Thank you for reading this post, don't forget to subscribe!

Introduction

Active Directory est le cœur de ton infrastructure Microsoft.
Une forêt AD corrompue = arrêt total des authentifications, des GPO, des applications métier, et donc du business.

Un simple snapshot brut d’un hyperviseur, un ransomware, ou la suppression accidentelle d’une OU peuvent mettre ton SI à genoux.

Ce guide AD Forest Recovery Plan (avec conformité 3-2-1) détaille, étape par étape, les bonnes pratiques :

• Sauvegarde System State native (GUI et PowerShell),

• Sauvegarde VM-aware VSS (Hyper-V, VMware, Veeam),

• Sauvegarde hors site Azure Backup (MARS),

• Restauration non autoritative (classique),

• Restauration autoritative (objets/OU),

• Vérifications SYSVOL (DFSR),

• Supervision & tests réguliers.

Chaque commande, chaque clic GUI, chaque capture est documenté.

Pré-requis

• Un ou plusieurs contrôleurs de domaine Windows Server 2019/2022.

• Un compte Administrateur du domaine et local.

• Le mot de passe DSRM connu, stocké dans un coffre-fort.

Mettre à jour le mot de passe DSRM

Ce secret sert à se connecter en Directory Services Restore Mode (DSRM) lors des restaurations critiques.

Explication des commandes ntdsutil pour le mot de passe DSRM

set dsrm password

Cette sous-commande de ntdsutil permet de gérer le mot de passe du mode DSRM (Directory Services Restore Mode).

C’est ce mot de passe qui est utilisé quand un contrôleur de domaine démarre en mode restauration des services d’annuaire.

reset password on server null

Ici, on indique l’action à effectuer : réinitialiser le mot de passe DSRM.

Le mot-clé null signifie que l’opération s’applique au serveur local.

Si tu voulais réinitialiser le mot de passe DSRM sur un autre contrôleur de domaine distant, tu remplacerais null par le nom du serveur cible.

q q

Le premier q permet de quitter le contexte set dsrm password.

Le deuxième q permet de sortir complètement de l’outil ntdsutil.

Stratégie de sauvegarde 3-2-1 appliquée à AD

Principe :

• 3 copies de la sauvegarde,

• 2 supports différents,

• 1 copie hors site.

Matrice pratique :

Sauvegarde System State native

Installer Windows Server Backup

GUI

1. Ouvrir Server Manager → Manage → Add Roles and Features.

2. Choisir Feature-based installation.

3. Cocher Windows Server Backup.

4. Installer.

PowerShell

Lancer une sauvegarde immédiate

GUI

1. Windows Server Backup → Local Backup → Backup Once.

2. Choisir Custom → Add Items → System State.

3. Dans Advanced Settings, onglet VSS Settings, laisser VSS Full (par défaut).

4. Choisir un disque dédié (ex : E:).

5. Lancer le backup.

PowerShell

si tu as plusieurs solutions de sauvegarde qui tournent en parallèle, utilise -vssCopy au lieu de -vssFull.

Planifier la sauvegarde quotidienne

GUI

1. Windows Server Backup → Backup Schedule.

2. Ajouter System State.

3. Fréquence : Daily 02:00.

4. Destination : disque dédié ou volume E:.

5. Valider.

PowerShell

Scripts fournis a télécharger ci-dessous :

• Backup-SystemState.ps1 (sauvegarde + rotation + logs)

• Backup-SystemState-Daily-02h.xml (tâche planifiée)

Sauvegarde VM-aware (Hyper-V, VMware, Veeam)

Vérifier les Writers VSS

Tous les Writers doivent être Stable (notamment NTDS et DFS Replication).

Hyper-V — Production Checkpoints

GUI Hyper-V Manager

1. Clic droit VM (DC) → Settings → Checkpoints.

2. Coche Enable checkpoints + Production checkpoints.

3. Désactive l’option If production checkpoints fail, create standard….

4. Vérifie que les Integration Services (Time Sync, VSS) sont activés.

PowerShell

VMware vSphere — Quiesced Snapshots

GUI vSphere

1. Clic droit VM → Snapshots → Take Snapshot.

2. Décoche Snapshot the VM’s memory.

3. Coche Quiesce guest file system.

4. Valider.

Veeam — Application-aware Processing

GUI Veeam

1. Crée un Backup Job.

2. Ajoute le DC.

3. Onglet Guest Processing → Enable Application-aware processing.

4. Veeam doit détecter le Domain Controller.

5. Coche Require successful processing.

Contrôle post-job : le rapport doit indiquer Application-aware: Success.

Copie hors site avec Azure Backup (MARS)

Créer le Recovery Services Vault

Azure Portal → Create resource → Backup and Site Recovery → Recovery Services Vault.

Installer et configurer l’agent MARS

1. Télécharge l’agent MARS et les Vault Credentials.

2. Installe sur le DC.

3. Configure la passphrase (conserve-la hors ligne).

4. Crée une Backup Policy incluant System State.

5. Lance un Backup Now.

Surveiller :

• Event Viewer (Microsoft-Windows-Backup, Azure Backup)

• Console MARS (Job Status)

Restauration non autoritative (classique)

Entrer en DSRM

Connexion avec le compte local + mot de passe DSRM.

Restaurer le System State

GUI

1. Windows Server Backup → Recover.

2. Source : This server (ou un backup distant).

3. Choisir date/heure.

4. Type : System State.

5. Mode : Original location.

6. Lancer.

PowerShell

Vérifier après reboot

Restauration autoritative

Enchaînement correct

1. Restaurer System State en DSRM.

2. Ne pas redémarrer tout de suite.

3. Lancer une restauration autoritative des OU/objets voulus.

4. Redémarrer → réplication forcée vers les autres DC.

Exemple ntdsutil

Possible aussi objet par objet :

Vérifications post-restauration

SYSVOL (DFSR)

Vérifier backlog :

Logs DFSR :

Jamais de rollback brut de snapshot DC.
Si SYSVOL reste bloqué → procédure DFSR officielle ou reconstruction DC.

Supervision & tests

• Logs : Microsoft-Windows-Backup, Azure Backup.

• EventID critiques : 5, 9, 14, 49.

• Test annuel : simulation restauration autoritative en labo.

Commandes utiles

Bonus

Script GUI de restauration guidée a télécharger ci-dessous