WIN – Windows Backup – erwan.guillemard

La sauvegarde, éternel sujet de conversation des dirigeants d’entreprises et des SysAdmins. J’ai déjà abordé le sujet de la sauvegarde d’un SI¹ avec des solutions tierces comme… VEEAM l’ayatollah cross plateforme aux yeux d’émeraudes ! (Non encore une fois, je n’ai toujours pas d’actions). Toutefois, il y des solutions natives aux systèmes d’exploitation permettant de réaliser une sauvegarde complète de ce dernier.

Sur les SEs² LINUX il existe le bon vieux RSYNC³ des familles (et bien d’autres solutions mais je souhaite regarder uniquement les solutions natives). Sous Windows il y a la fonctionnalités Windows Backup.

Encore une fois, le titre étant d’une explicité déconcertante, je voulais aborder de la sauvegarde WINDOWS à travers Windows Backup.

Prérequis

SE : Windows Server 2k19 et version ultérieures
Apps : VMWare/Hyperv
Autres :
- Powershell
- Windows Admin Center
- RSAT⁴

Avant Propos

Naturellement, il existe une multitude d’article sur la toile sur l’implémentation de cette fonctionnalité. Vous lecteurs, vous pourriez penser de m part que j’essaie de combler un manque de sujet à couvrir en réalisant cette publication.

Que nenni vous dis-je !

Je souhaite réaliser ce billet surtout pour moi. Ayant débuté il y a peu de sculpter mon CORE de SysAdmin Windows, je veux faire de ce billet mon MODUS OPERANDI et ne pas m’amuser à jongler entre la doc officiel technet et mes journaux de logs.

Si vous souhaitez passer votre route, je n’y vois pas d’inconvénients. Il existe bien des tutoriels et autres guides (mais ce n’est pas le miens).

L’article sera moins volumineux que les précédents et je souhaite aborder les aspects de configuration GUI⁵ et CLI⁶.

Théorie

Histoire

Il a toujours été question de réaliser des sauvegardes des systèmes d’informations et ceux depuis leurs créations. Un jour, un gars a dû faire un truc. Super ça marche (avec des chaussures) ! Puis une modification et « Pouf ça ne marche plus (les chaussures ont été enlevé) ». Conséquence ? Il faut tout refaire… Alors que s’il y avait un moyen de restaurer depuis un checkpoint ou une sauvegarde il gagnerait du temps !

Cela va même plus loin que l’IT car cette notion de sauvegarde est intimement liée aux médias. Si les acteurs de la sauvegarde sont des logiciels de nos jours, à une époque reculée c’étaient des Hommes (scribes, moines copistes, druides, chamanes…). La véracité de l’information à protéger de l’oublie pose toutefois un problème car nous n’admettons pas de droit à l’erreur.

Imaginez une faute de copie et vous changer le sens de la donnée ?

Mangeons, ma poule <-> VERSUS <-> Mangeons ma poule

Admettons que je surnomme affectivement ma compagne « ma poule » (Gros misogyne, de patriarcat, sexiste de tes morts ! Tout doux, c’est pour l’exemple), le sens de la phrase n’est pas le même et donc si la première suggère de déjeuner avec ma compagne, la seconde phrase indique que je suis anthropophage…

C’est pourquoi Windows dans ces premières versions a inclut cette fonctionnalité, NTBackup. Son objectif, réaliser une copie de données sur des médias de type bande (tape) ou disquette (floppy). Il faut le voir comme un gros copié/collé. Puis progressivement au fil des version, l’utilitaire NTBackup a évolué avec des fonctionnalités complémentaires. Cela s’explique naturellement par l’évolution de la technologie et de tout ce qui gravite autour en comprenant également l’accessibilité des PCs⁷ à un public professionnel et personnel.

Il faudra attendre Windows Serveur 2008 pour que NTBackup tire sa révérence après (il me semble 11 ans de bon et loyaux services). L’évolution du SE et encore une fois son usage a voulu à Microsoft de développer un nouvel outil, Windows Server Backup. La différence entre les deux est justifiés par la prose en compte de plusieurs types de média de stockage ainsi que la possibilité de sauvegarder les partitions systèmes (séparément) etc. Cet utilitaire a évolué dans le temps et reste encore présent jusqu’à la dernière version de Windows à ce jour, Windows Serveur 2025.

Ce qui pourrait se résumer par la frise suivante.

Pourquoi Windows Backup ?

L’un des éléments les plus sensible des serveurs restent d’assurer en cas d’avarie la possibilité de restaurer un élément ou une version précédente rapidement.

C’est pourquoi, Windows inclus la fonctionnalité NTBackup ou Windows Backup Server de sauvegarder les éléments, les volumes constituant le SE sans avoir à investir dans une solution supplémentaire. Toutefois cette fonctionnalité n’est pas aussi puissante que des solutions spécialisées dans ce domaine.

Question, quel est le point le plus critique d’un SI ? L’AD peut-être ?

Vous gagné une tringle à rideau !

Hé oui l’AD… Il est dans les bonnes pratiques d’Active Directory de sauvegarder ce dernier ainsi que tous les contrôleurs de domaine afin de pouvoir répondre à toute corruption possible de ce rôle névralgique du SI. Voilà pourquoi Windows Server Backup.

Toutefois, je vous donne mon opinion, cela n’a aucun intérêt.

Ah bon ? Alors pourquoi cet article vieux machin si c’est inutile ?

Pas si inutile mais pas loin en réalité. Nous avons tous d’autres solutions de sauvegarde bien plus efficace et que Windows Server Backup pour protéger nos serveurs. Alors à quoi bon cumuler les sauvegardes ?

Partons du principe que nous avons implémenter la règle des 3-2-1-1-0 de la bonne pratique des sauvegardes. Dans quel cas notre sauvegarde Windows serait utile vis à vis de notre solution de sauvegarde complémentaire ?

Nous partirons de la problématique, notre DC est corrompu nous devons restaurer l’AD.

Scénario 1 : Nous sommes très malchanceux et tous nos médias de sauvegarde (SVG⁸, EXT⁹ et IMM¹⁰) sont hors services. Personnellement, je licencie pour faute grave mon Responsable Informatique cela relève de négligence, mais passons cet aspect RH. Je n’ai plus de sauvegarde. Ma sauvegarde Windows est viable. Je peux restaurer depuis ma sauvegarde locale sur mon environnement de production.
- Sauvegarde Windows WIN !
Scénario 2 : Notre sauvegarde Windows est corrompue (incomplète). Nous n’avons pas connaissance de cet échec (normal car pas de notification, cela reste à notre bon vouloir. Peut-être que je ferai un bout de script pour ça). Notre sauvegarde complémentaire elle est fonctionnelle. Comment pouvons nous traduire cela ? J’ai une sauvegarde locale Windows inexploitable sur l’intégralité de ma chaine (pas de chance hein ?), tous mes points de rétention de sauvegarde tierce sont valides mais avec des données corrompues… Nous avons de la chance. Ah bon tu trouves ? Lorsqu’un DC dysfonctionne et que l’AD est corrompu plus rien ne fonctionne assez vite. Donc oui notre AD est corrompu mais rien ne m’empêche de restaurer le serveur depuis l’application tierce à j-1, j-2 ?
- Sauvegarde Windows LOSE !

La probabilité que nous perdions 3 copies de notre sauvegarde en même temps et selon moi nul et quasi inexistant. Donc le risque que cela se produise est relativement faible. A l’exacte opposé, le risque d’un dysfonctionnement de sauvegarde windows ou de corruption de cette dernière est bien plus grande.

Néanmoins, si nous courrons après le score parfait de sécurité et appliquons les bonnes pratiques nous devons implémenter cette fonctionnalité.

Performances

Qui dit sauvegarde, dit optimisations et performances. Il y a-t-il de la compression et/ou de la déduplication ?

Nativement et depuis WIN 2k19, la déduplication est prise en charge sur les espaces de stockage direct si et seulement si les volumes sont formatés en ReFS¹¹ ou NTFS¹².

Dans le cas de la sauvegarde Windows, cela ne pose pas de problème pour protéger un volume sur lequel la déduplication s’applique. Donc tout est bien sauvegardé.

Toutefois ce qui est vrai pour ReFS depuis WS2019 n’ai pas automatique pour NTFS. Qui de mémoire nécessite (pour la dédup naturellement) d’être installé et configuré manuellement.

Pratique

Installation

Rien de bien sorcier. Si ce n’est que nous n’avons pas autant de question existentielle quand nous déployons le rôle en commande powershell.

Toutefois, il est possible sur une serveur GUI d’utiliser les commandes CORE. J’ai vérifié dans les textes de loi, y’a pas d’interdiction ni d’objection.

Depuis notre bonne vieille console Server Manager, nous ajoutons un nouveau rôle et fonctionnalité.

Pour le coup ça sera une fonctionnalité et non un rôle 🙂 Nous usons de notre roulette de mulot pour nous arrêter sur Sauvegarde Windows Server (ou Backup Window Server like say English people).

Ensuite, rien de bien passionnant. Next Next Next, et Installer.

Pis voilà ma bonne dame, mon bon m’sieur. Super intéressant n’est il pas ?

Alors si la méthode précédente était super captivante, vous m’avez agréablement déçu par la magnificence des opérations qui vont suivre.

L’installation se résume en toute simplicité à la commande ci-dessous.

> Install-WindowsFeature -Name Windows-Server-Backup

L’installation débute…

Terminé.

Sans nous mentir, la méthode CLI est moins chronophage que la méthode GUI. MAIS bon, fallait il en arriver jusque là ?

Si l’installation n’apporte à mon sens aucune réelle valeur ajoutée, il faut se souvenir que ce qui parait évident pour les uns ne l’est pas pour d’autres et cela là l’objectif de mon projet, mon entreprise. (Ouai et surtout du bon vouloir du rédacteur et de son caractère aussi lunatique soit il).

Promis la configuration est bien plus intéressante. 🙂

Configuration

C’est marrant, car j’ai échangé il y a peu avec un ancien collaborateur. Et ce dernier me félicitait quant au contenu de mon bloc. Ce qui fait la différence avec d’autres sites ? Mes billets ne sont pas rédigés par l’IA¹³. C’est vrai que je n’avais pas pensé à ce phénomène qui dois exister au vu du compliment. C’est pourquoi, là au milieu de ce petit billet, je me dis qu’enfoncer le clou (une nouvelle fois ?) serait une bonne chose.

Je n’utilise pas d’IA pour la rédaction, correction de mes articles et encore moins pour la génération de mes scripts. Si au grand jamais je devais me soumettre à l’utilisation d’un quelconque OpenIA, Copilot ou ChatGPT je l’indiquerai. Je ne souhaite pas tomber dans cette pauvreté intellectuelle où l’extrême oisiveté est facilement atteignable 🙂 Comme ça, il n’y a pas tromperie sur la marchandise. Allez, je referme cette porte, regardons un peu comment se configure nos backups.

A parti des outils, nous démarrerons l’utilitaire de sauvegarde.

La console nous donne une vu simple et global concernant la gestion de notre sauvegarde. Comme nous le constatons (et nous nous en doutions) il n’a pas de job de sauvegarde. Nous allons donc user de l’assistant dans la colonne de droite.

Nous avons la solution (comme souvent) recommandé la plus simple pour réaliser la sauvegarde complète de notre système. Mais nous allons réaliser dans notre cas une configuration personnalisé.

Dans mon cas, je souhaite sauvegarder mon serveur AD, uniquement la partition système (C:\) ainsi que la partition AD (E:\) sur notre partition de backup (S:\). Je choisis donc les disques C et E.

Une fois les éléments définis, dans les paramètres avancés nous allons activer la fonctionnalité de sauvegarde complète VSS¹⁴. Cela nous permettra ainsi d’assurer la consistance des données sans impacter le bon fonctionnement de notre serveur durant la sauvegarde.

Nous définissions la périodicité de sauvegarde de notre job de backup windows ainsi que la cible où stocker notre sauvegarde.

Nous avons trois choix concernant le stockage de notre sauvegarde :

Un disque dur dédié : Comme indiqué, cela permettra de stocker les données sauvegardées
Un volume : Si nous ne pouvons dédier un disque et si d’autres données seraient présentes sur le disque. Dans notre cas, je préfère cette option. Même si cela revient à tomber dans la proposition précédente. C’est un disque dédié au final. Attention toutefois à la volumétrie et aux performances.
Un dossier réseau partagé : Dans le cas où nous ne souhaiterions pas sauvegarder les données sur la machine en elle même. Dans notre cas, inutile car nous avons VEEAM qui assure déjà cette tâche.

Nous sélectionnons le média de destination (dans notre situation notre partition Backup S:\).

Je dû je crois aborder le sujet, mais il en va de soi que notre partition de sauvegarde doit suivre la formule suivante :

Size Backup (Gio) >= Size System (Gio) + Size Partition AD (Gio) + 2 Gio

Un petit récap et notre job de sauvegarde est opérationnel. 🙂 Et sinon en « core » c’est plus simple ? Plus hardCORE ?

C’est que le début d’ac-CORE, d’ac-CORE (#moustache) <3 Regardons plus près le fonctionnement. Ne fait pas vos timides.

Je propose un bout de script car j’en ai un peu plein le SIF de faire mes jobs de backup windows sur mes ADs. Attention toutefois car ce bout de script convient à mes bonnes pratiques (ou mes déviances masturbatoires intellectuels). A vous de l’adapter si besoin.

Oui, oui M’sieur A. Je sais que tu vas encore essayer de me vendre ton ANSIBLE. Chaque chose en son temps.

Je pense toutefois proposer ce dernier dans son intégralité à la fin. Delà à faire un Miaou, à voir mais j’ai des doutes (t’ain le doute m’habite maintenant, c’est malin).

Nous commençons par définir une nouvelle politique de sauvegarde Window Backup en initialisant notre variable $ad_policy. Puis nous récupérons dans un tableau d’objet tous les disques vus par notre fonctionnalité installé plutôt.

Nous allons travailler le tableau d’objet sur la valeur de l’attribut MountPath (de l’attribut Volumes) pour définir les partitions à sauvegarder ainsi que notre cible de stockage. De jouer avec l’attribut MountPath va nous permettre de ne traiter que les partitions pour lequel un point de montage est définit. Intéressant car je veux être certains de bien isoler ma target. Toutefois, je prends ci-dessous tous les autres disques (y compris les volumes de restauration systèmes etc), il faudrait définir les lettres des volumes dans une condition intermédiaire. Le plus simple serait un switch case pour garder du dynamisme, mais nous allons rester simple.

Bien, si c’est la partition S:\, nous définissons notre destination en initialisant une nouvelle variable $diskBackupLocation en précisant l’objet disk correspondant à S:\.

Dans l’autre cas, nous allons ajouter les volumes à protéger en appelant la méthode Add-Volume en précisant les volumes des disques. Ces derniers seront ajoutés dans notre politique créé plus tôt $ad_policy. Nous avons un aperçu de nos disques dans la capture ci-dessus.

Nous ajoutons la fonctionnalité de BareMetalRecovery afin de gagner en performance si nous avons besoin de restaurer des éléments. Il faut le voir comme des clichés instantanés en quelques sortes. Nous ajoutons à travers la méthode Add-WBareMetalRecovery la fonctionnalité dans notre politique $ad_policy.

Dans le même dynamisme et ne pas interrompre notre moment, nous allons définir et ajouter à notre politique $ad_policy le paramètre pour le full vss à travers la méthode Set-WBVssBackupOption et l’argument -VssFullBackup.

Ajoutons notre cible de stockage à notre politique (méthode Add-WBackupTarget) en renseignant la variable définit plus haut $diskBackupLocation.

Nous définissons et planifions l’heure d’exécution de notre politique de sauvegarde avec la méthode Set-WBSchedule. Puis nous ajoutons notre politique à notre système avec tous nos paramètres Set-WBPolicy -Policy $ad_policy.

Nous avons si nous souhaitons un petit récapitulatif de notre job de protection avec la commande Get-WBPolicy.

Ce qui nous donne le petit bout de code ci-dessous :

#NewBackuprules
$ad_policy = New-WBPolicy
#Get All Disk
$allDisks=Get-WBDisk
#Define Target Backup partition and partitions to backups
foreach($disk in $allDisks){
    if($disk.Volumes.MountPath.Contains("S:")){
        Write-Host "Found Backup partition"
        #TargetLocation
        $diskBackupLocation=New-WBBackupTarget -Disk $disk
    }
    else{
        #Sources to backup
        Add-WBVolume -Policy $ad_policy -Volume $disk.Volumes
    }
}
#Add BareMetal
Add-WBBareMetalRecovery -Policy $ad_policy
#Enable full vss option
Set-WBVssBackupOption -Policy $ad_policy -VssFullBackup
#Add Target location
Add-WBBackupTarget -Policy $ad_policy -Target $diskBackupLocation
#Plan backup everyday at 12:30 PM
Set-WBSchedule -Policy $ad_policy 12:30
#CreatePolicy
Set-WBPolicy -Policy $ad_policy

Mais attend voir, ce n’est pas toi qui dit ne pas vouloir donner tes scripts ? Dans certains articles tu nous les brises sévère et là pas de problème ? Pas de licence pour protéger tes travaux ? MAISILESTFOU !

Honnêtement, il suffit de RTFM¹⁵ il n’y a rien de bien compliqué et rien de bien secret à la création d’une politique de sauvegarde. Toutefois, si je commence à me dire je vais ajouter une tache de contrôle pour vérifier l’état de la sauvegarde est envoyé un mail journalier pour savoir ou non son bon déroulement, là c’est différent. Et encore, je protégerai pour la forme pour que mon nom soit un jour gravé au compas sur une table de labo d’un BTS Informatique ou dans la porte/mur des toilettes d’un établissement scolaire. Honnêtement, il n’y a aucun intérêt 🙂 #EGO #DEMEUSURE

Je me demande si les traces de mon passage au lycée sont toujours présentes sur un banc et sur l’un des murs des souterrains #NOSTALGIES, d’accord je vous met un échantillon. Nous n’avions pas inventé les règles à l’époque…

Tests

Sauvegarde

Pour la sauvegarde, je vous dirai deux possibilités. La première nous sommes patients et nous attendons le prochain temps d’exécution de la sauvegarde pour vérifier que cette dernière se soit bien appliquée ou alors deuxième possibilité, vous n’êtes pas patient et vous démarrer cette dernière manuellement.

Dans le second cas, il faudra alors user de la méthodologie ci-dessous.

Dans notre console de gestion Windows Server Backup, nous avons dans la colonne de droite la possibilité de choisir Sauvegarde unique… Il nous sera alors demandé gentiment par le système si nous souhaitons réaliser cette sauvegarde unique en définissant de nouveau paramètre ou en reprenant, chargeant les paramètres de notre sauvegarde planifiée.

Puis nous confirmons la requête de réalisation de sauvegarde. Le job se lance… Simple, efficace mais pas du tout explicite. Alors qu’un petit start sur notre job simplifiera de loin ces étapes… (Serais tu grognon aujourd’hui ? Oui un peu, j’ai passé une semaine de m***e)

Dans le comportement, comme nous avons repris les paramètres de notre sauvegarde planifiée, cela va ajouter dans notre chaine déjà existante un nouveau point de restauration. Dans le cas contraire où nous aurions définit une nouvelle configuration, une nouvelle chaine aurait été réalisé à l’emplacement définit en protégeant les éléments à protéger.

En CLI c’est différent du GUI (un peu logique). L’approche est plus simple et rapide, mais moins évidente pour des administrateurs et techniciens non familiers des commandes powershell (bien que les plus téméraires pourraient par nostalgie faire les mêmes opérations en batch).

Première étape, récupérer les paramètres de notre politique que nous avons défini. Pour se faire, nous contactons Gérard MAJAX ou pas car la commande Get-WBPolicy le fait très bien.

Ensuite, il suffira de lancer la sauvegarde avec la fonction Start-WBBackup en définissant en paramètre -Policy notre politique récupéré ci-haut. Et pour le fun, un petit check en dernier lieu pour confirmer le succès ou non de la sauvegarde de notre point.

Le problème c’est que nous n’avons pas l’état d’avancement ni le statut. Je propose un bout de code (sans barre de progression) juste pour assurer un suivi. En gros ça donnera le bout de code du type :

#Load the current policy set
$policyScheduled=Get-WBPolicy
#Start the WBBackup
Start-WBBackup -Policy $policyScheduled -Async
#Display job status and progression
$runningJobs=Get-WBJob
while($runningJob.JobState -notlike "Unknown"){
    Write-Host "$($runningJob.JobState) - $($runningJob.CurrentOperation)"
    Start-Sleep -Seconds 2
    $runningJob=Get-WBJob
}

Néanmoins et je pense qu’il s’agit là d’un énorme point noir, il n’y a aucun moyen de suivre l’état de la sauvegarde ou l’historique des actions relatifs à la sauvegarde Windows.

Nous avons vu dans l’article LAPS¹⁶ l’envoi d’un rapport mail pour assurer le suivi. Il suffirait de faire la même chose. La seule variante entre LAPS et WBS¹⁷ (je commence à avoir la flemme de taper le mot en entier. Et pourtant je me suis fait ch*é à écrire ce commentaire. Paradoxal ce garçon) est le corps du mail au format HTML (qu’est ce qu’il est blême mon HTML…).

Super, un nouveau script !

Oui, je pourrais faire un nouveau script, mais je n’ai pas envie et cela est justifié du fait que c’est complétement inutile… Comme vu plus haut, la sauvegarde est assurée par des solutions tierces bien plus performantes. Toutefois si votre avis diverge (hé reste poli s’il te plait !) du mien il suffira de générer un rapport html à partir des informations retournés par la commande Get-WBBackup. Si des demandes vont dans ce sens, je réaliserai le bout de code. 🙂

Restauration

La restauration comporte plusieurs types, quatre pour être précis. Je ne traiterai que de la restauration de fichier. Cette décision totalement arbitraire de ma part se justifie par le fait que « Je m’en lustre l’asperge, j’utilise VEEAM ».

VEEAM pour la restauration des volumes ou pour la granularité est bien plus efficace est sécurisé (c’est mon point de vue). Mais néanmoins, cela existe.

Une autre justification est que je n’ai surtout pas envie d’enc***r mon serveur AD¹⁸ et mon domaine :3 . (Toujours un langage fleuri, de quoi faire pâlir un académicien).

Depuis notre gestionnaire de sauvegarde, dans la vue principale sur l’encart de droite cliquons sur récupérer. Un wizard se lance. Il suffira de le suivre bêtement (mais tout de même avec un peu de jujotte….)

Séléctionnez la source où se situe la sauvegarde (notre serveur pour le coup, volume S:\). On sélectionne le jour et l’heure dans le calendrier.

Qu’est ce que nous souhaitons récupérer ? Un fichier, dossier ? HyperV ? Un volume ? Une application ? Un système ? Comme écrit précédemment nous ne traiterons que de la partie fichiers, dossiers 🙂

Reste à choisir la source soit fichier ou dossier.

Après la source, la ressource ! Ah non ça c’est une brasserie locale… L’emplacement de restauration voulais écrire. Soit au même emplacement soit à un emplacement différent.

Nous retrouvons les 3 options de restauration des éléments. Le détail de chacune des options est présenté dans la partie ci-dessous. Il est possible de restaurer ou non les ACLs. Un petit résumé, et plus qu’à lancer. 🙂

Après un clic, clic, clic, clic, et clic. Les éléments ou l’élément sont restaurés. Long mais pas de difficulté.

De nouveau est sans surprise, la restauration est BIEN plus simple en CLI qu’en GUI. Néanmoins car si pour la sauvegarde c’était chose « facile » il faut spécifier des paramètres et aller chercher des paramètres en amont.

En résumé, faisable, mais casse-burette… Tout se fait avec la commande Start-WBFileRecovery en spécifiant les arguments nécessaires. Attention dans le cas d’une restauration de fichiers, sans quoi la commande va varier (logique). Le plus pénible restera de définir le point de restauration que nous souhaitons afin de le fournir en argument du paramètre BackupSet. Encore une fois, le monde est cruel mais il est attendu un object de type BackupSet.

Pour obtenir cet objet, nous allons récupérer l’intégralité des points de restauration grâce à la fonction Get-WBackupSet. La valeur retournée sera un tableau d’objet. A nous de donner le point de restauration en spécifiant l’index dans notre tableau.

Pour le reste, il suffira de dérouler les classiques -SourcePath -TargetPath et -Recursive qui pour ce dernier ne prends pas d’argument. Attention toutefois, j’invite à utiliser l’argument -Option pour spécifier le type d’opération de restauration à effectuer.

Une fois la commande lancée, une demande de confirmation vous sera demandé pour valider la restauration (cf l’image ci-haut). Si l’opération réussi, vous aurez le résultat ci-dessous 🙂

Oui mais bon c’est compliqué… Tu n’as pas une alternative ?

Alors il est possible de passer par la console mmc et de chargé le composant Windows Backup Server en spécifiant le serveur qui contient la sauvegarde. Cela revient à le faire en GUI et à avoir un répertoire partagé pour récupérer les sources sinon la restauration sera au même endroit que la source. Les options feront le reste selon le type qui aura été renseigné.

Sinon, vous je propose à l’arrache le bout de script ci-dessous. Il récupère le nombre de point de rétention, vous les affiche. A vous de sélectionner l’index correspondant au point de restauration. Sans oublier de modifier les variables $_restoredSourcesPath et $_restoredTargetPath.

$_restoredSourcesPath="E:\SYSVOL\domain\Policies"
$_restoredTargetPath="C:\Users\Administrateur\Desktop\"

#Get All Retentions Points
$restoredPoints=Get-WBBackupSet
#Display Restore Points
$i=0
foreach($point in $restoredPoints){
    Write-Host "[" -NoNewline
    Write-Host "$($i)" -NoNewline -ForegroundColor Cyan
    Write-Host "] - Restored Point : $($point.VersionId)"
    $i++
}
#Select Specific Restore Point
$selectedPoint=Read-Host "Select Point"
Write-Host "Select Point is " -NoNewline 
Write-Host "$($restoredPoints[$selectedPoint])" -ForegroundColor Green
#Restore File on different target path, Recursiv and Create Copy if exist, not Skip or Erase
Start-WBFileRecovery -BackupSet $restoredPoints[$selectedPoint] `
                     -SourcePath $_restoredSourcesPath `
                     -TargetPath $_restoredTargetPath `
                     -Recursive `
                     -Option CreateCopyIfExists

Ce qui nous donne en retour :

Après un tchak, tchak, tchak, tchak, et tchak. Les éléments ou l’élément sont restaurés. Court mais loin d’être accessible de tous.

Conclusion

La sauvegarde dernier rempart. Certes. Mais ce jour il est difficilement concevable qu’une organisation ne possède pas de sauvegarde de son SI (et pourtant vous serez étonnée mais je garde cela pour quelques paragraphes ci-bas). Dans le cas où aucune solution tierce n’est présente, il est vrai que Windows propose une fonctionnalité basique et sans cout supplémentaire inclus de base dans le SE (moyennement son installation tout de même).

Cela n’apporte AUCUNE valeur ajoutée dans le cas d’un DC… Tout ça pour en arriver là ?

La sauvegarde native n’offre pas malheureusement la même puissance que des solutions tierces. La possibilité de pouvoir restaurer un objet AD, un attribut, une GPO sans avoir à restaurer tout l’AD est sans équivoque et bien plus efficient. Rappelons également qu’une corruption AD est possible mais il est plus probable que le SE soit corrompu (mauvaise manipulation, Tuesday updates foireuses).

Nous pouvons également parler de la sauvegarde Windows en local ? Nan mais moi, je sauvegarde sur un partage… Ouai, ba j’ai envie de dire c’est nul. Oui c’est nul… Mais une sauvegarde existe et elle a le mérite d’exister (avez vous constaté que j’ai découvert comment mettre en évidence du texte dans un bloc xD).

En toute franchise, je n’ai jamais en 14 ans d’informatique eu le besoin de réaliser une restauration via la sauvegarde Windows. En revanche je ne compte plus le nombre de fois où je suis passé par VEEAM ou par la corbeille AD…

Malheureusement et si nous cherchons le sans faute, le grand Chelem ou les succès du PlayStore/Steam cela compte dans les bonnes pratiques de la santé AD… Un exemple de PingCastle (puis bon c’est 15 points faut pas déconner).

Bref, ça ne mange pas de pain. Toutefois et maintenant nous ne jurons que par le CLOUD et Microsoft O365 Mais savez vous que votre AzureAD n’était pas sauvegardé ?

Si mais avec Microsoft il y a 30 jours de protection.

Non ce n’est pas une sauvegarde et pourtant personne ne s’en préoccupe des tenants.

Contactez votre DSI interne ou votre prestataire informatique pour vous assurer d’être à l’abris de toutes imprévus. Sincèrement.

Dans notre cas, la sauvegarde Windows a été activé sur TOUS mes DCs (j’en ai 4 mais promis je vais en décommissionner c’est en cours) et j’ai une sauvegarde VEEAM. J’ai donc ceinture, bretelle il ne manque que parachute et une vie en plus. Et dernier coup pour enfoncer le clou. La gestion en CORE ce n’est pas si compliqué que ça 🙂

Le mot de la fin

J’écris sur les murs, les noms de ce qu’on nems ! Petit canaillou va, 10 points pour les TSIs ! Vous ne pouvez pas, il y a la médiocrité scolaire de l’auteur en diagonale avec des crevettes tempuras. Pensez à archiver
Erwan GUILLEMARD

Sources

SI : Système d’Information ↩︎
SEs : Système d’Exploitation ↩︎
RSYNC : Remote Synchronization ↩︎
RSAT : Remote Administration Tools ↩︎
GUI : Graphic User Interface ↩︎
CLI : Command Line Interface ↩︎
PCs : Personal Computer ↩︎
SVG : Sauvegarde ↩︎
EXT : Externalisation ↩︎
IMM : Immuabilité ↩︎
ReFS : Resilient File System ↩︎
NTFS : New Technology File System ↩︎
IA : Intelligence Artificielle ↩︎
VSS : Volume Snapshot Service ↩︎
RTFM : Read The Fucking Manual ↩︎
LAPS : Local Administrator Password Solution ↩︎
WBS : Windows Backup Server ↩︎
AD : Active Directory ↩︎