2014

Les contrôleurs de domaines en lecture seule (RODC).

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.

Tags: 

Création de site et de sous-réseau AD

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

Tags: 

Mise à jour du client

Nous allons sur le poste client Windows 8.1 qui appartient à l’OU « valideur » et qui applique la GPO correspondante. Nous ouvrons la console Windows Update. Le premier point à remarquer est l’indication « Vous recevez les mises à jour : Géré par votre administrateur système» :

Nous allons lancer l’installation des mises à jour manuellement afin de ne pas attendre l’heure planifiée dans la stratégie de groupe :

Approbation des mises à jour

Pour qu’une mise à jour soit appliquée il faut d’abord qu’elle soit approuvée. Elle peut être approuvée pour tous les postes ou pour un groupe.

Pour simplifier la gestion nous pouvons créons une vue supplémentaire permettant de cibler les mises à jour recherchées :

 

Par exemple nous pouvons nous limiter aux mises à jour critiques et de sécurités pour Windows 8.1.

 

Gestion des postes clients

Pour notre labo nous allons créer 2 groupes d’ordinateurs. Le premier groupe « valideur » ne concerne qu’une partie des utilisateurs, sélectionné pour tester et signaler les erreurs. Le 2ème groupe plus nombreux représente le reste des postes en production. Ce principe permet d’appliquer les mises à jour d’abord sur un premier groupe de personne réduite avant de les diffuser à tout le monde.

Installer WSUS sur Windows 2012

Dans cet article nous allons installer le rôle WSUS permettant de gérer la diffusion des mises à jour pour l’ensemble des postes. Nous partons sur le principe que les mises à jour de sécurité et les mises à jour critiques sont appliquées après le2ème mardi du mois (publication des mises à jour Windows) sur un nombre limité de postes « valideur ». Si aucune anomalie n’est signalée, les mises à jour seront appliquées aux autres postes.

 

Avant installer le rôle WSUS sur notre serveur Windows 2012, il nous faut déjà tenir compte des 2 prérequis indispensables aux rapports :

Tags: 

Migrer un ordinateur

ADMT permet également de migrer des ordinateurs vers le nouveau domaine. Vous me direz sans doute que vous pouvez sortir l’ordinateur de l’ancien domaine pour l’intégrer dans le nouveau.

Dans ce cas-là un certain nombre d’éléments ne seront pas repris. Par exemple si votre ordinateur contient des partages de Fichier, ADMT va automatiquement remplacer les permissions NTFS (ACL) par les SID des objets du nouveau domaine. De même les profils sont migrés par ADMT.

Migration d’utilisateurs

Nous allons maintenant essayer de migrer des mots de passe. Néanmoins avant de passer à la suite de l’opération il faut tenir compte de la stratégie de mot de passe du domaine qui peut différer entre le domaine source et le domaine cible et qui peut lors de la migration imposer aux utilisateurs venant d’être migré un changement de mot de passe. Vous devez également vérifier sur le contrôleur de domaine du domaine source que le « service serveur d’exportation de mots de passe est bien démarré » sinon vous obtiendrez le message d’erreur suivant :

5 - Installation de Password Export Server

 

Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.

Pour cela nous ouvrons une « invite de commande » en mode administrateur sur le serveur ADMT.

ADMT (Active Directory Migration Tool)

 

Présentation

Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise.  Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.

L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.

Tags: 

Outil de configuration d’un serveur en mode « core » : sconfig

Dans cette présentation nous allons voir l’outil intégré en ligne de commande « sconfig ». Lors de l’installation d’un serveur en mode « core », il est possible de le configurer avec Powershell. Néanmoins pour ceux qui ne sont pas familiarisés avec Powershell, il existe un outil en ligne de commande permettant de configurer le réseau, le nom d’ordinateur, de mettre à jour le serveur etc …

Pour notre exemple nous avons installé un serveur Windows 2012 R2 en mode « core » depuis le CD d’installation.

Tags: 

Installation des outils d’administration de serveurs distants sur un poste client

Il faut télécharger et installer les outils d’administration de serveurs distants correspondant à sa version d’OS :

Pour W7 : http://www.microsoft.com/fr-fr/download/details.aspx?id=7887

Pour W8 : http://www.microsoft.com/fr-fr/download/details.aspx?id=28972

Pour W8.1 : http://www.microsoft.com/fr-fr/download/details.aspx?id=39296

 

Tags: 

Traitement par boucle de rappel de la stratégie utilisateur

 

Par défaut lorsque l’on configure la partie  « configuration utilisateur », elle ne s’applique que si la GPO est liée à une OU contenant des utilisateurs. De la même manière, la partie « configuration ordinateur » ne s’applique que si la GPO est liée à une OU contenant l’ordinateur en question.

Il existe cependant un moyen d'appliquer des paramètres utilisateurs spécifiques pour des postes précis. Par exemple sur des ordinateurs en libre-service ou des serveurs de bureau à distance (TS). Il s'agit du traitement par boucle de rappel.

Tags: 

Suppression d’un DC HS

Nous allons voir dans cet article comment supprimer un contrôleur de domaine HS.

Dans notre exemple nous allons utiliser 3 anciens contrôleurs de domaine en Windows 2003. Le principe reste identique pour les versions récentes.

Nous verrons 2 méthodes, la première avec l’outil « ntdsutil » et l’option « meta data cleanup », la 2ème par l’assistant graphique.

Comme le montre l’image ci-dessous nous disposons de 3 DC en Windows 2003R2 nommé « W2k3-DC1 », « W2k3-DC2 », « W2K3-DC3 ».

Migration des DC vers Windows 2012

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué, avec entre autre l’interface métro (comme pour Windows 8), le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

Windows 2012 création d'une nouvelle forêt AD

 

 

Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ». 

Il faut commencer par configurer une adresse IP Fixe. 

Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».

Tags: 

Synchroniser les horloges dans un domaine AD (W32Time)

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

 

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt. 

 

Tags: 

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

 

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Migration du rôle DHCP vers 2008R2

 

 

Un petit article concernant la migration des services DHCP d’un serveur Windows 2003 vers 2008 R2. Il existe des commandes pour exporter les configurations des zones DHCP tel que « netsh » avec la commande « import » et « export ». Néanmoins comme le format a été modifié entre les versions de Windows Server, il n’est pas possible d’exporter en une étape l’ensemble des propriétés DHCP de l’ancienne version pour les importer dans la nouvelle,  L’exportation des étendus manuellement une par une reste possible.

Tags: 

Windows 2008 Ajout du rôle AD DS

Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".

A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.

 

 

Tags: 

Pages

S'abonner à RSS - 2014