Transfert des rôles FSMO par l’assistant graphique

Dans cette démonstration nous allons voir comment transférer les rôles de maîtres d’opérations Active Directory à l’aide des assistants graphiques. Il est possible d’effectuer le transfert de rôle par NTDSutil et selon la version en PowerShell.

La commande 'Netdom query fsmo' permet de contrôler quel serveur détient les rôles de maître d’opération.

Les rôles définis au niveau de la forêt :

- Contrôleur de schéma

- Maître d’attribution des noms de domaine

Les rôles de domaine :

- Contrôleur de domaine principal

- Maître RID

Gérer les groupes locaux des postes clients par GPO

Cet article a pour but d’ajouter un groupe de domaine dans le groupe administrateur local des ordinateurs d’une OU.

Dans les images ci-dessous nous verrons comment ajouter des membres à un groupe local, sans remplacer les utilisateurs déjà présents,

puis nous verrons l’exemple ou nous souhaitons remplacer les membres.

Dans la première image ci-dessous nous avons créé un groupe global dans le domaine nommé « SG-ADM-Local ».

Ajout d'un DC 2008 dans un domaine existant

Avant de lancer l'assistant d’installations des services d'annuaire (dcpromo.exe), il est nécessaire de configurer correctement les paramètres réseaux :

- le serveur doit avoir une IP Fixe,

- le DNS primaire doit être l'IP d’un serveur DNS valide contenant les informations du domaine,

- il est préférable de mettre le serveur en tant que membre du domaine de destination avant la promotion

- il ne doit pas y avoir de problème de réplication entre les DC existants, que ce soit au niveau de la réplication Active Directory ainsi que de celui du dossier Sysvol.

Comment Migrer Sysvol de NTFRS vers DFS - AD 2008

NOTE : l'article ci-dessous a été écris pour Windows 2008, mais reste valable sur Windows 2012 server :http://technet.microsoft.com/en-us/library/dd641227.aspx

Dans cette présentation nous verrons comment passer d''une réplication NTFRS vers une réplication DFS-R sur le dossier SYSVOL d'Active Directory.

Tags:

Outil supplémentaire pour les contrôles

« Active Directory Replication Status Tool » est un outil pratique et efficace pour contrôler l’état de la réplication de l’ensemble des partitions de la forêt :

http://www.microsoft.com/en-us/download/details.aspx?id=30005

L’outil nécessite “.net 4” :

Réinitialiser le mot de passe du compte « krbtgt »

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

https://blogs.microsoft.com/microsoftsecure/2015/02/11/krbtgt-account-pa...

Réinitialiser le mot de passe du compte d’ordinateur du contrôleur de domaine

Ouvrez une invite de commande MS DOS et exécuter la commande suivante 2 fois:

netdom resetpwd /s:serveur /ud:dom1\administrateur /pd :MotDePAsse

Prendre les rôles de maître d’opération

- En Powershell

Move-ADDirectoryServerOperationMasterRole -Identity “monserver” -OperationMasterRole 0,1,2,3,4 –Force

- Avec “ntdsutil”

Ouvrez une “invite de commande” et exécuter les commandes suivantes :

Ntdsutil

roles

connections

connect to server “monserveur”

Augmenter le pool Rid

Depuis la console Adsi.mmc ouvrez le contexte par défaut du domaine. Par exemple pour « dom1.local » : DC=dom1,DC=local

Rechercher le conteneur « system » et l’objet « RID Manager$ » et modifier l’attribut « rIDAvailablePool » en l’incrémentant de 100000.

Invalider le pool RID actuellement utilisé :

Effectuer une restauration autoritaire de sysvol

Lors de la restauration de l’état du système

Vous pouvez effectuer une restauration autoritaire de sysvol directement lors de la restauration de l’état du système, soit en ligne de commande avec « wbadmin » en ajoutant –authsysvol, soit avec l’interface graphique en mode restauration d’annuaire en cochant la case :

Configurer une IP static dans Win PE

Imaginons que vous souhaitez faire une restauration depuis le CD d’installation de Windows de l’ensemble de votre serveur. De plus vous avez fait une sauvegarde sur un partage réseau qu’il faut pouvoir joindre. Hors votre serveur DHCP n'est pas disponible. Vous allez donc devoir configurer votre serveur avec une IP statique de manière à accéder au partage où se trouve la sauvegarde.

Dans le menu du CD de restauration, ouvrez une invite de commande et saisissez :

Wpeinit

Réinitialiser le mot de passe de restauration d’annuaire

Le mot de passe de restauration d’annuaire est particulier. Déjà c’est un mot de passe qui n’est que rarement utilisé, d’où l’intérêt de tester régulièrement la procédure de restauration. En plus il n’est pas forcément identique au mot de passe de l’administrateur du domaine. Enfin ce mot de passe peut différer entre vos contrôleurs de domaine.

Il est important de mettre ce mot de passe en lieu sûr et de vérifier qu’il est toujours valide.

Si vous ne le connaissez pas, vous pouvez utiliser la procédure suivante pour le réinitialiser.

Redémarrer en mode restauration d’annuaire

Pour l’ensemble des versions Windows l’accès au mode restauration d’annuaire reste identique. Redémarrer votre serveur, au démarrage et avant le début du chargement de l’os appuyer sur la touche « F8 » le menu suivant devrait s’ouvrir. Sélectionner le mode restauration d’annuaire et appuyer sur entrée.

Installer WBAdmin sur Windows 2012

Installer WBAdmin sur Windows 2008

Sur le gestionnaire de serveur, allez dans « fonctionnalités » et cliquer sur « ajouter des fonctionnalités » à droite.

Sélectionner les "fonctionnalités de la sauvegarde" ainsi que les outils en ligne de commande :

Les « snapshots » Active Directory

Une autre fonctionnalité Active Directory apparu dans la version 2008 est le snapshot Active Directory. Cette fonctionnalité utilise les clichés VSS apparu dans Windows 2003. Il est possible de prendre un cliché de l’annuaire AD et de le monter dans une autre instance en parallèle de l’annuaire en production. Par défaut les services LDAP écoutent sur le port 389, alors que vous pouvez préciser le port souhaité pour monter votre cliché.

Bienvenue

Pour ceux d'entre vous qui avez consulté le site "pbarth67.free.Fr", vous constaterez que celui-ci n'est plus disponible. J'avais déjà songé à migrer vers un nouveau site mais par manque de temps les choses ont traîné. Et voilà c'est chose faites, un peu brutalement ... En effet le site "pbarth67.free.FR" a été brutalement supprimé par l'hébergeur sans avertissement à l'avance suite apparemment à un problème d'enregistrements statistiques dans la base de données et qui, si j'ai bien compris, n'est pas autorisé.

La corbeille Active Directory

Pour pouvoir bénéficier de la fonctionnalité de corbeille Active Directory, il est nécessaire de d’avoir un niveau de domaine et de forêt au moins en Windows 2008R2.

L’activation est rapide. Elle peut être faite en Powershell

import-module ActiveDirectory

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target dom1.local

La restauration autoritaire d’un objet

Lorsque vous avez supprimé un objet dans Active Directory, l’objet est marqué pour suppression. Il va perdre ses propriétés avant d’être supprimés. Il ne peut être supprimé directement car il faut garantir que l’ensemble des contrôleurs de domaine soient avertis de cette suppression.

Il est possible de restaurer l’objet dans un délai raisonnable ne dépassant pas le « TombstoneLifetime ».

Les étapes de la restauration

Préparation de restauration

En général lors de la restauration d'une forêt Active Directory il est fortement recommandé de ne restaurer qu’un DC par domaine de la forêt afin de garantir une intégrité de l’annuaire. Si des contrôleurs de domaine hébergent d’autres rôles ou services et s’il est nécessaire de les conserver, supprimez le rôle de contrôleur de domaine (dcpromo /forceremoval). Seul le DC restauré doit avoir le rôle de contrôleur de domaine, les autres seront reconstruits à partir de celui-ci.

Choisir le DC à restaurer

Afin de choisir le contrôleur de domaine à restaurer pour chaque domaine de la forêt, prenez en compte les remarques suivantes :

- Le contrôleur de domaine ne peut être un RODC, il doit être obligatoirement accessible en écriture

- Un DC exécutant Windows 2012 en machine virtuel sur un hyperviseur supportant GenerationID, pourra être cloné pour reconstruire les autres DC plus rapidement.

Dans quel cas restaurer une forêt ?

Vous pouvez envisager une restauration de la forêt Active Directory dans les cas suivants :

- tous les DC sont corrompus ou physiquement endommagés et l’activité de l’entreprise est interrompue,

- l’annuaire Active Directory a été corrompu, accidentellement ou non, par un script, un virus

- le schéma a été accidentellement ou non modifié, avec des paramètres entrainant un conflit

- aucun contrôleur de domaine ne peut répliquer avec ses partenaires dans une forêt multi domaines

Contrôle post restauration (sauf pour le premier DC)

Après le redémarrage, vérifiez au minimum :

- l’observateur d’événement

- Vérifiez le fonctionnement de la réplication Active Directory

Ou avec « repadmin /showrepl »

Restauration Bare Metal 2008

W2008 : Restauration depuis l’outil graphique

Pour restaurer Active Directory, il est nécessaire de redémarrer en mode restauration des services d'annuaires.

Ouvrez une session avec le mot de passe de restauration d'annuaire.

Sauvegarde W2008, W2012

L’outil de sauvegarde existe en version graphique et en ligne de commande.

L'outil WBadmin n'est pas installé par défaut et il se trouve dans la partie "ajout de fonctionnalité". Il est possible d'installer l'outil en ligne de commande ou graphique ou les 2. Nous vérons dans cet exemple la version ligne de commande et l'automatisation.

Il est possible de faire une sauvegarde directement en ligne de commande ou en insérant la commande suivante dans un script :

Restauration avec NTBackup

Redémarrez votre serveur et appuyez sur « F8 » avant le chargement de Windows. Sélectionnez le mode de restauration d’annuaire et ouvrez une session avec le compte « monserveur\administrateur » et le mot de passe de restauration d’annuaire.

Une fois votre session ouverte lancer l’outil « ntbackup »

Tags:

Sauvegarde Windows 2003

L’outil de sauvegarde de Windows 2003 est NTBackup. Il est installé par défaut.

Il est possible soit d’ajouter une sauvegarde dans le fichier existant soit de remplacer les données du fichier. Le plus simple est de remplacer les données et de sauvegarder le fichier « .bkf » obtenu sur un autre support en tenant compte de la rétention souhaité.

Tags:

NTbackup ; windows 2003; sauvegarde DC

Sauvegarde et restauration d’un DC

Pour restaurer un contrôleur de domaine il faut pouvoir restaurer le serveur et l’état du système. La restauration de l’état du système restaure la configuration du serveur (paramètre réseau, nom etc…), l’annuaire Active Directory et SYSVOL. En même temps elle indique au système que la réplication doit être réinitialisée. Si la réplication n’est pas réinitialisée vous provoquerez un « USN Rollback ».

Tags:

sauvegarde DC; contrôleur de domaine

Les éléments clés de la sauvegarde

Présentation

J’ai constaté qu’il y un souvent un amalgame entre la restauration d’un serveur : le contrôleur de domaine par exemple et la restauration des données Active Directory. Et pourtant Active Directory n’est qu’un applicatif avec sa base de données.

Formulaire de recherche

Tags:

Important : cette information concerne la restauration complète d'une forêt Active Directory. Si vous souhaitez réinitialiser le mot de passe de ce compte dans un autre contexte je vous conseille de lire d'abord les articles suivants :

netdom resetpwd /s:serveur /ud:dom1\administrateur /pd :MotDePAsse

Lors de la restauration de l’état du système

Préparation de restauration

Tags:

Tags:

Tags:

Les éléments clés de la sauvegarde

Présentation

Pages

Abonnement RSS