Active Directory

Audit

Dans cet article je vais vous parler de l’audit Windows et de l’intérêt de sa mise en œuvre dans un domaine Active Directory. L’audit est un élément complexe à appréhender et rarement configuré dans les PME. Les paramètres appliqués sont souvent les paramètres par défaut. Le premier élément à prendre en compte est qu’il n’est pas évident de déterminer le profit que l’on peut en retirer. Le deuxième élément est que le sujet n’est pas simple à préparer. En effet au moment de sa mise en place il est difficile d’estimer quels éléments on souhaitera retrouver.

Problème de réplication « Sysvol » avec « DFS-R ».

Dans la partie restauration d’Active Directory ( http://pbarth.fr/node/68 ), j’expliquais comment effectuer une restauration Authoritaire Sysvol pour les domaines ayant été créé avec un niveau fonctionnel inférieur à 2008 (réplication NTFRS). L’opération consistait à modifier une valeur de registre « Burflags »  et ensuite à redémarrer le service « NTFRS », comme décrit dans cet article : http://support.microsoft.com/kb/290762/fr.

Les contrôleurs de domaines en lecture seule (RODC).

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière.

Tags: 

Création de site et de sous-réseau AD

Dans cet article nous allons voir comment créer un site Active Directory et lui associer un sous-réseau. La notion de site permet de gérer la situation géographique d’un domaine Active Directory.

Nous définirons donc un site comme un ensemble de sous réseau connecté avec des liaisons rapides. Certains domaines peuvent exister sur plusieurs sites et certains sites peuvent contenir plusieurs domaines.

Les avantages liés à la gestion des sites :

Tags: 

Migrer un ordinateur

ADMT permet également de migrer des ordinateurs vers le nouveau domaine. Vous me direz sans doute que vous pouvez sortir l’ordinateur de l’ancien domaine pour l’intégrer dans le nouveau.

Dans ce cas-là un certain nombre d’éléments ne seront pas repris. Par exemple si votre ordinateur contient des partages de Fichier, ADMT va automatiquement remplacer les permissions NTFS (ACL) par les SID des objets du nouveau domaine. De même les profils sont migrés par ADMT.

5 - Installation de Password Export Server

 

Afin de pouvoir migrer les mots de passe lors de la migration ADMT, il nous faut installer un outil sur le contrôleur de domaine de l’ancien domaine permettant d’exporter de manière sécurisé les mots de passe et de les transmettre à l’outil ADMT. Pour protéger ces communications il est nécessaire de créer une clé sur le serveur ADMT destinataire de l’information et de réutiliser cette clé sur le serveur source où nous installerons PES.

Pour cela nous ouvrons une « invite de commande » en mode administrateur sur le serveur ADMT.

ADMT (Active Directory Migration Tool)

 

Présentation

Il arrive que l’on rencontre des situations où il est nécessaire de revoir l’ensemble de l’organisation. C’est le cas par exemple lors de la fusion ou de la scission d’une entreprise.  Il s’agit d’une opération de migration des objets Active Directory d’un domaine vers un autre.

L’outil de migration Active Directory Migration Tool permet d’effectuer cette opération.

Tags: 

Suppression d’un DC HS

Nous allons voir dans cet article comment supprimer un contrôleur de domaine HS.

Dans notre exemple nous allons utiliser 3 anciens contrôleurs de domaine en Windows 2003. Le principe reste identique pour les versions récentes.

Nous verrons 2 méthodes, la première avec l’outil « ntdsutil » et l’option « meta data cleanup », la 2ème par l’assistant graphique.

Comme le montre l’image ci-dessous nous disposons de 3 DC en Windows 2003R2 nommé « W2k3-DC1 », « W2k3-DC2 », « W2K3-DC3 ».

Migration des DC vers Windows 2012

Quelques mots sur la migration des contrôleurs de domaine Active Directory sous Windows 2012 Server.

 Si l’apparence a pas mal évolué,  le principe de migration de l’AD vers des contrôleurs de domaine en Windows 2012 reste dans les grandes lignes identiques à 2008.

 

 Pour plus de détail sur les étapes de la migration d’un domaine Active Directory avec 2008 :

http://pbarth.fr/node/8.

Windows 2012 création d'une nouvelle forêt AD

 

 

Nous allons utiliser la console « Gestionnaire de serveur » sur Windows 2012 pour installer d’abord le « Rôle Active Directory Domain Services », puis nous allons configurer le serveur « Active Directory ». 

Il faut commencer par configurer une adresse IP Fixe. 

Dans le « gestionnaire de serveur », sélectionner le serveur et cliquer sur « Ajouter des rôles et des fonctionnalités ».

Tags: 

Synchroniser les horloges dans un domaine AD (W32Time)

Dans ce petit tutoriel nous allons voir comment utiliser W32Time pour synchroniser les horloges dans un domaine AD.

 

Le premier élément à prendre en compte est que dans un domaine Active Directory, les postes se synchronisent normalement tout seul avec un contrôleur de domaine. Les contrôleurs de domaine se synchronisent vers le DC qui dispose du rôle de maître d'opération "Emulateur PDC". Il y en a un par domaine.

Dans une forêt multi domaine chaque "Emulateur PDC" se synchronise automatiquement par rapport au domaine racine de la forêt. 

 

Tags: 

Augmenter le niveau fonctionnel du domaine et de la forêt

 

Comme nous pouvons le voir dans l’mage ci-dessous, le niveau fonctionnel du domaine et de la forêt et sur Windows 2003.

Hors nous n’avons plus que des DC en Windows 2008 R2.

 

 

 

 

 

Comment augmenter le niveau de domaine ?

Tags: 

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

 

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

 

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags: 

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

 

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Windows 2008 Ajout du rôle AD DS

Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".

A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.

 

 

Tags: 

Utilisation des suffixes UPN

Je souhaitais consacrer un article sur l’utilisation des suffixes UPN dans Active Directory. Commençons par expliquer ce qu’est un UPN.

L’UPN ou User Principal Name est l’identifiant par défaut pour l’ouverture de session Active Directory. Son format ressemble à une adresse email avec la présence du caractère « @ ».  Par exemple Paul sur le domaine « mondomaine.lan » possède un identifiant « paul@mondomaine.lan » :

Outils AD

Quelques éléments de base pour la maintenance Active Directory .

Surveiller la réplication de l’annuaire AD

- Repadmin : il est inclut dans les binaires du rôle de AD Domain Services depuis 2008. Dans les versions précédentes il fallait l’installer à partir des outils de support .

Exemple pour Windows 2003

http://support.microsoft.com/kb/892777/fr

Exemple

Repadmin /syncall :synchronise un DC avec l’ensemble de ses partenaires

Tags: 

Corbeille Active Directory

L'activation de la corbeille AD, nécessite de n'avoir que des DC en 2008 R2, ainsi que le niveau fonctionnel des domaines et de la forêt.

Dans une fenêtre Powershell en mode administrateur, nous commençons par importer le module Active Directory :

import-module ActiveDirectory

Ensuite, nous activons la fonction de corbeille par la commande :

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target test.local

Tags: 

Préparer la migration de son domaine

Planifier le dimensionnement des nouveaux serveurs

http://technet.microsoft.com/fr-FR/library/cc753439.aspx

Identifier les rôles des anciens DC

o Serveur DNS : Il est recommandé d’utiliser des zones DNS intégrés AD, n’acceptant que des mises à jour sécurisées. Il est aussi recommandé d’activer le nettoyage des zones DNS. Celui-ci n’est pas activé par défaut.

Tags: 

Placement des catalogues globaux

 

Quel est le rôle joué par le catalogue Global ?

 

Une forêt Active Directory peut être composée d’un ou plusieurs domaines. Par défaut la partition de domaine ne contient que les objets du domaine. Le contrôleur de domaine ne peut localiser les objets des autres domaines.

Et pourtant, des utilisateurs d’un domaine peuvent appartenir à des groupes d’autres domaines. Ils peuvent également selon leur autorisation d’accès ouvrir une session sur un poste situé dans un autre domaine.

Tags: 

Choisir son nom de domaine

Quel critère pour choisir le nom de ma zone DNS ?

Une zone DNS ne doit exister qu’une fois, même si elle est hébergée sur plusieurs serveurs. Elle peut être hébergée sur un serveur maître avec transfert de zone vers des serveurs secondaires. Lorsqu'elle est stockée dans Active Directory elle bénéficie de la réplication multi-maître et la zone principale est stockée sur l'ensemble des DC.

Dans ces cas il s'agit toujours de la même zone, contenant les mêmes enregistrements et qui est répliqué.

Tags: 

Pages

S'abonner à RSS - Active Directory