Les effets sur les approbations et comptes d'ordinateur lorsque vous effectuez une restauration faisant autorité des Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 216243 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

La fonctionnalité de restauration forcée permet à un administrateur de sélectionner des objets et les arborescences d'objets d'objets à partir d'une base de données Active Directory archivé et les restaurer sur un contrôleur de domaine. Ce processus entraîne l'Active Directory pour répliquer cet état restauré (l'état du système) des objets, remplaçant les copies actuellement en attente sur tous les contrôleurs de domaine du domaine. Les objets restaurés et leurs attributs sont associés à une version qui est supérieure à l'ensemble actuel des objets de domaine. Par défaut, les objets restaurés et leurs attributs sont affectées à une version qui est supérieure à la version dans la sauvegarde de 100 000.

Pour plus d'informations sur le processus de restauration faisant autorité, consultez la rubrique «Restauration faisant autorité» dans l'aide de sauvegarde Windows et de l'article suivant de la base de connaissances :
241594Comment faire pour effectuer une restauration faisant autorité à un contrôleur de domaine dans Windows 2000

Plus d'informations

Par défaut, d'approbation passe de compte relation et ordinateur est négociées tous les trente jours, sauf pour les comptes d'ordinateur qui peuvent être désactivés par l'administrateur.

Lors de la restauration faisant autorité Active Directory sur un contrôleur de domaine, un mot de passe antérieure pour les objets Active Directory qui gèrent les relations d'approbation et les comptes d'ordinateur peut être restauré. Dans les relations d'approbation, cette modification peut désactiver la communication avec d'autres contrôleurs de domaine à partir d'autres domaines. Un mot de passe de compte d'ordinateur, cette modification peut désactiver la communication entre la station de travail membre ou serveur et un contrôleur de domaine de son domaine.

Par défaut, les comptes d'ordinateur sont conservés dans le conteneur Active Directory suivant :
CN = Computers, DC = domain
Ce conteneur par défaut et les comptes d'ordinateurs peuvent être déplacés vers des unités d'organisation dans Active Directory.

Par défaut, les comptes d'approbation sont conservées dans le conteneur Active Directory suivant :
CN = Users, DC = domain
Les comptes d'approbation sont nommés après le nom de domaine NETBIOS du domaine autorisé à approuver par le signe dollar ($) ajouté et indicateurs spéciaux définis. Ils sont masqués par Active Directory utilisateurs et ordinateurs, mais ils sont visibles lorsque vous utilisez l'éditeur ADSI ou l'outil LDP.

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
324949Rediriger les utilisateurs et les ordinateurs des conteneurs dans les domaines Windows Server 2003
Les objets domaine approuvé qui représentent le côté autorisé à approuver des approbations sont situés dans le conteneur Active Directory suivant :
CN = system, DC = domain
Cet emplacement ne peut pas être déplacé. Ne pas effectuez une restauration faisant autorité de ce conteneur et ses objets feuilles enfant immédiat, à moins que vous devez. Pour restaurer la topologie de réplication d'un volume DFS, vous pouvez restaurer des sous-conteneurs, tel que le conteneur FRS.

Remarque Windows 2000 conserve l'historique des deux mots de passe sur le composant de domaine approuvé d'une relation d'approbation.Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
154501Comment faire pour désactiver les modifications de mot de passe du compte ordinateur automatique

Effectuez la restauration d'un contrôleur de domaine

Lorsqu'un contrôleur de domaine est remplacé ou doit être récupéré à partir de défaillance matérielle, uniquement une restauration à partir de la sauvegarde la plus récente d'un contrôleur de domaine est nécessaire si les données sur les autres contrôleurs de domaine sont connues, dont le fonctionnement a été vérifié.

Après le processus de restauration, réplication Active Directory démarre automatiquement la propagation des modifications à partir d'autres contrôleurs de domaine qui s'est produite après l'heure de la sauvegarde.

Restauration faisant autorité d'un contrôleur de domaine

Lorsque autres contrôleurs de domaine existent, mais vous devez récupérer des données, soyez prudent lorsque vous effectuer une restauration faisant autorité des données dans le contexte de nommage de domaine. Données de relation d'approbation résident dans le contexte d'appellation de domaine pour les deux relations parent-enfant à des domaines Windows 2000 de la forêt et pour les approbations NTLM/Kerberos pour domaines Directory pre-Active.

Si la restauration de données est nécessaire, effectuez une restauration faisant autorité uniquement les parties du contexte de nommage. Si vous restaurez le contexte d'appellation complète, tous les mots de passe d'ordinateur et les mots de passe de relation d'approbation sont restaurés. Lorsque ces mots de passe sont restaurés, ils peuvent devenir non valides, car les mots de passe ont été renégociées après la sauvegarde. Par conséquent, les mots de passe peuvent ne plus être synchronisés et doivent être redéfinies.

Pour rétablir les relations d'approbation NTLM Windows Active Directory ou domaines Directory pre-Active, vous devez supprimer et recréer l'approbation. Si vous devez effectuer cette opération pour plusieurs domaines, vous pouvez utiliser l'utilitaire NETDOM fourni avec le Kit de ressources techniques Windows 2000 pour ce faire à l'aide d'un processus de traitement par lots. Lorsqu'il existent d'autres contrôleurs de domaine et une restauration faisant autorité est effectuée, les objets qui ont été créés dans le contexte de nommage après la sauvegarde reste dans Active Directory.

Par exemple, un scénario possible est la suivante :
  • Jour 1, l'administrateur effectue une sauvegarde du système.
  • Le jour 2, l'administrateur crée un utilisateur nommé «Utilisateur Two», et ces données réplique sur d'autres contrôleurs de domaine du domaine.
  • Jour 3, l'utilisateur nommé «Utilisateur One» est supprimé par inadvertance.
  • Jour 4, une restauration forcée du contrôleur de domaine est exécutée avec la sauvegarde créée le jour 1.
Par conséquent, à la fois un utilisateur et deux utilisateurs existent dans le domaine.

Restauration faisant autorité d'un contrôleur de domaine lorsqu'aucun autre contrôleur de domaine n'existe

Lorsqu'aucun autre contrôleur de domaine n'existe pour répliquer les modifications récentes à un système restauré ou qu'une restauration faisant autorité est nécessaire de ramener les contrôleurs de domaine dans un état connu, vous devez effectuer une restauration forcée de l'ensemble de contexte d'appellation.

Ce processus crée le même scénario comme nous l'avons vu précédemment. Si approbation relations ou les mots de passe de compte d'ordinateur sont effectuées, vous devrez les réinitialiser.

Propriétés

Numéro d'article: 216243 - Dernière mise à jour: mardi 20 février 2007 - Version: 4.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Mots-clés : 
kbmt kbinfo KB216243 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 216243
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com