Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

Afin de pouvoir mettre en œuvre une relation d’approbation entre 2 domaines, il est nécessaire de garantir que chaque domaine puisse résoudre les noms DNS de l’autre domaine.

 Nous commençons d’abord par gérer les problèmes de résolution de nom. Sur le serveur 2003 de domaine1.local :

 Un nslookup nous permet d’interroger le DNS par défaut (lui-même : localhost) et nous confirme que le serveur ne peut actuellement résoudre le nom DNS du DC du domaine 2.

Ci-dessous w2k3-dc1.domaine1.local ne peut résoudre w2k8-dc1.domaine2.local.

 
 Nous configurons maintenant les redirecteurs DNS sur le serveur W2k3-dc1 afin de rediriger les requêtes DNS du domaine domaine2.local sur le serveur w2k8-dc1.

 

 W2k3-dc1 arrive maintenant à résoudre le nom w2k8-dc1.domaine2.local.

Nous retournons sur W2k8-dc1 et nous configurons les redirecteurs dans l'autre sens.

Une grande différence existe dans la configuration des redirecteurs DNS entre Windows 2003 et Windows 2008 R2. Si avec 2003 il fallait configurer les redirecteurs sur chaque serveur DNS, sur Windows 2008 il est possible de stocker les redirecteurs dans AD et donc il suffit de les configurer une fois pour tous les DC en 2008.

C’est pour vous montrer cette différence que j’ai choisi un 2003 et un autre en 2008.

 

 

Nous choisissions de stocker les redirecteurs DNS sur tous les DC de la forêt. Il suffit pour cela de cocher la case dans l’image  ci-dessus « Stocker ce redirecteur conditionnel dans Active Directory, et le répliquer comme suit ». Dans la liste sélectionner « tous les serveurs DNS de cette forêt » puis OK.

Le serveur W2k8-dc1 arrive maintenant à résoudre le nom w2k3-dc1.domaine1.local

Note : si le nom du serveur DNS n’apparait pas et que la commande nslookup indique « serveur : Unknow », c’est simplement par ce qu’il n’y a pas de zone de recherche inversé. Voir http://pbarth.fr/node/31

Nous allons configurer notre relation d’approbation :

 

 

Notre relation d’approbation est maintenant en place. Nous pouvons vérifier son fonctionnement soit dans la console graphique soit par la commande netdom. 

Pour finir un petit cas particulier, concernant les restructurations de domaine avec ADMT. Il s’agit de désactiver le filtrage du SID History, permettant à un utilisateur qui a été migré d’un ancien domaine vers un nouveau de continuer à utiliser les ressources de l’ancien domaine en attendant qu’elle soit migrée.

Dans l’image ci-dessous on constate l’avertissement indiquant que le filtrage des SID est désactivé. 

Commentaires

Relations d'approbation

J'ai besoin d'intégrer des ressources et des comptes depuis un domaine samba 3 (NT4) et mon AD 2012R2. Pour cela j'ai établi une relation d'appobation, qui est bien visible des deux coté, et dont je teste la validité régulièrement.
Le problème c'est que je ne vois ni les utilisateurs, ni les groupes, dans un sens comme dans l'autre. Avez vous déjà rencontré ce problème. Pour info j'ai lu les forum, et les smb.conf etc.. je les ai passé au crible.
En faisant un trusdom .... /quarantine j'apreçois tout le monde durant très peu de temps, et hop plus rien.
merci de votre aide

Re : Relations d'approbation

Avez-vous :
- essayer de valider la relation depuis le serveur 2012, cela effectue un test?
- vérifier la synchronisation des horloges ?
- regarder dans l'observateur d'événement ?

Vous pouvez également utiliser la commande suivante pour tester l'approbation :
netdom trust /d: /verify

J'ai fait

Je valide régulièrement la relation depuis 2012 vers samba et inversement
Les horloges pointent toutes sur le même serveur de temps (j'ai redémarrer les services)
Dans l'observateur d'évènement je ne trouve aucune trace de ce disfonctionnement. Peut-être que je ne regarde pas au bon endroit

Ajouter un commentaire

Bloc brute

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question empêche les soumissions de spam automatisées. Merci de votre compréhension
Image CAPTCHA
Enter the characters shown in the image.