Active Directory

[AD] Exemples de problèmes d’ouverture de session

 

Dans cet article, nous allons voir un certain nombre de messages d'erreur lors de l'ouverture session et son origine.

Une des premières sources de problèmes est la synchronisation des horloges entre PC Client et serveur. Vous pouvez consulter l'article suivant afin de configurer la synchronisation des horloges dans votre forêt Active Directory :

http://pbarth.fr/node/87

Un autre problème fréquent est l'impossibilité de joindre un contrôleur de domaine :

Suis-je prêt à restaurer mon AD ?

 

Dans certaines discussions, je me suis rendu compte que la restauration d'un annuaire AD DS n'est pas forcément bien comprise par certains administrateurs. Il faut dire que si l'opération de sauvegarde est relativement simple à comprendre, pour la restauration, les choix et certaines étapes particulières ne sont pas évidents.

Tags: 

Sauvegarde et restauration de GPO depuis la console GPMC

 

Les stratégies de groupe sont incluses dans les sauvegardes de l'état du système du contrôleur de domaine. Néanmoins il est possible de réaliser des sauvegardes spécifiques afin de faciliter la restauration des GPO en cas d'erreur de configuration.

Pour sauvegarder l'ensemble des GPOs depuis la console « Gestion des stratégies de groupe » (gpmc.msc), faites un clic droit sur « Objets de stratégie de groupe », puis dans le menu déroulant sélectionner « Sauvegarder tout…».

 

De quoi est composé Active Directory ?

 

Pour comprendre les mécanismes de sauvegarde d'un annuaire Active Directory, il est nécessaire de connaître sa composition. Une forêt AD DS est un ensemble cohérent d'exemplaire d'informations stockées sur un ou plusieurs contrôleurs de domaines. Une forêt peut contenir un ou plusieurs domaines.

Dans notre exemple, l'environnement contient une forêt Active Directory avec deux domaines. « BecomeITExpert.lan » est le domaine racine de la forêt.

 

[eBook /Book] Active Directory Sauvegarde et Restauration

Pour mon 3ème livre sur Active Directory Domain Services, j'ai souhaité faire un guide pour vous aider à écrire votre propre scénario de reprise d'activité. Dans beaucoup d'entreprises les plans de sauvegarde AD répondent à des critères communs aux autres sauvegardes mais ils nécessitent une réflexion et une préparation particulière. La première raison est qu'ils jouent un rôle central dans l'activité de l'entreprise et beaucoup d'éléments en dépendent.

Server Performance Advisor

Un des derniers articles que j'ai écrits concerne la planification des ressources pour les contrôleurs de domaine. Généralement dans les petites structures les contrôleurs de domaine, s'ils n'hébergent pas d'autre rôle ne sont pas les serveurs les plus chargés. Dans des environnements physiques leurs ressources sont souvent surestimées afin de garantir la pérennité sur toute la durée de vie du serveur. Dans des environnements virtuels il est plus simple de n'allouer que sur les besoins.

Dimensionnement des DCs

 En lisant certains blogs, je suis tombé sur des valeurs un peu excessives au niveau du dimensionnement des contrôleurs de domaine, surtout pour des PME. Je me souviens par exemple d'un site qui préconise 8 Go de RAM minimum sur les DCs avec Windows 2012 R2, sans trop justifier cette valeur. Active Directory n'est pas un service très exigeant au niveau des performances en comparaison d'un serveur Exchange ou d'une base de données SQL Server.

Vérifier l’état de son domaine Active Directory

Il est important, avant de démarrer une migration des contrôleurs de domaine, de vérifier l'état de santé de son environnement. Les outils standards comme « DCDiag.exe » et « Repadmin.exe » sont présents par défaut à partir de Windows Server 2008. Dans les versions précédentes il faut installer les outils de support.

Préparer la migration AD vers Windows Server 2012 R2

Lors de la migration d'un environnement Active Directory vous risquez de rencontrer des difficultés avec les éléments qui dépendent de votre annuaire. Citons par exemple Microsoft Exchange dont les services sont très dépendants du catalogue global. Ces difficultés sont liées en général à des oublis lors de la mise à niveau, surtout dans de grandes entreprises, où la personne en charge de la migration, n'a pas forcément conscience de l'ensemble des applicatifs s'appuyant sur l'AD.

Scénario de migration d'un annuaire AD

 

Selon la version de vos contrôleurs de domaine, la migration de vos DC vers Windows Server 2012 R2 peut être plus ou moins complexe. Pour l'installation d'un contrôleur de domaine en Windows Server 2012 ou Windows Server 2012 R2, le premier prérequis est que le niveau fonctionnel de la forêt doit être au minimum sur Windows Server 2003.

 

[eBook /Book] Planifier et migrer son infrastructure AD vers Windows Server 2012R2

Mon 2ème livre sur BecomeITExpert est disponible. Il vous guidera dans vos migrations des services de domaine Active Directory vers Windows 2012 R2.

La mise à niveau d'un annuaire vers des contrôleurs de domaine Windows 2012 / 2012 R2 est une opération qui peut s'avérer délicate sans expérience. L'activité des utilisateurs peut être impactée. Les risques d'indisponibilité des applications ne sont pas sans conséquence. La préparation et l'organisation du déroulement sont des facteurs de réussite importants.

Recommandation sur les exclusions de l’antivirus sur les DCs

 

Afin de protéger son environnement, il est utile d'installer un antivirus y compris sur vos contrôleurs de domaine. Il est déconseillé de naviguer sur internet depuis les contrôleurs de domaine. Néanmoins certains fichiers doivent être exclus. Les dossiers ci-dessous en font partis :

[eBook /Book] Active Directory 2012 R2 – Conception, Déploiement et Administration en Entreprise

 

Mon premier livre sur Active Directory est maintenant disponible sur BecomeITExpert.

Ce livre numérique vous permet de découvrir l'installation et la gestion des domaines Active Directory au quotidien. Il vous propose de découvrir Active Directory avec une approche progressive qui vous permettra de réaliser un environnement de test que vous pourrez faire vivre tout au long de votre lecture. Il est disponible sur BecomeITExpert en utilisant le lien ci-dessous :

Réinitialiser « krbtgt »

Le compte « krbtgt » dans Active Directory est un compte du domaine particulier qui est désactivé par défaut. Le mot de passe de ce compte est utilisé pour générer les tickets pour l'authentification Kerberos. Il ne faut donc surtout pas le supprimer. Néanmoins son mot de passe est lié à la sécurité et en plus il ne change jamais. Ce compte conserve par défaut les 2 derniers mots de passe dans son historique, donc si vous le modifiez les tickets générés avec l'ancien mot de passe restent valide, les nouveaux tickets utilisant le nouveau mot de passe.

Tags: 

AD : Approbation avec Authentification sélective

Dans cet article nous allons voir comment utilisé les autorisations sélectives dans les relations d'approbation entre deux environnements Active Directory. Pour cela nous allons utiliser 2 forêts Active Directory « lab1.lan » et « lab2.lan ». Le domaine « lab1.lan » utilise la plage d'adresse « 172.21.x.x » et le domaine « lab2.lan » la plage « 172.22.x.x ». Les deux sous réseaux sont reliés par un routeur et il n'y a pas de filtrage. Si vous voulez sécuriser les liens entre les réseaux vous pouvez utiliser le lient suivant afin de filtrer les ports :

Tags: 

Réplication DFS IdEvent 4012

Dans cet article nous allons voir un problème de réplication du dossier Sysvol. Nous disposons de 2 Contrôleurs de domaine  « LAB1dc1.lab1.lan » et « LAB1dc2.lab1.lan ». Les 2 contrôleurs de domaines sont en Windows 2012 R2. Les 2 serveurs n'ont pas répliqués depuis une période assez longue.

Comme pour la réplication de l'annuaire Active Directory, la réplication du dossier Sysvol avec les services DFS-R peut générer une erreur lorsque le contrôleur de domaine n'a pas pu répliquer le contenu du dossier Sysvol depuis un certain temps.

Tags: 

TombstoneLifeTime et réplication Active Directory

 

Dans cet article nous allons voir un problème de réplication Active Directory. Nous disposons de 2 Contrôleurs de domaine  « LAB1dc1.lab1.lan » et « LAB1dc2.lab1.lan ». Les 2 contrôleurs de domaines sont en Windows 2012 R2. Les 2 serveurs n'ont pas répliqués depuis une période assez longue et supérieur au « TimeTombStoneLifeTime ».

Tags: 

Privileged Access Management Feature

Alors que la sortie de la version de Windows Server 2016 devrait bientôt être annoncée, nous allons dans cet article présenté une des nouveautés d'Active Directory. Cette nouvelle fonctionnalité permet d'ajouter un membre dans un groupe pour une durée déterminée. Comme pour la corbeille Active Directory, il s'agit d'une option qui n'est pas activée par défaut.

En ce qui concerne les prérequis il faudra augmenter le niveau fonctionnel de la forêt à Windows 2016. Pour le moment il s'agit du niveau « Windows Server Technical Preview » en attendant la sortie officielle du produit.

Tags: 

Vérifier la réplication AD avec PowerShell

 

Dans l'exemple ci-dessous nous allons voir comment utiliser PowerShell pour vérifier la réplication de l'annuaire Active Directory.

Dans cette exemple nous utilisons 3 contrôleurs de domaine : le premier en 2008r2, le second en 2012r2 et le dernier en Windows 2016 Technical Preview 5.

Le script ci-dessous recherche l'ensemble des contrôleurs de domaine du domaine et retourne un fichier csv indiquant pour chaque contrôleur de domaine, le partenaire de réplication, le résultat de la dernière réplication et la date de la dernière réplication correcte.

Tags: 

Synchroniser AD avec Azure Active Directory (Etape 4)

Dans les étapes précédentes nous avons vu comment préparer et installer les services de synchronisations Active Directory avec Azure (Azure Active Directory Connect ). Nous avions installé les services sur un serveur membre du domaine. Sur ce serveur nous allons voir :

  • Comment afficher ou modifier la configuration actuelle
  • Comment vérifier si la synchronisation fonctionne

 

Après avoir installé et configuré Azure Active Directory Connect vous trouverez entre autre les applications suivantes :

Ajouter un attribut dans le catalogue global

Dans ce nouveau tutoriel nous allons voir comment ajouter un attribut dans le catalogue global. Le catalogue global est une fonctionnalité importante des services de domaines Active Directory. Nous pouvons citer par exemple la messagerie Exchange qui ne peut fonctionner correctement si le serveur de messagerie ne peut joindre un catalogue global.  Son importance est encore plus grande dans une forêt contenant plusieurs domaines Active Directory. Le catalogue global est une sorte de base de données « d’index » qui recense l’ensemble des objets de la forêt.

Suppression d’un domaine orphelin.

IMPORTANT : cette documentation explique comment supprimer un domaine lorsqu'il n'y a plus de contrôleur de domaine disponible. En cas d'erreur la seule option disponible est la restauration de l'ensemble de la forêt à l'aide des sauvegardes de l'état du système. L'opération n'étant pas anodine je vous conseille de lire l'ensemble de l'article avant de vous lancer sur le sujet.

Dans notre exemple nous disposons d’un domaine racine « lab1.lan » et d’un domaine enfant « lab2.lab1.lan » et d’un troisième « lab4.lan ».

Tags: 

Installation d'un contrôleur de domaine 2012 avec Powershell

 

Cet article reprend quelques commandes Powershell permettant l’installation de contrôleur de domaine sur des serveurs Windows 2012.

La première commande correspond à l’assistant « ajout / suppression de rôle » et permet d’ajouter le rôle « Active Directory Domain Service » :

Install-windowsfeature -name AD-Domain-Services –IncludeManagementTools

Une fois le rôle AD DS installé vous pouvez utiliser une des commandes suivantes afin de configurer votre serveur en tant que contrôleur de domaine.

 

Tags: 

Console "dsa.msc" utiliser les requêtes enregistrées

Utilisateurs et Ordinateurs Active Directory : utiliser les requêtes enregistrées

 

Dans cet article nous allons voir comment utiliser les requêtes enregistrées de la console « utilisateurs et ordinateurs Active Directory ».  La recherche simple permet de retrouver un utilisateur rapide par son nom ou son prénom ou une partie d’un de ses éléments. Par exemple dans l’image ci-dessous en utilisant « lem » on retrouve « Bruno Lemur »

 

 

Rechercher et exporter des utilsateurs AD avec Powershell

Dans cet article nous allons voir comment utiliser la commande « get-aduser » pour rechercher des comptes ou réaliser un export personnalisé en csv.

La première commande permet de retrouver le compte dont le login est « pdupont ». Il peut y avoir aucune ou une réponse mais il ne peut y avoir plusieurs utilisateurs avec le même login.

Get-aduser –identity "pdupont" 

Stratégies de mot de passe affinées

 

Dans l’article précédent nous avions vu qu’il n’y a qu’une stratégie de groupe qui va fixer les stratégies de mot de passe pour l’ensemble du domaine. Néanmoins depuis Windows 2008, si vous souhaitez appliquer une stratégie de mot de passe différente pour des utilisateurs ou des groupes d’utilisateurs il est possible de créer des stratégies de mots de passe affinées. A la différence de la stratégie par défaut du domaine elle n’est pas configurée dans les stratégies de groupes mais directement dans l’annuaire Active Directory dans la partition du domaine.

Stratégie de mot de passe dans un domaine Active Directory

Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : «  W2012R2DC1 » et « W2012R2DC2 ».

Mise à jour du schéma Active Directory et latence de réplication

Dans cet article nous allons voir la mise à jour d’un schéma Active Directory dans un environnement à plusieurs sites. Nous parlerons des problèmes liés à la latence de réplication ainsi que de quelques bonnes pratiques.

Je vous conseille de suivre le Webcast ci-dessous présenté lors des Tehdays 2014 à Paris :

Tags: 

Active Directory Replication Status Tool

Dans cete article nous allons présenter l’outil « Active Directory Replication Status Tool ».

Il est téléchargeable à l’adresse « http://www.microsoft.com/en-us/download/details.aspx?id=30005». Il peut s’installer sur un poste client, il n’est pas nécessaire de l’installer directement sur le contrôleur de domaine. Si vous souhaitez installer en plus les outils de gestion de serveurs vous pouvez suivre le lien http://pbarth.fr/node/100 .

Pages

S'abonner à RSS - Active Directory