Création de site et de sous-réseau AD

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

Tags: 

Installer WSUS sur Windows 2012

Dans cet article nous allons installer le rôle WSUS permettant de gérer la diffusion des mises à jour pour l’ensemble des postes. Nous partons sur le principe que les mises à jour de sécurité et les mises à jour critiques sont appliquées après le2ème mardi du mois (publication des mises à jour Windows) sur un nombre limité de postes « valideur ». Si aucune anomalie n’est signalée, les mises à jour seront appliquées aux autres postes.

 

Avant installer le rôle WSUS sur notre serveur Windows 2012, il nous faut déjà tenir compte des 2 prérequis indispensables aux rapports :

Tags: 

Windows 2008 R2 : correctif qui ne sont pas diffusés par Windows Update

Un article concernant une liste de correctifs au 30 juillet 2014 pour Windows 2008 R2 qui ne sont pas diffusés par Windows Update...
Ces correctifs sont a appliqué si vous constatez les problèmes correspondants.

http://social.technet.microsoft.com/wiki/contents/articles/25052.windows...

ADMT (Active Directory Migration Tool)

 

Présentation

Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise.  Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.

L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.

Tags: 

Outil de configuration d’un serveur en mode « core » : sconfig

Dans cette présentation nous allons voir l’outil intégré en ligne de commande « sconfig ». Lors de l’installation d’un serveur en mode « core », il est possible de le configurer avec Powershell. Néanmoins pour ceux qui ne sont pas familiarisés avec Powershell, il existe un outil en ligne de commande permettant de configurer le réseau, le nom d’ordinateur, de mettre à jour le serveur etc …

Pour notre exemple nous avons installé un serveur Windows 2012 R2 en mode « core » depuis le CD d’installation.

Tags: 

Question : peut-on virtualiser les contrôleurs de domaines ?

Oui, il est possible de virtualiser les contrôleurs de domaine, mais attention un des attraits de la virtualisation est l’utilisation des « snapshots » et donc la possibilité de retour en arrière. Un retour en arrière peut entraîner un USNRollback et corrompre Active Directory entrainant des refus de répliquer avec les autres DC, voir un problème d'intégrité de l'annuaire. 

Pour la restauration d’Active Directory je vous renvoie sur le lien :

Délégation de contrôle Active Directory

Dans certaines organisations, il arrive que le besoin de déléguer certaines opérations à des personnes ne faisant pas partie de l’IT ou de séparer les rôles de l’IT se présente. En général il s’agit de déléguer une opération spécifique de l’administration d’un environnement, comme :

-          réinitialiser un mot de passe, par exemple pour les chefs de service

-          ajouter des postes à un domaine, pour l’équipe qui gère le déploiement des postes.

Installation des outils d’administration de serveurs distants sur un poste client

Il faut télécharger et installer les outils d’administration de serveurs distants correspondant à sa version d’OS :

Pour W7 : http://www.microsoft.com/fr-fr/download/details.aspx?id=7887

Pour W8 : http://www.microsoft.com/fr-fr/download/details.aspx?id=28972

Pour W8.1 : http://www.microsoft.com/fr-fr/download/details.aspx?id=39296

 

Tags: 

Traitement par boucle de rappel de la stratégie utilisateur

 

Par défaut lorsque l’on configure la partie  « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.

Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.

Tags: 

Gestion des lecteurs connectés et des imprimantes partagées par les GPP (Group Policy Préférence).

La méthode la plus utilisée pour gérer  les connexions aux lecteurs partagés et aux imprimantes est de passer par les scripts d’ouverture de session.

Depuis Windows 2008 et Windows Vista il est possible de le gérer directement par les stratégies de groupe via GPP (Group Policy Preference). Sur Windows XP il est nécessaire d’installer une mise à jour : http://www.microsoft.com/fr-fr/download/details.aspx?id=3628.

Rétrograder un ancien DC (suite migration)

Nous allons voir dans cet article comment supprimer un ancien contrôleur de domaine.  Dans notre exemple nous avons migré l’AD avec 2 anciens contrôleurs de domaine en w2003 vers des DC en 2008 R2.

Après la migration, les rôles FSMO ont été transférés, les zones DHCP ont été modifiées pour utiliser les nouveaux DC en tant que DNS primaire et secondaire, ainsi que sur les postes et serveurs en IP fixes. Les contrôleurs de domaine utilisent également les nouvelles IP pour les DNS primaire et secondaire.

Suppression d’un DC HS

Nous allons voir dans cet article comment supprimer un contrôleur de domaine HS.

Dans notre exemple nous allons utiliser 3 anciens contrôleurs de domaine en Windows 2003. Le principe reste identique pour les versions récentes.

Nous verrons 2 méthodes, la première avec l’outil « ntdsutil » et l’option « meta data cleanup », la 2ème par l’assistant graphique.

Comme le montre l’image ci-dessous nous disposons de 3 DC en Windows 2003R2 nommé « W2k3-DC1 », « W2k3-DC2 », « W2K3-DC3 ».

DNS : principe du nettoyage de zone

En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des enregistrements directement par les postes clients.

Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les enregistrements DNS, de nettoyer les zones.

En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les enregistrements PTR (dans la zone de recherche inversé).

Windows 2012 DHCP : tolérance aux pannes

 

Dans cette petite démonstration nous disposons de 2 serveurs Windows 2012 qui sont tous les 2 contrôleurs de domaines.

Le serveur W12S1 est installé de manière traditionnelle avec la console graphique, le serveur W12S2 est installé en mode « server core »

 

 

Après avoir ajouté le serveur 2 dans la console du « gestionnaire de serveur ».

W 2012 : ajout d'un DC dans un domaine existant

 

Dans notre exemple nous ajoutons un DC 2012, dans un domaine existant.

Le nouveau serveur a été installé puis la configuration IP a été mise en place. Le serveur a été renommé puis joint au domaine en tant que serveur membre. Pour plus de détail sur l’ajout du rôle AD DS voir : http://pbarth.fr/node/84

 

Une fois le rôle AD DS installé nous allons exécuter l'assistant de configuration Active Directory :

Migration des DC vers Windows 2012

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué, avec entre autre l’interface métro (comme pour Windows 8), le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

Windows 2012 création d'une nouvelle forêt AD

 

 

Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ». 

Il faut commencer par configurer une adresse IP Fixe. 

Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».

Tags: 

Synchroniser les horloges dans un domaine AD (W32Time)

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

 

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt. 

 

Tags: 

Configuration Active Directory sur Windows 2012 en Powershell

Nous allons configurer un serveur Windws2012 en tant que contrôleur de domaine via powershell. Ce serveur a été installé en mode serveur core et il a été intégré au domaine :

http://info.pbarth.fr/node/85

 

 Commençons par lancer Powershell

 Nous installons le rôle serveur Active Directory Domain Services :

Tags: 

Intégration d’un serveur Windows 2012 en mode « serveur core » dans un domaine

Dans cette petite démonstration nous allons voir comment intégrer un serveur Windows 2012 en mode Serveur Core dans un domaine Active Directory.

Nous allons configurer le réseau, renommer l’ordinateur et joindre au domaine en Powershell.

Par défaut nous n''avons qu''une "invite de commande" standard à notre disposition.

 

Commençons par basculer sur powershell : 

Il nous faut déjà identifier la carte réseau que nous nous voulons configurer.

Tags: 

Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

DC promo 2008 verification

Après la promotion d’un nouveau DC, il est utile d’effectuer un certain nombre de contrôles.

Nous commençons par surveiller régulièrement dans les heures qui suivent qu’il n’y a pas de message d’erreur dans l’observateur d’événement.

Les 2 événements ci-dessous n’apparaissent que si AD utilise la réplication NTFRS et non DFS-R. C’est le cas lors d’une migration depuis Windows 2003. En effet si le domaine a été créé avec un niveau fonctionnel de Windows 2008 ou supérieur alors la réplication utilise DFS-R dans les autres cas elle utilise NTFRS.

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Pages

S'abonner à Philippe BARTH RSS