Sauvegarder et restaurer un domaine

Cette rubrique vous explique comment effectuer les tâches suivantes dans le service géré pour Microsoft Active Directory:

Effectuez une sauvegarde de votre domaine existant afin d'enregistrer son état actuel.
Répertoriez les sauvegardes disponibles pour votre domaine.
Restaurer un domaine à un état antérieur à l'aide d'une sauvegarde.
Obtenez des informations de métadonnées sur une sauvegarde spécifique.
Mettez à jour les libellés de votre sauvegarde.
Supprimez les sauvegardes dont vous n'avez plus besoin.

Présentation

Le service Microsoft AD géré permet de sauvegarder et de restaurer vos domaines. Trois types de sauvegardes sont disponibles:

Sauvegarde à la demande:vous pouvez à tout moment effectuer une sauvegarde de votre domaine à la demande dans le service Microsoft AD géré. Vous pouvez créer jusqu'à cinq sauvegardes à la demande. Si un domaine contient déjà cinq sauvegardes à la demande, vous devez en supprimer une avant d'en créer une autre.
Sauvegarde planifiée:la sauvegarde planifiée est créée automatiquement toutes les 12 heures.
Sauvegarde de l'extension de schéma:le service Microsoft AD géré crée automatiquement une sauvegarde lorsque vous lancez l'extension de schéma. Un domaine peut contenir jusqu'à 10 sauvegardes d'extension de schéma à tout moment. Si un domaine possède déjà 10 sauvegardes d'extension de schéma, le service Microsoft AD géré supprime une sauvegarde d'extension de schéma existante dans l'ordre chronologique avant d'en créer une autre.

Vous pouvez utiliser n'importe lequel de ces types de sauvegarde pour effectuer une restauration faisant autorité, ce qui ramène le domaine à un moment antérieur.

L'opération de sauvegarde s'effectue à partir du contrôleur de domaine de la région principale. Une fois restauré, il se réplique automatiquement dans toutes les régions.

Notez que lors d'une restauration, vous ne pouvez pas utiliser votre domaine.

Avant de commencer

Assurez-vous d'avoir créé un domaine Microsoft AD géré.
Assurez-vous de disposer de l'un des rôles utilisateur IAM suivants:
- Administrateur de sauvegarde Google Cloud Managed Identities (roles/managedidentities.backupAdmin)
- Administrateur de domaine Google Cloud Managed Identities (roles/managedidentities.domainAdmin)
Pour en savoir plus, consultez la page Rôles Cloud Managed Identities.

Pour en savoir plus sur l'attribution d'un rôle IAM à un utilisateur, consultez la page Accorder l'accès.

Recueillir des informations

Vous avez besoin des informations suivantes pour utiliser des sauvegardes:

Nom de domaine:nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
Nom de la sauvegarde : le nom de la sauvegarde doit respecter les règles ci-dessous.
- Le nom doit commencer par une lettre.
- Doit contenir entre 1 et 63 caractères.
- Doit se terminer par un chiffre ou une lettre.
- Doit être unique au sein du domaine.
Remarque :Les sauvegardes planifiées et par extension de schéma génèrent automatiquement le nom de la sauvegarde avec un horodatage. Le code temporel correspond à la date de création de la sauvegarde. Par exemple, scheduled-backup-2021-12-19-215800.

Utiliser les sauvegardes à la demande

Vous pouvez créer une sauvegarde à la demande de votre domaine et mettre à jour ses libellés. Vous pouvez exécuter les commandes gcloud CLI suivantes à partir du projet dans lequel vous avez créé votre domaine Microsoft AD géré.

Créer une sauvegarde à la demande

Pour créer une sauvegarde à la demande de votre domaine, exécutez la commande gcloud CLI suivante:

gcloud active-directory domains backups create BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

Remplacez les éléments suivants :

BACKUP_NAME: nom de la sauvegarde de domaine à la demande. Par exemple, my-domain-backup.
DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.

Vous recevez la réponse suivante qui indique que la création de la sauvegarde a commencé :

Create request issued for: [BACKUP_NAME]
Waiting for operation [OPERATION_ID] to complete...

La création d'une sauvegarde peut prendre jusqu'à 90 minutes. Vous pouvez également ajouter l'option --async pour exécuter la commande en arrière-plan. Notez que vous pouvez répéter ce processus pour créer jusqu'à cinq sauvegardes à la demande indépendantes pour un domaine.

Mettre à jour les étiquettes pour une sauvegarde à la demande

Pour mettre à jour les étiquettes d'une sauvegarde à la demande, exécutez la commande gcloud CLI suivante:

gcloud active-directory domains backups update BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID \
  --update-labels=KEY=VALUE

Remplacez les éléments suivants :

BACKUP_NAME: nom de votre sauvegarde de domaine à la demande. Par exemple, my-domain-backup.
DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.
KEY et VALUE: paire clé-valeur que vous souhaitez ajouter à la sauvegarde de votre domaine. Exemple : backupcount=1.

Gérer les sauvegardes

Pour gérer tous les types de sauvegardes, vous pouvez exécuter les commandes de gcloud CLI suivantes à partir du projet dans lequel vous avez créé votre domaine Microsoft AD géré.

Répertorier des sauvegardes

Vous pouvez répertorier les sauvegardes créées pour un domaine spécifique. Exécutez la commande de gcloud CLI suivante :

gcloud active-directory domains backups list \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

Remplacez les éléments suivants :

DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.

Obtenir des informations sur la sauvegarde

Vous pouvez récupérer toutes les informations spécifiques à une sauvegarde de domaine. Exécutez la commande de gcloud CLI suivante :

gcloud active-directory domains backups describe BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

Remplacez les éléments suivants :

BACKUP_NAME: nom de la sauvegarde de votre domaine. Par exemple, my-domain-backup.
DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.

Supprimer une sauvegarde

Pour supprimer une sauvegarde, exécutez la commande gcloud CLI suivante:

gcloud active-directory domains backups delete BACKUP_NAME \
  --domain=DOMAIN_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

Remplacez les éléments suivants :

BACKUP_NAME: nom de la sauvegarde de votre domaine. Par exemple, my-domain-backup.
DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.

Restaurer un domaine à partir d'une sauvegarde

Vous pouvez restaurer un domaine à un état précédent en utilisant n'importe laquelle de ses sauvegardes.

Avant de restaurer un domaine, veillez à consulter ces points à prendre en compte.

Pour restaurer un domaine, exécutez la commande gcloud CLI suivante à partir du projet dans lequel vous avez créé votre domaine Microsoft AD géré.

gcloud active-directory domains restore DOMAIN_NAME \
  --backup=BACKUP_NAME \
  --project=DOMAIN_RESOURCE_PROJECT_ID

Remplacez les éléments suivants :

DOMAIN_NAME: nom de votre domaine Microsoft AD géré. Par exemple, my-domain.example.com.
BACKUP_NAME: nom de la sauvegarde de votre domaine. Par exemple, my-domain-backup.
DOMAIN_RESOURCE_PROJECT_ID: ID du projet de ressource du domaine. Par exemple, my-project.

Vous recevez la réponse suivante qui indique que le processus de restauration a démarré :

Request issued for: [DOMAIN_NAME]
Waiting for operation [OPERATION_ID] to complete...

La restauration d'un domaine peut prendre jusqu'à 90 minutes. Vous pouvez également ajouter l'option --async pour exécuter la commande en arrière-plan.