2013

Active Directory Windows Serveur 2008

CONFIGURATION ET RESOLUTION DES PROBLEMES
OLIVIER D.

D. Olivier http://www.entraide-info.fr

Table des matires

1 Prsentation des Services de Domaine AD .....................................................................................4 1.1 1.2 1.3 2 Identit et accs : IDA.............................................................................................................4 Composants dAD ...................................................................................................................5 Installer les services de domaine Active Directory ..................................................................7

Administration scurise et efficace dAD ......................................................................................7 2.1 2.2 2.3 Utilisation des composants logiciels enfichables ....................................................................7 Recherche dobjets dans AD ...................................................................................................7 Commandes de type DS ....................................................................................................7

Gestion des objets Utilisateur ....................................................................................................8 3.1 Les commandes dimport/export ...........................................................................................8

Gestion des objets Groupe ........................................................................................................9 4.1 4.2 Convention de nommage + OU groupes : ...............................................................................9 Pratiques recommandes : .................................................................................................. 10

Gestion des objets Ordinateur ................................................................................................ 10 5.1 En cas de problme ............................................................................................................. 11

Implmentation dune infrastructure de GPO .............................................................................. 11 6.1 6.2 6.3 6.4 Priorit dapplication des GPO ............................................................................................. 11 Modification des GPO .......................................................................................................... 11 Paramtres pour les GPO ..................................................................................................... 11 Appliquer la configuration Utilisateur des objets Ordinateur............................................. 12

Gestion de ltendue de la stratgie de groupe ........................................................................... 12 7.1 7.2 7.3 7.4 Groupes restreint ................................................................................................................. 12 Scurit ............................................................................................................................... 12 Distribution de logiciel laide de GPO (.msi) ...................................................................... 13 Audit .................................................................................................................................... 13

Administration scurise ............................................................................................................. 13 8.1 8.2 8.3 8.4 Dfinir les droits de dlgation ............................................................................................ 13 MMC pour dlgation de contrle ....................................................................................... 13 Recommandations pour la conception dOU ........................................................................ 13 Audit lors de dlgation (gpedit.msc sur le DC) ................................................................... 14

Amlioration de la scurit .......................................................................................................... 14 9.1 9.2 9.3 Audit de lauthentification .................................................................................................... 14 Paramtrages des audits conseills ..................................................................................... 14 Read-Only Domain Controller (RODC) .................................................................................. 15 D. Olivier http://www.entraide-info.fr 2

10 10.1 10.2 10.3 10.4 10.5 11 11.1 11.2 11.3 11.4 11.5 12 12.1 12.2 13 13.1 13.2 13.3 13.4 13.5 13.6 13.7 14

Configuration du systme DNS ................................................................................................ 16 Rplication dune zone ......................................................................................................... 16 Ce qui se passe sur lordi local ............................................................................................ 18 Configuration du service DNS .............................................................................................. 18 Nettoyage des enregistrements DNS ................................................................................... 19 Fonctionnement correct DNS .............................................................................................. 19 Administration des DC ADDS ................................................................................................... 20 43BPour un RODC ...................................................................................................................... 20 Installation partir dun support (IFM) ................................................................................. 20 Installation minimale de Windows (serveur Core) ................................................................ 21 Gestion des Maitres dOpration (MO)................................................................................. 21 Configuration de la rplication DFSR du dossier SYSVOL .................................................... 22 Rplication AD et gestion des sites ......................................................................................... 22 Annuler la transitivit des sites ............................................................................................ 23 Surveiller la rplication ........................................................................................................ 23 Continuit du service dannuaire ............................................................................................. 24 Analyseur de performances ................................................................................................. 24 Gestionnaire des taches ...................................................................................................... 24 Collecteurs de donnes ....................................................................................................... 25 Observateur dvnements .................................................................................................. 25 Gestion de la base AD.......................................................................................................... 26 Maintenance de la base de donnes .................................................................................... 26 Sauvegarde et restauration des services ADDS et des DC .................................................. 28 Gestion de plusieurs domaines et forts.................................................................................. 29

D. Olivier http://www.entraide-info.fr

1
1.1

Prsentation des Services de Domaine AD

Identit et accs : IDA
But : Restreindre les accs, vrification du SID (identifiant de scurit)

Utilisateur compte utilisateur SID (dtermin par la machine, unique)

La base de donnes annuaire contient tous les SID

Ressource laquelle on demande laccs implique des autorisations, implique des ACL / ACE Le jeton daccs (JA) est compar la liste ACL pour autoriser le niveau daccs demand

Opration dobtention du Jeton daccs (JA)

Lauthentification est le processus de vrification de lidentit dun utilisateur (Id + password) Ouverture de session locale (ordi local) rare (pas le cas dun domaine) Ouverture de session distante (ordi distant) accs des ressources

Un jeton daccs contient : SID utilisateur, SID groupes dappartenance, privilges (droits utilisateur) Ce jeton daccs est conserv sur lordinateur local de lutilisateur qui sauthentifie

Comparaison du jeton daccs lACL

D. Olivier http://www.entraide-info.fr

Un peu de vocabulaire : Les SACL (informations daudit), ACL / DACL (listes dautorisations) et ACE (entres dautorisations) sont appeles Descripteurs de scurit. Ils sont lis la ressource qui est accde (le rpertoire). Le jeton daccs effectue une demande dautorisation la ressource. Le jeton daccs contient les diffrents SID auxquels il appartient (SIDutilisateur, SIDgroupes)

Diffrence entre un poste autonome et un poste dans le domaine : Un poste autonome contient les informations dauthentification dans sa base SAM (seuls des DC nont pas de base SAM). Un poste dans un domaine Active Directory contient les informations dauthentification dans la base ADDS. Cette base est un magasin didentits centralis et approuv par tous les membres du domaine sur le DC.

1.2

Composants dAD
Outils dadministration > Util & ordi AD et Outils dadministration > Modification ADSI
AD est une base de donnes. Elle contient des : Objets : utilisateurs, groupes, ordinateurs Attributs : nom de connexion, SID, mot de passe, appartenance au groupes Valeurs : valeur des attributs

Les partitions Active Directory et le Catalogue Global

Il est recommand davoir 2 DC par domaine pour la disponibilit + rpartition de la charge

Domaine avec deux contrleurs de domaine

D. Olivier http://www.entraide-info.fr

A propos des sites :

Outils dadministration > Sites et services Active Directory

Les sites dfinissent la topologie de rplication Un site = un sous rseau (normal puisque chaque site a sa propre adresse de rseau !!!)

Cibler les changes Optimiser la rplication pour ne pas perturber les changes normaux

Architecture dexemple dune fort Active Directory

Rappel : le but principal dun domaine est lauthentification Il y a besoin de rsoudre les noms : il faut donc un serveur DNS Lors de lauthentification : Le client trouve le 1er DC disponible + interroge le catalogue global

Le catalogue global contient un rsum de TOUS les objets de la fort Niveau fonctionnel : diffrence selon les versions de lAD (2000 2008R2). On ne peut pas revenir en arrire si on lve le NF Active Directory repose sur DNS pour fonctionner (pour les GPO, pour la rplication ) Il existe des relations dapprobations implicites au sein de la fort entre les domaines

D. Olivier http://www.entraide-info.fr

1.3

Installer les services de domaine Active Directory

1. Prparer linstallation : Niveau Fonctionnel, configuration IP, nom DC, nom domaine 2. Changer le nom de serveur + @IP (puis redmarrer) 3. Installer le rle Service de domaine Active Directory Excuter dcpromo.exe 4. Ajouter les rles, les services, les fonctionnalits supplmentaires, configurer le mot de passe de restauration Active Directory

2
2.1

Administration scurise et efficace d AD

Utilisation des composants logiciels enfichables
La console MMC :

Utilisateurs & ordinateurs AD / Sites & services AD / Domaine & Approbations AD / Schma
Il faut les droits dadministrateur de domaine ou une dlgation ( raliser dans scurit de lOU)

Gestion distance : WS2008 : ajouter la fonctionnalit Outils dadministration AD sur le DC Vista, Win7 : tlcharger et installer RSAT + panneau de configuration

Les fonctionnalits avances permettent de voir plus doptions Ajouter un dossier partag : MMC > Ajouter un composant > lien vers une adresse web ajouter un dossier partag

2.2

Recherche dobjets dans AD

Rechercher par type dobjets Privilgier les dbuts de mots (adm administrateurs ) Nota : Pour connaitre lemplacement de lobjet : ajouter la colonne publi

2.3

Commandes de type DS
Ces commandes utilisent le format LDAP DN (nom unique) :
"cn=Jeff Ford,ou=Employees,ou=User Accounts,dc=contoso,dc=com"

dsquery obtenir le DN (pour lutiliser aprs) dsget obtenir les attributs dsmod modifier les attributs /? dsmovemodifier le conteneur = lOU dsadd crer un objet dsrm supprimer un objet

Aide sur les commandes

Pour activer la gestion du schma dans mmc :

C:\> regsvr32.exe schmmgmt.dll

pour excuter un programme en tant quadministrateur : [ctrl]+[alt]+[entree] D. Olivier http://www.entraide-info.fr 7

Gestion des objets Utilisateur

Dfinition : objet qui permet lauthentification des utilisateurs et qui a des attributs (SID par exemple) Cet objet dfinit le comportement gnral de lutilisateur (scurit, accs) Login : UPN (avec @domaine) ou antrieur Windows 2000 (type NetBIOS)

Cration dun objet utilisateur :

C:\> dsadd user "DN"

Attention au nom des attributs. Dfinir ensuite le mot de passe, qui devra tre chang lors de la premire ouverture de session

Diffrence entre le SAMAccountName et lUPN : SAMAccountName : CONTOSO\Tony.Krijnen UPN : Tony.Krijnen@contoso.com

Modifier un objet utilisateur Modifier le CN :

C:\> dsmove

Rinitialier le mot de passe :

C:\> dsmod

Suppression : Bonne pratique : dplacer le compte dans une OU particulire + dsactiver le compte. Le supprimer ensuite

Pratique recommande : utiliser des modles dutilisateurs : Dfinir des attributs gnraux au modle dutilisateur Dsactiver de compte de modle Donner un nom spcial au modle dutilisateur Le copier (pour le renommer avec le nom du nouvel utilisateur) puis le modifier si besoin

3.1

Les commandes dimport/export

Commande dimport/export entre Active Directory et fichier .csv :
C:\> csvde [-l <liste dattributs>]

Importer les donnes dun fichier (-k permet dignorer les erreurs) :
C:\> csvde [-i <fichier>] [-k]

Les mots de passe ne sont pas imports Inconvnient : Les comptes existants ne sont pas modifis Avantage : format CSV (format souple type fichier excel)

D. Olivier http://www.entraide-info.fr

Commande dimport/export entre Active Directory et fichier .ldf :

C:\> ldifde [-i <fichier>] [-k]

Avantage : Les comptes existants sont modifis Avantage : On peut dfinir tous les attributs existants Inconvnient : format squentiel

Gestion des objets Groupe

Rappel : Microsoft recommande dutiliser la mthode AGuDLP

Exemple de relation entre G et DL

Avantage de la mthode AGuDLP : la modification des relations est souple est facile comprendre Inconvnient de la mthode AGuDLP : la cration de 2 DL par partage est lourde au dbut

4.1

Convention de nommage + OU groupes :

Site (St Herblain) |_ Groupes | |_ G_xxx (membres des groupes G_xxx : objets utilisateurs) | |_DL_yyy (membres des groupes DL_xxx : object G_xxx |_ Ordinateurs |_ Serveurs |_ Utilisateurs Types de groupes : Groupes Locaux : sur les membres du domaine ou WorkGroup nexistent que sur celui-ci (sont inscrits dans la base SAM) Groupes Locaux de Domaines : sur les postes du domaine (ADDS). A privilgier pour les accs aux ressources Groupes Globaux : sur tous les DC du domaine. Limit au domaine. Peuvent faire partie des DL ou des U Groupes Universels : lists dans le catalogue global. Prsents dans tous les domaines de la fort. (G [U] DL)

Rcuprer les membres imbriqus dans les groupes :

C:\> dsget group "DNGroupe" members [-expand]

Copier les membres dun groupe vers un autre groupe :

C:\> dsget group "DNGroupe" members|dsmod group "DNGroupe addmbr

Attention : si on supprime un groupe de scurit, il faut supprimer toutes les rfrences ce groupe dans les autres groupes.

D. Olivier http://www.entraide-info.fr

De plus on ne peut pas annuler une suppression :

Onglet objet > protger contre la suppression accidentelle

4.2

Pratiques recommandes :
Ajouter les descriptions, les remarques : peut servir identifier quoi est utilis ce groupe Protger contre les suppressions accidentelles Onglet gr par > dlgation pour les modifications des membres BuiltIn / Users : groupes de lancienne SAM sur le serveur stratgies locales sur le serveur : Ne pas les utiliser ! Utiliser le groupe Utilisateurs Authentifis (enlever le groupe Tout le monde ) pour les partages

Gestion des objets Ordinateur

Un ordinateur possde un SID et un mot de passe. Il existe une relation de confiance entre Ordinateur et DC (elle est utilise lors de lauthentification de lutilisateur sur DC) Lutilisateur doit avoir des droits sur le domaine ainsi que des droits sur lordinateur A ne pas faire : joindre PC1 au domaine CONTOSO directement : Ajout automatique de lobjet Ordinateur dans le conteneur systme Computers Comme ce conteneur computers nest pas une OU, on ne peut pas y appliquer de GPO De plus, lobjet ordinateur nest pas proprement organis

A faire : crer le compte PC1 dans une OU puis joindre PC1 au domaine Le conteneur de lobjet est une OU, on peut y appliquer des GPO Lobjet ordinateur est proprement organis

Un utilisateur peut joindre des Ordinateurs au domaine (max 10 ordi par dfaut) : Modifier la valeur de msDS-MachineAccountQuota : mettre 0

Joindre un ordinateur au domaine (peut tre faire distance !) :

C:\> netdom join / ?

Exporter/importer des comptes ordinateurs dans le domaine (format CSV) :

C:\> csvde

Ajouter / modifier un objet ordinateur / dplacer :

C:\> ds

Nota : gr par (pour lobjet Ordinateur) na quun but informatif. a naccorde pas de droits (SAM locale ou GPO). sAMAccountName : NomOrdi$ (le $ indique quun canal scuris est utilis) Le mot de passe entre lordinateur et DC est autognr Les connexions de lordinateur au DC sont visibles dans les vnements de session D. Olivier http://www.entraide-info.fr 10

5.1

En cas de problme
Attention : ne pas supprimer lordi puis le recrer ds le 1er problme (rgle de base !)
C:\> netdom reset NomOrdi /domain :NomDom /UserO :AdmLocal C:\> nltest /sc_reset:NomDom

Solution plus radicale (oblige quitter puis rejoindre le domaine et redmarrer) :

C:\> dsmod reset

Ensuite, rinitialiser le compte de lobjet Ordinateur Si on supprime un compte ordinateur, on perd le SID et les relations dans les groupes

Implmentation dune infrastructure de GPO

Outils dadministration > Gestion des stratgies de groupe
Stratgie de domaine (La partie Ordinateur ne concerne que les objets Ordinateurs / La partie Utilisateur ne concerne que les objets Utilisateurs) Contoso.com (GPO_Domaine) |_ OU Service1 (()GPO_Service1) |_ OU Service2 (GPO_Service2) | |_ ()OU RespService (GPO RespService ; GPO IE8) |_ OU Groupes

6.1

Priorit dapplication des GPO

Permet de savoir quelles GPO sappliquent en premier ou en dernier , etc. Cas normal GPO_Domaine GPO_Service1 GPO_Service2 GPO_RespService GPO_IE8 (sapplique en dernier) Bloquer Hritage () Stratgie locale GPO_IE8 GPO_RespService Appliqu () Stratgie locale GPO_Service1 GPO_Service2 GPO_IE8 GPO_RespService () GPO_Domaine

6.2

Modification des GPO

Pour pouvoir utiliser les Prfrences, il faut installer un correctif sur les postes clients Certaines stratgies ont des besoin en matire de prrequis sur les postes client (OS, logiciels )

6.3

Paramtres pour les GPO

Fichiers .ADM : Copis dans chaque GPO dans %systemroot%\SYSVOL\contoso.com\policies\ D. Olivier http://www.entraide-info.fr 11

Fichiers .ADMX et .ADML : Pour Office2007, il faut modifier le registre. Fichiers de paramtrages. Stocks dans %systemroot%\policydefinition (local) par dfaut Stocks dans %systemroot%\SYSVOL\contoso.com\policies\policydefinition\ (magasin central) \\contoso.com\policies\policydefinition\ permet dy accder par le rseau lorsque les fichiers sont dans le magasin central

6.4

Appliquer la configuration Utilisateur des objets Ordinateur

Modle dadministration > systme > stratgie de groupe > mode de fonctionnement par boucle de rappel
Utile pour les ordinateurs publics pour dfinir des variables denvironnement

Forcer la mise jour des stratgies (sur un poste client) :

C:\> gpupdate /force

Vrifier (sur un poste client) les GPO qui se lancent :

C:\> gpresult /r

Vrifier (sur le DC) le rsultat de la stratgie de groupe : Simuler lapplication des GPO

Stratgie locale (gpedit.msc) administrateurs / non-administrateurs / ordinateur / utilisateur

7
7.1

Gestion de ltendue de la stratgie de groupe

Groupes restreint
Il faut remplacer les membres des groupes des bases SAM des postes clients : il faut donner la liste COMPLETE (administrateurs )

Ordinateur > Stratgie > Paramtres Windows > Groupes restreints

Cas de Windows Vista et Windows7 :

Ordinateur / Utilisateur > Prfrences > Paramtres Du Panneau De Configuration > Utilisateurs & Groupes Locaux

7.2

Scurit
Crer des modles de scurit :

(Modles de scurit)
Comparer les modles de scurit (les tester puis import/export vers les GPO) :

(Configuration et analyse de la scurit)

D. Olivier http://www.entraide-info.fr

12

7.3

Distribution de logiciel laide de GPO (.msi)

Marche suivre : Copier les fichiers .msi sur un lecteur rseau !

Stratgies > paramtres du logiciel > installation du logiciel

Publier : publie les programmes dans programmes et fonctionnalits et permet aux nonadministrateurs dinstaller des logiciels choisis

7.4

Audit
Dfinir des audits par le biais de GPO :

Paramtres de Scurit >> Stratgies daudit

Choisir les vnements auditer :

Lecteur voulu > scurit > avanc > audit

Rcuprer les audits :

Observateur dvnements > scurit

Attention : a peut vite devenir le bordel (beaucoup dinformations rapatries). Il faut donc bien choisir QUOI auditer !

8
8.1

Administration scurise
Dfinir les droits de dlgation
Mthode : Sur lOU clic droit dlgation de contrle Sur lOU proprits > scurit > avanc

8.2

MMC pour dlgation de contrle

Outils dadministration > Utilisateurs et Ordinateurs Active Directory
Nouvelle fentre partir dici > slectionner lOU Nouvelle vue de la liste des taches ajouter les boutons ajouter ordi, Affecter les autorisations des DL (AGuDLP) Refuser explicite prioritaire sur Autoriser explicite prioritaire sur Refus hrit Autorisations effectives : outils de diagnostic pour connaitre les autorisations des utilisateurs

Dlgation : dfinit les autorisations pour les tches administratives dans AD

8.3

Recommandations pour la conception dOU

GPO (stratgies de groupe) de ce conteneur Dlgations d'organisation (dlgation administrative) Organiser les objets (cest un objectif SECONDAIRE) D. Olivier http://www.entraide-info.fr 13

8.4

Audit lors de dlgation (gpedit.msc sur le DC)

Auditer :

C:\> auditpol /?
Accs DS :

C:\> auditpol /get /category:*

1. Dfinir les objets auditer :

Outils dAdministration > Utilisateurs et Ordinateurs Active Directory ( U&OAD)

2. Activer les audits :
C:\> auditpol /set GPO) (ou bien outil

Attention, il faut utiliser le guillemet apostrophe (ALT+0146) pour faire le symbole 3. Aller voir dans observateur dvnements

Amlioration de la scurit
La GPO DefaultDomainPolicy ne doit servir que pour dfinir les stratgies de mots de passe (et seulement a). Stratgie de mots de passe affins :

Outils dadministration > ADSIEdit > System > PSO Outils dadministration > U&OAD > password > attributs tendus > AppliesTo

9.1

Audit de lauthentification
Ouverture de session locale : Cre un vnement de connexion au compte dans lordi local : base SAM (ou dans ADDS si lordi est intgr un domaine)

Ouverture dun partage RSO : Cre un vnement de connexion sur la machine jointe

Configurer laudit de lauthentification par le biais dune GPO :

GPO : Paramtres de Scurit > Stratgie Locale > Stratgie daudit

Ensuite on peut voir les vnements audits dans lobservateur dvnements

9.2

Paramtrages des audits conseills

GPO des serveurs de bureau distance : auditer les vnements de connexion GPO des DC : auditer les vnements de connexion au compte

D. Olivier http://www.entraide-info.fr

14

9.3

Read-Only Domain Controller (RODC)

Fonctionnement des RODC

Usage pour les succursales (o le serveur nest pas protg dans un local accs scuris) Le RODC possde un groupe administrateurs locaux ADLDS Prrequis : le niveau fonctionnel doit tre WS2003 Si il a des DC < WS2008, il faut excuter
C:\> adprep /rodcprep

Il faut au moins DC 2008 qui communique avec le RODC (pour la rplication). Crer un compte sur le RODC :

Utilisateurs & Ordinateurs Active Directory > contoso.com > Domain Controllers
+ Ajoute les groupes spciaux dans Users Gestion en ligne de commande de lADLDS du RODC :
C:\> dsmgmt

Gestion en ligne de commande de lADDS sur le DC

C:\> ntdsutil

La base ADLDS sur le RODC est un genre de base SAM pour grer les groupes locaux

D. Olivier http://www.entraide-info.fr

15

10

Configuration du systme DNS

Un serveur DNS est utilis pour : Obtenir une adresse IP partir dun nom dordinateur Obtenir un nom dordinateur partir dune adresse I P

Tout repose sur DNS dans ADDS. FQDN (Fully Qualified Domain Name) : Nom hte + suffixe DNS Exemple : technet.microsoft.com

Lutilit du serveur DNS

Une zone est dfinie par domaine. Cette zone a le mme nom que le domaine : Exemple : zone aareon.com pour le domaine aareon.com Cette zone contient les noms et adresses IP des membres du domaine (PC1, DC, SRVFIC )

Un DNS qui hberge une zone fait autorit sur la zone ( attention la rsolution de type NetBIOS) Exemple denregistrement de ressource sur un serveur DNS : Enregistrement de type A : PC1.domaine.local (FQDN) 192.168.0.101 (adresse IPv4)

10.1

Rplication dune zone

La rplication dune zone est la copie de cette zone du serveur DNSprincipal vers un serveur DNSsecondaire.

D. Olivier http://www.entraide-info.fr

16

Zone base de fichiers (standard) : donnes copis de la zone principale (RW1) vers la zone secondaire zone secondaire (RO2) :

Rplication dune zone base de fichiers

Zone intgre AD : donnes stockes dans la BDD AD (fichier ntds.dit) :

Rplication dune zone intgre Active Directory

Il est conseill dajouter le rle serveur DNS aux Contrleur de Domaine

1 2

RW (Read Write) : en lecture criture RO (Read Only) : en lecture seule

D. Olivier http://www.entraide-info.fr

17

10.2

Ce qui se passe sur lordi local

Lordinateur va dabord interroger son cache laide du service client DNS (un service windows) : Il interroge le cache de rsolution DNS (historique des recherches prcdentes) Ce cache est aussi aliment par le contenu du fichier hosts

Si le cache na pas donn la rponse, le client interroge le serveur DNS : Celui-ci interroge les informations de sa zone ainsi que les informations qui sont contenues dans son cache.

Schma de rsolution de nom sur un ordinateur

Si il y a un problme de rsolution de nom, vrifier les paramtres DNS : Vider le cache de rsolution DNS (de lordinateur local donc) :
C:\> ipconfig /flushdns

Interroger le serveur DNS sans passer par le cache de rsolution DNS :

C:\> nslookup.exe

10.3

Configuration du service DNS

Les transferts de donnes vont de la Zone Principale (ZP) vers la Zone Secondaire (ZS) Il faut penser BIEN configurer le serveur DNS du client ! Si le client na pas le bon serveur DNS, la rsolution ne peut pas se faire.

Nom de domaine AD et nom de DNS externe

D. Olivier http://www.entraide-info.fr

18

Les partitions dun DNS intgr lActive Directory

Le service netlogon : Il vrifie les demandes douverture de session et enregistre, authentifie et localise les contrleurs de domaine. Il gre aussi la rplication de la base ADDS Il dfinit qui est responsable de quoi : LDAP, FTP, KERBEROS, Catalogue Global

Pour mettre jour ces informations de netlogon, il faut arrter puis redmarrer le service :
C:\> netlogon stop C:\> netlogon start

10.4

Nettoyage des enregistrements DNS

Les Paramtre de vieillissement permettent denlever les informations obsoltes : configurer sur le serveur configurer sur chaque zone

10.5

Fonctionnement correct DNS

Effectuer un diagnostic du service DNS :
C:\> dcdiag

Afficher la configuration rseau :

C:\> ipconfig /all

Interroger le serveur DNS directement ( faire souvent en cas de problme) :

C:\> nslookup

Interroger le cache de rsolution DNS de lordinateur local :

C:\> ipconfig /displaydns

Vider le cache de rsolution DNS de lordinateur local :

C:\> ipconfig /flushdns

Renregistrer ses informations sur le serveur DNS ( faire lors des modifications rseau) :
C:\> ipconfig /registerdns

D. Olivier http://www.entraide-info.fr

19

11

Administration des DC ADDS

Installer ou dsinstaller le service ADDS :
C:\> dcpromo.exe

Installer le service ADDS en utilisant un fichier de rponses (obligatoire pour les serveurs CORE) :
C:\> dcpromo /unattend:"chemin"

Nota : le fichier rponses peut tre cr lors du dcpromo (sur la page de rsum, exporter les paramtres)

Prparer la fort avant un DCPROMO ou lors dune augmentation du NF :

C:\> adprep /forestprep

Prparer le domaine (modifie le schma) avant un DCPROMO ou lors dune augmentation du NF :

C:\> adprep /domainprep / gprep

Prparer pour lintgration dun RODC dans le domaine :

C:\> adprep /rodcprep

Nota : dans certains cas, il faut excuter ADPREP32 au lieu dADPREP

11.1
43B

Pour un RODC
crer un compte de contrleur RODC (ex : mise en cache des MDP) dlgation de linstallation du RODC (crer un administrateur local RODC) association du DC au compte RODC :

C:\> dcpromo /UseExistingAccount:attach /unattend: "chemin"

11.2

Installation partir dun support (IFM)

IFM = Install From Media
C:\> ntdsutil

Indiquer quon travaille sur ntds.dit :

ntdsutil> activate instance ntds

Crer un support dinstallation :

ntdsutil> ifm ntdsutil> help

Graver ensuite cela sur un DVD. Sur le DC installer :

C:\> dcpromo

Installation avance en mode graphique puis dfinir

ReplicationSourcePath option /

D. Olivier http://www.entraide-info.fr

20

11.3

Installation minimale de Windows (serveur Core)

Tout se fait en ligne de commande Lancer une commande dans une autre console :
C:\> start <commande> Ajouter et|ou lister les rles du serveur : C:\> ocsetup | oclist

Le bureau distance permet une administration graphique distance. Installer ou dsinstaller le rle ADDS :
C:\> dcpromo

11.4

Gestion des Maitres dOpration (MO)

Les rles sont transfrables (on peut les dplacer sur un autre serveur). Maitre doprations lchelle de la fort : MO des noms de domaine : droit dajouter/supprimer les domaines

Outils dadministration > Domaines & Approbations AD

Contrleur de schma : droit de modifier le schma

Outils dadministration > Gestion du Schma

MO lchelle du domaine :

Utilisateur et Ordinateurs Active Directory > domaine.local >> Maitres dOprations

Maitre RID : utilis pour gnrer les SID Infrastructure : multidomaine seulement, vrifie les interconnections des objets multidomaines (CG) Contrleur de domaine principal (=mulateur PDC) : gre les mises jour des mots de passe, met jour des GPO, est source de lheure de rfrence du domaine.

Nota : depuis la console MMC on ne peut faire que du TRANSFERT de zone. Conseils dattribution des rles de MO : Rle Infra et rle CG sur des DC diffrents Placer tous les MO fort sur le mme DC Placer le rle RID + le rle mulateur PDC sur le mme DC Prvoir un plan de basculement en cas de panne Envisager de configurer le Catalogue Global sur tous les DC (au minimum un CG par site)

Nota : depuis la commande ntdsutil on peut saccaparer un rle (SEIZE) :

C:\> ntdsutil > roles > connections

Attention : ne pas remettre lancien MO en ligne (sauf RID ; sauf PDC)

D. Olivier http://www.entraide-info.fr

21

Savoir quel serveur a les rles de matre dopration :

C:\> netdom query fsmo

11.5

Configuration de la rplication DFSR du dossier SYSVOL

Type de rplication : Rplication FRS : niveau fonctionnel WS2003 Rplication DFSR : niveau fonctionnel WS2008 (outil dfsrmig)

12

Rplication AD et gestion des sites

Exemple de rplication intersite

Un site sert : rplication ADDS / localisation des services / emplacement gographique

Outils dadministration > sites et services Active Directory

Configuration de la rplication AD : 1. Ajouter des sites 2. Ajouter des subnet (1 client dun sous rseau va privilgier les serveurs de son site) 3. Dfinir les liens entre les sites :

Sites et services Active Directory > Sites > Inter-site Transports > IP
4. Lier les serveurs aux sites Conseil : rplication toutes les 15 minutes + dfinir des serveurs tte de pont IP radical : a rpond ou a plante

On peut dfinir des liens inter-sites IP et des liens inter-sites SMTP : IP : connexion permanente SMTP : connexion la demande des serveurs

Les DC inscrivent les enregistrements SRV (emplacements de services) dans le service DNS puis sont privilgis par les clients de leur site Active Directory Le Catalogue Global est souvent utilis (par les serveurs Exchange notamment) D. Olivier http://www.entraide-info.fr 22

Activer le catalogue global :

Sites &Services Active Directory > Se placer sur le serveur > NTDS Settings >> proprits > cocher catalogue global
Ou alors :

Utilisateurs et Ordinateurs Active Directory > OU Domain Controllers > Slectionner le serveur >> proprits > bouton Paramtres NTDS > cocher catalogue global

12.1

Annuler la transitivit des sites

Pour dsactiver la transitivit des sites (dconseill). Il faut ensuite recrer les ponts en dfinissant des liens spcifiques entre contrleurs de domaine :

Sites et services Active Directory > Sites > Inter-site Transports > IP ou SMTP >> proprits > dcocher relier tous les liens de sites

12.2

Surveiller la rplication
Afficher les partenaires de rplication et les dates de dernires rplications des partitions ADDS :
C:\> repadmin /showrepl

Afficher les object connexion entre les partenaires :

C:\> repadmin /showconn

Lister les erreurs de rplication :

C:\> dcdiag /test:KccEvent C:\> dcdiag /test:Replications C:\> dcdiag /test:Topology

D. Olivier http://www.entraide-info.fr

23

13
13.1

Continuit du service dannuaire

Analyseur de performances
Outils dadministration > Analyseur de performances
Slectionner des compteurs surveiller :

Performance > Outil danalyse > Analyseur de performances >> proprits > Onglet Donnes > bouton Ajouter

Ajouter des donnes surveiller

13.2

Gestionnaire des taches

Dmarrer > excuter> taskmgr.exe > Onglet performance > bouton Moniteur de ressource

Vue densemble du moniteur de ressources

D. Olivier http://www.entraide-info.fr

24

13.3

Collecteurs de donnes
Outils dadministration > Analyseur de performances
Slectionner des donnes collecter :

Performance > Ensemble de collecteurs de donnes > Systme > en slectionner un. Partie droite>> proprits, slectionner les donnes collecter (faire du tri)
Dfinir aussi les conditions darrt (par dfaut, collecte pendant 5 minutes).

13.4

Observateur dvnements
Outils dadministration > Observateur dvnements
Les journaux des applications et des services reportent les vnements lis aux rles du serveur. Conseil : Clic droit sur le journal souhait > Filtrer la vue Fonctionnement des abonnements (rcuprer des vnements dautres postes WS2008) : 1. Sur chaque machine mettrice source dvnements :
C:\> winrm quickconfig

2. Sur lordinateur collectant les informations :

C:\> wecutil qc

3. Crer labonnement :

Outils dadministration > Observateur dvnements > Abonnements >> Crer un abonnement
Slectionner lordinateur cible (dans le mme domaine) Slectionner les vnements rcuprer Sidentifier 4. Lire les vnements transmis :

Outils dadministration > Observateur dvnements > Journaux Windows > Evnements transfrs

D. Olivier http://www.entraide-info.fr

25

13.5

Gestion de la base AD
C:\Windows\System32\NTDS\ntds.dit : fichier de la base de donnes ADDS. Contient toutes les partitions et les objets ADDS du contrleur de domaine EDB*.log : journaux des transactions EDB.chk : fichier de vrification EDB*.jrs : fichiers pour assurer de lespace pour la base ADDS, sinon erreur

Procdure de mise jour de la base ADDS

13.6

Maintenance de la base de donnes

C:\> ntdsutil

Attention : pour dplacer les fichiers journaux ou la base on ne fait pas de copier/coller des fichiers ! Il faut utiliser la commande :
C:\> ntdsutil > files

La dfragmentation lorsque la base est en ligne ne libre pas despace disque. Il faut excuter une dfragmentation hors ligne pour librer de lespace. Tombstone lifetime : dure pendant laquelle un objet supprim est gard avant dtre supprim dfinitivement. Par dfaut, cette dure est de 180 jours. Pour nettoyer les objets supprims :
C:\> ntdsutil > mediadata cleanup

Pour effectuer une dfragmentation hors ligne, il faut arrter les services de domaine AD :

Gestionnaire de serveur > Roles > Services de domaine Active Directory. Partie droite, Arrter le service systme Service de domaine Active Directory
Lorsque le serveur nest plus catalogue global, il rcupre beaucoup despace disque.

13.6.1

Les snapshots
Un snapshot est une sauvegarde de lannuaire. Son unique but est de voir les attributs des objets tels quils taient au moment du snapshot. Cependant, il nest pas possible de restaurer un annuaire ADDS partir dun snapshot. 1. Crer un snapshot : D. Olivier http://www.entraide-info.fr 26

C:\> ntdsutil> snapshot > activate instance ntds > create > list all

2. Monter un snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list all > mount XX

Mounted as C:\$SNAP_201305040042_VOLUMEC$\

3. Se connecter au snapshot mont :

C:\> dsamain /dbpath C:\$SNAP_201305040042_VOLUMEC$\Windows\NTDS\ntds.dit /ldapport 11389

4. Ouvrir la console Utilisateurs et Ordinateurs Active Directory et se connecter sur le serveur au port dfini :

Slectionner le port LDAP dfini dans dsamain

Nota : les outils LDP et ADSEDIT sont aussi disponibles 5. Dmonter le snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list mounted > unmount XX

6. Supprimer le snapshot :
C:\> ntdsutil > snapshot > activate instance ntds > list all > delete XX

Nota : ide de script .bat executer chaque semaine (pour des besoins ventuels de restauration) :
@echo off ntdsutil snapshot "activate instance ntds" create quit quit

D. Olivier http://www.entraide-info.fr

27

13.7

Sauvegarde et restauration des services ADDS et des DC

Sauvegarde :
C:\> wbadmin

Gestionnaire de serveur > Stockage> Sauvegarde de Windows Server

Pour sauvegarder les services ADDS, il faut sauvegarder (sur un disque part) : C:\Windows\NTDS\*.log *.jrs *.chk ntds.dit C:\Windows\SYSVOL

Restauration : A un autre emplacement, pour tester lintgrit de la sauvegarde Complte du serveur, dans le cas dun serveur HS par exemple

Une restauration normale (ne faisant pas autorit) est utile lorsquun serveur crashe : Le serveur de remplacement rcupre la restauration La rplication met jour partir de lUSN de restauration

Cas dune restauration ne faisant pas autorit

Une restauration faisant autorit est utile lors dune mauvaise manipulation de lannuaire : La partie restaurer (OU, objet) est rcupre sur la sauvegarde avec un numro dUSN trs lev
C:\> ntdsutil > autoritative restore > restore subtree:"OU=vente,OU=orleans,DC=domaine,DC=local"

Ainsi, cette restauration va se propager aux autres DC du domaine

Cas dune restauration faisant autorit

D. Olivier http://www.entraide-info.fr

28

USN : Update Sequence Number. Cest en quelque sorte un numro de version de lobjet Au dmarrage du serveur (celui qui remplace le DC crash), il est possible dappuyer sur la touche [F8] pour rentrer dans le Mode restauration des services dannuaire . A partir de l, il est possible dutiliser la commande wbadmin pour restaurer lannuaire ADDS. Pour restaurer un annuaire distance :
C:\> bcdedit /set safeboot dsrepair C:\> shutdown t 0 r [attendre le redmarrage puis]

Effectuer les operations de sauvegarde :

C:\> bcdedit /deletevalue safeboot repair C:\> shutdown t 0 r [attendre le redmarrage et appuyer sur [F8]]

Lister les sauvegardes :

C:\> wbadmin get version

Restaurer :
C:\> wbadmin start systemstaterecovery

14

Gestion de plusieurs domaines et forts

Une relation dapprobation est une relation de confiance entre des domaines/des forts Il est dit que les ressources approuvent les comptes. La flche part des ressources et va vers les comptes.

Outils dadministration > Domaines et Approbations Active Directory

Au sein dun domaine, les relations dapprobations sont : Bidirectionnelles Transitives Authentification Kerberos (utilises pour lauthentification entre Kerberos et ADDS)

Il est possible de faire de lauthentification slective, cest--dire de slectionner les serveurs qui sont concerns par la relation dapprobation.

Utilisateurs & Ordinateurs Active Directory > slectionner le serveur > proprits > scurit > liste dans les ACL > autorisation dauthentifier

D. Olivier http://www.entraide-info.fr

29