Active Directory

! Restauration d'Active Directory

! Déplacement de la base de données Active Directory

! Défragmentation de la base de données Active Directory

! Conseils pratiques

Le service d'annuaire Active Directory^™ de Microsoft^® Windows^® 2000 stocke ses informations dans une base de données transactionnelle. Il peut ainsi garantir l'intégrité des données après un sinistre. Les causes de sinistres informatiques vont de la panne matérielle à la perte d'un système complet, en cas d'incendie par exemple. La base de données Active Directory utilise des fichiers journaux de transaction pour récupérer des informations concernant les données endommagées. Après leur récupération, Active Directory utilise la duplication pour récupérer des données à partir d'autres contrôleurs de domaine du domaine. Les interactions entre les différents composants d'Active Directory servent de base à la manière dont Active Directory sauvegarde et récupère des données.

Il est essentiel de sauvegarder et de restaurer les données pour mettre à jour la base de données Active Directory. Vous pouvez sauvegarder et restaurer Active Directory en utilisant l'interface utilisateur graphique et les outils de ligne de commande fournis avec Windows 2000 Advanced Server.

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :

!"décrire l'importance de la mise à jour de la base de données Active

Directory ;

!"décrire le processus de modification des données dans Active Directory ;

!"décrire le processus de nettoyage de la mémoire dans Active Directory ;

!"sauvegarder les données sur l'état du système à l'aide de l'utilitaire de

sauvegarde ;

!"restaurer Active Directory en restaurant les données sur l'état du système ;

!"déplacer la base de données Active Directory ;

!"défragmenter la base de données Active Directory ;

!"mettre à jour la base de données Active Directory en respectant les conseils

pratiques.

Présentation de la mise à jour de la base de données Active Directory

Sauvegarde d'Active Sauvegarde d'Active

Directory

Directory Restauration d'ActiveRestauration d'Active Directory Directory

Défragmentation Défragmentation Déplacement

Déplacement de la base de de la base de données

données

La mise à jour de la base de données Active Directory est une tâche

administrative importante qui doit être effectuée régulièrement pour faciliter la récupération des données perdues ou endommagées, ainsi que la réparation de la base de données Active Directory. Lorsque des contrôleurs de domaine ne fonctionnent pas du fait de problèmes matériels ou logiciels, les utilisateurs peuvent avoir des difficultés à accéder aux ressources dont ils ont besoin ou à se connecter au réseau. Windows 2000 Advanced Server permet d'effectuer les tâches ci-dessous pour mettre à jour la base de données Active Directory.

!"Sauvegarde d'Active Directory. Vous pouvez utiliser l'utilitaire de

sauvegarde de Windows 2000 pour sauvegarder des informations dans Active Directory. Les informations d'Active Directory sont sauvegardées avec les données sur l'état du système.

!"Restauration d'Active Directory. Lorsqu'Active Directory est endommagé

ou supprimé, ses objets sont modifiés ou disparaissent. Vous pouvez également utiliser l'utilitaire de sauvegarde pour restaurer Active Directory car il fait partie des données sur l'état du système.

!"Déplacement de la base de données Active Directory. Vous déplacez une

base de données lorsque vous la défragmentez. Le déplacement de la base de données ne supprime pas la base de données d'origine. Vous pouvez donc utiliser cette dernière au cas où la base de données défragmentée ne

fonctionne pas ou soit endommagée. De même, si votre espace disque est limité, vous pouvez ajouter un autre disque dur et déplacer la base de données sur ce nouveau disque.

!"Défragmentation de la base de données. Des mises à jour fréquentes de la

base de données entraînent une mauvaise utilisation de l'espace de la base de données. La défragmentation de la base de données peut réorganiser les données et parfois même réduire la taille du fichier.

Processus de modification des données dans Active Directory

Moteur ESE Moteur ESE

Ntds.dit Ntds.dit Edb.log

Edb.log Mémoire

Mémoire Edb.chkEdb.chk

Ajout, modification, suppression Ajout, modification,

suppression

Fichier de contrôle Fichier de

contrôle 11

22

44

33

Dans Active Directory, chaque requête effectuée pour ajouter, modifier ou effacer un objet ou un attribut est traitée comme une transaction individuelle.

Une transaction est un ensemble de changements, comme des insertions, des effacements et des mises à jour, agissant en tant qu'unité atomique.

Active Directory possède son propre moteur de base de données, le moteur ESE (Extensible Storage Engine), qui stocke tous les objets Active Directory. Le moteur ESE utilise un concept de transactions et des fichiers journaux pour garantir l'intégrité de la base de données Active Directory.

Fichiers d'Active Directory

Active Directory inclut les fichiers décrits ci-dessous.

!"Ntds.dit. Ce fichier unique est la base de données Active Directory ; il

stocke tous les objets Active Directory sur le contrôleur de domaine.

L'extension .dit signifie arborescence d'informations de l'annuaire.

L'emplacement par défaut est le dossier racine_système\NTDS. Dans Active Directory, chaque transaction est enregistrée dans un ou plusieurs fichiers journaux de transaction associés au fichier Ntds.dit.

!"Edb*.log.Il s'agit d'un fichier journal de transaction. Le fichier journal de

transaction se nomme par défaut Edb.log. La taille de chacun de ces fichiers est de 10 mégaoctets (Mo).Lorsque le fichier Edb.log est plein, il est renommé Edbnnnnn.log, où nnnnn représente un nombre croissant à partir de un.

!"Edb.chk. Il s'agit d'un fichier de contrôle utilisé par le moteur de la base de données pour suivre les données qui ne sont pas encore écrites dans le fichier de base de données Active Directory. Le fichier de contrôle est un pointeur qui met à jour l'état entre la mémoire et le fichier de base de données sur le disque. Le pointeur du fichier de contrôle indique le point de départ dans le fichier journal à partir duquel les informations doivent être récupérées en cas de sinistre.

!"Res1.log et Res2.log. Ces fichiers sont les fichiers journaux de transaction

réservés. Le volume d'espace disque réservé aux fichiers de transaction sur un lecteur ou un dossier est de 20 Mo. Cet espace disque réservé permet aux fichiers journaux de transaction de se fermer si le reste de l'espace disque est utilisé.

Processus de modification de la base de données

Les événements ci-dessous se produisent lorsque des données sont modifiées dans Active Directory.

1. Le moteur ESE charge les données devant être modifiées en mémoire. Il met le disque en mémoire cache en transférant des blocs de données, que l'on appelle des pages, dans la mémoire. Il met ensuite à jour les pages en mémoire et réécrit de nouvelles pages ou des pages mises à jour sur le disque. Cette mise à jour permet au moteur ESE de mettre des données dans la mémoire tampon afin de ne pas avoir besoin de récupérer constamment des données du disque dur. La réalisation de plusieurs modifications de mémoire permet de réduire le nombre d'écritures sur le disque. Cette mise en mémoire cache accélère les performances. Lorsque les utilisateurs formulent des requêtes, le moteur ESE commence à les charger en mémoire et marque les pages. Ces pages marquées sont ensuite écrites dans la base de données de la banque d'informations sur le disque.

2. Le moteur ESE sécurise la transaction dans Edb.log, le fichier journal de transaction, et crée un enregistrement dans le fichier journal. Lorsqu'il atteint l'extrémité d'un fichier journal de transaction, il renomme Edb.log en Edbnnnnn.log et crée un fichier journal. Les anciens fichiers journaux, désormais inutiles, sont automatiquement effacés.

3. Le moteur ESE écrit le changement stocké en mémoire dans Ntds.dit, le fichier de base de données, sur le disque.

4. Le fichier de contrôle, Edb.chk, est mis à jour. Cela indique que la transaction dans le fichier journal a été validée dans la base de données.

Processus de nettoyage de la mémoire

#S'exécute périodiquement sur chaque contrôleur de domaine

#Évalue et supprime les enregistrements désactivés

#Défragmente la base de données Active Directory

Le nettoyage de la mémoire est un processus qui s'exécute sur chaque

contrôleur de domaine après 12 heures d'exploitation continue pour supprimer les objets qui ont expiré ou qui ont été désactivés, et défragmenter la base de données. Vous pouvez modifier l'intervalle de nettoyage de la mémoire. Le nettoyage de la mémoire est utilisé pour les tâches ci-dessous.

!"Évaluation et suppression des enregistrements désactivés. Les

enregistrements désactivés sont des marqueurs qui indiquent qu'un objet a été supprimé. Au lieu de supprimer tout de suite physiquement un objet en particulier, la base de données supprime la plupart de ses attributs, le déplace dans le dossier Deleted Objects et marque l'objet comme étant désactivé. Un délai s'écoule entre le moment où un objet est marqué avec la suppression d'origine et le moment où il est supprimé physiquement de la base de données. Ce délai s'appelle la durée de vie de l'enregistrement désactivé. Il existe pour fournir un intervalle durant lequel le contrôleur de domaine d'origine peut dupliquer la suppression sur d'autres contrôleurs de domaine de la forêt. La base de données supprime l'objet désactivé à la fin de la durée de vie de l'enregistrement désactivé. Vous pouvez configurer l'intervalle de durée de vie de l'enregistrement désactivé ou garder l'intervalle par défaut de 60 jours.

!"Défragmentation de la base de données. Le processus de défragmentation réorganise l'écriture des données dans la base de données et, dans certains cas, compresse la base de données. La défragmentation peut avoir lieu automatiquement ou manuellement. Le processus de nettoyage de la mémoire utilise toujours le processus de défragmentation en ligne.

Pour configurer l'intervalle de nettoyage de la mémoire et la durée de vie de l'enregistrement désactivé, utilisez ADSI Edit pour vous connecter au conteneur de configuration du contrôleur de domaine. Dans la partition de configuration, ouvrez les propriétés de Configuration/Services/Windows NT/Service d'annuaire. Dans la zone Select a property to view, cliquez sur la flèche BAS et faites défiler la liste jusqu'à l'attribut garbageCollPeriod et l'attribut tombstoneLifetime, puis modifiez les valeurs. La valeur par défaut apparaît comme n'étant pas configurée.

Remarque

Sauvegarde d'Active Directory

! Les données sur l'état du système comprennent :

# Active Directory et le dossier SYSVOL sur un contrôleur de domaine

# Le Registre, les fichiers de démarrage du système et la base de données d'inscription de classe sur tous les ordinateurs

# La base de données Certificate Services sur les serveurs de certificats

Démarrez l'utilitaire de sauvegarde

Ouvrez l'Assistant Sauvegarde

Sélectionnez une méthode pour sauvegarder les données sur l'état du système

Pour sauvegarder Active Directory Pour

Pour sauvegardersauvegarderActive DirectoryActive Directory

L'utilitaire de sauvegarde de Windows 2000 Advanced Server dispose de plusieurs fonctionnalités qui facilitent la sauvegarde d'Active Directory. Vous pouvez également intégrer la sauvegarde d'Active Directory dans vos

procédures de sauvegarde régulières sans interrompre le réseau ou le fonctionnement du contrôleur de domaine que vous sauvegardez.

Données sur l'état du système

De même, lorsque vous sauvegardez Active Directory, l'utilitaire sauvegarde automatiquement tous les composants du système et les services distribués dont dépend Active Directory. Ces données indispensables sont connues sous le nom de données sur l'état du système.

Les données sur l'état du système stockées sur un contrôleur de domaine comprennent les éléments ci-dessous.

!"Active Directory (uniquement sur les contrôleurs de domaine).

!"Le dossier partagé SYSVOL (uniquement sur les contrôleurs de domaine).

Le dossier SYSVOL est un dossier partagé qui contient les modèles Group Policy et les scripts de connexion.

!"Le registre. Le registre est une base de données où sont stockées les

informations sur la configuration de l'ordinateur.

!"Les fichiers de démarrage du système. Les fichiers de démarrage du système

sont requis lors de la phase initiale de démarrage de Windows 2000 Advanced Server.

!"La base de données d'inscription de classe. L'inscription de classe est une

base de données d'informations sur les applications Component Services.

!"La base de données Certificate Services (si le serveur fonctionne en tant que

serveur de certificats). La base de données Certificate Services contient des certificats que Windows 2000 Advanced Server utilise pour authentifier les utilisateurs.

Sauvegarde des données sur l'état du système

Pour sauvegarder les données sur l'état du système, exécutez la procédure ci-dessous.

1. Cliquez sur Démarrer, pointez sur Programmes, sur Accessoires, sur Outils système, puis cliquez sur Sauvegarde.

2. Cliquez sur l'icône Assistant Sauvegarde pour ouvrir l'Assistant Sauvegarde.

3. Appliquez l'une des trois méthodes ci-dessous pour sauvegarder les données sur l'état du système sur un ordinateur local.

• Dans l'Assistant Sauvegarde, dans la page Que voulez-vous

sauvegarder ?, cliquez sur Ne sauvegarder que les données sur l'état du système.

• Dans l'Assistant Sauvegarde, dans la page Éléments à sauvegarder, développez Poste de travail, puis activez la case à cocher État du système.

• Dans la boîte de dialogue Sauvegarde, dans l'onglet Sauvegarde, développez Poste de travail, puis activez la case à cocher État du système.

Vous pouvez utiliser les options de sauvegarde avancées de l'utilitaire de sauvegarde pour configurer des paramètres, comme la vérification des données, la compression matérielle, les étiquettes des supports, pour décider si vous souhaitez que le travail de sauvegarde soit ajouté à un travail précédent ou pour programmer la sauvegarde afin qu'elle s'effectue de manière autonome à un autre moment. Le contrôle des données permet à l'utilitaire de sauvegarde de vérifier s'il existe des différences entre les fichiers qu'il a sauvegardés à partir du contrôleur de domaine et ceux copiés vers les supports de sauvegarde. Les résultats du contrôle sont reportés dans l'Observateur d'événements.

Pour une récupération d'urgence, sauvegardez tous les disques durs et toutes les données sur l'état du système. Pour effectuer cette sauvegarde, exécutez l'utilitaire de sauvegarde, puis, dans l'Assistant Sauvegarde, dans la page Que voulez-vous sauvegarder ?, cliquez sur Tout sauvegarder sur mon ordinateur.

Important

Instructions pour sauvegarder les données sur l'état du système

Suivez les instructions ci-dessous lorsque vous sauvegardez les données sur l'état du système.

!"Vous devez être autorisé à sauvegarder les fichiers et les dossiers. Les

membres des groupes Administrateurs, Opérateurs de sauvegarde et Opérateurs de serveur doivent disposer, par défaut, de l'autorisation de sauvegarder des fichiers/dossiers.

!"Les données sur l'état du système ne contiennent pas Active Directory sauf

si le serveur sur lequel vous les sauvegardez est un contrôleur de domaine.

!"Vous pouvez sauvegarder uniquement les données sur l'état du système ou

les sauvegarder dans le cadre de vos procédures de sauvegarde régulières.

!"Vous pouvez sauvegarder les données sur l'état du système lorsque le

contrôleur de domaine est en ligne.

Dans la mesure où l'utilitaire de sauvegarde ne prend en charge que les sauvegardes locales d'Active Directory, vous devez effectuer une

sauvegarde sur chaque contrôleur de domaine de l'entreprise pour sauvegarder entièrement Active Directory. Vous ne pouvez pas sauvegarder Active

Directory sur un ordinateur distant sans utiliser d'outils tiers comme VERITAS.

Important

$

$

$ $ Restauration d'Active Directory

! Définition d'une restauration non forcée

! Exécution d'une restauration non forcée

! Définition d'une restauration forcée

! Exécution d'une restauration forcée

Windows 2000 vous donne la possibilité de restaurer la base de données Active Directory si elle est endommagée ou si elle est détruite suite à une défaillance matérielle ou logicielle. Deux méthodes permettent de restaurer des données dupliquées sur un contrôleur de domaine. Vous pouvez réinstaller le contrôleur de domaine, et laisser le processus de duplication normal remplir à nouveau le nouveau contrôleur de domaine avec des données de ses réplicas, ou encore utiliser l'utilitaire de sauvegarde pour restaurer les données dupliquées à partir des supports de sauvegarde sans réinstaller le système d'exploitation ni reconfigurer le contrôleur de domaine. Deux méthodes permettent de restaurer Active Directory à partir des supports de sauvegarde, la méthode non forcée et la méthode forcée.

Lorsque vous souhaitez restaurer un objet récemment supprimé dans l'état où il se trouvait avant sa suppression, effectuez une restauration forcée de cet objet.

Cependant, si vous devez récupérer Active Directory après une panne

matérielle, vous ne devez effectuer qu'une restauration non forcée à partir de la sauvegarde la plus récente. Après la restauration non forcée, la duplication d'Active Directory commence automatiquement à propager les éventuels changements émanant des autres contrôleurs de domaine qui ont été effectués après la date de la sauvegarde.

Définition d'une restauration non forcée

! Une restauration non forcée

restaure les données Active Directory dans l'état où elles se trouvaient avant la sauvegarde

! Les services distribués sont restaurés

à partir des supports de sauvegarde, puis les données restaurées sont mises à jour par l'intermédiaire d'une duplication

! L'utilitaire de sauvegarde n'effectue qu'une restauration non forcée d'Active Directory

! Après la restauration d'Active Directory, Windows 2000 effectue automatiquement les tâches suivantes :

# Il réalise un contrôle de la cohérence et réindexe la base de données

# Il met à jour Active Directory et le service FRS

Une restauration non forcée restaure les données Active Directory dans l'état où elles se trouvaient avant la sauvegarde. Si un quelconque objet a été mis à jour ou supprimé avant la sauvegarde, les données restaurées seront mises à jour dans l'état actuel des objets lors de la duplication.

Lors d'une restauration non forcée, les services distribués sur un contrôleur de domaine sont restaurés à partir des supports de sauvegarde et les données restaurées sont ensuite mises à jour par l'intermédiaire d'une duplication normale. Chaque partition de répertoire restaurée est mise à jour avec celle de ses partenaires de duplication. L'utilisation d'une restauration non forcée se justifie, par exemple, lorsqu'une défaillance du disque dur nécessite le remplacement du disque dur principal sur un contrôleur de domaine. Vous formatez le nouveau disque, recréez les partitions dans l'état où elles se trouvaient avant le sinistre, réinstallez Windows 2000 Advanced Server sur la partition principale, restaurez tous les fichiers de données qui se trouvaient sur l'ordinateur, puis les services distribués et notamment Active Directory dans son intégralité.

L'utilitaire de sauvegarde n'effectue qu'une restauration non forcée d'Active Directory. Lorsque le contrôleur de domaine est mis en ligne après une restauration non forcée, il constate que les données restaurées n'ont pas été mises à jour depuis la sauvegarde. Ainsi, une fois que vous avez restauré Active Directory, Windows 2000 exécute automatiquement les tâches suivantes :

!"vérification de la cohérence et réindexation de la base de données Active

Directory ;

!"mise à jour d'Active Directory et du service de réplication de fichiers avec

des données provenant des partenaires de réplication (ou duplication).

Exécution d'une restauration non forcée

! Active Directory peut être restauré pendant le remplacement d'un contrôleur de domaine défaillant et lors de la réparation d'une base de données Active Directory endommagée

! La base de données Active Directory ne peut pas être exécutée lorsque vous restaurez les fichiers Active Directory

! La sauvegarde des données sur l'état du système ne peut pas être plus ancienne que la durée de vie de l'enregistrement désactivé

Redémarrez le contrôleur de domaine Sélectionnez Mode restauration des services d'annuaire

Ouvrez une session sur Windows 2000 à l'aide du compte SAM

Restaurez l'état du système

Redémarrez normalement le contrôleur de domaine

Pour effectuer une restauration non forcée d'Active Directory Pour

Pour effectuer une restauration effectuer une restauration non forc

non forcéée d'Activee d'ActiveDirectoryDirectory

Vous pouvez effectuer une restauration non forcée d'Active Directory lors du processus de remplacement d'un contrôleur de domaine défaillant et lors de la réparation d'une base de données Active Directory endommagée.

Si le système d'exploitation d'un contrôleur de domaine fonctionne

normalement mais que la base de données Active Directory est endommagée, vous devez redémarrer l'ordinateur, sélectionner l'option de démarrage avancée Mode restauration des services d'annuaire, puis utiliser l'utilitaire de sauvegarde pour restaurer les dernières données concernant l'état du système.

Du fait qu'Active Directory fait partie des données sur l'état du système sur un contrôleur de domaine, vous devez restaurer les données sur l'état du système pour restaurer Active Directory. L'utilitaire de sauvegarde ne peut pas remplacer les fichiers Active Directory lorsque Active Directory est en cours d'exécution. Ainsi, vous devez démarrer le système d'exploitation en utilisant l'option de démarrage avancée Mode restauration des services d'annuaire.

Vous ne pouvez pas restaurer Active Directory à partir d'une sauvegarde plus ancienne que la durée de vie de l'enregistrement désactivé, soit 60 jours par défaut. Un contrôleur de domaine ne garde des traces des objets supprimés que pendant cette période.

Si vous n'avez qu'un contrôleur de domaine, tous les changements effectués depuis la dernière sauvegarde sont perdus. Si vous disposez de plusieurs contrôleurs de domaine et que la date de la sauvegarde est inférieure à la durée de vie de l'enregistrement désactivé, restaurez la sauvegarde que vous possédez et laissez la duplication entre les différents contrôleurs de domaine actualiser Active Directory.

Important

Pour effectuer une restauration non forcée d'Active Directory, exécutez la procédure ci-dessous.

1. Redémarrez le contrôleur de domaine et appuyez sur F8 pour afficher les options de démarrage avancées.

2. Sélectionnez le mode de restauration des services d'annuaire pour démarrer Windows 2000. Cependant, cette sélection ne lance pas automatiquement Active Directory.

3. Ouvrez une session sur Windows 2000 en utilisant le compte

Administrateur résidant dans la base de données de compte utilisateur local sur le contrôleur de domaine.

4. Utilisez l'utilitaire de sauvegarde pour restaurer les dernières données sur l'état du système.

5. Redémarrez le contrôleur de domaine.

Après le redémarrage de l'ordinateur, Windows 2000 Advanced Server effectue des contrôles de cohérence, initialise (réindexe) la base de données Active Directory et met à jour les informations d'Active Directory et les données FRS à partir des partenaires de duplication de l'ordinateur. S'il existe plusieurs contrôleurs de domaine, la base de données Active Directory du contrôleur de domaine est actualisée après la duplication.

Lorsque vous restaurez les données sur l'état du système, l'utilitaire de sauvegarde efface les données sur l'état du système actuellement sur votre ordinateur et les remplace par les données sur l'état du système que vous restaurez. En fonction de l'ancienneté des données sur l'état du système, vous perdrez peut-être les changements de configuration que vous avez faits récemment sur l'ordinateur. Pour minimiser les risques de perdre les

modifications apportées à votre configuration, sauvegardez ces données régulièrement.

Avertissement

Définition d'une restauration forcée

! Une restauration forcée vous permet de marquer des informations particulières dans la base de données

! Une restauration forcée se produit après une restauration non forcée

! Le numéro de version de chaque objet marqué comme forcé est augmenté de 100 000 chaque jour

! Le contrôleur de domaine ayant le numéro de version le plus élevé pour un même objet est dupliqué vers le contrôleur de domaine ayant le plus petit numéro de version

La restauration forcée est la méthode que vous utilisez pour restaurer un objet Active Directory dans un domaine disposant de plusieurs contrôleurs de domaine. En effectuant une restauration forcée, vous pouvez marquer des informations spécifiques de la base de données comme étant récentes, et empêcher ainsi la duplication d'écraser ces informations. Lorsque vous restaurez des objets de conteneur, tous les objets de l'unité d'organisation sont également restaurés.

Une restauration forcée se produit après qu'une restauration non forcée a été effectuée. Une restauration forcée sert généralement à restaurer Active

Directory dans un état connu précédemment, avant, par exemple, que des objets Active Directory n'aient été supprimés par erreur.

Dans la mesure où vous ne pouvez pas marquer la partition de l'annuaire Schéma comme étant forcée, les changements apportés au schéma ne peuvent pas être annulés en effectuant une restauration forcée.

Lorsque vous marquez un objet comme étant forcé, il possède le numéro de version le plus élevé dans Active Directory. La version est un numéro. Ce dernier part de un et est incrémenté à chaque mise à jour d'origine effectuée sur la base de données Active Directory. Par défaut, le numéro de version de chaque objet marqué comme étant forcé est augmenté de 100 000 pour chaque jour écoulé entre le moment où la sauvegarde a été effectuée et celui où la restauration a eu lieu. L'augmentation du numéro de version garantit que, lorsqu'une duplication de cet objet se produit, la valeur restaurée de manière forcée remplace toute mise à jour effectuée depuis la sauvegarde. On suppose que l'objet n'a pas été modifié 100 000 fois par jour depuis la sauvegarde. Lors de la duplication, le numéro de version est vérifié avant le cachet pour éviter des conflits de duplication. Le numéro de version est stocké en tant que valeur 64 bits. Vous pouvez modifier le multiple par défaut pour le nouveau numéro de version.

Remarque

Lorsque deux contrôleurs de domaine ont des numéros de version différents pour un même objet, l'objet modifié portant le numéro le plus élevé se duplique sur l'autre copie de l'objet. En attribuant le numéro de version le plus élevé aux objets, vous garantissez que les mises à jour de l'objet depuis la sauvegarde n'écrasent pas la valeur forcée lors de la duplication. Seuls les changements ou les suppressions qui affectent l'objet restauré de manière forcée sont effectifs.

Pour plus d'informations sur la façon dont les numéros de version sont utilisés pour faciliter la résolution des conflits de duplication, consultez le module 11,

« Gestion de la duplication Active Directory » du cours 2174A, Implémentation et administration des services d'annuaire Microsoft Windows 2000.

Si vous ne faites pas appel à une restauration forcée, l'objet restauré garde le numéro de version qu'il avait lors de sa sauvegarde. Tout changement apporté à l'objet après la sauvegarde, comme une suppression incorrecte, se voit attribuer un numéro de version plus élevé. La version de l'objet modifié se duplique sur la version de l'objet restauré. Si vous n'avez qu'un contrôleur de domaine, ce scénario ne s'applique pas.

Remarque

Exécution d'une restauration forcée

Démarrez le contrôleur de domaine, puis sélectionnez Mode restauration des services d'annuaire

Basculez vers l'invite authoritative restore Donnez le nom complet de l'objet

Quittez Ntdsutil

Redémarrez normalement le contrôleur de domaine Restaurez Active Directory (les données sur l'état du système), mais ne redémarrez pas l'ordinateur Exécutez Ntdsutil.exe

Pour effectuer une restauration forcée d'Active Directory Pour

Poureffectuer une restauration forceffectuer une restauration forcéée d'Activee d'ActiveDirectoryDirectory

Ntdsutil.exe est un utilitaire qui vous permet de marquer les objets Active Directory comme étant forcés afin qu'ils reçoivent un numéro de version plus élevé. Ainsi, cela empêche les données récemment modifiées sur d'autres contrôleurs de domaine d'écraser ces informations lors de la duplication.

Pour exécuter une restauration forcée, exécutez la procédure ci-dessous.

1. Démarrez le contrôleur de domaine, appuyez sur F8, puis, dans le menu des options de démarrage avancées, cliquez sur Mode restauration des services d'annuaire. Vous sélectionnez ce mode parce qu'Active Directory ne peut pas être exécuté au cours de cette procédure. Connectez-vous en utilisant le compte Administrateur résidant dans la base de données de compte utilisateur local sur le contrôleur de domaine.

2. Restaurez Active Directory dans son emplacement d'origine. De même, restaurez Active Directory dans un autre emplacement lorsque vous devez effectuer une restauration forcée sur le dossier SYSVOL. Servez-vous de l'utilitaire de sauvegarde pour restaurer les données sur l'état du système, mais ne redémarrez pas l'ordinateur lorsque vous y êtes invité après la restauration.

3. Ouvrez une invite et exécutez Ntdsutil.exe.

4. Basculez vers l'invite authoritative restore. À l'invite ntdsutil, tapez authoritative restore

5. À l'invite authoritative restore, tapez restore subtree nom_complet_objet Où nom_complet_objet représente le nom complet, ou chemin, de l'objet.

Par exemple, si vous voulez restaurer une unité d'organisation nommée Sales, qui existe directement dans le domaine nommé contoso.msft, tapez restore subtree OU=Sales,DC=contoso,DC=msft

Pour plus d'informations sur les noms d'utilisateur complets, consultez l'annexe C, « Noms LDAP », située sur le CD-ROM du stagiaire.

6. Tapez quit et appuyez sur ENTRÉE. Retapez quit et appuyez sur ENTRÉE pour quitter ntdsutil.

7. Redémarrez le contrôleur de domaine.

Lorsque vous réalisez une restauration forcée de la base de données Active Directory, ou d'une partie de la base de données Active Directory incluant des objets de stratégie de groupe, vous devez effectuer une procédure

supplémentaire impliquant le dossier SYSVOL pour garantir que les éléments adéquats sont restaurés avec autorité.

Lorsqu'un dossier SYSVOL a été publié par le service de réplication de fichiers, copiez le dossier SYSVOL et ne copiez que les dossiers de stratégie de groupe correspondant aux objets de stratégie de groupe restaurés à partir de l'autre emplacement sur les emplacements existants. Vous pouvez constater la réussite de la copie en vérifiant le contenu du dossier SYSVOL\domaine.

Atelier A : Sauvegarde et restauration d'Active Directory

Objectifs

À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

!"effectuer une sauvegarde de la base de données Active Directory ;

!"effectuer une sauvegarde non forcée de la base de données Active

Directory ;

!"effectuer une restauration forcée d'Active Directory.

Conditions préalables

Avant de poursuivre, vous devez disposer de connaissances dans les domaines suivants :

!"lancement de la duplication d'Active Directory ;

!"création d'objets dans Active Directory.

Scénario

Vous vérifiez les procédures de récupération d'urgence de Northwind Traders pour Active Directory. Celles-ci traitent de la sauvegarde de données sur l'état du système sur les contrôleurs de domaine puis de leur restauration. Pour l'entreprise, il s'agit avant tout de restaurer en toute sécurité les unités d'organisation supprimées accidentellement.

Durée approximative de cet atelier : 30 minutes

Exercice 1

Sauvegarde d'Active Directory

Scénario

Northwind Traders a entamé des procédures de récupération d'urgence. Ces procédures de sauvegarde doivent être testées pour garantir leur efficacité avant leur implémentation dans toute l'entreprise.

Objectif

Dans cet exercice, vous allez créer une unité d'organisation test qui sera supprimée après une sauvegarde des données sur l'état du système de l'ordinateur.

Remarque : Vous travaillerez avec un partenaire et serez regroupé par domaine pour réaliser cet exercice.

Tâche Détails

1. Dans

domaine.nwtraders.msft (où domaine représente le nom de votre domaine), créez l'unité d'organisation suivante :

• Backup_serveur (où serveur représente le nom d'hôte de votre ordinateur)

a. Ouvrez une session sur le domaine en tant qu'Administrateur avec le mot de passe password.

b. À partir du menu Outils d'administration, ouvrez la console Utilisateurs et ordinateurs Active Directory.

c. Dans l'arborescence de la console, développez

domaine.nwtraders.msft (où domaine représente le nom de votre domaine), cliquez avec le bouton droit sur domaine.nwtraders.msft, pointez sur Nouveau, puis cliquez sur Unité d'organisation.

d. Dans la boîte de dialogue Nouvel objet - Unité d'organisation, dans la zone Nom, tapez Backup_serveur (où serveur représente le nom de votre ordinateur), puis cliquez sur OK.

Important : Attendez que vous et votre partenaire ayez terminé la tâche 1 avant de commencer la tâche 2.

2. Amorcez une duplication avec le contrôleur de domaine de votre partenaire.

a. À partir du menu Outils d'administration, ouvrez la console Sites et services Active Directory.

b. Développez Sites, Premier-Site-par-Defaut, Serveurs, puis serveur et cliquez sur NTDS Settings.

c. Cliquez avec le bouton droit sur l'objet connexion du serveur de votre partenaire, cliquez sur Répliquer maintenant, puis sur OK pour fermer le message indiquant la réussite de la duplication.

d. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur domaine.nwtraders.msft et appuyez sur F5 pour rafraîchir l'écran.

e. Vérifiez que les unités d'organisation Backup_serveur et

Backup_serveur_partenaire (où serveur_partenaire représente le nom d'hôte de l'ordinateur de votre partenaire) apparaissent.

Remarque : Si l'unité d'organisation de votre partenaire n'apparaît pas, recommencez les étapes c et d.

f. Fermez la console Sites et services Active Directory.

(suite)

Tâche Détails

3. Démarrez la sauvegarde des données sur l'état du système de votre contrôleur de domaine dans un fichier nommé C:\Backup.bkf en utilisant la journalisation détaillée.

a. Cliquez sur Démarrer, pointez successivement sur Programmes, Accessoires et Outils système, puis cliquez sur Gestion des sauvegardes.

b. Dans la fenêtre Sauvegarder - [Sans nom], dans le menu Outils, cliquez sur Options.

c. Dans la boîte de dialogue Options, dans l'onglet Journal de

sauvegarde, cliquez sur Tous les détails pour activer la journalisation détaillée, puis cliquez sur OK.

d. Dans la fenêtre Sauvegarder - [Sans nom], cliquez sur Assistant Sauvegarde.

e. Dans la page Bienvenue !, cliquez sur Suivant.

f. Dans la page Que voulez-vous sauvegarder ?, cliquez sur Ne sauvegarder que les données sur l'état du système, puis sur Suivant.

g. Dans la page Où stocker la sauvegarde ?, dans la zone Nom du fichier ou média de sauvegarde :, tapez C:\Backup.bkf et cliquez sur Suivant.

h. Dans la page Dernière étape de l'Assistant Sauvegarde, cliquez sur Terminer.

i. Passez à la tâche 4 tandis que le processus de sauvegarde se poursuit en arrière-plan.

4. Tout en laissant le processus de sauvegarde se poursuivre en arrière-plan, déterminez l'ID d'invocation pour le contrôleur de domaine qui effectuera la restauration.

a. Ouvrez une invite.

b. À l'invite, tapez repadmin /showreps serveur_restauration (où serveur_restauration représente le nom d'hôte de l'ordinateur ayant le numéro de stagiaire le plus petit de la paire) et appuyez sur ENTRÉE.

(suite)

Tâche Détails

Quel est l'objectif de l'ID d'invocation ?

Notez l'ID d'invocation (ou copiez-la et collez-la dans un fichier texte) de serveur_restauration. Ces informations seront utilisées pour effectuer des comparaisons plus tard au cours d'un autre exercice.

Cet ID d'invocation est-il différent d'objectGUID ?

5. Tout en laissant le processus de sauvegarde se poursuivre en arrière-plan, déterminez le numéro de version de Backup_serveur_restauratio n (où serveur_restauration représente le nom d'hôte de l'ordinateur ayant le numéro de stagiaire le plus petit de la paire).

a. À l'invite, tapez repadmin /showmeta

"ou=Backup_serveur_restauration,dc=Domaine,dc=nwtraders,dc=

msft" et appuyez sur ENTRÉE.

Quel est le numéro de version pour l'attribut name de l'unité d'organisation Backup_serveur_restauration ?

5. (suite) b. Fermez la invite.

6. Une fois le processus de sauvegarde terminé, regardez le rapport et fermez l'utilitaire de sauvegarde.

a. Dans l'utilitaire de sauvegarde, dans la boîte de dialogue Sauvegarde en cours, cliquez sur Rapport.

b. Examinez le journal de sauvegarde pour visualiser les fichiers faisant partie de l'état du système d'un contrôleur de domaine, puis fermez le fichier journal.

c. Dans la boîte de dialogue Sauvegarde en cours, cliquez sur Fermer, puis fermez l'utilitaire de sauvegarde.

7. Supprimez les deux unités d'organisation tests : Backup_serveur et

Backup_serveur_partenaire (où serveur_partenaire représente le nom d'hôte de l'ordinateur de votre partenaire).

a. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez sur Backup_serveur, appuyez sur SUPPR, puis cliquez sur Oui pour fermer le message confirmant la suppression.

b. Cliquez sur Backup_serveur_partenaire, appuyez sur SUPPR puis cliquez sur Oui pour fermer le message confirmant la suppression.

c. Fermez la console Utilisateurs et ordinateurs Active Directory.

Exercice 2

Restauration d'Active Directory

Scénario

Northwind Traders a entamé des procédures de récupération d'urgence. Les procédures de restauration, et notamment la restauration forcée, doivent être testées avant d'être implémentées dans toute l'entreprise.

Objectif

Dans cet exercice, vous allez restaurer la sauvegarde la plus récente avant de supprimer les unités d'organisation tests. Pour l'une des unités d'organisation tests, vous allez effectuer une restauration forcée.

Remarque : Seul le contrôleur de domaine ayant le numéro de stagiaire le plus petit de la paire est utilisé dans cet exercice. Ce contrôleur de domaine est désigné comme serveur de restauration.

Tâche Détails

Important : N'effectuez cet exercice que sur le contrôleur de domaine désigné comme serveur de restauration.

1. Redémarrez votre contrôleur de domaine en mode de restauration d'Active Directory, puis ouvrez une session en tant

qu'Administrateur.

a. Fermez toutes les applications ouvertes et redémarrez votre contrôleur de domaine.

b. Lorsque le menu Choisissez le système d'exploitation à démarrer ou le message « Pressez F8 pour la résolution de problèmes et les options de démarrage avancées » apparaît en bas de l'écran, appuyez sur F8.

c. Dans l'écran Menu d'options avancées de Windows 2000, sélectionnez Mode restauration Active Directory (contrôleurs de dom. Windows 2000), puis appuyez sur ENTRÉE.

d. Ouvrez une session sur votre domaine en tant qu'Administrateur avec le mot de passe password, puis cliquez sur OK pour fermer le message indiquant que Windows s'exécute en mode sans échec.

2. Restaurez l'état du système de votre contrôleur de domaine à partir d'un fichier nommé C:\Backup.bkf

a. Ouvrez l'utilitaire de sauvegarde Windows.

b. Dans la fenêtre Sauvegarder - [Sans nom], dans l'onglet Bienvenue, cliquez sur Assistant Restauration pour démarrer l'Assistant Restauration.

c. Dans la page d'accueil de l'Assistant Restauration, cliquez sur Suivant.

d. Dans la page Que voulez-vous restaurer ?, développez Fichier, puis Média créé le, activez la case à cocher État du Système, puis cliquez sur Suivant.

e. Dans la page Fin de l'Assistant Restauration, cliquez sur Terminer.

f. Dans la boîte de dialogue Entrez le nom du fichier de sauvegarde, dans la zone Restaurer à partir du fichier de sauvegarde, tapez C:\Backup.bkf et cliquez sur OK.

g. Une fois le processus de restauration terminé, cliquez sur Fermer, cliquez sur Non pour fermer le message demandant de redémarrer votre ordinateur, puis fermez l'utilitaire de sauvegarde.

(suite)

Tâche Détails

3. Une fois le processus de restauration terminé, marquez l'unité d'organisation Backup_serveur_restauration comme devant faire l'objet d'une restauration forcée.

a. Ouvrez une invite.

b. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE.

c. À l'invite ntdsutil, tapez authoritative restore et appuyez sur ENTRÉE.

d. À l'invite authoritative restore, tapez ? et appuyez sur ENTRÉE.

Passez en revue les options disponibles.

e. À l'invite authoritative restore, tapez restore subtree

"ou=Backup_serveur_restauration,dc=domaine,dc=nwtraders,dc=m sft" et appuyez sur ENTRÉE. Cliquez ensuite sur Oui pour fermer le message confirmant la restauration faisant autorité.

f. À l'invite authoritative restore, tapez quit et appuyez sur ENTRÉE pour revenir au menu précédent.

g. À l'invite ntdsutil, tapez quit et appuyez sur ENTRÉE pour quitter ntdsutil.

4. Redémarrez le contrôleur de domaine et ouvrez une session en tant qu'Administrateur.

a. Fermez l'invite, puis redémarrez l'ordinateur.

b. Ouvrez une session sur le domaine en tant qu'Administrateur avec le mot de passe password.

Exercice 3

Vérification d'une restauration d'Active Directory

Scénario

Northwind Traders a entamé des procédures de récupération d'urgence. Les procédures de vérification d'une restauration forcée et non forcée doivent être testées avant d'être implémentées dans toute l'entreprise.

Objectif

Dans cet exercice, vous allez constater la réussite de l'opération de restauration en examinant les données forcées et non forcées.

Tâche Détails

1. Amorcez une réplication avec le contrôleur de domaine de votre partenaire.

a. Ouvrez la console Sites et services Active Directory, développez successivement Sites, Default-First-Site, Servers, serveur puis cliquez sur NTDS Settings.

b. Cliquez avec le bouton droit sur l'objet connexion du serveur de votre partenaire, cliquez sur Répliquer maintenant puis sur OK pour fermer le message indiquant le démarrage de la réplication.

Remarque : Si un message d'erreur déclarant que le service RPC n'est pas disponible apparaît, attendez un moment puis répétez l'étape c.

L'exécution de tous les services nécessaires peut prendre du temps après le redémarrage de l'ordinateur.

c. Fermez la console Sites et services Active Directory.

d. Ouvrez la console Utilisateurs et ordinateurs Active Directory, cliquez sur domaine.nwtraders.msft, puis appuyez sur F5 pour rafraîchir l'écran.

Quelles sont les unités d'organisation Backup_serveur toujours présentes dans Active Directory après la duplication avec l'ordinateur de votre partenaire ? Pour quelles raisons ?

1. (suite) e. Fermez la console Utilisateurs et ordinateurs Active Directory.

2. Déterminez les éventuels changements apportés à l'ID d'invocation du contrôleur de domaine qui a effectué la restauration.

a. À l'invite, tapez repadmin /showreps serveur_restauration et appuyez sur ENTRÉE.

(suite)

Tâche Détails

L'ID d'invocation de serveur_restauration a-t-il la même valeur qu'avant la restauration ? Cet ID d'invocation est-il différent d'objectGUID ?

3. Déterminez les éventuels changements apportés au numéro de version de Backup_serveur_restauration et déconnectez-vous.

a. À l'invite, tapez repadmin /showmeta

"ou=Backup_serveur_restauration,dc=domaine,dc=nwtraders,dc=m sft" et appuyez sur ENTRÉE.

Quel est le numéro de version pour l'attribut name de l'unité d'organisation Backup_serveur_restauration ?

3. (suite) b. Fermez la invite et toutes les fenêtres actives, puis fermez la session.

Déplacement de la base de données Active Directory

Pour déplacer la base de données Active Directory Pour déplacer la base de données Active

Pour déplacer la base de données ActiveDirectoryDirectory

Sauvegardez Active

Directory Basculez vers l'invite files Redémarrez le contrôleur de

domaine, puis sélectionnez Mode restauration des services d'annuaire

Déplacez la base de données en tapant move DB to

<lecteur>:\<répertoire>

Ouvrez une session en

utilisant le compte SAM Tapez deux fois quit pour revenir à l'invite

Exécutez la commande

ntdsutil Redémarrez normalement le

contrôleur de domaine

Vous utilisez l'utilitaire de ligne de commande ntdsutil en mode restauration des services d'annuaire pour déplacer la base de données d'un emplacement à un autre sur le disque. L'utilitaire de ligne de commande ntdsutil déplace les fichiers de base de données puis met à jour les clés du registre afin qu'Active Directory redémarre depuis un autre emplacement.

Pour déplacer la base de données Active Directory, exécutez la procédure ci-dessous.

1. Sauvegardez Active Directory par mesure de précaution. Vous pouvez sauvegarder Active Directory tout en restant connecté, si, dans l'Assistant Backup, vous avez sélectionné soit l'option proposant de tout sauvegarder sur l'ordinateur, soit l'option proposant de sauvegarder les données sur l'état du système.

2. Redémarrez le contrôleur de domaine, appuyez sur F8 pour afficher le menu Menu d'options avancées de Windows 2000, sélectionnez Mode

restauration des services d'annuaire, puis appuyez sur ENTRÉE.

3. Ouvrez une session en utilisant le compte Administrateur et le mot de passe défini pour le compte Administrateur local dans le Gestionnaire des comptes de sécurité (SAM, Security Accounts Manager).

4. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE.

5. Tapez files et appuyez sur ENTRÉE. Cette action vous renvoie à l'invite files, afin que vous puissiez gérer le fichier de base de données Ntds.dit.

6. Après avoir défini un emplacement possédant suffisamment d'espace disque pour stocker la base de données, tapez la commande suivante et appuyez sur ENTRÉE :

move DB to <lecteur>:\<répertoire>

où <lecteur> et <répertoire> représentent le chemin de l'emplacement où vous voulez placer la base de données.

Vous devez spécifier un chemin. Si le chemin contient des espaces, il doit être encadré par de guillemets, par exemple « C:\Nouveau dossier ».

La base de données nommée Ntds.dit est déplacée dans l'emplacement que vous avez spécifié.

7. Tapez quit et appuyez sur ENTRÉE. Pour retourner à l'invite, retapez quit 8. Redémarrez le contrôleur de domaine.

Vous pouvez également déplacer les fichiers journaux de transaction. La commande Move logs to <lecteur>:\<répertoire> déplace les fichiers journaux de transaction dans un nouveau répertoire spécifié par

<lecteur>:\<répertoire> et met à jour les clés de registre afin que le service d'annuaire redémarre depuis le nouvel emplacement.

Remarque

Remarque

$

$

$ $ Défragmentation de la base de données Active Directory

! Définition de la défragmentation

! Défragmentation d'une base de données

La fragmentation se produit avec le temps à mesure que des enregistrements sont supprimés de la base de données Active Directory et que d'autres y sont ajoutés. Lorsque les enregistrements sont fragmentés, l'ordinateur doit parcourir la base de données Active Directory à chaque fois qu'elle est ouverte pour les trouver tous. Le temps de réponse s'en trouve donc ralenti. La fragmentation dégrade également les performances globales des opérations de la base de données Active Directory. Pour éviter ce problème de fragmentation, vous défragmentez la base de données Active Directory. La défragmentation consiste à réécrire les enregistrements de la base de données Active Directory dans des secteurs contigus pour augmenter la vitesse d'accès et de récupération. Lorsque des enregistrements sont mis à jour, ces mises à jour sont sauvegardées sur les espaces contigus les plus grands de la base de données Active Directory.

Définition de la défragmentation

! Une défragmentation réorganise les données stockées dans la base de données Active Directory

! Une défragmentation peut se produire en ligne ou hors connexion

! Une défragmentation en ligne réorganise

efficacement les pages dans la base de données

! Une défragmentation hors connexion permet de réorganiser des pages dans la base de données et de créer une version compressée du fichier de base de données

Réorganise Réorganise Réorganise

Nouvelle Nouvelle Nouvelle

La défragmentation réorganise et compresse le stockage des données dans la base de données Active Directory. Pour mettre à jour le fichier de base de données d'Active Directory, le moteur ESE met à jour rapidement la base de données. Cependant, il n'utilise pas l'espace de la base de données de la manière la plus efficace. Active Directory réécrit donc des parties de la base de données sur des secteurs contigus du disque. Il augmente ainsi la vitesse à laquelle les utilisateurs peuvent accéder aux données et les récupérer. Par exemple, les données sont écrites sur des pages numérotées de 1 à 100. Par la suite, certaines données figurant sur les pages 12, 55 et 87 sont supprimées. Ces pages

redeviennent donc vierges. La prochaine fois que des données seront écrites, elles le seront sur les pages 12, 55 et 87. Le temps de réponse en sera donc ralenti. Cependant, si vous défragmentez la base de données Active Directory, les pages 12, 55 et 87 seront regroupées. Toutes les données seront donc placées sur des pages numérotées de 1 à 97 ; les pages 98, 99 et 100 resteront vierges et pourront accueillir de nouvelles données.

Il est donc nécessaire d'effectuer une défragmentation de la base de données pour utiliser avec efficacité l'espace qui lui est attribué. La défragmentation peut avoir lieu en ligne, lorsque l'ordinateur fonctionne en tant que contrôleur de domaine, ou hors connexion lorsqu'il fonctionne en tant que serveur autonome.

Défragmentation en ligne

La défragmentation en ligne réorganise avec efficacité les pages dans la base de données. Active Directory effectue automatiquement une défragmentation en ligne de la base de données à certains intervalles, toutes les 12 heures par défaut, dans le cadre du processus de nettoyage de la mémoire. La

défragmentation en ligne ne réduit pas la taille du fichier de base de données Ntds.dit, mais optimise le stockage des données dans la base de données et optimise l'espace du répertoire pour de nouveaux objets.

Défragmentation hors connexion

Une défragmentation hors connexion permet de réorganiser des pages dans la base de données et de créer une version compressée du fichier de base de données. En fonction de la fragmentation du fichier de base de données d'origine, le nouveau fichier peut être bien plus petit que l'original. Ce nouveau fichier est stocké dans un autre répertoire choisi lorsque l'utilitaire est exécuté.

Le fichier de base de données d'origine reste dans le même emplacement. Le seul changement apporté au fichier de base de données d'origine est qu'il est d'abord soumis à une restauration logicielle. Une restauration logicielle écrit toutes les transactions écrites dans les fichiers journaux avant la compression, afin que le nouveau fichier compressé corresponde aux fichiers journaux et au fichier de contrôle. Une défragmentation hors connexion de la base de données s'effectue manuellement.

Défragmentation d'une base de données

Pour défragmenter une base de données Active Directory hors connexion Pour

Pourdéfragmenterdéfragmenterune base de données une base de données Active Directory hors connexion Active Directory hors connexion Sauvegardez Active

Directory Basculez vers l'invite files Redémarrez le contrôleur

de domaine

Compressez la base de données en tapant compact to <lecteur>:\<répertoire>

Sélectionnez Mode restauration des services d'annuaire

Tapez deux fois quit pour revenir à l'invite

Ouvrez une session en utilisant le compte SAM

Copiez le nouveau fichier NTDS.DIT sur l'ancien fichier NTDS.DIT Exécutez la commande

ntdsutil Redémarrez normalement le

contrôleur de domaine

La défragmentation en ligne s'effectue automatiquement lors du processus de nettoyage de la mémoire. La défragmentation hors connexion doit être effectuée manuellement. Elle n'est nécessaire que si vous souhaitez créer une version compressée du fichier de base de données d'origine.

Pour défragmenter une base de données Active Directory hors connexion, exécutez la procédure ci-dessous.

1. Sauvegardez Active Directory par mesure de précaution.

2. Redémarrez le contrôleur de domaine et appuyez sur F8 pour afficher le menu Menu d'options avancées de Windows 2000.

3. Sélectionnez Mode restauration des services d'annuaire, puis appuyez sur ENTRÉE.

4. Ouvrez une session en utilisant le compte Administrateur et son mot de passe tels que stockés dans la base SAM hors connexion.

5. À l'invite, tapez ntdsutil et appuyez sur ENTRÉE.

6. Tapez files et appuyez sur ENTRÉE. Cette action vous renvoie à l'invite files afin que vous puissiez gérer le fichier de base de données NTDS.

7. Définissez un emplacement ayant suffisamment d'espace disque pour stocker la base de données compressée. Tapez ce qui suit et appuyez sur ENTRÉE :

compact to <lecteur>:\<répertoire>

où <lecteur> et <répertoire> représentent le chemin de l'emplacement.

Vous devez spécifier un chemin. Si le chemin contient des espaces, il doit être encadré par des guillemets, par exemple « C:\Nouveau dossier ».

Une nouvelle base de données nommée Ntds.dit est créée dans le chemin que vous avez spécifié.

8. Tapez quit et appuyez sur ENTRÉE. Pour retourner à l'invite, retapez quit 9. Copiez le nouveau fichier Ntds.dit sur l'ancien fichier Ntds.dit dans le

chemin actuel de la base de données Active Directory que vous avez noté à l'étape 6.

10. Redémarrez le contrôleur de domaine.

Remarque

Atelier B : Mise à jour de la base de données Active Directory

Objectifs

À la fin de cet atelier, vous serez à même d'effectuer les tâches suivantes :

!"effectuer une défragmentation hors connexion de la base de données Active

Directory ;

!"effectuer des contrôles d'intégrité et des analyses sémantiques de la base de

données Active Directory ;

!"déplacer la base de données Active Directory ;

!"rediriger Active Directory pour utiliser le fichier de base de données situé

dans un dossier différent.

Conditions préalables

Avant de poursuivre, vous devez savoir comment utiliser les options de démarrage avancées de Windows 2000.

Expliquez les objectifs de l'atelier.

Durée approximative de cet atelier : 30 minutes