La corbeille Active Directory

Pour pouvoir bénéficier de la fonctionnalité de corbeille Active Directory, il est nécessaire de d’avoir un niveau de domaine et de forêt au moins en Windows 2008R2.

L’activation est rapide. Elle peut être faite en Powershell

 

import-module ActiveDirectory

 Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target dom1.local

La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

 

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

 

Les étapes de la restauration

 Préparation de restauration

 

En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.

 

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

 

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Restauration avec NTBackup

Redémarrez votre serveur et appuyez sur « F8 » avant le chargement de Windows. Sélectionnez le mode de restauration d’annuaire et ouvrez une session avec le compte « monserveur\administrateur » et le mot de passe de restauration d’annuaire.

Une fois votre session ouverte lancer l’outil « ntbackup »

 

Tags: 

Sauvegarde Windows 2003

  L’outil de sauvegarde de Windows 2003 est NTBackup. Il est installé par défaut.

Il est possible soit d’ajouter une sauvegarde dans le fichier existant soit de remplacer les données du fichier. Le plus simple est de remplacer les données et de sauvegarder le fichier « .bkf » obtenu sur un autre support en tenant compte de la rétention souhaité.

Tags: 

Sauvegarde et restauration d’un DC

Pour restaurer un contrôleur de domaine il faut pouvoir restaurer le serveur et l’état du système. La restauration de l’état du système restaure la configuration du serveur (paramètre réseau, nom etc…), l’annuaire Active Directory et SYSVOL. En même temps elle indique au système que la réplication doit être réinitialisée. Si la réplication n’est pas réinitialisée vous provoquerez un « USN Rollback ».

Tags: 

Migration du rôle DHCP vers 2008R2

 

 

Un petit article concernant la migration des services DHCP d’un serveur Windows 2003 vers 2008 R2. Il existe des commandes pour exporter les configurations des zones DHCP tel que « netsh » avec la commande « import » et « export ». Néanmoins comme le format a été modifié entre les versions de Windows Server, il n’est pas possible d’exporter en une étape l’ensemble des propriétés DHCP de l’ancienne version pour les importer dans la nouvelle,  L’exportation des étendus manuellement une par une reste possible.

Tags: 

Windows 2008 Ajout du rôle AD DS

Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".

A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.

 

 

Tags: 

Avez-vous déjà entendu parler de « MaxConcurrentApi » ?

Cette valeur qui peut être modifiée dans le registre, permet d’optimiser le nombre de canaux simultanés utilisés lors de requête d’authentification NTLM.

L’article suivant reprend le principe de l’authentification NTLM : http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx.

Quand les utilisateurs ont ouvert leur session pour la dernière fois ?

Il est possible d''interroger l''attribut Lastlogon ou lastlogontimestamp pour avoir une idée de la dernière ouverture de session de vos utilisateurs. Mais par défaut lastlogon n''est pas répliqué entre les DC et lastlogontimestamp peut avoir un décalage de plusieurs jours jusqu'à 14.

 

Mise à jour du schéma AD 2008 R2

Avant de pouvoir ajouter un contrôleur de domaine Windows 2008 R2 il faut préparer le schéma Active Directory.

 Pour cela nous utilisons l''outil "adprep" présent sur le CD d''installation.

Les versions de schéma jusqu''à 2008 R2 :

13=Microsoft Windows 2000

30=Version d’origine de Microsoft Windows Server 2003 et Microsoft Windows Server 2003 Service Pack 1

31=Microsoft Windows Server 2003 R2

44=Microsoft windows Server 2008

47=Microsoft windows Server 2008 R2

Utilisez DNS pour résoudre les noms Netbios (gestion des sufixes DNS)

Pour rappel, nous disposons de 2 domaines dans une forêt AD. Le domaine racine est « test1.local », le domaine enfant « test2.test1.local ».

 Imaginons un poste client sous Windows membre du domaine « test2.test1.local ». Ce poste porte le FQDN « client7.test2.test1.local » :

Où sont stockées les zones DNS ?

Dans le premier chapitre nous avons vu le rôle DNS sans Active Directory. Les zones DNS étaient stockées dans des fichiers textes. Dans ce cas il ne peut y avoir qu'une zone principale et des zones secondaires. Cela nécessite un transfert de zone de la zone principale vers les zones secondaires, ou par relai d'une zone secondaire vers une autre zone secondaire. La zone principale étant la seul à être autorisée en écriture.

Les zones DNS d’Active Directory

Par défaut dans une forêt Active Directory de 'n' domaines il y a au moins 'n+1' zones DNS. D'abord chaque domaine dispose de sa zone DNS correspondant au nom complet du domaine (donc n zones). Cette zone n’est pas, par défaut, répliqué entre l'ensemble des contrôleurs de domaine du domaine concerné.

Il existe également une zone lié à dont le nom commence par _msdcs. Cette zone est unique dans la forêt et elle est répliquée à l’ensemble des contrôleurs de domaine de la forêt. Elle permettra entre autre de retrouver les catalogues globaux.

Différents types d’enregistrements

• A : Les enregistrements A permettent la résolution d’un nom d’hôte FQDN en adresse IPv4.
• AAAA : Les enregistrements AAAA représente comme les enregistrements « A » le lien entre un nom FQDN et une adresse IP. Mais si les enregistrements A sont liés à IPv4, les enregistrements AAAA sont liés à IPv6.
• CNAME : Les enregistrements Cname sont des alias d’un nom FQDN vers un autre nom FQDN. Pour résoudre un enregistrement Cname il faut également un enregistrement A (ou AAAA) pour le nom cible du Cname.
Par exemple

Créer une Zone de stub

Je suppose que vous avez constaté dès les premiers chapitres qu’ils existent différents type de zones. Nous avons parlé de zone principale (en lecture / écriture), de zone secondaire (en lecture seule).Dans les options il y avait aussi la zone de Stub et j’avais précisé que nous reviendrons sur ce point plus tard. Puis nous sommes passés toute autre chose les redirecteurs standard ou conditionnelle, la délégation de zone. Cela parait confus mais vous allez vitre comprendre n’avoir pas de suite parlé des zone de Stub.

Créer une délégation pour un sous domaine

Dans cette section nous disposons toujours d’un serveur « test1dc1 » disposant de la zone DNS « dom1.local ». Nous disposons d’un 2ème serveur DNS n’ayant pas de zone de configuré. Nous souhaitons créer un sous domaine « soudomaine1.dom1.local » dont la zone est hébergée par le 2ème serveur DNS. Nous voulons également garantir la résolution de nom depuis les 2 serveurs DNS.

Commençons par créer la zone « sousdomaine1.dom.local » sur le serveur « test2dc1 ».

Redirecteurs DNS

 

Un redirecteur est un élément de configuration permettant de rediriger des requêtes DNS pour des zones inconnus du serveur vers d’autres serveurs DNS. Le redirecteur conditionnel définit le serveur de nom pour un espace de nom alors que le redirecteur simple définit un redirecteur pour tous les noms qui dont la zone n’est pas géré sur le serveur.

Nous avons supprimé la zone « dom1.local » du 2ème serveur et nous avons supprimé son enregistrement NS dans la zone.

zone secondaire et transfert de zone

Notre serveur Windows 2012 « test1dc1 » a le rôle de serveur DNS et possède la zone « dom1.local ». Nous allons maintenant configurer une zone secondaire sur le serveur « tes2.dc1 » en Windows 2008 et qui se trouve sur un autre réseau. Une zone secondaire est une copie en lecture seule de la zone. Ensuite nous configurerons un transfert de zone du serveur « test1dc1 » vers « tes2dc1 ».

Sur le 2ème serveur « test2dc1 » nous allons créer une zone « dom1.local » en tant que zone secondaire.

Pages

S'abonner à Philippe BARTH RSS