Active Directory

Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

 

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

 

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

 

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags: 

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

-          Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

-          Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

-          tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

-          l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

-          le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

-          aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

 

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Windows 2008 Ajout du rôle AD DS

Avant d''effectuer une promotion en tant que contrôleur de domaine Active Directory, il est nécessaire d''installer le rôle "Domain Services".

A noter qu''il n''est pas possible d''installer le rôle serveur DNS en même temps que ce rôle. Le rôle DNS s''installera automatiquement lors du Dcpromo.

 

 

Tags: 

Utilisation des suffixes UPN

Je souhaitais consacrer un article sur l’utilisation des suffixes UPN dans Active Directory. Commençons par expliquer ce qu’est un UPN.

L’UPN ou User Principal Name est l’identifiant par défaut pour l’ouverture de session Active Directory. Son format ressemble à une adresse email avec la présence du caractère « @ ».  Par exemple Paul sur le domaine « mondomaine.lan » possède un identifiant « paul@mondomaine.lan » :

Outils AD

Quelques éléments de base pour la maintenance Active Directory .

Surveiller la réplication de l’annuaire AD

- Repadmin : il est inclut dans les binaires du rôle de AD Domain Services depuis 2008. Dans les versions précédentes il fallait l’installer à partir des outils de support .

Exemple pour Windows 2003

http://support.microsoft.com/kb/892777/fr

Exemple

Repadmin /syncall :synchronise un DC avec l’ensemble de ses partenaires

Tags: 

Corbeille Active Directory

L'activation de la corbeille AD, nécessite de n'avoir que des DC en 2008 R2, ainsi que le niveau fonctionnel des domaines et de la forêt.

Dans une fenêtre Powershell en mode administrateur, nous commençons par importer le module Active Directory :

import-module ActiveDirectory

Ensuite, nous activons la fonction de corbeille par la commande :

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target test.local

Tags: 

Préparer la migration de son domaine

Planifier le dimensionnement des nouveaux serveurs

http://technet.microsoft.com/fr-FR/library/cc753439.aspx

Identifier les rôles des anciens DC

o Serveur DNS : Il est recommandé d’utiliser des zones DNS intégrés AD, n’acceptant que des mises à jour sécurisées. Il est aussi recommandé d’activer le nettoyage des zones DNS. Celui-ci n’est pas activé par défaut.

Tags: 

Placement des catalogues globaux

 

Quel est le rôle joué par le catalogue Global ?

 

Une forêt Active Directory peut être composée d’un ou plusieurs domaines. Par défaut la partition de domaine ne contient que les objets du domaine. Le contrôleur de domaine ne peut localiser les objets des autres domaines.

Et pourtant, des utilisateurs d’un domaine peuvent appartenir à des groupes d’autres domaines. Ils peuvent également selon leur autorisation d’accès ouvrir une session sur un poste situé dans un autre domaine.

Tags: 

Choisir son nom de domaine

Quel critère pour choisir le nom de ma zone DNS ?

Une zone DNS ne doit exister qu’une fois, même si elle est hébergée sur plusieurs serveurs. Elle peut être hébergée sur un serveur maître avec transfert de zone vers des serveurs secondaires. Lorsqu'elle est stockée dans Active Directory elle bénéficie de la réplication multi-maître et la zone principale est stockée sur l'ensemble des DC.

Dans ces cas il s'agit toujours de la même zone, contenant les mêmes enregistrements et qui est répliqué.

Tags: 

Pages

S'abonner à RSS - Active Directory