DNS : principe du nettoyage de zone

En générale les zones DNS dans un domaine Active Directory acceptent les mises à jour sécurisées des enregistrements directement par les postes clients.

Afin de garder les zones DNS propres il est recommandé lorsqu’on ne gère pas manuellement les enregistrements DNS, de nettoyer les zones.

En effet, selon votre configuration, les postes vont créer automatiquement des enregistrements A, voir les enregistrements PTR (dans la zone de recherche inversé).

Windows 2012 DHCP : tolérance aux pannes

 

Dans cette petite démonstration nous disposons de 2 serveurs Windows 2012 qui sont tous les 2 contrôleurs de domaines.

Le serveur W12S1 est installé de manière traditionnelle avec la console graphique, le serveur W12S2 est installé en mode « server core »

 

 

Après avoir ajouté le serveur 2 dans la console du « gestionnaire de serveur ».

W 2012 : ajout d'un DC dans un domaine existant

 

Dans notre exemple nous ajoutons un DC 2012, dans un domaine existant.

Le nouveau serveur a été installé puis la configuration IP a été mise en place. Le serveur a été renommé puis joint au domaine en tant que serveur membre. Pour plus de détail sur l’ajout du rôle AD DS voir : http://pbarth.fr/node/84

 

Une fois le rôle AD DS installé nous allons exécuter l'assistant de configuration Active Directory :

Migration des DC vers Windows 2012

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué, avec entre autre l’interface métro (comme pour Windows 8), le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

Windows 2012 création d'une nouvelle forêt AD

 

 

Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ». 

Il faut commencer par configurer une adresse IP Fixe. 

Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».

Tags: 

Synchroniser les horloges dans un domaine AD (W32Time)

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

 

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt. 

 

Tags: 

Configuration Active Directory sur Windows 2012 en Powershell

Nous allons configurer un serveur Windws2012 en tant que contrôleur de domaine via powershell. Ce serveur a été installé en mode serveur core et il a été intégré au domaine :

http://info.pbarth.fr/node/85

 

 Commençons par lancer Powershell

 Nous installons le rôle serveur Active Directory Domain Services :

Tags: 

Intégration d’un serveur Windows 2012 en mode « serveur core » dans un domaine

Dans cette petite démonstration nous allons voir comment intégrer un serveur Windows 2012 en mode Serveur Core dans un domaine Active Directory.

Nous allons configurer le réseau, renommer l’ordinateur et joindre au domaine en Powershell.

Par défaut nous n''avons qu''une "invite de commande" standard à notre disposition.

 

Commençons par basculer sur powershell : 

Il nous faut déjà identifier la carte réseau que nous nous voulons configurer.

Tags: 

Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

DC promo 2008 verification

Après la promotion d’un nouveau DC, il est utile d’effectuer un certain nombre de contrôles.

Nous commençons par surveiller régulièrement dans les heures qui suivent qu’il n’y a pas de message d’erreur dans l’observateur d’événement.

Les 2 événements ci-dessous n’apparaissent que si AD utilise la réplication NTFRS et non DFS-R. C’est le cas lors d’une migration depuis Windows 2003. En effet si le domaine a été créé avec un niveau fonctionnel de Windows 2008 ou supérieur alors la réplication utilise DFS-R dans les autres cas elle utilise NTFRS.

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Gérer les groupes locaux des postes clients par GPO

Cet article a pour but  d’ajouter un groupe de domaine dans le groupe administrateur local des ordinateurs d’une OU.

Dans les images ci-dessous nous verrons comment ajouter des membres à un groupe local, sans remplacer les utilisateurs déjà présents,

puis nous verrons l’exemple ou nous souhaitons remplacer les membres.

Dans la première image ci-dessous nous avons créé un groupe global dans le domaine nommé « SG-ADM-Local ».

Ajout d'un DC 2008 dans un domaine existant

Avant de lancer l'assistant d’installations des services d'annuaire (dcpromo.exe), il est nécessaire de configurer correctement les paramètres réseaux :

- le serveur doit avoir une IP Fixe,

- le DNS primaire doit être l'IP d’un serveur DNS valide contenant les informations du domaine,

- il est préférable de mettre le serveur en tant que membre du domaine de destination avant la promotion

- il ne doit pas y avoir de problème de réplication entre les DC existants, que ce soit au niveau de la réplication Active Directory ainsi que de celui du dossier Sysvol.

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

 

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

 

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags: 

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Augmenter le pool Rid

Depuis la console Adsi.mmc ouvrez le contexte par défaut du domaine. Par exemple pour « dom1.local » : DC=dom1,DC=local

Rechercher le conteneur « system » et l’objet « RID Manager$ » et modifier l’attribut « rIDAvailablePool » en l’incrémentant de 100000.

 

Invalider le pool RID actuellement utilisé :

Effectuer une restauration autoritaire de sysvol

Lors de la restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de sysvol directement lors de la restauration de l’état du système, soit en ligne de commande avec « wbadmin » en ajoutant –authsysvol, soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

 

Configurer une IP static dans Win PE

 

 

Imaginons que vous souhaitez faire une restauration depuis le CD d’installation de Windows de l’ensemble de votre serveur. De plus vous avez fait une sauvegarde sur un partage réseau qu’il faut pouvoir joindre. Hors votre serveur DHCP n'est pas disponible. Vous allez donc devoir configurer votre serveur avec une IP statique de manière à accéder au partage où se trouve la sauvegarde.

Dans le menu du CD de restauration, ouvrez une invite de commande et saisissez :

Wpeinit

Réinitialiser le mot de passe de restauration d’annuaire

Le mot de passe de restauration d’annuaire est particulier. Déjà c’est un mot de passe qui n’est que rarement utilisé, d’où l’intérêt de tester régulièrement la procédure de restauration. En plus il n’est pas forcément identique au mot de passe de l’administrateur du domaine. Enfin ce mot de passe peut différer entre vos contrôleurs de domaine.

Il est important de mettre ce mot de passe en lieu sûr et de vérifier qu’il est toujours valide.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Redémarrer en mode restauration d’annuaire

 

Pour l’ensemble des versions Windows l’accès au mode restauration d’annuaire reste identique. Redémarrer votre serveur, au démarrage et avant le début du chargement de l’os appuyer sur la touche « F8 » le menu suivant devrait s’ouvrir. Sélectionner le mode restauration d’annuaire et appuyer sur entrée.

Les « snapshots » Active Directory

Une autre fonctionnalité Active Directory apparu dans la version 2008 est le snapshot Active Directory. Cette fonctionnalité utilise les clichés VSS apparu dans Windows 2003. Il est possible de prendre un cliché de l’annuaire AD et de le monter dans une autre instance en parallèle de l’annuaire en production. Par défaut les services LDAP écoutent sur le port 389, alors que vous pouvez préciser le port souhaité pour monter votre cliché.

Bienvenue

Pour ceux d'entre vous qui avez consulté le site "pbarth67.free.Fr", vous constaterez que celui-ci n'est plus disponible. J'avais déjà songé à migrer vers un nouveau site mais par manque de temps les choses ont traîné. Et voilà c'est chose faites, un peu brutalement ... En effet le site "pbarth67.free.FR" a été brutalement supprimé par l'hébergeur sans avertissement à l'avance suite apparemment à un problème d'enregistrements statistiques dans la base de données et qui, si j'ai bien compris, n'est pas autorisé.

Pages

S'abonner à Philippe BARTH RSS