Code : MO-AD-006 | Version : 1.3 | Date : 15 avril 2026 | Auteur : Cedric LEGRAND
MAJ v1.3 (15/04/2026) : ajout des renvois croisés explicites — vers MO-AD-002 (le backup SystemState est le seul vecteur de rollback authoritative en cas d'échec critique de la rotation
krbtgt, via DSRM) et vers MO-AD-008 §5.5 (mise à jour denas.credaprès rotation NAS). Section « Voir aussi » ajoutée en fin de document.MAJ v1.2 (14/04/2026) : ajout de la section 4.6 sur la gestion du fichier
C:\Backups-AD\nas.cred(credentials NAS externalisés avec ACL restrictive SYSTEM+Administrators) et procédure de mise à jour lors d'une rotation MDP NAS. Voir aussi MO-AD-008 pour la rotation périodique.
¶ 1. Objet
Ce mode operatoire decrit la procedure complete de sauvegarde de l'Active Directory du controleur de domaine principal (DC1) via un backup SystemState, et le transfert de cette sauvegarde vers un stockage externe. Le backup SystemState inclut l'ensemble des composants critiques du controleur de domaine :
- Base de donnees Active Directory (
ntds.dit) - Repertoire SYSVOL (strategies de groupe, scripts d'ouverture de session)
- Registre Windows
- Fichiers de demarrage et partition EFI
- Donnees des services de certificats
- Base d'enregistrement COM+
Contexte critique : L'infrastructure BTS SIO ne disposait d'aucune sauvegarde de l'Active Directory depuis juin 2022, soit 1 371 jours sans backup au moment de la redaction de ce document. Cette procedure a ete executee pour la premiere fois le 7 avril 2026.
¶ 2. Champ d'application
| Element | Detail |
|---|---|
| Public concerne | Enseignants de l'equipe BTS SIO, administrateurs infrastructure |
| Systeme | DC1 - Srv2022 (10.0.112.2), Windows Server 2022 |
| Cible de sauvegarde | NAS Scotty (10.0.112.5) ou tout support de stockage reseau/local |
| Duree estimee | 1 heure (backup ~45 min + copie ~15 min) |
| Taille typique | 10-15 Go |
¶ 3. Prerequis
- Fonctionnalite Windows Server Backup installee sur DC1
- Acces WinRM ou RDP au controleur de domaine
- Compte Administrateur du domaine
- Connectivite reseau vers le stockage cible (NAS, partage SMB)
- Pre-checks AD effectues (cf. MO-AD-005 - Sante de l'Active Directory)
- Espace libre suffisant : ~20 Go sur
C:et ~15 Go sur la cible
¶ 4. Procedure
¶ 4.1 Verifier l'installation de Windows Server Backup
Get-WindowsFeature Windows-Server-Backup
La colonne Install State doit indiquer Installed. Si la fonctionnalite n'est pas installee :
Install-WindowsFeature -Name Windows-Server-Backup
L'installation de Windows Server Backup ne necessite aucun redemarrage du serveur.
¶ 4.2 Methode A - Backup via VHD local (recommande)
DC1 ne dispose que d'un seul volume (C:). Or, wbadmin refuse de sauvegarder le SystemState sur le volume source. La solution retenue consiste a creer un disque virtuel VHD qui se comporte comme un volume separe.
¶ Creer le disque virtuel (VHD)
Ouvrir une invite de commandes elevee, puis lancer diskpart :
diskpart
Dans la console diskpart, executer :
create vdisk file="C:\Backups-AD\backup.vhdx" maximum=20480 type=expandable
select vdisk file="C:\Backups-AD\backup.vhdx"
attach vdisk
¶ Initialiser et formater le VHD
Toujours dans diskpart, selectionner le nouveau disque (generalement Disk 1) :
select disk 1
convert gpt
create partition primary
format fs=ntfs label="AD-Backup" quick
assign letter=D
exit
Le parametre
type=expandablecree un VHD a taille dynamique : le fichier.vhdxn'occupe sur disque que l'espace reellement utilise par les donnees.
¶ Lancer le backup SystemState
wbadmin start systemstatebackup -backupTarget:D: -quiet
Le processus se deroule en plusieurs phases :
- Identification des volumes : wbadmin determine les volumes a inclure
- Creation du snapshot VSS : un Volume Shadow Copy est cree pour garantir la coherence
- Enumeration des fichiers : inventaire complet (183 373 fichiers lors de la premiere execution)
- Copie des donnees : transfert vers le volume cible
- Verification : controle d'integrite de la sauvegarde
Duree totale : environ 45 a 60 minutes pour la premiere execution. Les sauvegardes ulterieures seront plus rapides (mecanisme incrementiel).
¶ Verifier le backup
wbadmin get versions
Verifier que le champ Can recover mentionne bien System State.
¶ Demonter le VHD
diskpart
select vdisk file="C:\Backups-AD\backup.vhdx"
detach vdisk
exit
¶ 4.3 Copier le backup vers le NAS
DC1 peut ecrire directement sur le NAS Scotty via SMB, a condition d'utiliser des credentials NTLM explicites. Le NAS QNAP (QTS 4.2.6) ne supporte pas Kerberos, et DC1 tente Kerberos par defaut en tant que controleur de domaine. L'authentification NTLM forcee contourne cette limitation.
1. Monter le partage NAS avec credentials NTLM :
net use X: "\\10.0.112.5\Partage NAS" /user:admin MOT_DE_PASSE
2. Copier le VHD vers le NAS :
copy C:\Backups-AD\backup.vhdx X:\Backups-AD\backup_systemstate_YYYY-MM-DD.vhdx
3. Liberer le lecteur reseau :
net use X: /delete
Le fichier VHD pese environ 12-13 Go. Sur le reseau local Gigabit, le transfert prend entre 10 et 15 minutes.
4. Verifier la copie sur le NAS :
La taille du fichier sur le NAS doit correspondre exactement a celle du fichier source. Premiere sauvegarde (7 avril 2026) : 13 358 858 240 octets (12,44 Go).
net useavec credentials explicites.
¶ 4.4 Methode B - Copie via relais Linux (alternative)
Si la methode directe DC1->NAS echoue (par exemple en cas de changement de configuration du NAS), un poste Linux peut servir de relais :
1. Recuperer le VHD depuis DC1 :
smbclient //10.0.112.2/C$ -U 'BTS\Administrateur%MOT_DE_PASSE'
smb: \> cd Backups-AD
smb: \> get backup.vhdx
2. Envoyer le VHD vers le NAS Scotty :
smbclient "//10.0.112.5/Partage NAS" -U 'admin%MOT_DE_PASSE'
smb: \> put backup.vhdx
¶ 4.5 Automatisation du backup
Un script automatise est deploye sur DC1 et prend en charge l'ensemble du cycle de sauvegarde. Il est execute via une tache planifiee chaque dimanche a 3h00, sous le compte SYSTEM.
¶ Deroulement du script
- Verification des prerequis : espace disque suffisant, Windows Server Backup installe
- Montage du VHD via diskpart
- Execution du backup :
wbadmin start systemstatebackup -backupTarget:D: -quiet - Demontage du VHD apres le backup
- Copie vers le NAS avec credentials NTLM explicites
- Rotation : conservation des 3 derniers backups sur le NAS, suppression des plus anciens
¶ Tache planifiee
| Parametre | Valeur |
|---|---|
| Declencheur | Dimanche, 3h00 |
| Compte d'execution | SYSTEM |
| Frequence | Hebdomadaire |
| Retention NAS | 3 derniers backups |
C:) ne protege pas contre une defaillance du disque. La copie systematique vers le NAS est essentielle pour assurer la protection des sauvegardes.
¶ 5. Checklist de verification
- Windows Server Backup est installe
- Le VHD est cree et monte en
D: -
wbadmin get versionsaffiche au moins une sauvegarde recente - Le champ
Can recovermentionne System State - Le VHD a ete copie sur le NAS (taille identique au fichier source)
- Le VHD a ete demonte proprement apres la copie
- Espace suffisant restant sur
C:et sur la cible de stockage - La tache planifiee est active et configuree (dimanche 3h00)
¶ 6. Mise a jour : Resolution SMB DC1-NAS (09/04/2026)
Bonne nouvelle : La limitation SMB identifiee le 07/04 a ete resolue. DC1 peut desormais ecrire directement sur le NAS.
¶ Cause de l'echec initial
Le NAS QNAP (QTS 4.2.6) ne supporte pas l'authentification Kerberos. DC1, en tant que controleur de domaine, tente Kerberos par defaut, ce qui echoue systematiquement (erreur 58).
¶ Solution retenue
Utiliser des credentials NTLM explicites via net use :
net use X: "\\10.0.112.5\Partage NAS" /user:admin MOT_DE_PASSE
copy C:\Backups-AD\backup.vhdx X:\Backups-AD\backup_systemstate_YYYY-MM-DD.vhdx
net use X: /delete
¶ Caracteristiques techniques du NAS
| Parametre | Valeur |
|---|---|
| Protocoles SMB | 2.0.2, 2.1.0 |
| Kerberos | Non supporte |
| Chiffrement SMB3 | Non supporte |
| Signing | Supportee (non requise) |
| Authentification | NTLM uniquement |
¶ 7. Depannage
| Probleme | Solution |
|---|---|
wbadmin refuse C: comme cible |
Utiliser la methode VHD decrite en section 4.2 |
| « Le volume est inclus dans la sauvegarde » | Meme cause : la cible et la source sont sur le meme volume. Le VHD monte en D: resout ce probleme. |
| Erreur VSS writer | Verifier : vssadmin list writers. Si un writer est en echec, redemarrer le service Volume Shadow Copy : Restart-Service VSS |
| Erreur 58 lors de la copie vers le NAS | Le NAS ne supporte pas Kerberos. Utiliser net use avec credentials NTLM explicites (section 4.3) |
NT_STATUS_DISK_FULL pendant la copie |
Espace insuffisant. Le VHD complet pese environ 12-15 Go. |
| Le VHD ne se demonte pas | Fermer l'Explorateur de fichiers, arreter tout processus accedant au volume, relancer detach vdisk |
| Backup tres long (> 2h) | La premiere execution est la plus longue. Les suivantes beneficient du mecanisme incrementiel. |
| La tache planifiee ne s'execute pas | Verifier le compte d'execution (SYSTEM), les conditions de declenchement et les logs dans l'Observateur d'evenements |
¶ Voir aussi
- MO-AD-002 — Rotation du compte krbtgt — le backup décrit ici est le seul vecteur de rollback (restauration authoritative DSRM) en cas d'échec critique de la rotation
krbtgt - MO-AD-005 — Vérification santé AD (prérequis avant tout backup)
- MO-AD-007 — Audit périodique AD (contrôle que le dernier backup date de moins de 7 jours)
- MO-AD-008 — Rotation MDP critiques §5.5 — mise à jour de
nas.credaprès rotation du mot de passe NAS