Rétablir un Active Directory après un incident majeur : retour d’expérience d’un DRP en conditions réelles

Retour d’expérience d’une intervention d’urgence menée pour une entreprise du secteur du Luxe, confrontée à la suppression accidentelle de plusieurs contrôleurs de domaine et nécessitant l’activation immédiate de son Plan de Reprise d’Activité.

Contexte

En cas de panne majeure, d’erreur humaine ou de cyberattaque, la capacité à restaurer l’Active Directory (AD) rapidement fait souvent la différence entre une interruption maîtrisée et une crise.

C’est exactement ce qu’il s’est passé pour l’un de nos clients du secteur du Luxe lorsqu’une mauvaise manipulation a conduit à la suppression accidentelle de plusieurs contrôleurs de domaine, compromettant l’intégrité de toute son infrastructure.

Malgré plusieurs heures de troubleshooting sans succès, une seule solution s’impose : le Plan de Reprise d’Activité (DRP) doit être déclenché.

Définition

Le DRP (Disaster Recovery Plan) est le plan qui permet de restaurer les services informatiques essentiels après un incident majeur. Il ne s’agit pas simplement de relancer des serveurs, mais de remettre l’infrastructure en ordre de marche, avec les bons outils, au bon moment, pour limiter l’impact sur les utilisateurs et sur l’activité.

Dans notre cas, il s’agit de restaurer une forêt composée d’un domaine hébergé dans le cloud, sur des machines virtuelles Azure.

Plan d’action

Microsoft Entra Connect :

La première étape consiste à arrêter le service Entra Connect afin d’éviter toute tentative de synchronisation pendant la restauration :

La restauration de la VM :

On identifie ensuite la dernière sauvegarde cohérente du contrôleur de domaine principal (celui hébergeant les rôles FSMO), puis on restaure la VM à cet instant :

Une fois restaurée, on se connecte à la machine avec le compte administrateur (RID-500) :

On vérifie que ce contrôleur fait autorité pour SYSVOL (DFSR ou FRS) et on transfère ou saisit les rôles FSMO si nécessaire :

Nettoyage et suppression :

On procède ensuite au nettoyage de l’environnement en supprimant les anciens DCs non fonctionnels et leurs métadonnées via ntdsutil

Il est nécessaire d’augmenter le pool RID de 100,00 par jour d’ancienneté de la sauvegarde restaurée afin d’éviter tout conflit d’identifiants (SID) lors de la reprise :

(Optionnelle) Sécurité :

Pour renforcer la sécurité du domaine, il est recommandé de réinitialiser deux fois le mot de passe du compte machine du contrôleur de domaine restauré à l’aide de PowerShell :

Reset-ComputerMachinePassword

Cette double réinitialisation efface l’historique des anciens mots de passe, empêchant la réplication avec un contrôleur de domaine antérieur.

Il est également conseillé de réinitialiser le mot de passe du compte KRBTGT (deux fois, avec un intervalle d’au moins 10 heures) :

Net user KRBTGT 6H&#jD#ICd^6g:cn+<tD9i /domain

Cette opération permet d’invalider tout les tickets kerberos qui ont été distribuées et ainsi de se prémunir contre une attaque par Golden Ticket.

Microsoft Entra Connect :

Enfin, on relance la synchronisation avec Microsoft Entra Connect:

Conclusion

La restauration de l’Active Directory principale est désormais finalisée. Il est possible de :

• Promouvoir de nouveaux contrôleurs de domaine

• Vérifier la réplication et les flux réseau

• Tester les authentifications

• Auditer l’infrastructure pour valider son bon fonctionnement

Ce type de procédure doit impérativement être documenté, testé régulièrement et intégré au Plan de Reprise d’Activité (PRA) globale de l’organisation.