Suppression accidentelle de tout Active Directory [fermé]

20

Lors du re-partitionnement d'un contrôleur de domaine Server 2003 R2, nous avons accidentellement supprimé la partition qui contenait le dossier de base de données Active Directory ( D:\AD\Data). La D:\est une partition sur un disque partagé avec C:\.

Nous avons éliminé le D:\lecteur ne réalisant pas qu'il abritait le dossier de données Active Directory. Nous n'avons aucun autre contrôleur de domaine et aucune sauvegarde de ces données Active Directory.

Y a-t-il une chance de restaurer l'AD?

active-directory windows-server-2003-r2 matalaweb
la source
4
Il est temps d'appeler un service de récupération de données et d'expédier le disque ..
pauska
8
Ou, c'est 2003 et sans support. Créez deux nouveaux contrôleurs de domaine et faites-le correctement sur un système d'exploitation pris en charge.
Michael Hampton
21
Considérez cela comme une bénédiction déguisée. Vous pouvez créer un environnement AD entièrement nouveau (car vous n'avez pas d'autres options), mais vous pouvez le créer correctement , cette fois. Oh, et vous avez également un bon début sur ce qu'il ne faut pas faire cette fois-ci (je compte 3 biggies), donc il y a une autre doublure argentée.
HopelessN00b
6
Avez-vous effectué une sauvegarde de l'état du système? juste pour être sûr, car il peut inclure le répertoire actif même si vous ne saviez pas qu'il a été sauvegardé.
yagmoth555 - GoFundMe Monica
6
En supposant que vous venez de supprimer la partition, vous n'utilisez aucun type de gestionnaire de volume et vous n'avez rien fait avec l'espace dans lequel se trouvait la partition. Cela devrait être aussi simple que de relire son entrée dans le MBR / GPT et il reviendrait ...
Vality

Réponses:

49

Si vous venez de supprimer la partition et n'avez pas créé de nouvelle partition, il est probablement possible de récupérer.

Tout d'abord - tirez le disque, placez-le dans une boîte Linux et faites un clone brut. La première règle de récupération de données est que vous faites votre travail sur un clone, pas sur l'original.

Maintenant, sur le clone, exécutez un outil Linux appelé testdisk . Si le système de fichiers n'a pas été effacé, cela devrait recréer l'entrée de la table de partition et permettre d'y accéder à nouveau.

Si vous avez créé une nouvelle partition, ou si testdisk ne peut pas trouver le système de fichiers, vos chances de récupération réussie sont beaucoup plus faibles. Vous voudrez peut-être envisager de parler à des spécialistes de la récupération de données à ce stade.

Peter Green
la source
1
L'utilisation d'un disque de démarrage comme le CD de démarrage de Hiren comprendra tous les outils nécessaires pour effectuer toutes les étapes que vous avez répertoriées, y compris testdisk: hirensbootcd.org/download
SnakeDoc
Je dois souligner que, en plus d'être la meilleure réponse à cette question, il est possible dans certains cas où le logiciel peut analyser les disques durs et récupérer ces fichiers supprimés avec le temps (cela peut prendre un certain temps pour numériser et récupérer). Outre la recherche d'un logiciel de récupération capable de restaurer les fichiers supprimés, rien ne garantit que ceux-ci fonctionneront (surtout s'ils reposent sur le système de fichiers pour être intact). La seule façon de garantir que vous ne perdez rien est de sauvegarder souvent et / ou d'appeler un spécialiste de la récupération spécialisé dans la réparation et la récupération de disque dur (pas la criminalistique et la récupération).
dakre18
Même si vous avez fait créer une nouvelle partition, TestDisk sera en mesure de déterminer dans quelle mesure le système de fichiers allongeait, ce qui permet effectivement de recréer l'ancienne partition. Si la nouvelle partition n'a pas seulement été créée mais également formatée, les chances ne sont nulle part aussi bonnes.
the-wabbit
20

Non. Vous avez supprimé des données pour lesquelles vous n'avez aucune sauvegarde. C'est parti.

HopelessN00b
la source
2
Sauf s'il a une sauvegarde de l'état du système. Mais cela ne semble pas probable ...
Massimo
1
OP a dit qu'il avait une sauvegarde de lecteur C :. j'espère que SysState a été sélectionné par défaut ou qu'il a été vérifié.
user339468
7
La suppression d'une partition ne supprime aucune donnée. En fait, toutes les données sont 100% récupérables, même si les autres partitions sont utilisées, car aucune partition n'écrira JAMAIS en dehors de leur espace alloué ... c'est tout à fait retardé si cela se produit.
Nelson
4
@Nelson C'est techniquement précis, mais pertinent uniquement si l'espace n'a pas été réaffecté. Comme il n'y a généralement aucune raison de supprimer une partition à moins que vous ne réallouiez son espace, les chances sont extrêmement élevées que c'est ce qui s'est produit. N'hésitez pas à demander des éclaircissements au PO ou à fournir votre propre réponse en fonction de la possibilité que la seule action prise ait été la suppression de la partition, mais cela me semble être un scénario si improbable que je ne pensais pas que cela valait la peine d'être envisagé.
HopelessN00b
2
Cette réponse est dérisoire et factuellement incorrecte, pas "dure". Oui, l'OP a foiré, mais la seule chose pour laquelle cette réponse est bonne est votre représentant.
Lilienthal
18

Juste pour souligner et clarifier le commentaire de yagmoth - Active Directory n'est pas sauvegardé par une sauvegarde du système de fichiers - il est sauvegardé par une sauvegarde de l'état du système. Si vous en avez un, recherchez simplement les instructions du mode de restauration de l'annuaire Active Directory et vous pourrez avoir une photo. Vous devrez connaître le mot de passe de restauration de l'annuaire.

Vous devrez peut-être recréer manuellement le D: Drive en premier, mais si vous le faites, cela interférera avec les efforts d'un service de récupération de disque manuelle si vous décidez de poursuivre cette option. Faire un clonage brut au niveau du secteur du disque en premier ne serait pas une mauvaise idée.

user339468
la source
5
+1 pour le clone. Accédez aux procédures médico-légales complètes - tirez le lecteur et clonez-le et essayez uniquement de sortir du clone. Théoriquement, je pense que vous devriez pouvoir recréer la partition - peut-être sous Linux - et le système de fichiers sous-jacent pourrait toujours être en place.
rrauenza
4
@ HopelessN00b: Vous avez alors des problèmes de confiance. La suppression d'une partition ne modifie que quelques octets dans le MBR de 512 octets au début du disque et ne touche en aucun cas les données réelles. Déterminer les valeurs correctes pour restaurer la partition n'est pas sorcier, et même si vous vous trompez, vous n'obtiendrez pas de données magiquement légèrement corrompues, vous n'obtiendrez aucune donnée, car le système de fichiers ne sera pas du tout trouvé . Tous vos "conseils" sur cette question sont carrément nuisibles.
Aleksi Torhamo
1
@AleksiTorhamo Non, ce qui est carrément dangereux, c'est de baser l'épine dorsale d'un environnement informatique d'entreprise sur des données récupérées, dont l'intégrité ne peut pas être validée. Ce genre de pratique imprudente est exactement ce qui les a placés dans cette position précaire en premier lieu, en exécutant un domaine sur un seul contrôleur de domaine, sans sauvegarde, sur une plate-forme en fin de vie. Cela dit, votre commentaire devrait être une réponse, alors faites-en une, et le PO pourra clarifier les hypothèses qui sont correctes, les vôtres ou les miennes.
HopelessN00b
1
@ HopelessN00b: Assez juste. Je ne suis pas natif. :) (Pas que je sois particulièrement doué en communication même dans ma langue maternelle ...) L'analogie est cependant un peu en arrière, puisqu'il a parlé de "BB pellets" et que vous supposez "a .45". Compte tenu de votre dernier commentaire sur votre propre réponse, cependant, l'hypothèse que vous faites est tout à fait raisonnable. Si votre réponse était préfixée par "En supposant qu'en plus de supprimer la partition, vous avez alloué une nouvelle partition et la formatée, ...", rendant explicite l'hypothèse [raisonnable, mais dangereuse si erronée] explicite, je n'aurais eu aucun scrupule à propos de ça.
Aleksi Torhamo
1
@BlueCompute En fait, hacher les détails et apporter des clarifications est exactement ce à quoi les commentaires sont destinés par les suzerains SE.
HopelessN00b
1

Cela dépend de sa valeur pour vous et de la rapidité d'exécution. Si vous avez supprimé la partition et rien de plus, il existe des sociétés de récupération de données qui "annuleront" la suppression des fichiers pour vous.

Cela dépend totalement de ne pas écrire de données sur les blocs de disque. Donc, si vous avez créé une partition ou développé le lecteur C, tous les paris de récupération sont désactivés.

Notez que l'utilisation continue du disque réduira la probabilité de récupération, donc si vous voulez le faire, éteignez-le maintenant. Ne faites même pas d'arrêt en toute sécurité.

Mais la rapidité intervient également - vous envisagez des jours / semaines pour effectuer toute sorte de reprise commerciale.

Sinon, c'est votre occasion idéale de créer une nouvelle AD prise en charge à partir de zéro et de nettoyer tous les vieux déchets périmés. Doublure argentée sur un nuage sombre.

Criggie
la source
3
Il ne suffit pas d'écraser les données. La récupération de données est une entreprise délicate (et coûteuse et longue) sans garantie.
Todd Wilcox
1
@ToddWilcox est absolument d'accord avec tous vos points. Mon intention était de montrer à l'utilisateur qu'il peut rendre la récupération encore plus difficile en faffant au lieu d'isoler l'appareil.
Criggie
2
Ce n'est pas parce que vous avez créé une nouvelle partition que tous les paris de récupération sont désactivés. Veuillez faire plus de recherches sur le sujet avant de faire une vague déclaration comme celle-ci.
Marc DiMillo
@MarcDiMillo Comme je l'ai dit à Todd, "mon intention était de montrer à l'utilisateur qu'il peut rendre la récupération encore plus difficile en faffant au lieu d'isoler l'appareil."
Criggie