Éviter une restauration USN

Si le domaine possède au moins deux contrôleurs et que vous devez restaurer l'un d'eux ou sa base de données, envisagez de prendre des mesures contre une restauration USN.

La probabilité qu'une restauration USN se produise lorsque vous restaurez l'ensemble d'un contrôleur de domaine à partir d'une sauvegarde de niveau disque basée sur VSS est faible.

Une restauration USN est hautement probable si l'une des conditions suivantes est remplie :

• Un contrôleur de domaine a été restauré partiellement : tous les disques ou volumes n'ont pas été restaurés ou seule la base de données Active Directory a été restaurée.
• Un contrôleur de domaine a été restauré à partir d'une sauvegarde créée sans VSS. Par exemple, la sauvegarde a été créée en utilisant un support de démarrage ou l'option Utiliser VSS était désactivée, ou encore le fournisseur VSS a mal fonctionné.

Les informations suivantes vous aideront à éviter une restauration USN en suivant quelques étapes simples.

Réplication et USN

Les données d'Active Directory sont constamment répliquées entre les contrôleurs de domaine. À n'importe quel moment donné, le même objet Active Directory peut avoir une version plus récente sur un contrôleur de domaine et une version plus ancienne sur un autre. Pour prévenir les conflits et les pertes d'informations, Active Directory fait le suivi des versions des objets sur chaque contrôleur de domaine et remplace les versions obsolètes par la version à jour.

Pour faire le suivi des versions des objets, Active Directory utilise des numéros appelés numéro de séquences de mise à jour (USN). Les versions les plus récentes des objets Active Directory correspondent aux USN les plus élevés. Chaque contrôleur de domaine conserve les USN de tous les autres contrôleurs de domaine.

Restauration USN

Après avoir effectué une restauration ne faisant pas autorité d'un contrôleur de domaine ou de sa base de données, le USN actuel de ce contrôleur de domaine est remplacé par l'ancien USN (inférieur) de la sauvegarde. Mais les autres contrôleurs de domaine n'ont pas connaissance de ce changement. Ils conservent toujours la dernière version connue (supérieure) du USN de ce contrôleur de domaine.

En conséquence, l'erreur suivante se produit :

• Le contrôleur de domaine restauré réutilise les anciens USN pour les nouveaux objets ; il commence par l'ancien USN provenant de la sauvegarde.
• Les autres contrôleurs de domaine ne répliquent pas les nouveaux objets du contrôleur de domaine restauré tant que son USN reste inférieure à celui qu'ils connaissent.
• Active Directory commence à avoir différents objets correspondant au même USN, c'est-à-dire qu'il devient incohérent. Cette situation est appelée une restauration USN.

Pour éviter une restauration USN, vous devez notifier le contrôleur de domaine du fait qu'il a été restauré.

Pour éviter une restauration USN

1. Immédiatement après la restauration d'un contrôleur de domaine ou de sa base de données, démarrez le contrôleur de domaine restauré et appuyez sur la touche F8 pendant le démarrage.
2. À l'écran Options de démarrage avancées, sélectionnez Mode de Restauration des services d'annuaire et connectez-vous au Mode de Restauration des services d'annuaire (DSRM).
3. Ouvrez l'Éditeur de registre, puis étendez la clé de registre suivante :

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

4. Dans cette clé de registre, examinez la valeur Compteur de la restauration précédente DSA. Si cette valeur est présente, notez son paramètre. N'ajoutez pas la valeur si elle est absente.
5. Ajoutez la valeur suivante à cette clé de registre :
   • Type de valeur : Valeur DWORD (32 bits)
   • Nom de la valeur : Base de données restaurée à partir d'une sauvegarde
   • Données de la valeur : 1
6. Redémarrez le contrôleur de domaine en mode normal.
7. [Facultatif] Après le redémarrage du contrôleur de domaine, ouvrez l'Observateur d'événements, développez Journaux des applications et des services, puis sélectionnez le journal Services d'annuaire. Dans le journal Services d'annuaire, recherchez une entrée récente pour l'ID d'événement 1109. Si vous trouvez cette entrée, double-cliquez dessus pour s'assurer que l'attribut InvocationID a changé. Cela signifie que la base de données Active Directory a été mise à jour.
8. Ouvrez l'éditeur de registre et vérifiez que le la valeur du paramètre Compteur de la restauration précédente DSA a augmenté de un par rapport à l'étape 4. Si la valeur Compteur de la restauration précédente DSA était absente dans l'étape 4, vérifiez qu'elle est présente maintenant et que son réglage est 1.

   Si vous voyez un paramètre différent (et que vous ne parvenez pas à trouver l'entrée de l'événement ID 1109), assurez-vous que le contrôleur de domaine restauré est mis à jour avec le service pack le plus récent, puis répétez la procédure entière.

Pour plus de détails à propos des USN et de la restauration USN, consultez l'article Microsoft Technet suivant : http://technet.microsoft.com/fr-fr/library/virtual_active_directory_domain_controller_virtualization_hyperv.aspx.