Relation d'approbation entre domaine AD sous Windows 2008 R2

Un tutoriel concernant la mise en place d''une relation d’approbation entre 2 domaines AD

 

Dans cet exemple il y a :

- Un domaine « domaine 1.local » avec comme contrôleur de domaine un serveur Windows 2003 R2 nommé « w2k3-dc1.domaine1.local », ip 10.10.100.1

- Un domaine « domaine2.local » avec comme contrôleur de domaine un serveur Windows 2008 R2 nommé « w2k8-dc1.domaine2.local », ip 10.10.101.1.

 

DC promo 2008 verification

Après la promotion d’un nouveau DC, il est utile d’effectuer un certain nombre de contrôles.

Nous commençons par surveiller régulièrement dans les heures qui suivent qu’il n’y a pas de message d’erreur dans l’observateur d’événement.

Les 2 événements ci-dessous n’apparaissent que si AD utilise la réplication NTFRS et non DFS-R. C’est le cas lors d’une migration depuis Windows 2003. En effet si le domaine a été créé avec un niveau fonctionnel de Windows 2008 ou supérieur alors la réplication utilise DFS-R dans les autres cas elle utilise NTFRS.

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Gérer les groupes locaux des postes clients par GPO

Cet article a pour but  d’ajouter un groupe de domaine dans le groupe administrateur local des ordinateurs d’une OU.

Dans les images ci-dessous nous verrons comment ajouter des membres à un groupe local, sans remplacer les utilisateurs déjà présents,

puis nous verrons l’exemple ou nous souhaitons remplacer les membres.

Dans la première image ci-dessous nous avons créé un groupe global dans le domaine nommé « SG-ADM-Local ».

Ajout d'un DC 2008 dans un domaine existant

Avant de lancer l'assistant d’installations des services d'annuaire (dcpromo.exe), il est nécessaire de configurer correctement les paramètres réseaux :

- le serveur doit avoir une IP Fixe,

- le DNS primaire doit être l'IP d’un serveur DNS valide contenant les informations du domaine,

- il est préférable de mettre le serveur en tant que membre du domaine de destination avant la promotion

- il ne doit pas y avoir de problème de réplication entre les DC existants, que ce soit au niveau de la réplication Active Directory ainsi que de celui du dossier Sysvol.

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

 

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

 

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags: 

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Augmenter le pool Rid

Depuis la console Adsi.mmc ouvrez le contexte par défaut du domaine. Par exemple pour « dom1.local » : DC=dom1,DC=local

Rechercher le conteneur « system » et l’objet « RID Manager$ » et modifier l’attribut « rIDAvailablePool » en l’incrémentant de 100000.

 

Invalider le pool RID actuellement utilisé :

Effectuer une restauration autoritaire de sysvol

Lors de la restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de sysvol directement lors de la restauration de l’état du système, soit en ligne de commande avec « wbadmin » en ajoutant –authsysvol, soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

 

Configurer une IP static dans Win PE

 

 

Imaginons que vous souhaitez faire une restauration depuis le CD d’installation de Windows de l’ensemble de votre serveur. De plus vous avez fait une sauvegarde sur un partage réseau qu’il faut pouvoir joindre. Hors votre serveur DHCP n'est pas disponible. Vous allez donc devoir configurer votre serveur avec une IP statique de manière à accéder au partage où se trouve la sauvegarde.

Dans le menu du CD de restauration, ouvrez une invite de commande et saisissez :

Wpeinit

Réinitialiser le mot de passe de restauration d’annuaire

Le mot de passe de restauration d’annuaire est particulier. Déjà c’est un mot de passe qui n’est que rarement utilisé, d’où l’intérêt de tester régulièrement la procédure de restauration. En plus il n’est pas forcément identique au mot de passe de l’administrateur du domaine. Enfin ce mot de passe peut différer entre vos contrôleurs de domaine.

Il est important de mettre ce mot de passe en lieu sûr et de vérifier qu’il est toujours valide.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Redémarrer en mode restauration d’annuaire

 

Pour l’ensemble des versions Windows l’accès au mode restauration d’annuaire reste identique. Redémarrer votre serveur, au démarrage et avant le début du chargement de l’os appuyer sur la touche « F8 » le menu suivant devrait s’ouvrir. Sélectionner le mode restauration d’annuaire et appuyer sur entrée.

Les « snapshots » Active Directory

Une autre fonctionnalité Active Directory apparu dans la version 2008 est le snapshot Active Directory. Cette fonctionnalité utilise les clichés VSS apparu dans Windows 2003. Il est possible de prendre un cliché de l’annuaire AD et de le monter dans une autre instance en parallèle de l’annuaire en production. Par défaut les services LDAP écoutent sur le port 389, alors que vous pouvez préciser le port souhaité pour monter votre cliché.

Bienvenue

Pour ceux d'entre vous qui avez consulté le site "pbarth67.free.Fr", vous constaterez que celui-ci n'est plus disponible. J'avais déjà songé à migrer vers un nouveau site mais par manque de temps les choses ont traîné. Et voilà c'est chose faites, un peu brutalement ... En effet le site "pbarth67.free.FR" a été brutalement supprimé par l'hébergeur sans avertissement à l'avance suite apparemment à un problème d'enregistrements statistiques dans la base de données et qui, si j'ai bien compris, n'est pas autorisé.

La corbeille Active Directory

Pour pouvoir bénéficier de la fonctionnalité de corbeille Active Directory, il est nécessaire de d’avoir un niveau de domaine et de forêt au moins en Windows 2008R2.

L’activation est rapide. Elle peut être faite en Powershell

 

import-module ActiveDirectory

 Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target dom1.local

La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

 

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

 

Les étapes de la restauration

 Préparation de restauration

 

En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.

 

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Pages

S'abonner à Philippe BARTH RSS