Bonjour,
 
Dans ma société, nous avons 10 contrôleurs de domaine.
On m'a demander de tester une restauration autoritaire.
 
J'ai restauré 2 des 10 DC sur un réseau à part, pour que ma restauration n'est aucune incidence sur le réseau.
 
J'ai fait une sauvegarde état système d'un des contrôleurs. Ensuite j'ai supprimé quelques objets dans l'AD (OU, utilisateurs, ordinateurs, ...) et j'en ai créé d'autres. La réplication a été faite entre les deux DC.
 
J'exécute la restauration autoritaire (F8, mode restauration..., ntdsutil, blablabla).
 
En redémarrant, et après synchronisation, la réplication a été faite. Je DEVRAIS retrouver les objets supprimés et ceux qui ont été créé après la sauvegarde ne devrait plus être présents.
 
Résultat obtenu: Les objets que j'ai supprimé ont été restaurés
                       Les objets que j'ai créé après la sauvegarde (et qui devrait avoir disparu suite à la restauration) sont toujours présents....  
 
Pourquoi les derniers fichiers n'ont-ils pas disparu

C'est normal. La restauration n'écrase pas la base LDAP au complet. Elle force la mise à jour de chaque objet. Il n'y a donc rien pour écraser les objets que tu aurais pu créer après la sauvegarde. Par contre, si tu renommes un compte ou un groupe après la sauvegarde, il devrait retrouver son ancien nom après la restore.

Il y a autre chose, mais là il faudra faire des recherches car j'ai la mémoire defaillante... mais je suis sure du schmilblick.
 
Lorsque tu fais une sauve/resto de ton AD, tu as une sorte de compteur (je ne me souviens plus du termes exact) qui s'incremente.
Si tu fais une resto sur un de tes DC (ou plus) mais qu'il y a encore sur d'autre DC des réplication de ton ancien AD, les compteurs vont être comparé et c'est le plus recent qui l'emporte donc ta resto est ecrasée lors de la réplication.
Mais la encore il y a un autre bignou (decidement c'est fun) qui fait que lors de la comparaison il peu faire un mix de l'AD restauré et celui trainant sur un DC.
 
Il y a une manip a faire (chercher chez crosoft) pour changer l'etat du compteur afin que ta resto de ton annuaire soit vu comme etant la plus recente et la seule a devoir être prise en compte.

C'est la restauration autoritaire !  
 
Elle te permet d'ignorer ces compteurs et de dire "c'est moi qui ai le bon annuaire".
 
LOL
 
Merci quand même pour ta proposition.
 

L'explication de Wolfman est la bonne, le comportement que tu observes est parfaitement normal.

Oui mais imaginons:
 
* Je fais un script pour créer 10 000 objets. Je me suis trompé dans le script et je souhaite restaurer. je ne pourrai pas.
 
* Une personne a créé des objets (ordi, users, ...) un peu partout dans mon AD. Un pirate par exemple. Je souhaite restaurer pour que tout ce qu'il a fait soit supprimer.
 
Dans ces deux cas, la suppression des objets après sauvegarde m'arrangerait.
 
Comment faire alors??

Passer par une restauration pour suppprimer des choses ça te semble pas un peu contre nature ?
Si t'as des choses dont tu veux pas, supprime les directement, c'est tout.

Et si tout mon annuaire est corrompu??
 
Je souhaites qu'il soit réécrasé à partir d'une sauvegarde nikel.
 
Mais les supprimer directement, si par exemple mon hacker a dispersé les comptes  dans tout mon AD. Avec 10 000 objets, comment pourrais-je savoir si un compte est bon ou pas.
 
Je sais pas si tu vois où je veux en venir?

Ne jamais effectuez une restauration autoritaire de plusieurs contrôleurs de domaine en même temps !
 
 
 
J'ai retrouvé mes pompes      
Et comme dit  Wolfman, c'est normal... seulement si tu t'y prends mal!
 
Procédure de Restauration authoritative d'objet dans Active Directory  
 
Définition: Si vous ne voulez pas répliquer les modifications intervenues après la dernière opération de sauvegarde, vous devez procéder à une restauration forcée.c'est ce que vous devrez faire, si vous avez supprimé, par inadvertance, des utilisateurs, des groupes ou des unités d'organisations et si vous voulez restaurer le système afin de récupérer et répliquer les objets supprimés  
 
 
La restauration autoritaire d'un contrôleur de domaine restaure : AD (NTDS), Le Registre Le volume SYSVOL, BOOT Files, La base de données COM+ et si il est installé le serveur des certificats.  
 
   
 
Nous allons procéder à la restauration authoritative d’une OU qui à été effacée par erreur, en utilisant la dernière sauvegarde du DC ( IMPORTANT DE FAIRE DES BACKUP DEUX FOIS PAR JOUR SUR LE DC QUI DETIENT LES FSMO)  
 
Ne restaurez pas tous les contrôleurs d'un domaine d'une manière autoritaire en même temps !  
 
Si nécessaire faites d'abord une restauration autoritaire pour le premier et une  
 
Restauration non-authoritative sur le deuxième ;  
 
   
 
1. Redémarrez le contrôleur de domaine  
 
2. Lorsqu'on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur  
 
3. Dans le menu sélectionnez Mode restauration Active Directory (contrôleurs de dom.  
 
Windows).  
 
4. Ouvrez une session en tant qu’administrateur avec le mot de passe que vous avez  
 
entrez lors de l'installation d'Active Directory.  
 
Attention :  il s'agit ici du Compte local de la Base de données des utilisateurs locale (SAM) qui  
 
appartient à la machine qui a été démarrée dans le Mode de restauration Active Direcory.  
 
Contrairement à Windows NT cette base existe Séparément sur chaque Contrôleur de domaine  
 
Windows. Lors d’un démarrage normal de Windows cette base de données des  
 
comptes des utilisateurs (SAM) stockées dans le registre n'est pas disponible et vous pouvez  
 
uniquement ouvrir une session avec un compte défini dans Active Directory.  
 
5. Ensuite restaurer à partir de votre dernière sauvegarde l’état du système (soit ntbackup,veritas par ex.) ,  
 
Ensuite il faut bien préciser le type de restauration à effectuer, comme le choix de l’écrasement des fichiers existants ou non.Dans notre cas nous choisirons « Ne pas remplacer les fichiers sur mon ordinateur  », choix recommandé par défaut., Restaurer la base de données, Terminer  
 
6. Une fois la restauration terminée quittez le gestionnaire de sauvegardes  
 
7. Voulez vous redémarrer votre ordinateur maintenant ?  
 
8. Répondez NON pour effectuer une restauration autoritaire  
 
9. A l'invité de commande de Windows tapez ntdsutil  
 
10. A l'invité de commande de ntdsutil, entrez : authoritative restore  
 
11. tapez ensuite : restore subtree  par exemple : OU=……,DC=intranet,DC=epfl,DC=ch  
 
(Seulement Si il est nécessaire de restaurer l’intégralité de la base donnée de l’annuaire vous  
 
pouvez utiliser la commande . restore database)  
 
12. Quittez ntdsutil en tapant à deux reprises la commande Quit  
 
13. Redémarrez le serveur Le redémarrage peut durer 15 a 30 minutes  
 
14. Pour vous assurer d’avoir les fichiers les plus récents , Attendez que le Sysvol soit  
 
publié et copiez par dessus le volume sysvol d'un autre contrôleur qui n’a pas été restauré  
 
15. Vérifiez l’existence de l’unité d’organisation que vous venez de restaurez et ce qu’elle contient.  
 
 
pour le reste:  
 
Démarrer directement à partir d'une image saine (en Workgroup) ou d'une réinstallation de l'OS sur le serveur, c'est mieux si votre serveur est trop pouuri !  
 
Puis une fois la machine patchée et sécurisée (check sécurité full scan EPO ,call Christian Raemy) en mode WorkGroup (il n'est pas nécessaire de la mettre dans le domaine car c'est durant la restauration du SystèmeState que se fera le boulot) amorcez une des deux procédures (A ou B) ci-dessous afin de restaurer l'état du système Active Directory  
 
Conseils  
 
Ouvrez l'utilitaire de sauvegarde L'Assistant Sauvegarde ou Restauration démarre par défaut, sauf s'il est désactivé.Cliquez sur le lien Mode avancé dans l'Assistant Sauvegarde ou Restauration.  
 
Cliquez sur l'onglet Restaurer et gérer le média, puis activez la case à cocher qui se trouve à côté de État du système. Cela permet de restaurer les données sur l'état du système en même temps que les autres données sélectionnées pour l'opération de restauration en cours.Mais pour un DC seul État du système suffit pour restaurer un DC défaillant (à condition que le Hardware de la machine soit identique au DC original en cas de remplacement matériel)  
 
Remarques  
 
Pour effectuer cette procédure, vous devez être membre du groupe Administrateurs sur l'ordinateur local, ou avoir reçu par délégation les autorisations nécessaires. Si l'ordinateur est joint à un domaine, les membres du groupe Admins du domaine peuvent être en mesure d'effectuer cette procédure. Pour des raisons de sécurité, il est recommandé d'utiliser Exécuter en tant que pour effectuer cette procédure.  
Pour démarrer l'utilitaire de sauvegarde, cliquez sur Démarrer, pointez sur Tous les programmes, sur Accessoires, puis sur Outils système, puis cliquez sur Sauvegarde.  
Vous pouvez également utiliser l'Assistant Restauration pour restaurer les données sur l'état du système, en cliquant dans le menu Outils sur Assistant Restauration.  
Si vous restaurez les données sur l'état du système vers un contrôleur de domaine, vous devez choisir entre exécuter une restauration principale, une restauration faisant autorité ou une restauration ne faisant pas autorité. La méthode de restauration par défaut des données sur l'état du système vers un contrôleur de domaine est la restauration ne faisant pas autorité (normale). Dans ce mode, tous les composants de l'état du système qui sont répliqués sur un autre contrôleur de domaine, par exemple le service d'annuaire Active Directory ou le service de réplication de fichiers (ainsi que le répertoire SYSVOL), sont mis à jour par réplication une fois les données restaurées. Par exemple, si la dernière sauvegarde date d'une semaine et que l'état du système est restauré à l'aide de la méthode de restauration par défaut (ne faisant pas autorité), toutes les modifications postérieures à l'opération de sauvegarde sont répliquées à partir des contrôleurs de domaines.  
Parfois, vous ne souhaiterez peut-être pas répliquer les modifications postérieures à la dernière opération de sauvegarde. En d'autres termes, vous souhaiterez que l'état de tous les réplicas soit identique à celui des données sauvegardées. Pour parvenir à ce résultat, vous devrez effectuer une restauration faisant autorité.  
 
Vous devrez par exemple effectuer une restauration faisant autorité si vous supprimez par inadvertance des utilisateurs, groupes ou unités d'organisation du service d'annuaire Active Directory et que vous souhaitez restaurer le système afin de récupérer et de répliquer les objets supprimés. Pour cela, vous devrez exécuter l'utilitaire Ntdsutil après avoir restauré les données mais avant de redémarrer le contrôleur de domaine. Cet utilitaire vous permet de marquer les objets destinés à une restauration faisant autorité, garantissant ainsi que toutes les données répliquées ou distribuées que vous restaurez sont ensuite convenablement répliquées ou distribuées dans votre organisation. L'utilitaire de ligne de commande Ntdsutil peut être exécuté à partir d'une invite de commandes. L'aide de l'utilitaire Ntdsutil peut également être obtenue à l'invite de commandes en tapant ntdsutil /?.  
 
Pour restaurer les données sur l'état du système sur un contrôleur de domaine, vous devez tout d'abord démarrer votre ordinateur dans un mode de démarrage spécial nommé Restauration des services d'annuaire. Cela vous permet de restaurer le répertoire SYSVOL et la base de données du service d'annuaire Active Directory. Pour accéder au mode Restauration des services d'annuaire, appuyez sur F8 pendant le démarrage et sélectionnez ce mode dans la liste des options de démarrage  
Vous ne pouvez restaurer les données sur l'état du système que sur un ordinateur local. Vous ne pouvez pas restaurer les données sur l'état du système sur un ordinateur distant.  
 
 
 
 
A) Procédure de la restauration Active Directory dite Normal , non-authoritative (par défault)  
 
Définition: En cas de restauration non forcée, tout composant de l'état du système qui est répliqué vers un autre contoleur de domaine, tel que le service d'annuaire Active Directory, sera mis à jour par la réplication une fois les données restaurées.  
 
   
 
Grâce à la sauvegarde du système précédente nous allons effectuer une restauration normale.  
 
   
 
1. Redémarrez le contrôleur de domaine  
 
2. Lorsqu’ on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur,  
 
3. Dans le menu, sélectionnez Mode restauration Active Directory (contrôleurs de dom.Windows).  
 
4. Ouvrez une session en tant qu'administrateur avec le mot de passe que vous avez  
 
entrez lors de l'installation d’active Directory.  
 
Attention : il s'agit la du compte local de la Base de données des utilisateurs qui appartient à la  
 
machine qui a été démarré dans le Mode de restauration Active Directory. Contrairement a  
 
Windows NT cette base existe sur chaque Contrôleur de domaine Windows.  
 
Lors d'un démarrage normal de Windows cette base de données des comptes des  
 
utilisateurs stocké dans le registre n est pas disponible et vous pouvez uniquement ouvrir une session avec un compte défini dans Active Directory.  
 
5. Sélectionner la sauvegarde correspondant à l’état de votre système, importer l’Etat du système,ensuite il faut bien préciser le type de restauration à effectuer, comme le choix de l’écrasement des fichiers existants ou non.Dans notre cas nous choisirons « Ne pas remplacer les fichiers sur mon ordinateur », choix recommandé par défaut., Restaurer la base de données, Terminer  
 
6. Une fois la restauration terminée, quittez le gestionnaire des sauvegardes  
 
7. Voulez vous redémarrer votre ordinateur maintenant ?  
 
8. Répondez OUI  
 
9. Redémarrez le serveur  
 
10. Effectuez une synchronisation entre les contrôleurs du domaine  

 
"corrompu" ça veut absolument tout et rien dire.
Si ton AD est completement par terre c'est pas comme ça que tu vas le remonter.
 

 
Si un hacker a réussi a créer 10000 comptes dans ton AD alors le retour a une situation normale ne sera plus ton probleme puisque tu seras en train de pointer a l'ANPE
 

 
Si, mais c'est pas une bonne façon de penser, l'AD c'est pas un fichier word qu'on peut backuper et restorer en 2 clics et sans conséquence.
Ce que tu veux faire est est a peu pres possible en faisant un primary restore, mais c'est beaucoup plus lourd qu'une bete restoration d'une branche, en gros faut casser et remonter tous tes DC, en clair faut tout faire pour ne jamais en arriver la, et si on en arrive la c'est jamais par accident ou la faute a pas de chance, mais parce qu'il y avait de gros probleme dans la conception du réseau.

Pour l'histoire du hacker, c'était une raison pour montrer pourquoi je souhaitais que les éléments créés après la sauvegarde, soient supprimés.
 
Peu importe la raison. Je voudrais savoir comment faire cette restauration pour que les objets soient supprimés si la sauvegarde a été faite avant leur création.
 

Je viens de te le dire.

Et sans casser et remonter mes DC?
 
PS: merci pour tes propositions ::