Windows 2012 création d'une nouvelle forêt AD

 

 

Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ». 

Il faut commencer par configurer une adresse IP Fixe. 

Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».

Tags: 

Synchroniser les horloges dans un domaine AD (W32Time)

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

 

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt. 

 

Tags: 

Configuration Active Directory sur Windows 2012 en Powershell

Nous allons configurer un serveur Windws2012 en tant que contrôleur de domaine via powershell. Ce serveur a été installé en mode serveur core et il a été intégré au domaine :

http://info.pbarth.fr/node/85

 

 Commençons par lancer Powershell

 Nous installons le rôle serveur Active Directory Domain Services :

Tags: 

Intégration d’un serveur Windows 2012 en mode « serveur core » dans un domaine

Dans cette petite démonstration nous allons voir comment intégrer un serveur Windows 2012 en mode Serveur Core dans un domaine Active Directory.

Nous allons configurer le réseau, renommer l’ordinateur et joindre au domaine en Powershell.

Par défaut nous n''avons qu''une "invite de commande" standard à notre disposition.

 

Commençons par basculer sur powershell : 

Il nous faut déjà identifier la carte réseau que nous nous voulons configurer.

Tags: 

Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

DC promo 2008 verification

Après la promotion d’un nouveau DC, il est utile d’effectuer un certain nombre de contrôles.

Nous commençons par surveiller régulièrement dans les heures qui suivent qu’il n’y a pas de message d’erreur dans l’observateur d’événement.

Les 2 événements ci-dessous n’apparaissent que si AD utilise la réplication NTFRS et non DFS-R. C’est le cas lors d’une migration depuis Windows 2003. En effet si le domaine a été créé avec un niveau fonctionnel de Windows 2008 ou supérieur alors la réplication utilise DFS-R dans les autres cas elle utilise NTFRS.

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Gérer les groupes locaux des postes clients par GPO

Cet article a pour but  d’ajouter un groupe de domaine dans le groupe administrateur local des ordinateurs d’une OU.

Dans les images ci-dessous nous verrons comment ajouter des membres à un groupe local, sans remplacer les utilisateurs déjà présents,

puis nous verrons l’exemple ou nous souhaitons remplacer les membres.

Dans la première image ci-dessous nous avons créé un groupe global dans le domaine nommé « SG-ADM-Local ».

Ajout d'un DC 2008 dans un domaine existant

Avant de lancer l'assistant d’installations des services d'annuaire (dcpromo.exe), il est nécessaire de configurer correctement les paramètres réseaux :

- le serveur doit avoir une IP Fixe,

- le DNS primaire doit être l'IP d’un serveur DNS valide contenant les informations du domaine,

- il est préférable de mettre le serveur en tant que membre du domaine de destination avant la promotion

- il ne doit pas y avoir de problème de réplication entre les DC existants, que ce soit au niveau de la réplication Active Directory ainsi que de celui du dossier Sysvol.

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

 

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

 

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags: 

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Augmenter le pool Rid

Depuis la console Adsi.mmc ouvrez le contexte par défaut du domaine. Par exemple pour « dom1.local » : DC=dom1,DC=local

Rechercher le conteneur « system » et l’objet « RID Manager$ » et modifier l’attribut « rIDAvailablePool » en l’incrémentant de 100000.

 

Invalider le pool RID actuellement utilisé :

Effectuer une restauration autoritaire de sysvol

Lors de la restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de sysvol directement lors de la restauration de l’état du système, soit en ligne de commande avec « wbadmin » en ajoutant –authsysvol, soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

 

Configurer une IP static dans Win PE

 

 

Imaginons que vous souhaitez faire une restauration depuis le CD d’installation de Windows de l’ensemble de votre serveur. De plus vous avez fait une sauvegarde sur un partage réseau qu’il faut pouvoir joindre. Hors votre serveur DHCP n'est pas disponible. Vous allez donc devoir configurer votre serveur avec une IP statique de manière à accéder au partage où se trouve la sauvegarde.

Dans le menu du CD de restauration, ouvrez une invite de commande et saisissez :

Wpeinit

Réinitialiser le mot de passe de restauration d’annuaire

Le mot de passe de restauration d’annuaire est particulier. Déjà c’est un mot de passe qui n’est que rarement utilisé, d’où l’intérêt de tester régulièrement la procédure de restauration. En plus il n’est pas forcément identique au mot de passe de l’administrateur du domaine. Enfin ce mot de passe peut différer entre vos contrôleurs de domaine.

Il est important de mettre ce mot de passe en lieu sûr et de vérifier qu’il est toujours valide.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Redémarrer en mode restauration d’annuaire

 

Pour l’ensemble des versions Windows l’accès au mode restauration d’annuaire reste identique. Redémarrer votre serveur, au démarrage et avant le début du chargement de l’os appuyer sur la touche « F8 » le menu suivant devrait s’ouvrir. Sélectionner le mode restauration d’annuaire et appuyer sur entrée.

Les « snapshots » Active Directory

Une autre fonctionnalité Active Directory apparu dans la version 2008 est le snapshot Active Directory. Cette fonctionnalité utilise les clichés VSS apparu dans Windows 2003. Il est possible de prendre un cliché de l’annuaire AD et de le monter dans une autre instance en parallèle de l’annuaire en production. Par défaut les services LDAP écoutent sur le port 389, alors que vous pouvez préciser le port souhaité pour monter votre cliché.

Bienvenue

Pour ceux d'entre vous qui avez consulté le site "pbarth67.free.Fr", vous constaterez que celui-ci n'est plus disponible. J'avais déjà songé à migrer vers un nouveau site mais par manque de temps les choses ont traîné. Et voilà c'est chose faites, un peu brutalement ... En effet le site "pbarth67.free.FR" a été brutalement supprimé par l'hébergeur sans avertissement à l'avance suite apparemment à un problème d'enregistrements statistiques dans la base de données et qui, si j'ai bien compris, n'est pas autorisé.

La corbeille Active Directory

Pour pouvoir bénéficier de la fonctionnalité de corbeille Active Directory, il est nécessaire de d’avoir un niveau de domaine et de forêt au moins en Windows 2008R2.

L’activation est rapide. Elle peut être faite en Powershell

 

import-module ActiveDirectory

 Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target dom1.local

La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

 

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

 

Les étapes de la restauration

 Préparation de restauration

 

En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.

 

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Pages

S'abonner à Philippe BARTH RSS