Reprise du message précédent :

FYP

Consent machin tourne en boucle sur certains sites  

 
Question : Comment backuper/restaurer un AD ?
 
Ça fait plusieurs années qu’il est dit que : non pas de snap/veam sur AD.  
J’entend parler de ce qu’il faut pas faire avec l’ad mais j’ai pas encore trouvé un client/tech capable de remonter un AD save. Y’a un loup/galère derrière ce truc ?

Déjà, plusieurs DC, pour pas être impacté par une panne réseaux/hard ou une erreur humaine à la con ("nan mais cette VM sert à rien" ).
Ensuite t'a plusieurs outils qui vont savoir sauvegarder le contenu de ton AD (et pas faire un Snap de la VM).
Et si vraiment, y'a la méthode Maersk.

C'est parfaitement documenté depuis quoi...15 ans ?
On peut tout à fait faire des snapshots et des sauvegardes Veeam d'un AD en 2020, mais il y a des prérequis.
Mais bon à part un scénario type PRA, tu as tout ce qu'il faut nativement depuis quelques années.

Vraie question, pourquoi un snap de la vm / backup veeam est déconseillé ?

car tu restore tout, il faut restauré que les elements AD

Microsoft n'aime pas trop les sauvegardes snap sur AD/Exchange. Souvent en raison du "quiesce".

Edit : Et de plus en plus sur les appliances VMware. Pas de snap sur vCenter, pareil pour NSX.

expliquez aux noobs

La même raison que tu ne peux pas sauvegarder une base de données aussi facilement qu'un soft "standard", surtout une base de données multimaîtres comme l'AD. Elle a sa propre logique interne qui ne peut pas être prise en compte dans une sauvegarde standard, qui va être incapable de gérer la consistence de son état.

Je suis pas expert sécu, loin de là mais j'ai vu passer quelques scénarios assez similaires chez des clients ces derniers mois.
Et y'a pas mal de questions qui se posent : quand ton environnement a été compromis, restaurer c'est bien (à condition que les sauvegardes soient encore accessibles ).
Mais restaurer combien de temps en arrière? Depuis combien de temps t'es compromis? Et est-ce que tu peux te permettre de restaurer aussi loin? Ca a l'air impossible d'être catégorique sur cette question.
 
Et donc pour regagner la confiance tu dois réinstaller des serveurs propres, reset tous les comptes dont le krbtgt, c'est pas anodin!
 

Mais l'application aware processing chez Veeam, ça suffit pour restaurer des items AD/Exchange non ?

Oui le quiesce marche pas trop bien (parce que le timeout MS pour flush la mémoire ne peut plus se configurer maintenant, et qu'au bout de 10 secs ça finit par abandonner).

De notre côté on a trouvé 2 workaround (qui marche sur des ADs répliqués ou du MS SQL) :

• offline backup (la VM s'éteint, snapshot, boot de suite) -> on a forcément sauvegardé un truc cohérent. Au reboot, elle se resynchro à l'autre AD. C'est con, mais ça marche
• RAM enabled backup (on sauve la VM avec sa RAM, donc quand on restore on a rien perdu, même les morceaux « en vol »)

Sur la deuxième solution, ça fait 6 mois que c'est dispo et on a eu aucun ticket de support nous parlant de problèmes avec. Donc j'imagine que ça fonctionne bien même avec des trucs un peu zarbi (vu la base d'utilisateurs, en général quand un truc est pété dans des cas qu'on a pas pu tester, ça remonte bien avant d'arriver sur XOA stable). D'ailleurs la communauté qui aime tester les dernières versions dans « master » est un super canari
Pour la première solution, ça date d'au moins 2 ans, et j'ai vu le résultat marcher chez des clients de mes yeux

Ah sinon j'en ai une bonne sur le support, vous allez kiffer, ça change des mecs mauvais techniquement. On a un petit malin qui a voulu contourner un truc, ça a fait effet boomerang

teaser c'est le mal

Allez, je prend le temps de vous la raconter, je sais que vous aimer ces histoires

Ça commence par un ticket. Dans notre système, on voit l'email du compte et le niveau de support/produit qu'il possède. En l’occurrence, il est en « Starter », à 70€/mois (vraiment pas cher, et ta tout de même du backup en mode « full » sans limites de taille/conservation/nombre de VM).

Le mec nous dit : « Depuis une MAJ récente, j'arrive plus à utiliser la connexion via le LDAP, OSCOUR MES UTILISATEURS PEUVENT PLUS SE CONNECTER ».

Moi :   Mais attends, la connexion via le LDAP c'est dans la version Enterprise (200€/mois), je comprend pas.

Le client : Ah non mais moi ça marchait comme ça depuis toujours hein, et je suis en Starter. Pourquoi ça marche plus là ? J'ai fait un snapshot pour revenir en arrière sur une version qui marche, mais dès que je met à jour ça casse !

Moi : Euh mais je comprend pas comment c'est possible… Pouvez vous ouvrir un tunnel de support que j'accède à votre VM à distance ? (un genre de teamviewer mais en SSH via un tunnel inverse)

Le client : Euh… attendez.   Euh… il faut que j'efface des informations confidentielles sur la VM d'abord avant de vous donner un accès…

Donc en vérité, on pense savoir comment il a fait :

• Il a acheté un Starter
• Il a installé le plugin LDAP via "npm" (le gestionnaire de paquet de NodeJS) à la main, et doit avoir un script pour le repasse après chaque MAJ
• Le truc c'est qu'on met plus à jour les paquets NPM depuis longtemps, car on les distribue pas comme ça
• On a fait une MAJ du plugin LDAP pour supporter la synchro des groupes LDAP, et on a changé l'API. Donc si tu as une veille version du plugin (celle de npm) ça casse
• Et derrière, le mec demande du support là dessus  
• Quand on demande de voir le résultat, il veut faire le ménage dessus d'abord, pour planquer ses scripts…

Pas faux qu'en cas pareil, ca parait pas fou de tout réinstaller, t'es pas trop sur de ce qu'un éventuel assaillant à pu laisser dans ton infra.

Bien sûr. Tu fais une restauration de forêt, tu consolides tes VM, puis tu passes sur tous tes comptes/permissions pour tout réinitialiser.
Je te laisse imaginer l'impact sur uen boîte avec des dizaines de milliers de comptes, dont une part non négligeable de comptes de service/comptes d'applicatifs. Ca devient un travail de titan : tu repasses sur tous les équipements et toutes les applis de la boîte.
 
Ah, et si tu as des relations d'approbations, tu peux également considérer les forêts liées comme compromises, et il faudra faire la même chose chez elles
 
Enfin, en théorie. J'ai vu pas mal de boîtes s'arrêter à "restauration de forêt". Faudra voir ce qu'ils font chez Sopra

Oui, sachant qu'en natif tu as déjà des solutions. La corbeille Active Directory c'est 2008 R2.

La première est supportée, et je la recommande même plutôt que d'aller coller un compte de service Domain Admin dans Veeam.
La deuxième n'est pas supportée, ça ressemble fortement à du system state backup DIY mais je ne parierai pas dessus. Le jour où tu as un pépin le support Microsoft t'enverra probablement cordialement paître.

 
plus personne ne change de disque depuis 10 ans non plus  

Franchement te lire donne vraiment, mais alors vraiment pas du tout envie de se lancer dans le secteur
 
Au passage j'ai découvert NPM l'an dernier, putain quel turbo bordel

 
Globalement tous les gestionnaires de paquets liés à des langages de programmation c'est de la merde  

J'ai essayé de me servir de npm il y a quelques jours pour installer un truc qu'on ne trouve plus en version exécutable classique.
J'ai lamentablement échoué, tout en ayant installé une tonne de merde sur mon PC  

Et encore, t'a pas vu ce qu'il se passe quand un mainteneur d'une petite dépendance utilisée par TOUT LE MONDE décide de désactiver son repo.
Plus personne ne peut déployer son appli

 
Sans déconner, j'ai trouvé ca d'un relou... Surtout pour récupérer le boulot d'un collègue en mode "chez moi ca marche, t'as qu'à bosser en root sur la même distrib que moi". Mais putain  

Et sans SElinux. Et Fw désactivé, et...

Maven, c'est plutôt pas mal. Vu la facilité de customisation via l'écriture de plug-ins.
A+,

Je voulais parler des repositories globaux liés à des langages, comme npm, pypi etc. Je n'ai pas l'impression que maven soit ce genre de chose.

 
et le dev créa docker pour résoudre ces problèmes  

Maven le build tool (customisable) est assez orthogonal à Maven le mécanisme de publication et résolution de dépendances.
 

En pratique la plupart des bibliothèques sont sur Maven central.

C'est tellement ça

²

 
humm...  

Haann les joies de l'Open Source vu par des big corps qui comprennent toujours pas comment ça marche
 
Six triques qui s'énerve en interne suite à un bug qu'on leur fait remonter (genre « gnagna ils ont qu'à faire une pull request sur Github avec le fix »). Sauf que le code en question est… pas sur GitHub Enfin au final le code est seulement dispo sur GitHub… chez nous ! Parce qu'on extrait leurs tarball pourrie pour en créer un dépôt et appliquer nos fix par dessus
 
Bref, on a des bons gagnants chez eux  

"Les mecs ils nous piquent notre code et en plus ils voudraient qu'on le corrige pour eux? "

 
Ça affecte leur produit Et nous on serait ravi de faire PR, mais on peut même pas C'est débile, ils perdent un fix gratuit

 
 
donc en fait tu veux corriger gratuitement leur version et ils refusent ?