Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Augmenter le pool Rid

Depuis la console Adsi.mmc ouvrez le contexte par défaut du domaine. Par exemple pour « dom1.local » : DC=dom1,DC=local

Rechercher le conteneur « system » et l’objet « RID Manager$ » et modifier l’attribut « rIDAvailablePool » en l’incrémentant de 100000.

 

Invalider le pool RID actuellement utilisé :

Effectuer une restauration autoritaire de sysvol

Lors de la restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de sysvol directement lors de la restauration de l’état du système, soit en ligne de commande avec « wbadmin » en ajoutant –authsysvol, soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

 

Configurer une IP static dans Win PE

 

 

Imaginons que vous souhaitez faire une restauration depuis le CD d’installation de Windows de l’ensemble de votre serveur. De plus vous avez fait une sauvegarde sur un partage réseau qu’il faut pouvoir joindre. Hors votre serveur DHCP n'est pas disponible. Vous allez donc devoir configurer votre serveur avec une IP statique de manière à accéder au partage où se trouve la sauvegarde.

Dans le menu du CD de restauration, ouvrez une invite de commande et saisissez :

Wpeinit

Réinitialiser le mot de passe de restauration d’annuaire

Le mot de passe de restauration d’annuaire est particulier. Déjà c’est un mot de passe qui n’est que rarement utilisé, d’où l’intérêt de tester régulièrement la procédure de restauration. En plus il n’est pas forcément identique au mot de passe de l’administrateur du domaine. Enfin ce mot de passe peut différer entre vos contrôleurs de domaine.

Il est important de mettre ce mot de passe en lieu sûr et de vérifier qu’il est toujours valide.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Redémarrer en mode restauration d’annuaire

 

Pour l’ensemble des versions Windows l’accès au mode restauration d’annuaire reste identique. Redémarrer votre serveur, au démarrage et avant le début du chargement de l’os appuyer sur la touche « F8 » le menu suivant devrait s’ouvrir. Sélectionner le mode restauration d’annuaire et appuyer sur entrée.

Les « snapshots » Active Directory

Une autre fonctionnalité Active Directory apparu dans la version 2008 est le snapshot Active Directory. Cette fonctionnalité utilise les clichés VSS apparu dans Windows 2003. Il est possible de prendre un cliché de l’annuaire AD et de le monter dans une autre instance en parallèle de l’annuaire en production. Par défaut les services LDAP écoutent sur le port 389, alors que vous pouvez préciser le port souhaité pour monter votre cliché.

Bienvenue

Pour ceux d'entre vous qui avez consulté le site "pbarth67.free.Fr", vous constaterez que celui-ci n'est plus disponible. J'avais déjà songé à migrer vers un nouveau site mais par manque de temps les choses ont traîné. Et voilà c'est chose faites, un peu brutalement ... En effet le site "pbarth67.free.FR" a été brutalement supprimé par l'hébergeur sans avertissement à l'avance suite apparemment à un problème d'enregistrements statistiques dans la base de données et qui, si j'ai bien compris, n'est pas autorisé.

La corbeille Active Directory

Pour pouvoir bénéficier de la fonctionnalité de corbeille Active Directory, il est nécessaire de d’avoir un niveau de domaine et de forêt au moins en Windows 2008R2.

L’activation est rapide. Elle peut être faite en Powershell

 

import-module ActiveDirectory

 Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target dom1.local

La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

 

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

 

Les étapes de la restauration

 Préparation de restauration

 

En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.

 

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

 

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Restauration avec NTBackup

Redémarrez votre serveur et appuyez sur « F8 » avant le chargement de Windows. Sélectionnez le mode de restauration d’annuaire et ouvrez une session avec le compte « monserveur\administrateur » et le mot de passe de restauration d’annuaire.

Une fois votre session ouverte lancer l’outil « ntbackup »

 

Tags: 

Sauvegarde Windows 2003

  L’outil de sauvegarde de Windows 2003 est NTBackup. Il est installé par défaut.

Il est possible soit d’ajouter une sauvegarde dans le fichier existant soit de remplacer les données du fichier. Le plus simple est de remplacer les données et de sauvegarder le fichier « .bkf » obtenu sur un autre support en tenant compte de la rétention souhaité.

Tags: 

Sauvegarde et restauration d’un DC

Pour restaurer un contrôleur de domaine il faut pouvoir restaurer le serveur et l’état du système. La restauration de l’état du système restaure la configuration du serveur (paramètre réseau, nom etc…), l’annuaire Active Directory et SYSVOL. En même temps elle indique au système que la réplication doit être réinitialisée. Si la réplication n’est pas réinitialisée vous provoquerez un « USN Rollback ».

Tags: 

Migration du rôle DHCP vers 2008R2

 

 

Un petit article concernant la migration des services DHCP d’un serveur Windows 2003 vers 2008 R2. Il existe des commandes pour exporter les configurations des zones DHCP tel que « netsh » avec la commande « import » et « export ». Néanmoins comme le format a été modifié entre les versions de Windows Server, il n’est pas possible d’exporter en une étape l’ensemble des propriétés DHCP de l’ancienne version pour les importer dans la nouvelle,  L’exportation des étendus manuellement une par une reste possible.

Tags: 

Windows 2008 Ajout du rôle AD DS

Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".

A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.

 

 

Tags: 

Avez-vous déjà entendu parler de « MaxConcurrentApi » ?

Cette valeur qui peut être modifiée dans le registre, permet d’optimiser le nombre de canaux simultanés utilisés lors de requête d’authentification NTLM.

L’article suivant reprend le principe de l’authentification NTLM : http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx.

Quand les utilisateurs ont ouvert leur session pour la dernière fois ?

Il est possible d''interroger l''attribut Lastlogon ou lastlogontimestamp pour avoir une idée de la dernière ouverture de session de vos utilisateurs. Mais par défaut lastlogon n''est pas répliqué entre les DC et lastlogontimestamp peut avoir un décalage de plusieurs jours jusqu'à 14.

 

Pages

S'abonner à Philippe BARTH RSS