6238B-FRA TrainerHandbook Volume2 PDF

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T
6238B
Configuration et rsolution des
problmes des services de
domaine Active Directory

Windows Server
2008
Volume 2
N'oubliez pas d'accder au contenu de formation supplmentaire du
CD-ROM d'accompagnement du cours qui se trouve au dos de votre
livre.

ii Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les informations contenues dans ce document, y compris les URL et autres rfrences des sites
Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaine, les adresses de messagerie, les logos, les personnes, les
lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaine, adresses de messagerie, logos, personnes, lieux et vnements
existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la rglementation
relative aux droits d'auteur en vigueur dans son pays. Aucune partie de ce document ne peut tre
reproduite, stocke ni introduite dans un systme de restitution, ou transmise quelque fin ou par
quelque moyen que ce soit (lectronique, mcanique, photocopie, enregistrement ou autre), sans
l'autorisation crite de Microsoft Corporation.
Microsoft peut dtenir des brevets, avoir dpos des demandes d'enregistrement de brevets ou tre
titulaire de marques, droits d'auteur ou autres droits de proprit intellectuelle portant sur tout ou
partie des lments qui font l'objet du prsent document. Sauf stipulation expresse contraire d'un
contrat de licence crit de Microsoft, la fourniture de ce document n'a pas pour effet de vous
concder une licence sur ces brevets, marques, droits d'auteur ou autres droits de proprit
intellectuelle.
Les noms des fabricants, des produits ou des URL sont fournis uniquement titre indicatif et
Microsoft ne fait aucune dclaration et exclut toute garantie lgale, expresse ou implicite,
concernant ces fabricants ou l'utilisation des produits avec toutes les technologies Microsoft.
L'inclusion d'un fabricant ou produit n'implique pas l'approbation par Microsoft de ce fabricant ou
de ce produit. Des liens vers des sites Web tiers peuvent tre fournis. Ces sites ne sont pas sous le
contrle de Microsoft et Microsoft n'est pas responsable de leur contenu ni des liens qu'ils sont
susceptibles de proposer, ni des modifications ou mises jour de ces sites. Microsoft n'est pas
responsable de la diffusion sur le Web ou de toute autre forme de transmission reue d'un site
auquel ces liens renvoient. Microsoft fournit ces liens dans un souci pratique et l'insertion de tout
lien n'implique pas l'approbation par Microsoft du site en question ou des produits qu'il contient.
2010 Microsoft Corporation. Tous droits rservs.
Microsoft, Access, Active Directory, ActiveX, Excel, Forefront, Hyper-V, Internet Explorer, MS, MSDN,
Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visual Studio, Windows, Windows Live,
Windows Mobile, Windows NT, Windows Server et Windows Vista sont soit des marques de
Microsoft Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis et/ou
dans dautres pays.
Toutes les autres marques sont la proprit de leurs dtenteurs respectifs.

Rfrence : 6238B
Rf. n : X16-99428
Publi le : 09/2010
TERMES DU CONTRAT DE LICENCE MICROSOFT
PRODUITS OFFICIELS DE FORMATION MICROSOFT DITION
INSTRUCTEUR Versions prcommerciales et finales
Les prsents termes ont valeur de contrat entre Microsoft Corporation et vous. Lisez-les attentivement. Ils
portent sur le Contenu sous licence vis ci-dessus, y compris le support sur lequel vous lavez reu, le cas
chant. Ce contrat porte galement sur les produits Microsoft suivants :
les mises jour,
les supplments,
les services Internet et
les services dassistance
de ce Contenu sous licence moins que dautres termes naccompagnent ces produits, auquel cas ces
derniers prvalent.
En utilisant le Contenu sous licence, vous acceptez ces termes. Si vous tes en dsaccord avec
ces termes, nutilisez pas le Contenu sous licence.
Si vous vous conformez aux prsents termes du contrat de licence, vous disposez des droits
stipuls ci-dessous.
1. DFINITIONS.
a. La Documentation de formation signifie la documentation imprime ou sous forme
lectronique, comme les manuels, cahiers dexercice, livres blancs, communiqus de presse, feuilles
de donnes et forums aux questions, qui peut tre incluse dans le Contenu sous licence.
b. Un Centre de formation agr signifie un centre partenaire Microsoft Certified Partner
approuv MLSC (Microsoft Learning Solutions Competency), un centre IT Academy, ou toute autre
entit dsigne occasionnellement par Microsoft.
c. Une Session de formation agre signifie une session de formation agre par Microsoft et
organise dans ou par un Centre dapprentissage agr, dirige par un formateur qui dispense une
formation des Stagiaires exclusivement sur les Produits officiels de formation Microsoft ( Official
Microsoft Learning Products , anciennement appels cours officiels Microsoft ou MOC, Microsoft
Official Curriculum ) et les produits Microsoft Dynamics (anciennement appels cours Microsoft
Business Solutions). Chaque Session de formation agre dispensera une formation sur lobjet
dun (1) Cours.
d. Un Cours signifie lun des cours utilisant un Contenu sous licence proposs par un Centre de
formation agr dans le cadre dune Session de formation agre, chacune dispensant une
formation sur un domaine particulier li une technologie Microsoft.
e. Un Dispositif signifie un ordinateur, un priphrique, une station de travail, un terminal ou
tout autre dispositif lectronique numrique ou analogique.
f. Le Contenu sous licence signifie les supports qui accompagnent les prsents termes du
contrat de licence. Le Contenu sous licence peut inclure, notamment, les lments suivants : (i) Le
Contenu du formateur, (ii) le Contenu du stagiaire, (iii) le guide dinstallation de la classe et (iv) le
Logiciel. Les composants du Contenu sous licence sont diffrents et distincts pour chaque Cours.
g. Le Logiciel signifie les Machines virtuelles et les Disques durs virtuels ou toute autre
application logicielle pouvant tre incluse dans le Contenu sous licence.
h. Un Stagiaire signifie un stagiaire dment inscrit une Session de formation agre dans votre
centre.
i. Le Contenu du stagiaire signifie les supports de formation accompagnant les prsents termes
du contrat de licence qui sont utiliss par les Stagiaires et les Formateurs durant une Session de
formation agre. Le Contenu du stagiaire peut inclure des ateliers, des simulations et des fichiers
spcifiques chaque Cours.
j. Un Formateur signifie a) une personne dment certifie par Microsoft en tant que formateur
MCT (Microsoft Certified Trainer) et b) toute autre personne autorise officiellement par Microsoft et
qui a t charge par un Centre dapprentissage agr de dispenser une Session de formation
agre des Stagiaires pour son compte.
k. Le Contenu du formateur signifie les supports de formation accompagnant les prsents
termes du contrat de licence qui sont utiliss par les Formateurs et les Stagiaires, selon le cas,
uniquement durant une Session de formation agre. Le Contenu du formateur peut inclure les
Machines virtuelles, les Disques durs virtuels, les fichiers Microsoft PowerPoint, les notes de
linstructeur ainsi que les guides de dmonstration et les fichiers script requis pour chaque Cours.
l. Les Disques durs virtuels signifient le Logiciel Microsoft constitu des disques durs virtuels
(comme un disque dur virtuel de base ou des disques diffrents) pour une Machine virtuelle qui peut
tre charg sur un seul ordinateur ou tout autre dispositif afin de permettre aux utilisateurs finals
dexcuter plusieurs systmes dexploitation simultanment. Dans le cadre du prsent contrat de
licence, les disques durs virtuels devront tre traits en tant que Contenu du formateur .
m. La Machine virtuelle signifie une exprience informatique virtuelle, obtenue laide du logiciel
Microsoft Virtual PC ou Microsoft Virtual Server qui se compose dun environnement matriel
virtuel, dun ou de plusieurs disques durs virtuels ainsi que dun fichier de configuration dfinissant
les paramtres de lenvironnement matriel virtuel (par exemple, la RAM). Dans le cadre du prsent
contrat de licence, les disques durs virtuels devront tre traits en tant que Contenu du
formateur .
n. Le terme vous signifie le Centre de formation agr ou le Formateur, selon le cas, qui a
accept les prsents termes du contrat de licence.
2. PRSENTATION.
Contenu sous licence. Le Contenu sous licence inclut le Logiciel, la Documentation de formation (en
ligne et sous forme lectronique), le Contenu du formateur, le Contenu du stagiaire, le guide
dinstallation de la classe et les supports associs.
Modle de licence. Le Contenu sous licence est concd sous licence en vertu dune licence par Centre
de formation agr ou par Formateur.
3. INSTALLATION ET DROITS DUTILISATION.
a. Centres de formation agrs et Formateurs : Pour chaque Session de formation agre,
vous tes autoris :
i. soit installer, sur les Dispositifs de la classe, des copies individuelles du Contenu sous licence
correspondant qui seront utilises uniquement par les Stagiaires dment inscrits la Session de
formation agre et par le Formateur dispensant cette formation, sous rserve que le nombre
de copies utilises ne dpasse pas le nombre de Stagiaires inscrits la Session de formation
agre et le Formateur dispensant cette formation ; SOIT
ii. installer une copie du Contenu sous licence correspondant sur un serveur rseau qui sera
accessible uniquement par les Dispositifs de la classe et qui sera utilise uniquement par les
Stagiaires dment inscrits la Session de formation agre et par le Formateur dispensant cette
formation, sous rserve que le nombre de Dispositifs qui accdent au Contenu sous licence sur
le serveur ne dpasse pas le nombre de Stagiaires inscrits la Session de formation agre et le
Formateur dispensant cette formation.
iii. autoriser les Stagiaires dment inscrits la Session de formation agre et le Formateur
dispensant cette formation utiliser le Contenu sous licence que vous installez selon (i) ou (ii)
ci-dessus durant une Session de formation agre, conformment aux prsents termes du
contrat de licence.
iv. Dissociation de composants. Les composants du Contenu sous licence sont concds sous
licence en tant quunit unique. Vous ntes pas autoris dissocier les composants et les
installer sur diffrents Dispositifs.
v. Programmes de tiers. Le Contenu sous licence peut galement contenir des programmes tiers.
Lutilisation de ces programmes tiers sera rgie par les prsents termes du contrat de licence,
moins que dautres termes naccompagnent ces programmes.
b. Formateurs :
i. Les Formateurs sont autoriss utiliser le Contenu sous licence que vous installez ou qui est
install par un Centre de formation agr sur un Dispositif de la classe dans le cadre dune
Session de formation agre.
ii. Les Formateurs sont galement autoriss utiliser une copie du Contenu sous licence, comme
indiqu ci-aprs :
A. Dispositif concd sous licence. Le Dispositif concd sous licence est celui sur lequel vous
utilisez le Contenu sous licence. Vous tes autoris installer et utiliser une copie du
Contenu sous licence sur le Dispositif sous licence uniquement pour les besoins de votre
formation personnelle et pour prparer une Session de formation agre.
B. Dispositif portable. Vous tes autoris installer une autre copie du Contenu sous licence
sur un dispositif portable uniquement pour les besoins de votre formation personnelle et
pour prparer une Session de formation agre.
4. VERSIONS PRCOMMERCIALES. Si le Contenu sous licence est une version prcommerciale
( version bta ), les prsents termes sappliquent en plus des termes de ce contrat :
a. Contenu sous licence en version prcommerciale. Ce Contenu sous licence est une version
prcommerciale. Il peut ne pas contenir les mmes informations et/ou ne pas fonctionner comme
une version finale du Contenu sous licence. Nous sommes autoriss le changer pour la version
commerciale finale. Nous sommes galement autoriss ne pas diter de version commerciale.
Vous devez informer clairement et de faon visible les Stagiaires qui participent chaque Session de
formation agre de ce qui prcde ; et vous ou Microsoft navez aucune obligation de leur fournir
un contenu supplmentaire, notamment, de manire non limitative, la version finale du Contenu
sous licence du Cours.
b. Commentaires. Si vous acceptez de faire part Microsoft de vos commentaires concernant le
Contenu sous licence, vous concdez Microsoft, gratuitement, le droit dutiliser, de partager et de
commercialiser vos commentaires de quelque manire et quelque fin que ce soit. Vous concdez
galement des tiers, gratuitement, les droits de brevet ncessaires pour que leurs produits,
technologies et services puissent tre utiliss ou servir dinterface avec toute partie spcifique dun
logiciel, Contenu sous licence ou service Microsoft qui inclut ces commentaires. Vous ne fournirez pas
de commentaires faisant lobjet dune licence qui impose Microsoft de concder sous licence son
logiciel ou sa documentation des tiers parce que nous y incluons vos commentaires. Ces droits
survivent au prsent contrat.
c. Informations confidentielles. Le Contenu sous licence, y compris la visionneuse, linterface
utilisateur, les fonctionnalits et la documentation pouvant tre incluses dans le Contenu sous
licence, est confidentiel et la proprit de Microsoft et de ses fournisseurs.
i. Utilisation. Pendant cinq ans aprs linstallation du Contenu sous licence ou de sa
commercialisation, selon la date la plus proche, vous ntes pas autoris divulguer des
informations confidentielles des tiers. Vous tes autoris divulguer des informations
confidentielles uniquement vos employs et consultants qui en ont besoin. Vous devez
avoir conclu avec eux des accords crits qui protgent les informations confidentielles au
moins autant que le prsent contrat.
ii. Maintien en vigueur de certaines clauses. Votre obligation de protection des
informations confidentielles survit au prsent contrat.
iii. Exclusions. Vous tes autoris divulguer des informations confidentielles conformment
une ordonnance judiciaire ou gouvernementale. Vous devez en informer par avance
Microsoft afin de lui permettre de demander une ordonnance protectrice ou de trouver un
autre moyen de protger ces informations. Les informations confidentielles nincluent pas
les informations
qui ont t portes la connaissance du public sans quil y ait eu violation de
lobligation de confidentialit ;
que vous avez reues dun tiers qui na pas viol ses obligations de confidentialit
lgard de Microsoft ou de ses fournisseurs ; ou
que vous avez dveloppes en toute indpendance.
d. Dure. Le prsent contrat pour les versions prcommerciales est applicable jusqu (i) la date
dexpiration qui vous est communique par Microsoft pour lutilisation de la version bta, ou (ii) la
commercialisation du Contenu sous licence, selon la date la plus proche (la dure de la bta ).
e. Utilisation. Ds lexpiration ou la rsiliation de la dure de la bta, vous devrez cesser dutiliser les
copies de la version bta et dtruire toutes les copies en votre possession ou sous votre contrle
et/ou en possession ou sous le contrle dun Instructeur qui a reu des copies de la version
prcommerciale.
f. Copies. Microsoft informera les Centres de formation agrs sils sont autoriss effectuer des
copies de la version bta (version imprime et/ou sur CD) et les distribuer aux Stagiaires et/ou
Instructeurs. Si Microsoft autorise cette distribution, vous devrez vous conformer aux termes
supplmentaires fournis par Microsoft concernant lesdites copies et distribution.
5. CONDITIONS DE LICENCE ET/OU DROITS DUTILISATION SUPPLMENTAIRES.
a. Centres de formation agrs et Formateurs :
i. Logiciel.
Disques durs virtuels. Le Contenu sous licence peut inclure des versions de Microsoft XP,
Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 et
Windows 2000 Advanced Server et/ou dautres produits Microsoft qui sont fournis dans les
Disques durs virtuels.
A. Si les Disques durs virtuels et les ateliers sont lancs avec le lanceur dateliers
Microsoft Learning Lab Launcher, ces termes sappliquent :
Logiciel temporaire. Si le Logiciel nest pas rinitialis, il cessera de fonctionner lissue de
la dure indique lors de linstallation de Machines virtuelles (entre trente et cinq
cents jours aprs son installation). Vous ne recevrez pas de notification avant larrt du
logiciel. Une fois que le logiciel ne fonctionnera plus, vous risquez de ne plus pouvoir
accder aux donnes utilises ou aux informations enregistres avec les Machines virtuelles
et de devoir rtablir ltat dorigine de ces Machines virtuelles. Vous devez supprimer le
Logiciel des Dispositifs la fin de chaque Session de formation agre, et le rinstaller et le
lancer avant le dbut de chaque nouvelle Session de formation agre.
B. Si les Disques durs virtuels ncessitent une cl de produit pour tre lancs, ces
termes sappliquent :
Microsoft dsactivera le systme dexploitation associ chaque Disque dur virtuel. Pour
installer un Disque dur virtuel sur des Dispositifs de la classe dans le cadre dune Session de
formation agre, vous devrez au pralable activer le systme dexploitation du Disque dur
virtuel en utilisant la cl de produit correspondante fournie par Microsoft.
C. Ces termes sappliquent lensemble des Machines virtuelles et des Disques durs
virtuels :
Vous tes autoris utiliser les Machines virtuelles et les Disques durs virtuels
uniquement si vous vous conformez aux termes et conditions du prsent contrat
de licence ainsi quaux conditions de scurit suivantes :
o Vous ne pouvez pas installer des Machines virtuelles et des Disques durs virtuels sur
des Dispositifs portables ou des Dispositifs qui sont accessibles via dautres rseaux.
o Vous devez supprimer les Machines virtuelles et les Disques durs virtuels des Dispositifs
de la classe la fin de chacune des Sessions de formation agres, lexception de
celles dispenses dans les centres Microsoft Certified Partner approuvs MLSC.
o Vous devez supprimer les diffrentes portions de disque des Disques durs virtuels de
tous les Dispositifs de la classe la fin de chaque Session de formation agre
dispense dans les centres Microsoft Certified Partner approuvs MLSC.
o Vous devez vous assurer que les Machines virtuelles et les Disques durs virtuels ne sont
pas copis ou tlchargs partir de Dispositifs sur lesquels ils ont t installs.
o Vous devez respecter strictement toutes les instructions Microsoft relatives
linstallation, lutilisation, lactivation et la dsactivation, et la scurit des
Machines virtuelles et des Disques durs virtuels.
o Vous ntes pas autoris modifier les Machines virtuelles et les Disques durs virtuels
ou le contenu y figurant.
o Vous ntes pas autoris reproduire ou redistribuer les Machines virtuelles ou les
Disques durs virtuels.
ii. Guide dinstallation de la classe. Vous devez vous assurer que le Contenu sous licence qui
sera utilis durant une Session de formation agre est install conformment au guide
dinstallation de la classe associ au Cours.
iii. lments multimdias et modles. Vous pouvez autoriser les Formateurs et les Stagiaires
utiliser des photographies, images clip art, animations, sons, musiques, formes, clips vido et
modles inclus avec le Contenu sous licence uniquement dans le cadre dune Session de
formation agre. Les Formateurs qui possdent leur propre copie du Contenu sous licence sont
autoriss se servir des lments multimdias aux seules fins de leur formation personnelle.
iv. Logiciel dvaluation. Tout Logiciel inclus dans le Contenu du stagiaire et dsign comme
Logiciel dvaluation peut tre utilis par les Stagiaires uniquement pour les besoins de leur
formation personnelle en dehors de la Session de formation agre.
b. Formateurs uniquement :
i. Utilisation des modles de diapositives PowerPoint. Le Contenu du formateur peut
comprendre des diapositives Microsoft PowerPoint. Le Formateur est autoris utiliser, copier et
modifier les diapositives PowerPoint dans le seul but de dispenser une Session de formation
agre. Si vous choisissez dexercer les droits prcits, vous vous engagez ou vous garantissez
que le Formateur sengage : (a) ce que la modification des diapositives ne constitue pas la
cration duvres obscnes ou diffamatoires, telles quelles sont dfinies par la lgislation
fdrale au moment de leur cration ; et (b) respecter lensemble des termes et conditions du
prsent contrat de licence.
ii. Utilisation des Composants de formation inclus dans le Contenu du formateur. Pour
chaque Session de formation agre, les Formateurs sont autoriss personnaliser et
reproduire, conformment aux termes du contrat MCT, les composants du Contenu sous licence
qui sont associs logiquement la Session de formation agre. Si vous choisissez dexercer les
droits prcits, vous vous engagez ou vous garantissez que le Formateur sengage : (a) ce
que les personnalisations ou les reproductions ne soient utilises quaux seules fins de dispenser
une Session de formation agre et (b) respecter lensemble des termes et conditions du
prsent contrat de licence.
iii. Documentation de formation. Si le Contenu sous licence inclut une Documentation de
formation, vous tes autoris copier et utiliser cette Documentation. Vous ntes pas
autoris modifier la Documentation de formation ni imprimer un ouvrage (version
lectronique ou imprime) dans son intgralit. Si vous reproduisez une Documentation de
formation, vous acceptez ces termes :
Vous pouvez utiliser la Documentation de formation aux seules fins de votre utilisation ou
formation personnelle.
Vous ne pouvez pas rditer ni publier la Documentation de formation sur un ordinateur du
rseau, ni la diffuser sur un support.
Vous devez ajouter la mention de droits dauteur dorigine de la Documentation de formation
ou celle de Microsoft sous la forme ci-dessous :
Forme de mention :
200X [Note to MS Learning: Insert correct date] Rimprim avec
lautorisation de Microsoft Corporation pour usage personnel uniquement. Tous
droits rservs.
Microsoft, Windows et Windows Server sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation aux tats-
Unis dAmrique et/ou dans dautres pays. Les autres noms de produits et de
socits mentionns dans les prsentes sont des marques de leurs propritaires
respectifs.
6. SERVICES INTERNET. Microsoft peut fournir des services Internet avec le Contenu sous licence. Ils
peuvent tre modifis ou interrompus tout moment. Vous ntes pas autoris utiliser ces services de
quelque manire que ce soit qui pourrait leur porter atteinte ou perturber leur utilisation par un autre
utilisateur. Vous ntes pas autoris tenter daccder de faon non autorise aux services, donnes,
comptes ou rseaux de toute autre manire.
7. PORTEE DE LA LICENCE. Le Contenu sous licence nest pas vendu, mais concd sous licence. Le
prsent contrat vous confre certains droits dutilisation du Contenu sous licence. Microsoft se rserve
tous les autres droits. Sauf si la loi en vigueur vous confre dautres droits, nonobstant la prsente
limitation, vous ntes autoris utiliser le Contenu sous licence quen conformit avec les termes du
prsent contrat. cette fin, vous devez vous conformer aux restrictions techniques contenues dans le
Contenu sous licence qui vous permettent de lutiliser dune certaine faon. Vous ntes pas autoris :
installer, sur des Dispositifs de la classe, plus de copies du Contenu sous licence que le nombre de
Stagiaires plus le Formateur prsents dans la Session de formation agre ;
permettre laccs au Contenu sous licence sur le serveur rseau, le cas chant, par davantage de
Dispositifs de la classe que le nombre de Stagiaires dment inscrits la Session de formation agre
plus le Formateur dispensant cette formation.
copier ou reproduire le Contenu sous licence sur un autre serveur ou site en vue dune nouvelle
reproduction ou redistribution ;
rvler des tiers les rsultats des tests dvaluation du Contenu sous licence sans laccord crit
pralable de Microsoft ;
contourner les restrictions techniques figurant dans le Contenu sous licence ;
reconstituer la logique du Contenu sous licence, le dcompiler ou le dsassembler, sauf dans la
mesure o ces oprations seraient expressment permises par la rglementation applicable
nonobstant la prsente limitation ;
effectuer plus de copies du Contenu sous licence que ce qui nest autoris dans le prsent contrat ou
par la rglementation applicable, nonobstant la prsente limitation ;
publier le Contenu sous licence en vue dune reproduction par autrui ;
transfrer le Contenu sous licence, en totalit ou en partie, un tiers ;
accder ou utiliser un Contenu sous licence pour lequel vous (i) ne dispensez pas de Cours et/ou (ii)
navez pas obtenu lautorisation de Microsoft ;
louer ou prter le Contenu sous licence ; ou
utiliser le Contenu sous licence pour des services dhbergement commercial ou pour des besoins
dordre gnral.
Les droits daccs au logiciel serveur pouvant tre inclus avec le Contenu sous licence, y compris les
Disques durs virtuels, ne vous autorisent pas exploiter des brevets appartenant Microsoft ou tous
autres droits de proprit intellectuelle de Microsoft sur le logiciel ou tous dispositifs qui peuvent
accder au serveur.
8. RESTRICTIONS LEXPORTATION. Le Contenu sous licence est soumis la rglementation
amricaine en matire dexportation. Vous devez vous conformer toutes les rglementations nationales
et internationales en matire dexportation concernant le logiciel. Ces rglementations comprennent des
restrictions sur les pays destinataires, les utilisateurs finaux et les utilisations finales. Des informations
supplmentaires sont disponibles sur le site Internet www.microsoft.com/exporting.
9. LOGICIEL/CONTENU SOUS LICENCE EN REVENTE INTERDITE ( NOT FOR RESALE OU
NFR ). Vous ntes pas autoris vendre un logiciel ou un Contenu sous licence portant la mention
de revente interdite ( Not for Resale ou NFR ).
10. VERSION DUCATION. Pour utiliser un Contenu sous licence portant la mention de Version ducation
( Academic Edition ou AE ), vous devez avoir la qualit d Utilisateur ducation Autoris
(Qualified Educational User). Pour savoir si vous avez cette qualit, rendez-vous sur le site
http://www.microsoft.com/france/licences/education ou contactez laffili Microsoft qui dessert votre
pays.
11. RSILIATION. Sans prjudice de tous autres droits, Microsoft pourra rsilier le prsent contrat de
licence si vous nen respectez pas les termes et conditions. Si votre statut de Centre de formation agr
ou de Formateur a) expire, b) est volontairement rsili par vous-mme et/ou c) est rsili par Microsoft,
ce contrat expirera automatiquement. Aprs rsiliation du prsent contrat, vous devrez dtruire tous les
exemplaires du Contenu sous licence et tous ses composants.
12. INTGRALIT DES ACCORDS. Le prsent contrat ainsi que les termes concernant les
supplments, les mises jour, les services Internet et dassistance technique que vous
utilisez constituent lintgralit des accords en ce qui concerne le Contenu sous licence et
les services dassistance technique.
13. DROIT APPLICABLE.
a. tats-Unis. Si vous avez acquis le Contenu sous licence aux tats-Unis, les lois de ltat de
Washington, tats-Unis dAmrique, rgissent linterprtation de ce contrat et sappliquent en cas de
rclamation pour rupture dudit contrat, sans donner deffet aux dispositions rgissant les conflits de
lois. Les lois du pays dans lequel vous vivez rgissent toutes les autres rclamations, notamment les
rclamations fondes sur les lois fdrales en matire de protection des consommateurs, de
concurrence dloyale et de dlits.
b. En dehors des tats-Unis. Si vous avez acquis le Contenu sous licence dans un autre pays, les
lois de ce pays sappliquent.
14. EFFET JURIDIQUE. Le prsent contrat dcrit certains droits lgaux. Vous pouvez bnficier dautres
droits prvus par les lois de votre tat ou pays. Vous pouvez galement bnficier de certains droits
lgard de la partie auprs de laquelle vous avez acquis le Contrat sous licence. Le prsent contrat ne
modifie pas les droits que vous confrent les lois de votre tat ou pays si celles-ci ne le permettent pas.
15. EXCLUSIONS DE GARANTIE. Le Contenu sous licence est concd sous licence en ltat .
Vous assumez tous les risques lis son utilisation. Microsoft naccorde aucune garantie ou
condition expresse. Vous pouvez bnficier de droits des consommateurs supplmentaires
dans le cadre du droit local, que ce contrat ne peut modifier. Lorsque cela est autoris par le
droit local, Microsoft exclut les garanties implicites de qualit, dadquation un usage
particulier et dabsence de contrefaon.
16. LIMITATION ET EXCLUSION DE RECOURS ET DE DOMMAGES. VOUS POUVEZ OBTENIR DE
MICROSOFT ET DE SES FOURNISSEURS UNE INDEMNISATION EN CAS DE DOMMAGES
DIRECTS LIMITE 5,00 $ U.S. VOUS NE POUVEZ PRTENDRE AUCUNE INDEMNISATION
POUR LES AUTRES DOMMAGES, Y COMPRIS LES DOMMAGES INDIRECTS, DE PERTES DE
BNFICES, SPCIAUX OU ACCESSOIRES.
Cette limitation concerne :
toute affaire lie au Contenu sous licence, au logiciel, aux services ou au contenu (y compris le
code) figurant sur des sites Internet tiers ou dans des programmes tiers ; et
les rclamations pour rupture de contrat ou violation de garantie, les rclamations en cas de
responsabilit sans faute, de ngligence ou autre dlit dans la limite autorise par la loi en vigueur.
Elle sapplique galement mme si Microsoft connaissait l'ventualit d'un tel dommage. La limitation ou
exclusion ci-dessus peut galement ne pas vous tre applicable, car votre pays nautorise pas lexclusion
ou la limitation de responsabilit pour les dommages indirects, accessoires ou de quelque nature que ce
soit.

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008 xiii

Remerciements
Microsoft
Learning tient remercier les personnes ci-dessous pour leur

participation au dveloppement de ce cours. La qualit de cette formation tient
essentiellement leur travail chaque stade du dveloppement.
Dan Holme Expert technique
Diplm de l'Universit de Yale et de Thunderbird, Dan a t conseiller et
formateur pendant 15 ans, en fournissant des solutions des dizaines de milliers
de professionnels de l'informatique des plus grandes entreprises et organisations
du monde entier. La socit de Dan, Intelliem, est un cabinet de conseil et de
formation renomm dont les clients figurent dans le classement Fortune, ayant une
expertise approfondie et une exprience tendue de Windows
, Active Directory

et Microsoft Office SharePoint
. Bas dans la charmante ville de Maui, Dan voyage

dans le monde entier pour assister ses clients et les former aux technologies
Microsoft. Dan est galement rdacteur en chef de la revue Windows IT Pro, MVP
Microsoft (Windows Server
Directory Services, 2007 et Office SharePoint Server,

2008-2009) et le responsable de la communaut SharePointProConnections.com.
L'anne dernire, Dan a publi deux ouvrages chez Microsoft Press : le Windows
Administration Resource Kit et le kit de formation pour l'examen 70-640 MCTS,
deux des meilleurs bestsellers des ouvrages Windows. Il labore actuellement des
solutions SharePoint pour la diffusion des Jeux Olympiques d'hiver 2010 de
Vancouver en tant que consultant Microsoft Technologies pour NBC Olympics,
une fonction qu'il a occupe l'anne dernire Pkin et auparavant Turin.
Claudia Woods Rviseur technique
Claudia est administratrice LAN et formatrice Systems Engineer and Technology
depuis plus de 10 ans. Dans le cadre de ses fonctions, elle a conu, implment et
document des solutions technologiques pour divers clients. Claudia a galement
rdig, dit et prsent des cours personnaliss sur les technologies pour diverses
entits aux Etats-Unis. Elle participe rgulirement aux salons de l'informatique,
tels que TechEd, MCT Summit et FOSE.
Originaire du sud-est des Etats-Unis, elle rside actuellement au Royaume-Uni. Elle
est formatrice du personnel dans une entreprise internationale de formation aux
technologies. Ses spcialisations Microsoft couvrent Windows Server, Active
Directory et Exchange Messaging.
xiv Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ryan Boswell Rviseur technique
Ryan travaille comme ingnieur systme, conseiller informatique et formateur
technologique depuis plus de 10 ans. Il possde diverses certifications Microsoft,
notamment plusieurs niveaux MCSE, MCTS, MCITP et MCT. Ses spcialisations
incluent les technologies Windows Server, Active Directory, System Center
Configuration Manager, System Center Operations Manager et Microsoft
Hyper-V. Ryan rside Denver dans le Colorado.
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008 xv

Table des matires
Module 10 : Configuration du systme DNS
Leon 1 : Concepts, composants et processus DNS 10-4
Leon 2 : Installation et configuration d'un serveur DNS dans un
domaine AD DS 10-26
Atelier pratique A : Installation du service DNS 10-39
Leon 3 : AD DS, DNS et Windows 10-44
Leon 4 : Configuration et administration avances du systme DNS 10-69
Atelier pratique B : Configuration avance du systme DNS 10-83
Module 11 : Administration des contrleurs de domaine des services de
domaine Active Directory (AD DS)
Leon 1 : Options d'installation des contrleurs de domaine 11-4
Atelier pratique A : Installation des contrleurs de domaine 11-33
Leon 2 : Installation d'un contrleur de domaine Server Core 11-41
Atelier pratique B : Installation d'un contrleur de domaine Server Core 11-50
Leon 3 : Gestion des matres d'oprations 11-55
Atelier pratique C : Transfert des rles Matres doprations 11-74
Leon 4 : Configuration de la rplication FS-R de SYSVOL 11-79
Atelier pratique D : Configuration de la rplication DFSR du dossier
SYSVOL 11-87
Module 12 : Gestion des sites et de la rplication Active Directory
Leon 1 : Configuration des sites et des sous-rseaux 12-4
Atelier pratique A : Configuration des sites et des sous-rseaux 12-23
Leon 2 : Configuration des partitions d'application et du catalogue
global 12-27
Atelier pratique B : Configuration des partitions d'application et du
catalogue global 12-42
Leon 3 : Configuration de la rplication 12-48
Atelier pratique C : Configuration de la rplication 12-75
xvi Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Module 13 : Continuit du service d'annuaire
Leon 1 : Surveillance d'Active Directory 13-4
Atelier pratique A : Surveillance des vnements et des performances
d'Active Directory 13-29
Leon 2 : Gestion de la base de donnes Active Directory 13-48
Atelier pratique B : Gestion de la base de donnes Active Directory 13-66
Leon 3 : Sauvegarde et restauration des services AD DS et des
contrleurs de domaine 13-74
Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89
Module 14 : Gestion de plusieurs domaines et forts
Leon 1 : Configuration des niveaux fonctionnels des domaines et
des forts 14-4
Atelier pratique A : Augmenter les niveaux fonctionnels des domaines
et des forts 14-16
Leon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23
Atelier pratique B : Administration d'une relation d'approbation 14-70
Corrigs des ateliers pratiques
Atelier pratique du module 1 : Installation d'un contrleur de
domaine AD DS pour crer une seule fort de domaines L1-1
Atelier pratique A du module 2 : Cration et excution d'une console
d'administration personnalise L2-11
Atelier pratique B du module 2 : Recherche d'objets dans Active
Directory L2-22
Atelier pratique C du module 2 : Utilisation des commandes des
services de domaine pour administrer Active Directory L2-31
Atelier pratique A du module 3 : Cration et administration des
comptes d'utilisateur L3-37
Atelier pratique B du module 3 : Dfinition des attributs des objets
utilisateur L3-44
Atelier pratique C du module 3 : Automatisation de la cration des
comptes d'utilisateur L3-54
Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008 xvii

Atelier pratique A du module 4 : Administration des groupes L4-59
Atelier pratique B du module 4 : Meilleures pratiques de gestion
des groupes L4-68
Atelier pratique A du module 5 : Cration d'ordinateurs et ajout
au domaine L5-73
Atelier pratique B du module 5 : Administration des objets et
des comptes d'ordinateur L5-86
Atelier pratique A du module 6 : Implmentation d'une stratgie
de groupe L6-93
Atelier pratique B du module 6 : Gestion des paramtres et des
objets GPO L6-98
Atelier pratique C du module 6 : Gestion de l'tendue d'une
stratgie de groupe L6-108
Atelier pratique D du module 6 : Rsolution des problmes
d'application de stratgie L6-118
Atelier pratique A du module 7 : Dlgation du support technique
des ordinateurs L7-127
Atelier pratique B du module 7 : Gestion des paramtres de
scurit L7-134
Atelier pratique C du module 7 : Gestion de logiciels avec GPSI L7-150
Atelier pratique D du module 7 : Audit de l'accs aux systmes
de fichiers L7-162
Atelier pratique A du module 8 : Dlgation de l'administration L8-171
Atelier pratique B du module 8 : Audit des modifications Active
Directory L8-184
Atelier pratique A du module 9 : Dfinition de stratgies de mots
de passe et de verrouillage de comptes L9-191
Atelier pratique B du module 9 : Audit de l'authentification L9-200
Atelier pratique C du module 9 : Configuration des contrleurs de
domaine en lecture seule L9-207
Atelier pratique A du module 10 : Installation du service DNS L10-219
Atelier pratique B du module 10 : Configuration avance du
systme DNS L10-227
xviii Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique A du module 11 : Installation des contrleurs de
domaine L11-237
Atelier pratique B du module 11 : Installation d'un contrleur de
domaine Server Core L11-249
Atelier pratique C du module 11 : Transfert des rles Matres
doprations L11-253
Atelier pratique D du module 11 : Configuration de la rplication
FS-R de SYSVOL L11-260
Atelier pratique A du module 12 : Configuration des sites et des
sous-rseaux L12-271
Atelier pratique B du module 12 : Configuration du catalogue
global et des partitions d'application L12-279
Atelier pratique C du module 12 : Configuration de la rplication L12-285
Atelier pratique A du module 13 : Surveillance des vnements et
des performances d'Active Directory L13-295
Atelier pratique B du module 13 : Gestion de la base de donnes
Active Directory L13-323
Atelier pratique C du module 13 : Sauvegarde et restauration
d'Active Directory L13-333
Atelier pratique A du module 14 : Augmenter les niveaux fonctionnels
des domaines et des forts L14-343
Atelier pratique B du module 14 : Administration d'une relation
d'approbation L14-352

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Configuration du systme DNS 10-1

Module 10
Configuration du systme DNS
Table des matires :
Leon 1 : Concepts, composants et processus DNS 10-4
Leon 2 : Installation et configuration d'un serveur DNS dans un
domaine AD DS 10-26
Atelier pratique A : Installation du service DNS 10-39
Leon 3 : AD DS, DNS et Windows 10-44
Leon 4 : Configuration et administration avances du systme DNS 10-69
Atelier pratique B : Configuration avance du systme DNS 10-83
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10-2 Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

Windows et les services Active Directory dpendent fortement du systme DNS
(Domain Name System, ou Systme de nom de domaine). Vous tes trs
certainement familiaris avec le systme DNS car vous l'utilisez dj en tant
qu'informaticien qui assiste les utilisateurs, les applications, les services et les
systmes qui en dpendent. Dans ce module, vous allez dcouvrir comment
implmenter DNS pour prendre en charge la rsolution des noms au sein de votre
domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de
votre rseau intranet.
Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes :
comprendre la structure, les rles et le fonctionnement du systme DNS ;
dcrire les processus de rsolution des noms de client et de serveur ;
installer le service DNS ;
grer les enregistrements DNS ;
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

configurer les paramtres du serveur DNS ;
comprendre l'intgration entre AD DS et DNS ;
choisir un domaine DNS pour un domaine Active Directory ;
crer une dlgation de zone pour un nouveau domaine Active Directory ;
configurer la rplication pour des zones intgres Active Directory ;
dcrire l'objectif des enregistrements Service Locator (SRV) dans le processus
de localisation des contrleurs de domaine ;
comprendre le fonctionnement des serveurs DNS en lecture seule ;
comprendre et configurer la rsolution des noms en une partie ;
configurer les paramtres avancs du serveur DNS ;
auditer, grer et dpanner le rle de serveur DNS.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 1
Concepts, composants et processus DNS

Le systme DNS est un composant indispensable et sensible pour une entreprise
Windows. Dans cette leon, vous allez revoir le rle, la structure et le
fonctionnement du systme DNS. Vous allez galement examiner de manire
approfondie les processus utiliss pour rsoudre les requtes DNS. Bien que la
plupart de ces informations puissent vous sembler familires, cette leon permettra
de s'assurer que vous connaissez parfaitement les concepts et la terminologie du
systme DNS.
Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
comprendre la structure, les rles et le fonctionnement du systme DNS ;
dcrire les processus de rsolution des noms de client et de serveur ;

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pourquoi utiliser le systme DNS ?

Points cls
DNS sert rpondre aux requtes des clients qui demandent des informations sur
les services et les systmes distants. La plupart du temps, DNS sert rpondre un
client qui demande l'adresse d'un certain nom DNS.
Les utilisateurs, et donc les applications, ont tendance prfrer employer des
noms pour faire rfrence des systmes. Les ordinateurs, pour leur part, se
localisent mutuellement par leurs adresses IP. Le systme DNS sert convertir ou
rsoudre les noms en adresses. Par exemple, si un utilisateur affiche
http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit
tre converti pour obtenir l'adresse IP du serveur Web concern. Le client interroge
son serveur DNS et, suite une srie de processus qui seront expliqus tout au
long de cette leon, le serveur DNS renvoie l'adresse IP du serveur Web :
207.46.16.252.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Hirarchie du systme DNS

Points cls
Les noms utiliss dans le systme DNS crent une hirarchie, depuis une racine et
en passant travers une srie d'espaces de noms appels domaines pour atteindre
un enregistrement individuel conduisant un service ou un systme (hte). Pour
les tres humains, un nom tel que technet.microsoft.com se lit de gauche droite, de
sa partie la plus spcifique (le nom de l'hte individuel), technet, jusqu' sa partie la
plus gnrique, com. Le nom peut tre rsolu en partant de la racine de l'espace de
noms DNS jusqu' la partie gnrique, le domaine du niveau suprieur (com),
jusqu'au domaine plus gnrique (microsoft) pour arriver au nom d'hte le plus
spcifique (technet).
Les domaines du niveau suprieur (Top-level domains ou TLD) tels que .com sont
rglements de manire trs stricte par les autorits qui rgissent le rseau Internet.
Il existe un nombre limit de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque
pays possde galement son propre TLD respectant sur les normes ISO, par
exemple .us, .ca, .uk, .fr et .za.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui
est reprsente par un point ( . ). Le point reprsentant la racine est
gnralement ignor dans les noms DNS. Cependant, il est intressant de savoir
que le nom technet.microsoft.com pourrait tre reprsent plus prcisment par
technet.microsoft.com., avec son point final.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Zones

Points cls
Pour qu'un serveur DNS puisse rsoudre les requtes des clients, par exemple en
renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit possder une
base de donnes. Cette base de donnes est appele zone. Une zone est une base
de donnes qui prend en charge la rsolution d'une certaine partie de l'espace de
noms DNS, en commenant par un domaine spcifique tel que contoso.com.
Un serveur qui hberge une zone pour un domaine est qualifi de serveur faisant
autorit pour ce domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Enregistrements de ressource

Points cls
Au sein d'une zone (la base de donnes DNS) se trouvent des enregistrements
appels Enregistrements de ressource ou RR (Resource Records).
Il existe plusieurs types d'enregistrements de ressource, notamment :
Enregistrements d'adresse (A ou AAAA) (galement appels Hte) : ces
enregistrements rsolvent un nom en adresse IP. Ils sont utiliss dans la
requte DNS standard que vous associez au systme DNS. Les enregistrements
A convertissent un nom en adresse IPv4. Les enregistrements AAAA
convertissent un nom en adresse IPv6.
Les enregistrements nom canonique (CNAME) (galement appels Alias) :
ces enregistrements font correspondre un alias avec un autre nom complet. Les
enregistrements d'alias vous permettent d'associer plusieurs noms un seul
serveur. Ils vous vitent de devoir mettre jour manuellement chaque
enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier
l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant rfrence
au serveur par son nom et non son adresse) continueront de fonctionner.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Enregistrements de serveur de messagerie (MX) : l'enregistrement MX
contient le nom du serveur de messagerie d'un domaine. Vous pouvez
considrer l'enregistrement MX comme un type d'alias, mais l'alias est toujours
appel MX. Ainsi, quelle que soit la langue ou la convention d'appellation
utilise par un domaine, son serveur de messagerie peut toujours tre localis
par une requte de MX.domain.
Enregistrements du Service de nom (NS) : ces enregistrements pointent vers
les serveurs DNS faisant autorit pour un domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Gestion des enregistrements de ressource

Points cls
Les enregistrements des ressources d'une zone peuvent tre crs et grs
manuellement par un administrateur.
Sinon, des mises jour dynamiques peuvent tre actives, au travers des systmes
capables d'inscrire leurs propres enregistrements DNS.
Si une zone est configure pour les mises jour dynamiques, il existe un risque de
cration d'enregistrements non autoriss. Par exemple, un individu peut crer un
enregistrement appel www et pointant vers un serveur autre que le serveur Web
appropri pour un domaine. Il est alors question d'usurpation.
Pour rduire les risques d'usurpation, le systme DNS de Windows Server prend
en charge les mises jour dynamiques scurises. Pour pouvoir actualiser la zone
DNS, les clients doivent s'authentifier auprs du domaine et ne peuvent mettre
jour que leurs propres enregistrements DNS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rplication d'une zone

Points cls
La base de donnes DNS, ou zone, est un composant important de toute
infrastructure rseau. Comme tous les autres services sensibles, chaque
organisation doit s'efforcer de possder deux serveurs DNS disponibles pour ses
clients afin de bnficier de la redondance.
La base de donnes DNS peut tre stocke et rplique dans plusieurs serveurs
DNS de l'une des deux manires suivantes :
Comme les autres implmentations DNS traditionnelles, les serveurs DNS
Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut
crire dans la zone : celui qui hberge la zone principale. Les autres serveurs
DNS copient la zone et en crent une copie en lecture seule appele zone
secondaire. Le processus de copie de la zone est appel transfert de zone. Tout
serveur DNS hbergeant une zone secondaire a besoin d'autorisations pour
accder au serveur partir duquel il copie la zone.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsque des zones DNS sont hberges par des contrleurs de domaine, vous
avez la possibilit de stocker leur contenu dans Active Directory lui-mme, ce
qui cre une zone intgre Active Directory. Les donnes de zone sont
rpliques avec la mme mthode multiples matres que les autres donnes
Active Directory. Ceci s'avre particulirement important lorsque les mises
jour dynamiques sont actives. En effet, les clients inscriront leurs
enregistrements avec leur principal serveur DNS, qui est interne leur site.
Toute zone peut galement tre rplique de manire incrmentielle : seuls les
enregistrements qui ont t modifis sont rpliqus. Cette mthode est
nettement plus efficace que le transfert de zone traditionnel de la totalit du
fichier.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Sous-domaines

Points cls
Comme nous l'avons mentionn prcdemment, toute zone prend en charge la
rsolution d'une partie spcifique de l'espace de noms DNS, commenant par un
domaine tel que contoso.com. Vous pouvez crer des sous-domaines dans une
partie de l'espace de noms DNS pour laquelle vous faites autorit. Par exemple, si
vous grez l'espace de noms contoso.com, vous pouvez crer un sous-domaine
appel europe.contoso.com.
Il existe trois options pour crer un sous-domaine tel que europe.contoso.com :
Sous-domaine : une zone dmarre au niveau d'un domaine et peut contenir
un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle
comprend tous les enregistrements ncessaires pour la rsolution de ce sous-domaine,
et le serveur DNS fait autorit pour ce sous-domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dlgation : une dlgation est un lien vers un sous-domaine, cr par un
ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de
noms faisant autorit pour ce sous-domaine. Tout enregistrement NS pointe
vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si
l'enregistrement NS pointe vers un nom, il doit galement y avoir un
enregistrement hte (A) pour le serveur du domaine parent. Les
enregistrements NS sont gnrs lorsque vous crez la dlgation. Cependant,
si vous devez changer les adresses IP ou les noms des serveurs de l'espace de
noms, vous devez mettre les enregistrements NS jour manuellement.
Zone de stub : une zone de stub est trs similaire une dlgation.
Cependant, les enregistrements NS qui pointent vers le serveur de noms sont
mis jour automatiquement dans la zone parente. Cela semble idal pour
grer les sous-domaines hbergs dans des serveurs DNS distincts, et les zones
de stub conviennent parfaitement dans de nombreux environnements.
Toutefois, la mise jour automatique des enregistrements NS exige que le port
TCP 53 soit ouvert entre les serveurs de noms htes (parents) et tous les serveurs de
noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous
devez la remplacer par une dlgation standard.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Placement des serveurs et des zones DNS

Points cls
Dans tout environnement contenant plusieurs domaines, vous pouvez dcider de
placer des zones et des serveurs DNS de manire optimiser la rsolution des
noms pour les clients, le trafic de rplication et la surcharge administrative.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

gauche de l'illustration, il est possible de voir que la zone parente possde une
dlgation ou un domaine de stub qui pointe vers les serveurs de noms du
domaine enfant. Les demandes d'enregistrements du domaine enfant sont rsolues
par le serveur DNS qui fait autorit pour ce domaine enfant. Les serveurs de noms
peuvent se trouver en Europe afin de prendre en charge les requtes des clients
pour les serveurs et les services bass en Europe.
droite de l'illustration, il est possible de voir que les serveurs DNS hbergent une
seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure
augmente le trafic de rplication entre les deux serveurs DNS. Cependant, quel que
soit leur emplacement, les clients sont capables de rsoudre les noms de tous les
domaines partir du serveur DNS qui fait autorit pour leur emplacement
gographique.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Client DNS (Solveur)

Points cls
Maintenant que vous savez comment l'espace des noms DNS est hberg dans les
zones des serveurs DNS et comment les domaines enfants sont pris en charge
grce des dlgations, des sous-domaines ou des zones de stub, vous tes prt
examiner en dtail la manire dont un nom est rsolu ou converti en adresse IP.
Lorsqu'une application cliente, telle que Microsoft Internet Explorer, doit se
connecter un hte comme technet.microsoft.com, elle appelle l'API
GetAddrInfo(), qui transmet le nom de l'hte au service Client DNS.
Le service Client DNS commence par vrifier le cache de rsolution DNS (base de
donnes locale et gre dynamiquement au niveau du client) pour savoir si ce nom
a dj t rsolu prcdemment. Le cache de rsolution DNS est prcharg avec le
contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque
le cache est initialis durant le dmarrage du Client DNS et lorsque le fichier
HOSTS est modifi. Ds qu'un nom est rsolu avec succs, il est ajout au cache de
rsolution DNS. Ainsi, la capacit du client DNS rsoudre les noms localement
augmente avec le temps.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Chaque enregistrement de ressource (RR) contient une valeur de dure de vie
(TTL, time-to-live) qui dtermine pendant combien de temps l'enregistrement va
demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est
retir du cache.
Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu
du cache de rsolution DNS local, et la commande ipconfig /flushdns pour vider le
cache et le recharger avec le contenu du fichier HOSTS.
Il est important de savoir que, si un client interroge un serveur DNS pour obtenir
un enregistrement de l'hte et que le serveur DNS renvoie une rponse ngative,
qui indique que l'enregistrement est introuvable, cette rponse ngative est
galement mise en cache. Si vous crez un enregistrement hte au niveau du
serveur DNS et que vous ritrez la requte, le client chouera car il continue
rcuprer cette rponse ngative dans son cache jusqu' ce qu'elle en soit
supprime. Dans ce cas, la commande ipconfig /flushdns peut servir forcer le
client rinterroger le serveur DNS.
Vous pouvez utiliser la commande nslookup.exe pour interroger directement un
serveur DNS, en contournant le cache de rsolution DNS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Requte envoye un serveur DNS

Points cls
Si le service client DNS ne parvient pas rsoudre la requte l'aide du cache de
rsolution DNS, il interroge le serveur DNS principal. La requte spcifie le type de
l'enregistrement demand (par exemple, une adresse, un hte ou un
enregistrement A) et le nom de l'enregistrement demand (par exemple,
technet.microsoft.com).
La requte envoye au serveur DNS spcifie galement si le client prsente une
requte itrative ou rcursive. Les requtes rcursives sont les plus courantes. Elles
sont envoyes par un client Windows son serveur DNS. Les requtes rcursives
demandent au serveur DNS de renvoyer une rponse dfinitive. Lorsqu'un serveur
DNS reoit une requte rcursive, il interroge son tour d'autres serveurs DNS
l'aide d'un processus qui sera dcrit dans la prochaine section, jusqu' ce qu'il soit
en mesure de rsoudre la requte de son client. Si le serveur DNS est incapable de
rsoudre la requte de son client, il renvoie une rponse ngative, indiquant que le
systme de noms de domaine n'a aucun enregistrement correspondant cette
requte.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Si le serveur DNS principal renvoie une rponse ngative, indiquant que ce nom ne
peut pas tre rsolu, le client DNS n'interroge pas le serveur DNS secondaire. Les
autres serveurs DNS ne sont interrogs que si le serveur DNS principal n'est pas
disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit
en mesure de rsoudre toutes les requtes de tous les clients qui lui envoient des requtes.
Les clients ont la possibilit d'envoyer une requte itrative. Le serveur DNS tente
alors de rsoudre la requte localement, l'aide des processus qui seront dcrits
dans la prochaine section, et renvoie une rsolution (le cas chant) ou renvoie les
informations les plus utiles dont il dispose.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rsolution par le serveur DNS

Points cls
Ds qu'il reoit une requte d'un client, le serveur DNS commence par vrifier les
zones hberges localement. S'il y trouve une rsolution, il la renvoie au client sous
forme de rponse faisant autorit.
S'il n'y trouve aucune rponse, il vrifie alors ses Recherches mises en cache. l'instar
du client DNS, le serveur DNS construit un cache contenant les enregistrements
des ressources dj rsolues. Ce cache est initialis au dmarrage du serveur et est
aliment par les enregistrements de ressource (RR) au fur et mesure de leur
rsolution par les autres serveurs DNS. Chaque enregistrement est purg ds que
sa dure TTL est atteinte.
Si une rsolution est dcouverte dans le cache, elle est renvoye sous forme de
rponse positive.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Si aucune rsolution n'est dtecte et que le client a envoy une requte itrative, le
serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont
il dispose. Par exemple, le serveur DNS n'a peut-tre pas d'enregistrement RR mis
en cache pour l'hte demand par le client, mais il peut en avoir un pour le serveur
de noms du domaine parent de cet hte. Dans le pire des cas, le serveur DNS peut
indiquer au client de se rfrer la liste des serveurs de noms de la racine : c'est--
dire les serveurs DNS qui hbergent la racine (".") de l'espace de noms DNS. Le
client accepte toute information renvoye par le serveur DNS dans le cadre d'une
requte itrative et exploite ces informations pour continuer s'efforcer de
rsoudre le nom demand.
Si le client a demand une requte rcursive, le serveur DNS poursuit son travail
avec les processus dcrits dans la prochaine section.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rcursivit

Points cls
Si le client a demand une requte rcursive, le serveur DNS poursuit son traitement
de la requte pour tenter de la rsoudre. En ralit, le serveur DNS transmet la
requte par proxy de la part du client. Il est alors question de rcursivit.
Dans l'exemple de rcursivit le plus extrme, le serveur DNS vient de dmarrer et
son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les
serveurs de noms microsoft.com ou mme .com.
Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la
racine. Le serveur DNS possde la liste de ces serveurs de racine dans ses
indications de racine . Il envoie alors au serveur DNS racine une requte itrative
pour demander technet.microsoft.com.
Les serveurs DNS de la racine ne peuvent pas rsoudre technet.microsoft.com.
Cependant, ils possdent dans leur zone les enregistrements NS des serveurs de
noms du domaine .com. Ils renvoient alors ces informations en tant que rfrence.
Voici un bon exemple de requte itrative : le serveur DNS racine renvoie sa
meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Ensuite, le serveur DNS envoie une autre requte itrative au serveur de noms du
domaine .com. L encore, le serveur ne parvient pas rsoudre
technet.microsoft.com, mais il peut fournir des enregistrements NS pour
microsoft.com comme rfrence.
Grce cette rfrence, le serveur DNS interroge le serveur de noms du domaine
microsoft.com. Ce serveur DNS fait autorit (il hberge une zone) ou
microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour
l'enregistrement de l'hte technet.microsoft.com.
Le serveur DNS met cette rsolution en cache et la renvoie au client sous forme de
rponse positive.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 2
Installation et configuration d'un systme DNS
dans un domaine AD DS

Maintenant que vous avez rvis les concepts, la terminologie et les processus du
systme DNS et de la rsolution des noms, vous tes prt installer et configurer le
rle de serveur DNS dans un domaine AD DS.
Objectifs
installer le service DNS ;
ajouter des zones DNS ;
grer les enregistrements DNS ;
configurer les paramtres du serveur DNS ;
configurer les paramtres du client DNS.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation et gestion du rle de serveur DNS

Points cls
Le rle de serveur DNS n'est pas install par dfaut dans Windows Server 2008.
Comme d'autres fonctionnalits, il est ajout lorsqu'un serveur est configur pour
tenir ce rle.
Vous pouvez installer le rle de serveur DNS l'aide du lien Ajouter un rle qui
apparat dans le Gestionnaire de serveur.
Le rle de serveur DNS peut galement tre ajout automatiquement par l'Assistant
Installation des services de domaine Active Directory (dcpromo.exe). Dans cet
Assistant, la page relative aux options du contrleur de domaine vous permet
d'ajouter le rle de serveur DNS.
Lorsque le rle de serveur DNS sera install, vous disposerez du composant logiciel
enfichable DNS Manager pour l'ajouter vos consoles administratives. Ce
composant logiciel enfichable est galement ajout automatiquement aux consoles
Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS
distant, ajoutez les outils Remote Server Administrative votre station de travail
administrative fonctionnant sous Windows Vista SP1 ou une version plus rcente.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

L'outil administratif de ligne de commande dnscmd.exe est galement ajout.
DNSCmd peut servir crer des scripts et automatiser la configuration du
systme DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? l'invite de commande.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'une zone

Points cls
Aprs l'installation d'un serveur DNS, vous pouvez commencer lui ajouter des
zones.
Pour crer une zone, cliquez du bouton droit sur le nud Zones de recherche directe
dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle
zone vous guide tout au long de la procdure de cration d'une zone.
Vous pourrez choisir parmi les trois types de zones :
Zone principale : le serveur DNS pourra crire dans cette zone.
Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une
zone hberge par un autre serveur DNS. La zone secondaire est en lecture
seule.
Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs
de noms d'un autre domaine. Les zones de stub sont traits en dtail plus loin
dans ce module.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vous pouvez galement choisir de stocker les donnes de la zone dans Active
Directory si le serveur DNS est un contrleur de domaine. Cela cre une zone
intgre Active Directory, sujet qui sera trait ultrieurement dans ce module. Si
vous dsactivez cette option, les donnes de la zone seront stockes dans un fichier
et non dans Active Directory.
Aprs avoir choisi le type de votre zone, vous tes invit saisir son nom ou nom
complet du domaine de la zone.
S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises
jour, comme dcrit la prochaine section.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'une zone avec mise jour dynamique

Points cls
Lorsque vous crez une zone, vous tes invit spcifier si les mises jour
dynamiques sont prises en charge. Les mises jour dynamiques rduisent la
charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et
mettre jour leurs propres enregistrements de ressource.
Les mises jour dynamiques laissent la porte ouverte aux risques d'usurpation des
enregistrements de ressource. Par exemple, un ordinateur peut inscrire un
enregistrement appel www et rediriger efficacement le trafic de votre serveur Web
vers une adresse incorrecte.
Pour liminer les risques d'usurpation, le service de serveur DNS de Windows
Server 2008 prend en charge les mises jour dynamiques scurises. Tout client
doit s'authentifier avant de mettre ses enregistrements de ressource jour. Ainsi, le
serveur DNS sait si le client est un ordinateur autoris modifier les
enregistrements de ressource.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'enregistrements de ressource

Points cls
Dans la plupart des environnements, le besoin d'ajouter des enregistrements de
ressource une zone se prsentera souvent, mme si les mises jour dynamiques
sont actives.
Pour crer un enregistrement de ressource, cliquez du bouton droit sur la zone
concerne et choisissez le type d'enregistrement crer. La bote de dialogue qui
apparat contient les contrles de saisie appropris au type d'enregistrement que
vous ajoutez.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Configuration de serveurs DNS redondants

Points cls
Toute entreprise doit s'efforcer d'obtenir une zone qui puisse tre rsolue de
manire faisant autorit par au moins deux serveurs DNS.
Si votre zone est intgre Active Directory, il vous suffit d'ajouter le rle de serveur
DNS un autre contrleur de domaine du mme domaine comme premier serveur
DNS. Les zones intgres Active Directory et la rplication de la zone DNS par
AD DS sont dcrites dans la prochaine leon.
Si votre zone n'est pas intgre Active Directory, vous devez ajouter un autre
serveur DNS et le configurer pour qu'il hberge une zone secondaire. N'oubliez pas
qu'une zone secondaire est une copie en lecture seule de la zone principale.
La premire tape de ce processus consiste configurer la zone elle-mme de sorte
qu'elle fasse rfrence aux serveurs secondaires en tant que serveurs de noms de
votre zone. Ajoutez les enregistrements NS des serveurs secondaires la zone
parente.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Un serveur secondaire va copier la zone partir d'un autre serveur DNS, appel le
serveur matre. Le serveur matre n'a pas besoin d'tre le serveur principal.
Cependant, utiliser la zone principale comme serveur matre prsente des
avantages vidents. En effet, cela rduit la latence de rplication des mises jour
des enregistrements dans les serveurs secondaires.
Le serveur matre doit autoriser les serveurs secondaires se connecter et
dclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de
zone des proprits de la zone au niveau du serveur matre, comme suit :

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur
secondaire. Le serveur secondaire est configur pour rpliquer la zone partir du
serveur matre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Configuration des redirecteurs

Points cls
Dans la leon 1, vous avez appris qu'un serveur DNS tente de rsoudre la requte
d'un client l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que
la requte envoye est rcursive, le serveur DNS excute alors la requte de la part
du client.
La premire mthode pour configurer un serveur DNS de sorte qu'il excute
efficacement une requte rcursive consiste lui ajouter des redirecteurs. Les
redirecteurs sont des pointeurs vers d'autres serveurs DNS. En gnral, ces
serveurs sont hbergs par votre oprateur Internet (ISP) ou il s'agit de serveurs
DNS placs en amont dans l'infrastructure DNS de votre entreprise. Par exemple,
votre domaine Active Directory peut utiliser le service Windows DNS Server pour
rsoudre les noms au sein de ce domaine, puis transmettre les requtes vos
serveurs DNS, qui hbergent les zones des autres domaines de l'entreprise.
Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les
proprits IP d'une connexion rseau. Cette liste de serveurs DNS est utilise par le
service Client DNS. Elle n'est pas communique au service Serveur DNS. Les
redirecteurs ont le mme objectif que le service Serveur DNS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Si aucun redirecteur n'est configur, le serveur tente d'interroger un serveur de
noms pour obtenir la racine de l'espace de noms DNS ( . ). Ces serveurs racine
sont grs en tant qu'indications de racine. Bien que les serveurs de noms DNS de la
racine ne changent pas frquemment, cela peut arriver parfois. Windows Update
comprendra les mises jour des indications de racine.
Il existe plusieurs mcanismes pour amliorer l'efficacit des requtes rcursives,
notamment les redirecteurs conditionnels et les zones de stub. Ces options seront
abordes dans la leon 4.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Configuration des clients

Points cls
Pour qu'un serveur DNS soit utile, des clients doivent tre configurs pour
l'interroger. Le client DNS est diffrent de tous les composants Active Directory
du systme d'exploitation Windows. Ainsi, un client ne suppose pas que son
contrleur de domaine est un serveur DNS et un client doit avoir au moins deux
serveurs DNS configurs.
La configuration peut tre tablie dans la configuration IP du client, comme dans
l'image d'cran suivante :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

La commande netsh.exe peut galement servir configurer le premier serveur
DNS et les suivants pour une connexion rseau, comme dans l'exemple ci-
dessous :
netsh interface ipv4 set dns "Local Area Connection"
static 10.0.0.11 primary
netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12
Une autre mthode consiste transmettre les serveurs DNS aux clients par le
protocole DHCP (Dynamic Host Configuration Protocol) l'aide de l'option DHCP
scope option 6: DNS server.
N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas
interrogs si le serveur DNS principal renvoie une rponse ngative. Les autres
serveurs DNS ne sont interrogs que si le serveur principal ne rpond pas ou est
dconnect.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique A : Installation du service DNS

Scnario
Vous tes administrateur chez Contoso, Ltd. Vous avez rcemment ajout un
second contrleur de domaine votre entreprise et vous souhaitez ajouter une
redondance au serveur DNS qui hberge la zone du domaine. Actuellement, le seul
serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que
les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accder aux
sites Web sur Internet. De plus, il vous a t demand de configurer un sous-
domaine pour prendre en charge la rsolution des noms requise pour que l'quipe
de dveloppeurs puisse tester une application.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Ajout du rle de serveur DNS
Dans cet exercice, vous allez ajouter le rle de serveur DNS l'ordinateur
HQDC02, examiner la zone du domaine qui est automatiquement renseigne au
niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-mme
comme son propre serveur DNS principal.
Les tches principales de cet exercice sont les suivantes :
1. Prparer l'atelier pratique.
2. Ajout du rle de serveur DNS
3. Changement de la configuration serveur DNS du client DNS
4. Examen de la zone de recherche directe du domaine
5. Configuration de redirecteurs pour la rsolution des noms Internet

Tche 1 : Prparation de l'atelier pratique
1. Dmarrez 6238B-HQDC01-B.
2. Attendez la fin du dmarrage.
4. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le
mot de passe Pa$$w0rd.

Tche 2 : Ajout du rle de serveur DNS
1. Dans HQDC02, excutez le Gestionnaire de serveur en tant qu'administrateur,
avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2. Ajoutez le rle de serveur DNS HQDC02.
3. Fermez le Gestionnaire de serveur.
4. Redmarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman
avec le mot de passe Pa$$w0rd.
Cette opration n'est pas ncessaire dans un environnement de production,
mais cela acclre le redmarrage des services et la rplication des
enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Changement de la configuration serveur DNS du client DNS
1. Excutez une invite de commande en tant qu'administrateur, avec le nom
d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static
10.0.0.12 primary, puis appuyez sur Entre.
3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection"
10.0.0.11, puis appuyez sur Entre.

Tche 4 : Examen de la zone de recherche directe du domaine
1. Excutez le Gestionnaire DNS en tant qu'administrateur, avec le nom
2. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe
du domaine contoso.com.

Tche 5 : Configuration de redirecteurs pour la rsolution des noms
Internet
Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et
192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine
complet du serveur affichera soit <Tentative de rsolution...>, soit <Rsolution
impossible>. Dans un environnement de production, vous configureriez les
redirecteurs sur les serveurs DNS en amont au niveau d'Internet, gnralement
ceux fournis par votre oprateur Internet (ISP).

Rsultats : la fin de cet exercice, vous aurez ajout le rle de serveur DNS
l'ordinateur HQDC02 et simul la configuration de redirecteurs pour rsoudre les noms
DNS Internet.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Configuration de zones de recherche directe et
d'enregistrements de ressource
Dans cet exercice, vous allez ajouter une zone de recherche directe pour le
domaine de dveloppement de Contoso. Vous allez ensuite ajouter un hte et un
enregistrement CNAME cette zone et vrifier le fonctionnement de la rsolution
des noms dans la nouvelle zone.
1. Crer une zone de recherche directe.
2. Crer l'hte et les enregistrements CNAME.
3. Vrifier la rsolution des noms.

Tche 1 : Cration d'une zone de recherche directe
Crez une nouvelle zone de recherche directe appele
development.contoso.com. Il doit s'agir d'une zone principale, stocke dans
Active Directory et rplique dans tous les contrleurs du domaine
contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises jour
dynamiques.

Remarque : dans un environnement de production, vous vous contenteriez de la
rpliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique,
vous allez la rpliquer dans tous les contrleurs de domaine pour assurer une rplication
rapide et sre.
Tche 2 : Cration de l'hte et des enregistrements CNAME
1. Dans la zone development.contoso.com, crez un enregistrement hte (A)
pour APPDEV01 avec l'adresse IP 10.0.0.24.
2. Crez un enregistrement CNAME, www.development.contoso.com, qui se
rsout en appdev01.development.contoso.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Test de la rsolution des noms
l'invite de commande, tapez nslookup www.development.contoso.com,
puis appuyez sur Entre.
Examinez le rsultat de la commande. Que vous indique-t-il ?

Rsultats : la fin de cet exercice, vous aurez cr une nouvelle zone de recherche
directe, development.contoso.com, avec un hte et des enregistrements CNAME, et
vrifi que les noms de cette zone sont bien rsolus.

Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez termin cet atelier
pratique car les paramtres configurs ici serviront dans le prochain atelier.
Questions de contrle des acquis
Question : Si vous n'aviez pas configur des redirecteurs dans HQDC02, quelles
auraient t les consquences pour les clients qui utilisent HQDC02 comme leur
serveur DNS principal ?
Question : Les clients auraient-ils t capables de rsoudre les noms du domaine
development.contoso.com si vous aviez choisi une zone DNS autonome plutt
qu'une zone intgre Active Directory ? Pourquoi cela se produirait-il ? Que
devriez-vous faire pour rsoudre ce problme ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 3
AD DS, DNS et Windows

Vous avez appris configurer DNS dans un environnement simple, l'aide des
nombreux paramtres par dfaut qui prennent en charge les domaines Active
Directory prts l'emploi. Dans cette leon, vous allez en apprendre davantage sur
les composants et les processus qui prennent en charge les Services de domaine
Active Directory (AD DS) et sur les interactions entre AD DS et DNS.
Objectifs
comprendre l'intgration entre AD DS et DNS ;
choisir un domaine DNS pour un domaine Active Directory ;
crer une dlgation de zone pour un nouveau domaine Active Directory ;
configurer la rplication pour des zones intgres Active Directory ;
dcrire la fonction des enregistrements SRV dans le processus d'emplacement
des contrleurs d'un domaine ;
comprendre le fonctionnement des serveurs DNS en lecture seule.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

AD DS, DNS et Windows

Points cls
Les Services de domaine Active Directory, DNS et le systme d'exploitation
Windows sont intgrs et interdpendants de nombreuses manires. Dans cette
leon, vous allez examiner dans le dtail chacune de ces interactions.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Intgration entre AD DS et l'espace de noms DNS

Points cls
Active Directory a besoin du systme DNS, et tout domaine AD DS doit avoir un
nom de domaine DNS. Le systme DNS tant galement utilis en tant qu'espace
de noms standardis et disponible au niveau international, vous devez rflchir
soigneusement l'emplacement dans lequel vous allez dfinir votre domaine AD
DS au sein de l'espace de noms.
Supposons que vous tes administrateur chez Contoso, Ltd., qui possde le nom
de domaine enregistr contoso.com et un site Web l'adresse www.contoso.com.
Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir
l'un des lments suivants :
Le mme nom de domaine que votre nom de domaine DNS externe :
contoso.com. Si vous choisissez le mme espace de noms, vous devez
implmenter le DNS split-brain , qui est dcrit dans la prochaine section.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si
vous utilisez un sous-domaine d'un nom de domaine enregistr, l'opration est
facile car vous tes le propritaire de cette portion de l'espace de noms DNS.
Toutefois, soyez prudent et ne vous aventurez pas trop profondment dans
l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms
de domaine complets bien plus frquemment que vous ne l'imaginez, et un
suffixe de domaine trop long rend laborieuse la saisie de chaque nom de
domaine complet. De plus, les URL et les UNC ont des longueurs limites ne
pas dpasser et qui sont vite atteintes avec des suffixes DNS rallonge.
Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de
domaine distinct pour votre domaine Active Directory, il est recommand
d'enregistrer le domaine de sorte qu'il ne puisse pas tre usurp par une autre
entreprise. Vous devez vous assurer de conserver la proprit de cette portion
de l'espace de noms DNS.

Dans notre monde moderne de plus en plus connect, les frontires entre rseau,
intranet, extranet et Internet sont brouilles, voire pratiquement invisibles. Il
devient de moins en moins possible de maintenir une distinction dans l'espace de
noms, et cela pose des problmes de valorisation. C'est pourquoi de nombreuses
organisations choisissent le nom de domaine le plus familier, celui le plus
troitement associ l'organisation et le plus facile saisir : le nom de domaine
public. Comme nous venons d'en parler et comme se sera mentionn dans la
prochaine rubrique, vous devez suivre des tapes pour prendre cette configuration
en charge. Cependant, le cot de cette procdure est gnralement bien moindre
par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez grer
la rsolution des noms, la protection du primtre et la scurit. Vous devez donc
produire un niveau d'effort administratif quivalent quel que soit votre choix
d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie
des utilisateurs de votre espace de noms.
Au tout dbut de l'existence d'Active Directory, il tait courant de suggrer ou
mme de conseiller l'utilisation d'un domaine de niveau suprieur personnalis, tel
que .msft ou mme le TLD .local. Suite l'volution de notre monde en rseau,
dont l'arrive du protocole IP version 6 (IPv6) et l'hyper connectivit qui en a
rsult, ces options doivent tre envisages uniquement aprs une tude
approfondie de leur capacit prendre en charge les besoins de votre entreprise,
de leurs avantages et de leur cot en termes d'administration et d'assistance des
utilisateurs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

DNS Split-Brain

Points cls
Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS
galement utilis pour les connexions votre rseau depuis le monde extrieur,
vous devez vous assurer qu'il existe une sparation entre les zones DNS qui
fournissent diffrentes informations au public et aux clients internes. Il est alors
question de DNS split-brain.
La zone DNS interne doit prendre fidlement en charge le domaine AD DS, avec
tous les enregistrements de ressource pour les serveurs, les clients et les services
du domaine. Idalement, elle autorisera les mises jour dynamiques scurises et
stockera ses donnes dans Active Directory lui-mme.
La zone DNS accessible de l'extrieur ne doit fournir aux clients externes que les
enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette
zone sera gnralement beaucoup plus petite que celle qui assure la prise en
charge du domaine en interne. La zone externe sera gnralement mise jour
manuellement, et non dynamiquement. Le serveur DNS qui hberge la zone
externe sera souvent plac derrire le pare-feu externe, avec uniquement le port 53
ouvert pour lui.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vous aurez peut-tre besoin d'enregistrements en double dans les deux zones. Si
vos utilisateurs internes ont besoin d'accder au site Web public, tel que
www.contoso.com, cet enregistrement de ressource doit tre prsent dans la zone
interne interroge par les clients. N'oubliez pas que, le serveur DNS interne tant
considr comme faisant autorit pour la zone (comme le serveur externe), il
renverra soit une rsolution, soit une rponse ngative, indiquant que
l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde
requte ou de requte itrative dans la zone externe. Vous devrez donc crer des
enregistrements qui sont ncessaires en interne et en externe, tels que www, dans
les deux zones.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'une dlgation pour un domaine Active
Directory

Points cls
Dans le Module 1, vous avez cr un nouveau domaine et une fort Windows
Server 2008 AD DS. Lorsque vous avez promu le contrleur du domaine, vous
avez reu un message indiquant qu'il n'y avait aucune dlgation pour le domaine
contoso.com. Vous avez ignor ce message et poursuivi l'tablissement du domaine,
avec le systme DNS au niveau du contrleur du domaine. Les clients configurs
avec l'adresse IP du contrleur de domaine (DC) pour leur serveur DNS
interrogeront le DC et seront capables de rsoudre les noms du domaine
contoso.com. Toutefois, aucun client externe ne pourra rsoudre les noms du
domaine contoso.com car il n'y a pas de dlgation : aucun enregistrement NS
dans le domaine .com qui pointe vers votre serveur DNS faisant autorit.
Ceci ne pose pas de problme pour notre cours car votre domaine est isol comme
une le : il est spar du reste d'Internet et vous n'avez pas besoin de dlgation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Toutefois, au sein d'une fort, il est important qu'il y ait des dlgations entre un
domaine parent et un domaine enfant si la zone du domaine enfant est hberge dans
des serveurs DNS distincts. Si le domaine enfant est appel tre un sous-domaine
de la zone existante, aucune dlgation n'est ncessaire.
Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com,
l'arborescence des domaines, les clients de contoso.com doivent pouvoir rsoudre
les serveurs, les services et les autres enregistrements de europe.contoso.com afin
de prendre en charge la rplication et l'authentification dans la fort.
Avant d'ajouter un domain enfant l'arborescence ou une nouvelle arborescence
une fort, vous devez crer une dlgation dans le domaine parent ou dans le
domaine racine de la fort.
Pour crer une dlgation, cliquez du bouton droit sur la zone du domaine parent,
puis choisissez Nouvelle dlgation. Vous serez invit saisir le nom des serveurs
du nouveau domaine. Faites alors rfrence au serveur qui est ou sera le serveur
DNS du domaine enfant.
Pour crer une dlgation pour une nouvelle arborescence de domaines ou pour le
domaine racine de la fort, crez d'abord une nouvelle zone dans la zone DNS
racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui
utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite
un enregistrement NS pour le nouveau domaine qui fait rfrence au nom DNS
complet du contrleur du domaine.
Aprs avoir cr la dlgation, vous tes prt configurer le serveur qui sera le
premier contrleur du domaine enfant. Commencez par configurer son serveur
DNS pour qu'il pointe vers le serveur DNS dans lequel vous crez la dlgation.
Installez le rle DNS l'aide du Gestionnaire de serveur, puis crez la zone
principale du domaine enfant. Vous pouvez galement utiliser l'Assistant
Installation des services de domaine Active Directory (dcpromo.exe), qui peut
installer DNS dans le cadre de l'installation d'AD DS.
Aprs la cration du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il
s'utilise lui-mme en tant que serveur DNS principal. En gnral, vous ajouterez le
serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de
stub pour le serveur DNS enfant. D'une manire ou d'une autre, vous devez faire
en sorte que les systmes du domaine enfant puissent rsoudre les noms du
domaine parent. Pour finir, dans la plupart des scnarios, il est conseill d'utiliser
une zone intgre Active Directory et qui prenne en charge les mises jour
dynamiques scurises pour le domaine enfant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Zones intgres Active Directory

Points cls
Dans la leon 1, vous avez appris qu'un serveur DNS Windows est capable de
stocker les donnes des zones dans la base de donnes AD DS lorsque le serveur
DNS est un contrleur de domaine AD DS. Ceci cre une Zone intgre Active
Directory. Les avantages des zones intgres Active Directory sont importants :
Mises jour multimatre : la diffrence des zones principales habituelles,
qui ne peuvent tre modifies que par un seul serveur principal, tout
contrleur de domaine peut crire dans les zones intgres Active Directory
si elles y sont rpliques. Ceci retire un point de dfaillance unique de
l'infrastructure DNS. Il est particulirement important dans les environnements
gographiquement distribus qui utilisent des zones mises jour dynamiques. En
effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir
se connecter un serveur principal potentiellement loign.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rplication des donnes d'une zone DNS par rplication AD DS : dans le
Module 12, vous allez tudier les mcanismes de rplication efficaces et
gnrateurs de topologie de la rplication AD DS. L'une des caractristiques de la
rplication d'Active Directory est la rplication au niveau des attributs, dans
laquelle seuls les attributs modifis son rpliqus. Une zone intgre Active
Directory peut tirer parti de ces avantages de la rplication Active Directory, au
lieu de rpliquer la totalit du fichier de la zone comme dans les modles
traditionnels du transfert de zones DNS.
Mises jour dynamiques scurises : une zone intgre Active Directory
peut imposer des mises jour dynamiques scurises.
Scurit granulaire : comme avec d'autres objets Active Directory, une zone
intgre Active Directory vous permet de dlguer l'administration des zones,
des domaines et des enregistrements de ressource en modifiant la Liste de
contrle d'accs (ACL) de l'objet.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Partitions d'application pour les zones DNS

Points cls
Toute zone intgre Active Directory stocke ses enregistrements dans la base de
donnes AD DS. Ces enregistrements peuvent tre stocks dans l'une des
partitions suivantes :
Partition DomainDNSZone : cette partition est rplique dans tous les
contrleurs de domaine qui sont des serveurs DNS au sein de ce domaine.
Partition ForestDNSZones : cette partition est rplique dans tous les
contrleurs de domaine qui sont des serveurs DNS au sein de la fort.
Ces partitions par dfaut sont cres lors de l'installation du systme DNS et
configures durant l'installation d'AD DS. Vous pouvez utiliser l'outil de
gestion du systme DNS ou la commande dnscmd.exe pour crer des
partitions aprs l'installation d'AD DS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Domaine : le Domaine, qui contient galement des enregistrements pour les
objets, notamment les utilisateurs et les ordinateurs, est rpliqu dans tous les
contrleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous
Windows 2000, les zones DNS taient stockes dans le Domaine NC. Si vous
avez des contrleurs de domaine Windows 2000 qui sont galement des
serveurs DNS, vous devez utiliser cette option de rplication pour prendre ces
systmes en charge.
Le choix de vos partitions dpend principalement de la topologie de
rplication que vous allez slectionner pour vos zones DNS. Bien sr, la zone
doit tre rplique dans un serveur DNS pour que ce dernier fasse autorit
pour cette zone. Si un serveur DNS n'a pas de rplica de cette zone, il doit
avoir un redirecteur ou une zone de stub pour excuter les requtes rcursives
demandant la rsolution des noms de cette zone.
Partition d'application personnalise : si les partitions d'application par
dfaut n'offrent pas le modle de rplication dont vous avez besoin pour
prendre en charge votre infrastructure DNS, vous pouvez crer une partition
d'application personnalise, pour laquelle vous dsignez les serveurs qui vont
la rpliquer.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Partitions d'application DNS

Points cls
Pour crer une partition d'application, utilisez la commande dnscmd.exe, comme
dans l'exemple suivant :
dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vous pouvez modifier l'tendue de rplication d'une zone dans ses proprits.
Cliquez sur le bouton Changer accol Rplication, comme dans la figure
suivante :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Mises jour dynamiques

Points cls
Par dfaut, les systmes Windows tentent d'inscrire leurs enregistrements avec leur
serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du
client ou via la Stratgie de groupe.
Le service Client DHCP est celui qui excute l'inscription, que l'adresse IP du client
soit obtenue auprs d'un serveur DHCP ou quelle soit fixe. L'inscription se
produit :
Lorsque le client dmarre et que le service Client DHCP est dj dmarr
Lorsqu'une adresse IP est configure, ajoute ou modifie dans toute
connexion rseau
Lorsqu'un administrateur excute la commande ipconfig /registerdns

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est
pas intgre Active Directory, cette opration peut exiger plusieurs itrations
dans lesquelles le client identifie un serveur de noms, envoie une mise jour et est
rejet car ce serveur de noms n'hberge qu'une zone secondaire. Ensuite, si la zone
prend en charge les mises jour dynamiques, le client atteint un serveur DNS
autoris crire dans cette zone. Il s'agit du serveur principal pour une zone
standard, base de fichier, ou de tout contrleur de domaine qui est serveur de
noms pour une zone intgre Active Directory.
Si la zone est configure pour les mises jour dynamiques scurises, le serveur
DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise
jour.
Dans certaines configurations, vous prfrerez probablement que les clients ne
mettent pas leurs enregistrements jour, mme dans une zone mises jour
dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les
enregistrements de la part des clients. Par dfaut, un client inscrit son
enregistrement A (hte/adresse), et le serveur DHCP inscrit l'enregistrement PTR
(pointeur/recherche inverse). Les enregistrements PTR sont traits dans la
leon 4.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Chargement de zones en arrire-plan

Points cls
Il se peut qu'une zone qui prend en charge un domaine AD DS devienne
volumineuse, particulirement si les enregistrements A des clients sont conservs
dans un vaste domaine. Dans les prcdentes versions de Windows, le service
Serveur DNS prenait beaucoup de temps pour dmarrer lorsqu'il devait charger
une zone volumineuse.
Windows Server 2008 charge les zones en arrire-plan. Cela permet au serveur
DNS de commencer rpondre trs rapidement aux requtes. S'il reoit une
requte pour une zone qui n'est pas encore charge, il s'efforce de la charger
rapidement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Enregistrements SRV

Points cls
Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur)
rsolvent les requtes d'un service rseau. Cela permet aux clients de localiser un
hte qui fournit un service spcifique.
Les enregistrements SRV sont utiles dans de nombreux scnarios :
Lorsqu'un contrleur de domaine doit rpliquer des changements en
provenance de ses partenaires
Lorsqu'un ordinateur client doit s'authentifier dans AD DS
Lorsqu'un utilisateur change son mot de passe
Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire
Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tout enregistrement SRV adopte la syntaxe suivante :
protocole.service.nom TTL classe type priorit poids port cible
Voici un exemple d'enregistrement SRV :
_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com
Les composants de l'enregistrement sont les suivants :
Nom de service du protocole, tel que LDAP, offert par un contrleur de
domaine
Valeur de la dure TTL, en secondes
Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou
INternet)
Type : SRV
Priorit et poids (aident les clients choisir l'hte privilgier)
Port sur lequel le service est offert par le serveur. Le port 389 est le port
standard pour LDAP dans un contrleur de domaine Windows.
Cible, ou hte du service (dans ce cas, il s'agit du contrleur de domaine
nomm hqdc01.contoso.com)

Lorsqu'un processus client recherche un contrleur de domaine, il peut interroger
le systme DNS pour obtenir un service LDAP. Cette requte renvoie les deux
enregistrements (SRV et A) du ou des serveurs qui fournissent le service demand.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Enregistrements de ressource SRV inscrits
par des contrleurs de domaine AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer les enregistrements
SRV inscrits par un contrleur de domaine dans la fort contoso.com. Vous allez
effectuer les tches suivantes :
Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits
_tcp.contoso.com, qui dresse la liste de tous les contrleurs du domaine
_tcp.siteName._sites.contoso.com, qui dresse la liste des contrleurs de
domaine qui couvrent un site spcifique
_msdcs.contoso.com, qui suit la trace des contrleurs de domaine d'une
fort et que ceux-ci utilisent pour se localiser mutuellement
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Simuler une requte de client qui demande un contrleur de domaine
nslookup
set type=srv
_ldap._tcp.contoso.com
Dcouvrir comment les contrleurs de domaine inscrivent leurs
enregistrements de ressource dans une zone mises jour dynamiques.
Supprimez un enregistrement SRV, puis arrtez et redmarrez le service
NetLogon. Le service NetLogon inscrit les enregistrements DC au dmarrage.
Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient
les enregistrements qui doivent tre inscrits manuellement si la zone ne prend
pas en charge les mises jour dynamiques

tapes de la dmonstration
1. Excutez Gestion du service DNS avec des droits administratifs l'aide du
compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans
l'arborescence de la console, dveloppez HQDC01, Zones de recherche
directe, et contoso.com, puis cliquez sur le nud _tcp. Examinez les
enregistrements SRV.
2. Dans l'arborescence de la console, dveloppez HQDC01, Zones de recherche
directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nud _tcp.
Examinez les enregistrements SRV.
3. Excutez une invite de commande avec le compte administratif utilis
prcdemment.
4. Tapez nslookup, puis appuyez sur Entre.
5. Tapez set type=SRV, puis appuyez sur Entre.
6. Tapez _ldap._tcp.contoso.com, puis appuyez sur Entre.
7. Basculez dans le Gestionnaire DNS.
8. Dveloppez HQDC01, Zones de recherche directe, et contoso.com, puis
cliquez sur le nud _tcp.
9. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com,
puis cliquez sur Supprimer.
10. Revenez l'invite de commande.
11. Tapez net stop netlogon, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

12. Tapez net start netlogon, puis appuyez sur Entre.
14. Dans l'arborescence de la console, cliquez du bouton droit sur le nud _tcp,
puis choisissez Actualiser. Examinez l'enregistrement SRV de
hqdc01.contoso.com.
15. Ouvrez notepad.exe.
16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config
\netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entre.
17. Examinez les enregistrements SRV par dfaut.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Emplacement des contrleurs de domaine

Points cls
Lorsqu'un client s'authentifie, il tente de localiser un contrleur de domaine dans
son site. Si ce client ne s'est pas authentifi auparavant, il interroge DNS pour
obtenir _ldap._tcp.NomDomaine, puis il rcupre la liste de tous les contrleurs de
ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier
contrleur qui rpond est slectionn pour la prochaine tape. Remarquez que,
ce stade, il est possible qu'un contrleur d'un autre site rponde en premier.
Le client tente alors de s'authentifier auprs de ce contrleur de domaine. Le
contrleur examine l'adresse IP du client et la compare aux informations qu'il
possde propos des sites et des sous-rseaux. Si ce contrleur ne fait pas partie
du site du client, il indique au client quel site est le sien.
Le client interroge alors DNS pour obtenir _ldap._tcp.NomSite. nomDomaine, ce qui
renvoie la liste des contrleurs de domaine qui couvrent ce site. De nouveau, le
client tente une liaison LDAP avec chacun de ces contrleurs, et le premier qui
rpond est slectionn. Le client s'authentifie alors auprs de ce contrleur de
domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le client stocke son appartenance son site dans le Registre, et une affinit s'tablit
avec le contrleur de domaine auprs duquel il s'est authentifi. La prochaine fois
que ce client doit contacter un contrleur, il commence par celui avec lequel une
affinit s'est cre. Si ce contrleur nst pas disponible, le client rcupre les
informations sur son site dans le Registre et interroge DNS pour obtenir
_ldap._tcp.nomSite.nomDomaine.
Ce processus est rsum dans la diapositive suivante :

L'emplacement des contrleurs de domaine sera abord de nouveau dans le
Module 12, o vous tudierez comment les enregistrements SRV et le processus de
localisation des contrleurs sert vrifier l'authentification un contrleur efficace.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Zones DNS en lecture seule

Points cls
Tout serveur DNS plac dans un Contrleur de domaine en lecture seule (Read-
Only Domain Controller, ou RODC) peut faire autorit pour des zones qui sont
rpliques dans le RODC, et il peut rsoudre les requtes des clients qui utilisent
ce RODC en tant que serveur DNS.
Bien sr, la caractristique principale d'un RODC est qu'il ne peut effectuer aucune
modification dans Active Directory. Ainsi, les enregistrements de ressource ne
peuvent pas tre ajouts manuellement la zone d'un RODC et les mises jour
dynamiques proposes par les clients ne sont pas acceptes.
Les mises jour dynamiques sont gres en orientant les clients vers un DC
inscriptible lorsqu'ils tentent d'envoyer une mise jour un RODC. Pour le RODC,
il est utile d'inclure ds que possible dans la zone l'enregistrement de ressource
mis jour par le client. Ainsi, le RODC conserve la trace du client qui a tent une
mise jour et la trace du DC inscriptible auquel ce client s'est rfr. Aprs une
courte attente, le RODC effectue une opration RSO (Rplication d'un objet
unique), dans laquelle il rcupre l'enregistrement DNS mis jour pour le client
auprs du DC inscriptible, en contournant les mcanismes de rplication habituels.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 4
Configuration et administration avances du
systme DNS

Vous avez appris configurer une implmentation DNS simple et vous avez
dcouvert comment DNS prend en charge AD DS. Dans ce module, vous allez
explorer certaines rubriques avances de configuration et d'administration du
systme DNS.
Objectifs
comprendre et configurer la rsolution des noms en une partie ;
configurer les paramtres avancs du serveur DNS ;
auditer, grer et dpanner le rle de serveur DNS.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rsolution des noms en une partie

Points cls
En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir
besoin de faire rfrence un hte par un nom en une seule partie. Par exemple,
un utilisateur peut ouvrir Internet Explorer et accder l'adresse http://legalapp.
Il est important que vous compreniez comment le service Client DNS fonctionne
pour rsoudre un nom en une partie.
Tout d'abord, le client tente de rsoudre le nom en une partie comme un nom
complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajout est choisi
l'aide de l'une des options suivantes : le premier qui est configur dans les
Paramtres TCP/IP avancs d'une connexion, et le second l'aide de la Stratgie de
groupe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Suffixe DNS de la connexion rseau du client : le client ajoute le suffixe de sa
connexion DNS, tel que ad.contoso.com. En utilisant le suffixe bas sur la
connexion, vous pouvez ventuellement configurer un client pour qu'il utilise
la dvolution des noms de domaine, qui signifie que, si le suffixe de connexion
choue, le client recommence avec le nom du domaine parent, qui serait
contoso.com dans cet exemple. La dvolution s'interrompt ce stade ; elle
n'interroge pas DNS avec un nom de domaine du niveau suprieur (TLD).

Ordre de recherche des suffixes DNS : vous pouvez spcifier les suffixes DNS
qu'un client doit tenter. Il s'agit l de la mthode la plus simple avec la
Stratgie de groupe. Si l'ordre de recherche des suffixes DNS est utilis, il n'y a
pas de dvolution. Vous devez dsigner prcisment les noms de domaine que
le client doit tenter.

Si le suffixe DNS n'offre pas de rsolution, le client DNS abandonne et interroge
DNS avec un nom en une partie. Si cela ne fonctionne pas, le systme tente une
rsolution de nom NetBIOS, qui commence par envoyer une requte un serveur
Windows Internet Name Service (WINS). Si celle-ci choue galement, il a recours
une diffusion NetBIOS dans le segment local.
Le client DNS n'a pas beaucoup de temps pour rsoudre un nom. En ralit, aprs
12 secondes, la rsolution choue. ce stade, il revient l'application cliente de
dcider de la conduite tenir. Cela signifie qu'il est possible que le client arrive
expiration avant que toutes les combinaisons de noms aient t tentes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre
en charge la rsolution des noms en une partie : la zone GlobalNames. Il s'agit
d'une zone spcialise que vous crez dans vos serveurs DNS. En gnral, vous
souhaiterez la rpliquer dans la partition ForestDNSZones afin que tous les
serveurs DNS de la fort puissent y accder. Cette zone contient des
enregistrements CNAME avec des noms en une partie et leur rsolution en noms
complets.
Lorsqu'un client envoie une requte en une partie, le serveur DNS peut la rsoudre
en rcuprant l'enregistrement CNAME dans la zone GlobalNames, puis en
recherchant l'enregistrement A appropri du nom complet.
Pour utiliser GlobalNames, vous devez crer la zone GlobalNames, puis activer son
usage dans les rsolutions l'aide de la commande dnscmd.exe. Pour plus
d'informations, consultez l'article mentionn dans la section Lectures
complmentaires.
Lectures complmentaires
Rsolution des noms DNS en une partie
http://go.microsoft.com/fwlink/?LinkId=168531
Dploiement de la zone GlobalNames

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rsolution des noms extrieurs votre domaine

Points cls
Il existe plusieurs moyens pour fournir la rsolution des enregistrements DNS
extrieurs votre domaine, ceux pour lesquels vos serveurs DNS ne font pas
autorit.
Zone secondaire : la premire option consiste faire en sorte que les serveurs
fassent autorit en hbergeant une zone secondaire du domaine externe. Ceci
exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms
vers la zone. Donc, cette option ne convient gnralement pas pour les
domaines externes de votre entreprise.
Redirecteurs : les redirecteurs, traits la leon 2, sont des pointeurs vers des
serveurs DNS en amont, des serveurs DNS fournis par votre oprateur ISP ou
des serveurs DNS Internet. Votre serveur DNS peut envoyer des requtes aux
serveurs redirecteurs.
Si vous choisissez de pointer vers un serveur DNS autre que celui qui est gr
par vous ou votre oprateur ISP, il convient d'en demander l'autorisation avant
d'envoyer des requtes rcursives un serveur DNS tiers.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Indications de racine : les indications de racine pointent vers des serveurs de
noms de la racine de l'espace de noms DNS ( . ). Tout serveur DNS possde
la liste des serveurs racine. Cette liste est mise jour par Windows Update,
mais elle ne change pas souvent.
Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les
serveurs de noms qui doivent recevoir les requtes de noms de domaine
spcifiques. Tout redirecteur conditionnel cre un raccourci direct vers un
serveur pour demander un domaine, et il n'a pas besoin d'envoyer des
requtes rcursives un redirecteur (non conditionnel), ni d'aller jusqu' la
racine de l'espace de noms DNS avec une indication de racine.
Zone de stub : vous avez tudi les domaines de stub prcdemment dans ce
module, car ils peuvent tre utiliss sous forme de dlgation pour un
domaine enfant. Les domaines de stub peuvent s'avrer trs utiles pour
rsoudre les noms extrieurs votre entreprise. N'oubliez pas que le principal
avantage d'un domaine de stub est que le serveur DNS gre dynamiquement la
liste des serveurs de noms de ce domaine. Vous pouvez considrer les zones
de stub comme des redirecteurs conditionnels dynamiques. Le prix payer est
que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du
domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Zone de recherche inverse

Points cls
Alors qu'une requte DNS typique demande l'adresse IP d'un nom d'hte, une
recherche inverse demande le nom d'hte d'une adresse IP donne.
Tout nom complet est trait de droite gauche, de la partie la plus gnrique (telle
que .com) la plus spcifique (telle que technet). Cependant, une adresse IP est
plus gnrique gauche : le premier octet est le plus gnrique et le dernier est le
plus spcifique. Ainsi, pour envoyer une requte DNS avec une adresse IP, le client
inverse l'ordre des octets et ajoute un nom de domaine rserv, in-addr.arpa.
Donc, si un client veut connatre le nom d'hte de l'ordinateur dont l'adresse IP est
10.0.1.34, il demande 34.1.0.10.in-addr.arpa.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Si vous vous rappelez de la hirarchie du systme de noms de domaine, vous savez
que la racine est indique par un point ( . ), et en dessous se trouvent les
domaines les plus gnriques (domaines de niveau suprieur ou TLD). Au fur et
mesure que vous descendez dans la hirarchie, les noms deviennent plus
spcifiques. Le domaine in-addr.arpa est le TLD rserv aux recherches inverses.
En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci
suggre que DNS ne prend en charge que les masques de sous-rseau standard, o
le masque de sous-rseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dans
la totalit du rseau Internet, le serveur DNS Windows Server 2008 vous permet
de crer des zones de recherche inverse en sous-rseau si vous en avez besoin.
Comme les zones de recherche directe, les zones de recherche inverse ont des
enregistrements de ressource (RR). L'enregistrement le plus gnrique dans une
zone de recherche inverse est le Pointeur (PTR), dont le nom est dfini sur la
valeur du dernier octet de l'adresse IP d'un hte et les donnes de l'enregistrement
dfinies sur le nom complet de cet hte.
Comme les zones de recherche directe, les zones de recherche inverse prennent
en charge les mises jour dynamiques. Par dfaut, lorsque le serveur DHCP
Windows affecte une adresse IP un client, il inscrit galement l'enregistrement
PTR de ce client.
Les zones de recherche inverse ne sont pas obligatoires, mais sont
recommandes. Certaines applications et certains services utilisent les recherches
inverses en tant que vrification de scurit, pour valider l'identit d'un requte
provenant d'un client. L'application peut utiliser l'adresse IP du client pour
rechercher son enregistrement PTR. Ensuite, elle peut valider la correspondance
entre l'enregistrement A et l'hte. En supposant que les mises jour scurises sont
en place, cela garantit que la requte provient bien d'un client autoris.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Maintenance des zones et des serveurs DNS

Points cls
La gestion du rle de serveur DNS est pratiquement automatique. Cependant, une
fonctionnalit est importante pour le configurer dans une zone qui prenne en
charge les mises jour dynamiques : le nettoyage. Le nettoyage est le processus qui
consiste supprimer les enregistrements prims. Il est important non seulement
pour les enregistrements A des clients et des serveurs, mais galement, et encore
plus, pour les enregistrements SRV inscrits par des contrleurs de domaine. Dans
certains scnarios, il est possible d'avoir des enregistrements SRV qui font
rfrence des contrleurs de domaine incorrects, dplacs ou supprims. Le
nettoyage assure leur suppression dfinitive.
Pour les zones intgres Active Directory, vous pouvez implmenter le nettoyage
au niveau des zones ou des serveurs. La bote de dialogue des proprits du
serveur vous permet de dfinir ses paramtres de nettoyage et de premption, qui
sont des paramtres par dfaut pour les zones intgres Active Directory hritant
des proprits du serveur. Vous pouvez remplacer les paramtres par dfaut du
serveur zone par zone l'aide de la bote de dialogue des proprits d'une zone.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour les zones principales standard, vous devez dfinir le nettoyage au niveau des
zones.
Aprs avoir dfini les limites temporelles aprs lesquelles le nettoyage des
enregistrements est autoris, vous devez effectuer le nettoyage rel. Pour faciliter
cette opration de gestion, configurez le serveur pour un nettoyage automatique
dans l'onglet Avanc de la bote de dialogue Proprits du serveur. Vous pouvez
galement dclencher le nettoyage manuellement en cliquant du bouton droit sur
le serveur dans le composant logiciel enfichable Gestionnaire DNS.
Parmi les autres tches de maintenance parfois ncessaires pour le serveur se
trouvent l'affichage et la purge du cache. Cela devient utile lorsque vous dcouvrez
que les clients obtiennent des rsolutions incorrectes d'un serveur pour des zones
pour lesquelles il ne fait pas autorit. Vous pouvez afficher les Recherches mises en
cache d'un serveur en cliquant sur le menu Affichage du composant logiciel
enfichable Gestionnaire DNS et en slectionnant Fonctionnalits avances. Vous
pouvez alors vider le cache du serveur, si ncessaire, en cliquant du bouton droit
sur le nud de ce serveur ou sur le nud Recherches mises en cache dans
l'arborescence de la console.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Test et dpannage des serveurs DNS

Points cls
Les vnements DNS sont consigns dans le journal DNS, qui s'affiche dans le
Gestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des vnements.
Comme pour les autres journaux d'vnements de Windows Server 2008, vous
pouvez centraliser la collecte des vnements l'aide d'abonnements, traits dans
le Module 13. Il s'agit d'une pratique recommande, car elle vous permet de
surveiller depuis un emplacement central tout signe de dysfonctionnement dans
votre infrastructure DNS.
Parfois, il peut tre utile d'effectuer la journalisation du dbogage, qui consigne les
dtails des transactions DNS. Vous pouvez activer la journalisation du dbogage
dans la bote de dialogue Proprits du serveur.
Dans cette mme bote de dialogue Proprits du serveur, vous pouvez galement
excuter des requtes rcursives et itratives des fins de test. Ainsi, vous pouvez
vrifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et les
indications de racine fonctionnent comme prvu.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

L'intgration entre DNS et AD DS a t dtaille dans la leon 3. La commande
dcdiag.exe /test:DNS excute une srie de tests exhaustifs pour s'assurer que cette
intgration est oprationnelle. Si vous suspectez un problme spcifique, vous
pouvez effectuer des tests plus granulaires. Pour plus de dtails, tapez dcdiag.exe /?.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Test et dpannage des clients DNS

Points cls
En fin de compte, DNS et le rle de serveur DNS concernent la rsolution des
requtes des clients. Parfois, vous devez rsoudre les problmes de satisfaction des
clients et des composants de DNS.
Pour dpanner le ct client du systme DNS, vous pouvez utiliser les commandes
suivantes.
ipconfig /all : cette commande affiche la configuration IP du client, y compris
ses serveurs DNS. Vrifiez que le client utilise les serveurs corrects, et que ces
derniers sont accessibles.
NSLookup : cette commande excute directement des requtes DNS. En
gnral, un test avec NSLookup comprend les lments suivants :
set server=adresse IP
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cette commande dsigne le serveur DNS interroger. Par dfaut, il s'agit du
serveur DNS principal du client. la rception d'une rponse, NSLookup
identifie le serveur qui a rpondu. Si aucune zone de recherche inverse n'est
disponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS,
le nom du serveur DNS apparat comme Inconnu, mais son adresse IP est
identifie. La prochaine ligne est la suivante :
set type=type d'enregistrement
Cette ligne dfinit le type d'enregistrements interroger, par exemple SRV. Le
paramtre par dfaut est A (adresse/hte). La dernire ligne est la suivante :
enregistrement
Cela dsigne l'enregistrement interroger, gnralement un nom de domaine
complet lorsque la rsolution d'un enregistrement A est teste.
Ipconfig/displaydns : cette commande affiche le contenu du cache de
rsolution DNS dans le client.
ipconfig /flushdns : cette commande purge le cache de rsolution DNS du
client.
ipconfig /registerdns : cette command dclenche une mise jour dynamique
dans laquelle le client inscrit ses enregistrements A.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique B : Configuration avance du
systme DNS

Scnario
Vous tes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez amliorer le
fonctionnement et l'efficacit de votre infrastructure DNS en activant le nettoyage
et en crant une zone de recherche inverse pour le domaine. Vous souhaitez
galement examiner les enregistrements qui permettent aux clients de localiser les
contrleurs de domaine. Pour finir, vous tes charg de configurer la rsolution des
noms entre contoso.com et le domaine d'une socit partenaire, tailspintoys.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Activation du nettoyage des zones DNS
Dans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimer
les enregistrements de ressource prims.
2. Activer le nettoyage d'une zone DNS.
3. Configurer les paramtres par dfaut du nettoyage.

Certains des ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier
pratique A. Toutefois, s'ils ont t arrts, terminez les Exercices 1 et 2 de l'Atelier
pratique A avant de continuer car il existe des dpendances entre les Ateliers
pratiques A et B.
2. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec
le mot de passe Pa$$w0rd.
3. Ouvrez D:\Labfiles\Lab10b.
4. Excutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte
Administrator et le mot de passe Pa$$w0rd.
5. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin,
appuyez sur une touche quelconque.
6. Fermez la fentre de l'Explorateur Windows, Lab10b.
9. Dmarrez 6238B-TSTDC01-A.
10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passe
Pa$$w0rd.
11. Dmarrez 6238B-BRANCHDC01-B.
12. Patientez jusqu' la fin du dmarrage de BRANCHDC01 avant de poursuivre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 2 : Activation du nettoyage d'une zone DNS
2. Activez le nettoyage pour la zone contoso.com. Acceptez les paramtres par
dfaut pour les intervalles de nettoyage.

Tche 3 : Configuration des paramtres par dfaut du nettoyage
Configurez HQDC02 de sorte que, par dfaut, le nettoyage soit activ pour
toutes les zones. Acceptez les paramtres par dfaut pour les intervalles de
nettoyage.

Rsultats : la fin de cet exercice, vous aurez configur le nettoyage du domaine
contoso.com et activ le nettoyage par dfaut de toutes les zones.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Cration de zones de recherche inverse
Dans cet exercice, vous allez cr une zone de recherche inverse pour le domaine
contoso.com.
1. Crer une zone de recherche inverse.
2. Vrifier le fonctionnement d'une zone de recherche inverse.

Tche 1 : Cration d'une zone de recherche inverse
Crez une zone de recherche inverse pour le rseau IPv4 10. Autorisez
uniquement les mises jour dynamiques scurises, et rpliquez la zone dans
tous les contrleurs du domaine contoso.com.

Remarque : dans un environnement de production, vous vous contenteriez de la
rpliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique,
vous allez la rpliquer dans tous les contrleurs de domaine pour assurer une rplication
rapide et sre.
Tche 2 : Vrification du fonctionnement d'une zone de recherche
inverse
2. Tapez nslookup www.development.contoso.com, puis appuyez sur Entre.
Notez que la premire section du rsultat de la commande, qui dsigne le
serveur DNS interrog, indique l'adresse IP du serveur mais, ct de Serveur,
elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe
ne peut pas rsoudre l'adresse IP en nom.
4. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous
Zones de recherche inverse.
5. Examinez les enregistrements de cette zone.
6. Revenez l'invite de commandes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

7. Tapez ipconfig /egisterdns, puis appuyez sur Entre.
9. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.
10. Examinez les enregistrements de ressource qui sont apparus.
Notez que le serveur DNS interrog l'adresse 10.0.0.12 est dsormais rsolu
par son nom.

Rsultats : la fin de cet exercice, vous aurez cr une zone de recherche inverse et
test son fonctionnement.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 3 : Exploration de l'emplacement des contrleurs
de domaine
Dans cet exercice, vous allez examiner les enregistrements de ressource qui
permettent aux clients de localiser des contrleurs de domaine.
1. Explorer le domaine _tcp.
2. Explorer le domaine _tcp.brancha._sites.contoso.com.

Tche 1 : Exploration du domaine _tcp
Examinez les enregistrements du domaine _tcp.contoso.com. Que
reprsentent-ils ?

Tche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com
Examinez les enregistrements du domaine _tcp.brancha._sites.contoso.com.
Que reprsentent-ils ?

Rsultats : la fin de cet exercice, vous aurez examin les enregistrements SRV du
domaine contoso.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 4 : Configuration de la rsolution des noms pour
des domaines externes
Dans cet exercice, vous allez configurer la rsolution des noms entre deux
domaines entirement distincts.
1. Configurer une zone de stub.
2. Configurer un redirecteur conditionnel.
3. Valider la rsolution des noms pour des domaines externes.

Tche 1 : Configuration d'une zone de stub
Dans HQDC02, crez une zone de stub pour tailspintoys.com qui renvoie
l'adresse IPv4 10.0.0.31 pour le serveur matre.

Tche 2 : Configuration d'un redirecteur conditionnel
1. Dans TSTDC01, excutez le Gestionnaire DNS en tant qu'administrateur, avec
le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd.
2. Pour le domaine contoso.com, crez un redirecteur conditionnel qui renvoie
l'adresse IPv4 10.0.0.11.

Tche 3 : Validation de la rsolution des noms pour des domaines
externes
1. Dans TSTDC01, ouvrez une invite de commande et tapez nslookup
www.development.contoso.com, puis appuyez sur Entre. Cette commande
doit renvoyer l'adresse 10.0.0.24.
2. Basculez dans le Gestionnaire DNS et crez un enregistrement d'hte (A) pour
www.tailspintoys.com qui renvoie 10.0.0.143.
3. Dans HQDC02, ouvrez une invite de commande et tapez nslookup
www.tailspintoys.com, puis appuyez sur Entre. Cette commande doit
renvoyer l'adresse 10.0.0.143.

Rsultats : la fin de cet exercice, vous aurez configur la rsolution des noms DNS
entre les domaines contoso.com et tailspintoys.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les
disques d'annulation.
Question : Dans cet atelier, vous avez utilis une zone de stub et un redirecteur
conditionnel pour fournir la rsolution des noms entre deux domaines distincts.
Quelles autres options auriez-vous pu choisir ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS) 11-1

Module 11
Administration des contrleurs de domaine des
Services de domaine Active Directory (AD DS)
Table des matires :
Leon 1 : Options d'installation des contrleurs de domaine 11-4
Atelier pratique A : Installation des contrleurs de domaine 11-33
Leon 2 : Installation d'un contrleur de domaine Server Core 11-41
Atelier pratique B : Installation d'un contrleur de domaine Server Core 11-50
Leon 3 : Gestion des matres d'oprations 11-55
Atelier pratique C : Transfert des rles de matre d'oprations 11-74
Leon 4 : Configuration de la rplication DFSR du dossier SYSVOL 11-79
Atelier pratique D : Configuration de la rplication DFSR du dossier
SYSVOL 11-87

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T


Les contrleurs de domaine hbergent le service d'annuaire et excutent les
services qui assurent la gestion des identits et des accs dans une entreprise
Windows. ce stade du cours, vous avez appris prendre en charge les
composants logiques et de gestion d'une infrastructure de service d'annuaire Active
Directory : utilisateurs, groupes, ordinateurs et Stratgie de groupe. Chacun de ces
composants est stock dans la base de donnes de l'annuaire et dans le volume
SYSVOL des contrleurs de domaine. Dans ce module, vous allez commencer
tudier les composants de niveau de service d'Active Directory, en commenant par
les contrleurs de domaine eux-mmes. Vous apprendrez ajouter des contrleurs
de domaine Windows Server 2008 une fort ou un domaine, prparer une
fort ou un domaine Windows Server 2003 pour son premier contrleur de
domaine Windows Server 2008, grer les rles excuts par les contrleurs de
domaine et migrer la rplication du volume SYSVOL du Service de rplication de
fichiers (FRS) utilis dans les versions prcdentes de Windows vers le mcanisme
de Rplication du systme de fichiers distribus (DFS) assurant une rplication
plus robuste et plus facile grer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
installer un contrleur de domaine standard ou en lecture seule dans des
arborescences ou des domaines, nouveaux ou existants ;
ajouter et supprimer des contrleurs de domaine l'aide de diverses mthodes
d'interface graphique utilisateur ou de ligne de commande ;
configurer un contrleur de domaine sur Server Core ;
comprendre et identifier les rles de matre d'oprations ;
grer l'emplacement, le transfert et la cessation des rles de matre
d'oprations ;
migrer la rplication SYSVOL du Service de rplication de fichiers (FRS) vers la
Rplication du systme de fichiers distribu (DFSR).

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 1
Options d'installation des contrleurs de
domaine

Au Module 1, Prsentation des Services de domaine Active Directory , vous avez
utilis l'Assistant Ajout de rles du Gestionnaire de serveur pour installer les
Services de domaine Active Directory (AD DS). Vous avez ensuite utilis l'Assistant
Installation des services de domaine Active Directory pour crer le premier
contrleur de domaine de la fort contoso.com. Les contrleurs de domaine tant
essentiels pour l'authentification, il est fortement recommand d'en utiliser au
moins deux dans chaque domaine de votre fort afin d'assurer un niveau suffisant
de tolrance de panne en cas de dfaillance de l'un d'entre eux. Vous serez peut-
tre galement amen ajouter des contrleurs de domaine des sites distants ou
crer de nouveaux domaines ou de nouvelles arborescences dans votre fort
Active Directory. Dans cette leon, vous allez apprendre utiliser trois mthodes
(interface utilisateur, ligne de commande et sans assistance) pour installer des
contrleurs de domaine dans divers scnarios.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
installer un contrleur de domaine l'aide de l'interface Windows, des
paramtres de ligne de commande de la commande dcpromo.exe ou d'un
fichier de rponses pour une installation sans assistance ;
ajouter des contrleurs de domaine Windows Server 2008 dans un domaine
ou une fort dot(e) de contrleurs de domaine Windows Server 2003 et
Windows 2000 Server ;
crer de nouveaux domaines et de nouvelles arborescences ;
excuter l'installation intermdiaire d'un contrleur de domaine en lecture
seule ;
installer un contrleur de domaine partir d'un support d'installation afin de
rduire la rplication rseau ;
supprimer un contrleur de domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'un contrleur de domaine avec l'interface
Windows

Points cls
L'installation d'un contrle de domaine avec l'interface Windows comprend deux
tapes majeures. D'abord, vous devez installer le rle AD DS qui, comme vous
l'avez tudi au Module 1 Prsentation des Services de domaine Active
Directory , peut tre effectu via l'Assistant Ajout de rles du Gestionnaire de
serveur. Lorsque l'installation du rle AD DS a copi les fichiers binaires
ncessaires au rle sur le serveur, vous devez installer et configurer AD DS en
lanant l'Assistant Installation des services de domaine Active Directory, l'aide de
l'une des mthodes suivantes :
Cliquez sur Dmarrer et tapez dcpromo dans le champ Rechercher. Cliquez
ensuite sur OK. Une fois l'Assistant Ajout de rles termin, cliquez sur le lien
Assistant Installation des services de domaine Active Directory.
Lorsque le rle AD DS a t ajout, des liens s'affichent dans le Gestionnaire de
serveur pour vous rappeler d'excuter l'Assistant Installation des services de
domaine Active Directory. Cliquez sur l'un de ces liens.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server
2008 met en vidence le modle base de rles et vous recommande d'ajouter le rle
AD DS, puis d'excuter la commande Dcpromo.exe (l'Assistant Installation des services de
domaine Active Directory). Vous pouvez cependant vous contenter d'excuter
Dcpromo.exe et, au cours de la premire tape, l'Assistant s'apercevra que les fichiers
binaires AD DS ne sont pas installs et ajoutera automatiquement le rle AD DS.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fichier de rponses et options d'installation sans assistance

Points cls
Vous pouvez galement ajouter ou supprimer un contrleur de domaine au niveau de
la ligne de commande, via l'installation sans assistance prise en charge par la version
Windows Server 2008 de la commande dcpromo.exe. Les options de l'installation
sans assistance fournissent les valeurs ncessaires l'Assistant Installation des services
de domaine Active Directory. Par exemple, l'option NewDomainDNSName spcifie le
nom de domaine complet (FQFN) d'un nouveau domaine.
Ces options peuvent tre fournies la ligne de commande en tapant dcpromo
/OptionSansAssistance:valeur, par exemple, dcpromo
/newdomaindnsname:contoso.com. Vous pouvez galement fournir ces options
dans un fichier de rponses d'installation sans assistance. Le fichier de rponses est
un fichier texte qui contient un titre de section, [DCINSTALL], suivi des options et
de leurs valeurs au format option=valeur. Le fichier suivant, par exemple, fournit
l'option NewDomainDNSName :
[DCINSTALL]
NewDomainDNSName=contoso.com
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le fichier de rponses est appel en ajoutant son chemin d'accs dans le paramtre
unattend, par exemple :
dcpromo /unattend:"chemin d'accs du fichier de rponses"
Les options du fichier de rponses peuvent tre remplaces par des paramtres sur
la ligne de commande. Par exemple, si l'option NewDomainDNSName est spcifie
dans le fichier de rponses et que le paramtre /NewDomainDNSName est utilis
sur la ligne de commande, la valeur de ce paramtre est prioritaire. Lorsque l'une
des valeurs requises n'est dfinie ni dans le fichier de rponses, ni sur la ligne de
commande, l'Assistant Installation des services de domaine Active Directory vous
invite dfinir les rponses. Vous pouvez donc utiliser le fichier de rponses pour
automatiser partiellement l'installation, en fournissant un sous-ensemble de
valeurs de configuration utiliser pendant l'installation interactive.
L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est excute
depuis la ligne de commande de Server Core. Dans ce cas, la commande
dcpromo.exe renvoie un code d'erreur.
Pour obtenir la liste complte des paramtres que vous pouvez spcifier dans le
cadre d'une installation sans assistance de AD DS, ouvrez une invite de commande
leve et tapez la commande suivante :
dcpromo /?[:opration]
o opration correspond l'un des lments suivants :
Promotion renvoie tous les paramtres utilisables lors de la cration d'un
contrleur de domaine.
CreateDCAccount renvoie tous les paramtres utilisables lors de la cration
d'un compte prdfini pour un Contrleur de domaine en lecture seule
(RODC, Read-Only Domain Controller).
UseExistingAccount renvoie tous les paramtres utilisables pour relier un
nouveau contrleur de domaine un compte RODC prdfini.
Demotion renvoie tous les paramtres utilisables pour supprimer un

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarque : gnrez un fichier de rponses. Lorsque vous utilisez l'interface Windows
pour crer un contrleur de domaine, la page Rsum de l'Assistant Installation des
services de domaine Active Directory vous permet d'exporter vos paramtres dans un
fichier de rponses. Si vous devez crer un fichier de rponses utiliser depuis la ligne de
commande (par exemple, sur une installation Server Core), ce raccourci vous permet de
crer un fichier de rponses contenant les options et les valeurs appropries.
Les rfrences compltes des paramtres de la commande dcpromo et des
options d'installation sans assistance sont disponibles l'adresse :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'une nouvelle fort Windows Server 2008

Points cls
Le Module 1, Prsentation des Services de domaine Active Directory prsentait
l'installation du premier contrleur de domaine Windows Server 2008 dans une
nouvelle fort, via l'interface Windows. Dans ce module, vous avez tudi la
procdure dtaille permettant d'ajouter le rle AD DS un serveur l'aide du
Gestionnaire de serveur, puis d'excuter la commande Dcpromo.exe pour
promouvoir le serveur en contrleur de domaine. Lorsque vous crez un nouveau
domaine racine dans une fort, vous devez spcifier le nom DNS de ce domaine,
son nom NetBIOS et les niveaux fonctionnels du domaine et de la fort. Le premier
contrleur de domaine ne peut pas tre en lecture seule et doit tre un serveur de
Catalogue global (GC). Si l'Assistant Installation des services de domaine Active
Directory s'aperoit qu'il est ncessaire d'installer et de configurer le systme DNS,
il le fait automatiquement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vous pouvez galement utiliser un fichier de rponses en tapant dcpromo
/unattend:"chemin d'accs du fichier de rponses" (celui contenant les options et les
valeurs de l'installation sans assistance). L'exemple suivant contient les paramtres
minimaux pour l'installation sans assistance d'un nouveau contrleur de domaine
Windows Server 2008 dans une nouvelle fort :
[DCINSTALL]
ReplicaOrNewDomain=domain
NewDomain=forest
NewDomainDNSName=nom DNS complet
DomainNetBiosName=nom NetBIOS du domaine
ForestLevel={0=Windows 2000 Server Native;
2=Windows Server 2003 Native;
3=Windows Server 2008}
DomainLevel={0=Windows Server 2000 Native;
2=Windows Server 2003 Native;
3=Windows Server 2008}
InstallDNS=yes
DatabasePath="chemin d'accs au dossier dans un volume local"
LogPath="chemin d'accs au dossier dans un volume local"
SYSVOLPath="chemin d'accs au dossier dans un volume local"
SafeModeAdminPassword=mot de passe
RebootOnCompletion=yes
Vous pouvez galement spcifier un ou plusieurs paramtres et valeurs
d'installation sans assistance sur la ligne de commande. Par exemple, si vous ne
voulez pas du mot de passe du Mode de restauration des services d'annuaire dans
le fichier de rponses, ne renseignez pas l'entre et spcifiez le paramtre
/SafeModeAdminPassword:mot de passe lorsque vous excutez la commande
dcpromo.exe.
Vous pouvez galement inclure toutes les options sur la ligne de commande elle-
mme. L'exemple suivant cre le premier contrleur de domaine d'une nouvelle
fort dans laquelle vous n'envisagez pas d'installer de contrleurs de domaine
Windows Server 2003 :
dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes
/replicaOrNewDomain:domain /newDomain:forest
/newDomainDnsName:contoso.com /DomainNetbiosName:contoso
/databasePath:"e:\ntds" /logPath:"f:\ntdslogs"
/sysvolpath:"g:\sysvol"
/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3
/rebootOnCompletion:yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Prparation d'un domaine existant aux contrleurs de domaine
Windows Server 2008

Points cls
Si vous avez une fort existante dote de contrleurs de domaine excutant
Windows Server 2003 ou Windows 2000 Server, vous devez les prparer avant de
crer votre premier contrleur de domaine Windows Server 2008.
La commande ADPrep permet de prparer Active Directory un contrleur de
domaine excutant une version de Windows Server plus rcente que celle excute
par les contrleurs de domaine existants dans la fort ou le domaine. Adprep.exe
est un outil de ligne de commande inclus dans le disque d'installation de chaque
version de Windows Server. Adprep.exe excute les oprations effectuer dans un
environnement Active Directory existant avant de pouvoir ajouter un contrleur de
domaine fonctionnant sous cette version de Windows Server.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Les paramtres de la commande Adprep.exe excutent diverses oprations qui
prparent l'environnement Active Directory existant un contrleur de domaine
excutant une version plus rcente de Windows Server. Toutes les versions de la
commande Adprep.exe n'excutent pas les mmes oprations, mais les diffrents
types d'oprations incluent gnralement les suivants :
mise jour du schma Active Directory ;
mise jour des descripteurs de scurit ;
modification des listes de contrle d'accs (ACL) des objets Active Directory et
des fichiers du dossier partag SYSVOL ;
cration de nouveaux objets, selon les besoins ;
cration de nouveaux conteneurs, selon les besoins.

Pour prparer la fort au premier contrleur de domaine excutant Windows
Server 2008, procdez comme suit :
1. Ouvrez une session sur le contrleur de schma en tant que membre des
groupes Administrateurs de l'entreprise, Administrateurs du schma et
Administrateurs du domaine.
La leon 3 prsente les matres d'oprations et la procdure qui permet
d'identifier le contrleur de domaine correspondant au contrleur de schma.
2. Copiez le contenu du dossier \sources\adprep du DVD d'installation de
Windows Server 2008 dans un dossier du contrleur de schma.
3. Ouvrez une invite de commande leve et placez-vous dans le dossier adprep.
4. Tapez adprep /forestprep et appuyez sur ENTRE.

Patientez jusqu' la fin de l'opration. Ds que les modifications sont rpliques
dans toute la fort, vous pouvez continuer prparer les domaines pour Windows
Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour prparer un domaine au premier contrleur de domaine excutant Windows
Server 2008, procdez comme suit :
1. Ouvrez une session sur le matre d'oprations de l'infrastructure du domaine
en tant que membre du groupe Administrateurs du domaine.
La leon 3 dcrit la procdure qui permet d'identifier le contrleur de domaine
correspondant au matre d'oprations de l'infrastructure.
Windows Server 2008 dans un dossier du matre d'infrastructure.
3. Ouvrez une invite de commande et placez-vous dans le dossier adprep.
4. Tapez adprep /domainprep /gpprep et appuyez sur ENTRE.

Sous Windows Server 2003, un message peut vous signaler que les mises jour
taient inutiles. Vous pouvez ignorer ce message.
Autorisez la rplication de la modification dans toute la fort avant d'installer un
contrleur de domaine excutant Windows Server 2008.
Pour prparer AD DS au premier contrleur de domaine en lecture seule (RODC),
procdez comme suit :
1. Ouvrez une session sur un ordinateur quelconque en tant que membre du
groupe Administrateurs de l'entreprise.
Windows Server 2008 dans un dossier de l'ordinateur.
3. Ouvrez une invite de commande leve et placez-vous dans le dossier adprep.
4. Tapez adprep /rodcprep et appuyez sur ENTRE.

RODCPREP, tout moment. Vous pouvez galement excuter la commande
adprep /rodcprep tout moment dans une fort Windows 2000 Server ou
Windows Server 2003. Cette commande ne doit pas obligatoirement tre excute
avec /forestprep. Vous devez toutefois l'excuter et autoriser la rplication de ses
modifications dans toute la fort avant d'installer le premier contrleur de domaine
en lecture seule.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Excution de la commande Adprep.exe :
Commande ADPrep :
Windows Server 2008 : Annexe des modifications apportes la commande
Adprep.exe pour la prise en charge de AD DS :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'un contrleur de domaine supplmentaire
dans un domaine

Points cls
Il est possible d'ajouter d'autres contrleurs de domaine en installant AD DS et en
lanant l'Assistant Installation des services de domaine Active Directory. Vous tes
dans ce cas invit choisir la configuration du dploiement, saisir des
informations d'identification rseau, slectionner un domaine et un site pour le
nouveau contrleur de domaine et configurer le contrleur de domaine avec
d'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrleur de
domaine en lecture seule (RODC). Les tapes restantes sont les mmes que pour le
premier contrleur de domaine : configuration des emplacements de fichiers et du
mot de passe administrateur de restauration des services d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsqu'un domaine comprend un contrleur de domaine et que vous cochez la
case Utiliser l'installation en mode avanc de la page d'accueil de l'Assistant
Installation des services de domaine Active Directory, vous pouvez configurer les
options avances, notamment :
Installation partir du support : par dfaut, un nouveau contrleur de
domaine rplique toutes les donnes de toutes les partitions de l'annuaire qu'il
hbergera partir d'autres contrleurs de domaine pendant l'excution de
l'Assistant Installation des services de domaine Active Directory. Pour
amliorer les performances de l'installation, en particulier dans le cas de
liaisons lentes, vous pouvez utiliser le support d'installation cr par les
contrleurs de domaine existants. Ce support d'installation est une forme de
sauvegarde. Le nouveau contrleur de domaine est capable de lire les donnes
directement partir du support d'installation, puis il ne rplique que les mises
jour issues d'autres contrleurs de domaine. L'Installation partir du
support (IFM) est dtaille la section Installation des services de domaine
Active Directory partir du support .
Contrleur de domaine source : si vous voulez dsigner le contrleur de
domaine partir duquel le nouveau contrleur de domaine rplique ses
donnes, cliquez sur Utiliser ce contrleur de domaine spcifique.

Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous Windows
Server 2003, la commande dcpromo /adv permettait de dfinir des options d'installation
avances. Le paramtre adv est toujours pris en charge. Il prslectionne l'option Utiliser
l'installation en mode avanc de la page d'accueil.
Pour utiliser la commande Dcpromo.exe avec des paramtres de ligne de
commande pour spcifier des options d'installation sans assistance, vous pouvez
utiliser les paramtres minimaux illustrs dans l'exemple suivant :
dcpromo /unattend /replicaOrNewDomain:replica
/replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes
/safeModeAdminPassword:password /rebootOnCompletion:yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Si vous n'tes pas connect au serveur avec des informations d'identification de
domaine, spcifiez galement les paramtres domaineUtilisateur et nomUtilisateur.
Voici un fichier de rponses minimal pour ajouter un contrleur de domaine
supplmentaire dans un domaine existant :
[DCINSTALL]
ReplicaOrNewDomain=replica
ReplicaDomainDNSName=nom complet du domaine joindre
UserDomain=nom complet du domaine du compte utilisateur
UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine)
Password=mot de passe de l'utilisateur spcifi par UserName (* pour
l'invite)
InstallDNS=yes
ConfirmGC=yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'un nouveau domaine enfant Windows Server
2008

Points cls
Si vous avez dj un domaine existant, vous pouvez crer un nouveau domaine
enfant en crant un contrleur de domaine Windows Server 2008. Avant
d'effectuer cette opration, toutefois, vous devez excuter la commande adprep
/forestprep selon les descriptions de la section prcdente, Prparation d'un
domaine existant aux contrleurs de domaine Windows Server 2008 .
Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine
Active Directory, puis cliquez sur Fort existante et Crer un nouveau domaine
dans une fort existante dans la page Choisissez une configuration de
dploiement. Vous tes alors invit slectionner le niveau fonctionnel du
domaine. Comme il s'agit du premier contrleur du domaine, il ne peut pas tre en
lecture seule et ne peut pas tre install partir du support. Si vous cochez la case
Utiliser l'installation en mode avanc de la page d'accueil, l'Assistant prsente la
page Contrleur de domaine source qui vous permet de dfinir le contrleur de
domaine partir duquel s'effectuera la rplication de la configuration et des
partitions du schma.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

La commande dcpromo.exe permet de crer un domaine enfant avec les options
minimales illustres dans la commande suivante :
dcpromo /unattend /installDNS:yes
/replicaOrNewDomain:domain /newDomain:child
/ParentDomainDNSName:contoso.com
/newDomainDnsName:subsidiary.contoso.com /childName:subsidiary
/DomainNetbiosName:subsidiary
/safeModeAdminPassword:password /forestLevel:3 /domainLevel:3
Ces mmes paramtres minimaux se refltent dans le fichier de rponses suivant :
[DCINSTALL]
NewDomain=child
ParentDomainDNSName=nom complet du domaine parent
UserDomain=nom complet de l'utilisateur spcifi par UserName
UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine
enfant)
Password=mot de passe de l'utilisateur spcifi par UserName ou * pour
l'invite
ChildName=prfixe en une partie du domaine
(le nom complet du domaine enfant sera
NomEnfant.NomCompletDomaineParent)
DomainNetBiosName=nom NetBIOS du domaine
DomainLevel=niveau fonctionnel du domaine (non infrieur au niveau
actuel de la fort)
InstallDNS=yes
CreateDNSDelegation=yes
DNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de
crer
une dlgation DNS, si diffrent de UserName, ci-dessus
DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour
l'invite
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'une nouvelle arborescence de domaine dans
une fort

Points cls
Au Module 1, Prsentation des Services de domaine Active Directory , vous avez
appris que, dans une fort Active Directory, l'arborescence se composait d'un ou de
plusieurs domaines partageant un espace de noms DNS contigu. Par exemple, les
domaines contoso.com et subsidiary.contoso.com seraient placs dans une mme
arborescence.
Les autres arborescences correspondent simplement d'autres domaines de la
mme fort mais qui n'appartiennent pas au mme espace de noms. Par exemple,
si la socit Contoso faisait l'acquisition de la socit Tailspin Toys, le domaine
tailspintoys.com serait dans une autre arborescence du domaine. D'un point de vue
fonctionnel, il n'existe que trs peu de diffrence entre un domaine enfant et un
domaine d'une autre arborescence, et la procdure de cration d'une nouvelle
arborescence est, par consquent, trs proche de celle d'un domaine enfant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

D'abord, vous devez excuter la commande adprep /forestprep selon les
descriptions de la section prcdente, Prparation d'un domaine existant aux
contrleurs de domaine Windows Server 2008 . Vous pouvez ensuite installer AD
DS et excuter l'Assistant Installation des services de domaine Active Directory.
Dans la page d'accueil de l'Assistant, vous devez slectionner Utiliser l'installation
en mode avanc. Dans la fentre Choisissez une configuration de dploiement,
cliquez sur Fort existante, slectionnez Crer un nouveau domaine dans une fort
existante, puis Crer une nouvelle racine d'arborescence de domaine au lieu d'un
nouveau domaine enfant. La suite de la procdure est la mme que pour la
cration d'un nouveau domaine enfant.
Les options suivantes, fournies sous forme de paramtres de la commande
dcpromo.exe, crent une nouvelle arborescence pour le domaine tailspintoys.com
dans la fort contoso.com :
dcpromo /unattend /installDNS:yes
/replicaOrNewDomain:domain /newDomain:tree
/newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys
/safeModeAdminPassword:password /domainLevel:2
Le niveau fonctionnel du domaine tant configur sur 2 (Windows Server 2003
Natif), le domaine peut inclure des contrleurs de domaine Windows Server 2003.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Voici un fichier de rponses d'installation sans assistance qui cre la mme
arborescence :
[DCINSTALL]
NewDomain=tree
NewDomainDNSName=nom complet du nouveau domaine
DomainNetBiosName=nom NetBIOS du nouveau domaine
UserName=DOMAINE\nomUtilisateur (avec autorisation de crer un nouveau
domaine)
Password=mot de passe de l'utilisateur spcifi par UserName ou * pour
l'invite
DomainLevel=niveau fonctionnel du domaine (non infrieur au niveau
actuel de la fort)
InstallDNS=yes
ConfirmGC=yes
CreateDNSDNSDelegation=yes
DNSDelegationUserName=compte avec autorisation de crer une dlgation
DNS
requis uniquement si diffrent de UserName, ci-dessus
DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour
l'invite
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation intermdiaire d'un contrleur de domaine en
lecture seule

Points cls
Comme vous l'avez vu au Module 9, Amlioration de la scurit de
l'authentification dans un domaine Services de domaine Active Directory (AD DS) ,
les contrleurs de domaine en lecture seule sont conus pour prendre en charge les
scnarios de filiales en assurant une authentification locale pour le site tout en
rduisant les risques de scurit et d'intgrit des donnes associs au placement
d'un contrleur de domaine dans un environnement moins bien contrl. Le plus
souvent, la filiale ne dispose que d'un personnel informatique trs limit, voire pas
du tout. Dans ce cas, comment crer un contrleur de domaine dans une filiale ?
Pour rpondre cette question, Windows Server 2008 vous permet de crer une
installation intermdiaire, ou dlgue, d'un contrleur de domaine en lecture
seule. La procdure comprend deux tapes :
Cration du compte du contrleur de domaine en lecture seule (RODC) : un
membre du groupe Admins du domaine cre un compte pour le RODC dans
Active Directory. Les paramtres lis au RODC sont spcifis ce stade : le nom,
le site Active Directory dans lequel le RODC sera cr et, ventuellement,
l'utilisateur ou le groupe autoris excuter l'a prochaine tape de l'installation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Association du serveur au compte RODC : une fois le compte cr, AD DS est
install. Le serveur, qui doit tre membre d'un groupe de travail et non du
domaine, est alors li au domaine et au compte prdfini en tant que RODC.
Ces tapes peuvent tre effectues par les utilisateurs ou les groupes dfinis
lors de la cration du compte intermdiaire du RODC. Ces utilisateurs n'ont
pas besoin d'appartenir un groupe avec privilges. Un membre du groupe
Administrateurs du domaine ou Administrateurs de l'entreprise peut
galement associer un serveur, mais la dlgation potentielle de cette phase
un utilisateur sans privilge simplifie grandement le dploiement des RODC
dans les filiales non dotes de service informatique. Le contrleur de domaine
rpliquera ses donnes partir d'un autre contrleur du domaine inscriptible.
La mthode IFM prsente la section Installation des services de domaine
Active Directory partir du support peut galement tre utilise.

Cration du compte intermdiaire du RODC
Pour crer le compte du RODC dans le composant logiciel enfichable Utilisateurs
et ordinateurs Active Directory, cliquez du bouton droit sur l'unit d'organisation
Contrleurs de domaine et choisissez Crer au pralable un compte de contrleur
de domaine en lecture seule. L'Assistant qui s'affiche ressemble beaucoup
l'Assistant Installation des services de domaine Active Directory. Il vous invite
spcifier le nom et le site du RODC. Vous pouvez galement configurer la stratgie
de rplication des mots de passe, selon les instructions du Module 9,
Amlioration de la scurit de l'authentification dans un domaine Services de
domaine Active Directory (AD DS) .
La page Dlgation de l'installation et de l'administration du contrleur de
domaine en lecture seule (RODC), vous permet de spcifier une entit de scurit,
utilisateur ou groupe, pouvant associer le serveur au compte du RODC que vous
crez. L'utilisateur ou le groupe disposera de droits d'administration sur le RODC
aprs l'installation. Il est recommand de dsigner un groupe plutt qu'un
utilisateur. Si vous ne dsignez pas un utilisateur ou un groupe, seuls les membres
des groupes Administrateurs du domaine ou Administrateurs de l'entreprise
peuvent associer le serveur au compte.
Vous pouvez crer des comptes RODC prdfinis en utilisant la commande
dcpromo.exe avec de nombreux paramtres ou en crant un fichier de rponses
pour la commande dcpromo.exe. Vous trouverez la procdure approprie
l'adresse : http://go.microsoft.com/fwlink/?LinkId=168471.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Association d'un serveur un compte RODC prdfini

Points cls
Une fois le comte prdfini, vous pouvez lui associer un serveur.
Pour associer un serveur un compte RODC prdfini :
1. Vrifiez que le serveur est membre d'un groupe de travail et non du domaine.
Promotion partir d'un groupe de travail. Lorsque vous crez un RODC par
l'approche intermdiaire (c'est--dire lorsque vous associez un RODC un
compte prdfini), le serveur doit tre membre d'un groupe de travail, pas du
domaine, lorsque vous lancez la commande dcpromo.exe ou l'Assistant
Installation des services de domaine Active Directory. L'Assistant recherchera
le compte existant par son nom dans le domaine et l'associera ce compte.
2. Excutez dcpromo.exe /UseExistingAccount:attach.
L'Assistant vous demande des informations d'identification rseau, puis
localise le compte RODC dsign par ces informations dans le domaine. Les
tapes restantes sont les mmes que pour les autres oprations de promotion
de contrleurs de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour utiliser un fichier de rponses, fournissez les options et valeurs suivantes :
[DCINSTALL]
ReplicaDomainDNSName=nom complet du domaine joindre
Password=mot de passe de l'utilisateur spcifi par UserName
InstallDNS=yes
ConfirmGC=yes
Excutez la commande dcpromo avec les options /unattend:"chemin d'accs du
fichier de rponses et /UseExistingAccount:Attach, comme dans l'exemple
suivant :
dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"
Toutes les options indiques dans le fichier de rponses peuvent galement tre
spcifies ou remplaces directement sur la ligne de commande. Saisissez
simplement une commande similaire celle-ci :
dcpromo /unattend /UseExistingAccount:Attach
/ReplicaDomainDNSName:contoso.com
/UserDomain:contoso.com /UserName:contoso\dan /password:*
/safeModeAdminPassword:password /rebootOnCompletion:yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation d'AD DS partir du support

Points cls
Lorsque vous ajoutez des contrleurs de domaine une fort, les donnes
existantes des partitions de l'annuaire sont rpliques dans le nouveau contrleur
de domaine. Dans un environnement dot d'un annuaire trs volumineux ou
lorsque la bande passante est limite entre un nouveau DC et le DC inscriptible
partir duquel la rplication doit s'effectuer, l'option d'installation partir du
support (IFM) permet d'installer AD DS plus efficacement.
L'installation partir du support implique la cration d'un support d'installation,
sauvegarde spciale d'Active Directory que l'Assistant Installation des services de
domaine Active Directory peut utiliser comme source de donnes pour renseigner
l'annuaire du nouveau DC. Ce dernier ne rplique ensuite que les mises jour
issues d'un autre DC inscriptible. Ainsi, un support d'installation rcent permet de
rduire l'impact de la rplication dans un nouveau DC.
N'oubliez pas que la rplication vers un nouveau contrleur de domaine ne
concerne pas uniquement l'annuaire mais galement le dossier SYSVOL. Lorsque
vous crez votre support d'installation, vous pouvez y inclure ou non le dossier
SYSVOL.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

L'installation IFM vous permet galement de contrler le moment de l'impact sur
la bande passante du rseau. Vous pouvez par exemple crer un support
d'installation et le transfrer vers un site distant en dehors des heures de bureau,
puis crer le contrleur de domaine pendant les heures ouvrables habituelles. Le
support d'installation tant stock dans le site local, l'impact sur le rseau est
rduit, et seules les mises jour sont rpliques via la liaison au site distant.
Pour crer un support d'installation :
1. Ouvrez une invite de commande leve sur un contrleur de domaine
inscriptible et excutant Windows Server 2008.
Le support d'installation permet de crer des contrleurs de domaine
inscriptibles et en lecture seule.
2. Excutez la commande ntdsutil.exe.
3. l'invite de commande ntdsutil, tapez activate instance ntds et appuyez sur
ENTRE.
4. Tapez ifm et appuyez sur ENTRE.
5. l'invite de commande ifm:, tapez l'une des commandes suivantes, selon le
type de support d'installation que vous souhaitez crer :
create sysvol full chemin d'accs : cre un support d'installation avec
SYSVOL pour un contrleur de domaine inscriptible dans le dossier
spcifi par chemin d'accs.
create full chemin d'accs : cre un support d'installation sans dossier
SYSVOL pour un contrleur de domaine inscriptible ou une instance des
services AD LDS (Active Directory Lightweight Directory Services) dans le
dossier spcifi par chemin d'accs.
create sysvol rodc chemin d'accs : cre un support d'installation avec
dossier SYSVOL pour un contrleur de domaine en lecture seule dans le
dossier spcifi par chemin d'accs.
create rodc chemin d'accs : cre un support d'installation sans dossier
SYSVOL pour un contrleur de domaine en lecture seule dans le dossier
spcifi par chemin d'accs.

Lorsque vous excutez l'Assistant Installation des services de domaine Active
Directory, cochez la case Utiliser l'installation en mode avanc pour que l'Assistant
prsente par la suite la page Installation partir du support (IFM). Choisissez
Rpliquer les donnes partir du support l'emplacement suivant. Vous pouvez
utiliser l'option d'installation ReplicationSourcePath dans un fichier de rponses ou
la ligne de commande dcpromo.exe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Suppression d'un contrleur de domaine

Points cls
Vous pouvez supprimer un contrleur de domaine l'aide de la commande
Dcpromo.exe, en lanant l'Assistant Installation des services de domaine Active
Directory ou partir d'une invite de commande, en dfinissant les options sur la
ligne de commande ou dans un fichier de rponses. Lorsqu'un contrleur de
domaine est supprim alors qu'il est connect au domaine, il actualise les
mtadonnes de la fort relatives ce contrleur de domaine afin d'en signaler la
suppression l'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour utiliser un fichier de rponses, fournissez les options et valeurs suivantes :
[DCINSTALL]
Password=mot de passe de l'utilisateur spcifi par UserName
AdministratorPassword=mot de passe qui sera attribu
l'Administrateur local
RemoveApplicationPartitions=yes
RemoveDNSDelegation=yes
DNSDelegationUserName=DOMAINE\nom d'utilisateur autoris supprimer
la dlgation DNS
DNSDelegationPassword=mot de passe du compte
Excutez la commande dcpromo avec les options /unattend:"chemin d'accs du
fichier de rponses" et /UninstallBinaries, comme dans l'exemple suivant :
dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"
Toutes les options indiques dans le fichier de rponses peuvent galement tre
spcifies ou remplaces directement sur la ligne de commande. Saisissez
simplement une commande similaire celle-ci :
dcpromo /unattend /uninstallbinaries
/UserName:contoso\dan
/password:*
/administratorpassword:Pa$$w0rd
Lorsqu'un contrleur de domaine doit tre rtrograd alors qu'il ne peut pas
contacter le domaine, vous devez utiliser l'option forceremoval de la commande
dcpromo.exe. Tapez dcpromo /forceremoval, et laissez-vous guider par l'Assistant
Installation des services de domaine Active Directory. L'assistant vous prsente des
avertissements sur les rles hbergs par le contrleur de domaine. Lisez chaque
avertissement et, aprs en avoir rduit ou accept l'impact, cliquez sur Oui. Vous
pouvez supprimez les avertissements via l'option demotefsmo:yes de la commande
dcpromo.exe. Aprs la suppression du contrleur de domaine, vous devez nettoyer
manuellement les mtadonnes de la fort.
Pour plus d'informations sur la suppression d'un contrleur de domaine,
consultez http://go.microsoft.com/fwlink/?LinkId=168480.
Pour plus d'informations sur le nettoyage des mtadonnes, consultez l'article
216498 de la Base de connaissances Microsoft. Cet article est disponible
l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique A : Installation de contrleurs
de domaine

Scnario
Vous avez t engag pour remplacer l'ancien administrateur de la socit Contoso,
Ltd. La premire chose que vous dcouvrez est que le domaine ne comprend qu'un
seul contrleur de domaine. Vous dcidez d'en ajouter un second pour assurer la
tolrance de panne du service d'annuaire. Vous avez dj install un nouveau
serveur nomm HQDC02.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Cration d'un contrleur de domaine
supplmentaire avec l'Assistant Installation des services de
Dans cet exercice, vous allez utiliser l'Assistant Installation des services de domaine
Active Directory (DCPromo.exe) pour crer un contrleur de domaine
supplmentaire dans le domaine contoso.com. Toutefois, vous ne terminerez pas
l'installation mais enregistrerez les paramtres sous la forme d'un fichier de
rponses que vous utiliserez dans l'exercice suivant.
2. Promouvoir un contrleur de domaine l'aide de l'Assistant Installation des
services de domaine Active Directory.

Dmarrez 6238B-HQDC01-A et ouvrez une session avec le compte
Pat.Coleman et le mot de passe Pa$$w0rd.
Dmarrez 6238B-HQDC02-A, un serveur du groupe de travail, et ouvrez une
session en tant qu'Administrateur local avec le mot de passe Pa$$w0rd.

Tche 2 : Promotion d'un contrleur de domaine l'aide de l'Assistant
Installation des services de domaine Active Directory
Dans HQDC02, excutez DCPromo.exe. Acceptez tous les paramtres fournis
par dfaut par l'Assistant Administration d'Active Directory, l'exception de
ceux rpertoris ci-dessous :
Contrleur de domaine supplmentaire dans une fort existante
Domaine : contoso.com
Autres informations d'identification : Pat.Coleman_Admin et le mot de
passe Pa$$w0rd.
Slectionnez le domaine : contoso.com.
Lorsqu'un avertissement vous signale qu'une adresse IP est attribue
dynamiquement HQDC01, cliquez sur Oui, l'ordinateur utilisera une
adresse IP attribue dynamiquement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsqu'un avertissement vous signale que la dlgation DNS est
introuvable, cliquez sur Oui.
Mot de passe administrateur du Mode restauration des services
d'annuaire : Pa$$w0rd
Vrifiez vos slections dans la page Rsum. Si l'un des paramtres est
incorrect, cliquez sur Prcdent pour le modifier.
Exportez les paramtres dans un fichier stock sur votre Bureau et nomm
AdditionalDC.
la page Rsum, annulez l'installation du contrleur de domaine. Ne
continuez pas la procdure de l'Assistant Installation des services de domaine
Active Directory.

Rsultats : Au terme de cet exercice, vous aurez simul la promotion de HQDC02 en

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Ajout d'un contrleur de domaine partir de la
ligne de commande
Dans cet exercice, vous allez examiner le fichier de rponses que vous avez cr
l'Exercice 1. Vous utiliserez ensuite les options d'installation du fichier de rponses
pour crer une ligne de commande dcpromo.exe et installer le contrleur de
domaine supplmentaire.
1. Crer la commande DCPromo.
2. Excuter la commande DCPromo.

Tche 1 : Cration de la commande DCPromo
Ouvrez le fichier AdditionalDC.txt cr l'Exercice 1. Examinez les rponses
du fichier. Comprenez-vous la signification de certaines options ?
Conseil : les lignes qui commencent par un point-virgule sont des
commentaires ou des lignes inactives dont les commentaires ont t
supprims.
Ouvrez une seconde instance du Bloc-notes, sous forme de nouveau fichier
texte. Activez le retour automatique la ligne. Positionnez les fentres de
manire voir le fichier texte vide et le fichier AdditionalDC.txt de rfrence.
Dans le Bloc-notes, tapez la ligne de commande dcpromo.exe comme s'il
s'agissait d'une invite de commande. Identifiez la ligne de commande charge
d'installer le contrleur de domaine avec les mmes options que celles
rpertories dans le fichier de rponses. Les paramtres de la ligne de
commande prennent la forme /option:valeur alors que, dans le fichier de
rponses, ils sont au format option=valeur. Configurez les valeurs Password et
SafeModeAdminPassword sur Pa$$w0rd. Demandez DCPromo de
redmarrer la fin de l'opration.
Comme vous l'apprendrez l'Atelier B, vous pouvez dfinir la valeur du mot
de passe sur un astrisque (*). Vous serez alors invit saisir le mot de passe
lors de l'excution de la commande.
Une fois la commande cre, ouvrez le fichier Exercise2.txt, stock dans le
dossier \\HQDC01\d$\Labfiles\Lab11a. Comparez la commande correcte
du fichier Exercise2.txt celle que vous avez cre l'tape prcdente.
Apportez les corrections ncessaires votre commande.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 2 : Excution de la commande DCPromo
Ouvrez la fentre d'invite de commande.
Revenez au fichier du Bloc-notes contenant la commande dcpromo.exe que
vous avez cre l'tape 1. Dsactivez le retour la ligne, copiez la ligne de
commande que vous avez cre et collez-la dans la fentre d'invite de
commande, puis appuyez sur ENTRE pour excuter la commande.
HQDC02 est promu contrleur de domaine. Cette opration peut prendre
quelques minutes.

Rsultats : Au terme de cet exercice, vous aurez promu HQDC02 en tant que
contrleur de domaine supplmentaire du domaine et de la fort contoso.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 3 : Suppression d'un contrleur de domaine
Dans cet exercice, vous allez supprimer un contrleur du domaine contoso.com.
Supprimer un contrleur de domaine.

Tche 1 : Suppression d'un contrleur de domaine
Aprs le redmarrage de HQDC02, ouvrez une session avec le compte
Excutez DCPromo en tant qu'administrateur, avec le nom d'utilisateur
Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Acceptez tous les
paramtres prsents par dfaut par l'Assistant et configurez le nouveau mot
de passe Administrateur sur Pa$$w0rd. Redmarrez le serveur la fin du
processus.

Rsultats : Au terme de cet exercice, vous aurez rtrograd HQDC02 en serveur
membre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 4 : Cration d'un contrleur de domaine partir
du support d'installation
Pour rduire la somme de rplication requise pour crer un contrleur de
domaine, vous pouvez promouvoir le contrleur de domaine via l'option IFM.
L'option IFM implique que vous fournissiez un support d'installation, c'est--dire
en ralit une sauvegarde d'Active Directory. Dans cet exercice, vous allez crer le
support d'installation dans HQDC01, le transfrer vers HQDC02, puis simuler la
promotion de HQDC02 en contrleur de domaine via le support d'installation.
1. Crer un support d'installation.
2. Promouvoir un contrleur de domaine l'aide du support d'installation.

Tche 1 : Cration d'un support d'installation
1. Dans HQDC01, excutez l'invite de commande en tant qu'administrateur, avec
le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2. Utilisez la commande ntdsutil.exe pour crer un support d'installation dans
un dossier nomm C:\IFM.

Tche 2 : Promotion d'un contrleur de domaine l'aide du support
d'installation
1. Ouvrez une session sur HQDC02 avec le compte Pat.Coleman et le mot de
passe Pa$$w0rd.
2. Copiez le dossier IFM du lecteur C de HQDC01 dans le lecteur C de
HQDC02.
3. Dans HQDC02, excutez DCPromo.exe. Acceptez tous les paramtres fournis
par dfaut par l'Assistant Installation des services de domaine Active Directory,
l'exception de ceux rpertoris ci-dessous :
Contrleur de domaine supplmentaire dans une fort existante
Domaine : contoso.com.
Utilisateur : Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Slectionnez le domaine : contoso.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsqu'un avertissement vous signale qu'une adresse IP est attribue
dynamiquement HQDC01, cliquez sur Oui, l'ordinateur utilisera une
adresse IP attribue dynamiquement.
Lorsqu'un avertissement vous signale que la dlgation DNS est
introuvable, cliquez sur Oui.
Installation partir du support : Rpliquez les donnes partir du support
stock dans le dossier C:\IFM.
Aprs la page Contrleur de domaine source, annulez l'Assistant sans
terminer la promotion.

Rsultats : Au terme de cet exercice, vous aurez cr un support d'installation dans
HQDC01 et simul la promotion de HQDC02 en contrleur de domaine via le support
d'installation.

Remarque : Arrtez HQDC02, mais pas HQDC01 puisque vous allez l'utiliser dans le
cadre de l'Atelier B.
Question : Pourquoi choisir d'utiliser un fichier de rponses ou une ligne de
commande dcpromo.exe pour installer un contrleur de domaine plutt que
d'utiliser l'Assistant Installation des services de domaine Active Directory ?
Question : Dans quels cas est-il justifi de crer un contrleur de domaine l'aide
d'un support d'installation ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 2
Installation d'un contrleur de domaine Server
Core

La plupart des organisations souhaitent implmenter une scurit maximale pour
les serveurs jouant le rle de contrleurs de domaine du fait de la nature sensible
des informations stockes dans l'annuaire, notamment les mots de passe des
utilisateurs. Bien que la configuration base de rles de Windows Server 2008
rduise la surface de scurit d'un serveur en installant uniquement les
composants et services requis par ses rles, il est possible de rduire encore
davantage ces serveurs et leur surface de scurit en utilisant une installation
minimale (Server Core). Server Core est une installation minimale de Windows qui
laisse de ct l'interface utilisateur graphique de l'Explorateur Windows et
Microsoft .NET Framework. Vous pouvez grer l'installation minimale distance,
l'aide des outils d'interface utilisateur graphique, mais pour configurer et grer un
serveur localement, vous devez utiliser les outils de ligne de commande. Dans cet
exercice, vous allez apprendre crer un contrleur de domaine via la ligne de
commande dans le cadre d'une installation minimale. Vous allez galement
apprendre supprimer des contrleurs d'un domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
Identifier les avantages et les fonctionnalits d'une installation minimale
Installer et configurer une installation minimale
Ajouter et supprimer des services de domaine Active Directory l'aide des
outils de ligne de commande

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fonctionnement de Server Core

Points cls
Windows Server 2008 (installation minimale), plus connu sous le nom de Server
Core, est une installation minimale de Windows qui occupe environ 3 Go d'espace
disque et moins de 256 Mo de mmoire. Server Core limite les rles de serveur et
les fonctionnalits qu'il est possible d'ajouter mais amliore la scurit et les
capacits de gestion du serveur en rduisant sa surface d'attaque. Le nombre de
services et de composants fonctionnant simultanment tant limit, les intrus
ventuels ont moins d'opportunits de compromettre le serveur. Server Core rduit
galement la charge de gestion du serveur, qui ncessite moins de mises jour et
de maintenance.
Server Core prend en charge neuf rles de serveur :
Services de domaine Active Directory (AD DS)
Services AD LDS (Active Directory Lightweight Directory Services)
Serveur DHCP (Dynamic Host Configuration Protocol)
Serveur DNS
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Services de fichiers
Serveur d'impression
Services de diffusion multimdia en continu
Serveur Web (IIS) (en tant que serveur Web statique, ASP.NET ne peut pas
tre install)
Hyper-V (Virtualisation Windows Server)

Server Core prend galement en charge les 11 fonctionnalits facultatives
suivantes :
Cluster de basculement Microsoft
quilibrage de la charge rseau
Sous-systme pour les applications UNIX
Sauvegarde Windows
MPIO (Multipath I/O)
Gestion du stockage amovible
Chiffrement de lecteur BitLocker Windows
Protocole SNMP (Simple Network Management Protocol)
Service WINS
Client Telnet
Qualit de service (QoS)

Option d'installation Server Core :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Installation de Windows dans sa version minimale

Points cls
Vous pouvez installer Windows dans sa version minimale avec la mme procdure
que pour une installation complte. Les diffrences entre une installation complte
et une installation minimale sont, tout d'abord, la slection de l'Installation
minimale dans l'Assistant Installation de Windows illustr la page suivante, puis
l'affichage d'une invite de commandes la place de l'interface Explorateur
Windows lorsque vous ouvrez une session la fin de l'installation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsque vous installez Windows Server 2008 partir de son DVD, le mot de passe
initial du compte Administrateur est vide. Lorsque vous ouvrez pour la premire
fois une session sur le serveur, utilisez un mot de passe vide. Vous serez invit
modifier le mot de passe lors de la premire ouverture de session.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Commandes de configuration de Server Core

Points cls
Lors d'une installation complte de Windows Server 2008, la fentre Tches de
configuration initiales s'affiche pour vous guider tout au long de la configuration
aprs installation du serveur. L'installation minimale ne comporte pas d'interface
utilisateur graphique, vous devez donc effectuer ces tches l'aide des outils de
ligne de commande Le tableau suivant rpertorie les principales tches de
configuration et les commandes que vous pouvez utiliser. Pour plus d'informations
sur une commande, ouvrez une invite de commande et tapez le nom de la
commande suivie de /?.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Commandes de configuration de Server Core
Tche Commande
Modifier le mot de passe
Administrateur
Lorsque vous ouvrez une session avec
CTRL+ALT+SUPPR, vous tes invit modifier le mot
de passe.
Vous pouvez galement taper la commande suivante :
net user administrator *
Dfinir une configuration IPv4
statique
netsh interface ipv4
Activer Windows Server cscript c:\windows\system32\slmgr.vbs ato
Joindre un domaine netdom
Ajouter des rles, des
composants ou des
fonctionnalits l'installation
minimale
ocsetup.exe package ou fonctionnalit
Notez que les noms de package ou de fonctionnalit
respectent la casse.
Afficher les rles, les
composants et les
fonctionnalits installs
oclist.exe
Activer le Bureau distance cscript c:\windows\system32\scregedit.wsf /AR 0
Promouvoir un contrleur de
domaine
dcpromo.exe
Configurer DNS dnscmd.exe
Configurer DFS dfscmd.exe

La commande Ocsetup.exe permet d'ajouter des rles et des fonctionnalits Server
Core au serveur. Les services de domaine Active Directory sont la seule exception
cette rgle. N'utilisez pas la commande Ocsetup.exe pour ajouter ou supprimer AD
DS. Utilisez dans ce cas la commande Dcpromo.exe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

L'Assistant Installation des services de domaine Active Directory n'tant pas
disponible lors d'une installation minimale, vous devez utiliser la ligne de
commande pour excuter Dcpromo.exe avec les paramtres qui configurent AD
DS. Pour plus d'informations sur les paramtres de la commande dcpromo.exe,
ouvrez une ligne de commande et tapez dcpromo.exe /?. Chaque scnario de
configuration s'accompagne d'informations d'utilisation complmentaires. Par
exemple, tapez dcpromo.exe /?:Promotion pour obtenir des instructions
d'utilisation dtailles sur la promotion d'un contrleur de domaine.
Annexe des paramtres d'installation sans assistance :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique B : Installation d'un contrleur
de domaine Server Core

Scnario
Vous tes administrateur de domaine chez Contoso, Ltd. et vous souhaitez ajouter
un contrleur de domaine dans l'environnement AD DS. Pour renforcer la scurit
du nouveau contrleur de domaine, vous envisagez d'utiliser une installation
minimale. Vous avez dj effectu une installation minimale sur un nouvel
ordinateur et tes prt configurer le serveur en tant que contrleur de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Configuration aprs l'installation minimale
Dans cet exercice, vous allez effectuer une configuration aprs l'installation du
serveur afin de le prparer en utilisant le nom et les paramtres TCP/IP requis pour
les exercices restant de cet atelier.
2. Configuration aprs l'installation minimale.

L'ordinateur virtuel 6238B-HQDC01-A doit tre prt aprs l'Atelier pratique A.
Dmarrez 6238B-HQDC01-A sans ouvrir de session.
Dmarrez 6238B-HQDC03-A sans ouvrir de session.

Tche 2 : Configuration aprs l'installation minimale
Ouvrez une session sur l'ordinateur HQDC03 avec le compte Administrator
et le mot de passe Pa$$w0rd.
Configurez l'adresse IPv4 et le serveur DNS en tapant chacune des
commandes suivantes :
netsh interface ipv4 set address name="Local Area Connection"
source=static address=10.0.0.13 mask=255.255.255.0
gateway=10.0.0.1

netsh interface ipv4 set dns name="Local Area Connection"
source=static address=10.0.0.11 primary
Vrifiez la configuration IP saisie prcdemment avec la commande
ipconfig /all.
Renommez le serveur en tapant netdom renamecomputer
%nomOrdinateur% /newname:HQDC03. Vous serez invit appuyer sur Y
pour confirmer l'opration.
Redmarrez en tapant shutdown -r -t 0.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Ouvrez une session en tant qu'Administrator avec le mot de passe Pa$$w0rd.
Rejoignez le domaine l'aide de la commande suivante :
netdom join %nomOrdinateur% /domain:contoso.com
/UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd
/OU:"ou=servers,dc=contoso,dc=com"
Redmarrez en tapant shutdown -r -t 0.

Rsultats : Au terme de cet exercice, vous aurez configur l'installation minimale en
tant que membre du domaine contoso.com sous le nom HQDC03.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Cration d'un contrleur de domaine via
l'installation minimale
Dans cet exercice, vous allez ajouter les rles DNS et AD DS l'installation
minimale.
1. Ajouter le rle de serveur DNS l'installation minimale.
2. Crer un contrleur de domaine dans l'installation minimale via la commande
dcpromo.exe.

Tche 1 : Ajout du rle de serveur DNS l'installation minimale
Ouvrez une session sur l'ordinateur HQDC03 avec le compte
Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Affichez les rles de serveur disponibles en tapant oclist. Quel est l'identifiant
du package du rle de serveur DNS ? Quel est son tat ?
Tapez ocsetup et appuyez sur ENTRE. Surprise ! L'installation minimale
comprend un minimum d'interface utilisateur graphique. Cliquez sur OK pour
fermer la fentre.
Tapez ocsetup DNS-Server-Core-Role. Remarquez que les identifiants de
package respectent la casse.
Tapez oclist et vrifiez que le rle de serveur DNS a bien t install.

Tche 2 : Cration d'un contrleur de domaine dans l'installation
minimale via la commande dcpromo.exe
Vrifiez que vous tes toujours connect sur l'ordinateur HQDC03 avec le
compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Tapez dcpromo.exe /? et appuyez sur ENTRE. Passez en revue les
informations d'utilisation.
Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRE. Passez en revue
les informations d'utilisation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tapez la commande suivante pour ajouter et configurer le rle AD DS, puis
appuyez sur ENTRE :
dcpromo /unattend /ReplicaOrNewDomain:replica
/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:CONTOSO\Pat.Coleman_Admin /Password:*
/safeModeAdminPassword:Pa$$w0rd
Lorsque vous tes invit saisir des informations d'identification rseau, tapez
Pa$$w0rd, puis cliquez sur OK. Le rle AD DS est install et configur, puis le
serveur redmarre.

Rsultats : Au terme de cet exercice, vous aurez promu le serveur d'installation
minimale, HQDC03, en contrleur du domaine contoso.com.

Remarque : vous pouvez arrter les deux ordinateurs virtuels car l'atelier suivant en
utilise d'autres.
Question : Avez-vous trouv la configuration d'une installation minimale
particulirement difficile ?
Question : Quels sont les avantages de l'utilisation d'une installation minimale
pour les contrleurs de domaine ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 3
Gestion des matres d'oprations

Dans un domaine Active Directory, tous les contrleurs de domaine sont
quivalents. Ils sont tous capables d'crire dans la base de donnes et de rpliquer
les modifications dans les autres contrleurs de domaine. Toutefois, dans une
topologie de rplication multimatre, certaines oprations doivent tre effectues
par un seul et unique systme. Dans un domaine Active Directory, les matres
d'opration sont les contrleurs de domaine chargs de ce rle spcifique. Les
autres contrleurs de domaine sont capables de jouer ce rle mais ne le font pas.
Cette leon dcrit les cinq matres d'oprations disponibles dans les forts et
domaines Active Directory. Vous dcouvrirez leurs objectifs et apprendrez
identifier les matres d'oprations dans votre entreprise et les nuances de
l'administration et du transfert des rles.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
dfinir l'objectif des cinq oprations matre unique des forts Active
Directory ;
identifier les contrleurs de domaine jouant le rle de matre d'oprations ;
planifier l'emplacement des rles de matre d'oprations ;
transfrer et capter des rles de matre d'oprations.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fonctionnement des oprations matre unique

Points cls
Dans toute base de donnes rplique, certaines modifications doivent tre
excutes par un seul et unique rplica car une excution en mode multimatre
serait quasiment impossible. Active Directory ne fait pas exception cette rgle. Un
nombre limit d'oprations ne peuvent pas se produire simultanment en des
emplacements diffrents et doivent tre confies un seul contrleur de domaine
d'une fort ou d'un domaine. Ces oprations, et les contrleurs de domaine qui les
excutent, sont dsigns par diffrents termes :
Matres d'oprations
Rles de matre d'oprations
Rles de matre unique
Jetons d'opration
Oprations matre unique flottant (FSMO)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Quel que soit le terme utilis, l'ide est la mme. Un seul contrleur de domaine
effectue une fonction et, pendant cette opration, aucun autre contrleur de
domaine n'effectue cette mme fonction.
Tous les contrleurs de domaine Active Directory sont capables d'excuter des
oprations matre unique. Le contrleur de domaine qui effectue vritablement
l'opration est celui qui dtient actuellement le jeton de l'opration.
Un jeton d'opration, donc le rle, peut aisment tre transmis un autre
contrleur de domaine sans redmarrage.
Pour rduire les risques de points de dfaillance uniques, les jetons d'opration
peuvent tre rpartis entre plusieurs contrleurs de domaine.
AD DS contient cinq rles de matre d'oprations. Deux rles sont excuts pour
l'ensemble de la fort :
Matre d'oprations des noms de domaine
Matre d'oprations du schma

Trois rles sont effectus dans chaque domaine :
Identificateur relatif (RID)
Infrastructure
mulateur PDC

Chacun de ces rles est dtaill dans les sections suivantes. Quand la fort ne
comprend qu'un seul domaine, cinq matres d'oprations sont prsents. Une fort
deux domaines comprend huit matres d'oprations car les trois rles de matres
de domaine sont implments sparment dans chacun des deux domaines.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rles de matre d'oprations

Points cls
Rles de matre d'oprations l'chelle d'une fort
Le matre de schma et le matre de nom de domaine doivent tre uniques au sein
de la fort. Chaque rle est excut par un seul contrleur de domaine dans
l'ensemble de la fort.
Rle de matre d'oprations des noms de domaine
Le rle des noms de domaine sert ajouter ou supprimer des domaines dans la
fort. Lorsque vous ajoutez ou supprimer un domaine, le matre de noms de
domaine doit tre accessible. Si ce n'est pas le cas, l'opration choue.
Rle de contrleur de schma
Le contrleur de domaine qui dtient le rle de contrleur de schma est charg
d'effectuer toutes les modifications apportes au schma de la fort. Tous les autres
contrleurs de domaine dtiennent des rplicas du schma en lecture seule. Pour
modifier le schma ou installer une application qui le modifie, il est conseill
d'effectuer l'opration sur le contrleur de domaine qui dtient le rle de
contrleur de schma. En effet, pour tre inscrites dans le schma, les
modifications demandes doivent tre envoyes au contrleur de schma.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rles de matre d'oprations l'chelle d'un domaine
Chaque domaine conserve trois oprations matre unique : RID, Infrastructure et
mulateur PDC. Chaque rle est excut par un seul et unique contrleur du
domaine.
Rle de matre RID
Le matre RID joue un rle essentiel dans la gnration des identifiants de scurit
(SID) pour les entits de scurit comme les utilisateurs, les groupes et les
ordinateurs. L'identifiant SID d'une entit de scurit doit tre unique. Tout
contrleur de domaine pouvant crer des comptes, donc des SID, un mcanisme
doit garantir que les SID gnrs par un contrleur de domaine sont uniques. Les
contrleurs de domaine Active Directory gnrent des SID en affectant un RID
unique au SID du domaine. Le matre RID du domaine attribue des pools de RID
uniques chaque contrleur du domaine. Chacun d'eux sait ainsi avec certitude
que les SID qu'il gnre sont uniques.

Remarque : le rle de matre RID correspond au rle DHCP pour les SID. Si vous
connaissez le concept d'attribution d'une tendue d'adresses IP que le serveur DHCP
peut affecter aux clients, vous pouvez faire le parallle avec un matre RID, qui alloue des
pools de RID aux contrleurs de domaine pour la cration des SID.
Rle de matre d'infrastructure
Dans un environnement plusieurs domaines, un objet fait souvent rfrence aux
objets des autres domaines. Un groupe, par exemple, peut inclure des membres
d'un autre domaine. Son attribut de membre plusieurs valeurs contient les noms
uniques de chaque membre. Si le membre de l'autre domaine est dplac ou
renomm, le matre d'infrastructure du domaine du groupe actualise en
consquence l'attribut de membre du groupe.

Remarque : concernant le matre d'infrastructure, vous pouvez le considrer comme
un priphrique de suivi des membres de groupes issus d'autres domaines. Lorsque ces
membres sont renomms ou dplacs dans l'autre domaine, le matre d'infrastructure
s'aperoit du changement et modifie les appartenances de groupe de faon approprie
afin qu'elles restent jour.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rle d'mulateur PDC
Le rle d'mulateur PDC joue plusieurs fonctions essentielles pour un domaine :
Il mule un contrleur de domaine principal (PDC) pour la compatibilit
descendante.
l'poque des domaines Windows NT 4.0, seul le PDC pouvait modifier
l'annuaire. Les outils, utilitaires et clients prcdents, conus pour prendre en
charge Windows NT 4.0, ne savaient pas que tous les contrleurs de domaine
Active Directory pouvaient crire dans l'annuaire. Ces outils demandaient donc
une connexion au PDC. Le contrleur de domaine qui dtient le rle
d'mulateur PDC s'enregistre lui-mme en tant que PDC pour que les
applications de bas niveau puissent localiser un contrleur de domaine
inscriptible. Active Directory ayant prs de 10 ans aujourd'hui, ces applications
sont moins courantes et si votre entreprise en utilise, pensez les mettre
niveau pour assurer une compatibilit Active Directory complte.
Il participe la gestion des mises jour de mot de passe pour le domaine.
Lorsque le mot de passe d'un utilisateur est rinitialis ou modifi, le
contrleur de domaine qui effectue les modifications les rplique
immdiatement dans l'mulateur PDC. Cette rplication particulire permet de
s'assurer que les contrleurs de domaine connaissent le nouveau mot de passe
aussi rapidement que possible. Lorsqu'un utilisateur tente d'ouvrir une session
immdiatement aprs avoir modifi son mot de passe, le contrleur de
domaine qui rpond cette demande d'ouverture de session peut ne pas
connatre le nouveau mot de passe. Avant de rejeter la tentative de connexion,
le contrleur de domaine transmet la demande d'authentification un
mulateur PDC qui vrifie l'exactitude du nouveau mot de passe et indique au
contrleur de domaine d'accepter la demande. Cette fonction implique que,
chaque fois qu'un utilisateur saisit un mot de passe incorrect, l'authentification
est transmise l'mulateur PDC pour obtenir un deuxime avis. L'mulateur
PDC doit donc tre largement accessible tous les clients du domaine. Il doit
s'agir d'un contrleur de domaine hautes performances et bien connect.
Il gre les mises jour de la stratgie de groupe au sein d'un domaine.
La modification quasi simultane d'un objet de stratgie du groupe (GPO) dans
deux contrleurs de domaine peut entraner des conflits entre les deux versions,
conflits que la rplication du GPO peut ne pas rsoudre. Pour viter cette situation,
l'mulateur PDC joue le rle de point focal pour toutes les modifications de la
stratgie de groupe. Lorsque vous ouvrez un objet GPO dans l'diteur de gestion
des stratgies de groupe (GPME), ce dernier se relie au contrleur de domaine qui
joue le rle d'mulateur PDC. Par dfaut, toutes les modifications apportes
aux objets GPO sont donc effectues au niveau de l'mulateur PDC.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Il fournit une source d'heure de rfrence au domaine.
Active Directory, Kerberos, le service de rplication de fichiers (FRS) et la
rplication DFSR s'appuient tous sur des horodatages. La synchronisation de
l'heure dans tous les systmes d'un domaine est donc cruciale. L'mulateur
PDC du domaine racine de la fort fournit, par dfaut, l'horodatage matre de
l'ensemble de la fort. Les mulateurs PDC de chaque domaine synchronisent
leur heure avec l'mulateur PDC racine de la fort. Les autres contrleurs du
domaine synchronisent leurs horloges sur celle de l'mulateur PDC de ce
domaine. Tous les autres membres du domaine synchronisent leur horloge
avec celle de leur contrleur de domaine favori. Cette structure hirarchique
de synchronisation de l'heure, implmente par l'intermdiaire du service
Win32Time, garantit la cohrence des horloges. L'horloge en temps universel
(UTC) est synchronise, et le rglage de l'heure affiche aux utilisateurs
s'effectue en fonction du paramtre de fuseau horaire de l'ordinateur.

Remarque : ne modifiez le service d'horloge que d'une seule manire. Il est fortement
recommand d'autoriser Windows conserver ses mcanismes natifs de synchronisation
du temps par dfaut. La seule modification que vous pouvez effectuer consiste
configurer l'mulateur PDC du domaine racine de la fort pour qu'il effectue la
synchronisation partir d'une autre source d'heure. Si vous ne dfinissez pas de source
de date et d'heure pour l'mulateur PDC, les erreurs enregistres par le journal des
vnements Systme vous rappelleront de le faire. Pour plus d'informations, consultez
http://go.microsoft.com/fwlink/?LinkId=91969 et les articles cits en rfrence.
Il joue le rle d'explorateur principal de domaine.
Lorsque vous ouvrez le dossier Rseau de Windows, vous obtenez la liste des
groupes de travail et des domaines. Lorsque vous ouvrez un groupe de travail
ou un domaine, vous obtenez la liste des ordinateurs. Ces deux listes, appeles
listes de parcours, sont cres par le service Explorateur. Dans chaque segment
rseau, un explorateur matre cre la liste de parcours : les listes des groupes
de travail, des domaines et des serveurs de ce segment. L'explorateur matre
du domaine fusionne les listes de chaque explorateur matre pour que les
clients de parcours puissent rcuprer une liste de parcours complte.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Optimisation de l'emplacement des matres d'oprations

Points cls
Lorsque vous crez le domaine racine de la fort et son premier contrleur de
domaine, ce dernier joue les cinq rles de matre d'oprations. Lorsque vous ajoutez
des contrleurs au domaine, vous pouvez confier des rles de matre d'oprations aux
autres contrleurs de domaine afin d'quilibrer la charge entre ces derniers ou pour
optimiser l'emplacement d'une opration matre unique. En matire d'emplacement
des rles de matre d'oprations, les recommandations sont les suivantes :
Choisissez le mme emplacement pour le matre du schma et le matre
des noms de domaine.
Les rles de matre du schma et de matre des noms de domaine doivent tre
placs dans un mme contrleur de domaine, galement serveur de Catalogue
global (GC). Ces rles ne sont que rarement utiliss et le contrleur de
domaine qui les hbergent doit tre fortement scuris. Le matre des noms de
domaine doit tre hberg par un serveur de catalogue global car, lors de
l'ajout d'un nouveau domaine, il doit pouvoir vrifier qu'aucun objet ne porte
le mme nom que le nouveau domaine, quel que soit le type d'objet. La
rplique partielle du catalogue global contient le nom de chacun des objets de
la fort. La charge lie ces rles de matre d'oprations reste trs lgre, sauf
lorsque des modifications sont apportes au schma.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Choisissez le mme emplacement pour les rles de matre RID et
d'mulateur PDC.
Placez les rles de matre RID et d'mulateur PDC dans un mme contrleur
de domaine. Si la charge implique de placer ces rles dans deux contrleurs de
domaine distincts, les deux systmes doivent tre physiquement bien
connects et disposer d'objets de connexion explicites crs dans Active
Directory de manire tre des partenaires de rplication directs. Ils doivent
galement tre des partenaires de rplication directs pour les contrleurs de
domaine slectionns comme matres d'oprations de secours.
Placez le matre d'infrastructure dans un contrleur de domaine qui ne soit
pas un serveur de catalogue global.
Le matre d'infrastructure doit tre plac dans un contrleur de domaine qui
ne joue pas le rle de serveur de catalogue global mais qui soit physiquement
bien connect un tel serveur. Le matre d'infrastructure doit disposer, dans
Active Directory, d'objets explicites de connexion ce serveur de catalogue
global pour qu'ils puissent tre des partenaires de rplication directs. Le matre
d'infrastructure peut tre plac dans le contrleur de domaine jouant
galement le rle de matre RID et d'mulateur PDC.

Remarque : le fait qu'ils soient tous des serveurs de catalogue global ou non n'a pas
d'importance. Lorsque tous les contrleurs d'un domaine sont galement serveur de
catalogue global, ce que recommandait le Module 12 Configuration des sites et de la
rplication Active Directory , savoir quel contrleur de domaine joue le rle de matre
d'infrastructure importe peu. Dans un tel cas, tous les contrleurs de domaine disposent
d'informations jour sur chaque objet de la fort et le rle de matre d'infrastructure
n'est donc plus ncessaire.
Disposez d'un plan de basculement.
Au cours des sections suivantes, vous allez apprendre transfrer des rles de
matre d'oprations uniques entre des contrleurs de domaine, opration
ncessaire en cas de longues priodes d'inactivit, planifies ou non. tablissez
l'avance un plan de transfert des rles d'oprations d'autres contrleurs de
domaine en cas de dconnexion d'un matre d'oprations.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Identification des matres d'oprations

Points cls
Pour implmenter votre plan de placement des rles, vous devez savoir quels
contrleurs de domaine excutent actuellement des rles d'oprations matre
unique. Chaque rle est prsent dans un outil d'administration Active Directory,
de mme que dans d'autres outils d'interface utilisateur et de ligne de commande.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour identifier le matre actuel de chaque rle, servez-vous des outils suivants :
mulateur PDC : composant logiciel enfichable Utilisateurs et ordinateurs
Active Directory
Cliquez du bouton droit sur le domaine et choisissez Matres d'oprations.
Ouvrez l'onglet CDP. La page suivante prsente un exemple qui indique que
SERVER01.contoso.com est actuellement le matre d'oprations CDP.

Matre RID : composant logiciel enfichable Utilisateurs et ordinateurs
Active Directory
Ouvrez l'onglet RID.
Matre d'infrastructure : composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory
Ouvrez l'onglet Infrastructure.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Matre d'oprations des noms de domaine : composant logiciel enfichable
Domaines et approbations Active Directory
Cliquez du bouton droit sur le nud racine du composant logiciel enfichable
(Domaines et approbations Active Directory) et choisissez Matre
d'oprations.
Contrleur de schma : composant logiciel enfichable Schma Active
Directory
Cliquez du bouton droit sur le nud racine du composant logiciel enfichable
(Schma Active Directory) et choisissez Matre d'oprations.

Remarque : concernant l'enregistrement du composant logiciel enfichable Schma
Active Directory, vous devez l'inscrire avant de pouvoir crer une console MMC
(Microsoft Management Console) personnalise avec le composant logiciel enfichable.
l'invite de commande, tapez regsvr32 schmmgmt.dll.
D'autres outils permettent galement d'identifier les matres d'opration, dont
les commandes suivantes :
NTDSUtil
ntdsutil
roles
connections
connect to server DomainControllerFQDN:portnumber
quit
select operation target
list roles for connected server
quit
quit
quit
dcdiag /test:knowsofroleholders /v
netdom query fsmo

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Transfert des rles de matre d'oprations

Points cls
Vous pouvez facilement transfrer un rle de matre d'oprations. Cette opration
est ncessaire dans les cas suivants :
Lorsque vous crez votre fort, les cinq rles sont excuts par le premier
contrleur de domaine que vous installez. Lorsque vous ajoutez un domaine
la fort, les trois rles de domaine sont excuts par le premier contrleur de
ce domaine. Lorsque vous ajoutez d'autres contrleurs de domaine, vous
pouvez rpartir les rles afin de rduire les risques de point unique de
dfaillance et d'amliorer les performances.
Si vous envisagez la mise hors connexion d'un contrleur de domaine
hbergeant actuellement un rle de matre d'oprations, transfrez ce rle un
autre contrleur de domaine avant la mise hors connexion.
Si vous dsaffectez un contrleur de domaine hbergeant actuellement un rle
de matre d'oprations, transfrez ce rle un autre contrleur de domaine avant
la dsaffectation. L'Assistant Installation des services de domaine Active
Directory tentera d'effectuer cette opration automatiquement, mais vous devez
tre prt rtrograder un contrleur de domaine en transfrant ses rles.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour transfrer un rle de matre d'oprations, procdez comme suit :
1. Il est recommand de vrifier que la rplication du nouveau dtenteur du rle
a bien t effectue partir de l'ancien dtenteur du rle avant de transfrer le
rle. Vous pouvez utiliser les techniques dcrites au Module 12 pour imposer
une rplication entre les deux systmes.
2. Ouvrez l'outil d'administration qui expose le matre actuel.
Par exemple, ouvrez le composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory pour transfrer l'un des trois rles de matre du
domaine.
3. Connectez-vous au contrleur de domaine auquel vous transfrez le rle.
Pour ce faire, cliquez du bouton droit sur le nud racine du composant
logiciel enfichable et choisissez Modifier le contrleur de domaine ou Changer
de contrleur de domaine Active Directory. (La commande diffre selon les
composants logiciels enfichables.)
4. Ouvrez la bote de dialogue Matre d'oprations. Celle-ci prsente le
contrleur de domaine dtenant actuellement le jeton de rle de l'opration.
Cliquez sur le bouton Modifier pour transfrer le rle au contrleur de
domaine auquel vous tes connect.

Lorsque vous transfrez un rle de matre d'oprations, le matre actuel et le
nouveau matre sont en ligne. Le jeton est transfr et le nouveau matre
commence immdiatement jouer son rle, ce que l'ancien matre cesse aussitt
de faire. Il s'agit l de la meilleure mthode pour dplacer des rles de matre
d'oprations.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Captage des rles de matre d'oprations

Points cls
Identification des dfaillances d'un matre d'oprations
Plusieurs rles de matre d'oprations peuvent tre indisponibles pendant quelque
temps avant que leur absence ne devienne un problme. D'autres jouent un rle
essentiel pour le fonctionnement quotidien de votre entreprise. Pour identifier les
problmes lis aux matres d'oprations, examinez le journal des vnements du
Service d'annuaire.
Le plus souvent toutefois, vous ne dcouvrirez la dfaillance d'un matre
d'oprations qu'au moment d'utiliser une fonction qu'il gre, et cette fonction
choue. Par exemple, en cas de dfaillance du matre RID, vous ne parviendrez pas
crer de nouvelles entits de scurit.
Rponse la dfaillance d'un matre d'opration
En cas de dfaillance d'un contrleur de domaine excutant une opration matre
unique, si vous n'arrivez pas remettre le systme en service, vous avez la possibilit
de capter le jeton des oprations. Lorsque vous captez un rle, vous dsignez un
nouveau matre sans supprimer correctement le rle du matre dfaillant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le captage d'un rle tant une mesure draconienne, assurez-vous que cette action
soit vritablement ncessaire. Identifiez la cause et la dure prvue de la
dconnexion du matre d'oprations. Si ce dernier peut tre ramen en ligne dans
un dlai raisonnable, patientez. Comment dfinir ce dlai raisonnable ? Il dpend
en fait de l'impact du rle dfaillant.
Dfaillance de l'mulateur PDC
L'mulateur PDC est le matre d'oprations dont l'impact sur les oprations
habituelles et les utilisateurs est le plus immdiat lorsqu'il n'est plus disponible. Par
chance, le rle d'mulateur PDC peut tre capt par un autre contrleur de domaine,
puis retransmis son dtenteur original lorsque le systme revient en ligne.
Dfaillance du matre d'infrastructure
Une dfaillance du matre d'infrastructure sera dtecte par les administrateurs,
mais pas par les utilisateurs. Le matre d'infrastructure tant charg de mettre
jour les noms des membres de groupes appartenant d'autres domaines, il peut
donner l'impression que l'appartenance aux groupes est incorrecte. Cependant,
comme nous l'avons mentionn prcdemment dans cette leon, cette
appartenance n'est pas rellement affecte. Vous pouvez capter le rle de matre
d'infrastructure et le confier un autre contrleur de domaine, puis le
retransmettre son dtenteur prcdent lorsque le systme revient en ligne.
Dfaillance du matre RID
Un matre RID dfaillant finit par empcher les contrleurs de domaine de crer de
nouveaux SID et, par consquent, vous empche de crer de nouveaux comptes
pour les utilisateurs, les groupes ou les ordinateurs. Le matre RID fournissant
toutefois un pool de RID d'une certaine taille aux contrleurs de domaine, il est
gnralement possible de rester un certain temps sans matre RID, par exemple
jusqu' ce qu'il soit rpar, sauf si vous gnrez de nombreux nouveaux comptes.
Le captage de ce rle par un autre contrleur de domaine est une mesure
importante. Aprs le captage du rle de matre RID, le contrleur de domaine qui
tenait ce rle ne peut pas tre ramen en ligne.
Dfaillance du contrleur de schma
Le rle de contrleur de schma n'est ncessaire que lorsque des modifications
sont apportes au schma, directement par un administrateur ou lors de
l'installation d'une application intgre Active Directory qui modifie le schma. Le
reste du temps, ce rle est inutile. Il peut rester hors connexion indfiniment,
jusqu' ce que des modifications du schma deviennent ncessaires. Le captage de
ce rle par un autre contrleur de domaine est une mesure importante. Aprs le
captage du rle de contrleur de schma, le contrleur de domaine qui tenait ce
rle ne peut pas tre ramen en ligne.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dfaillance du matre des noms de domaine
Le rle de matre des noms de domaine est uniquement ncessaire lorsque vous
ajoutez un domaine la fort ou lorsque vous supprimez un domaine dans une fort.
Jusqu' ce que de telles modifications soient requises pour l'infrastructure de votre
domaine, le rle de matre des noms de domaine peut demeurer hors connexion
pendant une priode indfinie. Le captage de ce rle par un autre contrleur de
domaine est une mesure importante. Aprs le captage du rle de matre des noms de
domaine, le contrleur de domaine qui tenait ce rle ne peut pas tre ramen en ligne.
Captage d'un rle de matre d'oprations
Bien qu'il soit possible de transfrer des rles l'aide des outils d'administration,
vous devez utiliser la commande Ntdsutil.exe pour capter un rle. Pour capter un
rle de matre d'oprations, procdez comme suit :
1. l'invite de commande, tapez ntdsutil, puis appuyez sur ENTRE.
2. l'invite de commande ntdsutil, tapez roles et appuyez sur ENTRE.
Les tapes suivantes tablissent une connexion au contrleur de domaine
auquel vous souhaitez confier le rle d'opration matre unique.
3. l'invite Maintenance Fsmo, tapez connections et appuyez sur ENTRE.
4. l'invite de connexion au serveur, tapez connect to server
NomCompletContrleurDomaine et appuyez sur ENTRE.
NomCompletContrleurDomaine est le nom de domaine complet du contrleur
de domaine auquel vous souhaitez confier le rle.
Ntdsutil rpond que la connexion au serveur a t tablie.
5. l'invite de connexion au serveur, tapez quit et appuyez sur ENTRE.
6. l'invite Maintenance Fsmo, tapez seize rle et appuyez sur ENTRE.
Rle correspond l'un des lments suivants :
Contrleur de schma
Matre des noms de domaine
Matre RID
Contrleur de domaine principal (PDC)
Matre d'infrastructure
7. l'invite Maintenance Fsmo, tapez quit et appuyez sur ENTRE.
8. l'invite de commande ntdsutil, tapez quit et appuyez sur ENTRE.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Restitution d'un rle son dtenteur d'origine
Pour qu'il soit possible de planifier une priode de temps d'arrt pour un
contrleur de domaine lorsqu'un rle a t transfr, mais pas capt, ce rle peut
tre restitu son contrleur de domaine d'origine.
Toutefois, lorsque le rle a t capt et que le matre prcdent peut tre ramen en
ligne, soyez extrmement prudent. L'mulateur PDC et le matre d'infrastructure
sont les seuls rles de matre d'oprations qui peuvent tre restitus au matre
d'origine aprs avoir t capts.

Remarque : ne remettez jamais en service un contrleur de schma, un matre de noms
de domaine ou un matre RID qui a t capt. Lorsque ces rles ont t capts, vous
devez dsaffecter entirement le contrleur de domaine d'origine.
Si vous avez capt les rles de contrleur de schma, de matre de noms de
domaine ou de matre RID pour les confier un autre contrleur de domaine, ne
remettez pas en ligne le contrleur de domaine d'origine sans l'avoir auparavant
entirement dsaffecter. Cela signifie que le dtenteur du rle d'origine doit tre
physiquement dconnect du rseau et que vous devez supprimer AD DS avec la
commande dcpromo /forceremoval. Vous devez galement nettoyer les
mtadonnes de ce contrleur de domaine selon les instructions fournies
l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.
Lorsque le contrleur de domaine a t entirement supprim d'Active Directory,
vous pouvez le reconnecter au rseau et y joindre un domaine si vous le souhaitez.
Si vous voulez en faire un contrleur de domaine, vous pouvez le promouvoir. Si
vous souhaitez qu'il reprenne le rle de matre d'oprations, vous pouvez lui
reconfier ce rle.

Remarque : il est prfrable de tout reconstruire. Du fait de la nature sensible des
contrleurs de domaine, il est prfrable dans ce cas de rinstaller entirement l'ancien

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique C : Transfert des rles de
matre d'oprations

Scnario
Vous tes administrateur de domaine chez Contoso, Ltd. L'alimentation
redondante de l'ordinateur HQDC01 est dfaillante et vous devez mettre le serveur
hors connexion pour assurer sa maintenance. Vous prfrez vous assurer que les
oprations AD DS ne soient pas interrompues pendant la mise hors connexion du
serveur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Identification des matres d'oprations
Dans cet exercice, vous allez vous servir de l'interface utilisateur et des outils de
ligne de commande pour identifier les matres d'oprations du domaine
contoso.com.
2. Identifier des matres d'oprations l'aide des composants logiciels enfichables
administratifs d'Active Directory.
3. Identifier des matres d'oprations l'aide de la commande NetDom.

Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur
Ouvrez D:\Labfiles\Lab11c.
Excutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le compte
Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin,
Fermez la fentre de l'Explorateur Windows, Lab11c.
Dmarrez 6238B-HQDC02-B sans ouvrir de session.

Tche 2 : Identification des matres d'oprations l'aide des
composants logiciels enfichables administratifs d'Active Directory
Excutez Utilisateurs et ordinateurs Active Directory en tant
qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de
passe Pa$$w0rd.
Utilisez Utilisateurs et ordinateurs Active Directory pour identifier les
dtenteurs des jetons de rle de matre d'oprations RID, PDC et
Infrastructure. Quel contrleur de domaine dtient ces rles ?
Fermez Utilisateurs et ordinateurs Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Excutez Domaines et approbations Active Directory en tant
passe Pa$$w0rd.
Utilisez Domaines et approbations Active Directory pour identifier les
dtenteurs des jetons de rle de matre d'oprations des noms de domaine.
Quel contrleur de domaine dtient ce rle ?
Fermez Domaines et approbations Active Directory.
Excutez l'invite de commande en tant qu'administrateur avec le nom
Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRE.
Excutez la commande mmc.exe en tant qu'administrateur avec le nom
Ajoutez le composant logiciel enfichable Schma Active Directory dans la
console.
Utilisez Schma Active Directory pour identifier les dtenteurs des jetons de
rle de matre d'oprations contrleur de schma. Quel contrleur de domaine
dtient ce rle ?
Fermez la console. Il n'est pas ncessaire d'enregistrer les modifications.

Tche 3 : Identification des matres d'oprations l'aide de la
commande NetDom
Tapez la commande netdom query fsmo et appuyez sur ENTRE.

Rsultats : Au terme de cet exercice, vous aurez utilis les composants logiciels
enfichables administratifs et la commande NetDom pour identifier les matres
d'oprations.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Transfert des rles de matre d'oprations
Dans cet exercice, vous allez prparer la mise hors connexion d'un matre
d'oprations en transfrant ses rles un autre contrleur de domaine. Vous
simulerez ensuite la mise hors connexion, la remise en ligne et la restitution du
rle de matre d'oprations.
1. Transfrer le rle PDC avec le composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory.
2. Examiner les autres rles avant la mise hors connexion d'un contrleur de
domaine.
3. Transfrer le rle PDC avec la commande NTDSUtil.

Tche 1 : Transfert du rle PDC avec le composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory
Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur,
avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Connectez-vous HQDC02.
Avant de transfrer un matre d'oprations, vous devez vous connecter au
contrleur de domaine auquel vous souhaitez confier ce rle.
Le nud racine du composant logiciel enfichable prsente le contrleur de
domaine auquel vous tes connect : Utilisateurs et ordinateurs Active
Directory [hqdc02.contoso.com].
Transfrez le rle de matre d'oprations PDC l'ordinateur HQDC02.

Tche 2 : Examen des autres rles avant la mise hors connexion d'un
contrleur de domaine
Vous tes prt mettre l'ordinateur HQDC01 hors connexion. Vous venez de
transfrer le rle de matre d'oprations PDC l'ordinateur HQDC02.
Dressez la liste des autres rles de matres d'oprations qu'il est ncessaire de
transfrer avant de mettre HQDC01 hors connexion.
Dressez la liste des autres rles de serveur qu'il est ncessaire de transfrer
avant de mettre HQDC01 hors connexion.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Transfert du rle PDC avec la commande NTDSUtil
La maintenance de l'ordinateur HQDC01 est prsent termine. Vous le remettez
donc en ligne.
N'oubliez pas que vous ne pouvez pas ramener un contrleur de domaine en ligne
si les rles de matre RID, de contrleur de schma ou de matre des noms de
domaine ont t capts. Vous pouvez cependant le remettre en ligne si le rle a t
transfr.
Utilisez NTDSUtil pour vous connecter HQDC01 et lui restituer le rle PDC.

Rsultats : Au terme de cet exercice, vous aurez transfr le rle PDC l'ordinateur
HQDC02 via le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory, puis restitu ce rle l'ordinateur HQDC01 via la commande NTDSUtil.

Remarque : vous pouvez arrter ces ordinateurs virtuels lorsque vous avez termin car
leur redmarrage est ncessaire pour l'atelier suivant.
Question : Si vous transfrez tous les rles avant de mettre un contrleur de
domaine hors connexion, est-il possible de le remettre en ligne ?
Question : Si un contrleur de domaine est dfaillant et que vous captez ses rles
pour les confier un autre contrleur de domaine, est-il possible de remettre le
contrleur de domaine dfaillant en ligne ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 4
Configuration de la rplication DFSR du dossier
SYSVOL

Le dossier SYSVOL, situ par dfaut dans %SystemRoot%\SYSVOL, contient les
scripts de connexion, les modles de stratgie de groupe (GPT) et d'autres
ressources essentielles pour le bon fonctionnement et la gestion d'un domaine
Active Directory. Dans l'idal, le dossier SYSVOL doit tre identique dans chaque
contrleur de domaine. Toutefois, des modifications tant parfois apportes aux
objets de stratgie de groupe et aux scripts de connexion, vous devez vrifier que
ces modifications soient bien rpliques dans tous les contrleurs de domaine.
Dans les versions prcdentes de Windows, les services FRS permettaient de
rpliquer le contenu du dossier SYSVOL entre des contrleurs de domaine. Les
limites des services FRS, en termes de capacits et de performances, entranent
parfois leur blocage. Malheureusement, la rsolution des problmes et la
configuration des services FRS sont assez difficiles. Dans les domaines Windows
Server 2008, vous avez la possibilit d'utiliser la rplication DFSR pour rpliquer le
contenu du dossier SYSVOL. Dans cette leon, vous allez apprendre effectuer la
migration du dossier SYSVOL du Service de rplication de fichiers (FRS) vers la
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
augmenter le niveau fonctionnel du domaine ;
migrer la rplication SYSVOL du Service de rplication de fichiers (FRS) vers la

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Augmentation du niveau fonctionnel du domaine

Points cls
Le Module 1, Prsentation des services de domaine Active Directory ,
introduisait le concept de niveaux fonctionnels des domaines et des forts. Le
Module 14, Gestion de plusieurs domaines et forts , vous permettra d'tudier
en dtail ces niveaux fonctionnels des domaines et des forts. Le niveau
fonctionnel d'un domaine est un paramtre qui limite les systmes d'exploitation
pris en charge en tant que contrleurs d'un domaine et active des fonctionnalits
supplmentaires d'Active Directory. Le niveau fonctionnel d'un domaine dot d'un
contrleur de domaine Windows Server 2008 peut tre l'un des trois suivants :
Windows 2000 Natif, Windows Server 2003 Natif et Windows Server 2008. Au
niveau fonctionnel de domaine natif Windows 2000, les contrleurs de domaine
peuvent excuter Windows 2000 Server ou Windows Server 2003. Au niveau
fonctionnel de domaine natif Windows Server 2003, les contrleurs de domaine
peuvent excuter Windows Server 2003. Au niveau fonctionnel de domaine
Windows Server 2008, tous les contrleurs de domaine doivent excuter Windows
Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Lorsque vous augmentez les niveaux fonctionnels, de nouvelles capacits d'Active
Directory sont actives. Au niveau fonctionnel de domaine Windows Server 2008,
par exemple, vous pouvez utiliser la rplication DFSR pour rpliquer le contenu du
dossier SYSVOL. La simple mise niveau de tous les contrleurs de domaine vers
Windows Server 2008 ne suffit pas : vous devez augmenter le niveau fonctionnel
du domaine en utilisant pour ce faire Domaines et approbations Active Directory.
Pour augmenter le niveau fonctionnel d'un domaine :
1. Excutez le composant logiciel enfichable Domaines et approbations Active
Directory.
2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau
fonctionnel du domaine.
3. Slectionnez le niveau fonctionnel Windows Server 2008, puis cliquez sur
Augmenter.

Une fois le niveau fonctionnel du domaine dfini sur Windows Server 2008, vous
ne pouvez pas y ajouter de contrleurs de domaine fonctionnant sous Windows
Server 2003 ou Windows 2000 Server. Le niveau fonctionnel est associ
uniquement aux systmes d'exploitation des contrleurs de domaine. Les serveurs
et les stations de travail membres peuvent excuter Windows Server 2003,
Windows 2000 Server, Windows Vista, Windows XP ou Windows 2000.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fonctionnement des phases de la migration

Points cls
Le dossier SYSVOL tant indispensable pour le bon fonctionnement de votre
domaine, Windows ne propose pas de mcanisme permettant de passer
instantanment du Service FRS la Rplication DFSR du dossier SYSVOL. En
ralit, la migration vers une rplication DFSR implique la cration d'une structure
SYSVOL parallle. Lorsque cette structure parallle a bien t mise en place, les
clients sont redirigs vers la nouvelle structure en tant que volume systme du
domaine. Lorsque l'opration a bien t effectue et que son fonctionnement a t
vrifi, vous pouvez liminer le service FRS.
La migration vers la rplication DFSR comprend quatre phases ou tats :
0 (dbut) : tat par dfaut d'un contrleur de domaine. Seul le service FRS est
utilis pour rpliquer le dossier SYSVOL.
1 (prpar) : une copie du dossier SYSVOL est cre dans un dossier nomm
SYSVOL_DFSR et ajoute un jeu de rplication. Le service DFSR commence
rpliquer le contenu des dossiers SYSVOL_DFSR dans tous les contrleurs
de domaine. Le service FRS poursuit cependant la rplication des dossiers
SYSVOL d'origine et les clients continuent utiliser le dossier SYSVOL.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

2 (redirig) : le partage SYSVOL, qui fait initialement rfrence au dossier
SYSVOL\domain\sysvol, est modifi de manire rfrencer le dossier
SYSVOL_DFSR\domain\sysvol. Les clients utilisent prsent le dossier
SYSVOL_DFSR pour rcuprer les scripts de connexion et les modles de
stratgie de groupe.
3 (limin) : la rplication de l'ancien dossier SYSVOL par le service FRS est
interrompue. Le dossier SYSVOL d'origine n'est cependant pas supprim. Si
vous souhaitez le supprimer dans son intgralit, vous devez le faire
manuellement.

Pour faire passer vos contrleurs de domaine travers ces phases, utilisez la
commande DFSMig. Trois options sont disponibles avec la commande
dfsrmig.exe :
setglobalstate tat
L'option setglobalstate configure l'tat actuel de la migration du service de
rplication DFSR global, qui s'applique tous les contrleurs de domaine.
L'tat est dfini par le paramtre tat, compris entre 0 et 3. Le nouvel tat de la
migration de rplication DFSR est signal chaque contrleur de domaine qui
migre automatiquement vers cet tat.
getglobalstate
L'option getglobalstate indique l'tat actuel de la migration DFSR globale.
getmigrationstate
L'option getmigrationstate indique l'tat de migration actuel de chaque
contrleur de domaine. Le signalement du nouvel tat de migration DFSR
global aux contrleurs de domaine pouvant prendre un certain temps, et la
ralisation des modifications requises par cet tat par un contrleur de
domaine pouvant tre encore plus longue, les contrleurs de domaine ne sont
pas instantanment synchroniss avec l'tat global. L'option getmigrationstate
vous permet de contrler la progression des contrleurs de domaine par
rapport l'tat actuel de la migration DFSR globale.

En cas de problme lors du passage d'un tat au suivant, vous pouvez rtablir les
tats prcdents avec l'option setglobalstate. Toutefois, une fois que vous avez
utilis l'option setglobalstate pour dfinir l'tat 3 (limin), vous ne pouvez plus
rtablir les tats antrieurs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Migration vers la rplication DFSR du dossier SYSVOL

Points cls
Pour faire migrer la rplication SYSVOL du Service de rplication de fichiers (FRS)
vers la Rplication du systme de fichiers distribu (DFSR), procdez comme suit :
1. Ouvrez le composant logiciel enfichable Domaines et approbations Active
Directory.
2. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau
fonctionnel du domaine.
3. Si le champ Niveau fonctionnel du domaine actuel n'indique pas Windows
Server 2008, choisissez Windows Server 2008 dans la liste Slectionner un
niveau fonctionnel du domaine disponible.
4. Cliquez sur Augmenter. Cliquez deux reprises sur OK dans les botes de
dialogue qui s'affichent.
5. Ouvrez une session sur un contrleur de domaine et ouvrez une invite de
commande.
6. Tapez dfsrmig /setglobalstate 1.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

7. Tapez dfsrmig /getmigrationstate pour connatre la progression des
contrleurs de domaine vis--vis de l'tat global Prpar. Rptez cette tape
jusqu' ce que tous les contrleurs de domaine aient atteint cet tat.
Cette opration peut prendre 15 minutes une heure, voire davantage.
contrleurs de domaine vis--vis de l'tat global Redirig. Rptez cette tape
Une fois que vous avez commenc la migration de l'tat 2 (prpar) vers
l'tat 3 (rpliqu), toutes les modifications apportes au dossier SYSVOL
devront tre rpliques manuellement dans le dossier SYSVOL_DFSR.
contrleurs de domaine vis--vis de l'tat global limin. Rptez cette tape
12. Pour plus d'informations sur la commande dfsrmig.exe, tapez dfsrmig.exe /?.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique D : Configuration de la
rplication DFSR du dossier SYSVOL

Scnario
Vous tes administrateur chez Contoso. Vous avez rcemment procd la mise
niveau du dernier contrleur de domaine Windows Server 2003 vers Windows
Server 2008 et vous souhaitez prsent profiter de la rplication amliore du
dossier SYSVOL grce la rplication DFSR.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Observation de la rplication du dossier SYSVOL
Dans cet exercice, vous allez observer la rplication du dossier SYSVOL par le
service de rplication de fichiers (FRS) en ajoutant un script de connexion au
partage NETLOGON et en observant sa rplication vers un autre contrleur de
domaine.
2. Observer la rplication du dossier SYSVOL.

Arrtez tous les ordinateurs virtuels.
Dmarrez 6238B-HQDC01-B et ouvrez une session avec le compte
Ouvrez D:\Labfiles\Lab11d.
Excutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le compte
Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin,
Fermez la fentre de l'Explorateur Windows, Lab11d.
Dmarrez 6238B-HQDC02-B et ouvrez une session avec le compte

Tche 2 : Observation de la rplication du dossier SYSVOL
Dans HQDC01, ouvrez %SystemRoot%\
Sysvol\sysvol\contoso.com\Scripts.
Excutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur
Enregistrez un fichier test sous le nom
%SystemRoot%\Sysvol\sysvol\contoso.com\Scripts\TestFRS.txt.
Dans HQDC02, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts
\Scripts.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vrifiez que le fichier TestFRS.txt a bien t rpliqu dans le dossier Scripts de
l'ordinateur HQDC02.
Si le fichier n'apparat pas immdiatement, patientez quelques instants. La
rplication peut prendre jusqu' 15 minutes. Vous pouvez ventuellement
passer l'Exercice 2. Avant de passer l'Exercice 3, vrifiez toutefois que le
fichier a bien t rpliqu.
Aprs avoir observ la rplication, fermez la fentre de l'Explorateur Windows
contenant le dossier Scripts des ordinateurs HQDC01 et HQDC02.

Rsultats : Au terme de cet exercice, vous aurez observ la rplication d'un fichier test
entre les dossiers SYSVOL\Scripts de deux contrleurs de domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Prparation de la migration vers la rplication
DFSR
Pour que la migration vers la rplication DFSR du dossier SYSVOL soit possible, le
domaine ne doit contenir que des contrleurs de domaine Windows Server 2008
et son niveau fonctionnel doit tre lev jusqu' Windows Server 2008. Dans cet
exercice, vous allez vrifi que les autres niveaux fonctionnels du domaine ne
prennent pas en charge la migration DFSR. Vous lverez ensuite le domaine au
niveau fonctionnel Windows Server 2008.
1. Confirmer le niveau fonctionnel actuel infrieur Windows Server 2008 pour
le domaine.
2. Confirmer l'indisponibilit de la rplication DFSR pour les niveaux
fonctionnels de domaine infrieurs Windows Server 2008.
3. Augmenter le niveau fonctionnel du domaine.
4. Confirmer la disponibilit de la rplication DFSR pour le niveau fonctionnel
Windows Server 2008 du domaine.

Tche 1 : Confirmation du niveau fonctionnel actuel infrieur
Windows Server 2008 pour le domaine
Dans HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant
passe Pa$$w0rd.
Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows Server
2003, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de
dialogue.

Tche 2 : Confirmation de l'indisponibilit de la rplication DFSR pour
les niveaux fonctionnels de domaine infrieurs Windows Server 2008
Tapez dfsrmig /getglobalstate et appuyez sur ENTRE. Le message qui
s'affiche vous signale que la commande dfsrmig n'est prise en charge que par
les domaines de niveau fonctionnel Windows Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Augmentation du niveau fonctionnel du domaine
Dans Utilisateurs et ordinateurs Active Directory, levez le domaine vers le
Fermez Utilisateurs et ordinateurs Active Directory.

Tche 4 : Confirmation de la disponibilit de la rplication DFSR pour
le niveau fonctionnel Windows Server 2008 du domaine
Revenez l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez
sur ENTRE. Le message qui s'affiche vous signale que la migration DFSR n'a
pas encore t dclenche.

Rsultats : Au terme de cet exercice, vous aurez lev le niveau fonctionnel du
domaine Windows Server 2008 et confirm que, ce faisant, vous avez rendu possible
la migration du dossier SYSVOL vers la rplication DFSR.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 3 : Migration de la rplication du dossier SYSVOL
vers DFSR
Dans cet exercice, vous allez faire migrer le mcanisme de rplication de FRS vers
DFSR.
La tche principale de cet exercice est la suivante :
1. Migrer de la rplication du dossier SYSVOL vers DFSR.

Tche 1 : Migration de la rplication du dossier SYSVOL vers DFSR
2. Tapez dfsrmig /setglobalstate 0 et appuyez sur ENTRE.
Le message suivant s'affiche :
Current DFSR global state: 'Start'
New DFSR global state: 'Start'
Invalid state change requested.
L'tat global par dfaut tant dj 0, Start', votre commande n'est donc pas
valide. Toutefois, cela permet de dclencher la migration DFSR.
3. Tapez dfsrmig /getglobalstate et appuyez sur ENTRE.
Succeeded.
4. Tapez dfsrmig /getmigrationstate et appuyez sur ENTRE.
All Domain Controllers have migrated successfully to Global state
('Start').
Migration has reached a consistent state on all Domain
Controllers.
Succeeded.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

New DFSR global state: 'Prepared'

Migration will proceed to 'Prepared' state. DFSR service will
copy the contents of SYSVOL to SYSVOL_DFSR
folder.

If any DC is unable to start migration then try manual polling.
OR Run with option /CreateGlobalObjects.
Migration can start anytime between 15 min to 1 hour.
Succeeded.
Le message qui s'affiche reflte l'tat de migration actuel de chaque contrleur
de domaine. La migration peut durer jusqu' 15 minutes.
7. Rptez cette tape jusqu' ce que le message suivant vous signale que la
migration a atteint l'tat 'Prpar' et a russi :
('Prepared').
Controllers.
Succeeded.
Lorsque vous recevez le message ci-dessus, passez l'tape suivante.
Pendant la migration vers l'tat 'Prpar', l'un des messages suivants peut
s'afficher :
The following Domain Controllers are not in sync with Global state
('Prepared'):

Domain Controller (Local Migration State) - DC Type
===================================================

HQDC01 ('Start') - Primary DC
HQDC02 ('Start') - Writable DC

Migration has not yet reached a consistent state on all Domain
Controllers.
State information might be stale due to AD latency.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

ou
('Prepared'):

===================================================

HQDC02 ('Waiting For Initial Sync') - Writable DC

Controllers.
ou
('Prepared'):

===================================================


Controllers.
8. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez du
bouton droit sur Observateur d'vnements, et choisissez Excuter en tant
qu'administrateur.
9. Cliquez sur Utiliser un autre compte.
10. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin.
11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre.
L'Observateur d'vnements apparat.
12. Dans l'arborescence de la console, dveloppez Journaux des applications et
des services et slectionnez Rplication DFSR.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

13. Localisez l'vnement associ l'ID 8014 et ouvrez ses proprits.
Vous devriez obtenir les informations illustres dans la capture d'cran
suivante.

14. Fermez l'Observateur d'vnements.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Current DFSR global state: 'Prepared'
New DFSR global state: 'Redirected'

Migration will proceed to 'Redirected' state. The SYSVOL share
will be
changed to SYSVOL_DFSR folder.

If any changes have been made to the SYSVOL share during the state
transition from 'Prepared' to 'Redirected', please robocopy the
changes
from SYSVOL to SYSVOL_DFSR on any replicated RWDC.
Succeeded.
18. Rptez l'tape 17 jusqu' ce que le message suivant vous signale que la
('Redirected').
Controllers.
Succeeded.
Lorsque vous recevez le message ci-dessus, passez la tche suivante.
Pendant la migration, les messages suivants peuvent s'afficher :
('Redirected'):

===================================================

HQDC02 ('Prepared') - Writable DC

Controllers.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Rsultats : Au terme de cet exercice, vous aurez fait migrer la rplication du dossier
SYSVOL vers DFSR dans le domaine contoso.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 4 : Vrification de la rplication DFSR du dossier
SYSVOL
Dans cet exercice, vous allez vrifier que le dossier SYSVOL a bien t rpliqu par
le service DFSR.
1. Confirmer le nouvel emplacement du dossier SYSVOL.
2. Observer la rplication du dossier SYSVOL.

Tche 1 : Confirmation du nouvel emplacement du dossier SYSVOL
l'invite de commande, tapez net share et appuyez sur ENTRE. Vrifiez que
le partage NETLOGON fait rfrence au dossier %SystemRoot%
\SYSVOL_DFSR\Sysvol\contoso.com\Scripts et que le partage SYSVOL fait
rfrence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol.

Dans HQDC01, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol
\contoso.com\Scripts.
Remarquez que le fichier TestFRS.txt cr prcdemment apparat dj dans le
dossier Scripts. Lorsque les contrleurs de domaine taient en tat Prpar, les
fichiers ont t rpliqus entre le dossier FRS SYSVOL hrit et le nouveau
dossier DFS-R SYSVOL.
Excutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur
Enregistrez un fichier test sous le nom %SystemRoot%\SYSVOL_DFSR
\Sysvol\contoso.com\Scripts \TestDFSR.txt.
Dans HQDC02, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol
\contoso.com\Scripts.
Vrifiez que le fichier TestDFSR.txt a bien t rpliqu dans le dossier Scripts
de l'ordinateur HQDC02.
Si le fichier n'apparat pas immdiatement, patientez quelques instants.

Rsultats : Au terme de cet exercice, vous aurez observ la rplication d'un fichier test
entre les dossiers SYSVOL_DFSR Scripts de deux contrleurs de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Question : Quelles diffrences vous attendriez-vous voir entre deux entreprises
dont l'une a initialement cr son domaine avec des contrleurs de domaine
Windows 2008 et l'autre a effectu une migration vers Windows Server 2008
depuis Windows Server 2003 ?
Question : Que devez-vous savoir lors de la migration de l'tat Prpar vers l'tat
Redirig ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Gestion des sites et de la rplication Active Directory 12-1
Module 12
Gestion des sites et de la rplication Active
Directory
Table des matires :
Leon 1 : Configuration des sites et des sous-rseaux 12-4
Atelier pratique A : Configuration des sites et des sous-rseaux 12-23
Leon 2 : Configuration des partitions d'application et du catalogue
global 12-27
Atelier pratique B : Configuration des partitions d'application et du
catalogue global 12-42
Leon 3 : Configuration de la rplication 12-48
Atelier pratique C : Configuration de la rplication 12-75
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dans les modules prcdents, vous avez appris que les contrleurs d'un domaine
Windows Server 2008 taient des homologues. Chaque contrleur gre une copie
de l'annuaire, excute des services similaires pour prendre en charge
l'authentification des entits de scurit, et les modifications apportes l'un
d'entre eux sont rpliques dans tous les autres contrleurs de domaine. En tant
qu'administrateur d'une entreprise Windows, l'une de vos tches consiste vous
assurer que l'authentification est aussi efficace que possible et que la rplication
entre les contrleurs de domaine est optimale. Les sites Active Directory sont le
composant central du service d'annuaire prenant en charge les objectifs de la
localisation et de la rplication des services. Dans ce module, vous allez apprendre
crer un service d'annuaire distribu capable de prendre en charge les
contrleurs de domaine situs dans des parties de votre rseau relies par des
connexions onreuses, lentes ou non fiables. Vous y apprendrez rpartir les
contrleurs de domaine de manire stratgique et grer la rplication et
l'utilisation des services. Vous apprendrez galement contrler quelles donnes
sont rpliques dans chaque contrleur de domaine en configurant des partitions
d'application et des catalogues globaux.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Objectifs
configurer des sites et des sous-rseaux ;
comprendre l'emplacement des contrleurs de domaine et grer les
contrleurs de domaine dans les sites ;
configurer la rplication du jeu d'attributs partiels vers les serveurs de
catalogues globaux ;
implmenter la mise en cache de l'appartenance au groupe universel ;
comprendre la fonction des partitions de l'annuaire d'applications ;
configurer la topologie de rplication avec des objets de connexion, des
serveurs tte de pont, des liens de sites et des ponts de liens de sites ;
gnrer des rapports, analyser et rsoudre les problmes de rplication avec les
outils repadmin.exe et dcdiag.exe ;

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Leon 1
Configuration des sites et des sous-rseaux

Active Directory reprsente les personnes sous forme d'objets utilisateur dans le service
d'annuaire. Il reprsente les ordinateurs par des objets ordinateur. Il reprsente la
topologie du rseau par des objets appels sites et sous-rseaux. Les objets site
Active Directory sont utiliss pour grer la rplication et la localisation des services
et, par chance, la configuration des sites et des sous-rseaux est assez simple dans la
plupart des environnements. Dans cette leon, vous allez tudier les techniques et les
concepts de base requis pour configurer et grer des sites et des sous-rseaux.
Objectifs
identifier le rle des sites et des sous-rseaux ;
dcrire le processus utilis par les clients pour localiser un contrleur de
domaine ;
configurer des sites et des sous-rseaux ;
grer les objets serveur de contrleur de domaine dans les sites.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement des sites

Points cls
Lorsque les administrateurs dcrivent leur infrastructure rseau, ils mentionnent
souvent le nombre de sites que comprend leur entreprise. Pour la plupart d'entre
eux, un site est un emplacement physique, par exemple un bureau ou une ville.
Les sites sont connects par des liaisons rseau qui peuvent tre aussi simples que
des connexions d'accs distance ou aussi sophistiques que des liaisons par fibre
optique. Runis, les emplacements physiques et leurs liaisons composent
l'infrastructure du rseau.
Active Directory reprsente l'infrastructure rseau par des objets appels sites et
liens de site et, bien que les termes soient similaires, ces objets ne correspondent
pas aux sites et aux liens dcrits par les administrateurs. Cette leon tudie les sites
et la Leon 3 les liens de sites.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Il est important de bien comprendre les proprits et les rles des sites dans Active
Directory afin de saisir la subtile diffrence entre les sites Active Directory et les
sites rseau. Les sites Active Directory sont des objets de l'annuaire, en particulier
le conteneur Configuration (CN=Configuration,DC=domaine racine de la fort). Ces
objets permettent de mener bien deux tches de gestion de service :
Grer le trafic de rplication
Simplifier la localisation des services

Trafic de rplication
La rplication est le transfert des modifications entre les contrleurs de domaine.
Lorsque vous ajoutez un utilisateur ou lorsque vous modifiez le mot de passe d'un
utilisateur par exemple, la modification est valide dans l'annuaire par un seul
contrleur de domaine. Elle doit ensuite tre communique tous les autres
contrleurs du domaine.
Active Directory part de l'hypothse que votre entreprise comprend deux types de
rseau : l'un avec un haut degr de connectivit et l'autre avec un degr de
connectivit moindre. De manire conceptuelle, une modification apporte Active
Directory doit tre immdiatement rplique dans les autres contrleurs de
domaine du rseau connectivit leve dans lequel la modification a t effectue.
Vous prfrerez toutefois que la modification ne soit pas immdiatement rplique
par l'intermdiaire de connexions plus lentes, plus onreuses ou moins fiables.
Vous favoriserez plutt la gestion de la rplication par les segments connectivit
moindre afin d'optimiser les performances, de rduire les cots ou de grer la
bande passante.
Un site Active Directory reprsente une portion connectivit leve de votre
entreprise. Lorsque vous dfinissez un site, ses contrleurs de domaine rpliquent
les modifications presque instantanment. La rplication entre sites peut tre
planifie et gre.
Localisation des services
Active Directory est un service distribu. Cela signifie, en supposant que vous avez
au moins deux contrleurs de domaine, que plusieurs serveurs (contrleurs de
domaine) fournissent les mmes services d'authentification et d'accs l'annuaire.
Si vous avez plusieurs sites rseau et que vous placez un contrleur de domaine
dans chacun d'eux, vous prfrerez encourager les clients s'authentifier auprs du
contrleur de domaine de leur site. Vous avez l un exemple de localisation de
services.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Les sites Active Directory vous aident localiser les services, notamment ceux
fournis par les contrleurs de domaine. l'ouverture d'une session, les clients
Windows sont automatiquement orients vers un contrleur de domaine de leur
site. Lorsque ce site ne comprend aucun contrleur de domaine, ils sont dirigs
vers le contrleur d'un autre site, capable de les authentifier efficacement.
D'autres services peuvent galement tre localiss. Espaces de noms du systme de
fichiers distribu (espaces de noms DFS), par exemple, est un service localis. Les
clients DFS obtiendront les ressources rpliques du serveur le plus efficace, selon
leur site Active Directory. De fait, comme les clients savent dans quel site ils se
trouvent, tout service distribu peut tre crit de manire tirer parti de la
structure de sites Active Directory pour localiser intelligemment l'utilisation des
services.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Planification des sites

Points cls
Les sites tant utiliss pour optimiser la rplication et permettre la localisation des
services, vous devez soigneusement concevoir votre structure de sites Active
Directory. Les sites Active Directory peuvent ne pas correspondre exactement
ceux de votre rseau. Imaginons deux scnarios :
Vos bureaux sont situs dans deux emplacements distincts. Vous placez un
contrleur de domaine dans chaque emplacement. Ces emplacements
prsentent un haut degr de connectivit et, pour amliorer les performances,
vous dcidez de configurer un seul site Active Directory comprenant les deux
emplacements.
Votre entreprise est situe sur un vaste campus haut degr de connectivit.
Du point de vue de la rplication, l'entreprise peut tre considre comme un
seul site. Toutefois, pour encourager les clients utiliser les services distribus
de leur emplacement, vous configurez plusieurs sites pour assurer la
localisation des services.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Un site Active Directory peut donc inclure plusieurs sites rseau ou tre un sous-
ensemble d'un seul site rseau. L'essentiel est de se rappeler que les sites servent
la fois pour la gestion de la rplication et pour la localisation des services. Pour
dterminer le nombre de sites dont vous avez besoin, utilisez plusieurs
caractristiques de votre entreprise :
Vitesse de connexion
Tout site Active Directory reprsente une unit du rseau caractrise par une
connexion rapide, fiable et peu onreuse. Beaucoup de documentations suggrent
que le plus bas dbit d'un site ne doit pas tre infrieur 512 Kbits/s. Toutefois, ce
dbit conseill peut varier. Certaines organisations ont des liaisons beaucoup plus
lentes (56 ou mme 28 Kbits/s) dans un site.
Placement des services
Les sites Active Directory grant la rplication Active Directory et la localisation des
services, il n'est pas pratique de crer un site pour un emplacement rseau qui
n'hberge aucun contrleur de domaine ou autre service prenant en charge Active
Directory, tel qu'une ressource DFS rplique.

Remarque : concernant les sites sans contrleur de domaine : les contrleurs de
domaine tant uniquement un service distribu dans une entreprise Windows, d'autres
services, tels que les ressources DFS rpliques, connaissent galement l'existence des
sites. Vous pouvez configurer des sites pour localiser des services autres que
l'authentification. Dans ce cas, vous aurez des sites sans contrleur de domaine.
Population d'utilisateurs
Les concentrations d'utilisateurs peuvent galement influencer la conception de
vos sites, mais indirectement. Si un emplacement du rseau hberge un grand
nombre d'utilisateurs pour qui l'impossibilit de s'authentifier poserait des
problmes, placez-y un contrleur de domaine pour prendre en charge
l'authentification cet endroit. Ds qu'un contrleur de domaine ou un autre
service distribu est plac cet endroit pour prendre ces utilisateurs en charge,
vous souhaiterez y grer la rplication Active Directory ou localiser les services en
configurant un site Active Directory qui reprsente cet emplacement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Synthse des critres de planification des sites
Chaque fort Active Directory comprend au moins un site. Le site par dfaut, cr
lorsque vous instanciez une fort avec le premier contrleur de domaine, est
appel Default-First-Site-Name. Vous devez crer des sites supplmentaires dans
les cas suivants :
Une partie du rseau est isole par une liaison lente.
Une partie du rseau a suffisamment d'utilisateurs pour justifier l'hbergement
de contrleurs de domaine ou d'autres services cet emplacement.
Le trafic des requtes envoyes l'annuaire justifie la prsence d'un contrleur
de domaine local.
Vous souhaitez contrler la localisation des services.
Vous souhaitez contrler la rplication entre les contrleurs de domaine.

Remarque sur le placement des serveurs DC
Les administrateurs rseau souhaitent souvent savoir quand il est recommand de
placer un contrleur de domaine (DC) dans un site distant. La rponse est : cela
dpend . Pour tre plus prcis, cela dpend des ressources dont les utilisateurs
ont besoin dans le site et du niveau de tolrance des interruptions de service.
Imaginons par exemple que les utilisateurs d'un site distant excutent toutes leurs
tches en accdant aux ressources du centre de donnes. Si la liaison avec ce site
distant est rompue, les utilisateurs ne peuvent plus accder aux ressources dont ils
ont besoin, et un contrleur de domaine local n'amliorerait pas la situation.
Toutefois, si les utilisateurs accdent aux ressources du site distant et que la liaison
est rompue, un contrleur de domaine local peut continuer leur fournir
l'authentification et ils peuvent poursuivre leur travail avec leurs ressources locales.
Dans la plupart des scnarios de succursales, ces bureaux hbergent des
ressources dont les utilisateurs ont besoin pour effectuer leur travail quotidien. Si
ces ressources ne sont pas stockes directement dans l'ordinateur de l'utilisateur,
celui-ci doit tre authentifi. C'est la raison pour laquelle un contrleur de domaine
est gnralement recommand. L'introduction des Contrleurs de domaine en
lecture seule (RODC) sous Windows Server 2008 rduit les risques et la charge de
gestion dans les succursales. Il est ainsi plus facile pour la plupart des
organisations de dployer des DC dans chaque emplacement du rseau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Cration des sites

Points cls
Les sites et la rplication sont grs l'aide du composant logiciel enfichable Sites
et services Active Directory. Pour dfinir un site Active Directory, vous allez crer
un objet de site de classe. L'objet site est un conteneur qui gre la rplication des
contrleurs de domaine du site. Vous allez galement crer un ou plusieurs objets
sous-rseau. Un objet sous-rseau dfinit une plage d'adresses IP et est reli un
site. La localisation des services est obtenue lorsque l'adresse IP d'un client peut
tre associe un site via la relation entre l'objet sous-rseau et l'objet site.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour crer un site :
1. Cliquez avec le bouton droit sur le nud Sites dans Sites et services Active
Directory, puis cliquez sur Nouveau site.
2. Dans la bote de dialogue Nouvel objet Site qui s'ouvre, entrez le nom du
site et slectionnez un lien de site.

Le lien de site par dfaut, DEFAULTIPSITELINK, sera le seul lien de site
disponible jusqu' ce que vous en criez d'autres (voir la Leon 3).

Aprs la cration d'un site, vous pouvez cliquer sur son entre et choisir
Renommer pour changer son nom. Il est recommand de renommer le site Default-
First-Site-Name afin d'obtenir un nom qui convienne la topologie de votre rseau
et de votre entreprise.
Les sites ne sont utiles que lorsqu'un client ou un serveur sait quel site il
appartient. Pour obtenir cette information, vous associez gnralement l'adresse IP
d'un systme avec un site, et les objets sous-rseau rcuprent cette association.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour crer un objet sous-rseau :
1. Cliquez avec le bouton droit sur le nud Sous-rseaux dans Sites et services
Active Directory, puis cliquez sur Nouveau sous-rseau. La bote de dialogue
Nouvel objet Sous-rseau s'affiche.
2. Entrez le prfixe du rseau et la longueur du masque de sous-rseau.

L'objet sous-rseau est dfini sous forme de plage d'adresses l'aide de la
notation des prfixes du rseau. Par exemple, pour un sous-rseau
reprsentant les adresses 10.1.1.1 10.1.1.254 avec un masque de sous-rseau
de 24 bits, le prfixe serait 10.1.1.0/24. Pour plus d'informations sur la saisie
des adresses, cliquez sur le lien En savoir plus sur la saisie des prfixes
d'adresse dans la bote de dialogue Nouvel objet Sous-rseau.
3. Aprs la saisie du prfixe du rseau, slectionnez l'objet site avec lequel le sous-
rseau est associ.
Un sous-rseau ne peut tre associ qu' un seul site. Toutefois, un site peut
avoir plusieurs sous-rseaux relis lui. La bote de dialogue Proprits d'un
site, illustre par la capture d'cran suivante, prsente les sous-rseaux associs
au site. Toutefois, vous ne pouvez pas modifier les sous-rseaux dans cette
bote de dialogue. Pour changer le site auquel un sous-rseau est reli, vous
devez ouvrir les proprits du sous-rseau, illustres par la capture d'cran
suivante.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarque : dfinissez chaque sous-rseau IP. Dans votre environnement de
production, assurez-vous de dfinir chaque sous-rseau IP en tant qu'objet sous-rseau
dans Active Directory. Si l'adresse IP d'un client n'est pas incluse dans une plage de sous-
rseaux, ce client est incapable de savoir quel site Active Directory il appartient. Ceci
risque d'entraner des problmes de performance et de fonctionnement. N'oubliez pas
les sous-rseaux du segment principal et ceux utiliss pour l'accs distant, tel que les
plages d'adresses d'un rseau priv virtuel (VPN).

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Gestion des contrleurs de domaine des sites

Points cls
Parfois, vous devez grer les contrleurs de domaine des sites Active Directory :
Vous crez un nouveau site et vous y placez un contrleur de domaine
existant.
Vous rtrogradez un contrleur de domaine.
Vous affectez un nouveau contrleur de domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsque vous crez votre fort Active Directory, le premier contrleur de domaine
est automatiquement plac sous l'objet site nomm Default-First-Site-Name. Vous
pouvez voir le contrleur de domaine SERVER01.contoso.com dans la capture
d'cran suivante.

D'autres contrleurs de domaine seront ajouts aux sites en fonction de leurs
adresses IP. Par exemple, si un serveur dont l'adresse IP est 10.1.1.17 est promu
contrleur de domaine, il sera automatiquement ajout au site BRANCHA car le
sous-rseau 10.1.1.0/24 a t associ au site BRANCHA (voir la diapositive
prcdente). La capture d'cran prcdente prsente SERVER02 dans le site
BRANCHA.
Chaque site contient un conteneur Servers, qui contient lui-mme un objet pour
chaque contrleur de domaine du site. Le conteneur Servers d'un site doit
prsenter uniquement les contrleurs de domaine, pas tous les serveurs. Lorsque
vous affectez un nouveau contrleur de domaine, il sera plac par dfaut dans le
site associ son adresse IP. Toutefois, l'Assistant Installation des services de
domaine Active Directory vous permettra de spcifier un autre site. Vous pouvez
galement pr-crer l'objet serveur du contrleur de domaine dans le site correct
en cliquant avec le bouton droit sur le conteneur Servers du site concern et en
choisissant Serveur dans le menu Nouveau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour finir, vous pouvez dplacer le contrleur de domaine dans le site appropri
aprs l'installation en cliquant avec le bouton droit sur le serveur et en choisissant
Dplacer. Dans la bote de dialogue Dplacer le serveur, slectionnez le nouveau
site et cliquez sur OK. Le contrleur de domaine est dplac. Il est recommand de
placer un contrleur de domaine dans l'objet site qui est associ l'adresse IP du
contrleur de domaine. Si un DC est multirsident, il ne peut appartenir qu' un
seul site. Si un site n'a aucun contrleur de domaine, les utilisateurs pourront
toujours se connecter au domaine. Leurs demandes d'ouverture de session seront
gres par un contrleur de domaine d'un site adjacent ou par un autre contrleur
du domaine.
Pour supprimer un objet contrleur de domaine, cliquez avec le bouton droit sur
son entre et choisissez Supprimer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Emplacement des contrleurs de domaine :
enregistrements SRV

Points cls
Au dbut de cette leon, vous avez examin les services de domaine Active
Directory (AD DS) en tant que service distribu, fournissant l'authentification et
l'accs l'annuaire sur plusieurs contrleurs de domaine. Vous avez appris
identifier, dans la topologie de votre rseau, l'emplacement o vous devez dfinir
les sites et placer les contrleurs de domaine. Maintenant, vous tes prt
examiner comment fonctionne prcisment la localisation des service : comment
les clients Active Directory sont informs de la prsence des sites et comment ils
localisent le contrleur de domaine de leur site. Bien que ce niveau de dtails soit
peu susceptible de faire l'objet d'une question dans l'examen de certification, il
vous sera trs utile lorsque vous devrez rsoudre les problmes d'authentification
d'un ordinateur ou d'un utilisateur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Enregistrements du localisateur de service
Lorsqu'un contrleur de domaine est ajout au domaine, il publie ses services en
crant des enregistrements SRV (Service Locator), galement appels
enregistrements du localisateur dans le systme DNS. la diffrence des
enregistrements hte (enregistrements A), qui tablissent la correspondance entre
les noms d'hte et les adresses IP, les enregistrements SRV mappent les services
avec les noms d'hte. Le contrleur de domaine publie sa capacit fournir
l'authentification et l'accs l'annuaire en inscrivant des enregistrements Kerberos
et LDAP SRV. Ces enregistrements SRV sont ajouts plusieurs dossiers dans les
zones DNS de la fort. Le premier dossier se trouve au sein de la zone du domaine.
Il est appel _tcp et contient les enregistrements SRV de tous les contrleurs du
domaine. Le second dossier est spcifique au site qui contient le contrleur de
domaine, avec le chemin _sites\nomdusite\_tcp, o nomdusite correspond au nom
du site.

Dans la capture d'cran prcdente, vous pouvez voir les enregistrements Kerberos
et LDAP SRV de SERVER02.contoso.com dans son site, _sites\BRANCHA\_tcp.
Vous voyez galement le dossier _tcp au premier niveau sous la zone.
Les mmes enregistrements sont inscrits plusieurs endroits de la zone
_msdcs.nomDomaine, par exemple _msdcs.contoso.com dans la capture d'cran
prcdente. Cette zone contient les enregistrements des Services de contrleur de
domaine Microsoft. Les caractres de soulignement sont imposs par la norme
RFC 2052.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Les enregistrements SRV contiennent les lments suivants :
Le nom du service et le numro du port : cette partie de l'enregistrement SRV
dsigne un service sur un port fixe. Le port n'est pas ncessairement un port
trs courant. Sous Windows Server 2008, les enregistrements SRV incluent
LDAP (port 389), Kerberos (port 88), le protocole de mots de passe Kerberos
(KPASSWD, port 464) et les services CG (port 3268).
Protocole : TCP ou UDP sera indiqu en tant que protocole de transport pour
le service. Le mme service peut utiliser les deux protocoles, dans des
enregistrements SRV distincts. Les enregistrements Kerberos, par exemple,
sont inscrits la fois pour TCP et pour UDP. Les clients Microsoft utilisent
uniquement le protocole TCP, mais les clients UNIX peuvent utiliser le
protocole TCP.
Nom d'hte : ce nom correspond l'enregistrement A (Hte) du serveur qui
hberge le service. Lorsqu'un client demande un service, le serveur DNS
renvoie l'enregistrement SRV et les enregistrements A associs. Ainsi, le client
n'a pas besoin d'envoyer une autre requte pour rsoudre l'adresse IP d'un
service.

Dans les enregistrements SRV, le nom du service respecte la hirarchie DNS
standardise : les composants sont spars par des points. Par exemple, le service
Kerberos d'un contrleur de domaine est inscrit au format suivant :
kerberos._tcp.nomSite._sites.nomDomaine
En lisant cet enregistrement SRV de droite gauche, comme les autres
enregistrements DNS, cela donne :
nomDomaine : le domaine ou la zone, par exemple contoso.com
_sites : tous les sites inscrits avec DNS
nomSite : site du contrleur de domaine qui a inscrit le service
_tcp : tout service TCP du site
kerberos : centre de distribution de cls Kerberos (KDC) utilisant TCP comme
protocole de transport

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Emplacement des contrleurs de domaine : Client

Points cls
Imaginons qu'un client Windows vienne d'tre joint au domaine. Il redmarre,
reoit une adresse IP d'un serveur DHCP et est prt s'authentifier auprs du
domaine. Comment le client sait-il o trouver un contrleur de domaine ?
Il n'en sait rien. Donc, il demande le domaine d'un contrleur de domaine par la
requte du dossier _tcp qui, vous vous en souvenez, contient les enregistrements
SRV de tous les contrleurs du domaine. Le systme DNS renvoie la liste de tous
les contrleurs de domaine correspondants, et le client tente alors de tous les
contacter. Le premier contrleur de domaine qui rpond au client examine
l'adresse IP de celui-ci, il croise les rfrences entre cette adresse et les objets sous-
rseau, puis il signale au client quel site celui-ci appartient. Le client stocke le
nom du site dans son Registre, puis demande les contrleurs de domaine du
dossier _tcp propre ce site. Le systme DNS renvoie la liste de tous les
contrleurs de domaine de ce site. Le client tente alors de tous les contacter, et le
premier contrleur de domaine qui rpond authentifie le client.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Le client tablit une relation d'affinit avec ce contrleur de domaine et tentera
toujours de s'authentifier auprs de celui-ci dans le futur. Si ce contrleur de
domaine est indisponible, le client redemande le dossier _tcp du site et tente de
contacter tous ses contrleurs de domaine. Cependant, que se passe-t-il si le client
utilise un ordinateur portable ? Imaginons que l'ordinateur a t authentifi dans le
site BRANCHA et que l'utilisateur amne cet ordinateur dans le site BRANCHB.
Lorsque l'ordinateur dmarre, il tente de s'authentifier auprs de son contrleur de
domaine prfr dans le site BRANCHA. Ce contrleur de domaine s'aperoit que
l'adresse IP du client est associe au site BRANCHB et lui signale son nouveau site.
Le client interroge alors le systme DNS pour obtenir les contrleurs de domaine
du site BRANCHB.
Vous voyez ainsi comment un client est encourag utiliser les services de son
site : en stockant les informations sur les sites et les sous-rseaux dans Active
Directory et en inscrivant les services dans le systme DNS. Le choix des services
rsidant dans le site des clients est la dfinition mme de localisation de services.
Pour plus d'informations sur l'emplacement des contrleurs de domaine,
consultez l'article http://go.microsoft.com/fwlink/?LinkId=168550.

Couverture des sites
Que se passe-t-il si un site n'a aucun contrleur de domaine ? Les sites peuvent
servir diriger les utilisateurs vers des copies locales des ressources rpliques,
telles que les dossiers partags et rpliqus dans un espace de noms DFS. Il est
donc possible que certains sites n'aient pas de contrleur de domaine. Dans ce cas,
un contrleur de domaine proche inscrira ses enregistrements SRV dans le site au
cours d'un processus appel couverture de sites. Pour tre plus prcis, tout site
sans contrleur de domaine sera gnralement couvert par un contrleur de
domaine d'un site prsentant le moindre cot pour cette couverture. Vous en
dcouvrirez plus sur les cots de liaison des sites la Leon 3. Vous pouvez
galement configurer manuellement la couverture des sites et les priorits des
enregistrements SRV si vous souhaitez implmenter un contrle strict de
l'authentification auprs de sites sans contrleur de domaine. L'URL mentionne
contient des dtails sur l'algorithme qui dtermine quel contrleur de domaine
couvre automatiquement un site qui en est dpourvu.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Configuration des sites et
des sous-rseaux

Scnario
Vous tes administrateur chez Contoso, Ltd. Vous vous prparez amliorer la
localisation des services et la rplication Active Directory dans votre entreprise.
L'administrateur prcdent n'a pas modifi la configuration par dfaut des sites et
des sous-rseaux. Vous souhaitez commencer par dfinir votre topologie physique
dans Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration du site par dfaut
Dans cet exercice, vous allez renommer le site Default-First-Site-Name et lui
associer deux sous-rseaux.
2. Modifier le nom Default-First-Site-Name.
3. Crer un sous-rseau avec association un site.

Pat.Coleman et le mot de passe Pa$$w0rd. Le dmarrage de cet ordinateur
virtuel peut prendre plusieurs minutes.
Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y
ouvrir de session.
Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de
session.
Aprs le dmarrage de HQDC03, dmarrez 6238B-BRANCHDC01-B sans y
ouvrir de session.
Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche suivante.

Tche 2 : Changement du nom Default-First-Site-Name
Excutez Sites et services Active Directory en tant qu'administrateur, avec le
nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Remplacez le nom Default-First-Site-Name par HEADQUARTERS.

Tche 3 : Cration d'un sous-rseau avec association un site
Crez deux sous-rseaux : 10.0.0.0/24 et 10.0.1.0/24, et associez chacun
d'eux au site HEADQUARTERS.

Rsultats : Au terme de cet exercice, vous devriez avoir un site nomm
HEADQUARTERS et deux sous-rseaux (10.0.0.0/24 et 10.0.1.0/24) associs ce site.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration de sites supplmentaires
Dans cet exercice, vous allez crer un second site et lui associer un sous-rseau.
1. Crer des sites supplmentaires.
2. Crer des sous-rseaux et association avec les sites.

Tche 1 : Cration de sites supplmentaires
Crez un site nomm HQ-BUILDING-2.
Crez un site nomm BRANCHA.

Tche 2 : Cration de sous-rseaux et association avec les sites
Crez un sous-rseau, 10.1.0.0/24, et associez-le au site HQ-BUILDING-2.
Crez un sous-rseau, 10.2.0.0/24, et associez-le au site BRANCHA.

Rsultats : Au terme de cet exercice, vous devriez avoir cr deux nouveaux sites, HQ-
BUILDING-2 et BRANCHA, et les avoir associs aux sous-rseaux 10.1.0.0/24 et
10.2.0.0/24.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Dplacement de contrleurs de domaine dans
des sites
Tche 1 : Dplacement de contrleurs de domaine vers de nouveaux
sites
Dplacez HQDC03 dans le site HQ-BUILDING-2.
Dplacez BRANCHDC01 dans le site BRANCHA.

Important : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les
paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants de ce
module.
Question : Vous avez un site de 50 sous-rseaux, chacun avec une adresse de sous-
rseau 10.0.x.0/24, et vous n'avez pas d'autre sous-rseau 10.0.x.0. Comment faire
pour faciliter l'identification des 50 sous-rseaux et les associer un site ?
Question : Pourquoi est-il important que tous les sous-rseaux soient identifis et
associs un site dans une entreprise plusieurs sites ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Leon 2
Configuration des partitions d'application et
du catalogue global

Ds que votre domaine comporte plus d'un contrleur de domaine, vous devez
envisager la rplication de la base de donnes de l'annuaire entre les contrleurs de
domaine. Dans cette leon, vous allez dcouvrir quelles partitions de l'annuaire
sont rpliques dans chaque contrleur de domaine d'une fort et comment grer
la rplication du catalogue global (CG) et des partitions d'application.
Objectifs
dfinir l'objectif du catalogue global ;
configurer des contrleurs de domaine en tant que serveurs CG ;
implmenter la mise en cache de l'appartenance au groupe universel ;
comprendre la fonction des partitions de l'annuaire d'applications.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Examen des partitions Active Directory

Points cls
Dans le Module 1, vous avez appris que les Services de domaine Active Directory
(AD DS) comprennent un magasin de donnes pour l'identit et la gestion,
notamment de la base de donnes de l'annuaire, Ntds.dit. Ce seul fichier contient
les partitions de l'annuaire. Chaque partition de l'annuaire, galement appele
contexte de nommage, contient les objets d'une certaine tendue. Trois contextes de
nommage majeurs sont abords dans ce cours :
Domaine : le contexte de nommage Domaine contient tous les objets stocks
dans un domaine, dont les utilisateurs, les groupes, les ordinateurs et les
conteneurs de la stratgie de groupe (GPC).
Configuration : la partition Configuration contient les objets qui reprsentent
la structure logique de la fort (domaines), ainsi que la topologie physique
(sites, sous-rseaux et services).
Schma : le Schma dfinit les classes des objets et leurs attributs pour
l'ensemble de l'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Chaque contrleur de domaine conserve une copie, ou rplica, de plusieurs
contextes de nommage. Comme le Schma, la Configuration est rplique dans
chaque contrleur de domaine de la fort. Le contexte de nommage Domaine d'un
domaine est rpliqu dans tous les contrleurs de ce domaine mais pas dans ceux
des autres domaines. Ainsi, chaque contrleur de domaine possde au moins trois
rplicas : le contexte de nommage Domaine de son domaine, Configuration et
Schma.
Traditionnellement, les rplicas taient des copies intgrales, contenant chaque
objet d'un attribut, et ils taient inscriptibles dans tous les contrleurs de domaine.
Depuis Windows Server 2008, les Contrleurs de domaine en lecture seule
(RODC) ont lgrement chang la donne. Tout RODC conserve un rplica en
lecture seule de tous les objets des contextes de nommage Configuration, Schma
et Domaine de son domaine. Toutefois, certains attributs ne sont pas rpliqus
dans un RODC, notamment les donnes confidentielles telles que les mots de
passe des utilisateurs, moins que la stratgie de mots de passe du RODC autorise
cette rplication. Il existe galement des attributs correspondant des donnes
confidentielles des domaines et de la fort qui ne sont jamais rpliqus dans les
RODC.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement du catalogue global

Points cls
Imaginez une fort comprenant deux domaines. Chacun d'eux possde deux
contrleurs de domaine. Ces quatre contrleurs de domaine conserveront un
rplica des contextes de nommage Schma et Configuration de la fort. Les
contrleurs de domaine du Domaine A ont des rplicas du contexte de nommage
du Domaine A, et les contrleurs de domaine du Domaine B ont des rplicas du
contexte de nommage du Domaine B.
Que se passe-t-il si un utilisateur du Domaine B recherche un utilisateur, un
ordinateur ou un groupe du Domaine A ? Les contrleurs du Domaine B ne
conservent aucune information sur les objets du Domaine A. Donc, un contrleur
du Domaine B ne peut pas rpondre une requte demandant des objets du
contexte de nommage Domaine du Domaine A.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
C'est l qu'intervient le catalogue global. Le catalogue global (CG) est une partition
qui stocke des informations sur chaque objet de la fort. Lorsqu'un utilisateur du
Domaine B recherche un objet du Domaine A, le CG fournit les rsultats de la
requte. Pour optimiser l'efficacit du CG, celui-ci ne contient pas tous les attributs
de chaque objet de la fort. Il contient uniquement un sous-ensemble des attributs
utiles pour la recherche inter-domaines. C'est pourquoi le CG est galement appel
Jeu d'attributs partiel (PAS). tant donn son rle dans la prise en charge des
recherches, vous pouvez considrer le CG comme une sorte d'index du magasin de
donnes AD DS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Emplacement des serveurs de catalogue global

Points cls
Le catalogue global amliore considrablement l'efficacit du service d'annuaire et
il est obligatoire pour les applications telles que Microsoft Exchange Server et
Microsoft Office Outlook. C'est pourquoi il faut qu'un catalogue global soit
disponible pour ces applications, entre autres. Seul un contrleur de domaine peut
servir de CG et, dans une configuration idale, chaque contrleur de domaine serait
galement un serveur CG. En ralit, de nombreuses organisations configurent
dsormais tous leurs contrleurs de domaine en tant que serveurs CG.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L'inconvnient d'une telle configuration concerne la rplication. Le CG est une
partition supplmentaire qui doit tre rplique. Dans une fort un seul domaine,
une lgre charge supplmentaire est ajoute lorsque vous configurez tous les
contrleurs de domaine en tant que serveurs CG. En effet, tous les contrleurs de
domaine conservent dj un jeu complet des attributs de tous les objets du
domaine et de la fort. Dans une grande fort plusieurs domaines, il y aura une
surcharge lie la rplication des modifications du jeu d'attributs partiel des objets
dans d'autres domaines. Toutefois, de nombreuses organisations estiment que la
rplication Active Directory est suffisamment efficace pour rpliquer le CG sans
impact notable sur leurs rseaux et que ses avantages sont bien suprieurs cet
inconvnient. Si vous dcidez de configurer tous vos contrleurs de domaine en
serveurs CG, vous n'aurez plus vous inquiter de l'emplacement du matre
d'oprations de l'infrastructure. En effet, son rle n'est plus ncessaire dans un
domaine o tous les contrleurs de domaine sont des serveurs CG.
Il est fortement recommand de configurer un serveur CG dans un contrleur de
domaine d'un site avec une ou plusieurs des caractristiques suivantes :
Une application couramment utilise interroge l'annuaire l'aide du port
3268, le serveur CG.
La connexion un serveur CG est lente ou non fiable.
Le site contient un ordinateur excutant Exchange Server.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Configuration d'un serveur de catalogue global (CG)

Points cls
Lorsque vous crez le premier domaine de la fort, le premier contrleur de
domaine est configur en tant que Catalogue global (CG).
Pour chaque contrleur de domaine supplmentaire, vous devez dcider s'il doit
s'agir d'un serveur CG ou non. L'Assistant Installation des services de domaine
Active Directory et la commande Dcpromo.exe vous permettent tous les deux de
configurer un serveur CG lors de la promotion d'un contrleur de domaine.
Vous pouvez galement ajouter un CG un contrleur de domaine ou l'en retirer
l'aide de Sites et services Active Directory.
Pour configurer un contrleur de domaine en tant que catalogue global :
1. Dveloppez le site, son conteneur Serveurs et l'objet serveur du contrleur de
domaine.
2. Cliquez avec le bouton droit sur le nud Paramtres NTDS et choisissez
Proprits.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Dans l'onglet Gnral, illustr dans la capture d'cran suivante, cochez la case
Catalogue global.

Pour supprimer le catalogue global d'un contrleur de domaine, rptez la mme
procdure en dsactivant la case cocher Catalogue global.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Mise en cache des appartenances un groupe universel

Points cls
Dans le Module 4, vous avez appris qu'Active Directory prend en charge les
groupes qui ont une tendue universelle. Les groupes universels sont conus pour
inclure des utilisateurs et des groupes de plusieurs domaines dans une fort.
L'appartenance aux groupes universels est rplique dans le catalogue global.
Lorsqu'un utilisateur ouvre une session, un serveur CG fournit son appartenance
un groupe universel. Si aucun CG n'est disponible, l'appartenance un groupe
universel ne l'est pas non plus. Il est possible d'utiliser un groupe universel pour
refuser l'accs d'un utilisateur aux ressources. C'est pourquoi Windows vite tout
incident de scurit en refusant l'authentification de l'utilisateur auprs du
domaine. Si l'utilisateur a dj ouvert une session sur son ordinateur auparavant, il
peut le refaire l'aide de ses informations d'identification mises en cache, mais ds
qu'il tente d'accder aux ressources du rseau, l'accs lui est refus.
Pour rsumer : si aucun serveur CG n'est disponible, les utilisateurs ne pourront
pas se connecter ni accder aux ressources du rseau.
Si chaque contrleur de domaine est un serveur CG, ce problme ne survient pas.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Toutefois, si la rplication vous inquite et si vous avez donc choisi de ne pas
configurer un contrleur de domaine en serveur CG, vous pouvez faciliter les
ouvertures de session en activant la Mise en cache des appartenances aux groupes
universels (UGMC). Lorsque vous configurez la mise en cache de l'appartenance
au groupe universel dans un contrleur de domaine d'une succursale par exemple,
ce contrleur de domaine va obtenir les informations d'appartenance auprs d'un
CG pour un utilisateur lors de sa premire ouverture de session dans le site. Et ce
contrleur de domaine va mettre ces informations en cache indfiniment, en les
actualisant toutes les huit heures. Ainsi, si l'utilisateur se connecte ultrieurement
et qu'aucun serveur CG n'est disponible, le contrleur de domaine peut utiliser ses
informations d'appartenance mises en cache pour autoriser la connexion de cet
utilisateur.
Il est donc recommand de configurer la mise en cache UGMC dans les contrleurs de
domaine des sites dont la connexion un serveur de catalogue global est peu fiable.
Pour configurer la mise en cache UGMC :
1. Ouvrez le composant logiciel enfichable Sites et services Active Directory et
slectionnez le site concern dans l'arborescence de la console.
2. Dans le volet d'informations, cliquez avec le bouton droit sur Paramtres de
site NTDS, puis choisissez Proprits.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. La bote de dialogue Proprits des paramtres de site NTDS, illustre dans
la capture d'cran suivante, expose l'option Activer la mise en cache de
l'appartenance au groupe universel. Vous pouvez cocher cette case et spcifier
le catalogue global partir duquel actualiser la mise en cache de
l'appartenance.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement des partitions de l'annuaire d'applications

Points cls
Bien que les partitions Domaine, Configuration et Schma de l'annuaire soient
rpliques dans tous les contrleurs de domaine d'un domaine, et que les partitions
Configuration et Schma soient encore rpliques dans tous les contrleurs de
domaine de la fort, et que le jeu d'attributs partiel soit rpliqu par les serveurs CG,
Active Directory prend galement en charge les partitions de l'annuaire d'applications.
Une partition de l'annuaire d'applications est une partie du magasin de donnes qui
contient les objets requis par une application ou un service qui est extrieur au service
AD DS central. la diffrence des autres partitions, les partitions d'application
peuvent tre cibles pour se rpliquer dans certains contrleurs de domaine. Par
dfaut, elles ne sont pas rpliques dans tous les contrleurs de domaine.
Les partitions de l'annuaire d'applications sont conues pour prendre en charge les
applications et les services Active Directory. Elles peuvent contenir tout type
d'objets, except les entits de scurit telles que les utilisateurs, les ordinateurs et
les groupes de scurit. Ces partitions tant rpliques uniquement lorsque c'est
ncessaire, elles offrent les avantages de la tolrance de pannes, de la disponibilit
et des performances tout en optimisant le trafic de la rplication.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour comprendre le fonctionnement de ces partitions, examinez celles qui sont
conserves par un serveur DNS Microsoft. Lorsque vous crez une zone intgre
Active Directory, les enregistrements DNS sont rpliqus entre les serveurs DNS
l'aide d'une partition de l'annuaire d'applications. La partition et ses objets
enregistrement DNS ne sont pas rpliqus dans tous les contrleurs de domaine,
uniquement dans ceux qui jouent le rle de serveur DNS.
Pour explorer les partitions de l'annuaire d'applications de votre fort :
1. Ouvrez le composant logiciel enfichable diteur ADSI.
2. Cliquez avec le bouton droit sur la racine de l'diteur ADSI, puis choisissez
Connexion .
3. Dans la liste droulante Slectionnez un contexte d'attribution de noms
connu, choisissez Configuration, puis cliquez sur OK.
4. Dveloppez Configuration et le dossier reprsentant la partition
Configuration, puis slectionnez le dossier Partitions CN=Partitions dans
l'arborescence de la console.
Dans le volet d'informations, vous verrez les partitions stockes dans votre
magasin de donnes AD DS, comme illustr dans la capture d'cran suivante.

Notez les deux partitions d'application de la figure, ForestDnsZones et
DomainDnsZones. La plupart des partitions d'applications sont cres par les
applications qui en ont besoin. DNS en est un exemple, et Telephony Application
Programming Interface (TAPI) en est un autre. Les membres du groupe Admins de
l'entreprise peuvent galement crer des partitions de l'annuaire d'applications
manuellement l'aide de la commande Ntdsutil.exe.
Une partition d'applications peut apparatre tout endroit de l'espace de noms de
la fort o peut apparatre une partition de domaines. Les noms uniques des
partitions DNS (DC=DomainDnsZones,DC=contoso,DC=com, par exemple)
placent les partitions en position d'enfant de la partition de domaines
DC=contoso,DC=com. Une partition d'applications peut galement tre un enfant
d'une autre partition d'applications ou une nouvelle arborescence dans la fort.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
En gnral, vous utiliserez des outils propres l'application pour grer la partition
de l'annuaire d'applications, ses donnes et sa rplication. Par exemple, l'ajout
d'une zone intgre Active Directory un serveur DNS configurera
automatiquement le contrleur de domaine pour qu'il reoive un rplica de la
partition DomainDns. Avec des outils tels que Ntdsutil.exe et Ldp.exe, vous
pouvez grer les partitions de l'annuaire d'applications directement.
Il est important de tenir compte des partitions d'applications avant de rtrograder
un contrleur de domaine. Si un contrleur de domaine hberge une partition de
l'annuaire d'applications, vous devez valuer la raison d'tre de cette partition : est-
elle requise par toutes les applications et le contrleur de domaine conserve-t-il son
dernier rplica. Auquel cas, la rtrogradation du contrleur de domaine entranera
une perte dfinitive de toutes les informations stockes dans la partition. Bien que
l'Assistant Installation des services de domaine Active Directory vous propose de
supprimer lui-mme les partitions de l'annuaire d'applications, il est recommand
de le faire manuellement avant de rtrograder un contrleur de domaine.
Pour plus d'informations sur les partitions de l'annuaire d'applications,
consultez l'article http://go.microsoft.com/fwlink/?LinkId=168551.
Pour apprendre grer les partitions de l'annuaire d'applications, consultez
l'article http://go.microsoft.com/fwlink/?LinkId=168553.
Pour plus d'informations sur les partitions de l'annuaire d'applications et la
rtrogradation des contrleurs de domaine, consultez l'article
http://go.microsoft.com/fwlink/?LinkId=168554.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Configuration des partitions
d'application et du catalogue global

Scnario
Vous tes administrateur chez Contoso, Ltd. Dans le cadre de l'amlioration de la
disponibilit et de la rsilience du service d'annuaire, vous dcidez de configurer
des serveurs CG supplmentaires et la mise en cache des appartenances aux
groupes universels. Vous tes galement intress par la relation entre les zones
intgres Active Directory et les partitions d'application DNS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration d'un serveur de catalogue global
(CG)
Le premier contrleur de domaine d'une fort agit en tant que serveur de catalogue
global. Vous prfrerez placer des serveurs CG d'autres endroits pour prendre en
charge les interrogations de l'annuaire, les ouvertures de session et les applications
telles que Exchange Server. Dans cet exercice, vous allez configurer BRANCHDC01
pour qu'il hberge un rplica du jeu d'attributs partiel : le catalogue global.
2. Configurer un serveur de catalogue global

Tche 1 : Dmarrage des ordinateurs virtuels et ouverture d'une
session
Les ordinateurs virtuels devraient dj avoir t dmarrs et tre disponibles aprs
l'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez la procdure ci-dessous,
puis effectuez les exercices 1 3 de l'Atelier pratique A avant de continuer.
1. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur
2. Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y
ouvrir de session.
3. Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de
session.
4. Aprs le dmarrage de HQDC03, dmarrez 6238B-BRANCHDC01-B sans y
ouvrir de session.
5. Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche
suivante.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : configuration d'un serveur de catalogue global (CG)
1. Excutez Sites et services Active Directory en tant qu'administrateur, avec le
nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2. Configurez HQDC02 pour agir en tant que serveur CG.
3. Confirmez que BRANCHDC01 est un serveur de catalogue global.

Rsultats : au terme de cet exercice, vous aurez configur HQDC02 pour qu'il soit un
serveur de catalogue global et confirm que BRANCHDC01 est dj un serveur de
catalogue global.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration de la mise en cache des
appartenances un groupe universel
Dans les sites sans serveur de catalogue global, la connexion des utilisateurs peut
chouer si le contrleur de domaine du site est incapable de contacter un serveur
de catalogue global d'un autre site. Pour viter que ce scnario ne se produise, vous
pouvez configurer un site de sorte qu'il mette en cache l'appartenance aux groupes
universels. Dans cet exercice, vous allez crer un site qui reflte le bureau d'une
succursale et le configurer pour qu'il mette en cache l'appartenance des groupes
universels.
configurer la mise en cache de l'appartenance au groupe universel.

Tche 1 : Configuration de la mise en cache de l'appartenance aux
groupes universels
Configurez les Paramtres du site NTDS de BRANCHA de sorte que les
contrleurs de domaine mette en cache l'appartenance des groupes
universels.

Rsultats : Au terme de cet exercice, vous aurez configur des contrleurs de domaine
dans BRANCHA pour la mise en cache de l'appartenance aux groupes universels.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Examen du systme DNS et des partitions de
l'annuaire d'applications
Dans cet exercice, vous allez explorer les enregistrements DNS relatifs la
rplication et la partition de l'annuaire d'applications DomainDnsZone, l'aide
de l'diteur ADSI.
1. Vrifier les enregistrements DNS relatifs la rplication.
2. Vrifier la partition DNS de l'annuaire d'applications.

Tche 1 : Examen des enregistrements DNS relatifs la rplication
1. Excutez le Gestionnaire DNS en tant qu'administrateur avec le nom
2. Examinez les enregistrements SRV du domaine
_tcp.HEADQUARTERS._sites.contoso.com
3. Examinez les enregistrements SRV du domaine
_tcp.BRANCHA._sites.contoso.com.

Tche 2 : Examen de la partition DNS de l'annuaire d'applications
1. Cliquez sur Dmarrer > Outils administratifs >diteur ADSI et entrez des
informations d'identification d'administrateur lorsque le systme vous les
demande. Utilisez le compte Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur diteur
ADSI, puis choisissez Connexion .
connu, slectionnez Configuration.
4. Acceptez toutes les autres valeurs par dfaut. Cliquez sur OK.
5. Dans l'arborescence de la console, cliquez sur Configuration, puis dveloppez
cet lment.
6. Dans l'arborescence de la console, cliquez sur CN=Configuration,
DC=contoso, DC=com, puis dveloppez cet lment.
7. Dans l'arborescence de la console, cliquez sur CN=Partitions.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur
Connexion.
9. Cliquez sur Slectionnez ou entrez un nom unique ou un contexte
d'attribution de noms.
10. Dans la zone de liste droulante, tapez
DC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK.
11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de noms
par dfaut, puis dveloppez cet lment.
12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis dveloppez
cet lment.
13. Cliquez sur CN=MicrosoftDNS, puis dveloppez cet lment.
14. Cliquez sur DC=contoso.com.
15. Examinez les objets de ce conteneur. Comparez ces enregistrements aux
enregistrements DNS que vous avez examins dans l'exercice prcdent.

Rsultats : Au terme de cet exercice, vous aurez explor les enregistrements DNS et la
partition DNS de l'annuaire d'applications pour le domaine contoso.com.

Important : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les
module.
Question : Dcrivez la relation qui existe entre les enregistrements que vous avez
affichs dans l'diteur ADSI et ceux affichs dans le Gestionnaire DNS.
Question : Quand vous avez examin les enregistrements DNS du domaine
_tcp.BRANCHA._sites.contoso.com, quel contrleur de domaine inscrivait les
enregistrements SRV dans le site ? Expliquez pourquoi.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Leon 3
Configuration de la rplication

Dans la leon 1, vous avez appris crer des objets site et sous-rseau qui
permettent Active Directory et ses clients de localiser l'accs l'authentification
et l'annuaire. Vous aviez galement choisi l'emplacement des contrleurs de
domaine. Dans la leon 2, vous avez configur des serveurs de catalogue global et
des partitions de l'annuaire d'applications. Vous avez gr les lments rpliquer
entre les contrleurs de domaine. Dans cette leon, vous allez dcouvrir comment
et quand la rplication a lieu. Vous dcouvrirez pourquoi la configuration par
dfaut d'Active Directory prend en charge une rplication efficace et pourquoi vous
devez modifier cette configuration pour que la rplication soit encore plus efficace,
en fonction de la topologie de votre rseau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Objectifs
crer des objets connexion pour configurer la rplication entre deux
contrleurs de domaine ;
implmenter des liens de site et des cots de liens de site pour grer la
rplication entre plusieurs sites ;
dsigner des serveurs tte de pont privilgis ;
comprendre la notification et l'interrogation ;
gnrer des rapports et analyser la rplication avec la commande
repadmin.exe ;
vrifier le bon fonctionnement de la rplication Active Directory avec la
commande dcdiag.exe.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement de la rplication Active Directory

Points cls
Dans les leons prcdentes, vous avez appris rpartir les contrleurs de
domaine en diffrents emplacements du rseau et comment reprsenter ces
emplacements par des objets site et sous-rseau. Vous avez galement tudi la
rplication des partitions de l'annuaire (schma, configuration et domaine), le jeu
d'attributs partiel (catalogue global) et les partitions d'application. Le principal
concept ne pas oublier concernant la rplication Active Directory est qu'elle est
conue pour, qu'en fin de compte, chaque rplica d'un contrleur de domaine soit
cohrent avec ceux de la partition hberge par d'autres contrleurs de domaine. Il
est peu probable que tous les contrleurs de domaine possdent exactement les
mmes informations dans leurs rplicas tout moment car le contenu de
l'annuaire est constamment modifi. Toutefois, la rplication Active Directory
garantit que toutes les modifications d'une partition seront transmises tous les
rplicas de cette partition. La rplication Active Directory recherche un quilibre
entre la prcision (ou intgrit) et la cohrence (on parle de convergence) et les
performances (maintien du trafic de rplication un niveau raisonnable). Ce
numro d'quilibriste est qualifi de faible interdpendance.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Voici les principales caractristiques de la rplication Active Directory :
Rplication multimatre : tout contrleur de domaine peut dclencher et
valider une modification dans Active Directory.
Rplication par rception : tout contrleur de domaine demande ou reoit
des modifications de la part d'autres contrleurs de domaine. Au fur et
mesure de votre dcouverte de la rplication, vous risquez d'oublier ceci. En
effet, un contrleur de domaine notifie ses partenaires de rplication que des
modifications de l'annuaire sont stockes chez lui. Ou un contrleur de
domaine peut interroger ses partenaires pour savoir s'ils stockent de nouvelles
modifications de l'annuaire. Cependant, au final, les modifications elles-mmes
sont demandes ou rceptionnes par le contrleur de domaine cible.
Rplication diffre : un contrleur de domaine peut rceptionner des
modifications en provenance d'un partenaire, puis les rendre disponibles pour
un autre partenaire. Par exemple, le contrleur de domaine B peut
rceptionner des modifications dclenches par le contrleur de domaine A.
Ensuite, le contrleur de domaine C peut recevoir ces modifications du
contrleur de domaine B.
Partitionnement du magasin de donnes : tous les contrleurs d'un domaine
hbergent uniquement le contexte des noms de ce domaine. Ceci permet de
limiter au maximum le volume de la rplication, particulirement dans les
forts plusieurs domaines. D'autres donnes, dont les partitions de l'annuaire
d'applications et le jeu d'attributs partiel (catalogue global), ne sont pas
rpliques dans chacun des contrleurs de domaine de la fort, du moins dans
la configuration par dfaut.
Gnration automatique d'une topologie de rplication efficace et robuste :
par dfaut, Active Directory va configurer une topologie de rplication efficace
et bidirectionnelle afin que la dfaillance de l'un des contrleurs de domaine
ne perturbe pas la rplication. Cette topologie est automatiquement mise
jour lorsque des contrleurs de domaine sont ajouts, supprims ou dplacs
d'un site l'autre.
Rplication au niveau des attributs : lorsque qu'un attribut d'un objet est
modifi, seul cet attribut est rpliqu, ainsi que ses mtadonnes minimales. La
totalit de l'objet n'est pas rplique, sauf en cas de cration d'objet.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Diffrence de contrle entre la rplication intrasite (au sein d'un seul site) et
la rplications intersites (entre plusieurs sites) : la rplication peut tre
contrle diffremment dans ces deux situations.
Dtection et gestion des collisions : il arrive parfois, mais rarement, qu'un
attribut soit modifi dans deux contrleurs de domaine diffrents au cours de
la mme fentre de rplication. Dans ce cas, les deux modifications devront
tre rapproches. Active Directory possde des algorithmes de rsolution
spcialement conus pour de telles situations.
Pour bien comprendre le fonctionnement de la rplication Active Directory, il suffit
d'examiner chacun de ses composants. Les sections suivantes traitent les
composants de la rplication Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Rplication intrasite

Points cls
Cette section inclut une discussion sur les points cls suivants :
Objets connexion
Vrificateur de cohrence des donnes (KCC)
Notification
Interrogation

Objets connexion
Un contrleur de domaine rplique les modifications d'un autre contrleur de
domaine grce aux objets connexion d'AD DS, couramment appels objets connexion.
Les objets connexion apparaissent dans les outils administratifs du composant
logiciel enfichable Sites et services Active Directory sous forme d'objets stocks
dans le conteneur Paramtres NTDS de l'objet serveur d'un contrleur de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La capture d'cran suivante prsente un exemple : un objet connexion de SERVER02
configure la rplication de SERVER01 vers SERVER02. Tout objet connexion
reprsente un chemin de rplication entre deux contrleurs de domaine.

Les objets connexion sont unidirectionnels et reprsentent uniquement les
rplications entrantes. Dans Active Directory, la rplication est toujours une
technologie de rception. Dans le domaine illustr ci-dessus, SERVER02 reoit les
modifications de SERVER01. Dans cet exemple, SERVER02 est considr comme
un partenaire de rplication en aval de SERVER01. SERVER01 est le partenaire en
amont. Les modifications de SERVER01 s'coulent vers SERVER02.

Remarque : rplication impose. Vous pouvez imposer la rplication entre deux
contrleurs de domaine en cliquant avec le bouton droit sur l'objet connexion et en
choisissant Rpliquer maintenant. N'oubliez pas que la rplication est uniquement
entrante. Par consquent, pour rpliquer deux contrleurs de domaine, vous devrez
rpliquer l'objet connexion entrant de chaque contrleur de domaine.
Vrificateur de cohrence des donnes (KCC)
Les chemins de rplication tablis entre des contrleurs de domaine par des objets
connexion crent la topologie de rplication de la fort. Heureusement, vous n'avez
pas crer cette topologie manuellement. Par dfaut, Active Directory cre une
topologie qui garantit l'efficacit de la rplication. La topologie est bidirectionnelle.
Ainsi, si un contrleur de domaine choue, la rplication se poursuit sans
interruption. La topologie garantit galement qu'il n'y aura pas plus de trois sauts
entre deux contrleurs de domaine, quels qu'ils soient.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dans la capture d'cran prcdente, vous remarquerez que l'objet connexion
indique qu'il a t gnr automatiquement. Dans chaque contrleur de domaine,
un composant d'Active Directory appel Vrificateur de cohrence de
connaissances (KCC, Knowledge Consistency Checker) facilite la cration et
l'optimisation de la rplication automatique entre les contrleurs de domaine d'un
site. Ce vrificateur KCC value les contrleurs de domaine d'un site et cre les
objets connexion ncessaires pour construire la topologie bidirectionnelle trois
sauts dcrite prcdemment. Si un contrleur de domaine est ajout un site ou
supprim, ou si un contrleur de domaine ne rpond plus, le vrificateur KCC
rorganise la topologie dynamiquement, en ajoutant et en supprimant des objets
connexion pour reconstruire une topologie de rplication efficace.
Vous pouvez crer des objets connexion manuellement pour spcifier des chemins
de rplication qui doivent perdurer. Les objets connexion crs manuellement ne
sont jamais supprims par le vrificateur KCC.
Pour crer un objet connexion :
1. Dans Sites et services Active Directory, localisez l'objet serveur du partenaire
de rplication en aval, c'est--dire le contrleur de domaine qui va recevoir les
modifications d'un contrleur de domaine source. Cliquez avec le bouton droit
sur le conteneur Paramtres NTDS dans l'objet serveur, puis choisissez
Nouvelle connexion aux services de domaine Active Directory.
2. Dans la bote de dialogue Trouver des contrleurs de domaine Active
Directory, slectionnez le partenaire de rplication en amont, puis cliquez sur
OK.
3. Nommez le nouvel objet connexion, puis cliquez sur OK.
4. Ouvrez les proprits de l'objet connexion. Utilisez le champ Description
pour indiquer l'objectif de cet objet connexion cr manuellement.

Au sein d'un site, trs peu de scnarios exigent la cration d'un objet connexion.
Parmi ces scnarios se trouvent les matres d'oprations de secours. Les matres
d'oprations sont traits au Module 11. Il est recommand de slectionner des
contrleurs de domaine comme matres d'oprations de secours pour les utiliser
en cas de transfert ou de captage du rle de matre d'oprations. Tout matre
d'oprations de secours doit tre un partenaire de rplication direct pour le matre
d'oprations actuel. Ainsi, si un contrleur de domaine nomm DC01 est le matre
RID et que le contrleur de domaine DC02 est le systme qui assumera le rle de
matre RID en cas de dconnexion de DC01, alors un objet connexion doit tre
cr dans DC02 afin que sa rplication s'effectue directement partir de DC01.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Aprs la cration (automatique par le KCC ou manuelle) des objets connexion
entre les contrleurs de domaine d'un site, la rplication peut avoir lieu. La
rplication intrasite implique la rplication des modifications au sein d'un seul site.
Notification
Examinons le site illustr dans la capture d'cran prcdente. Lorsque SERVER01
effectue une modification dans une partition, il la met en file d'attente pour qu'elle
soit rplique vers ses partenaires. SERVER01 attend 15 secondes, par dfaut,
avant de notifier son premier partenaire de rplication, SERVER02, de la
modification. La notification est le processus grce auquel un partenaire en amont
informe ses partenaires en aval qu'une modification est disponible. SERVER01
attend trois secondes, par dfaut, entre les notifications envoyes d'autres
partenaires. Ces dlais, appels dlai de notification initial et dlai de notification
conscutif, sont conus pour taler le trafic rseau inhrent la rplication
intrasite.
la rception de la notification, le partenaire en aval, SERVER02, demande les
modifications SERVER01, et l'Agent de rplication d'annuaire (DRA) effectue le
transfert de l'attribut entre SERVER01 et SERVER02. Dans cet exemple, SERVER01
a ralis la modification initiale dans Active Directory. Il s'agit du contrleur de
domaine d'origine et la modification qu'il effectue est l'origine de la modification.
Lorsque SERVER02 reoit la modification de SERVER01, il effectue son tour la
modification dans son annuaire. La modification n'est pas qualifie de modification
rplique ; il s'agit nanmoins d'une modification. SERVER02 met la modification
en file d'attente pour sa rplication dans ses propres partenaires en aval.
SERVER03 est un partenaire de rplication en aval de SERVER02. Aprs 15
secondes, SERVER02 notifie SERVER03 de la prsence d'une modification.
SERVER03 effectue la modification rplique dans son annuaire, puis notifie ses
partenaires en aval. La modification a ncessit deux sauts : de SERVER01
SERVER02 et de SERVER02 SERVER03. La topologie de rplication garantit qu'il
n'y aura pas plus de trois sauts avant que tous les contrleurs de domaine du site
aient reu la modification. Avec environ 15 secondes par saut, la modification sera
entirement rplique dans le site en une minute.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Interrogation
Il est possible que SERVER01 n'effectue aucune modification dans ses rplicas
pendant une priode assez longue, particulirement pendant les heures
d'inactivit. Dans ce cas, SERVER02, son partenaire de rplication en aval, ne
recevra aucune notification de SERVER01. Il est galement possible que
SERVER01 soit hors ligne, ce qui l'empche d'envoyer des notifications
SERVER02. Il est donc important pour SERVER02 de savoir que son partenaire en
amont est en ligne et n'a simplement aucune modification.
Pour obtenir ces informations, on utilise un processus appel interrogation.
L'interrogation implique que le partenaire en aval contacte son partenaire en
amont en lui demandant si des modifications sont en attente de rplication. Par
dfaut, l'intervalle d'interrogation est d'une fois par heure pour la rplication
intrasite. Il est possible, mais pas recommand, de configurer la frquence
d'interrogation dans les proprits d'un objet connexion en cliquant sur Modifier
la planification.
Si un partenaire en amont ne parvient pas rpondre des interrogations rptes,
le partenaire en aval lance le vrificateur KCC pour vrifier la topologie de
rplication. Si le serveur en amont est vritablement hors ligne, la topologie de
rplication du site est reconstruite pour s'adapter ce changement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Liens de site

Points cls
Le vrificateur KCC suppose que, au sein d'un site, tous les contrleurs de domaine
peuvent communiquer entre eux. Il construit une topologie de rplication intrasite
qui est indpendante de la connectivit rseau sous-jacente. Toutefois, entre les sites,
vous pouvez reprsenter les chemins rseau sur lesquels la rplication doit se
produire en crant des objets lien de site. Un lien de site contient deux sites ou plus.
Le Gnrateur de topologie intersites (ISTG, InterSite Topology Generator), un
composant du vrificateur KCC, construit des objets connexion entre les serveurs
dans chacun des sites pour permettre la rplication intersites (entre les sites).
Ces liens de site sont mal connus. Il est important de ne pas oublier qu'un lien de
site reprsente un chemin disponible pour la rplication. Un seul lien de site ne
contrle pas les itinraires qui sont utiliss au sein du rseau. Lorsque vous crez
un lien de site et que vous lui ajoutez des sites, vous indiquez Active Directory
qu'il peut procder la rplication entre tous les sites associs ce lien de site. Le
gnrateur ISTG va crer des objets connexion, et ces objets vont dterminer
l'itinraire rel de la rplication. Bien que la topologie de rplication construite par
le gnrateur ISTG rplique efficacement Active Directory, elle peut tre
insuffisante selon la topologie de votre rseau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Nous allons illustrer ce concept par un exemple. Lorsque vous crez une fort, un
objet lien de site est cr : DEFAULTIPSITELINK. Par dfaut, chaque nouveau site
ajout est associ l'objet DEFAULTIPSITELINK. Imaginons une entreprise avec
un centre de donnes hberg par son sige social et trois succursales. Les trois
succursales sont toutes connectes au centre de donnes par une liaison ddie.
Vous crez des sites pour chaque succursale, Seattle (SEA), Amsterdam (AMS) et
Pkin (PEK). La figure suivante illustre la topologie des sites et du rseau.

Les quatre sites tant sur le mme lien de site, vous indiquez Active Directory que
ces quatre sites peuvent se rpliquer mutuellement. Cela signifie qu'il est possible
que Seattle rplique les modifications d'Amsterdam, qu'Amsterdam rplique les
modifications de Pkin et que Pkin rplique les modifications du sige social qui,
son tour, rplique les modifications de Seattle. Dans plusieurs de ces itinraires
de rplication, le trafic rseau de la rplication circule d'une succursale vers le sige
social sur sa route vers une autre succursale. Avec un seul lien de site, vous n'avez
pas cr une topologie de rplication Hub and Spoke, mme si la topologie de
votre rseau est Hub and Spoke.
C'est pourquoi il est recommand de crer manuellement des liens de site qui
refltent la topologie physique de votre rseau. Pour l'exemple prcdent, vous
creriez trois liens de site :
HQ-AMS, entre les sites Sige social et Amsterdam
HQ-SEA, entre les sites Sige social et Seattle
HQ-PEK, entre les sites Sige social et Pkin

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Vous pourriez alors supprimer le lien de site par dfaut DEFAULTIPSITELINK. La
figure suivante illustre la topologie obtenue.

Aprs la cration de vos liens de site, le gnrateur ISTG utilisera cette topologie
pour construire une topologie de rplication intersites qui connecte chaque site.
Des objets connexion seront construits pour configurer les chemins de rplication
intersites. Ces objets connexion sont crs automatiquement, mais vous pouvez les
crer manuellement, car il existe quelques scnarios qui exigent la cration
manuelle d'objets connexion intersites.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Protocoles de transport de la rplication

Points cls
Dans le composant logiciel enfichable Sites et services Active Directory, vous
remarquerez que des liens de site sont stocks dans un conteneur nomm IP, qui
est lui-mme stock dans le conteneur Transports inter-sites. Les modifications
sont rpliques entre les contrleurs de domaine l'aide de l'un des deux
protocoles suivants :
Directory Service Remote Procedure Call (DS-RPC)
DS-RPC apparat dans le composant logiciel enfichable Sites et services Active
Directory sous le nom IP. IP sert pour toutes les rplications intrasite et il s'agit du
protocole par dfaut et privilgi pour la rplication intersites.
Inter-Site MessagingSimple Mail Transport Protocol (ISM-SMTP)
Mieux connu sous le nom SMTP, ce protocole est utilis uniquement lorsque les
connexions rseau entre les sites ne sont pas fiables ou pas toujours disponibles.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
En gnral, vous pouvez supposer que vous utiliserez IP pour toute la rplication
intersites. Trs peu d'entreprises utilisent SMTP pour la rplication du fait de la
surcharge administrative requise pour configurer et grer une autorit de
certification (CA) et car la rplication SMTP n'est pas prise en charge pour le
contexte des noms de domaine. Cela signifie que, si un site utilise SMTP pour
rpliquer les modifications dans le reste de l'entreprise, ce site doit tre son propre
domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Serveurs tte de pont

Points cls
Le gnrateur ISTG cre une topologie de rplication entre les sites sur un lien de
site. Pour amliorer l'efficacit de la rplication, un contrleur de domaine est
slectionn pour tre le serveur tte de pont. Le serveur tte de pont est charg de
toute la rplication interne et externe au site pour une partition. Par exemple, si un
site de centre de donnes contient cinq contrleurs de domaine, l'un d'eux sera le
serveur tte de pont pour le contexte des noms de domaine. Toutes les
modifications effectues la partition du domaine au sein du centre de donnes
seront rpliques dans tous les contrleurs de domaine du site. Lorsque les
modifications atteignent le serveur tte de pont, elles sont rpliques dans les
serveurs tte de pont des succursales, qui leur tour les rpliquent dans les
contrleurs de domaine de leurs sites. De mme, toutes les modifications du
contexte des noms de domaine dans les succursales seront rpliques partir des
serveurs tte de pont de ces succursales dans le serveur tte de pont du centre de
donnes, qui son tour rplique ces modifications dans les autres contrleurs de
domaine du centre de donnes. La figure suivante illustre la rplication intrasite au
sein de deux sites et la rplication intersites utilisant des objets connexion entre les
serveurs tte de pont des sites.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour rsumer, le serveur tte de pont est charg de rpliquer les modifications
d'une partition partir des autres serveurs tte de pont dans d'autres sites. Il est
galement interrog par les serveurs tte de pont des autres sites pour savoir
quand des modifications doivent tre rpliques par eux.
Les serveurs tte de pont sont slectionns automatiquement, et le gnrateur
ISTG cre la topologie de rplication intersites pour garantir que les modifications
sont bien rpliques entre les serveurs tte de pont qui partagent un lien de site.
Les serveurs tte de pont sont slectionns par partition. Il est donc possible qu'un
contrleur de domaine d'un site soit le serveur tte de pont du schma et qu'un
autre soit celui de la configuration. Toutefois, vous dcouvrirez gnralement
qu'un contrleur de domaine est le serveur tte de pont de toutes les partitions
d'un site, moins qu'il existe des contrleurs de domaine d'autres domaines ou
des partitions de l'annuaire d'applications. Auquel cas, des serveurs tte de pont
seront choisis pour ces partitions.
Serveurs tte de pont privilgis
Vous pouvez galement dsigner un ou plusieurs serveurs tte de pont privilgis.
Pour dsigner un contrleur de domaine comme serveur tte de pont privilgi :
1. Ouvrez les proprits de l'objet serveur concern dans le composant logiciel
enfichable Sites et services Active Directory.
2. Slectionnez le protocole de transport, qui sera presque toujours IP, puis
cliquez sur Ajouter.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Vous pouvez configurer plusieurs serveurs tte de pont privilgis pour un site,
mais un seul sera slectionn et utilis en tant que tte de pont. Si ce serveur tte
de pont est dfaillant, l'un des autres serveurs tte de pont privilgis sera utilis.
Il est important de savoir que, si vous avez spcifi un ou plusieurs serveurs tte de
pont et qu'aucun d'eux n'est disponible, aucun autre serveur n'est slectionn
automatiquement, et la rplication n'a pas lieu pour ce site, mme s'il y a des
serveurs pouvant jouer le rle de tte de pont. Idalement, vous ne devriez pas
configurer de serveurs tte de pont privilgis. Toutefois, pour des problmes de
performance, vous pouvez tre amen attribuer le rle de tte de pont aux
contrleurs de domaine disposant des meilleures ressources systme. Les
problmes de pare-feu peuvent galement exiger qu'un seul serveur joue le rle de
tte de pont, au lieu de laisser Active Directory slectionner et peut-tre raffecter
des serveurs tte de pont au fur et mesure.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Transitivit et ponts de liens de site

Points cls
Aprs que vous ayez cr les liens de site et que le gnrateur ISTG ait gnr les
objets connexion pour rpliquer les partitions entre les serveurs tte de pont qui
partagent un lien de site, votre travail est termin. Dans de nombreux
environnements, particulirement ceux dont les topologies rseau sont trs
directes, les liens de site doivent suffire pour grer la rplication intersites. Dans les
rseaux plus complexes, toutefois, vous pouvez configurer des composants et des
proprits supplmentaires pour la rplication.
Transitivit des liens de site
Par dfaut, les liens de site sont transitifs. Cela signifie que, pour reprendre notre
exemple, si les sites Amsterdam et Headquarters (sige social) sont relis, et que
les sites Headquarters et Seattle sont relis, alors Amsterdam et Seattle sont relis
transitivement. En thorie, cela signifie que le gnrateur ISTG pourrait crer un
objet connexion directement entre une tte de pont Seattle et une tte de pont
Amsterdam. On retrouve ici la topologie de rplication Hub and Spoke.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Vous pouvez dsactiver la transitivit des liens de site en ouvrant les proprits du
Transport IP dans le conteneur Transports inter-sites et en dsactivant Relier tous
les liens de sites. Avant de procder ainsi dans un environnement de production,
prenez le temps de lire les ressources techniques sur la rplication, fournies par la
Bibliothque technique Windows Server sur le site Microsoft TechNet l'adresse
http://technet.microsoft.com.
Ponts entre liens de site
Un pont de liaison de sites connecte deux liens de sites ou plus de manire crer
un lien transitif. Les ponts entre liens de site ne sont ncessaires que lorsque vous
avez dsactiv l'option Relier tous les liens de sites pour le protocole de transport.
N'oubliez pas que la transitivit des liens de site est active par dfaut, auquel cas,
les ponts de liens de site n'auront aucun effet.
La figure suivante illustre l'utilisation d'un pont de liens de site dans une fort dans
laquelle cette transitivit a t dsactive. En crant un pont entre les liens de site,
AMS-HQ-SEA, qui inclut les liens HQ-AMS et HQ-SEA, ces deux liens de site
deviennent transitifs. Ainsi, une connexion de rplication peut tre tablie entre un
contrleur de domaine Amsterdam et un autre Seattle.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Contrle de la rplication intersites

Points cls
Les ponts cls de cette section comprennent les lments suivants :
Cots de liaison entre sites
Frquence de rplication
Planifications de la rplication

Cots de liaison entre sites
Les cots de liaison entre sites servent grer le flux du trafic de rplication
lorsque celui-ci comprend plusieurs itinraires. Vous pouvez configurer le cot des
liaisons entre sites pour indiquer qu'un lien est plus rapide, plus fiable ou
privilgi. Les cots les plus levs sont utiliss pour les liaisons lentes, et les
moins levs sont rservs aux liaisons rapides. Active Directory effectue la
rplication l'aide de la connexion prsentant le cot le moins lev.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Par dfaut, tous les liens de site sont configurs avec un cot de 100. Pour modifier
le cot d'un lien de site, ouvrez les proprits de ce dernier et changez la valeur
dans la zone de slection numrique Cot, illustre dans la capture d'cran
suivante.

Pour reprendre notre exemple prcdent, imaginons qu'un lien de site a t cr
entre les sites Amsterdam et Pkin, comme dans la figure suivante.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Un tel lien de site pourrait tre configur pour autoriser la rplication entre les
contrleurs de domaine de ces deux sites au cas o les liaisons avec le sige social
deviennent indisponibles. Vous pourriez configurer une telle topologie dans le
cadre d'un plan de rcupration d'urgence, par exemple.
Avec le cot de lien de site par dfaut de 100 attribu au lien AMS-PEK, Active
Directory rpliquera les modifications directement entre Amsterdam et Pkin. Si
vous configurez le cot sur 300, les modifications seront rpliques entre
Amsterdam et le sige social, puis entre le sige social et Pkin pour un cot de
200, au lieu de passer directement par AMS-PEK pour un cot de 300.
Frquence de rplication
La rplication intersites repose uniquement sur l'interrogation ; il n'y a aucune
notification. Par dfaut, toutes les trois heures, un serveur tte de pont interroge
ses partenaires de rplication en amont pour savoir si des modifications sont
disponibles. Cet intervalle de rplication est trop long pour les entreprises qui
souhaitent que les modifications de leur annuaire soient rpliques plus
rapidement. Vous pouvez modifier l'intervalle d'interrogation pour chaque lien de
site.
Pour changer l'intervalle d'interrogation d'un lien de site :
Ouvrez les proprits du lien de site et modifiez la valeur dans la zone de
slection numrique Rplication toutes les, illustre dans la capture d'cran
prcdente.

L'intervalle minimum d'interrogation est 15 minutes. Cela signifie que, avec la
configuration par dfaut de la rplication Active Directory, une modification de
l'annuaire effectue dans un site ne sera pas rplique dans les contrleurs de
domaine d'un autre site avant plusieurs minutes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Planifications de la rplication
Par dfaut, la rplication a lieu 24 heures par jour. Toutefois, vous pouvez limiter la
rplication intersites des heures spcifiques en modifiant les attributs de la
planification d'un lien de site. Ouvrez les proprits d'un lien de site et cliquez sur
le bouton Modifier la planification. Dans la bote de dialogue Programmer ,
illustre dans la capture d'cran suivante, vous pouvez slectionner les heures
durant lesquelles le lien est disponible pour la rplication. Le lien illustr dans la
figure ne rplique pas de 08 h 00 18 h 00, du lundi au vendredi.

Vous devez planifier soigneusement la disponibilit des liens de site. Il est possible
de planifier des fentres de disponibilit qui ne se chevauchent pas, auquel cas, la
rplication n'a pas lieu. Il n'est gnralement pas recommand de configurer la
disponibilit des liens. Si vous n'avez pas besoin de planifier les liens, vous devriez
slectionner l'option Ignorer les planifications dans les proprits du protocole de
transport IP. Cette option provoque le contournement des planifications de la
disponibilit des liens de site, assurant une rplication constante (24 heures sur
24) pour tous les liens de site.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Surveillance et gestion de la rplication

Points cls
Aprs avoir implment la configuration de votre rplication, vous devez pouvoir
surveiller son fonctionnement des fins d'assistance continue, d'optimisation et de
rsolution des problmes. Deux outils sont particulirement utiles pour gnrer
des rapports et analyser la rplication : l'Outil de diagnostic de la rplication
(Repadmin.exe) et Diagnostic du serveur d'annuaire (Dcdiag.exe). Cette leon vous
prsente ces puissants outils.
Repadmin.exe
L'Outil de diagnostic de la rplication, Repadmin.exe, est un outil de ligne de
commande qui vous permet de connatre l'tat de la rplication dans chaque contrleur
de domaine. Les informations fournies par Repadmin.exe peuvent vous aider dtecter
un problme potentiel avant qu'il ne soit hors de contrle et rsoudre les problmes
de la rplication dans votre fort. Vous pouvez afficher plusieurs niveaux de dtails,
jusqu'aux mtadonnes de la rplication pour des objets et des attributs spcifiques.
Ceci vous permet de savoir o et quand une modification problmatique a eu lieu dans
Active Directory. Vous pouvez mme exploiter l'outil Repadmin.exe pour crer votre
topologie de rplication et imposer la rplication entre des contrleurs de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Comme pour les autres outils de ligne de commande, tapez repadmin /? pour
afficher des informations sur le fonctionnement de cet outil. Sa syntaxe de base est
la suivante :
repadmin arguments de la commande...
L'outil Repadmin.exe prend en charge un certain nombre de commandes qui
excutent des tches spcifiques. Pour en savoir plus sur chaque commande, tapez
repadmin /?:commande. La plupart des commandes exigent des arguments. De
nombreuses commandes acceptent un paramtre DSA_LIST, qui est simplement
l'tiquette rseau (nom DNS ou NetBIOS ou adresse IP) d'un contrleur de
domaine. Voici certaines des tches de surveillance de la rplication que vous
pouvez effectuer avec l'outil Repadmin :
Afficher les partenaires de rplication d'un contrleur de domaine : pour ce
faire, tapez repadmin /showrepl DSA_LIST. Par dfaut, Repadmin.exe affiche
uniquement les connexions intersites. Pour afficher galement les connexions
intrasite, ajoutez l'argument /repsto.
Afficher les objets connexion d'un contrleur de domaine : pour ce faire,
tapez repadmin /showconn DSA_LIST.
Afficher les mtadonnes d'un objet, ses attributs et la rplication : vous
pouvez en apprendre beaucoup sur la rplication en examinant un objet dans
deux contrleurs de domaine diffrents pour savoir quels attributs ont t
rpliqus ou non. Tapez repadmin /showobjmeta DSA_LIST Objet,
oDSA_LIST dsigne le ou les contrleurs de domaine interroger (vous pouvez
utiliser un astrisque [*] pour englober tous les contrleurs de domaine). Objet
est l'identifiant unique de l'objet, par exemple son nom unique ou son GUID.

Repadmin vous permet galement de modifier votre infrastructure de rplication.
Voici certaines des tches de gestion que vous pouvez effectuer :
Lancer le vrificateur KCC : tapez repadmin /kcc pour obliger le vrificateur
KCC recalculer la topologie de rplication entrante pour le serveur.
Imposer la rplication entre deux partenaires : utilisez Repadmin pour
imposer la rplication d'une partition entre deux contrleurs de domaine, l'un
tant la source et l'autre la cible. Tapez repadmin /replicate DSA_LIST_Cible
Contexte_Noms_DSA_Source.
Synchroniser un contrleur de domaine avec tous ses partenaires de
rplication : tapez repadmin /syncall DSA /A /e pour synchroniser un
contrleur de domaine avec tous ses partenaires, y compris ceux des autres sites.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dcdiag.exe
L'outil Diagnostic du serveur d'annuaire, Dcdiag.exe, effectue certains tests et vous
renseigne sur le bon fonctionnement de la rplication et de la scurit dans AD DS.
Utilis tout seul, dcdiag.exe effectue des tests de synthse et affiche les rsultats.
l'inverse, dcdiag.exe /c effectue pratiquement tous les tests. Le rsultat des tests
peut tre envoy dans des fichiers de divers types, y compris XML. Tapez dcdiag /?
pour afficher les instructions compltes.
Vous pouvez galement spcifier un ou plusieurs tests excuter l'aide du
paramtre /test:Nom Test. Les tests concernant directement la rplication
comprennent :
FrsEvent : signale toute erreur de fonctionnement dans le systme de
rplication de fichiers (FRS).
DFSREvent : signale toute erreur de fonctionnement dans le systme de
rplication DFS (DFSR).
Intersite : vrifie la prsence de dfaillances susceptibles d'empcher ou de
retarder la rplication intersites.
KccEvent : identifie les erreurs du vrificateur KCC.
Replications : vrifie la rapidit de la rplication entre les contrleurs de
domaine.
Topology : vrifie que la topologie de rplication est parfaitement connecte
pour tous les contrleurs de domaine.
VerifyReplicas : vrifie que toutes les partitions de l'annuaire d'applications
sont entirement instancies dans tous les contrleurs de domaine qui
hbergent des rplicas.

Pour plus d'informations sur les outils Repadmin.exe et Dcdiag.exe, consultez le
Centre d'aide et de support Microsoft.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Configuration de la
rplication

Scnario
Vous tes l'administrateur de Contoso, Ltd. Vous souhaitez optimiser la rplication
d'AD DS en l'alignant sur la topologie de votre rseau et sur les rles de contrleur
de domaine et leur emplacement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Cration d'un objet connexion
Il est recommand de configurer une rplication directe entre le contrleur de
domaine qui jouera le rle de matre d'oprations de secours et le contrleur de
domaine qui est actuellement le matre d'oprations. Par la suite, si le matre
d'oprations actuel doit tre dconnect, le matre d'oprations de secours sera
aussi jour que possible avec le matre d'oprations. Dans cet exercice, vous allez
crer un objet connexion entre HQDC01 et HQDC02, o HQDC02, le matre
d'oprations de secours, rplique partir de HQDC01, le matre d'oprations
actuel.
2. Crer un objet connexion.

Tche 1 : Dmarrage des ordinateurs virtuels et ouverture d'une
session
les Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procdure ci-
dessous, puis effectuez les exercices 1 3 des Ateliers pratiques A et B avant de
continuer.
Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y
ouvrir de session.
Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de
session.
Aprs le dmarrage de HQDC03, dmarrez BRANCHDC01-B sans y ouvrir de
session.
Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche
suivante.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Cration d'un objet connexion
Excutez Sites et services Active Directory avec des informations
d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le
Dans l'arborescence de la console, dveloppez HEADQUARTERS, Servers et
HQDC02, puis cliquez sur le nud NTDS Settings sous HQDC02.
Cliquez avec le bouton droit sur NTDS Settings et choisissez Nouvelle
connexion aux services de domaine Active Directory.
Dans la bote de dialogue Trouver des contrleurs de domaine Active
Directory, slectionnez HQDC01, puis cliquez sur OK, et rpondez Oui au
message d'avertissement.
Dans la bote de dialogue Nouvel objet Connexion, tapez le nom HQDC01 -
OPERATIONS MASTER, puis cliquez sur OK.

Rsultats : Au terme de cet exercice, vous aurez cr un objet connexion pour
rpliquer les modifications de HQDC01 vers HQDC02.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration de liens de site
Dans cet exercice, vous allez crer des liens entre le site du sige social et les autres
sites, pour obtenir une topologie de rplication Hub and Spoke.
Crer des liens de site.

Tche 1 : Cration de liens de site
Renommez le lien DEFAULTIPSITELINK en HQ-HQB2, et modifiez-le de
sorte qu'il comprenne uniquement les sites HEADQUARTERS et HQ-
BUILDING-2.
Crez un nouveau lien de site IP nomm HQ-BRANCHA qui comprend les
sites HEADQUARTERS et BRANCHA.

Rsultats : Au terme de cet exercice, vous devriez avoir deux liens de site un qui relie
les sites HEADQUARTERS et HQ-BUILDING-2, et un autre qui relie le sites
HEADQUARTERS et BRANCHA.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Dplacement de contrleurs de domaine vers
des sites
Lorsque vous affectez un nouveau contrleur de domaine, vous pouvez
slectionner son site, mais, par dfaut, il sera plac dans le site associ son
adresse IP. Si vous modifiez des sites et des sous-rseaux aprs la mise en place des
contrleurs de domaine, vous devez dplacer les contrleurs de domaine existants
dans les sites qui conviennent. Dans cet exercice, vous allez dplacer des
contrleurs de domaine dans les sites que vous avez crs au cours des ateliers de
ce module.
Dplacer les contrleurs de domaine vers de nouveaux sites.

sites
Dplacez BRANCHDC01 dans le site BRANCHA.

Rsultats : Au terme de cet exercice, vous devriez avoir dplac BRANCHDC01 dans le
site BRANCHA.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Dsignation d'un serveur tte de pont privilgi
Vous pouvez dsigner un serveur tte de pont privilgi qui grera la rplication
depuis et vers son site. Ceci s'avre pratique lorsque vous souhaitez attribuer ce
rle un contrleur de domaine dans un site qui dispose de meilleures ressources
systme ou lorsque des problmes de pare-feu exigent que ce rle soit attribu un
seul systme fixe. Dans cet exercice, vous allez dsigner un serveur tte de pont
privilgi pour le site.
Dsigner un serveur tte de pont privilgi.

Tche 1 : Dsignation d'un serveur tte de pont privilgi
Configurez HQDC02 en tant que serveur tte de pont privilgi. Aprs cette
opration, un long message d'avertissement s'affiche. Lisez ce message. Nous
en parlerons la fin de cet atelier. Cliquez ensuite sur OK.

Rsultats : Au terme de cet exercice, vous aurez dsign HQDC02 comme serveur tte
de pont privilgi.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 5 : Configuration de la rplication intersites
Aprs avoir cr des liens de site et, ventuellement, dsign des serveurs tte de
pont, vous pouvez affiner et contrler votre rplication en configurant les
proprits des liens de site. Dans cet exercice, vous allez rduire l'intervalle
d'interrogation de la rplication intersites et augmenter le cot d'un lien de site.
Configurer la rplication intersites.

Tche 1 : Configuration de la rplication intersites
Configurez l'intervalle de rplication du lien de site HQ-HQB2 sur 15 minutes.
Configurez l'intervalle de rplication du lien de site HQ-BRANCHA sur 15
minutes, et le cot sur 200.
Examinez la planification de la rplication du lien de site HQ-BRANCHA.
Testez la configuration de la planification avec plusieurs valeurs, mais cliquez
sur Annuler lorsque vous avez termin.

Rsultats : Au terme de cet exercice, vous devriez avoir configur l'intervalle de la
rplication intersites sur 15 minutes pour tous les liens de site.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Expliquez la signification du message d'avertissement qui s'est affich
lorsque vous avez dsign HQDC02 comme serveur tte de pont privilgi.
Question : Quels sont les avantages de la rduction de l'intervalle de la rplication
intersites ? Quels en sont les inconvnients ?
Question : La topologie de rplication Hub and Spoke garantit que toutes les
modifications des succursales seront rpliques d'abord dans le site du sige social
avant de l'tre dans les autres succursales. La procdure que vous avez excute
dans l'Exercice 2 est-elle suffisante pour crer une topologie de rplication Hub
and Spoke ? Si elle est insuffisante, que manque-t-il encore ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Continuit du service d'annuaire 13-1

Module 13
Continuit du service d'annuaire
Table des matires :
Leon 1 : Surveillance d'Active Directory 13-4
Atelier pratique A : Surveillance des vnements et des performances
d'Active Directory 13-29
Leon 2 : Gestion de la base de donnes Active Directory 13-48
Atelier pratique B : Gestion de la base de donnes Active Directory 13-66
Leon 3 : Sauvegarde et restauration des services AD DS et des
contrleurs de domaine 13-74
Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-89

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T


En tant que professionnel de l'informatique charg de grer Windows Server 2008
et AD DS, la russite de votre carrire est troitement lie au bon fonctionnement
de votre domaine. Si le domaine sombre, il en va de mme de votre carrire. Dans
ce module, vous allez dcouvrir les technologies et les outils qui vous aideront
assurer le bon fonctionnement et la longvit du service d'annuaire. Vous allez
apprendre exploiter certains outils pour surveiller les performances en temps rel
et enregistrer au fur et mesure ces performances dans un journal pour garder
un il sur les tendances et dceler les problmes potentiels. Vous apprendrez
galement optimiser et protger votre service d'annuaire de manire rtablir
aussi rapidement que possible tout contrleur de domaine dfaillant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Objectifs
contrler les performances et les vnements en temps rel avec le
Gestionnaire des tches, l'Observateur d'vnements et le Moniteur de fiabilit
et de performances Windows ;
tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de
Windows Server 2008, notamment des vues personnalises et des
abonnements aux vnements ;
contrler les performances en temps rel et enregistres avec l'Analyseur de
performances, des jeux d'lments de collecte de donnes et des rapports ;
identifier les sources d'informations relatives aux performances et aux
vnements des contrleurs de domaine AD DS ;
crer des alertes en fonction d'vnements et de mesures de performances ;
grer et optimiser la base de donnes Active Directory ;
sauvegarder et restaurer AD DS et les contrleurs de domaine ;
restaurer les objets et les attributs supprims.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 1
Surveillance d'Active Directory

Les problmes de performances sont une ralit. Le plus important est la faon dont
vous y rpondez, comment vous les valuez et comment vous les corrigez. Dans cette
leon, vous allez apprendre exploiter les outils de surveillance des performances et
des vnements de Windows Server 2008 pour contrler de faon ractive et
proactive le bon fonctionnement de vos contrleurs de domaine et d'AD DS.
Objectifs
surveiller les performances en temps rel avec le Gestionnaire des tches, le
Moniteur de ressources et l'Analyseur de performances ;
examiner les vnements et les modifications avec le Moniteur de fiabilit et
l'Observateur d'vnements ;
tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de
Windows Server 2008, notamment des vues personnalises et des
abonnements aux vnements ;
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

contrler les performances en temps rel et enregistres avec l'Analyseur de
performances, des jeux d'lments de collecte de donnes et des rapports ;
identifier les sources d'informations relatives aux performances et aux
vnements des contrleurs de domaine AD DS ;
crer des alertes en fonction d'vnements et de mesures de performances.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fonctionnement des performances et des engorgements

Points cls
Les performances mdiocres d'un systme sont gnralement imputables des
ressources systme insuffisantes. Les quatre principales ressources systme sont le
processeur, le sous-systme de disque, la mmoire et le rseau.
Pour identifier et corriger les engorgements, vous devez tudier avec soin les
journaux systme et les compteurs de performances afin de dtecter les ressources
actuellement limites. Aprs l'augmentation de ces ressources, les performances
s'amliorent gnralement, puis atteignent un plafond lorsqu'elles se heurtent un
nouvel engorgement d la surcharge d'autres ressources systme.
Dans cette leon, vous allez tudier les diffrents outils qui vous permettront de
surveiller les performances en temps rel et d'examiner les modifications et les
vnements du systme susceptibles d'avoir entran une dgradation progressive
des performances.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Gestionnaire des tches

Points cls
Tout professionnel de l'informatique se doit de connatre le Gestionnaire des tches
de Windows. Windows Server 2008 a considrablement amlior les capacits du
Gestionnaire des tches. Outre les onglets habituels Applications et Processus,
Windows Server 2008 propose des informations dtailles sur les services et une vue
gnrale des performances de trois ressources systme : le processeur, le rseau et la
mmoire. Le Gestionnaire des tches n'expose pas de compteur de performances en
temps rel pour les disques. Enfin, le Gestionnaire des tches permet d'obtenir la
liste des utilisateurs actuellement connects, sans qu'il soit ncessaire d'ouvrir le
composant logiciel enfichable de gestion des services Terminal Server.
Pour ouvrir le Gestionnaire des tches, effectuez l'une des tapes suivantes :
Appuyez sur Ctrl+Maj+chap.
Appuyez sur Ctrl+Alt+Suppr et cliquez sur le Gestionnaire des tches.
Cliquez du bouton droit dans la barre des tches et choisissez Gestionnaire
des tches.
Cliquez sur le bouton Dmarrer et tapez taskmgr.exe dans la zone de texte
Rechercher.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dans l'onglet Processus, vous pouvez cliquer sur Afficher les processus de tous les
utilisateurs pour obtenir des informations dtailles sur les processus qui
s'excutent dans le contexte du systme ou dans d'autres contextes utilisateur.
Dans l'onglet Performances, cliquez sur Moniteur de ressources pour ouvrir la
nouvelle vue des performances en temps rel.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Moniteur de ressources

Points cls
Le Moniteur de ressources est semblable au Gestionnaire des tches, en bien
mieux. Il propose une vue dtaille des performances de chacun des composants
cls du systme (processeur, disque, rseau et mmoire) sous forme graphique ou
dans un rapport dtaill. Lorsque vous devez rsoudre des problmes de
performance en temps rel, ou comprendre la raison pour laquelle un systme
s'excute lentement, le Moniteur de ressources est le premier outil vers lequel vous
devez vous tourner.
Pour ouvrir le Moniteur de ressources, effectuez l'une des tapes suivantes :
Ouvrez le Gestionnaire des tches, cliquez sur l'onglet Performances, puis
sur Moniteur de ressources.
Cliquez sur le bouton Dmarrer, tapez perfmon /res dans le champ
Rechercher, puis appuyez sur Entre.
Cliquez sur la racine du composant logiciel enfichable Analyseur de fiabilit et
de performances Windows.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Observateur d'vnements

Points cls
Lors du dveloppement de Windows Server 2008, Microsoft a entirement rcrit
l'Observateur d'vnements. En arrire-plan, les vnements sont stocks dans un
nouveau format de fichier journal d'vnements (.elf). Les vnements sont
prsents dans les journaux classiques de Windows tels que Application, Scurit
et Systme, et dans des douzaines de nouveaux blogs ddis la surveillance des
vnements lis des composants systme spcifiques.
Pour simplifier votre comprhension de ces nouveaux vnements et journaux,
l'Observateur d'vnements propose des vues rcapitulatives qui cumulent les
vnements de plusieurs journaux. Il vous permet galement de runir les
vnements de plusieurs journaux dans des vues personnalises. Si vous ouvrez le
Gestionnaire de services, vous verrez galement que les vnements propres aux
rles sont prsents dans la page d'accueil de chaque rle.
Les vnements eux-mmes ont galement t amliors. Ils fournissent bien plus
de dtails que par le pass, et vous remarquerez qu'il vous arrivera bien moins
souvent de vous interroger sur la signification relle d'un vnement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Mieux encore peut-tre, le sous-systme d'vnements a t intgr d'autres
composants Windows. prsent, grce intgration au Planificateur de tches,
vous pouvez dclencher une action sur la base d'un vnement spcifique. Cette
action peut inclure l'envoi d'un message lectronique. C'est vrai : Windows peut
prsent vous envoyer une alerte lectronique (et ventuellement une page ou un
message texte) en cas de problme. Vous pouvez galement dclencher un script
spcifique ou un fichier excutable en rponse un vnement, par exemple, un
script qui redmarre un service lorsque celui-ci s'arrte.
La Gestion distance de Windows (WinRM), ensemble de services Web qui
permet de grer les systmes Windows, est un autre composant majeur prsent
intgr au sous-systme d'vnements. Cette intgration vous permet de runir les
vnements de plusieurs ordinateurs en un seul emplacement, en vous abonnant
aux vnements survenus dans des systmes distants. Lorsqu'un systme distant
enregistre un vnement qui correspond vos critres, cet vnement est transmis
un journal stock dans l'ordinateur charg de la collecte.
Observateur d'vnements

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Observateur d'vnements

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter certaines des
fonctionnalits de l'Observateur d'vnements dcrites dans la diapositive
prcdente. Il en profitera pour vous donner quelques conseils supplmentaires et
pour s'assurer que l'Observateur d'vnements n'a plus de secrets pour vous.
Vous aurez la possibilit de mettre ces tches en pratique dans l'atelier associ ce
module.
Votre instructeur vous fera galement remarquer les quatre journaux
particulirement importants pour la surveillance des contrleurs de domaine :
Service d'annuaire
DNS
DFSR
Journal oprationnel de la stratgie de groupe
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

1. Ouvrez l'Observateur d'vnements et examinez la nouvelle apparence de la
console MMC (Microsoft Management Console).
2. Remarquez la vue rsume par dfaut, puis dveloppez les vues personnalises
et affichez les vues personnalises par dfaut.
3. Dveloppez les Journaux Windows et affichez les journaux traditionnels et les
nouveaux.
4. Ouvrez l'un des journaux et examinez les options disponibles dans le volet
Actions.
Remarquez galement qu'il est possible de relier une tche un vnement
l'aide de l'Assistant Crer une tche de base.
Il est galement possible de copier les dtails d'un vnement sous forme de
texte dans le Bloc-notes.
5. Double-cliquez sur un vnement pour afficher ses dtails.
6. Dveloppez le dossier Microsoft Windows pour afficher les journaux.
7. Vous pouvez galement vous connecter un autre ordinateur.

Rappel : la gestion des journaux d'vnements distance doit tre active dans le pare-
feu de l'ordinateur distant. L'utilisation du pare-feu fait partie du prochain atelier de
cette leon.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vues personnalises

Points cls
Les vues personnalises sont des filtres qui sont nomms et enregistrs. Une fois la
vue personnalise cre et enregistre, vous tes en mesure de la rutiliser sans
avoir recrer son filtre sous-jacent. Pour rutiliser une vue personnalise, accdez
la catgorie Vues personnalises dans l'arborescence de la console et slectionnez
le nom de la vue concerne. Ainsi, vous appliquez le filtre qui lui est associ et les
rsultats sont affichs. Vous pouvez importer et exporter les vues personnalises,
ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.
Cration et gestion des vues personnalises

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Abonnements

Points cls
Le composant logiciel enfichable Observateur d'vnements vous permet de vous
connecter un ordinateur distant pour examiner ses journaux d'vnements.
Toutefois, rsoudre efficacement un problme peut impliquer d'examiner les
vnements stocks dans plusieurs ordinateurs.
Sous Windows Server 2008, l'Observateur d'vnements vous permet de vous
abonner des vnements spcifiques sur un ou plusieurs ordinateurs distants, de
collecter ces vnements et de les stocker localement. Aprs la cration d'un
abonnement un vnement, les vnements sont transmis des ordinateurs source
vers l'ordinateur charg de la collecte, sur lequel il est alors possible d'afficher et de
manipuler les vnements comme s'il s'agissait d'vnements locaux.
Abonnements aux vnements

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Configuration des vues personnalises et
des abonnements

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter certaines des
fonctionnalits des Vues personnalises et des Abonnements aux vnements dcrits
dans la diapositive prcdente. Il en profitera pour vous donner quelques conseils
supplmentaires et pour vrifier que ces fonctionnalits n'ont plus de secret pour vous.
Vous aurez la possibilit de mettre vous-mme ces tches en pratique dans l'atelier
associ ce module.
Cration d'une vue personnalise
1. Nous allons crer une nouvelle vue personnalise qui capture les vnements
d'erreur issus de journaux Active Directory spcifiques.
2. Nous exporterons ensuite la vue dans un fichier XML.
3. Nous supprimerons la vue personnalise d'origine, puis importerons le fichier
XML.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'un abonnement
1. Pour cette opration, nous devons vrifier que nous sommes bien connects
l'ensemble des ordinateurs source et collecteur en tant qu'administrateur.
2. Dans chaque ordinateur source, tapez winrm quickconfig avec une invite de
commande leve.
3. Dans l'ordinateur collecteur, tapez Wecutil qc avec une invite de commande
leve.
4. Ajoutez le compte de l'ordinateur collecteur au groupe Administrateurs local
dans chaque ordinateur source.
5. Crez l'abonnement.
6. Filtrez les vnements pour n'afficher que les erreurs du journal systme.

Cration d'une vue personnalise
Configuration des ordinateurs pour la transmission et la collecte des
vnements

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Analyseur de fiabilit et de performances Windows
(WRPM)

Points cls
L'Analyseur de fiabilit et de performances Windows (WRPM) est une suite de
composants logiciels enfichables nouveaux et amliors qui amliorent
considrablement votre capacit surveiller le bon fonctionnement et les
performances de vos serveurs Windows, de faon ractive et proactive.
Le Moniteur de fiabilit surveille les modifications apportes au systme, notamment
les installations et les dsinstallations de logiciels. L'Analyseur de performances gnre
des vues graphiques ou des rapports partir des donnes de performances
journalises ou en temps rel. Les Ensembles de collecteurs de donnes et les Rapports
vous permettent de grer la collecte et de vrifier les donnes de performances.
Vous dcouvrirez chacun de ces outils au cours de ce module et vous aurez vous-
mme la possibilit de les utiliser dans l'atelier associ ce module.
Analyseur de fiabilit et de performances Windows
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Analyseur de ressources et de
performances Windows (WRPM)

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter rapidement WRPM,
de sorte que vous connaissiez les diffrents composants logiciels enfichables et
nuds de cette puissante suite d'outils d'administration.
1. Ouvrez le Moniteur de fiabilit et de performances.
2. Examinez l'cran Vue d'ensemble des ressources. Dveloppez certaines
sections pour en afficher les dtails.
3. Ouvrez l'Analyseur de performances. Cette fonctionnalit n'a pas vraiment
chang depuis Windows Server 2003.
4. Ouvrez le Moniteur de fiabilit. Parcourez et examinez certains dtails.
5. Ouvrez les Rapports et remarquez les rapports systme disponibles.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Analyseur de fiabilit

Points cls
Le Moniteur de fiabilit permet d'examiner la stabilit du systme et les
vnements et modifications qui affectent son intgrit globale. Il surveille
l'installation et la dsinstallation de logiciels et les dfaillances de Windows, des
applications et du matriel.
Le Moniteur de fiabilit calcule un index de stabilit du systme qui montre, sous
forme graphique, si des problmes inattendus ont rduit la fiabilit. Les
informations fournies par le Rapport de stabilit du systme associ permettent de
voir si la baisse de fiabilit est due des modifications spcifiques.
Utilisation du Moniteur de fiabilit

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Analyseur de performances

Points cls
L'Analyseur de performances permet d'examiner les performances du systme sous
forme de graphiques ou de rapports. Alors que le Moniteur de ressources prsente
les performances associes aux composants du systme (processeur, disque,
mmoire et rseau), l'analyseur de performances permet d'examiner les
performances de manire plus approfondie. Mme pour les composants systme,
l'Analyseur de performances donne davantage d'informations : utilisation du
disque par partition ou volume physique, utilisation du processeur par cur et
types spcifiques de paquets envoys ou reus, par exemple.
L'Analyseur de performances propose galement des compteurs pour les
performances de nombreux composants, rles, services et fonctionnalits plus
granulaires. Pendant l'installation, les composants Windows peuvent enregistrer
des compteurs de performances via l'Analyseur de performances. Par exemple,
lorsque vous ajoutez le rle AD DS un serveur, l'objet performance NTDS
(Service d'annuaire Windows NT) est enregistr et propose des douzaines de
compteurs relatifs aux performances du service d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

L'Analyseur de performances vous permet de crer de faon interactive un
ensemble de compteurs surveiller en temps rel. Vous pouvez galement
enregistrer les compteurs dans l'Ensemble de collecteurs de donnes, rutilisable
tout moment pour consulter les performances en temps rel, ou que vous pouvez
lancer ultrieurement pour enregistrer les performances dans un journal.
Les compteurs les plus utiles pour surveiller un serveur, et qui peuvent rvler les
engorgements des principaux composants systme, sont les suivants :
Mmoire \ Pages/sec
Disque physique \ Long. moy. de file d'attente du disque
Processeur \ % Temps processeur

Dans un contrleur de domaine, vous devez au moins surveiller les compteurs de
performances suivants, proposs par l'objet NTDS (Service d'annuaire Windows NT) :
NTDS\ Nb total d'octets DRA entrants/seconde
NTDS\ Objets DRA entrants
NTDS\ Nb total d'octets DRA sortants/seconde
NTDS\ Nb de synchronisations de rplication DRA en attente
NTDS \ Authentifications Kerberos/s
NTDS\ Authentifications NTLM

Windows Server 2008 autorise les utilisateurs consulter et journaliser les
performances sans qu'ils soient membres du groupe Administrateurs local. Pour
permettre un utilisateur non administrateur d'exploiter l'Analyseur de
performances, ajoutez-le au groupe Utilisateurs du journal de performances. Le
groupe Utilisateurs du journal de performances doit galement tre autoris
ouvrir une session en tant que tche, autorisation dfinie par dfaut pour ce
groupe.
Utilisation de l'Analyseur de performances

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Ensembles de collecteurs de donnes

Points cls
Bien qu'il soit possible d'ajouter des compteurs dans une vue de l'Analyseur de
performances de faon interactive, la rptition de cette opration devient vite
ennuyeuse et, long terme et sur plusieurs systmes, difficile grer. De plus,
d'autres sources d'informations que les compteurs de performances, telles que le
suivi des vnements et des paramtres du Registre, permettent de surveiller avec
prcision les performances et le bon fonctionnement d'un systme.
L'ensemble de collecteurs de donnes est la pierre angulaire des rapports et de
l'analyse de WRPM. Un ensemble de collecteurs de donnes organise les
compteurs de performances et les paramtres du Registre et prsente ces donnes
partir d'un seul composant, utilisable ensuite pour consulter les performances en
temps rel ou enregistrer les performances selon un planning ou un
dclenchement manuel. L'ensemble de collecteurs de donnes et les informations
enregistres sont ensuite consultables sous forme de rapport ou peuvent tre
charges dans l'Analyseur de performances ou l'une des diffrentes applications
Microsoft ou autre. Les ensembles de collecteurs de donnes peuvent galement
tre configurs pour gnrer des alertes lorsque certains seuils sont atteints, ou
pour dclencher des actions WMI (Windows Management Instrumentation).
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Cration d'ensembles de collecteurs de donnes

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Surveillance des services AD DS

Points cls
Dans cette dmonstration, votre instructeur va configurer un ensemble de
collecteurs de donnes AD DS, en dcrivant les concepts et les outils prsents la
diapositive prcdente.
Vous aurez la possibilit de revoir et de mettre en pratique des procdures
similaires au cours de l'atelier de cette leon.
Crez un nouvel ensemble de collecteurs de donnes nomm Active Directory
personnalis.
1. Ajoutez les compteurs de base du serveur.
2. Ajoutez certains compteurs Active Directory, puis dmarrez l'Ensemble de
collecteurs de donnes.
3. Effectuez quelques oprations pour gnrer des statistiques. Par exemple,
crez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

4. Arrtez l'Ensemble de collecteurs de donnes et examinez le rapport dfini
par l'utilisateur.
5. Dans le conteneur systme, dmarrez l'Ensemble de collecteurs de donnes
Diagnostics Active Directory.
6. Effectuez quelques oprations pour gnrer des statistiques. Par exemple,
crez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.
7. Arrtez l'Ensemble de collecteurs de donnes et examinez le rapport dfini
par le systme.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Recommandations en matire de surveillance

Points cls
Pour laborer une structure de surveillance efficace, respectez les directives
suivantes :
Surveillance en amont pour tablir des rfrences
Il est essentiel de surveiller les performances pendant que le systme fonctionne
normalement. Vous pouvez ainsi tablir des rfrences et connatre les plages
prvues des compteurs de performances. Pour obtenir des mesures de rfrence,
surveillez les compteurs de performances pendant les priodes d'activit et
d'inactivit.
Surveillance frquente pour dtecter les problmes potentiels
tablissez une routine de surveillance rgulire, ventuellement en planifiant des
ensembles de collecteurs de donnes, et comparez les journaux et les rapports
vos mesures de rfrence. Recherchez les valeurs s'cartant inhabituellement des
valeurs prvues de manire dtecter les problmes potentiels avant qu'ils ne se
manifestent dans votre service d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Surveillance et interprtation des performances avant l'apparition d'un
engorgement
Vous n'aurez pas le temps d'apprendre collecter et interprter les compteurs de
performances et les vnements si vous attendez qu'un vritable problme
survienne. Vous devez donc anticiper et prendre le temps d'apprendre exploiter
les outils et savoir quels les compteurs vous donnent les informations les plus
significatives sur les performances dans votre entreprise. Dfinissez des ensembles
de collecteurs de donnes qui simplifieront la collecte des performances en cas de
crise et n'oubliez pas de les exporter pour les sauvegarder en cas de panne du
systme qui sert habituellement pour la surveillance.
Collecte des donnes les plus pertinentes
Ne poussez pas trop loin la surveillance. Si vous tentez de surveiller tous les
compteurs, tous les suivis d'vnements et toutes les entres du Registre, vous allez
crer un tel volume d'informations sur les performances qu'il vous sera difficile d'y
reprer les vrais problmes. De plus, la surveillance des performances dgrade
lgrement les performances du systme. Choisissez vos activits de surveillance
en fonction des besoins de votre entreprise.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique A : Surveillance des
vnements et des performances d'Active
Directory

Scnario
Le mois dernier, la panne du seul contrleur de domaine de la succursale a
entran la dconnexion du centre d'appels de Contoso pendant une journe
entire et une perte importante de bnfices. Vous avez t engag pour remplacer
l'administrateur qui avait configur un emplacement sensible, sans surveillance ni
redondance de l'authentification. Cette semaine, vous vous efforcez de configurer
la surveillance afin d'tre certain de pouvoir examiner en permanence les
performances et la fiabilit et de dceler tout signe de problme.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Surveillance des performances en temps rel
avec le Gestionnaire des tches et le Moniteur de
ressources
Dans cet exercice, vous allez utiliser le Gestionnaire des tches et le Moniteur de
ressources pour examiner les performances gnrales en temps rel. Cela vous
permettra d'identifier les engorgements et les processus ou services qui
consomment trop de ressources systme.
2. Surveiller les performances en temps rel avec le Gestionnaire des tches.
3. Surveiller les performances en temps rel avec le Moniteur de ressources.

Excutez D:\Labfiles\Lab13a\Lab13a_Setup.bat avec des droits
administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd.
Le script d'installation de l'atelier s'excute. Lorsqu'il est termin, appuyez sur
une touche quelconque.
Fermez la fentre de l'Explorateur Windows, Lab13a.
Dmarrez 6238B-HQDC02-B.
Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le

Tche 2 : Surveillance des performances en temps rel avec le
1. Dans HQDC01, appuyez sur Ctrl+Maj+chap pour lancer le Gestionnaire des
tches.
2. Ouvrez l'onglet Processus et examinez les commandes disponibles lorsque
vous cliquez du bouton droit sur taskmgr.exe. Examinez les proprits d'un
processus en ouvrant la bote de dialogue Proprits de taskmgr.exe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

3. Affichez les processus de tous les utilisateurs. Vous aurez pour cela besoin
d'informations d'identification d'administration. Utilisez le nom d'utilisateur
4. Dans l'onglet Services, arrtez, puis dmarrez le service Dnscache.
5. Cliquez du bouton droit sur le service Dnscache et choisissez Aller dans le
processus.
Question : Quel processus hberge le service Client DNS ?
6. Cliquez du bouton droit sur le processus et choisissez Accder aux services.
Question : L'onglet Services prsente le sous-ensemble des fonctionnalits les plus
utilises d'un composant logiciel enfichable d'administration. Lequel ?
7. Cliquez sur le bouton Services. La console Services s'affiche. Fermez la
console Services.
8. Ouvrez l'onglet Utilisateurs. Cet onglet prsente les utilisateurs qui sont
connects en local (console) ou distance au serveur.
9. Ouvrez l'onglet Rseau.
Cet onglet donne un aperu des performances de chaque carte rseau
disponible.
10. Ouvrez l'onglet Performances.
Cet onglet donne un aperu des performances de l'utilisation du processeur et
de la mmoire.
Question : Quel composant systme majeur n'apparat pas dans le Gestionnaire
des tches ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

1. Dans l'onglet Performances du Gestionnaire des tches, cliquez sur le bouton
Moniteur de ressources.
Si le systme vous demande des informations d'identification d'administration,
utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
2. Le Moniteur de ressources s'affiche. Agrandissez la fentre du Moniteur de
ressources et fermez le Gestionnaire des tches.
3. Cliquez sur le graphique du Processeur. Quelle utilisation du processeur est
gnre par le Moniteur de fiabilit et de performances lui-mme ?
4. Cliquez de nouveau sur le graphique du Processeur. La section Processeur se
rduit.
5. Cliquez sur le graphique Disque. Quel fichier prsente le plus d'activits de
lecture ? Quel processus gnre cette activit de lecture pour ce fichier ? Quel
fichier prsente le plus d'activits d'criture ? Quel processus gnre cette
activit d'criture pour ce fichier ?
Pour afficher l'activit du fichier d'change, cliquez sur le titre de la colonne
Fichier. Si C:\pagefile.sys n'apparat pas dans la liste, ouvrez une application
telle que le Gestionnaire de serveur. Cette opration devrait gnrer une
activit dans le fichier d'change.
Question : Combien de processus lisent ou crivent dans le fichier pagefile.sys ?
Question : Quel composant systme doit tre augment lorsque l'activit de
lecture et d'criture du fichier d'change est constamment leve ?
6. Fermez le Gestionnaire de ressources. Cliquez sur le bouton Dmarrer et
excutez perfmon en tant qu'administrateur avec le nom d'utilisateur
Les utilisateurs qui sont membres des groupes Utilisateurs de l'analyseur de
performances, Utilisateurs du journal de performances et Administrateurs
local, peuvent accder plus de fonctionnalits depuis WRPM.
La Page d'accueil de la console est la Vue d'ensemble des ressources, qui
correspond au Moniteur de ressources. Notez que l'arborescence de la console
contient tous les composants logiciels enfichables WRPM. Fermez la fentre
Moniteur de fiabilit et de performances.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

7. Cliquez sur le bouton Dmarrer et excutez perfmon /res en tant
qu'Administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de
passe Pa$$w0rd. Il s'agit l d'une autre manire d'ouvrir le Moniteur de
ressources, que vous avez dj ouvert partir du Gestionnaire des tches, et
c'est la page d'accueil de la console Moniteur de fiabilit et de performances.
Fermez le Moniteur de ressources.

Rsultats : Au terme de cet exercice, vous aurez exploit le Gestionnaire des tches et
le Moniteur de ressources pour surveiller en temps rel les performances des
processus, des services et des composants d'un systme, notamment le disque, la
mmoire, le rseau et le processeur.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Identification des vnements de performances
avec le Moniteur de fiabilit et l'Observateur d'vnements
Dans cet exercice, vous allez utiliser le Moniteur de fiabilit pour examiner les
vnements relatifs la stabilit. Vous utiliserez ensuite l'Observateur
d'vnements pour identifier les vnements lis aux performances et la fiabilit
et vous apprendrez exploiter les vues personnalises.
1. Surveiller les vnements lis la stabilit avec le Moniteur de fiabilit.
2. Identifier les vnements lis aux rles avec le Gestionnaire de serveur.
3. Analyser des journaux d'vnements.
4. Crer une vue personnalise.
5. Exporter une vue personnalise.
6. Importer une vue personnalise.

Tche 1 : Surveillance des vnements lis la stabilit avec le
Moniteur de fiabilit
1. Excutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom
2. Utilisez le Moniteur de fiabilit pour examiner les vnements lis la stabilit
survenus le 9 septembre 2009.

Tche 2 : Identification des vnements lis aux rles avec le
Gestionnaire de serveur
1. Dans la section Rsum des rles du nud racine du Gestionnaire de serveur,
examinez les icnes qui s'affichent ct des rles ADDS et Serveur DNS.
2. Cliquez sur le lien du rle ADDS dans la section Rsum des rles et
examinez les informations de la section vnements.
3. Cliquez sur le lien Filtrer les vnements dans la section vnements et
supprimez les vnements Informations de la vue.
4. Double-cliquez sur un vnement pour afficher ses dtails, examinez
l'vnement, puis fermez-le.
5. Remarquez les informations affiches dans la section Services systme.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Examen des journaux d'vnements
1. Dans la section Rsum des vnements d'administration de la racine du
composant logiciel enfichable Observateur d'vnements du Gestionnaire de
serveur, dveloppez le rsum des vnements Erreur. Double-cliquez sur une
ligne de rsum prsentant la source ActiveDirectory.
2. Si le rsum ne contient pas de ligne associe la source ActiveDirectory,
double-cliquez sur une autre ligne du rsum des vnements Erreur.
La vue des vnements de la page Rsum s'ouvre dans le volet d'informations.
Cette vue permet d'explorer les vnements synthtiss dans la ligne du
rsum des vnements Erreur.
Examinez les journaux des nuds Journaux Windows et Journaux des
applications et des services dans l'arborescence de la console.
Examinez les vnements de la vue vnements d'administration. Cliquez du
bouton droit sur vnements d'administration et choisissez Proprits. Notez
que la Description indique que la vue prsente les vnements Critique, Erreur
et Avertissement de tous les journaux d'administration. Cliquez sur le bouton
Modifier le filtre et remarquez que cette vue personnalise ne peut pas tre
modifie. Elle est en Lecture seule. Remarquez galement qu'il est difficile de
savoir avec prcision quels journaux sont inclus dans la liste Journaux
d'vnements. Les informations sont tronques. Ouvrez l'onglet XML. Pouvez-
vous identifier les journaux inclus grce aux informations de l'onglet XML ?
Dans chaque lment XML Select, quoi pensez-vous que Level fasse
rfrence ? Cliquez deux reprises sur Annuler pour fermer les botes de
dialogue ouvertes.

Tche 4 : Cration d'une vue personnalise
Dans le dossier Vues personnalises, crez une vue personnalise qui affiche
les messages Critique, Avertissement et Erreur des journaux suivants :
Rplication DFS, Service d'annuaire et Serveur DNS. Nommez le journal
Custom Directory Service Event View.

Tche 5 : Exportation d'une vue personnalise
Exportez la vue Custom Directory Service Event View sous le nom de fichier
D:\Data\DSEventView.xml.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 6 : Importation d'une vue personnalise
1. Dans HQDC02, importez la vue personnalise
\\HQDC01\Data\DSEventView.xml et nommez-la Custom Directory
Service Event View.
2. Le message Erreur de requte s'affiche car l'ordinateur HQDC02 n'est pas un
serveur DNS et n'a donc pas de journal Serveur DNS. Cliquez sur OK.

Rsultats : Au terme de cet exercice, vous aurez identifi plusieurs emplacements du
Gestionnaire de serveur dans lesquels sont affichs les vnements lis aux rles et aux
performances des serveurs. Vous aurez galement cr une vue personnalise et
l'aurez importe dans l'Observateur d'vnements d'un autre ordinateur.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 3 : Surveillance des vnements des ordinateurs
distants via les abonnements aux vnements
Dans cet exercice, vous allez utiliser la nouvelle fonctionnalit de transfert
d'vnement et d'abonnement de Windows Server 2008 pour capturer les
vnements issus de systmes distants pour la surveillance centralise.
1. Configurer les ordinateurs pour le transfert et la collecte des vnements.
2. Crer un abonnement pour la collecte des vnements.
3. Gnrer des vnements.
4. Afficher des vnements transmis.

Tche 1 : Configuration des ordinateurs pour le transfert et la collecte
des vnements
le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez
wecutil qc, appuyez sur Entre, puis sur Y et de nouveau sur Entre pour
configurer la collecte des vnements.
le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez
winrm quickconfig, appuyez sur Entre, puis sur Y, et de nouveau sur Entre
pour configurer la Gestion distance de Windows.

Tche 2 : Cration d'un abonnement pour la collecte des vnements
1. Dans le composant logiciel enfichable Observateur d'vnements du
Gestionnaire de serveur de l'ordinateur HQDC01, crez un nouvel
abonnement nomm DC Services qui collecte les vnements de l'ordinateur
HQDC02. Configurez l'abonnement pour qu'il collecte les vnements du
journal Systme associ l'ID d'vnement 7036. L'abonnement doit utiliser le
compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il
doit tre configur sur Minimiser la latence. Si des messages de l'Observateur
d'vnements s'affichent la fin de la configuration, cliquez sur Oui.
2. Vrifiez que, dans le dossier Abonnements, l'tat du nouvel abonnement DC
Services indique Actif.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Gnration d'vnements
Dans HQDC02, tapez net stop dfsr l'invite de commande, appuyez sur
Entre, tapez ensuite net start dfsr et appuyez de nouveau sur Entre.

Tche 4 : Affichage des vnements transmis
1. Basculez vers HQDC01.
2. Dans l'arborescence de la console du Gestionnaire de serveur, sous
Observateur d'vnements\Journaux Windows, cliquez sur vnements
transmis.
L'affichage des vnements transmis peut prendre plusieurs minutes. Si les
vnements ne s'affichent pas immdiatement, patientez quelques minutes,
dmarrez et arrtez le service Rplication du systme de fichiers distribus
(DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes.

Rsultats : Au terme de cet exercice, vous aurez configur des abonnements pour
afficher les vnements provenant de l'ordinateur HQDC02 dans l'ordinateur HQDC01.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 4 : Association de tches aux journaux
d'vnements et aux vnements
Dans cet exercice, vous allez invoquer des tches lorsqu'un journal d'vnements
est mis jour ou lorsqu'un vnement est gnr.
1. Associer une tche un journal d'vnements et un vnement.
2. Prparer l'affichage des messages lis aux tches de l'Observateur
d'vnements.
3. Vrifier le bon fonctionnement des tches de l'Observateur d'vnements.

Tche 1 : Association d'une tche un journal d'vnements et un
vnement
1. Dans HQDC01, cliquez du bouton droit sur le journal d'vnements
vnements transmis et associez une tche ce journal. La tche doit afficher
un message portant le titre Forwarded Event Received (vnements transmis
reus) et le message A forwarded event was received (Un vnement
transmis a t reu).
2. Dans le journal d'vnements vnements transmis, cliquez du bouton droit
sur l'un des vnements 7036 et associez-lui une tche. La tche doit afficher
un message portant le titre DC Service Event (vnement du Service DC) et le
message A service was started or stopped (Un service a t dmarr ou
arrt).

Tche 2 : Prparation de l'affichage des messages lis aux tches de
l'Observateur d'vnements
Lorsque vous choisissez d'afficher un message dans une tche, comme les
messages s'affichent sur le Bureau de l'utilisateur dont le compte a servi crer la
tche de l'Observateur d'vnements (Pat.Coleman_Admin), vous devez ouvrir une
session de faon interactive avec le compte Pat.Coleman_Admin pour tirer
pleinement parti de cette simulation.
Fermez la session ouverte sur l'ordinateur HQDC01 et ouvrez une session avec

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Vrification du bon fonctionnement des tches de
1. Dans HQDC02, tapez net stop dfsr l'invite de commande, appuyez sur
Entre, tapez ensuite net start dfsr et appuyez de nouveau sur Entre.
2. Dans HQDC01, attendez que les messages lis aux tches de l'Observateur
d'vnements s'affichent.

Rsultats : Au terme de cet exercice, vous aurez configur des tches devant dmarrer
lors de la rception d'un vnement dans le journal vnements transmis et lors du
dmarrage ou de l'arrt d'un service sur un ordinateur distant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 5 : Surveillance des services AD DS l'aide de
l'Analyseur de performances
Dans cet exercice, vous allez utiliser l'Analyseur de performances pour surveiller
les performances en temps rel d'AD DS, enregistrer les compteurs de
performances et afficher le journal des compteurs de performances enregistrs.
1. Configurer l'Analyseur de performances pour surveiller les services AD DS.
2. Crer un Ensemble de collecteurs de donnes partir des compteurs de
l'Analyseur de performances.
3. Dmarrer un Ensemble de collecteurs de donnes.
4. Afficher un rapport d'un Ensemble de collecteurs de donnes.

Tche 1 : Configuration de l'Analyseur de performances pour surveiller
les services AD DS
1. Dans le Gestionnaire de serveur de l'ordinateur HQDC02, ouvrez le
composant logiciel enfichable Analyseur de performances.
2. Ajoutez les compteurs de performances suivants :
Services d'annuaire\Nb total d'octets DRA entrants/seconde
Services d'annuaire\Nb total d'octets DRA sortants/seconde
Services d'annuaire\Nb de threads Active Directory utilises
Services d'annuaire\Lectures Active Directory/sec
Services d'annuaire\critures Active Directory/sec
Services d'annuaire\Recherches Active Directory/sec
Statistiques de scurit au niveau du systme\Authentifications
Kerberos
DNS\Requtes UDP reues/seconde
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

3. Examinez les performances pendant un moment. Ensuite, dans la liste des
compteurs situs sous le graphique, slectionnez Requtes UDP
reues/seconde. Cliquez sur le bouton Surbrillance de la barre d'outils pour
mettre ce compteur en vidence dans le graphique. Cliquez de nouveau sur le
bouton Surbrillance de la barre d'outils pour dsactiver la mise en vidence.
4. Prenez le temps d'explorer les fonctionnalits de l'Analyseur de performances.
Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.

Tche 2 : Cration d'un Ensemble de collecteurs de donnes partir
des compteurs de l'Analyseur de performances
Crez un nouvel ensemble de collecteurs de donnes partir de la vue actuelle
de l'Analyseur de performances. Nommez cet ensemble Custom ADDS
Performance Counters (Compteurs de performances AD DS personnaliss).
Prenez note du rpertoire racine par dfaut dans lequel l'ensemble de
collecteurs de donnes sera enregistr.

Tche 3 : Dmarrage d'un Ensemble de collecteurs de donnes
1. Cliquez sur le nud Ensembles de collecteurs de donnes\Dfinis par
l'utilisateur, cliquez du bouton droit sur Custom ADDS Performance
Counters et choisissez Dmarrer.
2. Le nud Custom ADDS Performance Counters est automatiquement
slectionn. Vous pouvez identifier les diffrents collecteurs de donnes
individuels de l'ensemble de collecteurs de donnes. Dans ce cas, un seul
collecteur de donnes (les compteurs de performances Journal de Moniteur
systme) s'affiche dans l'ensemble de collecteurs de donnes. Vous pouvez
galement voir o le rsultat du collecteur de donnes est enregistr.
3. Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble de
collecteurs de donnes Custom ADDS Performance Counters et choisissez
Arrter.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de
donnes
Dans l'arborescence de la console, dveloppez Custom ADDS Performance
Counters, puis cliquez sur System Monitor Log.blg. Le graphique des
compteurs de performances du journal s'affiche.

Rsultats : Au terme de cet exercice, vous aurez cr un Ensemble de collecteurs de
donnes, autoris son excution et affich ses donnes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 6 : Utilisation des Ensembles de collecteurs de
donnes
Dans cet exercice, vous allez examiner et excuter un ensemble de collecteurs de
donnes prdfini lors de l'ajout du rle AD DS un serveur. Vous allez ensuite crer
un ensemble de collecteurs de donnes personnalis, configurer son planning et ses
stratgies de gestion des donnes, l'excuter et en examiner le contenu.
1. Analyser un ensemble de collecteurs de donnes prdfini.
2. Crer un ensemble de collecteurs de donnes.
3. Configurer des conditions de dmarrage d'un ensemble de collecteurs de
donnes.
4. Configurer des conditions d'arrt d'un ensemble de collecteurs de donnes.
5. Configurer la gestion des donnes d'un collecteur.
6. Afficher les rsultats de la collecte des donnes.

Tche 1 : Examen d'un ensemble de collecteurs de donnes prdfini
1. Slectionnez l'ensemble de collecteurs de donnes Diagnostic Active
Directory sous Fiabilit et performances\Ensembles de collecteurs de
donnes\Systme. Notez les collecteurs de donnes faisant partie de
l'Ensemble de collecteurs de donnes.
2. Dmarrez l'ensemble de collecteurs de donnes.
3. Dveloppez successivement Rapports, Systme et Diagnostic Active Directory,
puis cliquez sur le rapport. L'tat du rapport indique que les donnes sont
collectes pendant 300 secondes (cinq minutes). Attendez cinq minutes, ou au
moins une, puis cliquez du bouton droit sur Diagnostic Active Directory sous
Ensembles de collecteurs de donnes\Systme et choisissez Arrter.
4. Prenez le temps d'examiner les diffrentes sections du rapport. Cliquez du
bouton droit sur le rapport et, l'aide du menu Affichage, examinez les vues
Analyseur de performances, Rapport et Dossier.
5. Dans le volet d'informations de la vue Dossier, double-cliquez sur Compteur
de performances. Une nouvelle instance de WRPM s'ouvre pour afficher le
journal. Il est possible que la nouvelle instance soit rduite, auquel cas vous
pouvez la ramener au premier plan en cliquant sur son bouton dans la barre
des tches. Examinez la fentre, puis fermez WPRM.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

6. Dans l'arborescence de la console du Gestionnaire de serveur, slectionnez le
nud Analyseur de performances. Cliquez sur le bouton Afficher les
donnes du journal et configurez la source de l'Analyseur de performances
sur C:\PerfLogs\ADDS\rapport\Compteur de performances, o rapport
correspond au nom du rapport que vous venez de gnrer.
Notez qu'aucun compteur ne s'affiche immdiatement. Cliquez sur le bouton
Ajouter un compteur et ajoutez les compteurs d'objets des services d'annuaire
suivants l'affichage : Lectures Active Directory/sec, Recherches Active
Directory/sec et critures Active Directory/sec.

Tche 2 : Cration d'un ensemble de collecteurs de donnes
1. Dans l'arborescence de la console du Gestionnaire de serveur, slectionnez le
nud Dfini par l'utilisateur situ sous Ensembles de collecteurs de
donnes.
2. Crez un nouvel ensemble de collecteurs de donnes nomm Custom ADDS
Diagnostics en utilisant l'ensemble de collecteurs de donnes Diagnostic
Active Directory comme modle. Enregistrez le nouvel ensemble de
collecteurs de donnes dans le dossier C:\ADDS Data Collector Sets.
Excutez cet ensemble avec le nom d'utilisateur
CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
Dans un environnement de production, le compte que vous utilisez doit tre
un compte de domaine unique. Il doit tre membre du groupe Utilisateurs du
journal de performances et doit tre autoris ouvrir une session en tant que
tche. Le groupe Utilisateurs du journal de performances disposant par dfaut
de cette autorisation, il vous suffit de crer un compte de domaine et d'en faire
un membre de ce groupe.

Tche 3 : Configuration des conditions de dmarrage d'un ensemble
de collecteurs de donnes
Configurez le planning du nouvel ensemble de collecteurs de donnes pour
qu'il commence le jour mme et arrive expiration dans une semaine.
Configurez l'heure de dbut pour qu'elle commence dans cinq minutes. Prenez
note de l'heure de dbut que vous configurez. Lorsque vous tes invit saisir
les informations d'identification associer l'excution de la tche planifie,
utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 4 : Configuration des conditions d'arrt d'un ensemble de
collecteurs de donnes
Configurez la Condition d'arrt de la tche sur une dure globale de deux
minutes. Dans un environnement de production, vous excuteriez
probablement le collecteur de donnes pendant plus longtemps. Slectionnez
l'option Arrter lorsque tous les collecteurs de donnes ont termin.

Tche 5 : Configuration de la gestion des donnes d'un collecteur
Configurez la stratgie des ressources du gestionnaire de donnes de sorte
qu'il supprime les lments les plus anciens et qu'il copie tous les jours les
fichiers .cab dans \\hqdc01\ADDS_Diag_Reports. Vrifiez que les options
Crer un fichier cab et Supprimer les fichiers de donnes sont slectionnes.
Lorsque vous tes invit saisir les informations d'identification associer
l'excution de la tche planifie, utilisez le compte
CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tche 6 : Affichage des rsultats de la collecte des donnes
1. Attendez que l'heure que vous avez configure pour dmarrer l'ensemble de
collecteurs de donnes soit passe. Slectionnez le rapport situ sous
Rapports\Dfini par l'utilisateur\Custom ADDS Diagnostics et notez que
l'tat du rapport indique que les donnes sont collectes pendant 120
secondes (deux minutes). Lorsque la collecte des donnes est termine, l'tat
du rapport indique que la gnration du rapport est en cours.
Prenez le temps d'examiner le rapport.
2. Cliquez du bouton droit sur le rapport dans l'arborescence de la console,
pointez sur Affichage et choisissez Dossier. Dans le volet d'informations,
double-cliquez sur Compteur de performances.
Une nouvelle instance du Moniteur de fiabilit et de performances s'ouvre,
l'Analyseur de performances affichant les donnes enregistres dans le journal
Compteur de performances. Prenez le temps d'examiner le graphique des
performances, puis fermez la fentre.

Rsultats : Au terme de cet exercice, vous aurez examin un ensemble de collecteurs
de donnes prdfini, cr un ensemble de collecteurs de donnes personnalis,
excut cet ensemble selon le planning et affich ses rsultats.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les
module.
Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vous
d'utiliser, les abonnements aux vnements comme outil de surveillance ?
Question : quels vnements ou compteurs de performances envisagez-vous
d'associer des actions ou des notifications lectroniques ? Utilisez-vous
actuellement des notifications ou des actions dans le cadre de la surveillance de
votre environnement ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 2
Gestion de la base de donnes Active Directory

Au Module 1, vous avez appris qu'en dfinitive Active Directory tait une base de
donnes prise en charge par un certain nombre de services. La gestion de la base
de donnes Active Directory est quasiment automatique. Toutefois, la maintenance
de ses fichiers eux-mmes est parfois ncessaire. Dans cette leon, vous allez
apprendre effectuer la maintenance de la base de donnes Active Directory et
aussi rcuprer un objet supprim accidentellement.
Objectifs
dcrire les composants et les fonctionnalits des fichiers de la base de donnes
Active Directory ;
utiliser NTDSUtil pour excuter des tches de maintenance de la base de
donnes Active Directory, notamment la dfragmentation hors connexion ;
crer et monter des instantans d'Active Directory ;
rcuprer un utilisateur supprim.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Fichiers de la base de donnes Active Directory

Points cls
La base de donnes Active Directory est stocke dans un fichier nomm NTDS.dit
dont vous pouvez dfinir l'emplacement lors de l'installation et de la configuration
d'AD DS. L'emplacement par dfaut est %SystemRoot%\NTDS. Le fichier
NTDS.dit contient toutes les partitions hberges par le contrleur de domaine : le
schma et la configuration de la fort, le contexte de noms de domaine et (selon la
configuration du serveur) le jeu d'attributs partiel et les partitions de l'annuaire
d'applications.
Le dossier NTDS contient d'autres fichiers qui prennent en charge la base de
donnes Active Directory. Le fichier Edb.log est le journal des transactions d'Active
Directory. Lorsque l'annuaire doit tre modifi, la modification est d'abord crite
dans ce fichier journal. Cette modification est ensuite valide dans l'annuaire en
tant que transaction. Si la transaction choue, la modification peut tre annule.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Ce processus est illustr dans la diapositive suivante :

Lorsque le systme fonctionne normalement, le journal des transactions
fonctionne de faon circulaire, les nouvelles transactions remplaant les anciennes
dj valides. Toutefois, lorsqu'un grand nombre de transactions interviennent
pendant une brve priode, Active Directory cre des journaux de transactions
supplmentaires. Plusieurs fichiers EDB*.log peuvent donc s'afficher dans le
dossier NTDS d'un contrleur de domaine particulirement sollicit. Avec le
temps, ces fichiers sont automatiquement supprims.
Le fichier EDB.chk joue le rle de signet dans les journaux, en marquant le point
avant lequel les transactions ont bien t valides dans la base de donnes et aprs
lequel les transactions doivent encore l'tre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Le fait que l'espace disque devienne insuffisant sur un lecteur est trs
problmatique pour le serveur. Ce problme est encore plus important lorsque ce
disque hberge la base de donnes Active Directory car les ventuelles transactions
en cours ne peuvent pas tre inscrites dans les journaux. Par consquent, Active
Directory gre deux fichiers journaux supplmentaires, edbres0001.jrs et
edbres0002.jrs. Ces fichiers sont vides et font 10 Mo chacun. Lorsque l'espace d'un
disque devient insuffisant pour les journaux de transactions normaux, Active
Directory rcupre l'espace occup par ces deux fichiers pour poursuivre l'criture
des transactions. Bien videmment, il est trs important que l'administrateur
rsolve aussi vite que possible le problme d'espace disque. Le fichier fournit
simplement une solution temporaire pour viter que le service d'annuaire ne refuse
les nouvelles transactions.
Fonctionnement du magasin de donnes (ventuellement en anglais)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

NTDSUtil

Points cls
Dans les modules prcdents, vous avez utilis la commande NTDSUtil pour
excuter des actions sur le service d'annuaire. Au Module 11, la commande a t
utilise pour capter des rles de matre d'oprations. Dans ce module, vous allez
utiliser la commande pour effectuer la maintenance de la base de donnes,
notamment pour crer des instantans, effectuer une dfragmentation hors
connexion et relocaliser les fichiers de la base de donnes.
La commande NTDSUtil permet galement de nettoyer les mtadonnes d'un
contrleur de domaine. Lorsqu'un contrleur de domaine est rtrograd (retir du
domaine) alors qu'il est hors connexion, il ne peut pas supprimer d'importantes
informations dans le service d'annuaire. Vous pouvez dans ce cas utiliser la
commande NTDSUtil pour nettoyer les restes du contrleur de domaine, et cette
opration est extrmement importante.
Enfin, la commande NTDSUtil peut rinitialiser le mot de passe utilis pour ouvrir
une session de Restauration des services d'annuaire (DSRM). Ce mot de passe est
initialement dfini pendant la configuration d'un contrleur de domaine. Si vous
oubliez ce mot de passe, la commande ntds set dsrm permet de le rinitialiser.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Outils et paramtres du magasin de donnes (ventuellement en anglais)
Suppression de donnes dans Active Directory aprs l'chec de la
rtrogradation d'un contrleur de domaine

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Maintenance de la base de donnes

Points cls
La gestion de la base de donnes Active Directory est quasiment automatique. Par
dfaut, toutes les 12 heures, chaque contrleur de domaine excute un processus
appel nettoyage de la mmoire. Ce nettoyage de la mmoire effectue deux
oprations. D'abord, il efface les objets supprims dont la dure de vie est
dpasse. Lorsqu'un objet est supprim, il est plac dans le conteneur Objets
supprims et dbarrass de la quasi-totalit de ses attributs. L'objet demeure dans
le service d'annuaire pour la priode dfinie par sa dure de vie de dsactivation,
par dfaut 180 jours sous Windows Server 2008. L'entreprise peut ainsi ractiver
ou restaurer l'objet l'aide des procdures que vous allez dcouvrir dans la suite de
cette leon. Ds que la dure de vie est coule, le nettoyage de la mmoire dfinit
la ligne de l'objet sur zro dans la base de donnes.
Lorsque des objets sont supprims, les lignes dfinies sur zro crent un type de
fragmentation susceptible d'affecter les performances. Le processus de nettoyage de la
mmoire rorganise les lignes de la base de donnes pour placer les lignes vides de
faon contigu, une opration trs proche de la rorganisation des secteurs d'un disque
lors d'une dfragmentation. Ce processus, appel dfragmentation en ligne, ne rduit
pas la taille des fichiers de la base de donnes, mais optimise l'ordre interne de celle-ci.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dans la plupart des environnements, cette opration est suffisante. Toutefois, il
peut tre ncessaire de rduire la taille du fichier NTDS.dit dans les organisations
qui suppriment un grand nombre d'objets de l'annuaire. Pour ce faire, vous devez
excuter une dfragmentation hors connexion avec la commande NTDSUtil. Les
procdures requises sont traites dans la suite de cette leon.
Dans les versions prcdentes de Windows, les contrleurs de domaine plaaient
un verrou sur la base de donnes Active Directory. Pour effectuer la maintenance
de la base de donnes, vous devez redmarrer le serveur dans la Restauration des
services d'annuaire. Sous Windows Server 2008, l'architecture d'AD DS a t
conue sous forme de service et, comme n'importe quel autre service, peut tre
arrt ou dmarr la demande depuis le composant logiciel enfichable Services.
prsent, pour effectuer une dfragmentation hors connexion, il vous suffit d'arrter
le service AD DS, d'effectuer la maintenance, puis de redmarrer le service.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Maintenance de la base de donnes AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer comment arrter et
dmarrer le service AD DS et vous apprendre compresser la base de donnes et
dplacer ses fichiers vers un autre volume.
Ces procdures sont disponibles dans le Corrig de l'atelier pratique de ce module.
Vous aurez la possibilit de mettre la plupart de ces procdures en pratique au
cours de l'atelier.
Pour arrter le service AD DS :
Ouvrez la console Services, cliquez du bouton droit sur Services de domaine
Active Directory et choisissez Arrter dans le menu contextuel.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour effectuer une dfragmentation hors connexion de la base de donnes Active
Directory pendant que les Services AD DS sont l'tat arrt :
1. Dans la fentre de commande, tapez ntdsutil et appuyez sur Entre.
2. l'invite de commande ntdsutil, tapez Activate Instance NTDS et appuyez sur
Entre.
3. l'invite de commande ntdsutil:, tapez files et appuyez sur Entre.
4. l'invite file maintenance:, tapez compact to drive:\ LocalDirectoryPath (o
drive:\ LocalDirectoryPath correspond au chemin d'accs d'un l'emplacement
dans l'ordinateur local). Aprs un court instant, appuyez sur CTRL+C pour
interrompre le processus. Ce processus peut durer un certain temps.
5. Lorsque le processus se termine de lui-mme, vous devez copier le fichier
NTDS.dit dans un emplacement de sauvegarde, de mme que les journaux
(*.log), puis supprimer ces derniers (*.log).
6. Pour finir, il est recommand de vrifier l'intgrit de la base de donnes qui
vient d'tre compacte. Pour ce faire, tapez "integrity". Ce processus, comme la
compression, prend un certain temps. Appuyez sur CTRL+C tout moment
pour interrompre le processus et passer la suite de la dmonstration.

Pour dplacer la base de donnes AD DS :
1. Dans la fentre de l'invite de commande file maintenance, tapez move db to
pathname. Comme prcdemment, nous n'allons pas attendre la fin de ce
processus.
2. Appuyez sur CTRL+C pour interrompre le processus.
Sachez que, si nous avions attendu que le processus aille son terme, le fichier
NTDS.dit aurait t dplac vers le nouvel emplacement et les autorisations
auraient t dfinies en consquence.

Enfin, redmarrez AD DS :
Dans la console MMC des services, cliquez du bouton droit sur Services de
domaine Active Directory et choisissez Dmarrer.

Bravo, vous avez termin !
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Question : Pourquoi est-il ncessaire d'arrter les services AD DS avant la
dfragmentation ?
Question : Pourquoi est-il ncessaire de commencer par compacter la base de
donnes dans un rpertoire temporaire ?
Compactage du fichier de base de donnes d'annuaire (dfragmentation hors
connexion)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Instantans d'Active Directory

Points cls
La commande NTDSUtil de Windows Server 2008 permet de crer et de monter
des instantans d'Active Directory. Un instantan est une forme de sauvegarde de
l'historique ; elle capture l'tat exact du service d'annuaire au moment de
l'instantan Contrairement une sauvegarde, un instantan ne peut pas servir
restaurer des donnes. Vous pouvez cependant employer des outils pour explorer
le contenu de l'instantan et examiner l'tat du service d'annuaire tel qu'il tait au
moment de la cration de l'instantan.
Pour crer un instantan :
1. Ouvrez une invite de commande leve.
2. Tapez ntdsutil et appuyez sur Entre.
3. Tapez snapshot, puis appuyez sur Entre.
4. Tapez activate instance ntds et appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

5. Tapez create et appuyez sur Entre.
La commande renvoie un message qui indique que l'ensemble d'instantans a
bien t gnr.
L'identificateur global unique (GUID) qui s'affiche est important pour les
commandes des tches ultrieures. Notez le GUID ou copiez-le dans le Presse-
papiers.
6. Tapez quit, puis appuyez sur Entre.

Il est recommand de planifier des instantans rguliers d'Active Directory. Vous
pouvez utiliser le Planificateur de tches pour excuter un fichier de commandes
avec les commandes NTDSUtil appropries.
Pour afficher le contenu d'un instantan, vous devez monter ce dernier en tant que
nouvelle instance d'AD DS. Cette opration est effectue via NTDSUtil.
Pour monter un instantan :
1. Ouvrez une invite de commande leve.
5. Tapez list all, puis appuyez sur Entre.
La commande rcupre la liste de tous les instantans.
6. Tapez mount {GUID}, o GUID correspond l'identifiant GUID renvoy par
la commande create snapshot, puis appuyez sur Entre.
9. Tapez dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds
\ntds.dit -ldapport 50000, puis appuyez sur Entre.
Le numro de port, 50000, peut tre tout numro de port TCP ouvert et unique.
Un message indique que le dmarrage des services AD DS est termin.
10. Ne fermez pas la fentre d'invite de commandes, laissez s'excuter la commande
que vous venez de saisir (Dsamain.exe), et passez l'tape suivante.
Ds que l'instantan a t mont, vous pouvez utiliser des outils pour vous y
connecter et l'explorer. Mme la console Utilisateurs et ordinateurs Active
Directory permet de se connecter l'instance.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour vous connecter un instantan avec Utilisateurs et ordinateurs Active Directory :
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Cliquez du bouton droit sur le nud racine et choisissez Modifier le
La bote de dialogue Changer de serveur d'annuaire s'affiche.
3. Cliquez sur <Tapez ici un nom de serveur d'annuaire[:port]>.
4. Tapez HQDC01:50000 et appuyez sur Entre.
HQDC01 est le nom du contrleur de domaine dans lequel vous avez mont
l'instantan et 50000, le numro de port TCP que vous avez configur pour
l'instance et par lequel vous tes prsent connect l'instantan.
5. Cliquez sur OK.

Remarquez que les instantans sont en lecture seule. Vous ne pouvez pas en
modifier le contenu. Il n'existe pas non plus de mthode directe permettant de
dplacer, de copier ou de restaurer des objets ou des attributs de l'instantan vers
l'instance de production d'Active Directory.
Pour dmonter l'instantan :
1. Revenez l'invite de commande dans laquelle l'instantan a t mont.
2. Appuyez sur CTRL+C pour arrter DSAMain.exe.
6. Tapez unmount GUID, o GUID correspond l'identifiant GUID de
l'instantan, puis appuyez sur Entre.
8. Tapez quit et appuyez sur Entre.

Guide pas pas sur les outils de montage de la base de donnes AD DS
(Snapshot Viewer ou Snapshot Browser)
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Restauration des objets supprims

Points cls
Comme nous l'avons dj mentionn, lorsqu'un objet est supprim, il est plac
dans le conteneur Objets supprims et dbarrass de la quasi-totalit de ses
attributs. En fait, les seuls attributs qui restent sont SID, objectGUID,
lastKnownParent et sAMAccountName de l'objet.
Tant que le niveau fonctionnel du domaine est Windows Server 2003 ou un niveau
suprieur, et tant que l'objet n'a pas t nettoy par le processus de nettoyage de la
mmoire aprs avoir atteint la fin de sa dure de vie, vous pouvez restaurer ou
ractiver l'objet supprim.
Pour restaurer un objet supprim :
1. Cliquez sur le bouton Dmarrer, tapez LDP.exe dans le champ Rechercher,
puis appuyez sur Ctrl+Maj+Entre pour excuter la commande en tant
qu'administrateur.
La bote de dialogue Contrle de compte d'utilisateur s'affiche.
3. Dans le champ Nom d'utilisateur, tapez celui d'un administrateur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

4. Dans Mot de passe, tapez celui du compte d'administration, puis appuyez sur
Entre.
LDP s'affiche.
5. Dans le menu Connexion, cliquez sur Connexion, puis sur OK.
6. Dans le menu Connexion, cliquez sur Lier, puis sur OK.
7. Dans le menu Options, cliquez sur Contrles.
8. Dans la liste Chargement prdfini, cliquez sur Renvoyer les objets
supprims, puis sur OK.
9. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.
10. Dveloppez le domaine, puis double-cliquez sur CN=Deleted
Objects,DC=contoso,DC=com.
11. Cliquez du bouton droit sur l'objet supprim et choisissez Modifier.
12. Dans la zone Attribut, tapez isDeleted.
13. Dans la section Opration, cliquez sur Supprimer.
14. Appuyez sur Entre.
15. Dans la zone Attribut, tapez distinguishedName.
16. Dans le champ Valeurs, entrez le nom unique de l'objet dans l'unit
d'organisation ou le conteneur parent dans lequel l'objet doit tre restaur. Par
exemple, tapez le nom unique de l'objet tel qu'il tait avant d'tre supprim.
17. Dans la section Opration, cliquez sur Remplacer.
19. Cochez la case tendu.
20. Cliquez sur le bouton Excuter.
21. Cliquez sur le bouton Fermer.
22. Fermez LDP.
23. Servez-vous d'Utilisateurs et ordinateurs Active Directory pour renseigner
nouveau les attributs de l'objet, rinitialiser le mot de passe (pour un objet
utilisateur) et activer l'objet (s'il est dsactiv).

Scnario complet d'utilisation de l'outil de montage de la base de donnes
Active Directory
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Utilisation d'instantans et ranimation
d'objets

Points cls
Dans cette dmonstration, votre instructeur va crer un instantan, supprimer un
objet (un utilisateur peut-tre), monter l'instantan avec NTDSutil et utiliser LDP
ou ADSIedit pour afficher l'objet supprim dans l'instantan.
Vous aurez bientt la possibilit de revoir et de mettre en pratique des procdures
similaires au cours de l'atelier de cette leon.
Pour la procdure propre cette dmonstration, rfrez-vous aux deux rubriques
prcdentes, Instantans d'Active Directory et Restauration des objets
supprims. Elles contiennent les procdures qui permettent de crer un
instantan, de le monter, de s'y connecter avec Utilisateurs et ordinateurs Active
Directory, de le dmonter et de restaurer un objet supprim.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Question : Dans quels cas s'avre-t-il utile de monter plusieurs instantans
simultanment ?
Question : Pourquoi est-il ncessaire de spcifier diffrents ports LDAP, SSL et de
catalogue global pour chaque instance monte de la base de donnes ?
Scnario complet d'utilisation de l'outil de montage de la base de donnes
Active Directory :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique B : Gestion de la base de
donnes Active Directory

Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne. la fin du
semestre, il y 65 jours, vous avez supprim les 835 comptes d'utilisateur des
tudiants qui ont obtenu leur diplme ou qui ne poursuive pas leur cursus. Vous
voulez prsent compacter votre base de donnes Active Directory pour rcuprer
l'espace libr par les nombreux objets supprims. Vous avez galement appris que
le compte d'Adriana Giorgi a t supprim la veille par accident. Vous souhaitez
rcuprer ce compte par l'intermdiaire d'un instantan dont vous avez planifi
l'excution 01 h 00 chaque nuit.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Maintenance de la base de donnes
Dans cet exercice, vous allez effectuer la maintenance de la base de donnes Active
Directory. Pour ce faire, vous devrez arrter le service AD DS et le redmarrer
lorsque la maintenance sera termine.
2. Prparer le compactage de la base de donnes Active Directory.
3. Arrter le service AD DS.
4. Compacter la base de donnes Active Directory.
5. Substituer la base de donnes Active Directory par la copie compacte.
6. Vrifier l'intgrit de la base de donnes compacte.
7. Dmarrer le service AD DS.

Les ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier pratique A.
Toutefois, s'ils ont t arrts, procdez comme suit :
2. Dmarrez 6238B-HQDC02-B sans ouvrir de session.

Tche 2 : Prparation du compactage de la base de donnes Active
Directory
2. l'invite de commande, crez deux dossiers : D:\NTDSCompact et
D:\NTDSOriginal.

Tche 3 : Arrt du service AD DS
1. Excutez la console Services en tant qu'administrateur avec le nom
2. Arrtez le service AD DS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 4 : Compactage de la base de donnes Active Directory
Utilisez NTDSUtil pour activer l'instance NTDS et compacter le fichier de base
de donnes dans D:\NTDSCompact.

Tche 5 : Substitution de la base de donnes Active Directory par la
copie compacte
1. Dplacez l'ancienne version de NTDS.dit et tous les fichiers *.log du dossier
%SystemRoot%\NTDS vers D:\NTDSOriginal afin de les prserver en cas
d'chec ou de problme li au compactage.
2. Copiez le fichier NTDS.dit compact du dossier D:\NTDSCompact vers
%SystemRoot%\NTDS\ntds.dit.

Tche 6 : Vrification de l'intgrit de la base de donnes compacte
Utilisez NTDSUtil pour activer l'instance de NTDS, en vrifier l'intgrit et
effectuer une analyse smantique de la base de donnes en mode correction.

Tche 7 : Dmarrage du service AD DS
1. Revenez la console Services.
2. Dmarrez le service AD DS.
3. Fermez la console Services.

Rsultats : Au terme de cet exercice, vous aurez arrt AD DS, compact la base de
donnes Active Directory, effectu une vrification smantique et de l'intgrit et
redmarr AD DS.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Utilisation des instantans et rcupration d'un
utilisateur supprim
Dans cet exercice, vous allez crer et monter un instantan Active Directory et
utiliser les informations pour renseigner nouveau les attributs d'un objet
utilisateur supprim.
1. Crer un instantan d'Active Directory.
2. Modifier Active Directory
3. Monter un instantan Active Directory et crer une nouvelle instance.
4. Analyser un instantan dans Utilisateurs et ordinateurs Active Directory.
5. Utiliser LDP pour restaurer un objet supprim (facultatif).

Tche 1 : Cration d'un instantan d'Active Directory
l'invite de commande leve, tapez les commandes suivantes :
ntdsutil
snapshot
activate instance ntds
create
quit
quit
bien t gnr. L'identificateur global unique (GUID) qui s'affiche est
important pour les commandes des tches ultrieures. Notez le GUID ou
copiez-le dans le Presse-papiers.

Tche 2 : Modification d'Active Directory
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur,
2. Supprimez le compte d'Adriana Giorgi de l'unit d'organisation User
Accounts\Employees.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Montage d'un instantan Active Directory et cration d'une
nouvelle instance
1. l'invite de commande leve, tapez les commandes suivantes :
ntdsutil
snapshot
list all
2. Tapez les commandes suivantes :
mount guid
quit
quit
o guid est l'identifiant GUID de l'instantan que vous avez cr.
3. Dmarrez une instance d'Active Directory utilisant l'instantan en tapant la
commande suivante sur une seule ligne.
dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds\ntds.dit
-ldapport 50000
Notez que dateheure doit tre une valeur unique pour vous. Votre lecteur C
ne doit comprendre qu'un seul dossier commenant par $snap.
Un message indique que le dmarrage des services de domaine Active
Directory est termin. Laissez Dsamain.exe continuer son excution. Ne
fermez pas l'invite de commande.

Tche 4 : Examen d'un instantan dans Utilisateurs et ordinateurs
Active Directory
1. Revenez Utilisateurs et ordinateurs Active Directory. Cliquez du bouton
droit sur le nud racine du composant logiciel enfichable et choisissez
Modifier le contrleur de domaine. Tapez le nom du serveur d'annuaire et le
port HQDC01:50000, puis appuyez sur Entre. Cliquez sur OK.
2. Localisez l'objet Adriana Giorgi dans l'unit d'organisation User
Accounts\Employees. Remarquez que l'objet Adriana Giorgi s'affiche car
l'instantan a t cr avant sa suppression.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 5 (facultatif) : Utilisation de LDP pour restaurer un objet
supprim
La restauration d'un compte utilisateur supprim n'est pas directement lie aux
instantans. Pour ranimer des objets du conteneur Objets supprims d'Active
Directory, utilisez la commande Ldp.exe. Un objet supprim tant dbarrass de la
plupart de ses attributs, un instantan se rvle trs utile pour examiner les
attributs de l'objet avant sa suppression.
1. Cliquez sur le bouton Dmarrer. Tapez LDP.exe dans le champ Rechercher,
qu'administrateur.
3. Dans le champ Nom d'utilisateur, tapez Pat.Coleman_Admin.
4. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre.
LDP s'affiche.
10. Dans l'arborescence de la console, dveloppez DC=contoso,DC=com, puis
double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.
11. Cliquez du bouton droit sur CN=Adriana Giorgi, puis cliquez sur Modifier.
16. Dans le champ Valeurs, tapez CN=Adriana Giorgi,OU=Employees,OU=User
Accounts,DC=contoso,DC=com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

22. Fermez LDP.
23. Excutez Utilisateurs et ordinateurs Active Directory avec des informations
24. Dans l'arborescence de la console, dveloppez le domaine contoso.com, puis
l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation
Employees.
25. Remarquez que le compte d'Adriana Giorgi a t restaur. Cependant, tous ses
attributs sont absents, notamment la description et le mot de passe. Du fait de
l'absence du mot de passe, le compte a t dsactiv.
26. Revenez l'instance d'Utilisateurs et ordinateurs Active Directory dans laquelle
les donnes de l'instantan sont affiches.
27. Notez que vous pouvez utiliser les attributs indiqus dans l'instantan pour
renseigner nouveau manuellement les attributs dans Active Directory.
28. Fermez les deux instances d'Utilisateurs et ordinateurs Active Directory.

Tche 6 : Dmontage d'un instantan d'Active Directory
1. l'invite de commande, appuyez sur Ctrl+C pour arrter DSAMain.exe.
2. Tapez les commandes suivantes :
ntdsutil
snapshot
unmount guid quit
quit
o guid est l'identifiant GUID de l'instantan.

Rsultats : Au terme de cet exercice, vous aurez cr, mont et examin un instantan
d'Active Directory et, ventuellement, restaur un compte d'utilisateur supprim.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

module.
Question : Dans quels autres cas peut-il tre utile de monter un instantan d'Active
Directory ?
Question : Quels sont les inconvnients de la restauration d'un objet supprim
avec un outil tel que LDP ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Leon 3
Sauvegarde et restauration des services AD DS
et des contrleurs de domaine

Mme avec les technologies et un plan de surveillance les plus efficaces possibles,
la dfaillance d'un contrleur de domaine reste possible, de mme que la
corruption d'Active Directory, intentionnelle ou accidentelle. Dans un tel cas, vous
devez tre prt restaurer le contrleur de domaine, l'annuaire ou certains objets
de l'annuaire. Dans cette leon, vous allez apprendre utiliser la fonctionnalit
Sauvegarde de Windows Server et le mode Restauration des services d'annuaire
pour sauvegarder et restaurer efficacement AD DS et les contrleurs de domaine.
Objectifs
sauvegarder un contrleur de domaine AD DS ;
planifier des oprations de sauvegarde de contrleurs de domaine ;
restaurer AD DS.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Outils de sauvegarde et de restauration

Points cls
La Sauvegarde de Windows Server est une nouvelle fonctionnalit puissante de
Windows Server 2008 qui permet de sauvegarder et de restaurer un serveur, ses
rles et ses donnes. La Sauvegarde de Windows Server est installe sous forme de
fonctionnalit du Gestionnaire de serveur.
La fonctionnalit Sauvegarde de Windows Server fournit un outil d'administration de
composant logiciel enfichable et la commande WBAdmin (wbadmin.exe). Ces deux
outils permettent d'effectuer des sauvegardes manuelles ou automatises dans un
volume de disque externe ou interne, un partage distant ou un support optique. La
sauvegarde sur bande n'est plus prise en charge par la Sauvegarde de Windows Server.
La fonctionnalit Sauvegarde de Windows Server vous permet d'effectuer les types
suivants de sauvegarde :
Serveur complet
Volumes slectionns
tat du systme
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Vous ne pouvez pas utiliser la Sauvegarde de Windows Server pour sauvegarder
des fichiers ou des dossiers individuels. Vous pouvez cependant l'utiliser pour
restaurer des fichiers ou des dossiers individuels.
Si vous choisissez d'effectuer la sauvegarde vers un volume de disque local ou
externe, il est recommand ou obligatoire (selon votre configuration) de ddier ce
volume aux sauvegardes. En d'autres termes, n'utilisez pas ce volume pour stocker
d'autres types de donnes.
Notez que l'outil de sauvegarde hrit, NTBackup, n'est plus pris en charge. En
outre, la fonctionnalit Sauvegarde de Windows Server ne peut pas restaurer les
sauvegardes ralises avec NTBackup. Vous pouvez tlcharger une version de
NTBackup compatible avec Windows Server 2008 et pris en charge pour restaurer
les fichiers de sauvegarde hrits dans Windows Server 2008 et rcuprer des
donnes. Toutefois, NTBackup ne doit pas tre utilis pour excuter les nouvelles
oprations de sauvegarde.
Plusieurs nuances et exigences rgissent l'utilisation de la Sauvegarde de Windows
Server selon les scnarios et les configurations. Si vous envisagez d'utiliser la
Sauvegarde de Windows Server comme utilitaire de sauvegarde, veillez lire les
articles rpertoris dans la section Lectures complmentaires ci-dessous.
Prsentation de la sauvegarde et de la restauration sous Windows Server 2008
Sauvegarde de Windows Server
Guide pas pas de la Sauvegarde de Windows Server pour Windows Server 2008
Sauvegarde de votre serveur

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Prsentation de la sauvegarde d'AD DS et des contrleurs
de domaine

Points cls
Dans les versions prcdentes de Windows, la sauvegarde d'Active Directory
entranait la cration d'une sauvegarde de l'tat du systme, c'est--dire une petite
collection de fichiers comprenant la base de donnes Active Directory et le
Registre.
Sous Windows Server 2008, le concept d'tat du systme existe encore mais a t
grandement largi. Du fait des interdpendances entre les rles de serveur, la
configuration physique et Active Directory, l'tat du systme est prsent un sous-
ensemble d'une sauvegarde complte du serveur et, dans certaines configurations,
peut tre aussi volumineuse. Pour sauvegarder un contrleur de domaine, vous
devez sauvegarder entirement tous les volumes critiques.
Vous pouvez exploiter l'utilitaire Sauvegarde de Windows Server (le composant
logiciel enfichable ou la commande wbadmin.exe) pour sauvegarder l'tat du
systme.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Guide pas pas de la sauvegarde et de la restauration d'AD DS

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dmonstration : Sauvegarde des services AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer comment
sauvegarder Active Directory. Vous aurez la possibilit de mettre vous-mme une
procdure similaire en pratique dans l'atelier associ ce module.
Pour effectuer une sauvegarde interactive d'Active Directory :
1. Ouvrez le composant logiciel enfichable Sauvegarde de Windows Server.
2. Cliquez sur le lien Sauvegarde unique. L'Assistant Sauvegarde unique
s'affiche.
3. Dans la page des options de Sauvegarde, vrifiez que l'option Diffrentes
options est slectionne, puis cliquez sur Suivant.
4. Dans la page Slectionner la configuration de la sauvegarde, cliquez sur
Personnalis, puis sur Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

5. Dans la page Slectionner les lments de sauvegarde, vrifiez que la case
cocher Activer la rcupration du systme est slectionne, puis cliquez sur
Suivant.
6. Dans la page Spcifier le type de destination, cliquez sur Suivant.
7. Dans la page Slectionner la destination de sauvegarde, cliquez sur Suivant.
8. Dans la page Spcifier une option avance, cliquez sur Sauvegarde complte
VSS, puis cliquez sur Suivant.
9. Dans la page Confirmation, cliquez sur Sauvegarde.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Autres outils de sauvegarde et de restauration

Points cls
Windows Server 2008 propose plusieurs outils supplmentaires lis la
sauvegarde et la restauration des services de domaine Active Directory.
Dans la leon prcdente, vous avez appris crer des instantans d'Active
Directory. Ces instantans, bien qu'en lecture seule, sont des lments prcieux de
l'image de restauration. D'abord, vous pouvez facilement parcourir les instantans
pour identifier le moment o un problme est survenu dans l'annuaire, puis
restaurer la sauvegarde approprie en consquence. Ensuite, si Windows ne
propose pas de mthode permettant de copier ou de stocker les informations d'un
instantan dans l'instance de production d'Active Directory, certains scripts et
outils tiers vous permettent d'effectuer ces oprations.
La fonctionnalit Sauvegarde de Windows Server ajoute plusieurs applets de
commande (cmdlet) Windows PowerShell qui vous permettent de crer des scripts
d'oprations de sauvegarde et de restauration.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Enfin, l'Environnement de rcupration Windows (WinRE) se rvle d'une aide
incroyable dans certains scnarios de rcupration. WinRE est une version de
Windows rsidant en mmoire qui drive de l'environnement de prinstallation
Microsoft Windows (WinPE). Vous pouvez lancer WinRE en dmarrant partir du
DVD de Windows Server 2008 et en choisissant Options de rcupration systme
lorsque vous y tes invit. L'invite de commande qui apparat vous donne un accs
complet aux volumes des disques non chiffrs du systme. Vous pouvez utiliser la
commande wbadmin pour effectuer des oprations de sauvegarde ou de
restauration, et de nombreux autres outils de ligne de commande pour la
rsolution des problmes.
L'installation de WinRE sous forme d'option de dmarrage dans le serveur est
recommande en cas de dfaillance du systme d'exploitation principal. Vous
pourrez ainsi dmarrer directement WinRE sans avoir besoin du support
d'installation de Windows Server 2008.
Vous obtiendrez davantage d'informations sur l'environnement WinRE et sur les
autres outils de cette diapositive dans l'article rpertori la section Lectures
complmentaires .
Prsentation de la sauvegarde et de la restauration sous Windows Server 2008

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Options de restauration d'Active Directory

Points cls
Lorsqu'un contrleur de domaine ou son annuaire est corrompu, endommag ou
dfaillant, plusieurs options vous permettent de restaurer le systme.
La premire de ces options est appele restauration normale ou restauration
ne faisant pas autorit . Lors d'une opration de restauration normale, vous
restaurez une sauvegarde d'Active Directory une date que vous savez approprie.
Vous restaurez efficacement le contrleur de domaine un moment prcis du
pass. Lorsque AD DS redmarre le contrleur de domaine, ce dernier contacte ses
partenaires de rplication et demande toutes les mises jour qui ont suivi.
Efficacement, le contrleur de domaine rattrape le reste du domaine via les
mcanismes de rplication habituels.
La restauration normale est utile lorsque l'annuaire d'un contrleur de domaine a
t endommag ou corrompu mais que le problme n'a pas atteint les autres
contrleurs de domaine. Que se passe-t-il par contre lorsque le problme a dj t
rpliqu ? Par exemple, que se passe-t-il si vous supprimez des objets et que cette
suppression a t rplique ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Dans ce cas, la restauration normale ne suffit pas. Si vous restaurez une bonne
version d'Active Directory et que vous redmarrez le contrleur de domaine, la
suppression (survenue aprs la sauvegarde) est de nouveau rplique dans le
contrleur domaine et vous vous retrouvez au point de dpart.
C'est ici que la restauration faisant autorit est ncessaire. Avec la restauration
faisant autorit, vous restaurez la version approprie d'Active Directory comme
dans le cas d'une restauration normale. Cependant, avant de redmarrer le
contrleur de domaine, vous dsignez les objets conserver (ceux qui ont t
supprims accidentellement) comme faisant autorit de sorte qu'ils soient
rpliqus partir du contrleur de domaine restaur vers ses partenaires de
rplication. En coulisses, lorsque des objets sont dsigns comme faisant autorit,
Windows incrmente fortement le numro de version de tous les attributs d'objet
pour que ce numro soit obligatoirement suprieur celui de tous les autres
contrleurs de domaine. Lorsqu'il redmarre, le contrleur de domaine restaur
rplique toutes les modifications apportes l'annuaire partir de ses partenaires
de rplication, mais signale galement ces derniers qu'il a chang. Grce aux
numros de version, les partenaires rcuprent alors les modifications et les
rpliquent dans tout le service d'annuaire.
La troisime option de restauration du service d'annuaire consiste restaurer le
contrleur de domaine dans son intgralit. Cette opration consiste dmarrer
l'environnement de rcupration Windows et restaurer le contrleur de domaine
partir d'une sauvegarde complte du serveur. Par dfaut, il s'agit d'une
restauration normale. Si vous devez galement dsigner des objets comme faisant
autorit, redmarrez le serveur en mode Restauration des services d'annuaire et
dfinissez ces objets comme faisant autorit avant de dmarrer le contrleur de
domaine en fonctionnement normal.
Enfin, vous pouvez restaurer une sauvegarde de l'tat du systme dans un autre
emplacement. Cette opration vous permet d'examiner les fichiers et,
ventuellement, de monter le fichier NTDS.dit selon les instructions de la leon
prcdente. Dans tous les cas, ne remplacez jamais les fichiers des versions de
production par les fichiers issus d'un autre emplacement de restauration.
N'effectuez jamais de restauration fragmentaire d'Active Directory. Cette option
permet galement d'utiliser l'option Installation partir du support pour crer un
nouveau contrleur de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Restauration ne faisant pas autorit

Points cls
Pour effectuer une restauration d'Active Directory faisant ou non autorit, vous
devez disposer d'un accs complet aux fichiers du contrleur de domaine. Cela
implique de redmarrer le contrleur de domaine en mode Restauration des
services d'annuaire (DSRM).
Si vous redmarrez un contrleur de domaine localement, appuyez sur la touche
F8 au dmarrage et choisissez le mode Restauration des services d'annuaire dans le
menu de dmarrage.
Vous pouvez galement configurer le contrleur de domaine pour qu'il redmarre
automatiquement en mode Restauration des services d'annuaire (DSRM). Servez-
vous de cette mthode si vous accdez au contrleur de domaine distance via le
Bureau distance.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour configurer un contrleur de domaine pour qu'il redmarre en mode
Restauration des services d'annuaire :
1. Ouvrez une invite de commande leve, tapez la commande suivante et
appuyez sur Entre :
bcdedit /set safeboot dsrepair
2. Tapez la commande suivante, puis appuyez sur Entre :
shutdown -t 0 -r
3. Pour redmarrer le serveur normalement une fois l'opration de restauration
termine, tapez la commande suivante, puis appuyez sur Entre :
bcdedit /deletevalue safeboot dsrepair
shutdown -t 0 -r

Lorsque vous dmarrez un contrleur de domaine en mode Restauration des
services d'annuaire, vous devez vous connecter en tant qu'Administrateur avec le
mot de passe DSRM.
Vous pouvez alors utiliser la fonctionnalit Sauvegarde de Windows Server pour
restaurer la base de donnes de l'annuaire.
1. Ouvrez une invite de commande.
2. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 et
appuyez sur Entre.
O D: est le volume dans lequel sont stockes les sauvegardes et HQDC01, le
nom du contrleur de domaine que vous restaurez.
3. Notez les informations renvoyes sur les versions.
4. Tapez wbadmin start systemstaterecovery -version:version, (o version est le
numro enregistr l'tape prcdente), puis appuyez sur Entre.
5. Tapez Y, puis appuyez sur Entre.

Lorsque l'opration de restauration est termine, redmarrez le serveur. Le
contrleur de domaine rattrapera le reste du domaine en rcuprant les
modifications apportes l'annuaire depuis la date de la sauvegarde auprs de ses
partenaires de rplication.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Restauration faisant autorit

Points cls
La plupart des procdures impliques dans une restauration faisant autorit sont
les mmes que pour une restauration ne faisant pas autorit.
Commencez par redmarrer le contrleur de domaine en mode Restauration des
services d'annuaire. Ouvrez une session avec le compte Administrateur et le mot de
passe DSRM. Restaurez l'annuaire avec la fonctionnalit Sauvegarde de Windows
Server selon les instructions de la diapositive prcdente.
Toutefois, avant de redmarrer le contrleur de domaine, vous devez dsigner les
objets que vous souhaitez conserver aprs le redmarrage comme faisant autorit,
c'est--dire les objets supprims que vous tentez de restaurer.
Pour dsigner un objet comme faisant autorit, entrez les commandes suivantes
l'invite :
ntdsutil
authoritative restore
restore object "nom unique de l'objet"
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Pour dsigner une unit d'organisation ou un conteneur et tous ses sous-objets
comme faisant autorit, entrez les commandes suivantes l'invite :
ntdsutil
authoritative restore
restore subtree "nom unique de l'objet"
Redmarrez le contrleur de domaine. Le contrleur de domaine rcupre les
modifications apportes l'annuaire depuis la date de la sauvegarde auprs de ses
partenaires de rplication. Toutefois, un numro de version trs lev a t attribu
tous les attributs des objets dsigns comme faisant autorit. Ces objets seront
donc rpliqus partir du contrleur de domaine restaur vers le reste du service
d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Atelier pratique C : Sauvegarde et restauration
d'Active Directory

Scnario
En tant qu'administrateur de Contoso, la sauvegarde du service d'annuaire vous
incombe. Aujourd'hui, vous avez remarqu que la sauvegarde de la nuit prcdente
ne s'est pas excute comme prvu. Vous avez donc dcid d'effectuer une
sauvegarde interactive. Peu de temps aprs la sauvegarde, un administrateur de
domaine a accidentellement supprim l'unit d'organisation Employees. Par
chance, la sauvegarde que vous venez d'effectuer vous permet de restaurer cette
unit d'organisation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 1 : Sauvegarde d'Active Directory
Dans cet exercice, vous allez installer la fonctionnalit de sauvegarde de Windows
Server et l'utiliser pour planifier une sauvegarde d'Active Directory. Vous allez
galement effectuer une sauvegarde interactive du volume systme.
2. Installer la fonctionnalit Sauvegarde de Windows Server.
3. Crer une sauvegarde planifie.
4. Excuter une sauvegarde interactive.

Les ordinateurs virtuels ont dj d tre dmarrs lors des Ateliers pratiques A et B.

Tche 2 : Installation de la fonctionnalit Sauvegarde de Windows Server
2. Installez toutes les fonctionnalits de Sauvegarde de Windows Server.

Tche 3 : Cration d'une sauvegarde planifie
1. Excutez la Sauvegarde de Windows Server avec des informations
2. Dans le volet Actions, cliquez sur le lien Planification de sauvegarde.
L'Assistant Planification de sauvegarde apparat.
3. Dans la page Mise en route, cliquez sur Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

5. Dans la page Slectionner les lments de sauvegarde, dsactivez la case
cocher 6238B (D:), puis cliquez sur Suivant.
6. Dans la page Spcifiez l'heure de la sauvegarde, slectionnez Tous les jours.
7. Dans la liste Slectionner une heure, slectionnez 12 h 00.
8. Cliquez sur Suivant.
9. Dans la page Slectionner le disque de destination, cliquez sur Afficher tous
les disques disponibles.
La bote de dialogue Afficher tous les disques disponibles apparat.
10. Cochez la case Disque 1, puis cliquez sur OK.
11. Dans la page Slectionner le disque de destination, cochez la case Disque 1,
puis cliquez sur Suivant.
La bote de dialogue Sauvegarde de Windows Server qui s'affiche vous signale
que toutes les donnes du disque vont tre supprimes.
12. Cliquez sur Oui pour continuer.
13. Dans la page Nommer le disque de destination, cliquez sur Suivant.
14. Dans la page Confirmation, cliquez sur Annuler pour viter le formatage du
lecteur D.

Tche 4 : Excution d'une sauvegarde interactive
1. Dans le volet Actions de la fentre Sauvegarde de Windows Server, cliquez sur
Sauvegarde unique.
2. Configurez la sauvegarde pour utiliser les paramtres suivants :
Type de sauvegarde : Personnalise
lments de sauvegarde : Lecteur C: uniquement avec l'option Activer
la rcupration du systme
Option avance : Sauvegarde complte VSS
3. La sauvegarde prend approximativement 10 15 minutes. Lorsque la
sauvegarde est termine, fermez l'utilitaire de sauvegarde de Windows Server.

Rsultats : Au terme de cet exercice, vous aurez install la fonctionnalit Sauvegarde
de Windows Server, vous l'aurez utilise pour planifier la sauvegarde des informations
des services de domaine Active Directory et pour effectuer une sauvegarde interactive.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Exercice 2 : Restauration d'Active Directory ou d'une unit
d'organisation supprime
Dans cet exercice, vous allez effectuer une restauration faisant autorit de la base
de donnes AD DS. Vous vrifierez ensuite que les donnes ont bien t restaures.
Les principales tches sont les suivantes :
1. Suppression de l'unit d'organisation Employees
2. Redmarrage en mode Restauration des services d'annuaire (DSRM)
3. Restauration des donnes de l'tat du systme
4. Dsignation des informations restaures comme faisant autorit et
redmarrage du serveur
5. Vrification de la restauration des donnes supprimes

Tche 1 : Suppression de l'unit d'organisation Employees
1. Excutez Utilisateurs et ordinateurs Active Directory en tant
passe Pa$$w0rd.
2. Supprimez l'unit d'organisation Contractors de l'unit d'organisation User
Accounts.
3. Dans HQDC02, excutez Utilisateurs et ordinateurs Active Directory en tant
passe Pa$$w0rd.
4. Vrifiez que le contrleur de domaine a bien rpliqu la suppression de l'unit
d'organisation Contractors.

Tche 2 : Redmarrage en mode Restauration des services d'annuaire
(DSRM)
2. Tapez bcdedit /set safeboot dsrepair pour configurer le serveur pour qu'il
dmarre en mode Restauration des services d'annuaire.
3. Redmarrez HQDC01.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Tche 3 : Restauration des donnes de l'tat du systme
1. Ouvrez une session en tant qu'Administrateur avec le mot de passe
Pa$$w0rd.
2. Excutez l'invite de commande en tant qu'administrateur.
3. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 pour
obtenir les informations de version de la sauvegarde.
4. Restaurez les informations d'tat du systme en tapant wbadmin start
systemstaterecovery -version:version -backuptarget:D: -machine:HQDC01.
C'est--dire wbadmin start systemstaterecovery -version:10/14/2009-01:11 -
backuptarget:D: -machine:HQDC01.
La restauration prend 30 35 minutes environ.

Tche 4 : Dsignation des informations restaures comme faisant
autorit et redmarrage du serveur
1. l'invite de commande, utilisez NTDS pour effectuer une restauration faisant
autorit de OU=Contractors,OU=User Accounts,DC=contoso,DC=com.
2. Pour redmarrer le serveur normalement aprs l'opration de restauration,
tapez bcdedit /deletevalue safeboot, puis appuyez sur Entre.
3. Redmarrez le serveur.

Tche 5 : Vrification de la restauration des donnes supprimes
1. Aprs le redmarrage du serveur, ouvrez une session avec le nom d'utilisateur
2. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur,
3. Dans HQDC02, actualisez l'affichage de Utilisateurs et ordinateurs Active
Directory. Vrifiez que l'unit d'organisation Contractors a galement t
restaure dans ce contrleur de domaine.

Rsultats : Au terme de cet exercice, vous aurez effectu une restauration faisant
autorit des donnes Active Directory pour rcuprer une unit d'organisation
accidentellement supprime.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Question : Quel type de plan de sauvegarde des contrleurs de domaine et du
service d'annuaire utilisez-vous ? Qu'envisagez-vous d'utiliser aprs avoir tudi
cette leon et termin cet atelier ?
Question : Lorsque vous restaurez un utilisateur supprim (ou une unit
d'organisation comprenant des objets utilisateur) par l'intermdiaire d'une
restauration faisant autorit, les objets sont-ils exactement les mmes
qu'auparavant ? Quels attributs peuvent tre diffrents ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Gestion de plusieurs domaines et forts 14-1
Module 14
Gestion de plusieurs domaines et forts
Table des matires :
Leon 1 : Configuration des niveaux fonctionnels des domaines et
des forts 14-4
Atelier pratique A : Augmenter les niveaux fonctionnels des domaines
et des forts 14-16
Leon 2 : Gestion de plusieurs domaines et des relations d'approbation 14-23
Atelier pratique B : Administration d'une relation d'approbation 14-70
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Au cours du Module 1, vous avez appris que les services de domaine Active
Directory (AD DS) fournissaient la base d'une solution de gestion des identits et
des accs, et vous avez tudi la cration d'une infrastructure AD DS simple,
constitue d'une seule fort et d'un seul domaine. Dans les modules suivants, vous
avez tudi de manire approfondie la gestion d'un environnement AD DS. Vous
tes prsent prt revenir au plus haut niveau d'une infrastructure AD DS pour
tudier le modle et les fonctionnalits de vos domaines et forts. Dans ce module,
vous allez apprendre lever les niveaux fonctionnels des domaines et des forts
dans votre environnement, concevoir l'infrastructure AD DS optimale pour votre
entreprise, faire migrer des objets entre des domaines et des forts et autoriser
une authentification et un accs aux ressources entre plusieurs domaines et forts.
Objectifs
comprendre les niveaux fonctionnels des domaines et des forts ;
lever les niveaux fonctionnels des domaines et des forts ;
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
identifier les fonctions ajoutes par chaque niveau fonctionnel ;
concevoir un domaine et une arborescence de domaine efficaces pour AD DS ;
identifier le rle de l'Outil de migration Active Directory et les problmes lis
la migration d'objet, et la restructuration de domaine ;
comprendre les relations d'approbation ;
configurer, administrer et scuriser les relations d'approbation.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Leon 1
Configuration des niveaux fonctionnels d'un
domaine et d'une fort

L'introduction de contrleurs de domaine Windows Server 2008 dans vos
domaines et votre fort vous permet de tirer parti des nouvelles capacits du
service d'annuaire Active Directory. Les niveaux fonctionnels des domaines et des
forts sont les modes d'exploitation des domaines et des forts, respectivement.
Ces niveaux fonctionnels dterminent les versions de Windows que vous pouvez
utiliser comme contrleurs de domaine et la disponibilit des fonctionnalits
d'Active Directory.
Objectifs
comprendre les niveaux fonctionnels des domaines et des forts ;
lever les niveaux fonctionnels des domaines et des forts ;
identifier les fonctions ajoutes par chaque niveau fonctionnel ;
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement des niveaux fonctionnels

Points cls
Les niveaux fonctionnels sont comme des commutateurs qui activent les nouvelles
fonctionnalits offertes par chaque version de Windows. Windows Server 2003 a
ajout plusieurs fonctionnalits Active Directory et Windows Server 2008
poursuit l'volution des Services de domaine Active Directory (AD DS). Ces
fonctionnalits n'offrant pas de compatibilit descendante, si certains de vos
contrleurs de domaine excutent Windows 2000 Server, vous ne pouvez pas
activer les fonctionnalits offertes par les versions ultrieures de Windows. Les
fonctionnalits les plus rcentes sont dsactives. De la mme faon, tant que tous
les contrleurs de domaine n'excutent pas Windows Server 2008, vous ne pouvez
pas implmenter les amliorations de ce dernier dans AD DS. L'lvation du niveau
fonctionnel dpend de deux exigences majeures :
1. Tous les contrleurs de domaine doivent excuter la version approprie de
Windows Server.
2. Vous devez lever manuellement le niveau fonctionnel. Cela n'est pas
automatiquement effectu.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
N'oubliez pas que seuls les contrleurs de domaine dterminent votre capacit dfinir
un niveau fonctionnel. Les stations de travail et les serveurs membres peuvent
excuter n'importe quelle version de Windows au sein d'un domaine ou d'une
fort n'importe quel niveau fonctionnel.
Il est important de noter que l'lvation d'un niveau fonctionnel est une opration
sens unique : vous ne pouvez pas abaisser le niveau fonctionnel d'un domaine ou
d'une fort. Par consquent, aprs avoir lev le niveau fonctionnel du domaine
pour le dfinir par exemple sur Windows Server 2008, vous ne pouvez plus ajouter
par la suite, dans le mme domaine, de contrleurs de domaine fonctionnant sous
Windows Server 2003.
Il est galement important de noter que, bien qu'une fort puisse contenir des
domaines fonctionnant diffrents niveaux fonctionnels, ds que le niveau
fonctionnel de la fort a t lev, il n'est plus possible d'ajouter un contrleur de
domaine excutant une version antrieure de Windows dans aucun des domaines
de la fort.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Niveaux fonctionnels des domaines

Points cls
Le niveau fonctionnel du domaine affecte les fonctionnalits Active Directory
disponible dans ce domaine et dtermine les versions de Windows prises en
charge pour les contrleurs du domaine. Dans les versions prcdentes de
Windows, les modes et les niveaux fonctionnels de domaine, ainsi nomms sous
Windows 2000 Server, prenaient en charge les contrleurs de domaine excutant
Windows NT 4.0. Cette prise en charge a pris fin avec Windows Server 2008.
Tous les contrleurs de domaine doivent excuter Windows 2000 Server ou une
version ultrieure pour que vous puissiez ajouter le premier contrleur de domaine
Windows Server 2008 dans le domaine. Sous Windows Server 2008, Active
Directory prend en charge trois niveaux fonctionnels de domaine :
Windows 2000 natif
Windows Server 2003
Windows Server 2008

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Windows 2000 natif
Le niveau fonctionnel de domaine Windows 2000 natif est le plus bas niveau
fonctionnel prenant en charge un contrleur de domaine Windows Server 2008.
Les systmes d'exploitation suivants sont pris en charge pour les contrleurs de
domaine :
Windows 2000 Server
Windows Server 2003
Windows Server 2008

Si certains de vos contrleurs de domaine excutent Windows 2000 Server ou
Windows Server 2003, ou si vous envisagez d'en ajouter un ou plusieurs excutant
ces versions prcdentes de Windows, il est prfrable de conserver le niveau
fonctionnel Windows 2000 natif pour le domaine.
Windows Server 2003
Ds que tous les contrleurs de domaine excutant Windows 2000 Server ont t
supprims ou mis niveau, le niveau fonctionnel du domaine peut tre lev
Windows Server 2003. ce niveau fonctionnel, le domaine ne peut plus prendre
en charge les contrleurs de domaine excutant Windows 2000 Server. Tous les
contrleurs de domaine doivent donc excuter l'un des deux systmes
d'exploitation suivants :
Windows Server 2003
Windows Server 2008

Le niveau fonctionnel de domaine Windows Server 2003 ajoute un certain nombre
de nouvelles fonctionnalits celles offertes par le niveau fonctionnel Windows
2000 natif. Notamment :
Modification du nom des contrleurs de domaine : l'outil de gestion des
domaines, netdom.exe, permet de renommer des contrleurs de domaine.
Attribut lastLogonTimestamp : lorsqu'un utilisateur ou un ordinateur se
connecte au domaine, l'attribut lastLogonTimestamp est mis jour en fonction
de l'heure de connexion. Cet attribut est rpliqu au sein du domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Attribut userPassword : les entits de scurit d'Active Directory
comprennent des utilisateurs, des ordinateurs et des groupes. Une quatrime
classe d'objets, inetOrgPerson, est similaire un utilisateur et permet d'intgrer
plusieurs services d'annuaire non Microsoft. Au niveau fonctionnel de
domaine Windows Server 2003, vous pouvez dfinir l'attribut userPassword
comme mot de passe effectif sur les objets inetOrgPerson et utilisateur. Cet
attribut est en criture seule. Vous ne pouvez pas rcuprer le mot de passe
partir de l'attribut userPassword.
Redirection des conteneurs d'utilisateurs et d'ordinateurs par dfaut : au
cours du Module 5, vous avez appris que les commandes redirusr.exe et
redircmp.exe vous permettaient de rediriger les conteneurs d'utilisateurs et
d'ordinateurs par dfaut. Cette redirection entrane la cration de nouveaux
comptes dans des units d'organisation spcifiques et non plus dans les
conteneurs Utilisateurs et Ordinateurs.
Stratgies du Gestionnaire d'autorisations : l'outil Gestionnaire
d'autorisations, qui permet aux applications de fournir une autorisation, peut
stocker ses stratgies d'autorisation dans AD DS.
Dlgation contrainte : les applications peuvent tirer parti de la dlgation
scurise des informations d'identification des utilisateurs grce au protocole
d'authentification Kerberos. Vous pouvez limiter la dlgation des services de
destination spcifiques uniquement.
Authentification slective : dans la Leon 2 de ce module, vous apprendrez
crer des relations d'approbation entre votre domaine et un autre domaine ou
une autre fort. L'authentification slective vous permet de dsigner les
utilisateurs et les groupes d'une fort ou d'un domaine approuv(e) qui sont
autoriss s'authentifier auprs des serveurs de votre fort.
Contrleurs de domaine en lecture seule (RODC) : pour qu'un contrleur
de domaine en lecture seule puisse tre ajout, le niveau fonctionnel du
domaine doit tre dfini sur Windows Server 2003. Vous devez en outre
excuter la commande adprep /rodcprep, et au moins un contrleur de
domaine Windows Server 2003 inscriptible doit tre en place.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Windows Server 2008
Lorsque tous les contrleurs de domaine excutent Windows Server 2008 et
lorsque vous savez que vous n'aurez pas besoin d'ajouter des contrleurs de
domaine excutant des versions prcdentes de Windows, vous pouvez lever le
niveau fonctionnel du domaine pour le dfinir sur Windows Server 2008. Le
niveau fonctionnel de domaine Windows Server 2008 ne prend en charge que les
contrleurs de domaine excutant un seul systme d'exploitation :
Windows Server 2008

Le niveau fonctionnel de domaine Windows Server 2008 ajoute quatre
fonctionnalits AD DS l'chelle du domaine :
Rplication DFSR du dossier SYSVOL : au cours du Module 11, vous avez
appris configurer le volume SYSVOL de sorte qu'il soit rpliqu avec la
rplication DFSR et non plus par le service de rplication de fichiers (FRS). La
rplication DFSR du contenu du dossier SYSVOL est plus robuste et plus
dtaille.
Services de chiffrement avancs : la prise en charge des Services de
chiffrement avancs (AES 128 et 256) pour le protocole Kerberos permet de
renforcer la scurit de l'authentification. AES remplace l'algorithme de
chiffrement RC4-HMAC (Hash Message Authentication Code).
Dernires informations de connexion interactives : lorsqu'un utilisateur
ouvre une session sur le domaine, plusieurs attributs de l'objet utilisateur sont
mis jour en fonction de l'heure, de la station de travail utilise par l'utilisateur
et du nombre d'checs de tentative de connexion depuis la dernire ouverture
de session.
Stratgies de mots de passe affines : au cours du Module 8, vous avez appris
que des stratgies de mot de passe affines vous permettaient de dfinir des
stratgies de mots de passe uniques pour les utilisateurs ou les groupes du
domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Augmenter le niveau fonctionnel du domaine
Vous pouvez lever le niveau fonctionnel du domaine lorsque tous ses contrleurs
de domaine excutent une version prise en charge de Windows et lorsque vous
savez que vous n'aurez pas besoin d'ajouter des contrleurs de domaine excutant
des versions non prises en charge de Windows. Pour lever le niveau fonctionnel
du domaine, ouvrez le composant logiciel enfichable Domaines et approbations
Active Directory, cliquez du bouton droit sur le domaine et choisissez Augmenter
le niveau fonctionnel du domaine. La bote de dialogue qui s'affiche vous permet
de slectionner un niveau fonctionnel de domaine plus lev.

Remarque : il s'agit d'une opration sens unique. L'augmentation du niveau
fonctionnel du domaine est une opration unidirectionnelle. Vous ne pouvez plus revenir
au niveau fonctionnel prcdent.
Vous pouvez galement lever le niveau fonctionnel du domaine l'aide du
composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez
du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du
domaine ou cliquez du bouton droit sur le nud racine du composant logiciel
enfichable et choisissez Augmenter le niveau fonctionnel du domaine dans le menu
Toutes les tches.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Niveaux fonctionnels des forts

Points cls
De la mme faon que les niveaux fonctionnels de domaine autorisent certaines
fonctionnalits l'chelle du domaine et dterminent les versions de Windows
prises en charge pour les contrleurs du domaine, les niveaux fonctionnels de fort
autorisent des fonctionnalits l'chelle de la fort et dterminent les systmes
d'exploitation pris en charge pour les contrleurs de domaine de l'ensemble de la
fort. Sous Windows Server 2008, Active Directory prend en charge trois niveaux
fonctionnels de fort :
Windows 2000
Windows Server 2003
Windows Server 2008

Chaque niveau fonctionnel est dtaill dans les sections suivantes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Windows 2000
Le niveau fonctionnel de fort Windows 2000 est le niveau de base, dfini par
dfaut. Au niveau fonctionnel Windows 2000, les domaines peuvent s'excuter
n'importe quel niveau fonctionnel de domaine pris en charge :
Windows 2000 natif
Windows Server 2003
Windows Server 2008

Vous pouvez lever le niveau fonctionnel de la fort lorsque tous ses domaines ont
t levs au niveau fonctionnel de domaine quivalent.
Windows Server 2003
Lorsque tous les domaines de la fort sont au niveau fonctionnel de domaine
Windows Server 2003 et que vous n'envisagez pas d'ajouter de nouveaux
domaines comprenant des contrleurs de domaine Windows 2000 Server, vous
pouvez augmenter le niveau fonctionnel de la fort Windows Server 2003. ce
niveau fonctionnel de fort, les domaines peuvent s'excuter aux niveaux
fonctionnels de domaine suivants :
Windows Server 2003
Windows Server 2008

Le niveau fonctionnel de fort Windows Server 2003 active les fonctionnalits
suivantes :
Approbations de fort : vous apprendrez crer des relations d'approbation
entre des forts la Leon 2.
Changement du nom des domaines : vous pouvez renommer un domaine
dans une fort.
Rplication des valeurs lies : au niveau fonctionnel de fort Windows 2000, la
modification de l'appartenance un groupe entrane la rplication de la totalit
de l'attribut Membre plusieurs valeurs du groupe. Cela peut conduire une
augmentation du trafic de rplication sur le rseau et une perte potentielle des
mises jour de l'appartenance lorsqu'un groupe est modifi simultanment dans
plusieurs contrleurs de domaine. Cela entrane galement un plafond conseill
de 5 000 membres par groupe. La rplication des valeurs lies, active au niveau
fonctionnel de fort Windows Server 2003, rplique la modification individuelle
de l'appartenance et non pas la totalit de l'attribut Membre. Cette opration
consomme moins de bande passante et vite la perte des mises jour lorsqu'un
groupe est modifi simultanment dans plusieurs contrleurs de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Prise en charge des contrleurs de domaine en lecture seule : les
contrleurs de domaine en lecture seule sont dtaills au Module 8. Ces
contrleurs sont pris en charge au niveau fonctionnel de fort Windows Server
2003. Bien sr, le contrleur de domaine en lecture seule doit lui excuter
Algorithmes et volutivit amliors du Vrificateur de cohrence des donnes
(KCC) : le gnrateur de topologie intersites (ISTG) utilise des algorithmes qui
permettent AD DS de prendre en charge la rplication dans des forts
comprenant plus de 100 sites. Au niveau fonctionnel de fort Windows 2000,
vous devez intervenir manuellement pour crer des topologies de rplication pour
les forts comprenant des centaines de sites. De plus, le gnrateur ISTG utilise un
algorithme plus efficace qu'au niveau fonctionnel de fort Windows 2000.
Conversion des objets inetOrgPerson en objets utilisateur : vous pouvez
convertir une instance d'objet inetOrgPerson, utilis pour la compatibilit avec
certains services d'annuaire non Microsoft, en une instance d'utilisateur de classe.
Vous pouvez galement convertir un objet utilisateur en objet inetOrgPerson.
Prise en charge de la classe auxiliaire dynamicObject : le schma autorise
des instances de la classe auxiliaire dynamique dans les partitions d'annuaire
du domaine. Cette classe d'objets peut tre utilise par certaines applications et
par les dveloppeurs.
Prise en charge des groupes de base d'applications et des groupes de
requtes LDAP : deux nouveaux types de groupe, appels groupes de base
d'applications et groupes de requtes LDAP, permettent de prendre en charge
l'autorisation base de rles dans les applications qui utilisent le Gestionnaire
d'autorisations.
Dsactivation et redfinition des attributs et des classes d'objets : bien que
vous ne puissiez pas supprimer un attribut ou une classe d'objets dans le
schma, le niveau fonctionnel Windows Server 2003 permet de dsactiver ou
de redfinir des attributs ou des classes d'objets.

Windows Server 2008
Le niveau fonctionnel de fort Windows Server 2008 n'ajoute pas de nouvelles
fonctionnalits l'chelle de la fort. Toutefois, ds que la fort a atteint le niveau
fonctionnel Windows Server 2008, les nouveaux domaines qui y sont ajouts
fonctionnent par dfaut au niveau fonctionnel de domaine Windows Server 2008.
ce niveau fonctionnel de fort, tous les domaines doivent tre au niveau
fonctionnel de domaine Windows Server 2008, c'est--dire qu'ils doivent tous
excuter Windows Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Augmenter le niveau fonctionnel de la fort
Pour lever le niveau fonctionnel de la fort, utilisez le composant logiciel
enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur
le nud racine du composant logiciel enfichable Domaines et approbations Active
Directory et choisissez Augmenter le niveau fonctionnel de la fort. La bote de
dialogue qui s'affiche vous permet de choisir un niveau fonctionnel de fort plus
lev.

levez le niveau fonctionnel de la fort uniquement si vous savez que vous
n'ajouterez pas de nouveaux domaines des niveaux fonctionnels de domaine non
pris en charge. Vous ne pourrez plus revenir au niveau fonctionnel de fort
prcdent aprs cette opration.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Augmenter les niveaux
fonctionnels des domaines et des forts

Scnario
Vous tes administrateur de domaine chez Tailspin Toys. Une succursale
comprenait encore un contrleur de domaine Windows 2000 et vous venez de le
mettre niveau vers Windows Server 2008. Vous souhaitez prsent tirer parti des
fonctionnalits offertes par les niveaux fonctionnels suprieurs de domaine et de
fort.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Augmenter le niveau fonctionnel du domaine
Windows Server 2003
Dans cet exercice, vous allez tenter de profiter des capacits offertes par le niveau
fonctionnel de domaine Windows Server 2003. Vous verrez que ces capacits ne
sont pas prises en charge aux niveaux fonctionnels de domaine infrieurs. Vous
augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces
capacits avances afin de vrifier qu'elles sont prsent prises en charge.
2. Confirmer le niveau fonctionnel actuel Windows 2000 natif du domaine.
3. Tester les fonctionnalits non prises en charge par le niveau fonctionnel de
domaine Windows 2000 natif.
4. lever le niveau fonctionnel du domaine Windows Server 2003.
5. Vrifier les fonctionnalits prises en charge par le niveau fonctionnel de
domaine Windows Server 2003.

Dmarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur
Sara.Davis et le mot de passe Pa$$w0rd.

Tche 2 : Confirmation du niveau fonctionnel actuel Windows 2000
natif du domaine
1. Dans TSTDC01, excutez Domaines et approbations Active Directory en
tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot
de passe Pa$$w0rd.
2. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000
natif, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de
dialogue.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Test des fonctionnalits non prises en charge par le niveau
fonctionnel de domaine Windows 2000 natif
1. Excutez l'invite de commande en tant qu'administrateur avec le nom
d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd.
2. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et
appuyez sur Entre. Le message qui s'affiche indique que la redirection n'a pas
russi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins
Windows Server 2003 en est la raison.
3. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyez
sur Entre. Le message qui s'affiche indique que la redirection n'a pas russi.
Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows
Server 2003 en est la raison.

Tche 4 : Augmenter le niveau fonctionnel de domaine Windows
Server 2003
Dans Domaines et approbations Active Directory, levez le domaine au

Tche 5 : Vrification des fonctionnalits prises en charge par le
niveau fonctionnel de domaine Windows Server 2003
appuyez sur Entre. Le message qui s'affiche indique que la redirection a
russi.
sur Entre. Le message qui s'affiche indique que la redirection a russi.

Rsultats : Au terme de cet exercice, vous aurez lev le domaine au niveau
fonctionnel Windows Server 2003 et vrifi que les nouvelles fonctionnalits sont
actives.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Augmenter le niveau fonctionnel d'une fort
Windows Server 2003
fonctionnel de fort Windows Server 2003. Vous verrez que ces capacits ne sont
pas prises en charge aux niveaux fonctionnels de fort infrieurs. Vous lverez
ensuite le niveau fonctionnel de fort. Enfin, vous testerez ces capacits avances
afin de vrifier qu'elles sont prsent prises en charge.
1. Confirmer le niveau fonctionnel actuel Windows 2000 natif de la fort.
2. Tester les fonctionnalits non prises en charge par le niveau fonctionnel de
fort Windows 2000 natif.
3. lever le niveau fonctionnel de fort Windows Server 2003.
4. Vrifier les fonctionnalits prises en charge par le niveau fonctionnel de fort

natif de la fort
de passe Pa$$w0rd.
2. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000
natif, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de
dialogue.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
fonctionnel de fort Windows 2000 natif
1. Excutez Utilisateurs et ordinateurs Active Directory en tant
qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de
passe Pa$$w0rd.
2. Cliquez du bouton droit sur l'unit d'organisation Domain Controllers et
tentez de crer un nouveau compte de contrleur de domaine en lecture seule.
Acceptez tous les paramtres dfinis par dfaut dans l'Assistant Installation des
services de domaine Active Directory.
Le systme vous empche de crer un compte de contrleur de domaine en
lecture seule et vous signale que le niveau fonctionnel de la fort doit tre au
moins Windows Server 2003.

Tche 3 : Augmenter le niveau fonctionnel de la fort Windows
Server 2003
Dans Domaines et approbations Active Directory, augmentez la fort au

niveau fonctionnel de fort Windows Server 2003
Dans Utilisateurs et ordinateurs Active Directory, crez un compte de
contrleur de domaine en lecture seule nomm TSTDC03 dans l'unit
d'organisation Domain Controllers. Acceptez toutes les valeurs dfinies par
dfaut dans l'Assistant Installation des services de domaine Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Augmenter le niveau fonctionnel du domaine
Windows Server 2008
fonctionnel de domaine Windows Server 2008. Vous verrez que ces capacits ne
sont pas prises en charge aux niveaux fonctionnels de domaine infrieurs. Vous
augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces
capacits avances afin de vrifier qu'elles sont prsent prises en charge.
1. Confirmer le niveau fonctionnel actuel infrieur Windows Server 2008 pour
le domaine.
2. Confirmer l'indisponibilit de la rplication DFSR pour les niveaux
fonctionnels de domaine infrieurs Windows Server 2008.
3. Augmenter le niveau fonctionnel du domaine.
4. Confirmer la disponibilit de la rplication DFSR pour le niveau fonctionnel
Windows Server 2008 du domaine.

de passe Pa$$w0rd.
2. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows Server
2003, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de
dialogue.

2. Tapez dfsrmig /getglobalstate et appuyez sur Entre. Le message qui s'affiche
vous signale que la commande dfsrmig n'est prise en charge que par les
domaines de niveau fonctionnel Windows Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Augmenter le niveau fonctionnel du domaine
Dans Domaines et approbations Active Directory, levez le domaine au
Fermez Domaines et approbations Active Directory.

Revenez l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez
sur Entre. Le message qui s'affiche vous signale que la migration DFSR n'a pas
encore t dclenche. Cela signifie que cette fonctionnalit est prsent
disponible, mais n'a pas encore t initialise.

Rsultats : Au terme de cet exercice, vous aurez lev le domaine au niveau
fonctionnel Windows Server 2008 et vrifi que les nouvelles fonctionnalits sont
disponibles.

paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.
Question : Pouvez-vous lever le domaine au niveau fonctionnel Windows Server
2008 lorsque votre serveur Microsoft Exchange excute encore Windows Server
2003 ?
Question : Pouvez-vous lever un domaine au niveau fonctionnel Windows Server
2008 lorsque d'autres domaines contiennent des contrleurs de domaine
fonctionnant sous Windows Server 2003 ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Leon 2
Gestion de plusieurs domaines et des relations
d'approbation

Les modules prcdents de ce cours vous ont prpar configurer, administrer et
grer un seul domaine. Toutefois, l'infrastructure Active Directory de votre
entreprise peut comprendre une fort plusieurs domaines ou mme plusieurs
forts. Vous pouvez donc tre amen dplacer des objets entre des domaines ou
restructurer entirement votre modle de domaines. Vous pouvez galement tre
amen activer l'authentification et accder des ressources parmi des domaines
et des forts. Dans cette leon, vous allez acqurir les comptences ncessaires
pour prendre en charge plusieurs domaines et forts.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Objectifs
Concevoir une structure efficace de domaines et d'arborescences pour AD DS.
Identifier le rle de l'Outil de migration Active Directory et les problmes lis
la migration d'objet et la restructuration de domaine.
Comprendre les relations d'approbation.
Configurer, administrer et scuriser les relations d'approbation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dfinition de votre structure de forts et de domaines

Points cls
Avec vos acquis des modules prcdents de ce cours, vous tes prt concevoir
votre fort, vos arborescences et vos domaines Active Directory. De faon
intressante, les recommandations en matire de structure des forts et des
domaines ont volu au fur et mesure de la mise en production d'Active Directory
par des entreprises du monde entier avec toutes les configurations imaginables et
avec l'enrichissement du jeu de fonctionnalits Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Domaine racine ddi la fort
Au tout dbut d'Active Directory, il tait recommand de crer un domaine racine
ddi la fort. Vous avez vu au Module 1 que le domaine racine d'une fort est le
premier domaine de cette fort. L'objectif exclusif du domaine racine ddi la fort
est d'administrer l'infrastructure de la fort. Il contient, par dfaut, les oprations
matre unique de la fort. Il contient galement les groupes trs sensibles, par
exemple Administrateurs de l'entreprise et Administrateurs du schma, dont l'impact
sur la fort peut tre trs important. En thorie, la racine ddie la fort renforait la
scurit des fonctions l'chelle de cette fort. Le domaine racine ddi la fort
serait galement moins susceptible de devenir obsolte et simplifierait le transfert de
l'appartenance. Au-dessous de la racine ddie la fort, selon les premires
recommandations, un mme domaine enfant global devait contenir tous les objets
que l'on pouvait retrouver dans un domaine : utilisateurs, groupes, ordinateurs, etc.
La structure ressemblerait celle prsente dans la figure ci-dessous.

Fort un seul domaine

Remarque : dsormais non recommand pour la plupart des entreprises.
L'implmentation d'un domaine racine ddi la fort n'est plus recommande pour la
plupart des entreprises. La fort un seul domaine est la recommandation la plus
courante pour la conception. Comme il n'existe pas de conception unique convenant
toutes les organisations, vous devez examiner les caractristiques de votre entreprise par
rapport aux critres de conception dcrits dans la suite de cette leon.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dix annes de commercialisation ont permis de mieux comprendre Active
Directory et l'ancienne recommandation n'est plus d'actualit. Pour la plupart des
organisations, la conception d'une fort un seul domaine est prsent
recommande. Les expriences et les connaissances qui ont conduit cette
modification des directives comprennent les points suivants :
Comme vous le verrez dans la suite de cette leon, toute fort plusieurs
domaines entrane des risques et des cots. Un domaine unique rduit les
cots du matriel et de l'assistance, de mme que certains risques.
Aucun outil ne permet encore une entreprise de tailler et de greffer des
arborescences Active Directory. En d'autres termes, vous ne pouvez pas retirer
un domaine de votre arborescence et le transplanter dans la fort d'une autre
entreprise. Si cette opration tait possible, une racine ddie la fort dont
vous pourriez assurer la gestion pendant le transfert des domaines vers et hors
de votre fort prsenterait davantage d'intrt.
Vous pouvez implmenter une scurit de privilge minimum dans un
domaine unique au moins aussi scuris, voire plus, qu'une fort dote d'une
racine ddie et d'un domaine enfant.

Par consquent, lorsque vous concevez votre domaine, partez de l'hypothse que
votre fort comprendra un seul domaine.
Fort plusieurs domaines
Dans certains cas, une fort plusieurs domaines est indispensable. L'lment
essentiel est de ne jamais crer de fort plusieurs domaines dans le seul but de
reflter la structure organisationnelle de votre entreprise. Cette structure (les units
commerciales, les divisions, les dpartements et les bureaux) voluera avec le
temps. La structure logique de votre service d'annuaire ne doit pas dpendre
uniquement des caractristiques de l'organisation.
l'inverse, votre modle de domaines doit driver des caractristiques des
domaines eux-mmes. Certaines proprits d'un domaine affectent l'ensemble des
objets de ce domaine et lorsque cet effet uniforme ne rpond pas aux exigences de
votre entreprise, vous devez crer des domaines supplmentaires. Un domaine se
caractrise par les lments suivants :
Partition de domaine unique, rplique dans tous les contrleurs de
domaine : le contexte des noms de domaine contient les objets des utilisateurs,
des ordinateurs, des groupes, des stratgies et des autres ressources du domaine.
Il est rpliqu dans tous les contrleurs du domaine. Si la topologie de votre
rseau implique un partitionnement de la rplication, vous devez crer des
domaines distincts. N'oubliez cependant pas que la rplication Active Directory
est extrmement efficace et peut prendre en charge de trs vastes domaines par
l'intermdiaire de connexions faible bande passante.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsque des obligations lgales ou professionnelles limitent la rplication de
certaines donnes dans les emplacements o vous assurez la gestion des
contrleurs de domaine, vous devez soit viter de stocker ces donnes dans la
partition du domaine, soit crer des domaines distincts pour isoler la
rplication. Dans ce cas, vous devez galement veiller ce que le catalogue
global (CG) ne rplique pas ces donnes.
Les problmes juridiques et techniques lis la rplication tendant affecter le
catalogue global et ventuellement d'autres magasins de donnes, les
organisations concernes par ce type de problme se tournent de plus en plus
vers des modles plusieurs forts.
Stratgie Kerberos unique : les paramtres de stratgie Kerberos par dfaut
d'AD DS suffisent pour la plupart des entreprises. Si, toutefois, vous avez
besoin de stratgies Kerberos distinctes, vous aurez galement besoin de
domaines distincts.
Espace de noms DNS unique : un domaine Active Directory n'a qu'un seul
nom de domaine DNS. Si vous avez besoin de plusieurs noms de domaine,
vous aurez besoin de plusieurs domaines. Envisagez toutefois soigneusement
les cots et les risques lis aux domaines multiples avant de modliser les
domaines de votre service d'annuaire en fonction d'exigences de noms DNS
arbitraires.

Dans les domaines qui excutent des niveaux fonctionnels de domaine infrieurs
Windows Server 2008, un domaine ne peut prendre en charge qu'une seule
stratgie de mot de passe et de verrouillage des comptes. De ce fait, dans les
versions prcdentes de Windows, une organisation qui avait besoin de plusieurs
stratgies de mot de passe avait galement besoin de plusieurs domaines pour
satisfaire cette exigence. Ce n'est plus le cas sous Windows Server 2008 qui, au
niveau fonctionnel de domaine Windows Server 2008, peut prendre en charge des
stratgies de mot de passe affines.
L'ajout de domaines dans une fort augmente les cots d'administration et de matriel.
Chaque domaine doit tre pris en charge par au moins deux contrleurs de
domaine, ces derniers devant tre sauvegards, scuriss et grs. Dans une
entreprise gographiquement distribue, des contrleurs de domaine
supplmentaires peuvent encore se rvler ncessaires pour assurer l'accs aux
ressources interdomaines. Les domaines supplmentaires peuvent impliquer le
dplacement d'utilisateurs entre les domaines, opration bien plus complexe que le
dplacement d'utilisateurs entre les units d'organisation. Les objets de stratgie de
groupe et les paramtres de contrle d'accs communs dans l'entreprise doivent
tre dupliqus pour chaque domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Ce ne sont l que quelques-uns des cots inhrents aux environnements
plusieurs domaines. Des risques de scurit sont galement lis aux domaines
multiples. La plupart de ces risques sont dus au fait qu'un domaine n'est pas une
barrire de scurit : cette barrire de scurit correspond la fort. Au sein d'une
fort, les administrateurs de services peuvent provoquer des dommages l'chelle
de la fort. Plusieurs catgories de vulnrabilit permettent un compte
d'administration compromis, ou un administrateur mal intentionn, de
provoquer un dni de service ou d'endommager l'intgrit de la fort.
Par exemple, tout administrateur de domaine peut crer des groupes universels,
dont l'appartenance est rplique dans le catalogue global. La cration de plusieurs
groupes universels et le surpeuplement de l'attribut Membre peuvent entraner une
rplication excessive, donc un dni de service dans les contrleurs de domaine
jouant le rle de contrleurs d'autres domaines. L'administrateur de tout domaine
peut galement restaurer une sauvegarde obsolte de l'annuaire, donc corrompre la
fort.
Pour plus d'informations sur les aspects de scurit lis la conception des
domaines et des forts, consultez la rubrique Recommandations pour la
dlgation de l'administration d'Active Directory l'adresse :

Important : du fait des cots et des risques lis aux domaines multiples, la conception
d'une fort un seul domaine est fortement recommande. Les facteurs conduisant le
plus souvent des forts plusieurs domaines sont d'importantes conditions requises en
matire de rplication du contexte des noms de domaine.
Dans une fort plusieurs domaines, il peut tre judicieux de crer un domaine
racine vide, ddi la fort et jouant le rle de racine d'approbation pour la fort.
Les racines d'approbation sont traits dans la suite de cette leon.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Arborescences multiples
N'oubliez pas qu'une arborescence est dfinie comme un espace de noms DNS
contigu. Si vous avez plusieurs domaines, vous pouvez dcider s'ils partagent un
espace de noms DNS contigu et composent une seule arborescence, comme dans
la premire figure, ou s'ils sont placs dans un espace de noms DNS non contigu,
composant ainsi plusieurs arborescences, comme dans la deuxime figure.

Forts multiples
Une fort est une instance d'Active Directory. Tous les domaines et tous les
contrleurs de domaine d'une fort partagent les rplicas de la configuration et du
schma. Les contrleurs de domaine qui sont galement serveurs de catalogue
global hbergent les jeux d'attributs partiels de tous les objets des autres domaines
de la fort. Les domaines d'une fort partagent les approbations transitives
bidirectionnelles. Cela signifie que tous les utilisateurs d'un domaine
appartiennent l'identit spciale Utilisateurs authentifis de tous les domaines.
Les groupes Administrateurs de l'entreprise, Administrateurs du schma et
Administrateurs du domaine racine de la fort exercent une influence importante
sur tous les objets de la fort.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsque l'une de ces caractristiques d'une fort contredit les exigences de votre
entreprise, il est possible que plusieurs forts soient ncessaires. En ralit, tant
donn les problmes de scurit actuels, la plupart des consultants recommandent
aux organisations de concevoir une fort un seul domaine ou d'utiliser plusieurs
forts. Les approbations entre forts, traites dans la suite de cette leon, et les
services ADFS (Active Directory Federation Services) simplifient la gestion de
l'authentification dans les entreprises plusieurs forts.
Pour plus d'informations sur la planification de l'architecture d'une entreprise
AD DS, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168826.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dplacement d'objets entre des domaines et des forts

Points cls
Dans les scnarios plusieurs domaines, vous pouvez tre amen dplacer des
utilisateurs, des groupes ou des ordinateurs entre des domaines ou des forts pour
assurer le fonctionnement de l'entreprise. Vous pouvez tre amen dplacer de
grandes quantits d'utilisateurs, de groupes ou d'ordinateurs entre des domaines
ou des forts pour implmenter des fusions et acquisitions ou restructurer votre
modle de domaines.
Pour chacune de ces tches, vous dplacez ou copiez les comptes d'un domaine (le
domaine source) dans un autre domaine (le domaine cible). La terminologie, les
concepts et les procdures de restructuration des domaines s'appliquent la
migration inter-forts entre un domaine source Windows NT 4.0 ou Active
Directory et un domaine cible Active Directory situ dans une fort distincte, et la
migration intra-fort, c'est--dire, la restructuration ou le dplacement de comptes
entre les domaines d'une mme fort.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La restructuration des domaines inter-forts prserve le domaine source existant et
les comptes clones (ou copies) du domaine cible. Cette mthode non destructrice
permet l'entreprise de prvoir la transition ou d'effectuer une migration par phases
progressives. Les oprations ne sont pas interrompues car les deux domaines sont
conservs en parallle pour prendre en charge les oprations de leurs utilisateurs.
Cette mthode offre galement un certain niveau d'annulation car l'environnement
d'origine demeure quasiment inchang. Lorsque la migration est termine, il vous
suffit de dsaffecter le domaine source en dplaant les comptes, les stations de
travail et les serveurs membres restants dans le nouveau domaine et en mettant les
contrleurs de domaine sources hors connexion. ce stade, vous pouvez alors
redployer ces contrleurs de domaine pour les rles du nouveau domaine.
Une migration intra-fort implique le dplacement des objets du domaine source
vers le domaine cible sans dsaffectation du domaine source. Lorsque la migration
des objets est termine, vous pouvez restructurer vos domaines pour regrouper les
oprations et construire une structure de domaines et d'units d'organisation
refltant plus fidlement votre modle d'administration. La plupart des
organisations regroupent les diffrents domaines dans un mme domaine Active
Directory. Ce regroupement peut entraner des conomies de cots et simplifier
l'administration en rduisant la complexit administrative et le cot de la prise en
charge de votre environnement Active Directory.
Fonctionnement de l'Outil de migration Active Directory (ADMT)
L'Outil de migration Active Directory version 3 (ADMT v3) peut effectuer des tches
de migration d'objets et de traduction de la scurit. Vous pouvez tlcharger l'outil
ADMT v3 depuis la page http://go.microsoft.com/fwlink/?LinkID=75627. Vous y
trouverez galement un guide dtaill de cet outil.
Vous pouvez exploiter l'outil ADMT pour faire migrer des objets entre un domaine
source et un domaine cible. La migration peut s'effectuer entre les domaines d'une
mme fort (migration intra-fort) ou entre les domaines de diffrentes forts
(migration inter-forts). L'outil ADMT propose des Assistants qui automatisent les
tches de migration, par exemple la migration des utilisateurs, des groupes, des
comptes de service, des ordinateurs et des approbations, et qui effectuent une
traduction de la scurit. Pour effectuer ces tches, vous pouvez utiliser la console
ADMT ou la ligne de commande, qui vous permet de simplifier et d'automatiser la
commande admt.exe grce des fichiers d'options dfinissant les paramtres de la
tche de migration. Ensuite, l'aide d'un simple fichier texte, vous pouvez dresser
la liste des objets migrer au lieu de devoir saisir chaque objet sur la ligne de
commande. ADMT fournit galement des interfaces qui vous permettent de crer
des scripts de tches de migration dans des langages comme VBScript (Microsoft
Visual Basic Scripting Edition). Excutez la console ADMT et ouvrez la fonction
d'aide en ligne pour plus d'informations sur l'utilisation de l'outil ADMT partir de
la ligne de commande et sur la cration des scripts ADMT.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsque vous effectuez des tches de migration, l'outil ADMT vous permet de
simuler la migration afin d'valuer les erreurs et les rsultats potentiels sans
modifier le domaine cible. Les Assistants proposent l'option Tester les paramtres
de migration et effectuer celle-ci ultrieurement. Vous pouvez alors configurer la
tche de migration, tester ses paramtres et examiner les fichiers journaux et les
rapports gnrs par l'Assistant. Aprs avoir identifi et rsolu les problmes
ventuels, vous pouvez effectuer la tche de migration. Vous rpterez cette
procdure de test et d'analyse des rsultats au fur et mesure que vous effectuerez
la migration des utilisateurs, des groupes et des ordinateurs et que vous effectuerez
des traductions de la scurit.
Identificateurs de scurit et migration
La non interruption de l'accs aux ressources est le principal souci lors d'une
migration. Mieux encore, pour effectuer une migration, vous devez connatre les
concepts d'identificateurs de scurit (SID), de jetons, de listes de contrle d'accs
(ACL) et d'attribut sIDHistory.
Les SID sont des valeurs uniques dans le domaine qui sont affectes aux comptes
des entits de scurit (utilisateurs, groupes et ordinateurs, par exemple) lors de la
cration de ces comptes. Lorsqu'un utilisateur ouvre une session, le jeton gnr
comprend le SID principal de l'utilisateur et les SID des groupes auxquels cet
utilisateur appartient. Le jeton reprsente donc l'utilisateur, tous les SID qui lui
sont associs et ses appartenances des groupes.
Les ressources sont scurises par l'intermdiaire d'un descripteur de scurit qui
dcrit les autorisations, les appartenances, les droits tendus et les audits de
chaque ressource. Ce descripteur de scurit comprend deux listes de contrle
d'accs (ACL). La liste de contrle d'accs systme (SACL) dcrit les audits. La liste
de contrle d'accs discrtionnaire (DACL) dcrit les autorisations d'accs aux
ressources. Lorsqu'ils font rfrence la liste ACL, la plupart des administrateurs et
des documents font en fait rfrence la liste DACL. La liste DACL rpertorie les
autorisations associes aux entits de scurit. Dans cette liste, les entres de
contrle d'accs individuelles (ACE) relient une autorisation spcifique au SID
d'une entit de scurit. L'ACE peut tre l'autorisation Autoriser ou Refuser.
Lorsqu'un utilisateur tente d'accder une ressource, le sous-systme LSA
(Autorit de scurit locale) compare les SID du jeton de l'utilisateur ceux des
ACE prsentes dans la liste de contrle d'accs de la ressource.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsque vous faites migrer des comptes vers un nouveau domaine, ils sont copis ou
clons du domaine source vers le domaine cible. De nouveaux SID tant gnrs
pour les comptes du domaine cible, les SID des nouveaux comptes ne correspondent
pas aux SID des comptes du domaine source. Cela signifie que, mme lorsque les
comptes clons ont le mme nom et de nombreuses proprits identiques, les SID
tant diffrents d'un point de vue technique, ces comptes sont diffrents et n'auront
pas accs aux ressources du domaine source. Deux mthodes permettent de
rsoudre ce problme : l'attribut sIDHistory ou la traduction de la scurit.
Attribut sIDHistory
Les entreprises prfrent gnralement profiter de l'attribut sIDHistory pour
restructurer efficacement leurs domaines. La casse, qui peut sembler trange,
reflte celle de l'attribut dans le schma Active Directory. Une entit de scurit
Active Directory (qui peut tre un utilisateur, un groupe ou un ordinateur) dispose
d'un SID principal et d'un attribut sIDHistory, qui peut contenir un ou plusieurs
SID galement associs au compte. Lorsqu'un compte est copi dans un domaine
cible, Active Directory gnre le SID unique de l'entit dans ce domaine. L'attribut
sIDHistory peut galement tre charg avec le SID du compte dans le domaine
source. Lorsqu'un utilisateur ouvre une session dans un domaine Active Directory,
son jeton est renseign avec le SID principal et l'attribut sIDHistory du compte
utilisateur et des groupes auquel il appartient. Le sous-systme LSA utilise les SID
de l'attribut sIDHistory comme les autres SID du jeton pour maintenir l'accs de
l'utilisateur aux ressources du domaine source.
Traduction de la scurit
La traduction de la scurit est le processus qui consiste examiner le descripteur de
scurit de chaque ressource, y compris ses listes de contrle d'accs, identifier
chaque SID faisant rfrence un compte du domaine source et remplacer ce SID
par celui du compte dans le domaine cible. Le processus de rassociation des listes
de contrle d'accs (et des autres lments du descripteur de scurit) aux comptes
migrs dans le domaine cible est galement appel rgnration des listes de
contrle d'accs. Comme vous pouvez l'imaginer, la traduction de la scurit ou la
rgnration des listes de contrle d'accs serait un processus laborieux s'il tait
manuel, mme dans l'environnement le plus simple. Les outils de migration tels
qu'ADMT automatisent la traduction de la scurit. L'outil ADMT peut traduire les
descripteurs de scurit et les stratgies des ressources du domaine source pour faire
rfrence aux comptes correspondants dans le domaine cible. De faon plus
spcifique, l'outil ADMT peut traduire les lments suivants :
Autorisations des fichiers et des dossiers
Autorisations des imprimantes
Autorisations de partage
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Autorisations du Registre
Droits des utilisateurs
Profils locaux, ce qui implique la modification des autorisations des fichiers,
des dossiers et du Registre
Appartenances aux groupes

Dans la plupart des projets de restructuration et de migration de domaines,
l'attribut sIDHistory permet de maintenir l'accs et les fonctionnalits pendant la
migration. La traduction de la scurit est ensuite effectue.
Pour plus d'informations sur la migration de domaines, les SID et leur
historique, consultez la rubrique Guide de migration des domaines
(ventuellement en anglais) l'adresse : http://go.microsoft.com/fwlink
/?LinkId=168829

Appartenances aux groupes
Le dernier problme li l'accs aux ressources est l'appartenance aux groupes.
Les groupes globaux peuvent uniquement contenir des membres issus du mme
domaine. Par consquent, lorsque vous clonez un utilisateur dans le domaine cible,
le nouveau compte d'utilisateur ne peut pas tre membre des groupes globaux du
domaine source auxquels le compte source appartenait.
Pour rsoudre ce problme dans le cas d'une migration inter-forts, commencez
par faire migrer les groupes globaux vers le domaine cible. Ces groupes globaux
conserveront les SID des groupes sources dans leurs attributs sIDHistory. L'accs
aux ressources est ainsi prserv. Passez ensuite la migration des utilisateurs.
Lors de la migration des utilisateurs, l'outil ADMT value l'appartenance du
compte source et ajoute le nouveau compte au mme groupe dans le domaine
cible. Si le groupe n'existe pas encore dans le domaine cible, l'outil ADMT peut le
crer automatiquement. Pour finir, le compte d'utilisateur du domaine cible
appartiendra aux groupes globaux du domaine cible. L'utilisateur et ses groupes
contiendront les SID des comptes sources dans leurs attributs sIDHistory.
L'utilisateur pourra donc accder aux ressources du domaine source pour
lesquelles des autorisations auront t accordes aux comptes sources.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dans le cas d'une migration intra-fort, le processus est diffrent. Un groupe global
est cr en tant que groupe universel dans le domaine cible et peut ainsi contenir
les utilisateurs des domaines source et cible. Le nouveau groupe obtient un
nouveau SID, mais son attribut sIDHistory est renseign par le SID du groupe
global du domaine source, l'accs aux ressources du nouveau groupe tant ainsi
prserv. Ds que tous les utilisateurs ont t migrs du domaine source vers le
domaine cible, l'tendue du groupe redevient globale.
Autres problmes de migration
Lorsque vous planifiez et excutez la migration d'objets entre des domaines et des
forts, vous devez rsoudre un certain nombre de problmes. Chacun de ces
problmes est dtaill dans le guide de l'utilisateur de l'outil ADMT, disponible
depuis la page de tlchargement d'ADMT mentionne prcdemment. Les
problmes les plus importants sont notamment les suivants :
Migration des mots de passe : l'outil ADMT assure la migration des mots de
passe utilisateur. Il ne peut cependant pas vrifier que ces mots de passe
respectent les stratgies du domaine cible quant leur longueur et leur
complexit. La migration des mots de passe non vides est effectue quelle que
soit la stratgie de mots de passe du domaine cible, et les utilisateurs peuvent
se connecter avec ces mots de passe jusqu' leur expiration, date laquelle un
nouveau mot de passe conforme doit tre cr. Si le verrouillage de
l'environnement au moment de la migration vous pose un problme, ce
processus peut ne pas vous convenir. Vous prfreriez sans doute que l'outil
ADMT configure des mots de passe complexes ou scripte un mot de passe
initial et oblige l'utilisateur le modifier ds sa premire ouverture de session.
Comptes de service : les services des ordinateurs du domaine peuvent utiliser
des comptes d'utilisateur bass sur le domaine pour l'authentification. Lors de
la migration de ces comptes dans le domaine cible, la nouvelle identit des
comptes de service doit tre mise jour. L'outil ADMT automatise ce
processus.
Objets dont la migration est impossible : la migration transparente de
certains objets n'est pas possible. L'outil ADMT ne peut pas effectuer la
migration des groupes intgrs, tels que Administrateurs du domaine ou
Administrateurs locaux du domaine. Les instructions du guide de l'utilisateur
permettent de contourner cette limite.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement des relations d'approbation

Points cls
Ds que vous implmentez un scnario impliquant plusieurs domaines AD DS,
l'utilisation de relations d'approbation ou d'approbations est probable. Il est donc
important que vous compreniez l'objectif, les fonctionnalits et la configuration des
relations d'approbation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Relations d'approbation au sein d'un domaine
Au cours du Module 1, vous avez vu ce qui arrive lorsqu'un serveur ou une station
de travail membre d'un domaine rejoint un domaine. Tout en tant dans un groupe
de travail, l'ordinateur conserve un magasin d'identits dans la base de donnes du
gestionnaire de comptes de scurit (SAM), authentifie les utilisateurs par rapport
ce magasin d'identits et scurise les ressources du systme en utilisant
uniquement les identits issues de cette base de donnes SAM. Lorsque
l'ordinateur rejoint un domaine, il tablit une relation d'approbation avec ce
dernier. L'effet de cette approbation est que l'ordinateur autorise l'authentification
des utilisateurs, non plus par le systme local et son magasin d'identits local, mais
par les services d'authentification et le magasin d'identits du domaine : AD DS. Le
membre du domaine autorise galement la scurisation des ressources du systme
par les identits du domaine. Par exemple, le groupe Utilisateurs du domaine est
ajout au groupe Utilisateurs local, ce qui lui permet de se connecter localement au
systme. De mme, les comptes d'utilisateur et de groupe du domaine peuvent tre
ajouts dans des listes de contrle d'accs pour des fichiers, des dossiers, des cls
de Registre et des imprimantes du systme. Les mmes relations d'approbation
sont tablies entre tous les membres du domaine et le domaine, ce qui fait de ce
dernier un magasin central des identits et un service centralis assurant
l'authentification.
Relations d'approbation entre domaines
Sur cette base, vous pouvez tendre le concept de relations d'approbation
d'autres domaines. Une relation d'approbation entre deux domaines permet un
domaine d'approuver le service d'authentification et le magasin d'identits d'un
autre domaine et d'utiliser ces identits pour scuriser les ressources. Une relation
d'approbation tablit en effet un lien logique entre les domaines et autorise
l'authentification directe.
Chaque relation d'approbation comprend deux domaines : le domaine autoris
approuver et le domaine approuv. Le domaine approuv dtient le magasin
d'identits et assure l'authentification des utilisateurs dans ce magasin d'identits.
Lorsqu'un utilisateur de l'annuaire du domaine approuv ouvre une session ou se
connecte un systme du domaine autoris approuver, ce dernier ne peut pas
l'authentifier car il n'est pas dans son magasin. Il confie donc l'authentification un
contrleur de domaine du domaine approuv. Le domaine autoris approuver
autorise par consquent le domaine approuv authentifier l'identit de
l'utilisateur. Le domaine autoris approuver tend l'approbation aux services
d'authentification et au magasin d'identits du domaine approuv.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Comme le domaine autoris approuver approuve les identits du domaine
approuv, il peut utiliser les identits approuves pour accorder l'accs aux
ressources. Les utilisateurs d'un domaine approuv peuvent se voir accorder des
droits d'utilisateur, par exemple le droit d'ouvrir une session sur les stations de
travail du domaine autoris approuver. Des utilisateurs ou des groupes globaux
du domaine approuv peuvent tre ajouts dans les groupes locaux du domaine
autoris approuver. Des utilisateurs ou des groupes globaux du domaine
approuv peuvent se voir accorder des autorisations sur des dossiers partags via
l'ajout des identits dans les listes de contrle d'accs du domaine autoris
approuver.
La terminologie peut sembler confuse et il est souvent plus facile de comprendre
les relations d'approbation en prenant un exemple concret. Le diagramme suivant
prsente une relation d'approbation simple. Le Domaine A approuve le Domaine B.
Le Domaine A est donc le domaine autoris approuver et le Domaine B, le
domaine approuv. Lorsqu'un utilisateur du Domaine B se connecte ou ouvre une
session sur un ordinateur du Domaine A, ce dernier transmet la demande
d'authentification un contrleur de domaine du Domaine B. Le Domaine A peut
galement utiliser des identits du Domaine B (les utilisateurs et les groupes, par
exemple) pour accorder des droits utilisateur et un accs aux ressources du
Domaine A. Un utilisateur ou un groupe du Domaine B peut donc tre ajout dans
une liste de contrle d'accs un dossier partag du Domaine A. Un utilisateur ou
un groupe du Domaine B peut galement tre ajout dans un groupe local du
Domaine A.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Caractristiques des relations d'approbation

Points cls
Les relations d'approbation entre domaines peuvent tre reprsentes par trois
attributs de l'approbation : la direction, la transitivit et l'approbation automatique
ou manuelle.
Direction
Une relation d'approbation peut tre unidirectionnelle ou bidirectionnelle. Dans
une approbation unidirectionnelle, telle que celle illustre ci-dessus, les utilisateurs
du domaine approuv peuvent tre autoriss accder aux ressources du domaine
autoris approuver. Cependant, les utilisateurs du domaine autoris approuver
ne peuvent pas tre autoriss accder aux ressources du domaine approuv.
Dans la plupart des cas, vous pouvez crer une seconde approbation
unidirectionnelle de direction oppose pour rsoudre ce problme. Vous pouvez
par exemple crer une seconde relation d'approbation dans laquelle le Domaine B
approuve le Domaine A. Certaines relations d'approbation sont bidirectionnelles
par nature. Dans une approbation bidirectionnelle, les deux domaines approuvent
les identits et les services d'authentification de l'autre domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Transitivit
Certaines approbations ne sont pas transitives, d'autres le sont. Dans la figure
prcdente, le Domaine A approuve le Domaine B et le Domaine B approuve le
Domaine C. Si les approbations sont transitives, alors le Domaine A approuve le
Domaine C. Si elles ne sont pas transitives, le Domaine A n'approuve pas le
Domaine C. Dans la plupart des cas, vous pouvez crer une troisime relation
d'approbation spcifiant que le Domaine A approuve le Domaine C. Les
approbations transitives rendent inutile cette troisime approbation, car elle est
implicite.
Approbation automatique ou manuelle
Certaines approbations sont cres automatiquement. D'autres doivent tre cres
manuellement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Fonctionnement des approbations dans une fort

Points cls
Dans une fort, tous les domaines s'approuvent mutuellement. Cela est d au fait
que le domaine racine de chaque arborescence d'une fort approuve le domaine
racine de la fort (premier domaine install dans cette fort) et que chaque
domaine enfant approuve son domaine parent. Les approbations cres
automatiquement ne doivent jamais tre supprimes et elles sont transitives et
bidirectionnelles. Ainsi, un domaine approuve les magasins d'identits et les
services d'authentification de tous les autres domaines de sa fort. Les utilisateurs
et les groupes globaux de n'importe quel domaine de la fort peuvent tre ajouts
aux groupes locaux du domaine, peuvent se voir accorder des droits d'utilisateurs
et peuvent tre ajouts dans les listes de contrle d'accs aux ressources de
n'importe quel autre domaine de la fort. Les approbations d'autres forts et des
domaines situs hors de la fort doivent tre tablies manuellement. Ce rsum
tant fait, vous pouvez examiner les dtails des approbations au sein et hors d'une
fort Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Protocoles d'authentification
Sous Windows Server 2008, Active Directory authentifie les utilisateurs par l'un
des deux protocoles possibles : Kerberos version 5 (v5) ou NTLM. Le protocole
Kerberos v5 est utilis par dfaut par les ordinateurs fonctionnant sous Windows
Server 2008, Windows Vista, Windows Server 2003, Windows XP et Windows
2000 Server. Lorsqu'un ordinateur impliqu dans une transaction
d'authentification ne prend pas en charge le protocole Kerberos v5, le protocole
NTLM le remplace. L'authentification NTLM peut tre dsactive par les stratgies
de groupe.
Authentification Kerberos dans un domaine
Lorsqu'un utilisateur ouvre une session sur un client excutant Kerberos v5, la
demande d'authentification est transmise un contrleur de domaine. Chaque
contrleur de domaine Active Directory joue le rle de Centre de distribution de
cls (KDC), composant central de Kerberos. Une fois l'identit de l'utilisateur
valide, le centre KDC du contrleur de domaine remet l'utilisateur authentifi ce
que l'on appelle un ticket TGT (ticket-granting ticket).
Lorsque l'utilisateur doit accder aux ressources d'un ordinateur du mme
domaine, il doit d'abord obtenir un ticket de session valide pour cet ordinateur.
Les tickets de session tant fournis par le centre KDC d'un contrleur de domaine,
l'utilisateur s'adresse un contrleur de domaine pour lui demander un ticket de
session. L'utilisateur prsente le ticket TGT comme preuve de son authentification
pralable. Le centre KDC peut ainsi rpondre la demande de ticket de session de
l'utilisateur sans authentifier nouveau son identit. La demande de ticket de
session de l'utilisateur spcifie l'ordinateur et le service auxquels cet utilisateur
souhaite accder. Le centre KDC s'aperoit que le service est dans le mme
domaine grce au nom principal de service (SPN) du serveur l'origine de la
demande. Le centre KDC remet alors l'utilisateur un ticket de session pour ce
service.
L'utilisateur se connecte ensuite au service et prsente son ticket de session. Le
serveur peut ainsi vrifier que le ticket est valide et que l'utilisateur a t authentifi
par le domaine. L'opration passe par des cls prives, un sujet qui dpasse la
porte de cette leon. Le serveur n'a donc pas besoin d'authentifier l'utilisateur. Il
accepte l'authentification et l'identit fournies par le domaine avec lequel
l'ordinateur a tabli une relation d'approbation.
Toutes ces transactions Kerberos sont gres par les clients et les serveurs
Windows et sont transparentes pour les utilisateurs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Authentification Kerberos entre les domaines d'une fort
Chaque domaine enfant d'une fort approuve son domaine parent par une
approbation transitive, bidirectionnelle et automatique appele approbation
parent-enfant. Le domaine racine de chaque arborescence d'un domaine approuve
le domaine racine de la fort par une approbation transitive, bidirectionnelle et
automatique appele approbation arborescence-racine.
Ces relations d'approbation crent ce que l'on appelle le chemin d'approbation ou
flux d'approbation d'une fort. Le chemin d'approbation est facile comprendre
lorsqu'on regarde un diagramme, illustr ci-aprs. La fort comprend deux
arborescences, l'arborescence tailspintoys.com et l'arborescence wingtiptoys.com.
Le domaine tailspintoys.com est le domaine racine de la fort. L'illustration
indique que le domaine racine de l'arborescence wingtiptoys.com approuve le
domaine tailspintoys.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L'authentification Kerberos utilise le chemin d'approbation pour remettre
l'utilisateur d'un domaine un ticket de session pour un service d'un autre domaine.
Lorsqu'un utilisateur du domaine usa.wingtiptoys.com demande accder un
dossier partag d'un serveur du domaine europe.tailspintoys.com, les transactions
suivantes surviennent :
1. L'utilisateur ouvre une session sur un ordinateur du domaine
usa.wingtiptoys.com et est authentifi par un contrleur du domaine
usa.wingtiptoys.com, via le processus d'authentification dcrit la section
prcdente. L'utilisateur obtient un ticket TGT pour le contrleur de domaine
de usa.wingtiptoys.com.
L'utilisateur souhaite se connecter un dossier partag d'un serveur de
europe.tailspintoys.com.
2. L'utilisateur contacte le centre KDC d'un contrleur de domaine de
usa.wingtiptoys.com pour demander un ticket de session pour le serveur de
3. Par le nom principal de service (SPN), le contrleur de domaine de
usa.wingtiptoys.com s'aperoit que le service dsir rside dans
europe.tailspintoys.com et non pas dans le domaine local.
Le travail du centre KDC consiste donc jouer le rle d'intermdiaire
approuv entre un client et un service. Lorsque le centre KDC ne peut pas
fournir de ticket de session pour le service car ce dernier est dans un domaine
approuv et non dans le domaine local, il fournit une rfrence au client pour
l'aider obtenir le ticket de session demand.
Pour connatre la prochaine tape, le centre KDC utilise un algorithme simple.
Si le domaine du centre KDC est approuv directement par le domaine du
service, le centre KDC remet au client une rfrence pour un contrleur du
domaine du service. Si ce n'est pas le cas, mais qu'une approbation transitive
existe entre le centre KDC et le domaine du service, le centre KDC remet au
client une rfrence pour le prochain domaine dans le chemin d'approbation.
4. Le domaine usa.wingtiptoys.com n'est pas approuv directement par
europe.tailspintoys.com, mais une approbation transitive existe entre les deux
domaines. Le centre KDC du domaine usa.wingtiptoys.com remet donc au
client une rfrence pour un contrleur du prochain domaine dans le chemin
d'approbation, wingtiptoys.com.
5. Le client contacte le centre KDC du domaine de rfrence, wingtiptoys.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. De nouveau, le centre KDC s'aperoit que le service n'est pas dans le domaine
local et que le domaine europe.tailspintoys.com n'approuve pas directement
wingtiptoys.com. Il renvoie donc une rfrence un contrleur du prochain
domaine dans le chemin d'approbation, tailspintoys.com.
7. Le client contacte le centre KDC du domaine de rfrence, tailspintoys.com.
8. Le centre KDC s'aperoit que le service n'est pas dans le domaine local et que
le domaine europe.tailspintoys.com approuve directement le domaine
tailspintoys.com. Il renvoie donc une rfrence un contrleur du domaine
9. Le client contacte le centre KDC du domaine de rfrence,
10. Le centre KDC du domaine europe.tailspintoys.com renvoie au client un ticket
de session pour le service.
11. Le client contacte le serveur et fournit son ticket de session. Le serveur fournit
un accs au dossier partag sur la base des autorisations attribues
l'utilisateur et aux groupes auxquels il appartient.

Ce processus semble compliqu mais n'oubliez pas qu'il reste entirement
transparent pour l'utilisateur.
Le processus inverse se produit lorsqu'un utilisateur du domaine
usa.wingtiptoys.com ouvre une session sur un ordinateur du domaine
europe.tailspintoys.com. La demande d'authentification initiale doit traverser le
chemin d'approbation pour atteindre un centre KDC du domaine
usa.wingtiptoys.com avant que l'utilisateur ne soit authentifi.
Il n'est pas ncessaire de matriser l'ensemble des dtails de l'authentification
Kerberos entre les domaines d'une fort pour l'examen 70-640. Cependant,
comprendre le fonctionnement de base d'une authentification inter-domaines dans
une fort et savoir que cette authentification suit un chemin d'approbation, vous
aidera dans votre travail.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dmonstration : Cration d'une approbation

Points cls
La procdure de cration d'une approbation est similaire quelles que soient les
catgories d'approbation. Pour pouvoir crer une approbation, vous devez tre
membre du groupe Administrateurs du domaine ou Administrateurs de
l'entreprise.
Pour crer une relation d'approbation :
1. Ouvrez le composant logiciel enfichable Domaines et approbations Active
Directory.
2. Cliquez du bouton droit sur le domaine qui participera l'un des cts de la
relation d'approbation et choisissez Proprits.
Vous devez excuter Domaines et approbations Active Directory avec un
compte autoris crer des approbations dans ce domaine.
3. Ouvrez l'onglet Approbations.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Cliquez sur le bouton Nouvelle approbation.
L'Assistant Nouvelle approbation vous guide tout au long de la cration de
l'approbation.
5. Dans la page Nom d'approbation, entrez le nom DNS de l'autre domaine de la
relation d'approbation, puis cliquez sur Suivant.
6. Si le domaine saisi n'appartient pas la mme fort, vous tes invit choisir
un type d'approbation parmi les suivants :
Fort
Externe
Domaine Kerberos
Si le domaine est dans la mme fort, l'Assistant sait qu'il s'agit d'un raccourci
d'approbation.
7. Si vous crez une approbation de domaine Kerberos, le systme vous demande
de prciser si l'approbation est transitive ou non. (Les approbations de
domaine Kerberos sont traites dans la suite de cette leon.)
8. Dans la page Direction de l'approbation, slectionnez l'un des lments suivants :
Bidirectionnelle : cette option tablit une approbation bidirectionnelle
entre les domaines.
Unidirectionnelle : entrante : cette option tablit une approbation
unidirectionnelle dans laquelle le domaine slectionn l'tape 2 est le
domaine approuv et le domaine saisi l'tape 5, le domaine autoris
approuver.
Unidirectionnelle : sortante : cette option tablit une approbation
unidirectionnelle dans laquelle le domaine slectionn l'tape 2 est le
domaine autoris approuver et le domaine saisi l'tape 5, le domaine
approuv.
10. Dans la page Sens de l'approbation, slectionnez l'un des lments suivants :
Ce domaine et le domaine spcifi : cette option tablit les deux cts de
l'approbation. Vous devez pour cela tre autoris crer des approbations
dans les deux domaines.
Ce domaine uniquement : cette option cre la relation d'approbation
dans le domaine slectionn l'tape 2. Un administrateur autoris crer
des approbations dans l'autre domaine doit recommencer ce processus
pour complter la relation d'approbation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Les tapes suivantes dpendent des options slectionnes aux tapes 8 et 10.
Elles concerneront l'un des lments suivants :
Si vous avez slectionn Ce domaine et le domaine spcifi, vous devez
saisir un nom d'utilisateur et un mot de passe autoriss crer
l'approbation dans le domaine spcifi l'tape 5.
Si vous avez slectionn Ce domaine uniquement, vous devez saisir un
mot de passe d'approbation. Le mot de passe d'approbation est saisi par
les administrateurs de chaque ct d'une approbation pour tablir cette
dernire. Ces mots de passe ne doivent pas tre ceux des comptes
d'utilisateur des administrateurs. Il doit s'agir d'un mot de passe unique,
rserv la cration de cette approbation. Les mots de passe sont utiliss
pour tablir l'approbation et les domaines les changent ensuite
immdiatement.
11. Si l'approbation est sortante, vous tes invit choisir l'un des lments
suivants :
Authentification slective
Authentification l'chelle du domaine ou Authentification l'chelle
de la fort, selon que le type d'approbation est une approbation externe
ou une approbation de fort, respectivement.
12. L'Assistant Nouvelle approbation rcapitule vos slections dans la page Fin
des slections de l'approbation. Cliquez sur Suivant.
L'Assistant cre l'approbation.
13. La page Fin de la cration de l'approbation s'affiche. Vrifiez les paramtres,
Vous aurez ensuite la possibilit de confirmer l'approbation. Cette option est
trs utile si vous avez cr les deux cts de l'approbation ou si vous terminez
le second ct d'une approbation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Si vous avez slectionn l'option Ce domaine et le domaine spcifi l'tape 8,
la procdure est termine. Si vous avez slectionn l'option Ce domaine
uniquement l'tape 8, la relation d'approbation ne sera pas complte tant
qu'un administrateur de l'autre domaine n'aura pas termin la procdure :
Si la relation d'approbation que vous avez tablie est sortante et
unidirectionnelle, un administrateur de l'autre domaine doit crer une
approbation entrante unidirectionnelle.
Si la relation d'approbation que vous avez tablie est entrante et
unidirectionnelle, un administrateur de l'autre domaine doit crer une
approbation sortante unidirectionnelle.
Si la relation d'approbation que vous avez tablie est bidirectionnelle, un
administrateur de l'autre domaine doit crer une approbation
bidirectionnelle.
Les procdures dtailles de cration de chaque type d'approbations sont
disponibles l'adresse : http://go.microsoft.com/fwlink/?LinkId=168830

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Raccourcis d'approbation

Points cls
Quatre types d'approbations peuvent tre crs manuellement :
Approbations externes
Approbations de domaine Kerberos
Approbations de fort

Chacun de ces types d'approbations est dtaill dans les sections suivantes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dans une section prcdente, une procdure en 11 tapes permettait d'accorder un
ticket de session un client pour accder une ressource d'un autre domaine de la
fort. La plupart de ces tapes impliquaient des rfrences des domaines situs
sur le chemin d'approbation entre le domaine de l'utilisateur et celui du dossier
partag. Lorsqu'un utilisateur d'un domaine ouvre une session sur un ordinateur
d'un autre domaine, la demande d'authentification doit galement traverser ce
chemin d'approbation. Cette opration peut affecter les performances et, lorsque
aucun contrleur de domaine n'est disponible dans les domaines du chemin
d'approbation, le client ne peut pas s'authentifier ni accder au service.
Les raccourcis d'approbation sont conus pour rsoudre ces problmes en crant
directement une relation d'approbation entre les domaines enfants du chemin
d'approbation de la fort.
Les raccourcis d'approbation optimisent les demandes d'authentification et de
ticket de session entre les domaines d'une fort plusieurs domaines. En liminant
le chemin d'approbation, ils liminent galement le temps ncessaire pour
traverser ce chemin et peuvent donc considrablement amliorer les performances
des demandes de ticket de session.
Un raccourci d'approbation peut tre unidirectionnel ou bidirectionnel. Dans les
deux cas, l'approbation est transitive. Dans l'illustration suivante, l'existence d'un
raccourci d'approbation unidirectionnel implique que le domaine wingtiptoys.com
approuve le domaine europe.tailspintoys.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsqu'un utilisateur du domaine europe.tailspintoys.com ouvre une session sur
un ordinateur du domaine wingtiptoys.com ou demande une ressource du
domaine wingtiptoys.com, la demande peut faire directement rfrence un
contrleur du domaine approuv, asia.wingitiptoys.com. Toutefois, l'inverse n'est
pas vrai. Lorsqu'un utilisateur du domaine wingtiptoys.com ouvre une session sur
un ordinateur du domaine europe.tailspintoys.com, la demande d'authentification
remonte le chemin d'approbation jusqu'au domaine tailspintoys.com et redescend
jusqu'au domaine wingtiptoys.com.
Un raccourci d'approbation bidirectionnel est illustr entre les domaines
usa.wingtiptoys.com et europe.tailspintoys.com. Les utilisateurs des deux
domaines peuvent tre authentifis par les ordinateurs de l'autre domaine ou leur
demander leurs ressources. Le chemin du raccourci d'approbation est alors utilis.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Approbations externes et approbations de domaine
Kerberos

Points cls
Approbations externes
Pour travailler avec un domaine qui n'appartient pas votre fort, la cration d'une
approbation externe peut tre ncessaire. Une approbation externe tablit une
relation d'approbation entre un domaine de votre fort et un domaine Windows
qui n'appartient pas votre fort. L'illustration en propose quelques exemples.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Vous pouvez voir qu'une approbation unidirectionnelle relie le domaine
sales.worldwideimporters.com et le domaine europe.tailspintoys.com. Le domaine
Europe approuvant le domaine Sales, les utilisateurs de ce dernier peuvent ouvrir
une session sur les ordinateurs du domaine Europe ou accder ses ressources.
L'illustration montre qu'une approbation bidirectionnelle relie le domaine
worldwideimporters.com et le domaine asia.tailspintoys.com. Les utilisateurs de
chaque domaine peuvent se voir accorder un accs aux ressources de l'autre
domaine. D'un point de vue technique, toutes les approbations externes sont non
transitives et unidirectionnelles. Lorsque vous crez une approbation externe
bidirectionnelle, vous crez en fait deux approbations unidirectionnelles, une dans
chaque sens.
Lorsque vous crez une approbation externe sortante, Active Directory cre un
objet entit de scurit externe pour chaque entit de scurit du domaine
approuv. Ces utilisateurs, groupes et ordinateurs peuvent alors tre ajouts dans
les groupes locaux ou les listes de contrle d'accs aux ressources du domaine
autoris approuver.
Pour renforcer la scurit d'une relation d'approbation externe, vous pouvez
slectionner l'option Authentification slective dans la page Niveau
d'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. De
plus, la quarantaine de domaine, galement appele filtrage des SID, est active par
dfaut dans toutes les approbations externes.
Approbations de domaine Kerberos
Lorsqu'une interoprabilit interplateformes est ncessaire avec des services de
scurit bass sur d'autres implmentations Kerberos v5, vous pouvez tablir une
approbation de domaine Kerberos entre votre domaine et un domaine UNIX
Kerberos v5. Les approbations de domaine Kerberos sont unidirectionnelles, mais
vous pouvez tablir des approbations unidirectionnelles dans chaque sens pour
crer une approbation bidirectionnelle. Par dfaut, les approbations de domaine
Kerberos sont non transitives, mais elles peuvent tre rendues transitives.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Lorsqu'un domaine Kerberos v5 non Windows approuve votre domaine, le
domaine Kerberos approuve toutes les entits de scurit de votre domaine. Si
votre domaine approuve un domaine Kerberos v5 non Windows, les utilisateurs de
ce dernier peuvent obtenir un accs aux ressources de votre domaine, mais ce
processus est indirect. Lorsque les utilisateurs sont authentifis par un domaine
Kerberos non Windows, les tickets Kerberos ne contiennent pas toutes les
donnes d'autorisation ncessaires pour Windows. Un systme de mappage des
comptes est donc utilis. Des entits de scurit sont cres dans le domaine
Windows et mappes avec une identit Kerberos externe du domaine Kerberos
non Windows approuv. Le domaine Windows n'utilise ces comptes proxy que
pour valuer l'accs aux objets du domaine prsentant des descripteurs de scurit.
Tous les comptes proxy Windows peuvent tre utiliss dans des groupes et dans
des listes de contrle d'accs pour contrler l'accs au nom de l'entit de scurit
non Windows. Les mappages de comptes sont grs par l'intermdiaire du
composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Approbations de fort

Points cls
Lorsqu'une collaboration entre deux entreprises reprsentes par deux forts
distinctes est ncessaire, vous pouvez envisager d'implmenter une approbation de
fort. Une approbation de fort est une relation d'approbation transitive
unidirectionnelle ou bidirectionnelle entre les domaines racines de fort de deux
forts. L'illustration prsente un exemple d'approbation de fort entre les forts
tailspintoys.com et worldwideimporters.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Une seule relation d'approbation de fort autorise l'authentification d'un utilisateur
de n'importe quel domaine par n'importe quel autre domaine de l'une ou l'autre
des forts, en supposant que l'approbation de fort soit bidirectionnelle. Si
l'approbation de fort est unidirectionnelle, tout utilisateur d'un domaine (quel
qu'il soit) de la fort approuve peut tre authentifi par les ordinateurs de la fort
autorise approuver. Les approbations de fort sont bien plus faciles tablir,
grer et administrer que des relations d'approbation distinctes entre chacun des
domaines des forts. Les approbations de fort se rvlent particulirement utiles
dans les scnarios impliquant une collaboration entre deux entreprises ou des
fusions et acquisitions, ou au sein d'une mme organisation disposant de plusieurs
forts pour isoler les services et les donnes Active Directory.
Lorsque vous tablissez une relation d'approbation de fort, la quarantaine de
domaine, galement appele filtrage des SID, est active par dfaut. La quarantaine
de domaine est dtaille dans la section du mme nom.
Vous pouvez prciser si l'approbation de fort est unidirectionnelle, entrante ou
sortante, ou bidirectionnelle. Comme nous l'avons dj dit, toute approbation de
fort est transitive, c'est--dire que tous les domaines d'une fort autorise
approuver peuvent approuver tous les domaines d'une fort approuve.
Toutefois, les approbations de fort ne sont pas elles-mmes transitives. Par
exemple, si la fort tailspintoys.com approuve la fort worldwideimporters.com et
que la fort worldwideimporters.com approuve la fort northwindtraders.com, ces
deux relations d'approbation ne permettent pas la fort tailspintoys.com
d'approuver la fort northwindtraders.com. Pour que ces deux forts s'approuvent
mutuellement, vous devez crer une approbation de fort spcifique entre elles.
Pour qu'une approbation de fort puisse tre implmente, plusieurs exigences
doivent tre satisfaites. Le niveau fonctionnel de la fort doit tre Windows
Server 2003 ou suprieur. Vous devez galement disposer d'une infrastructure
DNS spcifique.
Pour plus d'informations sur les conditions DNS requises pour une
approbation de fort, consultez la page
http://go.microsoft.com/fwlink/?LinkId=168831.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Administration des relations d'approbation

Points cls
Lorsque le fonctionnement d'une relation d'approbation vous inquite, vous
pouvez valider la relation d'approbation entre deux domaines Windows
quelconques. Vous ne pouvez cependant pas valider une relation d'approbation
tablie avec un domaine Kerberos v5. Pour valider une relation d'approbation,
1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez du bouton droit sur le domaine
contenant l'approbation valider et choisissez Proprits.
4. Slectionnez l'approbation valider.
5. Cliquez sur Proprits.
6. Cliquez sur Valider.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Choisissez l'une des oprations suivantes, puis cliquez sur OK :
Cliquez sur Oui, valider l'approbation entrante. Entrez les informations
d'identification d'un compte membre du groupe Administrateurs du
domaine ou Administrateurs de l'entreprise du domaine rciproque.
Cliquez sur Non, ne pas valider l'approbation entrante. Il est
recommand de rpter cette procdure pour le domaine rciproque.

La commande suivante permet galement de vrifier une approbation depuis
l'invite de commande :
netdom trust NomDomaineAutorisApprouver /domain:NomDomaineApprouv
/verify
Il peut galement tre ncessaire de supprimer une approbation cre
manuellement. Pour ce faire, procdez comme suit :
1. Ouvrez Domaines et approbations Active Directory.
contenant l'approbation valider et choisissez Proprits.
4. Slectionnez l'approbation supprimer.
5. Cliquez sur Supprimer.
6. Choisissez l'une des oprations suivantes, puis cliquez sur OK :
Cliquez sur Oui, supprimer l'approbation du domaine local et de l'autre
domaine. Entrez les informations d'identification d'un compte membre du
groupe Administrateurs du domaine ou Administrateurs de l'entreprise du
domaine rciproque.
Cliquez sur Non, supprimer l'approbation du domaine local
uniquement. Il est recommand de rpter cette procdure pour le
domaine rciproque.

Pour supprimer une approbation cre manuellement depuis l'invite de
commande, servez-vous de la commande netdom.exe avec la syntaxe suivante :
/remove [/force] /UserD:User /PasswordD:*
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Le paramtre UserD est un utilisateur dont le compte est membre du groupe
Administrateurs du domaine ou Administrateurs de l'entreprise du domaine
approuv. Le paramtre PasswordD:* oblige netdom.exe vous demander le mot
de passe du compte. Le commutateur /force est obligatoire pour la suppression
d'une approbation de domaine Kerberos.

Remarque : le gestionnaire de domaine Windows, la commande netdom.exe et d'autres
outils de ligne de commande peuvent tre utiliss pour grer et tester les relations
d'approbation. Voir : http://go.microsoft.com/fwlink/?LinkId=168832 pour plus
d'informations sur ces commandes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Quarantaine de domaine

Points cls
Par dfaut, la quarantaine de domaine, galement appel filtrage des SID, est
active dans toutes les approbations externes et de fort. Lorsqu'un utilisateur est
authentifi dans un domaine approuv, il prsente des donnes d'autorisation
comprenant les SID de son compte dans les groupes auxquels il appartient. Les
donnes d'autorisation de l'utilisateur comprennent galement les identificateurs
de scurit issus des autres attributs de l'utilisateur et de ses groupes.
Certains des SID prsents par l'utilisateur depuis le domaine approuv peuvent ne
pas avoir t crs dans le domaine approuv. Par exemple, si l'utilisateur a t
migr d'un domaine vers un autre, un nouveau SID est attribu au compte migr.
Le compte migr perd de ce fait l'accs aux ressources pour lesquelles des
autorisations ont t attribues au SID de l'ancien compte de l'utilisateur. Pour que
l'utilisateur puisse continuer accder ces ressources, l'administrateur qui
effectue la migration peut spcifier que l'attribut sIDHistory du compte migr de
l'utilisateur doit comprendre le SID de l'ancien compte. Lorsque l'utilisateur tente
de se connecter la ressource, le SID original de l'attribut sIDHistory se voit
accorder l'accs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Dans un scnario de domaine approuv, un administrateur peu scrupuleux peut
ventuellement utiliser des informations d'identification d'administration dans ce
domaine approuv pour charger, dans l'attribut sIDHistory d'un utilisateur, des
SID identiques ceux des comptes avec privilges dans votre domaine. Cet
utilisateur disposerait alors d'un niveau d'accs inappropri aux ressources de
votre domaine.
La quarantaine de domaine rsout ce problme en autorisant le domaine autoris
approuver filtrer les SID du domaine approuv qui ne correspondent pas aux SID
principaux des entits de scurit. Le SID du domaine d'origine tant inclus dans
chaque SID, lorsqu'un utilisateur d'un domaine approuv prsente la liste de ses
SID et ceux de ses groupes, le filtrage des SID demande au domaine autoris
approuver d'ignorer tous les SID qui ne comprennent pas le SID du domaine
approuv.
La quarantaine de domaine est active par dfaut pour toutes les approbations
sortantes visant des domaines et des forts externes. Ne dsactivez la quarantaine de
domaine que lorsque au moins l'une des conditions suivantes est vraie :
Vous faites entirement confiance aux administrateurs du domaine approuv.
Des utilisateurs ou des groupes ont t migrs vers le domaine approuv avec
leurs historiques de SID et vous souhaitez qu'ils soient autoriss accder aux
ressources du domaine autoris approuver en fonction de l'attribut
sIDHistory.

Pour dsactiver la quarantaine de domaine, tapez la commande suivante :
/quarantine:no
Pour ractiver la quarantaine de domaine, tapez la commande suivante :
/quarantine:yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Accs aux ressources pour les utilisateurs issus de domaines
approuvs

Points cls
Lorsque vous configurez une relation d'approbation qui permet votre domaine
d'en approuver un autre, vous introduisez la possibilit que des utilisateurs du
domaine approuv obtiennent l'accs aux ressources de votre domaine. Les
sections suivantes examinent les composants lis la scurit des ressources d'un
domaine autoris approuver.
Utilisateurs authentifis
Une relation d'approbation n'accorde en elle-mme aucun accs aux ressources. Il
est toutefois probable que la cration d'une relation d'approbation permette
immdiatement aux utilisateurs du domaine approuv d'accder certaines des
ressources de votre domaine. Cela est d au fait que la plupart des ressources sont
scurises par des listes de contrle d'accs qui octroient des autorisations au
groupe Utilisateurs authentifis.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Appartenance aux groupes locaux de domaine
Comme vous l'avez appris au Module 4, la meilleure faon de grer l'accs une
ressource consiste accorder des autorisations un groupe local du domaine.
Vous pouvez alors imbriquer les utilisateurs et les groupes de votre domaine dans
le groupe local du domaine et, de ce fait, leur accorder un accs la ressource. Les
groupes de scurit locaux du domaine peuvent galement inclure des utilisateurs
et des groupes globaux de domaines approuvs. Par consquent, la meilleure faon
d'attribuer des autorisations aux utilisateurs d'un domaine approuv consiste
faire de ces derniers, ou de leurs groupes globaux, des membres d'un groupe local
de domaine de votre domaine.
Ajout d'identits approuves aux listes de contrle d'accs
Vous pouvez galement ajouter directement les utilisateurs et les groupes globaux
d'un domaine approuv dans les listes de contrle d'accs aux ressources d'un
domaine autoris approuver. Cette approche n'est pas aussi simple que la
mthode prcdente, c'est--dire l'utilisation d'un groupe local de domaine, mais
elle est possible.
Transitivit
Lorsque vous crez une approbation de domaine Kerberos, cette approbation est
non transitive par dfaut. Si vous la rendez transitive, vous pouvez ventuellement
permettre aux utilisateurs des domaines et des domaines Kerberos approuvs par
le domaine Kerberos v5 d'accder aux ressources de votre domaine. Il est donc
recommand d'utiliser des approbations non transitives, sauf si des contraintes
professionnelles vous obligent rellement choisir une approbation de domaine
Kerberos transitive.
Lorsque vous crez une approbation externe ou une approbation de fort, vous
pouvez contrler l'tendue de l'authentification des entits de scurit approuves.
Deux modes d'authentification sont associs une approbation externe ou de
fort :
Authentification l'chelle du domaine (pour une approbation externe) ou
authentification l'chelle de la fort (pour une approbation de fort)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Si vous choisissez l'authentification l'chelle du domaine ou de la fort, tous les
utilisateurs approuvs peuvent tre authentifis et accder aux services de tous les
ordinateurs du domaine autoris approuver. Les utilisateurs approuvs peuvent
par consquent tre autoriss accder aux ressources du domaine autoris
approuver, o qu'elles se trouvent. Avec ce mode d'authentification, vous devez
faire suffisamment confiance aux procdures de scurit de votre entreprise et aux
administrateurs qui implmentent ces procdures pour qu'un accs inappropri ne
soit pas accord aux utilisateurs approuvs. N'oubliez pas, par exemple, que les
utilisateurs d'une fort ou d'un domaine approuv sont considrs comme des
Utilisateurs authentifis dans le domaine autoris approuver. Toutes les
ressources auxquelles ce groupe peut accder deviennent donc immdiatement
accessibles aux utilisateurs des domaines approuvs si vous choisissez
l'authentification l'chelle du domaine ou de la fort.
Si, toutefois, vous choisissez l'authentification slective, tous les utilisateurs du
domaine approuv sont des identits approuves. Ils ne sont cependant autoriss
s'authentifier que pour les services des ordinateurs que vous avez dsigns.
Imaginons, par exemple, que vous ayez tabli une approbation externe avec le
domaine d'une entreprise partenaire. Vous voulez vous assurer que seuls les
utilisateurs du groupe marketing de cette entreprise puissent accder aux dossiers
partags stocks dans un seul de vos nombreux serveurs de fichiers. Vous pouvez
configurer une authentification slective pour la relation d'approbation, puis
accorder aux utilisateurs approuvs le droit de s'authentifier uniquement sur ce
seul serveur de fichiers.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour configurer le mode d'authentification d'une nouvelle approbation sortante,
servez-vous de la page Niveau d'authentification d'approbations sortantes de
l'Assistant Nouvelle approbation. Configurez le niveau d'authentification d'une
approbation existante, ouvrez les proprits du domaine autoris approuver dans
le composant logiciel enfichable Domaines et approbations Active Directory,
slectionnez la relation d'approbation, cliquez sur Proprits, puis ouvrez l'onglet
Authentification prsent dans l'illustration.

Une fois l'option Authentification slective slectionne pour l'approbation, aucun
utilisateur approuv ne peut accder aux ressources du domaine autoris
approuver, mme si des autorisations leur ont t accordes.
Ces utilisateurs doivent galement bnficier de l'autorisation Autorisation
d'authentifier sur l'objet ordinateur du domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Pour accorder cette autorisation :
1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory et vrifiez que l'option Fonctionnalits avances est active dans le
menu Affichage.
2. Ouvrez les proprits de l'ordinateur sur lequel les utilisateurs approuvs
doivent tre autoriss s'authentifier, c'est--dire l'ordinateur sur lequel les
utilisateurs approuvs ouvriront une session ou contenant les ressources pour
lesquelles des autorisations leur ont t accordes.
3. Dans l'onglet Scurit, ajoutez les utilisateurs approuvs ou un groupe auquel
ils appartiennent, puis cochez la case Autoriser de l'autorisation Autorisation
d'authentifier, comme illustr dans la figure suivante.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Administration d'une
relation d'approbation

Scnario
La socit Contoso tablit actuellement un partenariat avec la socit Tailspin
Toys. Une quipe de dveloppeurs de produits de Tailspin Toys doit pouvoir
accder un dossier partag du domaine Contoso. Vous devez donc configurer
votre domaine pour rpondre cette exigence professionnelle. De plus,
l'administrateur de domaine de Tailspin Toys, qui n'a pas beaucoup d'exprience,
aura besoin de votre aide pour configurer le ct rciproque de la relation
d'approbation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration du service DNS
Avant de crer des relations d'approbation, vous devez tre certain du bon
fonctionnement du service DNS. Chaque domaine doit pouvoir rsoudre les noms de
l'autre domaine. Au cours du Module 10, vous avez appris configurer la rsolution
des noms. Plusieurs mthodes permettent de prendre en charge la rsolution des
noms entre deux forts. Dans cet exercice, vous allez crer une zone de stub dans le
domaine contoso.com pour le domaine tailspintoys.com et un redirecteur
conditionnel dans le domaine tailspintoys.com pour rsoudre contoso.com.
2. Configurer le service DNS dans le domaine contoso.com.
3. Configurer le service DNS dans le domaine tailspintoys.com.

1. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur
2. Dmarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur
Sara.Davis et le mot de passe Pa$$w0rd.

Tche 2 : Configuration du service DNS dans le domaine contoso.com
1. Dans HQDC01, excutez l'outil de gestion DNS en tant qu'administrateur,
2. Crez une zone de stub pour tailspintoys.com qui renvoie l'adresse IPv4
10.0.0.31 pour le serveur matre.

Tche 3 : Configuration du service DNS dans le domaine tailspintoys.com
1. Dans TSTDC01, excutez l'outil Gestion du service DNS en tant
qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe
Pa$$w0rd.
2. Pour le domaine contoso.com, crez un redirecteur conditionnel qui renvoie
l'adresse IPv4 10.0.0.11.

Rsultats : la fin de cet exercice, vous aurez configur la rsolution des noms DNS
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration d'une relation d'approbation
Dans cet exercice, vous allez crer une relation d'approbation pour que les
utilisateurs de la socit Tailspin Toys puissent s'authentifier dans le domaine
Contoso.
1. Identifier les domaines approuv et autoris approuver.
2. Initier l'approbation dans le domaine approuv.
3. Terminer l'approbation dans le domaine autoris approuver.

Tche 1 : Identification des domaines approuv et autoris
approuver
Les utilisateurs du domaine tailspintoys.com doivent pouvoir accder un
dossier partag du domaine contoso.com. Rpondez aux questions suivantes :
Quel est le domaine autoris approuver et quel est le domaine
approuv ?
Quel domaine dispose d'une approbation sortante et quel domaine
dispose d'une approbation entrante ?

Tche 2 : Initiation de l'approbation dans le domaine approuv
1. Dans HQDC01, excutez Domaines et approbations Active Directory en tant
passe Pa$$w0rd.
2. Crez une relation d'approbation externe, unidirectionnelle et sortante avec
tailspintoys.com. Configurez cette approbation pour qu'elle utilise
l'authentification l'chelle du domaine et dfinissez son mot de passe initial
sur Pa$$w0rd.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Fin de l'approbation dans le domaine autoris approuver
de passe Pa$$w0rd.
2. Crez une relation d'approbation externe, unidirectionnelle et entrante avec
contoso.com. Configurez cette approbation pour qu'elle utilise
l'authentification l'chelle du domaine et dfinissez son mot de passe initial
sur Pa$$w0rd.

Rsultats : Au terme de cet exercice, vous aurez tabli une relation d'approbation
entre les domaines contoso.com et tailspintoys.com, contoso.com tant le domaine
approuv.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Validation d'une relation d'approbation
L'exercice prcdent vous a donn la possibilit de confirmer la relation
d'approbation. Vous pouvez galement confirmer ou valider une relation
d'approbation existante. Dans cet exercice, vous allez valider l'approbation tablie
Valider une relation d'approbation.

Tche 1 : Validation d'une relation d'approbation
Dans HQDC01, utilisez Domaines et approbations Active Directory pour
valider l'approbation tablie entre les domaines contoso.com et
tailspintoys.com.

Rsultats : Au terme de cet exercice, vous aurez valid l'approbation tablie entre les
domaines contoso.com et tailspintoys.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Octroi d'autorisations aux identits approuves
Dans cet exercice, vous allez autoriser l'quipe des produits de la socit Tailspin
Toys accder un dossier partag du domaine Contoso.
Octroyer des autorisations aux groupes approuvs.

Tche 1 : Octroi d'autorisations aux groupes approuvs
1. Dans TSTDC01, excutez Utilisateurs et ordinateurs Active Directory en
de passe Pa$$w0rd.
2. Dans l'unit d'organisation User Accounts, crez un compte d'utilisateur Pat
Coleman avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.
Configurez le mot de passe de sorte qu'il n'ait pas besoin d'tre modifi la
premire ouverture de session.
3. Dans le domaine tailspintoys.com, crez une unit d'organisation nomme
Groups.
4. Dans l'unit d'organisation Groups, crez un groupe de scurit global nomm
Product Team.
5. Dans HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant
passe Pa$$w0rd.
6. Dans l'unit d'organisation Groups\Role, crez un groupe de scurit global
nomm Product Developers.
7. Dans l'unit d'organisation Groups\Access, crez un groupe local de domaine
nomm ACL_Product Information_Modify.
8. Crez un dossier nomm Product Information dans le lecteur C de
l'ordinateur HQDC01.
9. Attribuez au groupe ACL_Product Information_Modify l'autorisation
Modifier pour le dossier Product Information.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10. Ouvrez les proprits du groupe ACL_ Product Information _Modify. Ajoutez
les membres Contoso Product Developers et Tailspin Toys Product Team.
Lorsque vous effectuez cette opration, une bote de dialogue Scurit de
Windows s'affiche. L'approbation tant unidirectionnelle, votre compte
d'utilisateur en tant qu'administrateur du domaine contoso.com
(Pat.Coleman_Admin) n'est pas autoris lire l'annuaire du domaine
tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un
compte dans le domaine tailspintoys.com. Si l'approbation tait
bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur
standard dans le domaine tailspintoys.com sera utilis pour vous fournir un
Accs en lecture dans le service d'annuaire.
Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans
le champ Mot de passe, tapez Pa$$w0rd.
11. Notez que les deux groupes globaux des deux domaines sont prsent
membres du groupe local du domaine contoso.com, autoris accder au
dossier Product Information.

Rsultats : Au terme de cet exercice, vous aurez accord des autorisations d'accs aux
ressources du dossier Product Information du domaine Contoso aux groupes des
domaines Contoso et Tailspin Toys.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 5 : Implmentation d'une authentification slective
Dans cet exercice, vous allez limiter la possibilit des utilisateurs du domaine
tailspintoys.com s'authentifier auprs des ordinateurs du domaine contoso.com.
Implmenter une authentification slective.

Tche 1 : Implmentation d'une authentification slective
Dans HQDC01, utilisez Domaines et approbations Active Directory pour
activer l'authentification slective de l'approbation tablie entre les domaines
contoso.com et tailspintoys.com.
Lorsque l'authentification slective est active, les utilisateurs d'un domaine
approuv ne peuvent pas s'authentifier auprs des ordinateurs du domaine
autoris approuver, mme s'ils disposent d'autorisations pour un dossier. Les
utilisateurs approuvs doivent galement bnficier de l'autorisation
Autorisation d'authentifier sur l'ordinateur lui-mme.
Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les
Fonctionnalits avances sont actives. Ouvrez ensuite les proprits de
l'ordinateur HQDC01 et attribuez l'Autorisation d'authentifier au groupe
TAILSPINTOYS\Product Team.
Lorsque vous effectuez cette opration, une bote de dialogue Scurit de
Windows s'affiche. L'approbation tant unidirectionnelle, votre compte
d'utilisateur en tant qu'administrateur du domaine contoso.com
(Pat.Coleman_Admin) n'est pas autoris lire l'annuaire du domaine
tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un
compte dans le domaine tailspintoys.com. Si l'approbation tait
bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur
standard dans le domaine tailspintoys.com sera utilis pour vous fournir un
Accs en lecture dans le service d'annuaire.
Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans
le champ Mot de passe, tapez Pa$$w0rd.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Vous avez accord au groupe Research and Development de la socit
Tailspin Toys, l'autorisation de Modifier le dossier Product Information de
l'ordinateur HQDC01. Toutefois, sur les dix utilisateurs du groupe, un seul
(galement membre du groupe Product Team) peut y accder. Les autres ne
peuvent pas accder au dossier. Que devez-vous faire ?
Question : Un utilisateur de Contoso tente d'accder un dossier partag du
domaine Tailspin Toys et reoit une erreur Accs refus. Que devez-vous faire pour
que cet utilisateur puisse accder ce dossier ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique : Installer un contrleur de domaine de services de domaine Active Directory pour crer une fort de domaine unique L1-1
Module 1 : Prsentation des services de
domaine Active Directory (AD DS)
Atelier pratique : Installer un
contrleur de domaine de services
de domaine Active Directory pour
crer une fort de domaine unique
Exercice 1 : Excution des tches de configuration aprs
l'installation
1. Dmarrez 6238B-HQDC01-D.
2. Appuyez sur Alt+Suppr. Cette opration envoie la squence de touches
scurise (Ctrl+Alt+Suppr) l'ordinateur virtuel invit.
3. Le nom d'utilisateur Administrateur tant affich, entrez Pa$$w0rd, dans Mot
de passe, puis appuyez sur Entre ou cliquez sur la flche de connexion.
Le Bureau Windows apparat et, aprs quelques instants, la fentre Tches de
configuration initiales s'ouvre.

Tche 2 : Configuration de la rsolution d'affichage
1. Rduisez (sans la fermer) la fentre Tches de configuration initiales.
2. Cliquez avec le bouton droit sur le bureau et slectionnez Personnaliser.
3. Cliquez sur Paramtres daffichage.
4. Faites glisser le curseur Rsolution pour le positionner sur la valeur 1024 par
768.
5. Cliquez sur OK.
Le message suivant s'affiche : Voulez-vous conserver ces paramtres d'affichage ?.
6. Cliquez sur Oui.
7. Fermez la fentre Personnalisation.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L1-2 Module 1 : Prsentation des services de domaine Active Directory (AD DS)
Tche 3 : Configuration du fuseau horaire
1. Agrandissez la fentre Tches de configuration initiales.
2. Sur la page Tches de configuration initiales, cliquez sur Dfinir le fuseau
horaire.
3. Cliquez sur Changer de fuseau horaire.
4. Dans la liste droulante Fuseau horaire, slectionnez le fuseau horaire
correspondant votre rgion, puis cliquez sur OK.
5. Cliquez nouveau sur OK.

Tche 4 : Modification de la configuration IP
1. Sur la page Tches de configuration initiales, cliquez sur Configurer le
rseau.
La fentre Connexions rseau s'affiche.
2. Cliquez avec le bouton droit sur Connexion au rseau local et slectionnez
Proprits.
La bote de dialogue Proprits de la connexion au rseau local apparat.
3. Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis cliquez sur
Proprits.
Notez que Windows Server 2008 assure galement le support natif du
protocole Internet Version 6 (TCP/IPv6).
4. Cliquez sur Utiliser l'adresse IP suivante. Entrez la configuration suivante :
Adresse IP : 10.0.0.11
Masque de sous-rseau : 255.255.255.0
Passerelle par dfaut : 10.0.0.1
Serveur DNS prfr : 10.0.0.11
5. Cliquez sur OK, puis sur Fermer.
6. Fermez la fentre Connexions rseau.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 5 : Changement du nom du serveur HQDC01
1. Sur la page Tches de configuration initiales, cliquez sur Indiquer un nom
d'ordinateur et un domaine.
La bote de dialogue Proprits systme s'affiche.
2. Cliquez sur Modifier...
3. Dans la zone Nom de l'ordinateur, entrez HQDC01. Cliquez sur OK.
Le message suivant s'affiche : Vous devez redmarrer l'ordinateur pour appliquer
ces modifications.
4. Cliquez sur OK.
5. Cliquez sur Fermer.
Le message suivant s'affiche : Vous devez redmarrer l'ordinateur pour appliquer
ces modifications.
6. Cliquez sur Redmarrer ultrieurement. Si par inadvertance vous cliquez sur
Redmarrer maintenant, attendez le redmarrage du serveur, puis ouvrez une
session Administrateur avec le mot de passe Pa$$w0rd.

Tche 6 : Redmarrage du serveur
1. Dans la fentre des tches de configuration initiales, notez la prsence des
liens Ajouter des rles et Ajouter des fonctionnalits.
Dans l'exercice suivant, vous utiliserez le Gestionnaire de serveur pour ajouter
des rles et des fonctionnalits HQDC01. Ces liens sont un autre moyen
d'effectuer les mmes tches.
Par dfaut, la fentre des tches de configuration initiales apparat chaque fois
que vous ouvrez une session le serveur.
2. Activez la case cocher Ne pas afficher cette fentre l'ouverture de session
pour empcher l'affichage de la fentre.
Si par la suite vous souhaitez ouvrir la fentre Tches de configuration
initiales, il suffit d'excuter la commande Oobe.exe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez sur le bouton Fermer dans la partie infrieure de la fentre.
Le Gestionnaire de serveur s'affiche.
Celui-ci permet de configurer et d'administrer les rles et les fonctionnalits
d'un serveur excutant Windows Server 2008. Vous l'utiliserez dans l'exercice
suivant.
Au bas de la fentre du Gestionnaire de serveur, un message d'tat indique
Impossible d'actualiser la console tant que l'ordinateur n'a pas redmarr.
4. Cliquez sur le lien Redmarrer en regard du message d'tat.
Le message suivant s'affiche : Voulez-vous redmarrer maintenant ?.
5. Cliquez sur Oui.
L'ordinateur redmarre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Installation d'une nouvelle fort Windows
Server 2008 l'aide de l'interface Windows
Tche 1 : Ajout du rle Services de domaine Active Directory
HQDC01
1. Ouvrez une session sur HQDC01 en tant qu'Administrateur, avec le mot de
passe Pa$$w0rd.
Le Bureau Windows apparat et, aprs quelques instants, le Gestionnaire de
serveur s'ouvre.
Si le Gestionnaire de serveur ne s'ouvre pas, cliquez sur le lien Gestionnaire de
serveur dans la zone de Lancement rapide situe ct du bouton Dmarrer.
2. Dans la section Rsum des rles de la page d'accueil du Gestionnaire de
serveur, cliquez sur Ajouter des rles.
LAssistant Ajout de rles saffiche.
4. Sur la page Slectionnez des rles de serveurs, cochez la case en regard de
Services de domaine Active Directory. Cliquez sur Suivant.
5. Sur la page Services de domaine Active Directory, cliquez sur Suivant.
6. Sur la page Confirmer les slections pour l'installation, cliquez sur Installer.
La page Progression de l'installation indique l'avancement des tches
d'installation.
7. Sur la page Rsultats de l'installation, vrifiez que l'installation est russie et
cliquez sur Fermer.
Dans la section Rsum des rles de la page d'accueil Gestionnaire de serveur,
un message d'erreur est signal par un cercle rouge et une croix blanche. Un
autre message apparat dans la section Services de domaine Active Directory de
la page Rles. Ces deux liens permettent d'accder la page Services de
domaine Active Directory du Gestionnaire de serveur. Le message affich vous
rappelle qu'il faut excuter dcpromo.exe, ce que vous allez faire dans la tche
suivante.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Configuration d'une nouvelle fort Windows Server 2008
nomme contoso.com avec HQDC01 comme premier contrleur de
domaine.
1. Dans le Gestionnaire de serveur, dveloppez le nud Rles dans
l'arborescence, puis cliquez sur Services de domaine Active Directory.
2. Cliquez sur le lien Excutez l'Assistant Installation des services de domaine
Active Directory (dcpromo.exe).
L'Assistant Installation des services de domaine Active Directory s'affiche.
4. Dans la page Compatibilit du systme d'exploitation, lisez l'avertissement
sur les paramtres de scurit par dfaut pour les contrleurs de domaine
Windows Server 2008, puis cliquez sur Suivant.
5. Sur la page Choisissez une configuration de dploiement, cliquez sur Crer
un domaine dans une nouvelle fort, puis sur Suivant.
6. Dans la page Nommez le domaine racine de la fort, tapez contoso.com,
Le systme effectue une vrification pour s'assurer que les noms DNS et
NetBIOS ne sont pas dj utiliss sur le rseau.
7. Dans la page Dfinir le niveau fonctionnel de la fort, slectionnez Windows
Server 2008, puis cliquez sur Suivant.
La page Options supplmentaires pour le contrleur de domaine s'affiche.
Chacun des niveaux fonctionnels est dcrit dans la zone Dtails de la page. Le
choix du niveau fonctionnel de la fort Windows Server 2008 garantit que
tous les domaines de la fort fonctionnent au niveau fonctionnel du domaine
Windows Server 2008, ce qui permet d'activer plusieurs nouvelles
fonctionnalits offertes par Windows Server 2008.
Dans un environnement de production, il faudrait choisir le niveau fonctionnel
de la fort Windows Server 2008 lors de la cration d'une nouvelle fort dans
le cas o les fonctionnalits offertes par le niveau fonctionnel du domaine de
Windows Server 2008 seraient ncessaires, et si aucun contrleur de domaine
excutant un systme d'exploitation antrieur Windows Server 2008 ne sera
ajout.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Serveur DNS est slectionn par dfaut. L'Assistant Installation des services de
domaine Active Directory cre une infrastructure DNS au cours de l'installation
des AD DS.
Le premier contrleur de domaine dans une fort doit tre un serveur de
catalogue global et ne peut pas tre un contrleur de domaine en lecture seule.
L'avertissement Attribution IP statique s'affiche.
tant donn que le sujet d'IPv6 dpasse le cadre de ce kit de formation, vous
n'avez pas affect une adresse IPv6 statique au serveur au cours de l'exercice 2.
Vous avez affect une adresse IPv4 statique dans l'exercice 1 et les autres
ateliers pratiques de ce cours utiliseront IPv4. Vous pouvez donc ignorer cette
erreur dans le cadre de l'exercice.
9. Cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue
dynamiquement (non recommand).
Un avertissement s'affiche pour vous informer qu'il n'est pas possible de crer
une dlgation pour le serveur DNS.
Vous pouvez ignorer cette erreur dans le cadre de cet exercice. Les dlgations
de domaines DNS seront abordes ultrieurement dans ce cours.
10. Cliquez sur Oui pour fermer le message d'avertissement de l'Assistant
Installation de services de domaine Active Directory.
11. Dans la page Emplacement de la base de donnes, des fichiers journaux et
de SYSVOL, acceptez les emplacements par dfaut pour le fichier de base de
donnes, les fichiers journaux du service d'annuaire et les fichiers SYSVOL,
Dans un environnement de production, il est conseill de stocker ces fichiers
sur trois volumes distincts qui ne contiennent pas d'applications ni d'autres
fichiers non lis aux AD DS. Ceci amliore les performances et augmente
l'efficacit de la sauvegarde et de la restauration.
12. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, entrez Pa$$w0rd dans les zones Mot de passe et Confirmer le
mot de passe. Cliquez sur Suivant.
Dans un environnement de production, vous devrez utiliser un mot de passe
trs fort pour l'administrateur de restauration des services d'annuaire. Ne
perdez pas le mot de passe que vous affectez l'administrateur de restauration
des services d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Dans la page Rsum, vrifiez vos slections.
Si l'un des paramtres est incorrect, cliquez sur Prcdent pour le modifier.
La configuration des AD DS commence. Aprs quelques minutes de
configuration, la page Fin de l'Assistant Installation des services de domaine de
Active Directory s'affiche.
15. Cliquez sur Terminer.
16. Cliquez sur Redmarrer maintenant.
L'ordinateur redmarre.
17. Poursuivez avec la tche 3 (facultative) ou passez la tche 4.

Tche 3 : Analyse de la configuration par dfaut du domaine et de la
fort contoso.com (FACULTATIF)
1. Ouvrez une session sur HQDC01 en tant qu'Administrateur, avec le mot de
passe Pa$$w0rd.
serveur s'ouvre.
2. Dans l'arborescence, dveloppez les nuds Rles et Services de domaine
Active Directory.
3. Dveloppez Utilisateurs et ordinateurs Active Directory et le nud du
domaine contoso.com.
4. Cliquez sur le conteneur Users (Utilisateurs) dans l'arborescence.
Les utilisateurs et les groupes que vous voyez sont la disposition de tous les
ordinateurs du domaine. Par exemple, le compte Administrateur du domaine
peut par dfaut tre utilis pour ouvrir une session sur tout ordinateur du
domaine et le groupe Utilisateurs du domaine est un membre du groupe local
Utilisateurs sur chaque ordinateur du domaine.
5. Cliquez sur le conteneur Builtin dans l'arborescence.
Les groupes que vous voyez sont partags par les contrleurs de domaine et
leur disposition, mais pas celle des serveurs membres ou des postes de travail.
Par exemple, les membres du groupe Oprateurs de sauvegarde peuvent
effectuer des tches de sauvegarde et de restauration sur les contrleurs de
domaine uniquement, et le groupe Administrateurs dans le conteneur Builtin
reprsente les administrateurs de tous les contrleurs de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Slectionnez le conteneur Computers (Ordinateurs) dans l'arborescence.
Il est vide. Il s'agit du conteneur par dfaut pour les postes de travail et les
serveurs membres.
7. Slectionnez l'unit d'organisation Domain Controllers (Contrleurs de
domaine) dans l'arborescence.
Il s'agit de l'unit d'organisation dans laquelle les contrleurs de domaine sont
placs. L'objet ordinateur pour HQDC01 apparat dans cette unit
d'organisation.

Tche 4 : Arrt de l'ordinateur virtuel
1. Si vous n'tes pas dj connect HQDC01, ouvrez une session sur HQDC01
en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
2. Si vous n'tes pas dj connect HQDC01, ouvrez une session sur HQDC01
en tant qu'Administrateur avec le mot de passe Pa$$w0rd.
serveur s'ouvre.
3. Arrtez HQDC01 et ignorez les modifications que vous avez effectues durant
cet exercice.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Cration et excution d'une console d'administration personnalise L2-11
Module 2 : Administration scurise et efficace
d'Active Directory
Atelier pratique A : Cration et
excution d'une console
d'administration personnalise
Ouvrir une session sur un ordinateur virtuel
Sauf instructions contraires, utilisez la procdure suivante pour ouvrir une session
sur un ordinateur virtuel.
1. Appuyez sur les touches ALT+Suppr.
Cette opration envoie la squence de touches scurise (Ctrl+Alt+Suppr)
l'ordinateur virtuel. Si vous appuyez sur Ctrl+Alt+Suppr, vous envoyez la
squence de touches scurise au systme d'exploitation hte.
2. Cliquez sur Changer dutilisateur.
3. Cliquez sur Autre utilisateur.
4. Dans la zone Nom d'utilisateur, tapez le nom d'utilisateur.
5. Dans la zone Mot de passe, tapez le mot de passe.
6. Appuyez sur ENTRE ou cliquez sur la flche d'ouverture de session.
Le bureau Windows apparat.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L2-12 Module 2 : Administration scurise et efficace d'Active Directory
Exercice 1 : Excuter des tches d'administration de base en
utilisant le composant logiciel enfichable Utilisateurs et
ordinateurs Active Directory.
1. Dmarrez 6238B-HQDC01-A.
2. Ouvrez une session sur HQDC01 avec le nom d'utilisateur
Pat.Coleman_Admin est membre des administrateurs de domaine.
Le Gestionnaire de serveur s'ouvre automatiquement.
4. Ouvrez D:\Labfiles\Lab02a.
5. Cliquez avec le bouton droit de la souris sur Lab02a_Setup.bat et slectionnez
Excuter en tant qu'administrateur.
La bote de dialogue Contrle de compte dutilisateur saffiche.
6. Cliquez sur Continuer.
8. Fermez la fentre de l'Explorateur Windows, Lab02a.

Tche 2 : Afficher des objets
1. Cliquez sur Dmarrer, puis sur Panneau de configuration.
2. Si le Panneau de configuration est affich en mode Classique, double-cliquez
sur Outils d'administration.
Si le Panneau de configuration est affich en mode Catgories, cliquez sur
Systme et maintenance puis cliquez sur Outils d'administration.
3. Double-cliquez sur Utilisateurs et ordinateurs Active Directory.
5. Dans l'arborescence de la console, dveloppez le domaine contoso.com et
l'unit d'organisation User Accounts (Comptes d'utilisateurs) et cliquez sur
l'unit d'organisation (Employees) (Employs).

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Actualiser la vue
1. Dans l'arborescence de la console, cliquez sur l'UO Employees.
2. Cliquez sur le bouton Actualiser dans la barre d'outils du composant logiciel
enfichable ou appuyez sur F5.

Tche 4 : Crer des objets
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur
contoso.com, pointez sur Nouveau et cliquez sur Unit d'organisation..
2. Dans la zone Nom, entrez 6238B, et cliquez sur OK.

Tche 5 : Dfinir les attributs des objets
2. Dans le volet d'informations, cliquez avec le bouton droit sur Pat Coleman et
cliquez sur Proprits.
3. Cliquez sur l'onglet Gnral.
4. Dans Bureau, remplacez la valeur par Redmond.
5. Cliquez sur OK.

Tche 6 : Afficher tous les attributs des objets.
3. Vrifiez que l'onglet diteur d'attribut n'est pas visible et qu'il n'y a aucun
contrle d'entre pour la proprit division dans aucun onglet.
4. Fermez la bote de dialogue Proprits.
5. Cliquez sur le menu Affichage, puis slectionnez l'option Fonctionnalits
avances.
6. Dans l'arborescence de la console, dveloppez l'unit d'organisation User
Accounts, puis cliquez sur l'unit d'organisation Employees.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur longlet diteur dattributs.
9. Double-cliquez sur l'attribut division.
10. Entrez 6238B et cliquez sur OK.
11. Cliquez sur OK pour fermer la bote de dialogue Proprits de Pat Coleman.
12. Fermez Utilisateurs et ordinateurs Active Directory.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Crer une console d'administration Active
Directory personnalise
Tche 1 : Crer une console personnalise MMC avec le composant
enfichable Utilisateurs et ordinateurs Active Directory.
1. Cliquez sur Dmarrer, entrez mmc.exe dans la zone de texte Rechercher,
Une console MMC vide s'affiche. Par dfaut, la fentre de la nouvelle console
n'est pas agrandie.
3. Agrandissez la console MMC.
4. Cliquez sur le menu Fichier, puis cliquez sur Ajouter/Supprimer un
composant logiciel enfichable.
La bote de dialogue Ajouter ou supprimer des composants logiciels
enfichables s'affiche.
5. Dans la liste Composants logiciels enfichables disponibles, cliquez sur
Utilisateurs et ordinateurs Active Directory, puis cliquez sur Ajouter.
6. Cliquez sur OK pour fermer la bote de dialogue Ajouter ou supprimer des
composants logiciels enfichables.
7. Dans le menu Fichier, cliquez sur Enregistrer.
8. Dans la bote de dialogue Enregistrer sous, recherchez le C.
9. Cliquez sur le bouton Crer un nouveau dossier dans la barre d'outils et
nommez le nouveau dossier AdminTools.
10. Ouvrez le dossier AdminTools.
11. Dans la zone Nom du fichier, entrez MyConsole.
12. Cliquez sur Enregistrer.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Ajouter d'autres composants logiciels enfichables Active
Directory la console.
2. Dans la liste Composants logiciels enfichables disponibles, cliquez sur Sites
et services Active Directory, puis cliquez sur Ajouter.
Domaines et approbations Active Directory, puis cliquez sur Ajouter.
5. Dans l'arborescence de la console, cliquez avec le bouton droit sur Racine de
la console, puis cliquez sur Renommer.
6. Entrez Active Directory Administrative Tools et appuyez sur Entre.

Tche 3 : Ajouter le composant logiciel enfichable Schma Active
Directory une console MMC personnalise.
2. Dans la bote de dialogue Ajouter ou supprimer des composants logiciels
enfichables, examinez la liste Composants logiciels enfichables disponibles.
Notez que Schma Active Directory n'est pas disponible.
Le composant logiciel enfichable Schma Active Directory est install avec le
rle Services de domaine Active Directory et les outils d'administration de
serveur distant (RSAT), mais il n'apparat pas, car il n'est pas enregistr.
4. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes,
puis cliquez sur Excuter en tant qu'administrateur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La fentre Administrateur : invite de commandes s'affiche.
6. Dans l'invite de commandes, tapez regsvr32.exe schmmgmt.dll.
Cette commande enregistre la bibliothque de liens dynamiques (DLL) du
composant logiciel enfichable Schma Active Directory. Cette opration doit
tre excute une fois sur un systme pour que vous puissiez ajouter le
composant logiciel enfichable une console.
Un message indique que l'enregistrement a t correctement effectu.
7. Cliquez sur OK.
8. Fermez la fentre d'invite de commandes.
9. Retournez sur la console MMC personnalise. Cliquez sur le menu Fichier,
puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
Schma Active Directory, puis cliquez sur Ajouter.

Tche 4 : Grer des composants logiciels enfichables sur une console
MMC personnalises (facultatif)
Ouvrez la bote de dialogue Ajouter ou supprimer des composants logiciels
enfichables et utilisez les boutons Monter, Descendre, et Supprimer pour
rorganiser la console. Pour les ateliers suivants, vous aurez besoin de la
console dans l'tat o elle se trouvait la fin de la tche 3. Par consquent
n'enregistrez pas la console modifie. fermez-la sans enregistrer es
modifications.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Excuter des tches d'administration avec des
privilges minimum et utiliser Excuter en tant
qu'administrateur et Contrle de compte d'utilisateur
Tche 1 : Ouvrir une session en utilisant des informations
d'identification n'ayant pas de privilges d'administration.
1. Fermez la session sur HQDC01.
Pat.Coleman est membre de Utilisateurs du domaine et n'a aucun privilge
d'administration.

Tche 2 : Excuter le Gestionnaire de serveur en tant
quadministrateur.
1. Cliquez sur l'icne Gestionnaire de serveur dans Lancement rapide, ct
du bouton Dmarrer.
tant donn que votre compte d'utilisateur n'est pas membre du groupe
Administrateurs, la bote de dialogue vous demande d'entrer des informations
d'identification d'administrateur : entrez un nom d'utilisateur et un mot de
passe.
Si les zones de texte Nom d'utilisateur et Mot de passe ne sont pas affiches,
vrifiez que vous avez ouvert une session sous Pat.Coleman et non pas
Pat.Coleman_Admin.
2. Dans la zone Nom dutilisateur, tapez Pat.Coleman_Admin.
3. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur ENTRE.
Le Gestionnaire de serveur souvre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Examiner les informations d'identification utilises par les
processus actifs.
1. Cliquez avec le bouton droit de la souris sur la barre des tches, puis cliquez
sur Gestionnaire des tches.
Le Gestionnaire des tches s'ouvre.
2. Cliquez sur l'onglet Processus.
3. Cliquez sur Afficher les processus de tous les utilisateurs.
Le Gestionnaire des tches peut s'excuter sans informations d'identification
d'administrateur, mais il affiche uniquement les processus actifs sous le compte
d'utilisateur actuel. Par consquent, la bote de dialogue Contrle de compte
d'utilisateur contient une option pour vous authentifier avec les informations
d'identification que vous avez utilises pour ouvrir une session : Pat.Coleman.
Le Gestionnaire des tches se ferme, puis s'ouvre nouveau avec les nouvelles
informations d'identification.
7. Si le Gestionnaire des tches s'ouvre dans une fentre rduite, cliquez sur
Gestionnaire des tches dans la barre des tches pour agrandir la fentre.
9. Cliquez sur l'en-tte de la colonne Nom d'utilisateur pour trier la liste en
fonction du nom d'utilisateur.
10. Pour afficher les noms d'utilisateur complets, largissez la colonne Nom
d'utilisateur.
11. Faites dfiler la liste pour voir les processus excuts par Pat.Coleman et
Pat.Coleman_Admin.

Question : Quels sont les processus excuts par Pat.Coleman_Admin ? Quelles
applications les processus reprsentent-ils ?
Rponse : Le Gestionnaire des tches (taskmgr.exe) et le Gestionnaire de serveur
(mmc.exe dans la liste des processus) sont excuts par Pat.Coleman_Admin.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Excuter l'invite de commandes en tant qu'administrateur.
1. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de commandes,
5. Fermez la fentre Invite de commandes.
6. Cliquez sur Dmarrer, puis dans la zone Rechercher, entrez cmd.exe et
appuyez sur CTRL+MAJ+Entre.
Dans la zone Rechercher, le raccourci clavier CTRL+MAJ+ENTRE excute la
commande dfinie comme administrateur.

Tche 5 : Excuter Outils administratifs en tant qu'administrateur.
1. Cliquez sur l'icne Afficher le Bureau dans Lancement rapide, ct du
bouton Dmarrer.
2. Cliquez sur Dmarrer, pointez sur Outils dadministration, cliquez avec le
bouton droit de la souris sur Utilisateurs et ordinateurs Active Directory,

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 6 : Excuter une console d'administration personnalise en tant
qu'administrateur.
1. Fermez toutes les fentres ouvertes sur le Bureau.
2. Ouvrez le dossier C:\AdminTools.
3. Cliquez avec le bouton droit sur MyConsole et cliquez sur Excuter en tant
qu'administrateur.
7. Fermez la session sur HQDC01. N'arrtez pas ou ne rinitialisez pas
l'ordinateur virtuel.

Remarque : N'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier
pratique. Les paramtres que vous y avez configurs seront rutiliss dans l'atelier
pratique B.
Question :Quel composant logiciel enfichable tes-vous le plus susceptible d'utiliser
tous les jours pour administrer Active Directory ?
Rponse : La rponse correcte dpendra de votre propre exprience et de votre cas.
Question :Lorsque vous crez une console MMC personnalise d'administration
dans votre entreprise, quels composants logiciels enfichables ajoutez-vous ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Recherche
d'objets dans Active Directory

Excution d'une application avec des informations d'identification
d'administration
1. Cliquez avec le bouton droit sur l'application, puis cliquez sur Excuter en
tant qu'administrateur.
2. Cette bote de dialogue affiche l'une des trois options. Procdez selon l'option
propose :
Si la bote de dialogue vous invite continuer ou annuler :
Cliquez sur Continuer.
Si la bote de dialogue vous propose d'Utiliser un autre compte :
4. Appuyez sur Entre ou cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Recherche d'objets dans Active Directory L2-23
Si elle ne vous donne pas la possibilit d'utiliser un autre compte, et qu'elle
vous demande de fournir un nom d'utilisateur et un mot de passe :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Recherche d'objets dans Active Directory
Tche 1 : Explorer le comportement de la bote de dialogue
Slectionner.

Remarque importante : Les tapes de cette tche expliquent en dtail comment utiliser
diverses interfaces importantes telles que Utilisateurs et ordinateurs Active Directory.
Cette tche vous permet, en quelque sorte, de "visiter" les interfaces et leurs fonctions.
Les modifications que vous effectuez sont moins importantes que l'exprience que vous
acqurez avec les nuances de ces interfaces. Suivez exactement les tapes
rpertories et ne vous proccupez pas de ce que vous faites ; concentrez-vous sur la
manire dont vous le faites et sur le comportement des interfaces.
L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin
l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de
l'atelier A avant de continuer.
2. Excutez la console personnalise, C:\AdminTools\MyConsole.msc avec des
informations d'identification d'administrateur. Utilisez le compte
Vous pouvez galement excuter la console prcre
D:\AdminTools\ADConsole.msc avec des informations d'identification
d'administrateur.
3. Dans l'arborescence de la console, dveloppez le composant enfichable
Utilisateurs et ordinateurs Active Directory, le domaine contoso.com et
l'unit d'organisation User Accounts (Comptes d'utilisateur), puis cliquez sur
l'unit d'organisation Employees (Employs).
4. Cliquez avec le bouton droit de la souris sur Pat Coleman, puis cliquez sur
Proprits.
5. Cliquez sur l'onglet Membre de.
6. Cliquez sur Ajouter.
7. Dans la bote de dialogue Slectionnez Groupes, tapez le nom Special.
8. Cliquez sur OK.
Le nom est converti en Special Project.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
9. Cliquez nouveau sur OK pour fermer la bote de dialogue Proprits.
10. Dans l'arborescence de la console, dveloppez l'unit d'organisation Groups
(Groupes), puis cliquez sur l'unit d'organisation Role (Role).
11. Dans le volet dinformations, cliquez avec le bouton droit de la souris sur le
groupe Special Project et cliquez sur Proprits
12. Cliquez sur longlet Membres.
La bote de dialogue Slectionnez des Utilisateurs, des Contacts, Ordinateurs
ou Groupes saffiche.
14. Tapez linda;joan et cliquez sur le bouton Vrifier les noms.
La bote de dialogue Slectionnez convertit les noms en Linda Mitchell et
Joanna Rybka et les noms sont souligns pour indiquer qu'ils ont t convertis.
15. Cliquez sur OK.
17. Tapez carole et cliquez sur OK.
La bote de dialogue Slectionner convertit le nom en Carole Poland, puis elle
se ferme. Carole Poland apparat dans la liste Membres.
Lorsque vous cliquez sur le bouton OK, les noms sont vrifis avant la
fermeture de la bote de dialogue. Il est inutile de cliquer sur le bouton Vrifier
les noms si vous ne voulez pas vrifier les noms et rester dans la bote de
dialogue Slectionnez.
19. Tapez tony;jeff et cliquez sur OK.
Comme plusieurs utilisateurs correspondent "tony", la bote Noms multiples
trouvs s'affiche.
20. Cliquez sur Tony Krijnen, puis sur OK.
Comme plusieurs utilisateurs correspondent "jeff", la bote Noms multiples
trouvs s'affiche.
21. Cliquez sur Jeff Ford, puis sur OK. Cliquez sur OK pour fermer la bote de
dialogue Proprits de Special Project
Lorsqu'il existe plusieurs objets correspondant aux informations que vous
entrez, la vrification des noms vous permet de choisir l'objet appropri.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
22. Dans l'arborescence de la console, cliquez sur l'unit d'organisation
Application sous l'unit d'organisation Groupes.
23. Dans le volet dinformations, cliquez avec le bouton droit de la souris sur
APP_Office, puis cliquez sur Proprits.
26. Dans la bote de dialogue Slectionnez, tapez DESKTOP101.
27. Cliquez sur Vrifier les noms.
La bote de dialogue Impossible de trouver le nom s'affiche pour indiquer que
l'objet que vous avez indiqu n'a pas pu tre converti.
28. Cliquez sur Annuler pour fermer la bote de dialogue Impossible de trouver
le nom.
29. Dans la bote de dialogue Slectionner, cliquez sur Types d'objets.
30. Cochez la case Ordinateurs et cliquez sur OK.
31. Cliquez sur Vrifier les noms.
Le nom va tre converti maintenant que la bote de dialogue Slectionner
contient les ordinateurs.
32. Cliquez sur OK.
33. Cliquez sur OK pour fermer la bote de dialogue Proprits APP_Office.

Tche 2 : Contrler la vue des objets dans le composant logiciel
enfichable Utilisateurs et ordinateurs Active Directory
l'unit d'organisation Employees (Employees).
2. Cliquez sur le menu Affichage et sur Ajouter/supprimer des colonnes.
3. Dans la liste Colonnes disponibles, cliquez sur Nom et sur Ajouter.
4. Dans la liste Colonnes affiches, cliquez sur Nom et sur Monter deux fois.
5. Dans la liste Colonnes affiches, cliquez sur Type et sur Supprimer.
6. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Dans le volet des informations, cliquez sur l'en-tte de colonne Nom pour trier
les noms par ordre alphabtique.
9. Cliquez sur le menu Affichage et sur Ajouter/supprimer des colonnes.
10. Dans la liste Colonnes disponibles, cliquez sur Nom d'ouverture de session
antrieur Windows 2000, puis sur Ajouter.
11. Dans la liste Colonnes affiches, cliquez sur Nom d'ouverture de session
antrieur Windows 2000, puis sur Monter.
12. Cliquez sur OK.

Tche 3 : Utiliser la commande Rechercher.
2. Cliquez sur le bouton Rechercher dans la barre d'outils du composant logiciel
enfichable.
3. Dans la zone Nom, entrez Dan et cliquez sur Rechercher.
Question : La recherche donne combien d'utilisateurs ?
Rponse : Il doit y avoir plusieurs utilisateurs appels Dan.
4. Fermez la bote de dialogue Rechercher Utilisateurs, contacts et groupes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Dterminer l'emplacement d'un objet.
1. Cliquez sur le menu Affichage, puis slectionnez l'option Fonctionnalits
avances.
2. Cliquez sur Rechercher.
3. Cliquez sur la liste droulante Dans et sur Tout l'annuaire.
4. Dans la zone Nom, entrez Pat.Coleman, puis cliquez sur Rechercher.
5. Cliquez avec le bouton droit sur Pat Coleman (Admin).

Question : O se trouve le compte administratif de Pat ?
Rponse : Dans l'UO Admin Identities, situe dans l'UO Admins.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Utiliser des requtes enregistres
Tche 1 : Crer une requte enregistre qui affiche tous les comptes
d'utilisateur du domaine
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur Requtes
sauvegardes, pointez sur Nouveau, puis cliquez sur Requte.
2. Dans la bote de dialogue Nouvelle requte, entrez All User Objects dans la
zone Nom.
3. Cliquez sur Dfinir la requte.
4. Dans la liste droulante Nom, slectionnez le cinquime lment de la liste
A une valeur. Cliquez sur OK deux fois.

Tche 2 : Crer une requte enregistre qui affiche tous les comptes
d'utilisateur avec des mots de passe qui n'expirent pas
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur Requtes
enregistres, pointez sur Nouveau, puis cliquez sur Requte.
2. Dans la bote de dialogue Nouvelle requte, entrez Non-Expiring Passwords
dans la zone Nom.
3. Cliquez sur Dfinir la requte.
4. Cochez l'option Mots de passe sans date d'expiration. Cliquez sur OK deux
fois.
Notez que pour utiliser un seul mot de passe simple pour tous les utilisateurs
dans ce cours, tous les comptes d'utilisateur sont configurs pour que les mots
de passe n'expirent pas. Dans un environnement de production, ne configurez
pas les comptes d'utilisateur avec des mots de passe qui n'expirent pas.

Tche 3 : Transfrer une requte vers un autre ordinateur
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur la requte
Non-Expiring Passwords et cliquez sur Exporter la dfinition de requte. La
bote de dialogue Enregistrer sous s'affiche.
2. Dans la zone Nom de fichier, entrez
C:\AdminTools\Query_NonExpPW.xml et cliquez sur Enregistrer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez avec le bouton droit sur la requte Non-Expiring Passwords, puis
cliquez sur Supprimer.
Un message de confirmation s'affiche.
4. Cliquez sur Oui pour confirmer la suppression de la requte.
5. Cliquez avec le bouton droit sur Requtes enregistres, puis cliquez sur
Importer la dfinition de requte.
6. Double-cliquez sur Query_NonExpPW.
La bote de dialogue Modifier la requte apparat.
7. Cliquez sur OK.

Remarque : N'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous
aller utiliser les paramtres que vous avez dfinis ici dans l'atelier C.
Question : Dans le cadre de votre travail, quand tes-vous amen effectuer des
recherches dans Active Directory ?
Question : Quels types de requtes enregistres pouvez-vous crer pour excuter les
tches d'administration plus efficacement ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Utilisation des commandes d'administration d'Active Directory L2-31
Atelier pratique C : Utilisation des
commandes d'administration
d'Active Directory

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Utilisation des commandes d'administration
d'Active Directory
L'ordinateur virtuel doit tre dj dmarr et disponible aprs avoir termin
l'atelier A. S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de
l'atelier A avant de continuer.
2. Ouvrez D:\Labfiles\Lab02ac.
3. Excutez Lab02c_Setup.bat avec des informations d'identification
d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.
5. Fermez la fentre de l'Explorateur Windows, Lab02c.

Tche 2 : Rechercher des objets avec DSQuery.
1. Ouvrez l'invite de commandes avec des informations d'identification
Pa$$w0rd.
2. Entrez dsquery user -name "*Mitchell" et appuyez sur Entre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Extraire les attributs des objets avec DSGet.
1. l'invite de commandes, rcuprez l'adresse de courrier lectronique de Tony
Krijnen.
dsget user "cn=Tony Krijnen,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -email
2. l'invite de commandes, affichez la liste des membres du groupe Finance
Managers.
Savez-vous quel attribut utiliser ? Entrez "dsget group /?".
dsget group "cn=Finance
Managers,ou=Role,ou=Groups,dc=contoso,dc=com" -members

Tche 4 : Envoyer les noms DN de la commande DSQuery d'autres
commandes DS.
Scott et Linda Mitchell rejoignent l'quipe Special Project. Ce sont les deux seuls
employs portant le nom Mitchell chez Contoso. Ils travaillent dans le bureau de
Vancouver.
1. Ajoutez les Mitchell au groupe Special Project en utilisant une seule
commande.
Excutez cette tape sans taper le nom DN des comptes d'utilisateur Mitchell.
Le nom DN du groupe Special Project est "cn= Special
Project,ou=Role,ou=Groups,dc=contoso,dc=com"
dsquery user -name "*Mitchell" | dsmod group "cn=Special
Project,ou=Role,ou=Groups,dc=contoso,dc=com" -addmbr
Si vous recevez une erreur indiquant que le nom dfini est dj membre du
groupe, utilisez Utilisateurs et ordinateurs Active Directory pour supprimer
Scott Mitchell et Linda Mitchell du groupe Special Project et ressayez.
Vous pouvez obtenir une erreur Accs refus . Quelle est l'origine de cette
erreur et comment pouvez-vous rsoudre le problme ?
Si vous avez lanc l'invite de commandes sans Excuter en tant
qu'administrateur, votre compte utilisateur (Pat.Coleman) n'a pas l'autorisation
de modifier les membres des groupes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
2. Extrayez l'adresse lectronique de tous les utilisateurs du bureau de Vancouver
en utilisant une seule commande.
Le champ Description des utilisateurs du bureau de Vancouver contient le
mot Vancouver.
Si vous ne savez pas quel commutateur d'attribut utiliser (-desc), entrez
dsquery user /?.
dsquery user -desc "*Vancouver*"
Si vous recevez un avertissement indiquant que DSQuery a atteint sa limite,
que devez-vous faire pour retourner tous les rsultats ?
dsquery user -desc "*Vancouver*" -limit 0
3. Remplacez l'attribut office des deux utilisateurs appels Mitchell par
Vancouver en utilisant une seule commande.
dsquery user -name "*Mitchell" | dsmod user -office "Vancouver"

Question : Que pouvez-vous faire pour ne pas avoir taper les DN des utilisateurs,
des groupes et des ordinateurs dans DSGet et les autres commandes DS ?
Rponse : Crer des fichiers de commandes (ou batch) contenant les commandes
frquemment utilises.
Question : Quelle est la diffrence entre des recherches excutes avec DSQuery en
utilisant des caractres gnriques et des recherches effectues avec la commande
Rechercher dans Utilisateurs et ordinateurs Active Directory ? En d'autres termes,
quel type de recherche avez-vous excut dans cet atelier que vous n'auriez pas pu
effectu en utilisant l'interface de base de la commande Rechercher ?
Rponse :DSQuery permet d'effectuer des recherches flexibles avec des caractres
gnriques (*). La commande Rechercher permet seulement de lancer des requtes
"Commence par".
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Cration et administration des comptes d'utilisateur L3-37
Module 3 : Gestion des utilisateurs
Atelier pratique A : Cration et
administration des comptes
d'utilisateur

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L3-38 Module 3 : Gestion des utilisateurs

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Crer les comptes dutilisateur
4. Excutez Lab03a_Setup.bat avec des informations d'identification
Pa$$w0rd.

Tche 2 : Crer un compte dutilisateur avec Utilisateurs et ordinateurs
Active Directory.
d'identification d'administration. Utilisez le compte Pat.Coleman_Admin et le
l'UO User Accounts, puis cliquez sur l'UO Employees.
3. Cliquez avec le bouton droit sur l'UO Employees, pointez sur Nouveau, puis
cliquez sur Utilisateur.
4. Entrez le prnom de l'utilisateur dans Prnom : Chris.
5. Entrez le nom de l'utilisateur dans Nom : Mayo.
6. Dans Nom d'ouverture de session de l'utilisateur, entrez le nom suivant :
Chris.Mayo.
7. Dans Nom d'ouverture de session de l'utilisateur (antrieur
Windows 2000), entrez le nom suivant : Chris.Mayo.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
9. Entrez Pa$$w0rd dans les zones Mot de passe et Confirmation du mot de
passe .
Il est prfrable de dfinir un mot de passe trs difficile deviner pour chaque
compte cr dans un environnement de production, mme dans le cas d'un
mot de passe temporaire attribu un nouvel utilisateur.
10. Slectionnez L'utilisateur doit changer le mot de passe la prochaine
ouverture de session.
12. Vrifiez le rcapitulatif et cliquez sur Terminer.

Tche 3 : Crer un compte d'utilisateur avec la commande DSAdd.
1. Excutez l'invite de commandes avec les informations d'identification
d'administration. Utilisez le compte Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.
2. Si savoir quels commutateurs utiliser avec la commande DSAdd, entrez dsadd
user /? et appuyez sur Entre.
dsadd user "cn=Amy Strande,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -samid Amy.Strande -upn
Amy.Strande@contoso.com -fn Amy -ln Strande -display "Strande,
Amy" -desc "Vice President, IT"
4. Allez dans Utilisateurs et ordinateurs Active Directory.
6. Si le composant Utilisateurs et ordinateurs Active Directory est dj ouvert,
cliquez sur le bouton Actualiser.
7. Cliquez avec le bouton droit sur Amy Strande, puis cliquez sur Proprits.
8. Examinez les proprits du compte d'utilisateur. Vrifiez que les attributs ont
t correctement dfinis, puis fermez la bote de dialogue.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Administrer les comptes d'utilisateur
Tche 1 : Administrer un compte d'utilisateur.
Le compte d'utilisateur d'Amy Strande est dsactiv, car aucun mot de passe n'a t
dfini avec la commande DSAdd.
Question : Quel paramtre peut-on utiliser avec la commande DSAdd pour dfinir
un mot de passe ?
Rponse : -pwd
1. Cliquez avec le bouton droit sur Amy Strande, puis cliquez sur Rinitialiser le
mot de passe.
2. Dans les zones Nouveau mot de passe et Confirmer le mot de passe, entrez
Pa$$w0rd.
3. Cochez l'option L'utilisateur doit changer le mot de passe la prochaine
4. Cliquez sur OK.
Le message suivant saffiche : "Le mot de passe de Amy Strande a t chang".
5. Cliquez sur OK.
6. Cliquez avec le bouton droit sur Amy Strande, puis cliquez sur Activer le compte.
Le message suivant saffiche : "L'objet Amy Strande a t activ".
7. Cliquez sur OK.
Question : Quelle commande peut-on utiliser l'invite de commandes pour
rinitialiser le mot de passe, indiquer que le mot de passe doit tre chang lors de
l'ouverture de session suivante et activer le compte ? crivez la commande en
indiquant tous les paramtres.
Rponse :
dsmod user "cn=Amy Strande,ou=Employees,ou=User
Accounts,dc=contoso,dc=com" -pwd Pa$$w0rd -mustchpwd yes -disabled
no

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Administrer le cycle de vie d'un compte d'utilisateur.
La stratgie Contoso de gestion du cycle de vie des comptes d'utilisateur stipule
que :
Lorsqu'un utilisateur quitte l'entreprise ou qu'il est absent, le compte de
l'utilisateur doit tre dsactiv immdiatement et transfr vers l'UO des
comptes dsactivs.
Soixante jours aprs le dpart d'un utilisateur, le compte doit tre supprim.
2. Cliquez avec le bouton droit sur Chris Mayo et cliquez sur Dsactiver le
compte.
Le message suivant saffiche : L'objet Chris Mayo a t dsactiv.
3. Cliquez sur OK.
4. Cliquez avec le bouton droit sur Chris Mayo et cliquez sur Dplacer.
5. Cliquez sur l'UO Disabled Accounts, puis cliquez sur OK.
6. Dans l'arborescence de la console, cliquez sur l'UO Disabled Accounts.
7. Cliquez avec le bouton droit sur Chris Mayo et cliquez sur Supprimer.
Le message suivant s'affiche : Voulez-vous vraiment supprimer l'utilisateur
Chris Mayo ?
8. Cliquez sur Oui.

Remarque : N'arrtez pas les ordinateurs virtuels lorsque vous avez termin l'atelier, car
vous aller utiliser les paramtres que vous avez dfinis ici dans l'atelier B.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Dans cet atelier, quels sont les attributs qui peuvent tre modifis
lorsque vous crez un compte d'utilisateur avec l'invite de commandes, mais qui ne
peuvent pas l'tre lorsque vous le crez avec Utilisateurs et ordinateurs Active
Directory ?
Rponse : Description, Nom d'affichage.
Question : Que se passe-t-il lorsque vous crez un compte d'utilisateur disposant
d'un mot de passe qui ne rpond pas aux conditions du domaine ?
Rponse : Le compte est cr, mais il est dsactiv. Il ne peut tre activ qu'aprs la
configuration d'un mot de passe conforme aux conditions du domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Dfinition des
attributs des objets utilisateur
Le bureau Windows apparat. Excuter une application avec des informations
d'identification d'administration.
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Dfinition des attributs des objets utilisateur L3-45

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Dfinition des attributs des objets utilisateur
En principe, l'ordinateur virtuel est rest en fonctionnement la fin de l'atelier A. Si ce
n'est pas le cas, dmarrez-le et effectuez les exercices de l'atelier A avant de continuer.
4. Excutez Lab03b_Setup.bat avec des informations d'identification
Pa$$w0rd.

Tche 2 : Explorer les proprits d'un objet utilisateur Active Directory
3. Cliquez avec le bouton droit sur Tony Krijnen, puis cliquez sur Proprits.
4. Examinez les onglets Gnral, Adresse, Compte et Organisation.
5. Cliquez sur OK pour fermer la bote de dialogue Proprits.

Tche 3 : Explorer tous les attributs d'un objet utilisateur Active
Directory
1. Cliquez sur le menu Affichage, puis activez l'option Fonctionnalits avances.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez avec le bouton droit sur Tony Krijnen, puis cliquez sur Proprits.

Tche 4 : Analyser les attributs d'affectation de nom et d'affichage de
l'objet utilisateur
Pour chacun des attributs suivants dans la bote de dialogue des proprits de
Tony Krijnen, identifiez le nom d'attribut correspondant dans l'onglet diteur
d'attribut :
Onglet de la bote de
dialogue Proprits Nom de proprit
Nom d'attribut figurant dans
l'onglet diteur d'attribut
Gnral Prnom givenName
Gnral Nom sn
Gnral Nom d'affichage displayName
Gnral Description description
Gnral Bureau physicalDeliveryOffice
Gnral Numro de tlphone telephoneNumber
Gnral Courrier lectronique mail
Adresse Rue streetAddress
Adresse Ville l
Adresse Code postal postalCode
Adresse Pays co
Organisation Fonction title
Organisation Service department
Organisation Socit company

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question :
1. Utilisez l'onglet diteur d'attribut pour rpondre aux questions suivantes :
L'attribut employeeID dans l'onglet diteur d'attribut figure-t-il dans un
onglet standard dans la bote de dialogue Proprits ? Si oui, lequel ? Et
propos de carLicense ?
Rponse : Les attributs employeeID et carLicense ne figurent pas dans
cet onglet.
Dans l'onglet diteur d'attribut, quel est le nom unique (DN) de l'objet
Tony Krijnen ?
Rponse :
cn=Tony Krijnen,ou=Employees,ou=User
Accounts,dc=contoso,dc=com
Dans l'onglet diteur d'attribut, quel est le nom d'entit de scurit (UPN)
de l'utilisateur Tony ? Dans quel autre onglet l'attribut apparat-il et
comment s'appelle-t-il et est-il affich ?
Rponse : L'onglet Compte affiche le nom d'utilisateur principal
(UPN) sous la forme du Nom d'ouverture de session de l'utilisateur .
Il est en deux parties : le nom d'ouverture de session sous forme de
zone de texte et le suffixe UPN sous forme de liste droulante.
2. Questions complexes : Essayez de rpondre aux questions suivantes. Il se peut
que vous ne trouviez pas la rponse. Ce n'est pas grave. Aprs avoir tent de
rpondre une question, vous pouvez vous reporter au corrig de l'atelier
pratique.
Pourquoi l'attribut sn peut-il s'appeler sn ?
Rponse : surname (nom de famille)
Quel est la fonction de l'attribut c ?
Rponse : Code du pays selon la norme ISO (International Standards
Organization)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Gestion des attributs des objets utilisateur
Tche 1 : Modifier simultanment les attributs de plusieurs utilisateurs
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory,
dveloppez le domaine contoso.com et l'UO User Accounts, puis cliquez sur
l'UO Employees.
2. Cliquez sur Adam Barr. Puis, maintenez la touche CTRL enfonce et cliquez
sur Adrian Lannin, Ajay Manchepalli, Ajay Solanki, Allan Guinot, Anav
Silverman et Andrs Tth.
3. Cliquez avec le bouton droit sur l'un des utilisateurs slectionns, puis cliquez
sur Proprits.
4. Slectionnez Description, puis entrez Marketing Task Force dans la zone de
texte.
5. Slectionnez Bureau, puis entrez Headquarters dans la zone de texte.
6. Cliquez sur l'onglet Organisation.
7. Slectionnez Gestionnaire, puis cliquez sur le bouton Modifier.
8. Entrez Ariane Berthier, et cliquez sur OK.
9. Cliquez sur OK.
10. Double-cliquez sur Adam Barr.
11. Cliquez sur l'onglet Gnral.
12. Examinez les proprits que vous avez modifies.
14. Examinez la proprit Gestionnaire que vous avez modifie.
15. Fermez la bote de dialogue Proprits de Adam Barr.
16. Double-cliquez sur Ariane Berthier.
18. Examinez les valeurs affiches dans la liste Collaborateurs.
19. Fermez les proprits de Ariane Berthier.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Gestion des attributs utilisateur depuis l'invite de
commandes
Pa$$w0rd.
2. Entrez la commande :
dsquery user -desc "Marketing Task Force" | dsget user email
et appuyez sur Entre.
3. Entrez la commande :
dsquery user -desc "Marketing Task Force" | dsmod user -hmdir
"\\FILE01\TaskForceUsers\$username$" -hmdrv U
cliquez sur l'UO Employees.
5. Dans le volet d'informations, cliquez avec le bouton droit sur Adam Barr, puis
6. Cliquez sur l'onglet Profil.
7. Examinez la section Dossier de base, puis cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Cration d'utilisateurs partir d'un modle
Tche 1 : Cration d'un modle de compte d'utilisateur pour Sales
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active Directory ,
dveloppez le domaine contoso.com et l'UO User Accounts, puis cliquez sur
l'UO Employees.
2. Cliquez avec le bouton droit sur l'UO Employees, pointez sur Nouveau, puis
cliquez sur Utilisateur.
3. Laissez vide la zone Prnom.
4. Laissez vide la zone Nom.
5. Dans la zone Nom complet, entrez _Sales User.
6. Dans Nom d'ouverture de session de l'utilisateur, entrez : Template.Sales.
7. Dans la zone de texte Nom d'ouverture de session de l'utilisateur (antrieur
Windows 2000), entrez le nom suivant : Template.Sales.
9. Entrez Pa$$w0rd dans les zones Mot de passe et Confirmation du mot de
passe .
10. Slectionnez L'utilisateur doit changer le mot de passe la prochaine
11. Slectionnez Le compte est dsactiv.
14. Cliquez avec le bouton droit sur _Sales User, puis cliquez sur Proprits.
17. Entrez Sales et cliquez sur OK.
La bote de dialogue Noms multiples trouvs s'affiche.
18. Cliquez sur Sales et cliquez sur OK.
20. Dans Service, entrez Sales.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
21. Dans Socit, entrez Contoso, Ltd.
22. Cliquez sur le bouton Modifier dans la section Gestionnaire.
23. Entrez Anibal Sousa et cliquez sur OK.
24. Cliquez sur l'onglet Compte.
25. Dans la section Date d'expiration du compte, cliquez sur Fin de, puis
slectionnez le dernier jour de l'anne en cours.
26. Cliquez sur OK.

Tche 2 : Cration d'un compte d'utilisateur partir d'un modle
1. Cliquez avec le bouton droit sur _Sales User, puis cliquez sur Copier.
2. Dans Prnom, entrez Rob.
3. Dans Nom, entrez Young.
4. Dans Nom d'ouverture de session de l'utilisateur, entrez Rob.Young.
5. Vrifiez que le Nom d'ouverture de session de l'utilisateur (antrieur
Windows 2000) est Rob.Young et cliquez sur Suivant.
6. Dans les champs Mot de passe et Confirmer le mot de passe, tapez
Pa$$w0rd.
7. Dslectionnez Le compte est dsactiv.
10. Fermez la session HQDC01.

Remarque : N'arrtez pas l'ordinateur virtuel lorsque vous avez termin l'atelier, car vous
aller utiliser les paramtres que vous avez dfinis ici dans l'atelier C.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quelles options avez-vous apprises pour modifier les attributs des
utilisateurs nouveaux et existants ?
Rponse : Slectionner plusieurs utilisateurs et ouvrir la bote de dialogue
Proprits, utiliser la commande DSMod, ou crer un compte utilisateur partir
d'un modle de compte utilisateur.
Question : Quels sont les avantages et les inconvnients de chaque option ?
Rponse : Chaque mthode permet de configurer une partie des attributs. Aucune
mthode ne permet de configurer tous les attributs disponibles pour plusieurs
utilisateurs. Par exemple, DSMod permet de modifier la description des
utilisateurs, mais vous ne pouvez pas configurer la description d'un nouvel
utilisateur partir d'un modle. L'attribut description n'est pas copi. DSMod
permet de rinitialiser les mots de passe de plusieurs utilisateurs, mais vous ne
pouvez pas effectuer cette action si vous slectionnez plusieurs utilisateurs dans
Utilisateurs et ordinateurs Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Automatisation
de la cration des comptes
d'utilisateur
Exercice 1 : Exportation et importation des utilisateurs avec
CSVDE (Comma Separated Value Directory Exchange)
L'ordinateur virtuel doit tre dj dmarr et disponible la fin des ateliers A et B.
S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices des ateliers A et B
avant de continuer.
3. Ouvrez D:\Labfiles\Lab03c.
Pa$$w0rd.

Tche 2 : Exportation des utilisateurs avec CSVDE
Pa$$w0rd.
2. Entrez la commande suivante :
csvde -f D:\LABFILES\LAB03C\UsersNamedApril.csv -r "(name=April*)"
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
Puis, appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Automatisation de la cration des comptes d'utilisateur L3-55
3. Cliquez avec le bouton droit sur le fichier
D:\LABFILES\LAB03C\UsersNamedApril.csv et cliquez sur Ouvrir.
Le message suivant saffiche : "Windows ne peut pas ouvrir ce fichier"
4. Cliquez sur Slectionner un programme dans la liste des programmes
installs, puis cliquez sur OK.
5. Cliquez sur Bloc-notes, puis cliquez sur OK.
6. Examinez le fichier et fermez-le.

Tche 3 : Importation d'utilisateurs avec CSVDE
1. Ouvrez D:\LABFILES\LAB03C\NewUsers.csv dans le Bloc-notes.
2. Examinez les informations sur les utilisateurs rpertoris dans le fichier.
4. Tapez la commande suivante :
csvde -i -f D:\LABFILES\LAB03C\NewUsers.csv k
Les deux utilisateurs sont imports.
7. Vrifiez que les utilisateurs ont t crs.
Si vous avez ouvert le composant Utilisateur et ordinateurs Active Directory
lors de l'importation du fichier CSV, il peut tre ncessaire d'actualiser
l'affichage pour voir les nouveaux comptes.
8. Examinez les comptes et vrifiez que le prnom, le nom, le nom principal de
l'utilisateur et le nom d'ouverture de session antrieur Windows 2000 sont
indiqus conformment aux instructions de NewUsers.csv.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
9. Cliquez avec le bouton droit sur Lisa Andrews, puis cliquez sur Rinitialiser
le mot de passe. Dans les zones Mot de passe et Confirmer le mot de passe,
entrez Pa$$w0rd, puis cliquez sur OK.
10. Cliquez avec le bouton droit sur Lisa Andrews, puis cliquez sur Activer le
compte.
11. Cliquez avec le bouton droit sur David Jones, puis cliquez sur Rinitialiser le
mot de passe. Dans les zones Mot de passe et Confirmer le mot de passe,
12. Cliquez avec le bouton droit sur David Jones, puis cliquez sur Activer le
compte.
13. Fermez le fichier NewUsers.csv.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Automatisation de la cration des comptes d'utilisateur L3-57
Exercice 2 : Importation d'utilisateurs avec LDIFDE (LDAP
Data Interchange Format Directory Exchange)
Tche 1 : Importation d'utilisateurs avec LDIFDE
1. Cliquez avec le bouton droit sur le fichier
D:\LABFILES\LAB03C\NewUsers.ldf et cliquez sur Ouvrir.
Le message suivant saffiche : "Windows ne peut pas ouvrir ce fichier"
2. Cliquez sur Slectionner un programme dans la liste des programmes
installs, puis cliquez sur OK.
3. Cliquez sur Bloc-notes, puis cliquez sur OK.
4. Examinez les informations sur les utilisateurs rpertoris dans le fichier.
ldifde -i -f D:\LABFILES\LAB03C\NewUsers.ldf k
Les deux utilisateurs sont imports.
7. Revenez Utilisateurs et ordinateurs Active Directory.
9. Vrifiez que les utilisateurs ont t crs.
Si vous avez ouvert le composant Utilisateur et ordinateurs Active Directory
lors de l'importation du fichier CSV, il peut tre ncessaire d'actualiser
l'affichage pour voir les nouveaux comptes.
10. Examinez les comptes pour vrifier que les proprits des utilisateurs sont
remplies conformment aux instructions dans NewUsers.ldf.
11. Cliquez avec le bouton droit sur Bobby Moore, puis cliquez sur Rinitialiser
le mot de passe. Dans les zones Mot de passe et Confirmer le mot de passe,
12. Cliquez avec le bouton droit sur Bobby Moore, puis cliquez sur Activer le
compte.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Cliquez avec le bouton droit sur Bonnie Kearney, puis cliquez sur
Rinitialiser le mot de passe. Dans les zones Mot de passe et Confirmer le
mot de passe, entrez Pa$$w0rd, puis cliquez sur OK.
14. Cliquez avec le bouton droit sur Bonnie Kearney, puis cliquez sur Activer le
compte.
15. Fermez le fichier NewUsers.ldf.

Question de contrle des acquis
Question : Dans quelles situations importez-vous des utilisateurs avec CSVDE et
LDIFDE ?
Rponse : CSVDE et LDIFDE sont trs utiles si vous importez une grande quantit
d'utilisateurs. De plus, CSVDE et LDIFDE permettent de configurer la plupart des
attributs des utilisateurs, contrairement aux modles et DSAdd, qui prennent en
charge un nombre limit d'attributs.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Administration des groupes L4-59
Module 4 : Gestion des groupes
Atelier pratique A : Administration
des groupes
1. Appuyez sur les touches ALT+SUPPR.
Le Bureau Windows apparat.

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L4-60 Module 4 : Gestion des groupes
4. Appuyez sur ENTRE ou cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Implmenter la gestion base de rles en
utilisant des groupes
Pa$$w0rd.
6. Fermez la fentre de lExplorateur Windows, Lab04a.

Tche 2 : Crer des groupes de rles avec Utilisateurs et ordinateurs
Active Directory
1. Excutez Utilisateurs et ordinateurs Active Directory avec les informations
l'unit d'organisation Groups et cliquez sur l'unit d'organisation Role.
3. Cliquez avec le bouton droit sur l'unit d'organisation Role, pointez sur
Nouveau, puis cliquez sur Groupe.
4. Dans le champ Nom du groupe, tapez Sales.
5. Slectionnez l'tendue du groupe Globale et le type de groupe Scurit.
Cliquez sur OK.
6. Rptez les tapes 3 5 pour crer un groupe de scurit global appel
Consultants.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : cration de groupes de rles avec DSAdd
Pa$$w0rd.
2. Tapez la commande ci-dessous sur une seule ligne, puis appuyez sur ENTRE :
dsadd group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
secgrp yes scope g
3. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que le groupe a t
correctement cr dans l'unit d'organisation Role, ou dans l'unit
d'organisation Groups.
Si le composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory tait ouvert avant d'effectuer cette tche, actualisez l'affichage.

Tche 4 : Ajouter des utilisateurs au groupe de rles.
1. Dans larborescence de la console Utilisateurs et ordinateurs Active Directory,
cliquez sur l'unit d'organisation Role.
2. Cliquez avec le bouton droit de la souris sur le groupe Sales, puis cliquez sur
Proprits.
4. Cliquez sur le bouton Ajouter.
5. Tapez Tony Krijnen et cliquez sur OK.
7. Dans l'arborescence de la console, dveloppez l'unit d'organisation User
Accounts, puis cliquez sur l'unit d'organisation Employees.
8. Cliquez avec le bouton droit sur Linda Mitchell, puis cliquez sur Ajouter un
groupe.
9. Tapez Sales et appuyez sur ENTRE.
La bote de dialogue Noms multiples trouvs s'affiche car il y a deux groupes
dont le nom commence par Sales.
10. Cliquez sur Sales, puis sur OK.
Le message suivant saffiche : Lopration Ajouter au groupe est termine.
11. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 5 : Implmenter une hirarchie de rles dans laquelle les
directeurs des ventes (Sales Managers) font partie galement du rle
Sales.
1. Dans l'arborescence de la console, dveloppez l'unit d'organisation Groups
(Groupes), puis cliquez sur l'unit d'organisation Role (Rle).
2. Cliquez avec le bouton droit de la souris sur le groupe Sales Managers, puis
5. Entrez Sales et cliquez sur OK.
La bote de dialogue Noms multiples trouvs s'affiche car il y a deux groupes
dont le nom commence par Sales.

Tche 6 : Crer un groupe de gestion des accs aux ressources.
Groups\Access.
2. Cliquez avec le bouton droit sur l'unit d'organisation Access, pointez sur
3. Dans le champ Nom du groupe, tapez ACL_Sales Folders_Read.
4. Slectionnez l'tendue du groupe Domain local et le type de groupe Scurit.
Cliquez sur OK.

Tche 7 : Affecter des autorisations au groupe de gestion des accs
aux ressources
1. Dans D:\Data, crez le dossier Sales. Si le systme vous demande des
informations d'identification, utilisez le compte Pat.Coleman_Admin et le mot
de passe Pa$$w0rd.
2. Cliquez avec le bouton droit de la souris sur le dossier Sales, puis cliquez sur
Proprits et sur l'onglet Scurit.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez sur Modifier et sur Ajouter.
4. Tapez ACL_ et appuyez sur ENTRE.
Notez que lorsque vous utilisez un prfixe pour les noms de groupe, tel que
ACL_ pour les groupes d'accs aux ressources, vous pouvez les retrouver
rapidement.
5. Cliquez sur ACL_Sales Folders_Read et sur OK.
6. Vrifiez que le groupe a t affect de l'autorisation de lecture et d'excution.
7. Cliquez sur OK pour fermer la bote de dialogue ouverte.

Tche 8 : Dterminer les rles et les utilisateurs qui peuvent accder
une ressource.
cliquez sur l'unit d'organisation Access.
2. Cliquez avec le bouton droit sur le groupe ACL_Sales Folders_Read, puis
5. Tapez Sales;Consultants;Auditors et cliquez sur OK.
La bote de dialogue Plusieurs lments trouvs s'affiche car il y a deux
groupes dont le nom commence par Sales.
8. Entrez Bobby Moore et cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Grer les membres des groupes depuis l'invite
de commandes
Tche 1 : Modifier les membres des groupes avec DSMod
1. Revenez l'invite de commandes. Elle devrait toujours tre excute avec les
informations d'identification d'administrateur de l'exercice prcdent.
2. Tapez la commande ci-dessous sur une seule ligne, puis appuyez sur ENTRE.
dsmod group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" "CN=Finance Managers,OU=Role,
OU=Groups,DC=contoso,DC=com"
cliquez sur l'unit d'organisation Role.
4. Cliquez avec le bouton droit de la souris sur le groupe Auditors, puis cliquez
sur Proprits.
6. Vrifiez que Mike Danseglio et le groupe Finance Managers sont membres,
puis fermez la bote de dialogue Proprits.

Tche 2 : Extraire les membres des groupes avec DSGet
2. Affichez la liste des membres directs du groupe Auditors en tapant la
commande suivante et en appuyant sur ENTRE :
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-members
3. Affichez la liste de complte des membres directs du groupe Auditors en
tapant la commande suivante et en appuyant sur ENTRE :
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"
-members expand
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Affichez la liste complte des membres du groupe ACL_Sales Folders_Read
en tapant la commande suivante et en appuyant sur ENTRE:
dsget group "CN=ACL_Sales Folders_Read,OU=Access,
OU=Groups,DC=contoso,DC=com" -members -expand
5. Affichez la liste des membres directs du groupe Mike Danseglio en tapant la
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" memberof
6. Affichez la liste complte des membres du groupe Mike Danseglio en tapant la
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" memberof -expand

pratique B.
Question : Dcrivez la fonction des groupes globaux dans le cadre de la gestion
base de rles.
Rponse : En gnral, les groupes globaux permettent de dfinir des rles.
Question : Quels sont les types d'objets qui peuvent tre membres des groupes
globaux ?
Rponse : Un groupe global peut contenir des utilisateurs et d'autres rles
(groupes globaux) du mme domaine.
Question : Dcrivez la fonction des groupes locaux de domaine dans le cadre de la
gestion des accs aux ressources base de rles.
Rponse : En gnral, les groupes de domaine local permettent de dfinir l'tendue
de la gestion, par exemple la gestion d'un niveau d'accs une ressource.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quels sont les types d'objets qui peuvent tre membres des groupes
locaux de domaine ?
Rponse : Les groupes locaux de domaine peuvent contenir des rles (groupes
globaux) et des utilisateurs d'un domaine approuv de la mme fort ou d'une
fort externe, ainsi que d'autres groupes locaux de domaine du mme domaine.
Enfin, les groupes de domaine local peuvent contenir des groupes universels de
nimporte quel emplacement de la fort.
Question : Si vous avez implment la gestion base de rles et que l'on vous
demande d'indiquer les utilisateurs qui peuvent lire les dossiers Sales, quelle
commande utilisez-vous ?
Rponse : Vous utilisez la commande DSGet.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Meilleures
pratiques de gestion des groupes

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Meilleures pratiques de gestion des groupes L4-69

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Implmenter les meilleures pratiques de
gestion des groupes
1. L'ordinateur virtuel doit tre dj dmarr et disponible la fin de l'atelier A.
S'il ne l'est pas, vous devez le dmarrer et effectuer les exercices de l'atelier A
avant de continuer.

Tche 2 : Crer un groupe bien document
2. Dans l'arborescence de la console, dveloppez l'unit d'organisation Groups,
puis cliquez sur l'unit d'organisation Access.
4. Dans la zone Description, rsumez la rgle de gestion des ressources
reprsente par le groupe. Tapez Sales Folders (READ).
5. Dans la zone Remarques, tapez les chemins suivants pour reprsenter les
dossiers ayant des autorisations affectes ce groupe et cliquez sur OK une
fois termin :
\\contoso\teams\Sales (READ)
\\file02\data\Sales (READ)
\\file03\news\Sales (READ)

Tche 3 : Protger un groupe contre la suppression accidentelle
1. Cliquez sur le menu Affichage, puis activez l'option Fonctionnalits
avances.
Groups\Access.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Meilleures pratiques de gestion des groupes L4-71
4. Ouvrez l'onglet Objet.
5. Cochez la case Protger l'objet des suppressions accidentelles et cliquez sur
OK.
6. Cliquez avec le bouton droit sur ACL_Sales Folders_Read, puis cliquez sur
Supprimer.
Un message s'affiche vous demandant si vous tes certain.
7. Cliquez sur Oui.
Le message suivant saffiche : Vous ne disposez pas des privilges suffisants pour
supprimer ACL_Sales Folders_Read, ou cet objet est protg contre les suppressions
accidentelles.
8. Cliquez sur OK.

Tche 4 : Dlguer la gestion des membres des groupes
1. Dans l'arborescence de la console, cliquez sur l'unit d'organisation Role.
2. Cliquez avec le bouton droit de la souris sur le groupe Auditors, puis cliquez
sur Proprits.
3. Cliquez sur longlet Gr par.
4. Cliquez sur le bouton Modifier.
5. Entrez Mike Danseglio et cliquez sur OK.
6. Cochez la case Le gestionnaire peut mettre jour la liste des membres.
Cliquez sur OK.

Tche 5 : Valider la dlgation de la gestion des membres des groupes
2. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Mike.Danseglio et
3. Cliquez sur Dmarrer et sur Rseau.
4. Cliquez sur Rechercher dans Active Directory.
5. Tapez Auditors.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Cliquez sur Rechercher.
7. Double-cliquez sur le groupe Auditors.
9. Tapez Executives, puis cliquez sur OK.
10. Cliquez sur OK.

Question : Citez des avantages de l'utilisation des champs Description et
Remarques d'un groupe ?
Rponse : Lorsque les groupes sont bien dcrits, il est plus facile de les trouver et
de connatre leur fonction, ce qui vite de les utiliser de faon incorrecte et dans
des buts inadapts.
Question : Quels sont les avantages et les inconvnients de la dlgation des
membres des groupes ?
Rponse : La dlgation des membres permet au service informatique d'allger sa
charge de travail Dans la plupart des entreprises, si un utilisateur doit accder
une ressource, il contacte le service informatique. Celui-ci contacte le propritaire
pour avoir l'approbation, puis ajoute l'utilisateur aux groupes. La dlgation
permet de transfrer la demande directement au propritaire, lequel peut effectuer
la modification.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Cration d'ordinateurs et ajout au domaine L5-73
Module 5 : Prise en charge des comptes
d'ordinateur
Atelier pratique A : Cration
d'ordinateurs et ajout au domaine

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L5-74 Module 5 : Prise en charge des comptes d'ordinateur

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Joindre un ordinateur au domaine laide de
linterface Windows
4. Excutez Lab05a_Setup.bat avec des informations didentification
dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.
7. Dmarrez 6238B-SERVER01-B.

Tche 2 : Identifier et corriger une erreur de configuration DNS
1. Sur SERVER01, ouvrez une session en tant quAdministrateur avec le mot de
passe Pa$$w0rd.
2. Ouvrez Proprits systme en employant lune des mthodes suivantes :
Cliquez sur Dmarrer, cliquez avec le bouton droit sur Ordinateur, puis
Ouvrez Systme partir du Panneau de configuration.
Appuyez sur la touche WINDOWS, puis sur la touche PAUSE.
3. Dans la section Paramtres de nom dordinateur, de domaine et de groupe
de travail, cliquez sur Modifier les paramtres.
4. Dans longlet Nom de lordinateur, cliquez sur Modifier...
5. Dans la section Membre de, cliquez sur Domaine
6. Tapez contoso.com.
Veillez utiliser le nom de domaine complet, contoso.com, et non le nom
NetBIOS du domaine, contoso.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Cliquez sur OK.
Une bote de dialogue s'affiche vous informant que Un contrleur de
domaine de Active Directory pour le domaine contoso.com n'a pu tre
contact .
8. Cliquez sur OK pour fermer l'avertissement.
9. Cliquez sur Annuler pour fermer la bote de dialogue Modification du nom
ou du domaine de l'ordinateur, et sur Annuler de nouveau pour fermer la
bote de dialogue Proprits systme.
10. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Rseau, puis cliquez
sur Proprits.
Le Centre Rseau et partage s'ouvre.
11. Cliquez sur Voir le statut en regard de Connexion au rseau local.
12. Cliquez sur Proprits.
La bote de dialogue affichant les proprits de la connexion au rseau local
apparat.
13. Cliquez sur Protocole Internet version 4 (TCP/IPv4), puis sur Proprits.
14. Dans le champ Serveur DNS prfr, tapez 10.0.0.11, puis cliquez sur OK.
15. Cliquez sur le bouton Fermer deux reprises.

Question : Pourquoi la jointure aurait-elle pu aboutir si vous aviez utilis le nom
de domaine contoso au lieu de contoso.com ? Quel problme la configuration
incorrecte du domaine joint au DNS pourrait-elle entraner ?
Rponse : L'utilisation du nom complet a forc le processus de rsolution des
noms utiliser le DNS, et du fait que le DNS a chou, l'ajout au domaine a
chou. Le nom de domaine contoso est un nom de domaine plat qui aurait pu
tre rsolu par le biais de la rsolution des noms NetBIOS. Malgr la russite de
l'ajout au domaine, le client aurait probablement rencontr des problmes
trouver des contrleurs de domaine dans d'autres sites et trouver d'autres
ressources dans le domaine. En effectuant l'ajout avec un nom de domaine
complet, vous vous assurez que le DNS fonctionne avant de rejoindre le domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Joindre SERVER01 au domaine
Si elles sont toujours ouvertes depuis les tches prcdentes de cet
exercice, cliquez sur le bouton correspondant dans la barre des tches.
6. Cliquez sur OK.
La bote de dialogue Scurit de Windows saffiche.
7. Dans la zone Nom dutilisateur, tapez Aaron.Painter.
8. Dans le champ Mot de passe, tapez Pa$$w0rd.
9. Cliquez sur OK.
Le message suivant saffiche : Bienvenue dans le domaine contoso.com.
Notez que Aaron.Painter est un utilisateur standard dans le domaine
contoso.com. Il ne dispose daucune autorisation ou droit spcial et pourtant, il
peut joindre un ordinateur au domaine. Il doit avoir ouvert une session sur
lordinateur avec un compte membre du groupe Administrateurs de lordinateur.
10. Cliquez sur OK.
Un message s'affiche vous demandant de redmarrer.
11. Cliquez sur OK.
12. Cliquez sur Fermer pour fermer la bote de dialogue Proprits systme.
Un autre message s'affiche vous demandant de redmarrer.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Vrifier lemplacement du compte SERVER01
cliquez sur le conteneur Ordinateurs.
4. Recherchez SERVER01 dans le conteneur Ordinateurs.

Question : Dans quelle UO ou conteneur se trouve le compte ?
Rponse : Le conteneur Ordinateurs

Tche 5 : Supprimer SERVER01 du domaine
passe Pa$$w0rd.
5. Dans la section Membre de, cliquez sur Groupe de travail
6. Saisissez WORKGROUP.
7. Cliquez sur OK.
Le message suivant saffiche : Bienvenue dans le groupe de travail
WORKGROUP.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur OK.
Un message s'affiche vous demandant de redmarrer.
9. Cliquez sur OK.
10. Cliquez sur Fermer pour fermer la bote de dialogue Proprits systme.
Un autre message s'affiche vous demandant de redmarrer.

Tche 6 : Supprimer le compte SERVER01
cliquez sur le conteneur Ordinateurs, puis sur le bouton Actualiser dans la
barre d'outils du composant logiciel enfichable.
Question : Sur HQDC01, actualisez la vue du conteneur Ordinateurs et examinez
le compte SERVER01. Quel est son tat ?
Rponse : Dsactiv
Question : Vous avez t invit fournir les informations didentification du
domaine la tche 5 et pourtant, une modification a t apporte au domaine : le
compte dordinateur a t rinitialis et dsactiv. Avec quelles informations
didentification cette opration a-t-elle t effectue ? Avec quelles informations
didentification lappartenance au groupe de travail/domaine de SERVER01 a-t-elle
t modifie ?
Rponse : C'est une question dlicate ! Les informations d'identification du
domaine ayant des autorisations appropries doivent apporter une modification au
domaine, telle que la rinitialisation et la dsactivation d'un compte d'ordinateur ;
et les informations d'identification situes dans le groupe local Administrators sur
le client doivent modifier l'appartenance au groupe de travail/domaine de
l'ordinateur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Vous tiez connect SERVER01 en tant qu'administrateur local. Vous avez donc
pu modifier l'appartenance au groupe de travail/domaine de l'ordinateur.
Normalement, vous auriez d tre invit saisir les informations d'identification
du domaine, mais il arrive que le nom d'utilisateur du compte de l'administrateur
et le mot de passe, Pa$$w0rd, soient identiques ceux du compte de
l'administrateur du domaine, qui a bien entendu l'autorisation de modifier les
objets du domaine. Windows tente de vous authentifier en coulisses et vous
demande seulement les informations d'identification de domaine si
l'authentification choue. Dans ce cas, en raison de la similitude des informations
d'identification, vous avez t authentifi en tant qu'administrateur du domaine.
Dans un environnement de production, le compte de l'administrateur du domaine
devrait avoir un mot de passe trs long, complexe et scuris, diffrent du mot de
passe utilis pour les comptes d'administrateur des ordinateurs membres du
domaine.
3. Cliquez avec le bouton droit sur SERVER01, puis cliquez sur Supprimer.
Vous tes invit confirmer la suppression.
4. Cliquez sur Oui.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Scuriser les jointures dordinateurs
Tche 1 : Redirection du conteneur ordinateur par dfaut
1. Toujours sur HQDC01, excutez l'invite de commandes avec les informations
redircmp "OU=New Computers,DC=contoso,DC=com"
Le rsultat de la commande indique qu'elle s'est termine correctement.
3. Fermez la fentre d'invite de commandes.

Tche 2 : Limiter les jointures de domaine non gres
1. Excutez Modification ADSI avec les informations d'identification
Pa$$w0rd.
Connexion.
La bote de dialogue Paramtres de connexion s'affiche.
3. Dans la section Point de connexion, cliquez sur Slectionnez un contexte
dattribution de noms connu, puis choisissez Contexte dattribution de
noms par dfaut dans la liste droulante.
4. Cliquez sur OK.
5. Cliquez sur Contexte dattribution de noms par dfaut dans larborescence
de la console.
6. Dans le volet dinformations, cliquez avec le bouton droit sur le dossier du
domaine (dc=contoso,dc=com), puis cliquez sur Proprits.
7. Cliquez sur ms-DS-MachineAccountQuota et sur Modifier.
8. Tapez 0.
9. Cliquez sur OK.
10. Cliquez sur OK pour fermer l'diteur d'attribut.
11. Fermez la fentre Modification ADSI.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Vrifier lefficacit de ms-DS-MachineAccountQuota
passe Pa$$w0rd.
7. Cliquez sur OK.
8. Dans la zone Nom dutilisateur, tapez Aaron.Painter.
10. Cliquez sur OK.
Le message ci-dessous s'affiche :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Cliquez sur OK.
12. Cliquez sur Annuler.
13. Cliquez sur Annuler pour fermer la bote de dialogue Proprits systme.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Grer la cration de comptes dordinateurs
conformment aux meilleurs pratiques
Tche 1 : Prdfinir un compte dordinateur
dveloppez le domaine contoso.com et l'unit d'organisation Servers, puis
cliquez sur l'unit d'organisation File.
3. Cliquez avec le bouton droit sur l'unit d'organisation File, pointez sur
Nouveau, puis cliquez sur Ordinateur.
La bote de dialogue Nouvel objet - Ordinateur s'affiche.
4. Dans Nom de l'ordinateur, tapez SERVER01.
5. Cliquez sur le bouton Modifier en regard de Utilisateur ou groupe.
La bote de dialogue Slectionner des utilisateurs ou des groupes s'affiche.
6. Saisissez AD_Server_Deploy et appuyez sur ENTRE.
7. Cliquez sur OK.

Tche 2 : Joindre un ordinateur distance un compte prdfini
laide de NetDom
1. Excutez l'Invite de commandes avec les informations d'identification
d'administration. Utilisez le compte Aaron.Painter_Admin et le mot de passe
Pa$$w0rd.
Aaron.Painter_Admin est membre du groupe AD_Server_Deploy. Dans la
tche prcdente, vous avez accord au groupe l'autorisation de rejoindre le
domaine SERVER01.
2. Tapez la commande whoami /groups pour afficher la liste des appartenances
aux groupes du compte actuel (Aaron.Painter_Admin). Notez que lutilisateur
est membre de AD_Server_Deploy et quil nest membre daucun autre groupe
dadministration.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Tapez la commande ci-dessous sur une ligne (un retour la ligne peut se
produire) et appuyez sur ENTRE :
netdom join SERVER01 /domain:contoso.com
/UserO:Administrator /PasswordO:*
/UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:*
/REBoot:5
Vous tes invit saisir le mot de passe associ l'utilisateur du domaine,
CONTOSO\Aaron.Painter_Admin.
4. Tapez Pa$$w0rd et appuyez sur ENTRE.
Vous tes invit saisir le mot de passe associ l'objet utilisateur,
SERVER01\Administrator.
5. Tapez Pa$$w0rd et appuyez sur ENTRE.
6. La commande s'effectue correctement et SERVER01 redmarre.
7. Ouvrez une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman
Cela confirme que le serveur a correctement rejoint le domaine.
8. Fermez votre session sur SERVER01.

pratique B.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Administrer des
objets et des comptes
dordinateurs

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Administrer des objets et des comptes dordinateurs L5-87

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Administrer les objets ordinateurs tout au long
de leur cycle de vie
Les ordinateurs virtuels doivent dj tre dmarrs et disponibles la fin de
lAtelier pratique A. Toutefois, si ce nest pas le cas, vous devez excuter les tapes
1 3 ci-dessous, puis effectuer les exercices 1 3 de lAtelier pratique A avant de
continuer. Vous ne pourrez pas effectuer lAtelier pratique B si vous navez pas
achev lAtelier pratique A.
3. Dmarrez 6238B-SERVER01-B.

Tche 2 : Configurer des attributs dobjet ordinateur
1. Sur HQDC01, excutez Utilisateurs et ordinateurs Active Directory avec les
l'unit d'organisation Client Computers et cliquez sur SEA.
3. Cliquez avec le bouton droit sur LNO8538, puis cliquez sur Proprits.
4. Cliquez sur longlet Gr par.
6. Tapez Linda Mitchell et appuyez sur ENTRE.
Notez que les informations de contact de Linda sont renseignes dans l'onglet
Gr par.
7. Cliquez sur OK pour fermer la bote de dialogue Proprits de l'ordinateur.
8. Rptez les tapes 3 8 pour attribuer LOT9179 Scott Mitchell.
9. Cliquez sur LOT9179.
10. Maintenez la touche CTRL enfonce lorsque vous cliquez sur LNO8538. Les
deux ordinateurs devraient maintenant tre slectionns.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Cliquez avec le bouton droit sur l'un des lments slectionns, LNO8538 ou
LOT9179, puis cliquez sur Proprits.
12. Cochez la case Modifier le texte de description des objets slectionns.
13. Tapez Scott and Linda Mitchell.
14. Cliquez sur OK.

Tche 3 : Ajouter des ordinateurs des groupes de gestion de logiciels
1. Dans larborescence de la console, cliquez sur l'unit d'organisation SEA, puis
cliquez avec le bouton droit sur LOT9179 dans le volet d'informations, et
cliquez ensuite sur Ajouter un groupe.
2. Tapez APP_ et appuyez sur Entre.
La bote de dialogue lments multiples trouvs saffiche.
3. Cliquez sur APP_Project, puis sur OK.
Le message suivant saffiche : Lopration Ajouter au groupe est termine.
4. Cliquez sur OK.
5. Dans larborescence de la console, dveloppez lUO Groupes, puis cliquez sur
Application.
6. Cliquez avec le bouton droit sur APP_Project, puis cliquez sur Proprits.
9. Tapez LNO8538, puis appuyez sur Entre.
La bote de dialogue Impossible de trouver le nom saffiche.
Par dfaut, linterface Slectionner les utilisateurs, les ordinateurs ou les
groupes ne recherche pas les objets ordinateur.
10. Cliquez sur Types dobjets.
11. Activez la case cocher en regard de Ordinateur, puis cliquez sur OK.
12. Cliquez sur OK pour fermer la bote de Impossible de trouver le nom.
Les deux ordinateurs sont prsent visibles sous longlet Membres.
13. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Dplacer un ordinateur dune UO une autre
1. Dans lunit dorganisation Client Computers\SEA, cliquez sur LOT9179.
2. Faites glisser LOT9179 vers lUO VAN, qui figure dans larborescence de la
console.
Un message saffiche pour vous rappeler que le dplacement dobjets dans
Active Directory doit se faire avec prcautions.
3. Cliquez sur Oui.
4. Cliquez avec le bouton droit sur LNO8538, puis cliquez sur Dplacer.
La bote de dialogue Dplacer saffiche.
5. Dveloppez lunit dorganisation Client Computers, puis cliquez sur lunit
dorganisation VAN.
6. Cliquez sur OK.

Tche 5 : Dsactiver, activer et supprimer des ordinateurs
1. Dans lunit dorganisation SEA, cliquez avec le bouton droit sur DEP6152,
puis cliquez sur Dsactiver le compte.
2. Cliquez sur Oui.
Le message suivant saffiche : L'objet DEP6152 a t dsactiv.
3. Cliquez sur OK.
4. Cliquez avec le bouton droit sur DEP6152, puis cliquez sur Activer le compte.
Le message suivant saffiche : L'objet DEP6152 a t activ.
5. Cliquez sur OK.
6. Cliquez avec le bouton droit sur DEP6152, puis cliquez sur Supprimer.
7. Cliquez sur Oui.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Administrer les comptes dordinateurs et
rsoudre les problmes associs
Tche 1 : Rinitialiser un compte dordinateur
1. Dans lunit d'organisation VAN, cliquez avec le bouton droit sur LOT9179,
puis cliquez sur Rinitialiser le compte.
2. Cliquez sur Oui.
Le message suivant saffiche : Le compte LOT9179 a t rinitialis.
3. Cliquez sur OK.

Tche 2 : Faire lexprience dun problme de canal scuris
1. Ouvrez une session sur SERVER01 avec le nom d'utilisateur Pat.Coleman et le
2. Cliquez sur Dmarrer, puis pointez sur la flche en regard de l'icne Cadenas,
et cliquez sur Fermer la session.
dveloppez l'unit d'organisation Servers et cliquez sur l'unit d'organisation
File.
5. Cliquez avec le bouton droit sur SERVER01, puis cliquez sur Rinitialiser le
compte.
Du fait que SERVER01 est actuellement correctement joint au domaine, cette
tape rompt effectivement la relation d'approbation en rinitialisant le mot de
passe du compte sur le domaine sans impliquer ou informer SERVER01. Par
consquent, l'ordinateur ne connat pas son nouveau mot de passe.
6. Cliquez sur Oui.
Le message suivant saffiche : Le compte SERVER01 a t rinitialis.
7. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Essayez d'ouvrir une session sur SERVER01 sous le nom d'utilisateur
Pat.Coleman avec le mot de passe Pa$$w0rd.
Le message suivant saffiche : La relation dapprobation entre cette station de
travail et le domaine principal a chou.
9. Cliquez sur OK.

Tche 3 : Rinitialiser le canal scuris
dveloppez l'unit d'organisation Servers et cliquez sur l'unit d'organisation
File.
3. Cliquez avec le bouton droit sur SERVER01, puis cliquez sur Rinitialiser le
compte.
4. Cliquez sur Oui.
Le message suivant saffiche : Le compte SERVER01 a t rinitialis.
5. Cliquez sur OK.
Aprs avoir rinitialis le canal scuris, vous pouvez dplacer SERVER01 dans
un groupe de travail, puis le joindre nouveau au domaine. Il joindra son
compte rinitialis et donc conservera ses appartenances aux groupes.
Nexcutez pas cette tape pour cette fois.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Implmentation de la Stratgie de groupe L6-93
Module 6 : Implmentation d'une infrastructure
Stratgie de groupe
Atelier pratique A :
Implmentation de la Stratgie de
groupe
Le Bureau de Windows
s'affiche.

d'administration
2. Cette bote de dialogue affiche une option parmi trois possibles. Effectuez les
tapes correspondant l'option que vous voyez :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L6-94 Module 6 : Implmentation d'une infrastructure Stratgie de groupe
Si elle vous donne la possibilit d'utiliser un autre compte :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Cration, modification et liaison d'objets GPO
3. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session sur le systme.

Tche 2 : Cration d'un objet GPO
1. Excutez Gestion de stratgie de groupe avec des informations
2. Dans l'arborescence de la console, dveloppez Fort : contoso.com,
Domaines et contoso.com, puis cliquez sur le conteneur Objets de stratgie
de groupe.
3. Dans l'arborescence de la console, cliquez du bouton droit sur le conteneur
Objets de stratgie de groupe et choisissez Nouveau.
4. Dans Nom : tapez CONTOSO Standards, puis cliquez sur OK.

Tche 3 : Modification des paramtres d'un objet GPO
1. Dans le volet d'informations de la console Gestion de stratgie de groupe
(GPMC), cliquez du bouton droit sur le GPO CONTOSO Standards et
choisissez Modifier.
L'diteur de gestion des stratgies de groupe (GPME) s'ouvre.
2. Dans l'arborescence de la console, dveloppez Configuration utilisateur,
Stratgies et Modles d'administration, puis cliquez sur Systme.
3. Double-cliquez sur le paramtre de stratgie Empcher laccs aux outils de
modification du Registre.
4. Cliquez sur Activ.
5. Dans la liste droulante Dsactiver l'excution silencieuse de Regedit ?,
slectionnez Oui.
6. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Dans l'arborescence de la console, dveloppez successivement Configuration
utilisateur, Stratgies, Modles d'administration, Panneau de
configuration, puis cliquez sur Affichage.
8. Dans le volet dinformations, cliquez sur le paramtre de stratgie Dlai
d'activation de l'cran de veille.
9. Notez le texte d'explication dans la marge gauche du volet d'informations de la
console.
10. Double-cliquez sur le paramtre de stratgie Dlai d'activation de l'cran de
veille.
11. Lisez le texte d'explication dans l'onglet Expliquer.
12. Ouvrez l'onglet Paramtre, et cliquez sur Activ.
13. Dans le champ Secondes, tapez 600, et cliquez sur OK.
14. Double-cliquez sur le paramtre de stratgie Un mot de passe protge l'cran
de veille.
15. Cliquez sur Activ, puis sur OK.
16. Fermez l'diteur GPME.
Les modifications apportes dans l'diteur GPME sont enregistres en temps
rel. Il nexiste pas de commande Enregistrer.

Tche 4 : Dfinition de l'tendue d'un objet GPO par un lien GPO
1. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur le
domaine contoso.com et choisissez Lier un objet de stratgie de groupe
existant.
2. Slectionnez CONTOSO Standards, puis cliquez sur OK.

Tche 5 : Vrification des effets de l'application de la stratgie de
groupe
1. Passez DESKTOP101.
2. Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur Pat.Coleman
et le mot de passe Pa$$w0rd.
3. Cliquez avec le bouton droit sur le bureau, puis cliquez sur Personnaliser.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Cliquez sur cran de veille.
5. Notez que la commande Attendre est dsactive et que vous ne pouvez pas
modifier le dlai.
6. Notez que l'option la reprise, demander l'ouverture de session est
slectionne et dsactive. Cela signifie que vous ne pouvez pas dsactiver la
protection par mot de passe.
7. Cliquez nouveau sur OK pour fermer la bote de dialogue cran de veille.
8. Cliquez sur Dmarrer et tapez regedit.exe dans la zone de texte Rechercher.
Le message suivant saffiche : La modification du Registre a t dsactive par
votre administrateur.
9. Cliquez sur OK.

Tche 6 : Exploration des paramtres des GPO
2. Cliquez du bouton droit sur le GPO CONTOSO Standards et choisissez
Modifier.
3. Prenez le temps de dcouvrir les paramtres disponibles dans un GPO.
N'apportez aucune modification.

Remarque : N'arrtez pas les ordinateurs virtuels la fin de cet atelier pratique car les
Question : Quels paramtres de stratgie votre entreprise a-t-elle dj dploys
l'aide d'une Stratgie de groupe ?
Question : Quels paramtres de stratgie avez-vous dcouverts et envisagez-vous
d'implmenter dans votre entreprise ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Gestion des
paramtres et des objets GPO

d'administration
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Gestion des paramtres et des objets GPO L6-99

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Utilisation du filtrage et des commentaires
L'ordinateur virtuel devrait dj avoir t dmarr et tre disponible aprs l'atelier
pratique A. Toutefois, si ce n'est pas le cas, suivez la procdure ci-dessous, puis
effectuez l'exercice 1 de l'atelier pratique A avant de continuer.

Tche 2 : Recherche et filtrage des paramtres de stratgie
1. Excutez Gestion de stratgie de groupe avec des informations
2. Dans l'arborescence de la console, dveloppez Fort : contoso.com, Domaines
et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe.
3. Dans le volet d'informations, cliquez du bouton droit sur le GPO CONTOSO
Standards et choisissez Modifier.
L'diteur de gestion des stratgies de groupe s'ouvre.
Stratgies, puis cliquez sur Modles d'administration.
5. Cliquez du bouton droit sur Modles d'administration et choisissez Options
des filtres.
6. Cochez la case Activer les filtres par mots cls.
7. Dans la zone de texte Filtrer par le ou les mots, tapez cran de veille.
8. Dans la liste droulante accole la zone de texte, slectionnez Exacte, puis
cliquez sur OK.
Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls
ceux qui contiennent les mots cran de veille s'affichent.
9. Prenez le temps d'examiner les paramtres dtects.
10. Dans l'arborescence de la console, cliquez du bouton droit sur Modles
d'administration sous Configuration utilisateur, et choisissez Options des
filtres.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Dsactivez la case cocher Activer les filtres par mots cls.
12. Dans la liste droulante Configur, slectionnez Oui, puis cliquez sur OK.
Les paramtres de stratgie Modles d'administration sont alors filtrs et seuls
ceux qui ont t configurs (activs ou dsactivs) s'affichent.
13. Prenez le temps d'examiner ces paramtres.
14. Dans l'arborescence de la console, cliquez du bouton droit sur Modles
d'administration sous Configuration utilisateur, et dsactivez l'option Filtre
activ.

Tche 3 : Documentation des GPO et des paramtres l'aide de
commentaires
1. Dans l'arborescence de la console diteur de gestion des stratgies de groupe,
cliquez du bouton droit sur le nud racine CONTOSO Standards et
choisissez Proprits.
2. Ouvrez l'onglet Commentaire.
3. Tapez Contoso corporate standard policies. Settings are scoped to all users
and computers in the domain. Person responsible for this GPO: votre nom.
Ce commentaire s'affiche dans l'onglet Dtails de lobjet de stratgie de groupe
dans la console GPMC.
4. Cliquez sur OK.
utilisateur, Stratgies, Modles d'administration et Panneau de
6. Double-cliquez sur le paramtre de stratgie cran de veille.
8. Tapez Corporate IT Security Policy implemented with this policy in
combination with Password Protect the Screen Saver, puis cliquez sur OK.
9. Double-cliquez sur le paramtre de stratgie Un mot de passe protge l'cran
de veille.
11. Tapez Corporate IT Security Policy implemented with this policy in
combination with Screen Saver Timeout, puis cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Gestion des modles d'administration
Tche 1 : tude de la syntaxe d'un modle d'administration
1. Cliquez sur Dmarrer, puis sur Excuter. Tapez ensuite
%SystemRoot%\PolicyDefinitions et appuyez sur ENTRE.
Le dossier PolicyDefinitions s'ouvre.
2. Ouvrez le dossier en-us ou celui de votre rgion et de votre langue.
3. Double-cliquez sur ControlPanelDisplay.adml.
4. Cliquez sur l'option Slectionner un programme dans la liste des
programmes installs et cliquez sur OK.
5. Choisissez Bloc-notes et cliquez sur OK.
6. Cliquez sur le menu Format et slectionnez l'option Retour automatique la
ligne pour l'activer.
7. Recherchez le texte ScreenSaverIsSecure.
Il s'agit de la dfinition d'une variable de chane nomme ScreenSaverIsSecure.
8. Notez le texte situ entre les balises <string> et </string>.
9. Notez le nom de la variable de la ligne suivante, ScreenSaverIsSecure_Help et
le texte situ entre les balises <string> et </string>.
10. Fermez la fentre.
11. Accdez au dossier PolicyDefinitions.
12. Double-cliquez sur ControlPanelDisplay.admx.
13. Cliquez sur l'option Slectionner un programme dans la liste des
programmes installs et cliquez sur OK.
14. Choisissez Bloc-notes et cliquez sur OK.
15. Recherchez le texte ScreenSaverIsSecure.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
16. Examinez le code du fichier, galement illustr ci-dessous :
<policy name="ScreenSaverIsSecure" class="User"
displayName="$(string.ScreenSaverIsSecure)"
explainText="$(string.ScreenSaverIsSecure_Help)"
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure">
<parentCategory ref="Display" />
<supportedOn ref="windows:SUPPORTED_Win2kSP1" />
<enabledValue>
<string>1</string>
</enabledValue>
<disabledValue>
<string>0</string>
</disabledValue>
</policy>
17. Identifiez les parties du modle qui dfinissent les lments suivants :
Le nom du paramtre de stratgie qui apparat dans la console GPME
Rponse : $(string.ScreenSaverIsSecure)
Le texte explicatif de ce paramtre de stratgie
Rponse : $(string.ScreenSaverIsSecure_Help)
La cl et la valeur de Registre affectes par ce paramtre de stratgie
class="User" (HKCU)
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure
Les donnes places dans le Registre si la stratgie est active
<enabledValue><string>1</string></enabledValue>
Les donnes places dans le Registre si la stratgie est dsactive
<disabledValue><string>0</string></disabledValue>
18. Fermez le fichier, puis fermez la fentre de lExplorateur Windows,
PolicyDefinitions.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Gestion des modles d'administration classiques (fichiers
.ADM)
1. Revenez au GPME.
3. Cliquez avec le bouton droit sur Modles dadministration, puis cliquez sur
Ajout/Suppression de des modles.
5. Naviguez jusqu'au dossier D:\Labfiles\Lab06b\Office 2007 Administrative
Templates.
6. Ouvrez le dossier ADM, puis le dossier en-us.
7. Cliquez sur office12.adm, puis cliquez sur Ouvrir.
Le nud intitul Modles d'administration classiques (ADM) apparat dans
l'arborescence des Modles d'administration.
9. Dans l'arborescence de la console, dveloppez Modles d'administration,
Modles d'administration classiques (ADM) et Systme Microsoft
Office 2007.
Les modles d'administration classiques (fichiers .ADM) sont avant tout
destins aux entreprises qui ne grent pas la stratgie de groupe avec les
systmes d'exploitation Windows Vista, Windows Server 2008 ou ultrieurs.
Il est prfrable d'utiliser un ordinateur excutant la version la plus rcente de
Windows pour grer une stratgie de groupe. Ainsi, vous pouvez afficher et
modifier tous les paramtres de stratgie disponibles, y compris ceux qui
s'appliquent aux versions prcdentes de Windows. Si l'un de vos ordinateurs
fonctionne sous Windows Vista, Windows Server 2008 ou une version
ultrieure, utilisez-le pour grer la stratgie de groupe, vous n'aurez ainsi pas
besoin des modles d'administration classiques (fichiers .ADM files) lorsque
des fichiers .ADMX/.ADML sont disponibles.
Remarquez que le format du modle affecte uniquement la gestion de la
stratgie de groupe. Les paramtres s'appliqueront aux versions de Windows
selon les descriptions de la section Pris en charge sur ou Conditions requises
des proprits du paramtre de stratgie.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10. Cliquez avec le bouton droit sur Modles dadministration, puis cliquez sur
Ajout/Suppression de des modles.
11. Cliquez sur office12, puis cliquez sur Supprimer.

Tche 3 : Gestion des fichiers .ADMX et .ADML
1. Cliquez sur Dmarrer, sur Excuter, tapez D:\Labfiles\Lab06b\Office 2007
Administrative Templates et appuyez sur ENTRE.
2. Ouvrez le dossier ADMX.
3. Slectionnez tous les fichiers .ADMX et le dossier en-us, ou le dossier
correspondant votre langue et votre rgion, puis appuyez sur CTRL+C pour
les copier.
4. Cliquez sur Dmarrer, puis sur Excuter. Tapez ensuite
%SystemRoot%\PolicyDefinitions et appuyez sur ENTRE.
5. Appuyez sur Ctrl+V pour coller les fichiers et le dossier.
Vous tes invit fusionner le dossier en-us.
6. Activez la case cocher Faire ceci pour tous les lments actuels, puis
cliquez sur Continuer.
Des autorisations administratives vous sont demandes.
7. Activez la case cocher Effectuer cette opration pour tous les lments en
cours, puis cliquez sur Continuer. La bote de dialogue Contrle de compte
dutilisateur saffiche.
9. Dans le champ Mot de passe, tapez Pa$$word.
10. Cliquez sur OK.
11. Fermez lExplorateur Windows.
13. Dans l'arborescence de la console GPMC, cliquez du bouton droit sur
CONTOSO Standards, puis sur Modifier. Le GPME s'affiche.
15. Notez l'ajout des dossiers de paramtres de stratgie Microsoft Office 2007.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Cration du magasin central
1. Dans le GPME, slectionnez le nud Modles d'administration sous
Configuration utilisateur\Stratgies.
2. Notez le titre affich dans les rapports du volet d'informations : Dfinitions de
la stratgie (fichiers ADMX) rcupres partir de l'ordinateur local.
4. Ouvrez l'invite de commandes avec les informations d'identification
Pa$$w0rd.
5. Tapez md \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
\en-us et appuyez sur ENTRE.
Si vous utilisez une autre langue ou rgion, remplacez en-us par le dossier
appropri.
6. Tapez xcopy %systemroot%\PolicyDefinitions
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions et
appuyez sur ENTRE.
Les fichiers .ADMX sont copis.
7. Tapez xcopy %systemroot%\PolicyDefinitions\en-us
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\en-us et
appuyez sur ENTRE.
Si vous utilisez une autre langue ou rgion, remplacez en-us par le dossier
approprie.
Les fichiers .ADML sont copis.
8. Dans la console GPMC, cliquez du bouton droit sur CONTOSO Standards,
puis sur Modifier.
10. Notez le titre affich dans les rapports du volet d'informations : Dfinitions de
la stratgie (fichiers ADMX) rcupres partir du magasin central.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Dcrivez la relation entre les fichiers de modle d'administration
(fichiers .ADMX et .ADML) et la console GPME.
Rponse : Les fichiers ADMX crent l'interface utilisateur de l'diteur GPME et
dterminent les valeurs du Registre appliques lors de la dfinition d'un paramtre
de stratgie. Les fichiers .ADML fournissent les lments propres la langue (le
texte) de l'interface utilisateur.
Question : quel moment une entreprise obtient un magasin central ? Quels en
sont les avantages ?
Rponse : Un magasin central est cr manuellement par ajout d'un dossier
PolicyDefinitions au dossier \\domain\sysvol\domain\Policies.
Question : Quels sont les avantages de la gestion d'une stratgie de groupe partir
d'un client excutant la dernire version de Windows ? Les paramtres que vous
grez s'appliquent-ils aux versions prcdentes de Windows ?
Rponse :Si vous grez la stratgie de groupe avec un client excutant la dernire
version de Windows, vous pourrez exploiter les derniers modles d'administration et
afficher les paramtres s'appliquant cette version et toutes les versions
prcdentes de Windows. Les paramtres de stratgie que vous configurez seront
appliqus non pas sur la base de la version de Windows utilise pour grer la
stratgie de groupe, mais sur la base des versions de Windows auxquelles le
paramtre de stratgie peut s'appliquer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Gestion de
l'tendue de la stratgie de groupe

d'administration
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Gestion de l'tendue de la stratgie de groupe L6-109

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configurer l'tendue d'un objet de stratgie de
groupe avec des liens
les ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procdure ci-
dessous, puis effectuez les exercices des ateliers pratiques A et B avant de
continuer.
3. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session sur le systme.

Tche 2 : Cration d'un GPO avec un paramtre de stratgie prioritaire
en cas de conflit entre paramtres
l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation
Employees.
3. Cliquez avec le bouton droit sur lunit dorganisation Employees, pointez sur
Nouveau, puis cliquez sur Unit dorganisation.
4. Tapez Engineers, puis cliquez sur OK.
6. Excutez la console Gestion des stratgies de groupe avec des informations
La console Gestion des stratgies de groupe s'affiche.
7. Dans l'arborescence de la console, dveloppez Fort : contoso.com, Domains,
contoso.com, User Accounts et Employees, et cliquez sur l'unit
d'organisation Engineers.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez avec le bouton droit sur lunit dorganisation Engineers, puis cliquez
sur Crer un objet GPO dans ce domaine, et le lier ici.
9. Tapez Engineering Application Override et appuyez sur ENTRE.
10. Cliquez avec le bouton droit sur lobjet de stratgie de groupe Engineering
Application Override, puis cliquez sur Modifier.
utilisateur, Stratgies, Modles d'administration, Panneau de
veille.
13. Cliquez sur Dsactiv, puis sur OK.
15. Dans l'arborescence de la console GPMC, cliquez sur l'unit d'organisation
Engineers.
16. Slectionnez longlet Hritage de stratgie de groupe.
17. Notez que l'objet de stratgie de groupe Engineering Application Override
est prioritaire sur l'objet de stratgie de groupe CONTOSO Standards.
Le paramtre de stratgie Dlai d'activation de l'cran de veille que vous venez
de configurer dans l'objet de stratgie de groupe Engineering Application
Override sera appliqu aprs le paramtre dans l'objet de stratgie de groupe
CONTOSO Standards. Le nouveau paramtre remplacera donc le paramtre
standard et gagnera . Le dlai d'activation de l'cran de veille sera dsactiv
pour les utilisateurs entrant dans l'tendue de l'objet de stratgie de groupe
Engineering Application Override.

Tche 3 : Constatation de l'effet du lien d'un objet de stratgie de
groupe appliqu
1. Dans l'arborescence de la console GPMC, slectionnez l'unit d'organisation
Domain Controllers et ouvrez l'onglet Hritage de stratgie de groupe.
2. Vous remarquerez que le GPO 6238B a la priorit la plus leve. Les
paramtres de ce GPO remplaceront donc tous les paramtres conflictuels des
autres GPO.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L'objet de stratgie de groupe Default Domain Controllers spcifie, entre
autres, quels groupes sont autoriss se connecter localement aux contrleurs
de domaine. Pour renforcer la scurit des contrleurs de domaine, les
utilisateurs standards ne sont pas autoriss se connecter localement. Pour
qu'un compte d'utilisateur sans privilge tel que Pat.Coleman puisse se
connecter aux contrleurs de domaine dans le cadre de ce cours, l'objet de
stratgie de groupe 6238B accorde aux Utilisateurs de domaine le droit de se
connecter localement un ordinateur. L'objet de stratgie de groupe 6238B
tant reli au domaine, ses paramtres doivent normalement tre remplacs
par ceux de l'objet de stratgie de groupe Default Domain Controllers. Par
consquent, le lien de l'objet de stratgie de groupe 6238B au domaine est
configur sur Appliqu. Le conflit d'affectation des droits d'utilisateur entre les
deux objets de stratgie de groupe est donc remport par l'objet de stratgie
de groupe 6238B.

Tche 4 : Application de l'option Bloquer l'hritage
1. Dans l'arborescence de la console GPMC, slectionnez l'unit d'organisation
Engineers et ouvrez l'onglet Hritage de stratgie de groupe.
2. Examinez l'hritage et la priorit des objets de stratgie de groupe.
3. Cliquez avec le bouton droit sur lunit dorganisation Engineers, puis cliquez
sur Bloquer lhritage.
Question : Quels GPO continuent s'appliquer aux utilisateurs de l'unit
d'organisation Engineers ? quoi ces GPO sont-ils relis ? Pourquoi ont-ils
continu s'appliquer ?
Rponse : L'objet de stratgie de groupe Engineering Application Override, qui est li
l'unit d'organisation Engineers elle-mme, et l'objet de stratgie de groupe 6238B,
li au domaine, continuent de s'appliquer. L'objet de stratgie de groupe 6238B
continue de s'appliquer aux utilisateurs dans cette unit d'organisation car son lien
est appliqu de force.
4. Cliquez avec le bouton droit sur lunit dorganisation Engineers, puis
dsactivez Bloquer lhritage.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration de l'tendue d'un GPO par
filtrage
Tche 1 : Configuration de l'application des stratgies avec le filtrage
de scurit
l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation
Configuration.
3. Cliquez avec le bouton droit sur l'unit d'organisation Configuration, pointez
sur Nouveau, puis cliquez sur Groupe.
4. Tapez GPO_Engineering Application Override_Apply, puis appuyez sur
ENTRE.
5. Basculez vers la console Gestion de stratgie de groupe.
6. Dans l'arborescence de la console, dveloppez l'unit d'organisation
Engineers, puis cliquez sur le lien de l'unit d'organisation Engineering
Application Override sous Engineers.
Un message saffiche.
7. Lisez-le, puis cliquez sur Ne plus afficher ce message, puis sur OK.
8. Remarquez que, dans la section Filtrage de scurit, l'objet de stratgie de
groupe s'applique par dfaut tous les utilisateurs authentifis.
9. Dans la section Filtrage de scurit, slectionnez Utilisateurs authentifis.
10. Cliquez sur le bouton Supprimer. Une bote de dialogue de confirmation
s'affiche.
11. Cliquez sur OK.
La bote de dialogue Slectionnez Utilisateur, Ordinateur, Groupe apparat.
13. Tapez GPO_Engineering Application Override_Apply, puis appuyez sur
ENTRE.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Configuration d'une exemption par le filtrage de scurit
l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation
Configuration.
3. Cliquez avec le bouton droit sur l'unit d'organisation Configuration, pointez
sur Nouveau, puis cliquez sur Groupe.
4. Tapez GPO_CONTOSO Standards_Exempt, puis appuyez sur ENTRE.
5. Basculez vers la console Gestion des stratgies de groupe.
6. Dans l'arborescence de la console, cliquez sur le lien de l'objet de stratgie de
groupe CONTOSO Standards au domaine contoso.com.
7. Remarquez que, dans la section Filtrage de scurit, l'objet de stratgie de
groupe s'applique par dfaut tous les utilisateurs authentifis.
8. Ouvrez l'onglet Dlgation.
9. Cliquez sur le bouton Avanc.
La bote de dialogue Paramtres de scurit de CONTOSO Standards s'affiche.
La bote de dialogue Slectionnez Utilisateur, Ordinateur ou Groupes apparat.
11. Tapez GPO_CONTOSO Standards_Exempt, puis appuyez sur ENTRE.
12. Activez la case cocher sous Refuser et en regard Appliquer la stratgie de
groupe.
13. Cliquez sur OK.
Un message davertissement vous rappelle que les refus ont priorit sur les
autorisations.
14. Cliquez sur Oui.
15. Remarquez que l'autorisation s'affiche dans l'onglet Dlgation en tant que
Personnalise.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Configuration du traitement en boucle
Tche 1 : Configuration du traitement en boucle
1. Dans l'arborescence de la console GPMC, dveloppez l'unit d'organisation
Kiosks, puis cliquez sur l'unit d'organisation Conference Rooms.
2. Cliquez avec le bouton droit sur lunit dorganisation Conference Rooms,
puis cliquez sur Crer un objet GPO dans ce domaine, et le lier ici.
3. Dans le champ Nom, tapez Conference Room Policies, puis appuyez sur
ENTRE.
4. Dans l'arborescence de la console, dveloppez Conference Rooms, puis
cliquez sur l'objet de stratgie de groupe Conference Room Policies.
5. Ouvrez l'onglet tendue.
6. Vrifiez que l'tendue de l'objet de stratgie de groupe est dfinie sur
Utilisateurs authentifis.
7. Cliquez du bouton droit sur l'objet de stratgie de groupe Conference Room
Policies dans l'arborescence de la console, puis cliquez sur Modifier.
8. Dans l'arborescence de la console du GPME, dveloppez successivement
Configuration utilisateur, Stratgies, Modles d'administration, Panneau
de configuration, puis cliquez sur Affichage.
veille.
11. Dans le champ Secondes, tapez 2700, et cliquez sur OK.
12. Dans l'arborescence de la console, dveloppez Configuration ordinateur,
Stratgies, Modles d'administration et Systme, puis cliquez sur Stratgie
de groupe.
13. Double-cliquez sur le paramtre de stratgie Mode de traitement par boucle
de rappel de la stratgie de groupe utilisateur.
15. Dans la liste droulante Mode, slectionnez Fusionner, puis cliquez sur OK.
16. Fermez l'diteur de gestion des stratgies de groupe.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Question : Nombre d'organisations s'appuient largement sur le filtrage des
groupes de scurit pour dfinir l'tendue des GPO, au lieu de relier les GPO des
units d'organisation spcifiques. Dans ces organisations, les objets de stratgie de
groupe sont gnralement relis trs en amont dans la structure logique d'Active
Directory
: au domaine lui-mme ou une unit d'organisation de premier niveau.

Quels sont les avantages de l'utilisation du filtrage des groupes de scurit par
rapport la dfinition des liens de GPO pour grer l'tendue d'un GPO ?
Rponse : Lorsque l'on s'appuie sur les UO pour dfinir l'tendue d'application des
GPO, le problme fondamental est qu'une UO est une structure fixe et inflexible
dans Active Directory, et que ce mme utilisateur ou ordinateur ne peut exister que
dans une seule UO. Lorsque les entreprises grandissent en taille et en complexit, il
devient plus difficile d'associer les conditions de configuration dans une relation
univoque avec une structure quelconque de conteneurs. Avec les groupes de
scurit, un utilisateur ou un ordinateur peut ventuellement appartenir plusieurs
groupes et tre ajout ou supprim facilement sans affecter la scurit ou la gestion
du compte utilisateur ou ordinateur.
Question : Pour quelle raison la cration d'un groupe d'exemptions (groupe
auquel l'autorisation Appliquer la stratgie de groupe est refuse) peut-elle se
rvler utile pour chaque GPO cr ?
Rponse : Trs peu de scnarios garantissent que tous les paramtres d'un GPO
devront toujours s'appliquer tous les utilisateurs et ordinateurs compris dans son
tendue. Le fait de disposer d'un groupe d'exemptions vous permet d'tre certain de
toujours pouvoir exclure un utilisateur ou un ordinateur lorsque cela s'avre
ncessaire. Cela peut galement simplifier la rsolution des problmes de
compatibilit et de fonctionnalit. Il arrive parfois que des paramtres de GPO
spcifiques interfrent avec les fonctionnalits d'une application. Pour vrifier que
l'application fonctionne dans une installation pure de Windows, vous pouvez tre
amen exclure l'utilisateur ou l'ordinateur de l'tendue des objets de stratgie de
groupe, au moins pour la dure du test.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Utilisez-vous le traitement en boucle dans votre organisation ? Dans
quels cas et pour quels paramtres de stratgie le traitement en boucle offre-t-il un
avantage ?
Rponse : Les rponses varient. Les scnarios comprenant des salles de confrence,
des kiosques, des infrastructures de bureau virtuel et d'autres environnements
standard doivent videmment tre mentionns.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Rsolution des
problmes lis l'application des
stratgies

d'administration
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Rsolution des problmes lis l'application des stratgies L6-119

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Excution d'une analyse RSoP
les Ateliers pratiques A, B et C. Toutefois, si ce n'est pas le cas, suivez la procdure
ci-dessous, puis effectuez les exercices des Ateliers pratiques A, B et C avant de
continuer.
3. Dmarrez 6238B-DESKTOP101-A.
4. Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Pat.Coleman

Tche 2 : Actualisation de la Stratgie de groupe
1. Sur l'ordinateur virtuel DESKTOP101 excutez l'invite de commandes avec des
2. Tapez gpupdate.exe /force.
3. Attendez la fin de la commande.
4. Prenez note de l'heure actuelle du systme car vous en aurez besoin pour l'une
des prochaines tches de cet atelier.
5. Redmarrez DESKTOP101.
6. Attendez que DESKTOP101 ait redmarr avant de passer l'tape suivante.
N'ouvrez pas de session sur DESKTOP101.

Tche 3 : Cration d'un rapport RSoP sur les rsultats de la stratgie de
groupe
2. Excutez Gestion de stratgie du groupe avec des informations
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Dans l'arborescence de la console, dveloppez Fort : contoso.com, puis
cliquez sur Rsultats de la stratgie de groupe.
4. Cliquez avec le bouton droit sur Rsultats de stratgie de groupe, puis
cliquez sur Assistant Rsultats de stratgie de groupe.
5. Dans la page de l'Assistant Rsultats de stratgie de groupe, cliquez sur
Suivant.
6. Dans la page Slection des ordinateurs, cliquez sur Un autre ordinateur,
puis tapez DESKTOP101 dans la zone de texte. Cliquez sur Suivant.
7. Dans la page Slection de l'utilisateur, cliquez sur Afficher les paramtres de
stratgie de, puis cliquez sur Slectionner un utilisateur spcifique, et
choisissez CONTOSO\Pat.Coleman. Cliquez sur Suivant.
8. Vrifiez vos paramtres dans la page Aperu des slections, puis cliquez sur
Suivant.
9. Cliquez sur Terminer. Un rapport RSoP s'affiche dans le volet d'informations
de la console.
10. Si un message de scurit Internet Explorer
faisant rfrence
about:security_mmc.exe s'affiche, cliquez sur Ajouter. Dans la bote de
dialogue Sites de confiance, cliquez sur Ajouter, puis sur Fermer.
11. Examinez les rsultats du Rsum de la Stratgie de groupe. Pour les
configurations utilisateur et ordinateur, identifiez l'heure de la dernire
actualisation de stratgie et la liste des GPO autoriss et refuss. Identifiez les
composants qui ont t utiliss pour traiter les paramtres de stratgie.
12. Ouvrez l'onglet Paramtres. Examinez les paramtres qui ont t imposs lors
de l'application des stratgies utilisateur et ordinateur, et identifiez l'objet de
stratgie de groupe d'o proviennent les paramtres obtenus.
13. Ouvrez l'onglet vnements de stratgie et localisez l'vnement
correspondant la journalisation de l'actualisation de la stratgie que vous
avez dclenche par la commande GPUpdate lors de la tche 1.
14. Ouvrez l'onglet Rsum, puis cliquez du bouton droit dans la page et
choisissez Enregistrer le rapport.
15. Enregistrez le rapport sous forme de fichier HTML dans le lecteur D en lui
donnant le nom de votre choix.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Analyse RSoP avec la commande GPResults
1. Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur
Pat.Coleman_Admin avec le mot de passe Pa$$w0rd.
2. Ouvrez l'invite de commandes avec les informations d'identification
d'administrateur.
3. Tapez gpresult /r et appuyez sur ENTRE.
Les rsultats du rsum RSoP s'affichent.
Les informations sont trs semblables celles de l'onglet Rsum du rapport
RSoP produit par l'Assistant Rsultats de stratgie de groupe.
4. Tapez gpresult /v et appuyez sur ENTRE.
Le rapport RSoP produit est plus dtaill.
Remarquez que ce rapport prsente la plupart des paramtres de stratgie de
groupe appliqus par le client.
5. Tapez gpresult /z et appuyez sur ENTRE.
Le rapport RSoP produit est encore plus dtaill.
6. Tapez gpresult /h:"%userprofile%\Desktop\RSOP.html" et appuyez sur
ENTRE.
Un rapport RSoP est enregistr sous forme de fichier HTML sur votre Bureau.
7. Ouvrez le rapport RSoP enregistr sur votre Bureau.
8. Comparez le rapport, ses informations et sa mise en page et le rapport RSoP
que vous avez enregistr lors de la tche prcdente.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Utilisation de l'Assistant Modlisation de
stratgie de groupe
Tche 1 : Modlisation des rsultats de la stratgie de groupe
2. Dans l'arborescence de la console Gestion de stratgie de groupe, dveloppez
Fort: contoso.com, puis cliquez sur Modlisation de stratgie de groupe.
3. Cliquez du bouton droit sur Modlisation de stratgie du groupe et
choisissez Assistant Modlisation de stratgie de groupe.
L'Assistant Modlisation de stratgie de groupe s'affiche.
5. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.
6. Dans la section Informations sur l'utilisateur de la page Slection
d'ordinateurs et d'utilisateurs, cliquez sur le bouton d'option Utilisateur,
puis sur Parcourir.
La bote de dialogue Slectionner un utilisateur s'affiche.
7. Tapez Mike.Danseglio, puis appuyez sur ENTRE.
8. Dans la section Informations sur l'ordinateur, cliquez sur le bouton d'option
Ordinateur, puis sur Parcourir.
La bote de dialogue Slectionner un ordinateur s'affiche.
9. Tapez DESKTOP101 et appuyez sur ENTRE.
11. Dans la page Options de simulation avances, cochez la case Traitement en
boucle, puis cliquez sur Fusionner.
Bien que l'objet de stratgie de groupe Conference Room Polices spcifie le
traitement en boucle, vous devez demander l'Assistant Modlisation de
stratgie de groupe de tenir compte du traitement en boucle dans sa simulation.
13. Dans la page Autres chemins d'accs Active Directory, cliquez sur le bouton
Parcourir accol Emplacement de l'ordinateur.
La bote de dialogue Choisir un conteneur d'ordinateur s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
14. Dveloppez contoso.com et Kiosks, puis cliquez sur Conference Rooms.
Vous simulez ainsi l'impact de DESKTOP101 en tant qu'ordinateur de la salle
de confrence.
15. Cliquez sur OK.
17. Dans la page Groupe de scurit utilisateur, cliquez sur Suivant.
18. Dans la page Groupe de scurit ordinateur, cliquez sur Suivant.
19. Dans Filtres WMI pour Utilisateurs, cliquez sur Suivant.
20. Dans la page Filtres WMI pour Ordinateurs, cliquez sur Suivant.
21. Vrifiez vos paramtres dans la page Aperu des slections, puis cliquez sur
Suivant.
23. Dans l'onglet Rsum, localisez et dveloppez ventuellement Configuration
utilisateur, Objets de stratgie de groupe et Objets de stratgie de groupe
appliqus.
24. Le GPO Conference Room Policies s'appliquera-t-il Mike Danseglio en tant
que stratgie utilisateur lorsqu'il ouvrira une session sur DESKTOP101 si ce
dernier est dans l'unit d'organisation Conference Rooms ?
Si ce n'est pas le cas, vrifiez l'tendue de l'objet de stratgie de groupe
Conference Room Policies. Ce dernier doit tre reli l'unit d'organisation
Conference Rooms avec un filtrage de groupe de scurit appliquant l'objet de
stratgie de groupe l'identit spciale Utilisateurs authentifis. Pour
rexcuter la requte, vous pouvez cliquer du bouton droit sur la requte de
modlisation. Si l'objet de stratgie de groupe ne s'applique toujours pas,
tentez de supprimer, puis de recrer le rapport Group Policy Modeling en
faisant bien attention de suivre chaque tape avec prcision.
25. Ouvrez l'onglet Paramtres.
26. Localisez et, au besoin, dveloppez Configuration utilisateur, Stratgies,
Modles d'administration et Panneau de configuration/Affichage.
27. Vrifiez que le dlai d'activation de l'cran de veille est dfini sur 2 700
secondes (45 minutes), paramtre configur par le GPO Conference Room
Policies qui remplace le paramtre standard de 10 minutes configur par le
GPO CONTOSO Standards.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Affichage des vnements de stratgie
Tche 1 : Affichage des vnements de stratgie
2. Cliquez sur Dmarrer, puis sur Panneau de configuration.
3. Cliquez sur Systme et maintenance.
4. Cliquez sur Outils d'administration.
5. Double-cliquez sur l'Observateur d'vnements.
L'Observateur d'vnements apparat.
7. Dans l'arborescence de la console, dveloppez Journaux Windows et cliquez
sur le journal Systme.
8. Recherchez les vnements ayant GroupPolicy comme Source.
Vous pouvez mme cliquer sur le lien Filtrer le journal actuel dans le volet
Actions, puis slectionner GroupPolicy dans la liste droulante Sources
d'vnements.
9. Examinez les informations associes aux vnements GroupPolicy.
10. Dans l'arborescence de la console, cliquez sur le journal Application.
11. Triez le journal Application en fonction de la colonne Source.
12. Consultez la liste et identifiez les vnements Stratgie de groupe qui ont t
consigns dans ce journal. Quels vnements sont lis l'application Stratgie
de groupe, et quels vnements sont lis aux activits que vous avez
entreprises pour grer Stratgie de groupe ?
En fonction de la dure d'excution de l'ordinateur virtuel, il se peut que vous
n'ayez aucun vnement de stratgie de groupe dans le journal de
l'application.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
des services, Microsoft, Windows et GroupPolicy, puis slectionnez
Operational.
14. Recherchez le premier vnement li l'actualisation de la Stratgie de groupe
que vous avez dclenche au cours de l'exercice 1, avec la commande
GPUpdate. Vrifiez cet vnement et les suivants.

Question : Dans quelles circonstances avez-vous dj utilis des rapports RSoP
pour rsoudre des problmes d'application de stratgie de groupe dans votre
organisation ?
Question : Dans quels cas avez-vous utilis, ou pouvez-vous envisager d'utiliser, la
modlisation de stratgie de groupe ?
Question : Avez-vous dj diagnostiqu un problme d'application de stratgie de
groupe sur la base des vnements de l'un des journaux d'vnements ?

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Dlgation du support technique des ordinateurs L7-127
Module 7 : Gestion et configuration de la
scurit en entreprise avec les paramtres de
stratgie de groupe
Atelier pratique A : Dlgation du
support technique des ordinateurs

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L7-128 Module 7 : Gestion et configuration de la scurit en entreprise avec les paramtres de stratgie de groupe

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration des membres du groupe
Administrateurs l'aide des stratgies de groupes restreints
3. Dmarrez 6238B-DESKTOP101-A, mais n'ouvrez pas de session sur le
systme.

Tche 2 : Dlgation de l'administration de tous les clients du
domaine
1. Sur HQDC01, cliquez sur Dmarrer > Outils d'administration et excutez
Gestion de stratgie de groupe avec des informations d'identification
Pa$$w0rd.
2. Dans l'arborescence de la console, dveloppez Forest:contoso.com,
de groupe.
3. Cliquez avec le bouton droit sur le conteneur Objets de stratgie de groupe,
puis cliquez sur Nouveau.
4. Dans la zone Nom, entrez Corporate Help Desk, puis cliquez sur OK.
5. Dans le volet d'informations, cliquez avec le bouton droit sur Corporate Help
Desk, puis cliquez sur Modifier.
Stratgies, Paramtres Windows, Paramtres de scurit, puis cliquez sur
Groupes restreints.
7. Cliquez avec le bouton droit sur Groupes restreints, puis cliquez sur Ajouter
un groupe.
8. Cliquez sur le bouton Parcourir.
La bote de dialogue Slectionner des groupes s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
9. Tapez CONTOSO\Help Desk, puis appuyez sur ENTRE.
10. Cliquez sur OK pour fermer la bote de dialogue Ajouter un groupe.
La bote de dialogue Proprits de CONTOSO\Help Desk s'affiche.
11. Dans la section Ce groupe est membre de, cliquez sur le bouton Ajouter.
La bote de dialogue Appartenance au groupe apparat.
12. Entrez Administrators et cliquez sur OK.
14. Fermez l'diteur de gestion de stratgie de groupe.
15. Dans l'arborescence de la console Gestion de stratgie de groupe, cliquez
avec le bouton droit sur lunit d'organisation Client Computers, puis cliquez
sur Lier un objet de stratgie de groupe existant.
La bote de dialogue Slectionner un objet de stratgie de groupe s'affiche.
16. Slectionnez l'objet de stratgie de groupe Corporate Help Desk et cliquez sur
OK.
17. Fermez la console Gestion des stratgies de groupe.

Tche 3 : Cration d'un groupe Seattle Support.
l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation Role.
3. Cliquez avec le bouton droit sur Role, pointez sur Nouveau, puis cliquez sur
Groupe.
4. Tapez SEA Support dans le champ Nom du groupe, puis cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Dlgation de l'administration d'une partie des clients du
domaine
1. Dans l'arborescence de la console Gestion des stratgies de groupe,
dveloppez Fret: contoso.com, Domaines et contoso.com, puis cliquez sur
le conteneur Objets de stratgie de groupe.
3. Tapez Seattle Support dans le champ Nom, puis cliquez sur OK.
4. Dans le volet dinformations, cliquez avec le bouton droit sur Seattle Support,
puis cliquez sur Modifier.
Stratgies, Paramtres Windows et Paramtres de scurit, puis cliquez sur
Groupes restreints.
un groupe.
La bote de dialogue Slectionner des groupes s'affiche.
8. Tapez CONTOSO\SEA Support, puis appuyez sur ENTRE.
9. Cliquez sur OK pour fermer la bote de dialogue Ajouter un groupe.
La bote de dialogue Proprits de CONTOSO\SEA Support s'affiche.
10. Dans la section Ce groupe est membre de, cliquez sur le bouton Ajouter.
11. Entrez Administrators et cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
dveloppez lunit d'organisation Client Computers, puis cliquez sur l'unit
d'organisation SEA.
15. Cliquez avec le bouton droit sur SEA, puis cliquez sur Lier un objet de
stratgie de groupe existant.
16. Slectionnez lobjet de stratgie de groupe Seattle Support, cliquez sur OK.

Tche 5 : Vrification de l'application cumulative des stratgies
Membre de .
dveloppez Fort: contoso.com, puis cliquez sur le nud Modlisation de
stratgie de groupe.
2. Cliquez avec le bouton droit sur le nud Modlisation de stratgie du
groupe, puis cliquez sur Assistant Modlisation de stratgie de groupe.
L'Assistant Modlisation de stratgie de groupe s'affiche.
4. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.
5. Dans la section Informations sur l'ordinateur de la page Slection
d'ordinateurs et d'utilisateurs, cliquez sur le bouton Parcourir en regard de
Conteneur.
6. Dveloppez le domaine contoso et l'unit d'organisation Client Computers et
cliquez sur l'unit d'organisation SEA.
7. Cliquez sur OK.
8. Activez la case cocher Se rendre la dernire page de cet Assistant sans
recueillir de donnes supplmentaires. Cliquez sur Suivant.
9. Dans la page Aperu des slections, cliquez sur Suivant.
10. Cliquez sur Terminer. Le rapport Modlisation de stratgie de groupe
s'affiche.
11. Ouvrez l'onglet Paramtres.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
12. Recherchez et, si ncessaire, dveloppez Configuration ordinateur,
Stratgies, Paramtres Windows, Paramtres de scurit et Groupes
restreints.
13. Vrifiez la prsence des groupes Help Desk et SEA Support dans la liste.
Les stratgies des groupes restreints utilisant le paramtre Ce groupe est
membre de sont cumulatives.
Remarquez que le rapport n'indique pas que les groupes rpertoris sont
membres du groupe Administrators en particulier. Il s'agit l d'une limite du
rapport Modlisation de stratgie de groupe. Aprs avoir appliqu la stratgie
un ordinateur, le rapport Rsultats de la stratgie de groupe (RSoP) indique
que les groupes sont effectivement membres de Administrators.

Remarque : N'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres
que vous avez configurs seront utiliss dans les ateliers suivants.
Question : Si vous souhaitez inclure au Help Desk du groupe Support spcifique
au site uniquement les membres du groupe local Administrators d'un ordinateur
client et supprimer tous les autres membres du groupe local Administrators,
comment procderiez-vous en utilisant uniquement les stratgies de groupes
restreints ?
Rponse : Cette question est dlicate et exige un peu de crativit. Vous pouvez
configurer un paramtre Membres pour le groupe Administrateurs qui ajoute le
compte Administrateur. Cela permettrait de purger tous les autres membres du
groupe. Bien sr, le compte Administrateur est dj membre de la fort
Administrateur et ne peut pas tre supprim. Ensuite, vous pouvez configurer des
paramtres de groupes restreints pour les groupes Help Desk et Support
(spcifique au site), comme vous l'avez fait dans le cadre de l'atelier. Sinon, vous
pourriez utiliser une prfrence Groupe local configure pour supprimer tous les
utilisateurs et groupes membres.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Gestion des
paramtres de scurit

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Gestion des paramtres de scurit L7-135

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Gestion des paramtres de scurit locaux
L'ordinateur virtuel a dj d tre dmarr lors de l'atelier pratique A. Toutefois, s'il
a t arrt, procdez comme suit :

Tche 2 : Activaction du Bureau distance sur HQDC01.
1. Cliquez sur l'icne Gestionnaire de serveur en regard du bouton Dmarrer.
4. Dans la section Rsum serveur, cliquez sur Configurer le Bureau distance.
5. Cliquez sur N'autoriser que la connexion des ordinateurs excutant Bureau
distance avec authentification NLA (plus sr).
6. Cliquez sur OK.

Tche 3 : Cration d'un groupe de scurit global appel SYS_DC
Remote Desktop.
2. Dans larborescence de la console, dveloppez le domaine contoso.com, les
units d'organisation Admins et Admin Groups, puis cliquez sur lunit
d'organisation Server Delegation.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez avec le bouton droit sur Server Delegation, pointez sur Nouveau,
puis cliquez sur Groupe.
4. Tapez SYS_DC Remote Desktop, puis cliquez sur OK.

Tche 4 : Ajout de SYS_DC Remote Desktop au groupe Utilisateurs du
bureau distance.
Pour se connecter via le Bureau distance, un utilisateur doit avoir le droit d'ouvrir
une session via les services Terminal Server, ce que vous allez dfinir pour le
groupe SYS_DC Remote Desktop dans la tche suivante.
De plus, l'utilisateur doit avoir le droit d'tablir une connexion RDP-Tcp. Par
dfaut, le groupe Remote Desktop Users et le groupe Administrators ont le droit
d'tablir une connexion RDP-Tcp. Vous devez donc ajouter l'utilisateur (ou le
groupe SYS_DC Remote Desktop dans ce cas) au groupe Utilisateurs du bureau
distance.
1. Toujours sur HQDC01, dans larborescence de la console Utilisateurs et
ordinateurs Active Directory, cliquez sur Builtin.
2. Dans le volet dinformations, double-cliquez sur Utilisateurs du Bureau
distance (Remote Desktop Users).
La bote de dialogue Slectionner des utilisateurs, des contacts, des
ordinateurs ou des groupes saffiche.
5. Tapez SYS_DC Remote Desktop, puis appuyez sur ENTRE.
6. Cliquez sur OK.

Remarque : Au lieu d'ajouter le groupe Utilisateurs du bureau distance, vous pouvez
ajouter le groupe SYS_DC Remote Desktop la liste de contrle d'accs de la connexion
RDP-Tcp, via la console de Configuration des services Terminal Server. Cliquez avec le
bouton droit sur RDP-Tcp, et cliquez ensuite sur Proprits. Cliquez sur l'onglet Scurit,
puis sur le bouton Ajouter et entrez SYS_DC Remote Desktop. Cliquez deux fois sur OK
pour fermer les botes de dialogue.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 5 : Configuration de la stratgie de scurit locale de faon
permettre SYS_DC Remote Desktop d'tablir des connexions Bureau
distance.
1. Sur HQDC01, cliquez sur Dmarrer > Outils d'administration et excutez
Stratgie de scurit locale avec des informations d'identification
Pa$$w0rd.
2. Dans l'arborescence de la console, dveloppez Stratgies locales, puis cliquez
sur Attribution des droits utilisateur.
3. Double-cliquez sur Autoriser l'ouverture de session par les services
Terminal Server.
La bote de dialogue des proprits Autoriser l'ouverture de session par les
services Terminal Server s'affiche.
4. Cliquez sur le bouton Ajouter un utilisateur ou un groupe.
La bote de dialogue Slectionner les utilisateurs, les ordinateurs ou les
groupes saffiche.
5. Tapez SYS_DC Remote Desktop, puis appuyez sur ENTRE.
6. Cliquez sur OK.
7. Fermez la bote de dialogue Autoriser l'ouverture de session par les services
Terminal Server.

Tche 6 : Rtablissement des paramtres par dfaut de la stratgie de
scurit locale
Rtablissez les paramtres par dfaut de la stratgie en vue d'effectuer les exercices
suivants.
Terminal Server.
2. Cliquez sur CONTOSO\SYS_DC Remote Desktop.
4. Cliquez sur OK.
5. Fermez la fentre Stratgie de scurit locale.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration d'un modle de scurit
Tche 1 : Cration d'une console MMC personnalise avec le
composant logiciel enfichable Modles de scurit.
1. Toujours sur HQDC01, cliquez sur Dmarrer et dans la zone de recherche,
entrez mmc.exe et appuyez sur ENTRE lorsqu'un message vous invite
entrer les informations d'identification d'administrateur. Utilisez le compte
2. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel
enfichable.
3. Dans la liste Composants logiciels enfichables disponibles, slectionnez
Modles de scurit, puis cliquez sur Ajouter.
4. Cliquez sur OK.
5. Cliquez sur Fichier, puis sur Enregistrer.
La bote de dialogue Enregistrer dans s'affiche.
6. Entrez D:\Security Management, puis appuyez sur Entre.

Tche 2 : Cration d'un modle de scurit
1. Dans l'arborescence, dveloppez Modles de scurit.
2. Cliquez avec le bouton droit sur C:\Users\Pat.Coleman_Admin
\Documents\Security\Templates, puis cliquez sur Nouveau modle.
3. Entrez DC Remote Desktop, puis cliquez sur OK.
4. Dans l'arborescence de la console, dveloppez C:\Users\Pat.Coleman_Admin
\Documents\Security\Templates, DC Remote Desktop, et Stratgies
locales, puis cliquez sur Attribution des droits utilisateur.
5. Dans le volet d'informations, double-cliquez sur Autoriser l'ouverture de
session par les services Terminal Server.
6. Slectionnez Dfinir ces paramtres de stratgie dans le modle.
7. Cliquez sur le bouton Ajouter un utilisateur ou un groupe.
La bote de dialogue Ajouter un utilisateur ou un groupe s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La bote de dialogue Slectionner des utilisateurs ou des groupes s'affiche.
10. Cliquez sur OK pour fermer la bote de dialogue Ajouter un utilisateur ou un
groupe.
11. Cliquez sur OK pour fermer la bote de dialogue Proprits de la stratgie.
12. Dans l'arborescence de la console, cliquez sur Groupes restreints.
un groupe.
La bote de dialogue Ajouter un groupe s'affiche.
16. Cliquez nouveau sur OK pour fermer la bote de dialogue Ajouter un
groupe.
La bote de dialogue Proprits de CONTOSO\SYS_DC Remote Desktop
s'affiche.
17. Dans la section Ce groupe est membre de, cliquez sur Ajouter des groupes.
La bote de dialogue Slectionnez groupes s'affiche.
19. Entrez Remote Desktop Users, puis cliquez sur OK.
20. Cliquez sur OK pour fermer la bote de dialogue Appartenance au groupe.
21. Cliquez sur OK pour fermer la bote de dialogue des proprits.
22. Dans l'arborescence de la console, cliquez avec le bouton droit sur DC Remote
Desktop, puis cliquez sur Enregistrer.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Utilisation de l'outil de Configuration et analyse
de la scurit
Tche 1 : Ajout du composant logiciel enfichable Configuration et
analyse de la scurit une console personnalise
enfichable.
Configuration et analyse de la scurit, puis cliquez sur le bouton Ajouter.
3. Cliquez sur OK.

Tche 2 : Cration d'une base de donnes de scurit et importation
d'un modle de scurit.
1. Dans larborescence de la console, cliquez sur Configuration et analyse de la
scurit.
2. Cliquez avec le bouton droit sur Configuration et analyse de la scurit, puis
cliquez sur Ouvrir une base de donnes.
La bote de dialogue Ouvrir une base de donnes apparat.
La commande Ouvrir une base de donnes cre une nouvelle base de donnes
de scurit.
3. Tapez HQDC01Test et cliquez sur Ouvrir.
La bote de dialogue Modle d'importation apparat.
4. Slectionnez le modle DC Remote Desktop que vous avez cr dans
l'exercice 2, puis cliquez sur Ouvrir.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Analyse de la configuration d'un ordinateur l'aide de la
base de donnes de scurit
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Configuration et analyse de la scurit, puis cliquez sur Analyser
l'ordinateur maintenant.
2. Cliquez sur OK pour confirmer le chemin par dfaut du journal d'erreur.
Le composant logiciel enfichable effectue l'analyse.
3. Dans l'arborescence de la console, dveloppez Configuration et analyse de la
scurit et Stratgies locales, puis cliquez sur Attribution des droits
utilisateur.
Notez que la stratgie Autoriser l'ouverture de session par les services
Terminal Server est identifie par X dans un cercle rouge. Cela indique une
divergence entre le paramtre de la base de donnes et le paramtre de
l'ordinateur.
Terminal Server.
Notez les divergences. L'ordinateur n'est pas configur pour autoriser le
groupe SYS_DC Remote Desktop ouvrir une session via les services Terminal
Server.
Notez galement que le Paramtre de l'ordinateur autorise les Administrateurs
ouvrir une session via les services Terminal Server. Il s'agit d'un paramtre
important qui doit tre intgr la base de donnes.
5. Vrifiez que l'option Dfinir cette stratgie dans la base de donnes est
slectionne.
6. Cochez Administrateurs, dans la section Paramtre de base de donnes.
Cela autorise les Administrateurs se connecter la base de donnes via les
services Terminal Server. Cela ne modifie pas le modle et n'affecte pas la
configuration en cours de l'ordinateur.
7. Cliquez sur OK.
8. Dans l'arborescence de la console, slectionnez Groupes restreints.
9. Dans le volet d'informations, double-cliquez sur CONTOSO\SYS_DC Remote
Desktop.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Notez qu'au niveau de la base de donnes, le groupe SYS_DC Remote Desktop
doit tre membre des Utilisateur du Bureau distance, mais que cela ne
concide pas avec la configuration de l'ordinateur.
11. Vrifiez que l'option Dfinir ce groupe dans la base de donnes est
slectionne.
12. Cliquez sur OK.
cliquez sur Enregistrer.
Cela enregistre la base de donnes de scurit, qui inclut les paramtres
imports du modle ainsi que la modification que vous avez effectue pour
autoriser les Administrateurs ouvrir une session via les services Terminal
Server.
Le conseil affich dans la barre d'tat lorsque vous survolez la commande
Enregistrer vous suggre d'enregistrer le modle. Cela est incorrect. Vous
enregistrez la base de donnes.
cliquez sur Exporter un modle.
La bote de dialogue Exporter le modle apparat.
15. Slectionnez DC Remote Desktop, puis cliquez sur Enregistrer.
Vous avez remplac le modle cr dans l'exercice 2 par les paramtres dfinis
dans la base de donnes du composant Configuration et analyse de la scurit.

Tche 4 : Configuration des paramtres de scurit l'aide d'une base
de donnes de scurit.
1. Fermez la console Gestion de la scurit. Si un message vous invite
enregistrer les paramtres, cliquez sur Oui.
Il est ncessaire de fermer et d'ouvrir nouveau la console pour actualiser
l'affichage des paramtres dans le composant Modles de scurit.
2. Excutez D:\Security Management.msc en entrant des informations
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Dans l'arborescence de la console, dveloppez Modles de scurit,
C:\Users\Pat.Coleman_Admin\Documents\Security\Templates, DC
Remote Desktop, Stratgies locales, puis cliquez sur Attribution des droits
utilisateur.
4. Dans le volet d'informations, double-cliquez sur Autoriser l'ouverture de
session par les services Terminal Server.
Notez que les groupes Administrateurs et SYS_DC Remote Desktop sont
autoriss ouvrir une session via les services Terminal Server dans le modle
de scurit.
5. Cliquez sur OK.
cliquez sur Configurer l'ordinateur maintenant.
7. Cliquez sur OK pour confirmer le chemin du journal d'erreur. Les paramtres
dans la base de donnes sont appliqus au serveur. Vous allez ensuite vrifier
que la modification du droit utilisateur est applique.
8. Excutez Stratgie de scurit locale en entrant des informations
9. Dans l'arborescence de la console, dveloppez Stratgies locales, puis cliquez
sur Attribution des droits utilisateur.
Terminal Server.
11. Vrifiez la prsence de Administrateurs et SYS_DC Remote Desktop.
La console de Stratgie de scurit locale affiche les paramtres actuellement
appliqus sur le serveur.
12. Fermez la console Stratgie de scurit locale.
13. Fermez la console personnalise Gestion de la scurit.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Utilisation de l'Assistant Configuration de la
scurit
Tche 1 : Cration d'une stratgie de scurit
1. Toujours sur HQDC01, cliquez sur Dmarrer > Outils d'administration et
excutez l'Assistant Configuration de la scurit avec des informations
2. Sur la page Bienvenue dans l'Assistant Configuration de la scurit, cliquez
sur Suivant.
3. Sur la page Action de configuration, slectionnez Crer une nouvelle
stratgie de scurit, puis cliquez sur Suivant.
4. Sur la page Slectionner un serveur, acceptez le nom du serveur par dfaut
HQDC01, puis cliquez sur Suivant.
5. Sur la page Traitement de la base de donnes de configuration de la
scurit, vous pouvez cliquer sur Afficher la base de donnes de
configuration et consulter la configuration dtecte sur HQDC01.
7. Sur la page d'introduction de la section Configuration des services selon les
rles, cliquez sur Suivant.
8. Sur la page Slectionnez des rles de serveur, vous pouvez consulter les
paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant.
9. Sur la page Slectionnez des fonctionnalits client, vous pouvez consulter les
paramtres dtects sur HQDC01, mais pas les modifier. Cliquez sur Suivant.
10. Sur la page Slectionnez des options d'administration et d'autres options,
vous pouvez consulter les paramtres dtects sur HQDC01, mais pas les
modifier. Cliquez sur Suivant.
11. Sur la page Slectionnez des services supplmentaires, vous pouvez
consulter les paramtres dtects sur HQDC01, mais pas les modifier. Cliquez
sur Suivant.
12. Sur la page Gestion des services non spcifis, ne modifiez pas le paramtre
par dfaut Ne pas modifier le mode de dmarrage du service. Cliquez sur
Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Sur la page Confirmer les modifications de services, dans la liste Affichage,
et slectionnez Tous les services.
14. Examinez les paramtres de la colonne Mode de dmarrage actuel, qui
indiquent les modes de dmarrage de services sur HQDC01, et les compare
aux paramtres de la colonne Mode de dmarrage de la stratgie.
15. Dans la liste Affichage, slectionnez Services modifis.
17. Sur la page d'introduction de la section Scurit rseau, cliquez sur Suivant.
18. Sur la page Rgles de scurit rseau, vous pouvez examiner les rgles du
pare-feu issues de la configuration de HQDC01. Ne modifiez aucun paramtre.
Cliquez sur Suivant.
19. Sur la page d'introduction de la section Paramtres du Registre, cliquez sur
Suivant.
20. Sur chaque page de la section Paramtres du Registre, examinez les
paramtres (n'en modifiez aucun), puis cliquez sur Suivant. Cliquez plusieurs
fois sur Suivant jusqu' atteindre la page Rsum des paramtres du
Registre. Examinez les paramtres qui s'y trouvent et cliquez sur Suivant.
21. Sur la page d'introduction de la section Stratgie d'audit, cliquez sur Suivant.
22. Sur la page Stratgie d'audit systme, examinez les paramtres (sans les
modifier). Cliquez sur Suivant.
23. Sur la page Rsum de stratgie d'audit, examinez les paramtres des
colonnes Paramtre actuel et Paramtre de stratgie. Cliquez sur Suivant.
24. Sur la page d'introduction de la section Enregistrer la stratgie d'audit,
cliquez sur Suivant.
25. Dans la zone de texte Nom du fichier de stratgie de scurit, cliquez sur la
fin du chemin du fichier et entrez DC Security Policy.
26. Cliquez sur le bouton Inclure les modles de scurit.
28. Recherchez le modle DC Remote Desktop cr dans l'exercice 3, qui se trouve
dans le dossier C:\Users\Pat.Coleman_Admin\Documents\Security\Templates.
Une fois le modle slectionn, cliquez sur Ouvrir.
Veillez ajouter le fichier Documents\Security\Templates\DC Remote
Desktop.inf et non le modle de scurit par dfaut DC Security.inf.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
29. Cliquez sur OK pour fermer la bote de dialogue Inclure les modles de
scurit.
30. Cliquez sur le bouton Afficher la stratgie de scurit.
Un message vous invite confirmer l'utilisation d'un contrle ActiveX.
32. Examinez la stratgie de scurit. Notez que le modle DC Remote Desktop
figure dans la section Modles.
33. Fermez la fentre aprs avoir examin la stratgie.
34. Dans l'Assistant Configuration de la scurit, cliquez sur Suivant.
35. Sur la page Appliquer la stratgie de scurit, acceptez le paramtre par
dfaut Appliquer ultrieurement, puis cliquez sur Suivant.

Tche 2 : Conversion d'une stratgie de scurit en objet de stratgie
de groupe (GPO).
Pa$$w0rd.
2. Tapez cd c:\windows\security\msscw\policies et appuyez sur ENTRE.
3. Entrez scwcmd transform /?, puis appuyez sur Entre.
4. Entrez scwcmd transform /p:"DC Security Policy.xml" /g:"DC Security
Policy, puis appuyez sur ENTRE.
5. Excutez Gestion des stratgies de groupe avec des informations
6. Dans l'arborescence de la console, dveloppez Fret: contoso.com,
Domaines, contoso.com et Objets de stratgie de groupe, puis cliquez sur
DC Security Policy. C'est l'objet de stratgie de groupe cr par la commande
Scwcmd.exe.
7. Cliquez sur l'onglet Paramtres pour examiner les paramtres de l'objet de
stratgie de groupe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Dveloppez Paramtres de scurit et Stratgies locales - Attribution des
droits utilisateur.
9. Vrifiez que le droit utilisateur Autoriser l'ouverture de session par les
services Terminal Server est attribu aux groupes BUILTIN\Administrateurs
et CONTOSO\SYS_DC Remote Desktop.
10. Dveloppez Groupes restreints.
11. Vrifiez que le groupe CONTOSO\SYS_DC Remote Desktop est membre du
groupe BUILTIN\Remote Desktop Users.
Cet objet de stratgie de groupe n'est pas appliqu aux contrleurs de
domaine car il n'est pas li leur unit d'organisation. Dans cet atelier
pratique, ne liez pas l'objet de stratgie de groupe au domaine, au site ou une
unit d'organisation quelconque. Dans un environnement de production, vous
passeriez plus de temps examiner, configurer et vrifier les paramtres de
scurit dans la stratgie de scurit avant de la dployer comme objet de
stratgie de groupe sur les contrleurs de domaine de production.

Remarque : N'arrtez pas les ordinateurs virtuels la fin de cet atelier car les paramtres
que vous avez configurs seront utiliss dans les ateliers suivants.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question de contrle des acquis
Question : Dcrivez les relations entre les paramtres de scurit dfinis sur un
serveur, la stratgie de groupe locale, les modles de scurit, la base de donnes
utilise dans Configuration et analyse de la scurit, la stratgie de scurit cre
par l'Assistant Configuration de la scurit et la stratgie de groupe lie au domaine.
Rponse : Bien que certains paramtres de scurit puissent tre modifis
directement (par exemple, les listes ACL du systme de fichiers ou l'appartenance
aux groupes locaux), nombre d'entre eux peuvent uniquement tre configurs
directement sur un systme l'aide d'une stratgie de groupe locale. Les modles
de scurit vous permettent de crer une stratgie de scurit facilement
transfrable vers un autre systme et, l'aide de la Configuration et analyse de la
scurit, elle peut tre charge dans une base de donnes qui peut elle-mme servir
analyser ou configurer un ordinateur. La base de donnes utilise par
Configuration et analyse de la scurit peut tre exporte dans un modle de
scurit.
L'Assistant Configuration de la scurit est un outil plus rcent qui autorise la
configuration base de rles des lments suivants : services, paramtres de
scurit du rseau, valeurs du Registre et stratgies d'audit. Il cre un fichier .xml
qui peut comprendre un modle de scurit et qui peut ensuite tre appliqu un
autre systme l'aide de l'Assistant Configuration de la scurit. Cet Assistant vous
permet de revenir une autre stratgie de scurit si les rsultats escompts ne
sont pas obtenus. Toute stratgie de scurit produite par l'Assistant Configuration
de la scurit peut tre transforme en objet GPO de domaine, pouvant lui-mme
tre appliqu plusieurs serveurs.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Gestion de
logiciels avec GPSI

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Gestion de logiciels avec GPSI L7-151

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Dploiement de logiciel avec GPSI
Les ordinateurs virtuels ont dj d tre dmarrs lors des ateliers prcdents. Si ce
n'est pas le cas, effectuez les tapes ci-dessous.
3. Dmarrez 6238B-SERVER01-A mais n'ouvrez pas de session.
4. Attentez la fin du dmarrage de SERVER01 avant d'effectuer la tche suivante.

Tche 2 : Cration d'un dossier de distribution de logiciels
l'unit d'organisation Groups (Groupes), puis cliquez sur l'unit
d'organisation Application.
4. Cliquez avec le bouton droit sur l'unit d'organisation Application, pointez sur
5. Entrez APP_XML Notepad et appuyez sur Entre.
l'unit d'organisation Servers (Serveurs), puis cliquez sur l'unit
d'organisation File (Fichier).
7. Dans le volet d'informations, cliquez avec le bouton droit sur SERVER01, puis
cliquez sur Grer.
La console Gestion de l'ordinateur s'ouvre, et SERVER01 est slectionn.
8. Dans l'arborescence de la console, dveloppez Outils systme et Dossiers
partags, puis cliquez sur Partages.
9. Cliquez avec le bouton droit sur Partages, puis cliquez sur Nouveau partage.
L'assistant Cration d'un dossier partag apparat.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Dans la zone Chemin du dossier, entrez C:\Software, puis cliquez sur Suivant.
Un message vous demande si vous souhaitez crer le dossier.
13. Acceptez le Nom du partage par dfaut, Software puis cliquez sur Suivant.
14. Cliquez sur Personnaliser les autorisations, puis cliquez sur le bouton
Personnalis.
15. Cliquez sur l'onglet Scurit.
16. Cliquez sur Avanc.
La bote de dialogue Paramtres de scurit avancs.
17. Cliquez sur Modifier.
18. Dslectionnez l'option Inclure les autorisations pouvant tre hrites du
parent de cet objet.
Une bote de dialogue vous demande si vous souhaitez copier ou supprimer
les autorisations.
19. Cliquez sur Copier.
20. Slectionnez la premire autorisation attribue au groupe Utilisateurs, puis
21. Slectionnez l'autre autorisation attribue au groupe Utilisateurs, puis cliquez
sur Supprimer.
22. Slectionnez l'autorisation attribue au groupe Crateur propritaire, puis
23. Cliquez sur OK deux fois pour fermer les botes de dialogue Paramtres de
scurit avancs.
24. Dans la bote de dialogue Personnaliser les autorisations, cliquez sur l'onglet
Autorisations de partage.
25. Cochez l'option ct de Contrle total et sous Autoriser.
Au niveau de la gestion de la scurit, il est recommand de configurer les
autorisations minimales de la liste de contrle d'accs de la ressource. Cela est
appliqu aux utilisateurs quelle que soit la manire dont ceux-ci se connectent
la ressource. Vous pouvez alors utiliser l'autorisation Contrle total sur le
dossier partag SMB. Le niveau d'accs rsultant est constitu des autorisations
les plus strictes dfinies dans la liste de contrle d'accs du dossier.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
26. Cliquez sur OK.
28. Cliquez sur Terminer pour fermer l'assistant.
29. Cliquez sur Dmarrer, sur Excuter, entrez \\SERVER01\c$, puis appuyez
sur Entre.
La bote de dialogue Connexion SERVER01 s'affiche.
30. Dans la zone Nom d'utilisateur, entrez CONTOSO\Pat.Coleman_Admin.
Une fentre de l'explorateur Windows s'ouvre et affiche le lecteur C sur
SERVER01.
32. Ouvrez le dossier Software.
33. Cliquez sur le menu Fichier, pointez sur Nouveau, puis cliquez sur Dossier.
Un Nouveau dossier est cr, il est prt tre renomm.
34. Entrez XML Notepad et appuyez sur Entre.
35. Cliquez avec le bouton droit sur le dossier XML Notepad, puis cliquez sur
Proprits.
38. Cliquez sur Ajouter. La bote de dialogue Slectionner les utilisateurs, les
ordinateurs ou les groupes saffiche.
39. Entrez APP_XML Notepad et appuyez sur Entre.
Les droits par dfaut Lecture et Excution sont attribus au groupe.
40. Cliquez sur OK deux fois pour fermer les botes de dialogue.
41. Ouvrez le dossier XML Notepad.
42. Ouvrez le dossier D:\Labfiles\Lab07b dans une nouvelle fentre.
43. Cliquez avec le bouton droit sur XMLNotepad.msi, puis cliquez sur Copier.
44. Basculez vers la fentre de l'explorateur Windows qui affiche
\\server01\c$\Software\XML Notepad.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
45. Cliquez avec le bouton droit dans le volet d'informations, puis cliquez sur
Coller.
XML Notepad est copi dans le dossier situ sur SERVER01.
46. Fermez toutes les fentres de l'explorateur Windows.
47. Fermez la console Gestion de l'ordinateur.

Tche 3 : Cration d'un objet GPO de dploiement de logiciel
2. Dans l'arborescence de la console, dveloppez Fort: contoso.com, Domaines
et contoso.com, puis cliquez sur le conteneur Objets de stratgie de groupe.
4. Tapez XML Notepad dans le champ Nom, puis cliquez sur OK.
5. Cliquez avec le bouton droit sur lobjet de stratgie de groupe XML Notepad,
puis cliquez sur Modifier.
Stratgies et Paramtres du logiciel, puis cliquez sur Installation de logiciel.
7. Cliquez avec le bouton droit sur Installation de logiciel, pointez sur
Nouveau, puis cliquez sur Package
8. Dans la zone de texte Nom du fichier, entrez le chemin d'accs rseau du
dossier de distribution de logiciels, \\server01\software\XML Notepad, et
appuyez sur Entre.
9. Slectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur
Ouvrir.
Aprs quelques instants d'attente, la bote de dialogue Dploiement de logiciel
s'affiche.
10. Cliquez sur Avanc, puis sur OK.
La bote de dialogue Proprits de XML Notepad 2007 s'affiche.
11. Sur l'onglet Gnral, notez que le nom du package indique la version : XML
Notepad 2007.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
12. Cliquez sur l'onglet Dploiement.
Notez que lors du dploiement de logiciel sur des ordinateurs, la seule option
est Attribu. Examinez les options disponibles si vous attribuez ou publiez
l'application aux utilisateurs.
13. Slectionnez Dsinstaller cette application lorsqu'elle se trouve en dehors
de l'tendue de la gestion.
14. Cliquez sur OK.
15. Fermez lditeur de gestion des stratgies de groupe.
dveloppez Objets de stratgie de groupe, puis cliquez sur l'objet de stratgie
de groupe XML Notepad.
17. Dans le volet dinformations, cliquez sur longlet tendue.
18. Dans la section Filtrage de scurit, slectionnez le groupe Utilisateurs
authentifis et cliquez sur Supprimer. Vous tes invit confirmer votre
choix.
19. Cliquez sur OK.
La bote de dialogue Slectionnez Utilisateur, Ordinateur ou Groupe apparat.
21. Tapez APP_XML Notepad et appuyez sur ENTRE.
L'objet de stratgie de groupe est dsormais filtr pour s'appliquer uniquement
au groupe APP_XML Notepad. Toutefois, les paramtres de l'objet de stratgie
de groupe ne s'appliquent pas jusqu' ce qu'il soit li une unit
d'organisation, un site ou au domaine.
22. Dans l'arborescence de la console, cliquez avec le bouton droit sur lunit
d'organisation Client Computers, puis cliquez sur Lier un objet de stratgie
de groupe existant.
23. Slectionnez XML Notepad dans la liste Group Policy Objects, puis cliquez
sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Dploiement des logiciels sur les ordinateurs
2. Dans larborescence de la console, dveloppez Groups, puis cliquez sur l'unit
d'organisation Application.
3. Dans le volet dinformations, double-cliquez sur APP_XML Notepad.
6. Cliquez sur le bouton Types dobjets.
7. Slectionnez Ordinateurs, puis cliquez sur OK.
8. Tapez DESKTOP101 et appuyez sur ENTRE.
9. Cliquez sur OK.
10. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session.

Tche 5 : Vrification du dploiement du logiciel
2. Ouvrez une session sur DESKTOP101 sous le nom d'utilisateur Pat.Coleman
3. Cliquez sur le bouton Dmarrer, puis cliquez sur Tous les programmes.
4. Ouvrez XML Notepad.
Si XML Notepad n'est pas install, redmarrez DESKTOP101 et rptez les
tapes 2 4.

Remarque : Il peut tre ncessaire d'effectuer deux dmarrages pour achever
l'installation de XML Notepad. Donc si vous ne trouvez pas Notepad, redmarrez
l'ordinateur virtuel. Vous devrez peut-tre le faire deux fois.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Mise niveau d'applications avec GPSI
Tche 1 : Cration d'un package de mise niveau avec GPSI
2. Dans l'arborescence de la console Gestion des stratgies de groupe, cliquez
avec le bouton droit sur l'objet de stratgie de groupe XML Notepad dans le
conteneur Objets de stratgie de groupe, et cliquez sur Modifier.
Stratgies, Paramtres du logiciel, puis cliquez sur Installation de logiciel.
4. Cliquez avec le bouton droit sur Installation de logiciel, pointez sur
Nouveau, puis cliquez sur Package
5. Dans la zone de texte Nom du fichier, entrez le chemin d'accs rseau du
dossier de distribution de logiciels, \\server01\software\XML Notepad, et
appuyez sur Entre.
Pour cet exercice, vous allez utiliser le fichier XmlNotepad.msi, qui est une
mise niveau de XML Notepad.
6. Slectionnez le package Windows Installer XmlNotepad.msi, puis cliquez sur
Ouvrir.
La bote de dialogue Dploiement de logiciel s'affiche.
7. Cliquez sur Avanc, puis sur OK.
8. Sur l'onglet Gnral, modifiez le nom du package pour indiquer qu'il s'agit de
la version suivante de l'application. Entrez XML Notepad 2010.
9. Cliquez sur l'onglet Dploiement. Comme vous dployez l'application sur des
ordinateurs, la seule option pour le type de dploiement est Attribu.
10. Cliquez sur l'onglet Mises niveau.
12. Cliquez sur l'option Objet de stratgie de groupe (GPO) actuel.
13. Dans la liste Package mettre niveau, slectionnez le package de la version
prcdente, XML Notepad 2007.
14. Cliquez sur Dsinstaller le package existant, puis installer le package de
mise niveau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
15. Cliquez sur OK.
16. Cliquez sur OK.
Dans le cas d'une mise niveau relle, le nouveau package met jour la
version prcdente de l'application car les clients ont appliqu l'objet GPO
XML Notepad. Comme il s'agit d'une simulation de la mise niveau, vous
pouvez supprimer le package de mise jour de la simulation.
17. Cliquez avec le bouton droit sur XML Notepad 2010, que vous avez cr pour
simuler la mise niveau, pointez sur Toutes les tches, puis slectionnez
Supprimer.
18. Dans la bote de dialogue Suppression de logiciel, cliquez sur Dsinstaller
immdiatement le logiciel des utilisateurs et des ordinateurs, puis sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Examinez les autorisations NTFS que vous avez appliques aux
dossiers Software et XML Notepad sur SERVER01. Expliquez pourquoi ces
autorisations sont prfrables aux autorisations par dfaut.
Rponse : Les autorisations accordes par dfaut sur un nouveau dossier NTFS
comprennent les autorisations hrites qui ne sont pas minimum. D'abord, le
groupe USERS est autoris ajouter des fichiers et des dossiers. Dans un dossier
de distribution de logiciels, seuls les administrateurs qui devront ajouter de
nouvelles applications doivent tre autoriss ajouter des fichiers et des dossiers.
Deuximement, un contrle total est attribu l'identit spciale CREATEUR
PROPRIETAIRE. Cela signifie que quiconque ajoute un fichier ou un dossier
obtient l'autorisation explicite de contrle total, ce qui peut ou non convenir pour
chaque fichier et dossier ajout un point de dploiement de logiciels.
Troisimement, le groupe USERS est galement autoris lire tous les fichiers et
dossiers, ce qui leur permet d'installer n'importe quel logiciel dans le dossier de
distribution de logiciels. La plupart des logiciels disposant d'une licence par
ordinateur ou par utilisateur, vous pouvez amliorer votre conformit en autorisant
uniquement un groupe spcifique lire les fichiers d'installation de chaque
application. Le dossier SOFTWARE (la racine) donne un accs (contrle total)
uniquement aux Administrateurs et au Systme. Le sous-dossier de l'application,
par exemple XML Notepad, octroie un accs en lecture un groupe autoris
installer l'application, par exemple APP_XML Notepad. Ces utilisateurs peuvent
accder au sous-dossier, mme s'ils n'ont pas accs au dossier SOFTWARE.
Windows octroie par dfaut le privilge Parcours des dossiers tous les
utilisateurs authentifis, ce qui permet aux utilisateurs de parcourir un sous-dossier
spcifique auquel ils ont accs mme s'ils n'ont pas d'autorisation pour un dossier
parent. Les listes de contrle d'accs (ACL) privilges minimaux utilises dans cet
Atelier sont un parfait exemple de l'intrt de ce droit d'utilisateur.
Question : Examinez les mthodes utilises pour dfinir l'tendue du dploiement
de XML Notepad : Attribution d'application aux ordinateurs, filtrage de l'objet GPO
pour l'appliquer au groupe APP_XML Notepad qui contient uniquement des
ordinateurs, et association de l'objet GPO l'unit d'organisation Client
Computers. Pourquoi cette approche est-elle avantageuse pour le dploiement de
la plupart des logiciels ? Quel est l'inconvnient si l'tendue du dploiement de
logiciel est dfinie sur les utilisateurs plutt que sur les ordinateurs ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Rponse : La plupart des logiciels disposant d'une licence par ordinateur, il est
important de dployer de telles applications en dfinissant l'tendue sur les
ordinateurs, plutt que sur les utilisateurs. Le rsultat est le mme : l'application
est dploye dans les ordinateurs des utilisateurs qui en ont besoin. Si vous
dployiez une application pour des utilisateurs, l'application suivrait les
utilisateurs quel que soit l'ordinateur sur lequel ils auraient ouvert une session. Par
exemple, si un utilisateur ouvrait une session sur un ordinateur de la salle de
confrence ou sur celui d'un collgue, l'application serait galement installe dans
ces ordinateurs. La dfinition de l'tendue sur un groupe d'ordinateurs, et la liaison
de l'objet GPO une UO de niveau suprieur (ou mme au domaine), vous donne
le maximum de flexibilit pour dployer l'application dans tous les ordinateurs qui
en ont besoin.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Audit de l'accs
au systme de fichiers

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Audit de l'accs au systme de fichiers L7-163

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration des autorisations et des
paramtres d'audit
Les ordinateurs virtuels ont dj d tre dmarrs lors des ateliers prcdents. Si ce
n'est pas le cas, effectuez les tapes ci-dessous.
3. Dmarrez 6238B-SERVER01-A mais n'ouvrez pas de session sur le systme.
4. Dmarrez 6238B-DESKTOP101-A mais n'ouvrez pas de session.
5. Attendez la fin du dmarrage de tous les ordinateurs virtuels pour passer la
tche suivante.

Tche 2 : Cration et scurisation d'un dossier partag
l'unit d'organisation Groups, puis cliquez sur l'unit d'organisation Role.
5. Tapez Consultants, puis appuyez sur ENTRE.
6. Double-cliquez sur le groupe Consultants.
La bote de dialogue Slectionner des utilisateurs, des contacts, des
ordinateurs ou des groupes saffiche.
9. Tapez Mike.Danseglio, puis appuyez sur ENTRE.
10. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Cliquez sur Dmarrer, sur Excuter, entrez \\SERVER01\c$, puis appuyez
sur Entre.
La bote de dialogue Connexion SERVER01 s'affiche.
Une fentre de l'explorateur Windows s'ouvre et affiche le lecteur C sur
SERVER01.
14. Ouvrez le dossier Data.
15. Cliquez sur le menu Fichier, pointez sur Nouveau, puis cliquez sur Dossier.
Un Nouveau dossier est cr ; il est prt tre renomm.
16. Tapez Confidential Data et appuyez sur ENTRE.
17. Cliquez avec le bouton droit sur Confidential Data, puis cliquez sur
Proprits.
21. Entrez Consultants et cliquez sur OK.
22. Activez la case cocher Refuser pour l'autorisation Contrle total.
23. Cliquez sur Appliquer.
24. Cliquez sur Oui pour confirmer lutilisation de l'autorisation Refuser.
25. Cliquez sur OK pour fermer les botes de dialogue.

Tche 3 : Configuration des paramtres d'audit sur un dossier
1. Cliquez avec le bouton droit sur Confidential Data, puis cliquez sur
Proprits.
3. Cliquez sur Avanc.
4. Cliquez sur l'onglet Audit.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Entrez Consultants et cliquez sur OK.
8. Dans la bote de dialogue Audit de lentre, cochez la case chec en regard de
Contrle total.
9. Cliquez sur OK pour fermer les botes de dialogue.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration de la stratgie d'audit
Tche 1 : Activation de l'audit d'accs au systme de fichiers en
utilisant la stratgie de groupe
2. Dans l'arborescence de la console, dveloppez Forest: contoso.com,
de groupe.
4. Tapez File Server Auditing dans le champ Nom, puis cliquez sur OK.
5. Cliquez avec le bouton droit sur lobjet de stratgie de groupe File Server
Auditing, puis cliquez sur Modifier.
ordinateur, Stratgies, Paramtres Windows, Paramtres de scurit et
Stratgies locales, puis cliquez sur Stratgie daudit.
7. Double-cliquez sur Auditer l'accs aux objets.
8. Slectionnez Dfinir ces paramtres de stratgie.
9. Cochez la case chec.
10. Cliquez sur OK.
11. Fermez lditeur de gestion des stratgies de groupe.
12. Dans l'arborescence de la console, dveloppez l'unit d'organisation Servers,
puis cliquez sur l'unit d'organisation File.
13. Cliquez avec le bouton droit sur lunit dorganisation File, puis cliquez sur
Lier un objet de stratgie de groupe existant.
14. Slectionnez File Server Auditing, puis cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Analyse des vnements de l'audit
Tche 1 : Cration des vnements d'audit
1. Basculez vers SERVER01.
2. Ouvrez une session sur SERVER01 sous le nom d'utilisateur Pat.Coleman
Pa$$w0rd.
4. Tapez gpupdate.exe /force, puis appuyez sur ENTRE.
6. Ouvrez une session sur DESKTOP101 avec le nom d'utilisateur
Mike.Danseglio et le mot de passe Pa$$w0rd.
7. Cliquez sur Dmarrer. Dans la zone Rechercher, tapez
\\server01\data\Confidential Data , puis appuyez sur ENTRE.
Un message s'affiche vous informant que Windows ne peut pas accder
\\server01\data\Confidential Data.
8. Cliquez sur Annuler.

Tche 2 : Analyse des messages du journal d'vnements d'audit
2. Excutez l'Observateur d'vnements avec les informations d'identification
Pa$$w0rd.
sur le journal Scurit.
4. Recherchez les vnements d'chec relatifs l'accs de Mike Danseglio au
dossier Confidential Data.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quelles sont les trois principales tapes de la configuration de l'audit de
l'accs au systme de fichiers et aux autres objets ?
Rponse : 1) Configurer les paramtres de l'audit dans la liste de contrle d'accs
systme (SACL) du dossier/fichier 2) Activer la stratgie d'audit de l'accs aux
objets, dans un objet GPO dont l'tendue est dfinie sur le serveur 3) Examiner les
entres d'audit du journal d'vnements
Question : Sur quels systmes est-il ncessaire de configurer l'audit ? Existe-t-il une
raison de ne pas auditer tous les systmes de l'entreprise ? Quels types d'accs
doivent tre audits, et qui doit effectuer l'audit ? Existe-t-il une raison de ne pas
auditer tous les accs de tous les utilisateurs ?
Rponse : L'audit doit reflter les stratgies d'utilisation et de scurit
informatique. L'audit accrot non seulement la charge pesant sur les performances
d'un systme, mais gnre galement un bruit excessif qui rend encore plus
difficile la localisation des vnements importants . Les lments auditer, le
responsable de l'audit et le moment o l'audit doit tre effectu dpendent de la
raison pour laquelle l'audit est effectu, donc des exigences professionnelles.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Dlgation de l'administration L8-171
Module 8 : Administration scurise
Atelier pratique A : Dlgation de
l'administration

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L8-172 Module 8 : Administration scurise

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Dlgation de l'autorisation permettant de
crer et d'assurer le support des comptes d'utilisateurs
Pa$$w0rd.

Tche 2 : Cration de groupes de scurit pour la gestion base sur les
rles
1. Sur HQDC01, cliquez sur Dmarrer >Outils d'administration et excutez
Utilisateurs et ordinateurs Active Directory avec des informations
l'unit d'organisation Groups et cliquez sur l'unit d'organisation Role.
4. Dans la zone Nom du groupe, entrez Help Desk.
5. Vrifiez que l'tendue du groupe est globale et que le Type de groupe est
Scurit.
6. Cliquez sur OK.
7. Rptez les tapes 3 5 pour crer un groupe de scurit global appel User
Account Admins.
8. Cliquez avec le bouton droit sur Help Desk, puis cliquez sur Proprits.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Tapez Aaron.Painter_Admin; Elly.Nkya_Admin;
Julian.Price_Admin;Holly.Dickson_Admin et appuyez sur ENTRE.
12. Cliquez sur OK pour fermer la bote de dialogue Proprits du groupe.
13. Cliquez avec le bouton droit sur User Account Admins, puis cliquez sur
Proprits.
16. Tapez Pat.Coleman_Admin;April.Meyer_Admin;Max.Stevens_Admin, et
appuyez sur ENTRE.
19. Dans l'arborescence de la console, dveloppez les units d'organisation
Admins et Admin Groups, puis cliquez sur AD Delegation.
20. Cliquez avec le bouton droit sur AD Delegation, pointez sur Nouveau, puis
cliquez sur Groupe.
21. Dans Nom du groupe, tapez AD_User Accounts_Support.
22. Dans tendue du groupe, cliquez sur Domaine local.
23. Vrifiez que le Type de groupe est Scurit.
24. Cliquez sur OK.
25. Cliquez avec le bouton droit sur AD Delegation, pointez sur Nouveau, puis
cliquez sur Groupe.
26. Dans Nom du groupe, tapez AD_User Accounts_Full Control.
27. Dans tendue du groupe, cliquez sur Domaine local.
28. Vrifiez que le Type de groupe est Scurit.
29. Cliquez sur OK.
30. Cliquez avec le bouton droit sur AD_User Accounts_Support, puis cliquez sur
Proprits.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
33. Tapez Help Desk, puis appuyez sur ENTRE.
35. Cliquez avec le bouton droit sur AD_User Accounts_Full Control, puis
38. Tapez User Account Admins, puis appuyez sur ENTRE.

Tche 3 : Dlgation du contrle du support utilisateur laide de
lAssistant Dlgation de contrle
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur l'unit
d'organisation User Accounts, puis cliquez sur Dlgation de contrle.
Bienvenue dans lAssistant Dlgation de contrle s'affiche.
3. Dans la page Utilisateurs ou groupes, cliquez sur le bouton Ajouter.
La bote de dialogue Slectionner Utilisateurs, Ordinateurs ou Groupes
saffiche.
4. Tapez AD_User Accounts_Support, et appuyez sur ENTRE.
6. Dans la page Tches dlguer, cochez la case Rinitialiser les mots de
passe inetOrgperson et forcer le changement de mot de passe la
prochaine ouverture de session.
8. Sur la page de Fin de lAssistant Dlgation de contrle, cliquez sur
Terminer.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Dlgation de lautorisation de crer et supprimer des
utilisateurs depuis linterface diteur de liste de contrle daccs
1. Cliquez sur le menu Affichage, puis activez l'option Fonctionnalits
avances.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur l'unit
d'organisation User Accounts, puis cliquez sur Proprits.
La bote de dialogue Proprits de User Accounts s'affiche.
La bote de dialogue Paramtres de scurit avancs pour User Accounts
s'affiche.
La bote de dialogue Slectionnez Utilisateur, Ordinateur ou Groupe apparat.
6. Tapez AD_User Accounts_ Full Control et appuyez sur ENTRE.
La bote de dialogue Entre dautorisation pour User Accounts s'affiche.
7. Dans la liste Appliquer , slectionnez Cet objet et tous ceux descendants.
8. Dans la liste Autorisations, activez la case cocher Autoriser en regard de
Crer un objet utilisateur.
Supprimer un objet utilisateur.
10. Cliquez sur OK.
12. Tapez AD_User Accounts_ Full Control et appuyez sur ENTRE.
La bote de dialogue Entre dautorisation pour User Accounts s'affiche.
13. Dans la liste Appliquer , slectionnez Objets utilisateur descendants.
Contrle total.
15. Cliquez sur OK.
16. Cliquez sur OK pour fermer les botes de dialogue restes ouvertes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 5 : Validation de l'implmentation de la dlgation
didentification dadministrateur. Utilisez le compte Aaron.Painter_Admin et
4. Dans le volet dinformations, cliquez avec le bouton droit sur Jeff Ford, puis
cliquez sur Rinitialiser le mot de passe.
La bote de dialogue Rinitialiser le mot de passe saffiche.
5. Dans le champ Nouveau mot de passe, tapez Pa$$w0rd.
6. Dans le champ Confirmer le mot de passe, tapez Pa$$w0rd.
7. Remarquez que la case cocher Lutilisateur doit changer le mot de passe
la prochaine ouverture de session est dsactive.
8. Cliquez sur OK.
Le message suivant saffiche : Le mot de passe pour Jeff Ford a chang .
9. Cliquez sur OK.
10. Cliquez avec le bouton droit sur Jeff Ford, puis cliquez sur Dsactiver le
compte. Le message suivant saffiche : Windows ne peut pas dsactiver l'objet
Jeff Ford car : droits d'accs insuffisants pour effectuer cette opration.
11. Cliquez sur OK.
12. Dans larborescence de la console, dveloppez le domaine contoso.com et
lunit d'organisation Admins, puis cliquez sur lunit d'organisation Admin
Identities.
13. Dans le volet dinformations, cliquez avec le bouton droit sur Pat Coleman
(Administrator), puis cliquez sur Rinitialiser le mot de passe.
La bote de dialogue Rinitialiser le mot de passe saffiche.
14. Dans le champ Nouveau mot de passe, tapez Pa$$w0rd.
16. Remarquez que la case cocher Lutilisateur doit changer le mot de passe
la prochaine ouverture de session est dsactive.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
17. Cliquez sur OK.
Le message suivant saffiche : Windows ne peut pas effectuer le changement
de mot de passe pour Pat Coleman (Administrator) car : accs refus .
didentification dadministrateur. Utilisez le compte April.Meyer_Admin et le
l'unit d'organisation User Accounts et cliquez sur Employees.
21. Cliquez avec le bouton droit sur Employees, pointez sur Nouveau, puis
cliquez sur Utilisateur. La bote de dialogue Nouvel objet - Utilisateur
s'affiche.
22. Dans Prnom, tapez votre prnom.
23. Dans Nom, tapez votre nom.
24. Dans le champ Nom douverture de session de lutilisateur, tapez un nom
d'utilisateur pour vous-mme selon la convention d'affectation de nom
standard Prnom.Nom.
Notez que les noms d'ouverture de session de l'utilisateur ne doivent pas
dpasser 20 caractres.
Si vous recevez un message indiquant qu'un autre compte d'utilisateur existant
porte dj le mme nom, changez votre nom d'ouverture de session en
ajoutant _6238 la fin pour le rendre unique.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Consultation des autorisations dlgues
Tche 1 : Consultation des autorisations dans les interfaces de l'diteur
de liste de contrle d'accs
didentification dadministrateur. Utilisez le compte Pat.Coleman_Admin et le
cliquez sur l'unit d'organisation User Accounts.
3. Cliquez avec le bouton droit sur lUO sur User Accounts, puis cliquez sur
Proprits.
Si vous ne voyez pas l'onglet Scurit, fermez la bote de dialogue. Cliquez sur
le menu Affichage de la console MMC et assurez-vous que l'option
Fonctionnalits avances est slectionne. Ensuite, ouvrez nouveau les
proprits de l'objet.
s'affiche.
6. Cliquez sur l'en-tte de colonne Nom pour effectuer le tri par ordre
alphabtique en fonction du nom.
Question : Combien dentres dautorisations lAssistant Dlgation de contrle a-
t-il cr pour le groupe AD_User Accounts_Support ? Est-il facile didentifier les
autorisations qui ont t affectes dans la liste Entres dautorisations ? Dressez la
liste des autorisations affectes Support_Comptes dutilisateurs_AD.
Rponse : Deux entres d'autorisation s'affichent dans la liste. Il n'est pas facile
didentifier prcisment les autorisations qui ont t affectes dans la liste : une
entre indique Special et l'autre entre n'indique rien dans la colonne
Autorisation. Cliquer sur Modifier pour l'autorisation Special indique qu'il s'agit
de Rinitialiser le mot de passe. Cliquer sur Modifier pour l'autre autorisation
indique qu'il s'agit de Read pwdLastSet et Write pwdLastSet.
7. Cliquez sur Annuler pour fermer les botes de dialogue.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Cration d'un rapport sur les autorisations l'aide de DSACL
1. Cliquez sur Dmarrer, puis sur Invite de commandes.
2. Tapez la commande dsacls "ou=User Accounts,dc=contoso,dc=com" et
appuyez sur ENTRE.

Question : Quelles autorisations la commande DSACLs renvoie-t-elle pour le
groupe Support_Comptes dutilisateurs_AD ?
Rponse : DSACLs indique les autorisations suivantes pour AD_User
Accounts_Support:
SPECIAL ACCESS for pwdLastSet: WRITE PROPERTY and READ PROPERTY
Rinitialiser le mot de passe
Tche 3 : valuation des autorisations effectives
dveloppez le domaine contoso.com et l'unit d'organisation User Accounts.
2. Cliquez avec le bouton droit sur lUO User Accounts (Comptes
dutilisateurs), puis cliquez sur Proprits.
s'affiche.
5. Cliquez sur l'onglet Autorisations effectives.
6. Cliquez sur le bouton Slectionner.
7. Tapez April.Meyer_Admin, puis appuyez sur ENTRE.
8. Recherchez les autorisations Crer des objets utilisateur et Supprimer des
objets utilisateur, environ mi-chemin dans la liste Autorisations effectives.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Rinitialiser le mot de passe figure-t-elle dans cette liste ?
Rponse : Non. Une question de contrle des acquis la fin de cet atelier pratique
expliquera pourquoi l'autorisation n'y apparat pas.
11. Dans le volet dinformations, cliquez avec le bouton droit sur Aaron Lee, puis
La bote de dialogue Proprits de Aaron Lee apparat.
La bote de dialogue Paramtres de scurit avancs pour Aaron Lee s'affiche.
14. Cliquez sur l'onglet Autorisations effectives.
15. Cliquez sur le bouton Slectionner.
16. Tapez Aaron.Painter_Admin et appuyez sur ENTRE.
17. Recherchez l'autorisation Rinitialiser le mot de passe dans la liste
Autorisations effectives.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Suppression et rinitialisation des autorisations
Tche 1 : Suppression des autorisations affectes Support_Comptes
dutilisateurs_AD
s'affiche.
5. Cliquez sur l'en-tte de colonne Nom pour effectuer le tri par ordre
alphabtique en fonction du nom.
6. Slectionnez la premire autorisation attribue AD_User Accounts_Support,
puis cliquez sur Supprimer.
7. Slectionnez l'autre autorisation attribue AD_User Accounts_Support, puis
8. Cliquez sur OK pour fermer les botes de dialogue restes ouvertes.

Tche 2 : Rtablissement des autorisations par dfaut de l'UO
Comptes d'utilisateurs
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
s'affiche.
5. Cliquez sur Paramtres par dfaut, puis sur Appliquer.

Remarque : Ne fermez pas lordinateur virtuel lissue de cet atelier pratique. Les
paramtres que vous y avez configurs seront rutiliss dans le prochain atelier pratique.
Question : Que se passe-t-il lorsque vous cliquez sur Paramtres par dfaut ?
Quelles sont les autorisations restantes ?
Rponse : Toutes les autorisations personnalises et explicites sont supprimes. Il
ne reste que les autorisations par dfaut explicitement attribues tout nouvel
objet d'unit d'organisation, dfinies par le schma Active Directory. En outre, les
autorisations hrites des objets parents s'appliquent.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Audit des
modifications Active Directory

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Audit des modifications Active Directory L8-185

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Audit des modifications apportes Active
Directory en utilisant la stratgie d'audit par dfaut

Tche 2 : Vrification de la configuration correcte du groupe Admins
du domaine pour effectuer l'audit des modifications apportes son
appartenance
didentification dadministrateur. Utilisez le compte Pat.Coleman_Admin et le
cliquez sur le conteneur Users (Utilisateurs).
3. Cliquez avec le bouton droit de la souris sur le groupe Admins du domaine
(Domain Admins), puis cliquez sur Proprits.
La bote de dialogue Proprits de Domain Admins apparat.
Si vous ne voyez pas l'onglet Scurit, fermez la bote de dialogue. Cliquez sur
le menu Affichage de la console MMC et assurez-vous que l'option
Fonctionnalits avances est slectionne. Ensuite, ouvrez nouveau les
proprits de l'objet.
La bote de dialogue Paramtres de scurit avancs pour Domain Admins
s'affiche.
6. Cliquez sur l'onglet Audit.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Slectionnez la premire entre d'audit pour laquelle la colonne Accs est
Special, puis cliquez sur Modifier.
La bote de dialogue Audit de lentre pour Domain Admins s'affiche.
8. Recherchez lentre qui spcifie laudit des tentatives de modification russies
de proprits du groupe, telles que lappartenance.
Question : Quelle est lentre daudit qui permet datteindre cet objectif ?
Rponse : Les tentatives russies pour crire toutes les proprits par le groupe
Everyone.
9. Cliquez sur Annuler pour fermer les botes de dialogue ouvertes.

Tche 3 : Modification de l'appartenance du groupe Admins du
domaine
1. Cliquez avec le bouton droit de la souris sur le groupe Domain Admins, puis
4. Tapez Stuart.Munson et appuyez sur ENTRE.
5. Cliquez sur Appliquer pour effectuer la modification.
6. Slectionnez Stuart Munson.
Un message s'affiche vous demandant de confirmer la suppression.
8. Cliquez sur Oui.
9. Cliquez sur OK pour fermer la bote de dialogue Proprits de Domain
Admins.
10. Notez lheure laquelle vous avez effectu ces modifications. Il vous sera plus
facile de reprer les entres daudit dans les journaux dvnements.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Examen des vnements gnrs
1. Excutez l'Observateur d'vnements avec les informations d'identification
Pa$$w0rd.
3. Faites dfiler les vnements jusqu' l'heure approximative laquelle vous
avez apport les modifications Domain Admins. Vous devriez voir des
vnements qui ne sont pas lis l'ouverture, la fermeture de session ou
Kerberos (authentification).

Question : Quels sont les ID dvnements qui ont t enregistrs lorsque vous
avez apport vos modifications ? Quelle est la catgorie de tche ?
Rponse : 4662. Accs au service dannuaire.
Question : Examinez les informations fournies sous longlet Gnral. tes-vous en
mesure didentifier les lments suivants dans lentre du journal dvnements ?
auteur de la modification ;
date de la modification.
objet ayant fait l'objet de la modification ;
type d'accs utilis ;
attribut ayant fait lobjet de la modification ; comment l'attribut modifi est-il
identifi ?
nature de la modification apporte cet attribut.
Rponse : Vous allez pouvoir identifier qu'un utilisateur (Pat.Coleman_Admin) a
accd un objet (Domain Admins) et utilis un accs Proprit d'criture. L'heure
de la modification est indique. La proprit elle-mme est affiche comme
identificateur global unique (GUID) ; vous ne pouvez pas identifier aisment que la
proprit Membres a t modifie. De mme, l'vnement ne prcise pas le
changement exact qui a t apport la proprit.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Audit des modifications apportes Active
Directory l'aide de l'audit Modification du serveur
d'annuaire
Tche 1 : Activation de l'audit Modification du service d'annuaire
Pa$$w0rd.
auditpol /set /subcategory:"directory service changes"
/success:enable

Tche 2 : Modification de l'appartenance du groupe Admins du
domaine
cliquez sur le conteneur Users (Utilisateurs).
3. Cliquez avec le bouton droit de la souris sur le groupe Admins du domaine
(Domain Admins), puis cliquez sur Proprits.
6. Tapez Stuart.Munson et appuyez sur ENTRE.
7. Cliquez sur Appliquer pour effectuer la modification.
8. Slectionnez Stuart Munson.
Un message s'affiche vous demandant de confirmer la suppression.
11. Cliquez sur OK pour fermer la bote de dialogue Proprits de Domain Admins.
12. Notez lheure laquelle vous avez effectu ces modifications. Il vous sera plus
facile de reprer les entres daudit dans les journaux dvnements.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Examen des vnements gnrs
1. Basculez vers lObservateur dvnements.
3. Cliquez avec le bouton droit sur Scurit, puis cliquez sur Actualiser.
4. Faites dfiler les vnements jusqu' l'heure approximative laquelle vous
avez apport les modifications Domain Admins. Vous devriez voir des
vnements diffrents de ceux que vous avez vus lors de la tche prcdente.

Question : Quels sont les ID dvnements qui ont t enregistrs lorsque vous
avez apport vos modifications ? Quelle est la catgorie de tche ?
Rponse : L'ajout d'un membre est l'vnement 4728. La suppression d'un
membre est l'vnement 4729. Ces deux vnements sont dans la catgorie de
tche Gestion des groupes de scurit.
Question : Examinez les informations fournies sous longlet Gnral. tes-vous en
mesure didentifier les lments suivants dans lentre du journal dvnements ?
type de modification effectue ;
auteur de la modification ;
nom du membre ajout ou supprim ;
nom du groupe concern ;
date de la modification.
Rponse : Vous pouvez identifier qu'un membre a t ajout ou supprim, que
Pat.Coleman_Admin a effectu la modification, que Stuart Munson tait le membre
qui a t ajout ou supprim, et que la modification a t apporte au groupe
Domain Admins. Les mtadonnes de l'vnement indiquent galement quel
moment le changement s'est produit.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Configuration des stratgies de mot de passe et de verrouillage de compte L9-191
Module 9 : Amlioration de la scurit de
l'authentification dans un domaine Service de
domaines Active Directory (AD DS)
Atelier pratique A : Configuration
des stratgies de mot de passe et
de verrouillage de compte
Ouverture de session sur un ordinateur virtuel
1. Appuyez sur les touches Alt+Suppr.

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L9-192 Module 9 : Amlioration de la scurit de l'authentification dans un domaine Service de domaines Active Directory (AD DS)
Si la bote de dialogue ne vous propose pas d'utiliser un autre compte et vous
demande un nom d'utilisateur et un mot de passe :

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration des stratgies de mot de passe et
de verrouillage du domaine

Tche 2 : Configuration des stratgies de comptes du domaine
1. Excutez Gestion des stratgies du groupe avec des informations
2. Dans l'arborescence de la console, dveloppez Fort:contoso.com, Domaines,
puis contoso.com.
3. Cliquez avec le bouton droit sur Default Domain Policy (Stratgie de
domaine par dfaut) en dessous du domaine, contoso.com, puis cliquez sur
Modifier.
Un message peut vous signaler que vous modifiez les paramtres d'un GPO.
Dans ce cas, cliquez sur OK.
L'diteur de gestion des stratgies de groupe (GPME) s'ouvre.
Stratgies de compte, puis cliquez sur Stratgie de mot de passe.
5. Double-cliquez sur les paramtres de stratgie suivants dans le volet
dinformations de la console, puis configurez les paramtres comme indiqu :
Dure de vie maximale du mot de passe : 90 jours
Longueur minimale du mot de passe : 10 caractres
6 Dans l'arborescence de la console, cliquez sur Stratgie de verrouillage du
compte.
7. Double-cliquez sur le paramtre de stratgie Seuil de verrouillage de compte
et configurez-le sur 5 tentatives d'ouverture de session non valides. Cliquez sur
OK.
La fentre Modifications suggres pour les valeurs s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur OK.
Les valeurs 'Dure de verrouillage du compte' et 'Rinitialiser le compteur de
verrouillages du compte aprs' sont automatiquement dfinies sur 30 minutes.
9. Fermez la fentre diteur de gestion des stratgies de groupe.
10. Fermez la fentre Gestion des stratgies de groupe.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration d'une stratgie de mot de passe
affine
Tche 1 : Cration d'un objet PSO
1. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez du
bouton droit sur Modification ADSI et choisissez Excuter en tant
qu'administrateur.
Modification ADSI souvre.
Connexion.
6. Acceptez toutes les valeurs par dfaut. Cliquez sur OK.
7. Dans larborescence de la console, cliquez sur Contexte dattribution de
noms par dfaut.
8. Dans l'arborescence de la console, dveloppez Contexte d'attribution de
noms par dfaut, puis cliquez sur DC=contoso,DC=com.
cliquez sur CN=System (CN=Systme).
10. Dans larborescence de la console, dveloppez CN=System (CN=Systme),
puis cliquez sur CN=Classe dobjets PSC (Password Settings Container).
Tous les objets PSO sont crs et stocks dans la classe dobjets PSC
(Password Settings Container).
11. Cliquez avec le bouton droit sur PSC, pointez sur Nouveau, puis cliquez sur
Objet.
La bote de dialogue Crer un objet saffiche. Vous tes invit slectionner le
type dobjet crer. Il ny a quun seul choix : msDS-PasswordSettings (nom
technique de la classe dobjets rfrence en tant quobjet PSO).
Vous tes ensuite invit indiquer la valeur de chaque attribut dun objet PSO.
Ces attributs sont comparables ceux rencontrs dans les stratgies de compte
de domaine.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Configurez chaque attribut comme indiqu ci-dessous. Cliquez sur Suivant
aprs chaque attribut.
cn: Objet PSO Admins du domaine. Il sagit du nom commun de lobjet
PSO.
msDS-PasswordSettingsPrecedence: 1. Cet objet PSO prsente la priorit la
plus leve possible.
msDS-PasswordReversibleEncryptionEnabled: False. Le mot de passe nest
pas stock en utilisant le chiffrement rversible.
msDS-PasswordHistoryLength: 30. Lutilisateur ne peut rutiliser aucun des
30 derniers mots de passe.
msDS-PasswordComplexityEnabled: True. Les rgles de complexit de mot
sappliquent.
msDS-MinimumPasswordLength: 15. Les mots de passe doivent tre
constitus dau moins 15 caractres.
msDS-MinimumPasswordAge: 1:00:00:00. Un utilisateur ne peut pas
changer de mot de passe dans le jour qui suit une premire modification.
Le format est j:hh:mm:ss (jours, heures, minutes, secondes).
msDS-MaximumPasswordAge: 45:00:00:00. Le mot de passe doit tre
modifi tous les 45 jours.
msDS-LockoutThreshold: 5. Cinq ouvertures de session non valides dans un
dlai spcifi par XXX (attribut suivant) entranent un verrouillage de
compte.
msDS-LockoutObservationWindow: 0:01:00:00. Cinq ouvertures de session
non valides (spcifi par l'attribut prcdent) en l'espace d'une heure
entranent un verrouillage de compte.
msDS-LockoutDuration: 1:00:00:00. Un compte verrouill le reste pendant
une heure sil nest pas dverrouill avant manuellement. Si la valeur est
gale zro, le compte reste verrouill jusqu ce quun administrateur le
dverrouille.
15. Fermez Modification ADSI.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Liaison d'un objet PSO un groupe
2. Dans larborescence de la console, dveloppez le conteneur Systme.
Si le conteneur Systme n'est pas visible, cliquez sur le menu Affichage de la
console MMC et assurez-vous que l'option Fonctionnalits avances soit
slectionne.
3. Dans larborescence de la console, cliquez sur la classe dobjets PSC
(Password Settings Container).
4. Cliquez avec le bouton droit sur Objet PSO Admins du domaine, cliquez sur
Proprits, puis sur longlet diteur dattributs.
5. Dans la liste Attributs, slectionnez msDS-PSOAppliesTo, puis cliquez sur
Modifier.
La bote de dialogue diteur valeurs multiples de noms uniques avec entits
de scurit saffiche.
6. Cliquez sur Ajouter un compte Windows.
groupes saffiche.
7. Tapez Admins du domaine, puis appuyez sur Entre.
8. Cliquez sur OK deux reprises et fermez les botes de dialogue ouvertes.

Tche 3 : Identification d'objet PSO rsultant pour un utilisateur
1. Dans larborescence de la console, dveloppez le domaine contoso.com et
lUO Admins puis cliquez sur lUO Admin Identities (Identits des
administrateurs).
2. Cliquez avec le bouton droit sur Pat Coleman (Administrateur), puis cliquez
sur Proprits.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Cliquez sur le bouton Filter (Filtrer), puis sur loption Construit de faon
lactiver.
Lattribut que vous trouverez ltape suivante est un attribut construit, ce qui
signifie que lobjet PSO rsultant nest pas un attribut cod en dur
dutilisateur ; il est calcul en examinant les objets PSO lis un utilisateur en
temps rel.

Question : Quel est lobjet PSO rsultant de Pat Coleman (Administrateur) ?
Rponse : Ouvrez la valeur de l'attribut msDS-ResultantPSO. L'objet PSO rsultant
est Objet PSO Admins du domaine. Il est affich l'aide de son nom unique (DN),
CN=Objet PSO Admins du domaine,CN=Classe d'objets
PSC,CN=Systme,DC=contoso,DC=com.
Tche 4 : Suppression d'un objet PSO
1. Fermez les botes de dialogue ouvertes dans Utilisateurs et ordinateurs Active
Directory.
2. Dans l'arborescence de la console, dveloppez le domaine contoso.com et le
conteneur Systme, puis cliquez sur Classe d'objets PSC (Password Settings
Container).
3. Cliquez du bouton droit sur Objet PSO Admins du domaine et choisissez
Supprimer.
Une bote de dialogue de confirmation s'affiche.
4. Cliquez sur Oui.

Remarque : Ne fermez pas l'ordinateur virtuel l'issue de cet atelier pratique. Les
paramtres que vous y avez configurs seront rutiliss dans les prochains ateliers de ce
module.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : quel endroit devez-vous dfinir les stratgies de mot de passe et de
verrouillage de compte par dfaut pour les comptes dutilisateurs du domaine ?
Rponse :Configurez les stratgies de base pour le verrouillage et les mots de passe
dans le GPO Stratgie de domaine par dfaut.
Question : Quelles sont les meilleures pratiques en matire de gestion dobjets
PSO dun domaine ?
Rponse :Chaque objet PSO doit dfinir la totalit des stratgies appropries pour
les mots de passe et le verrouillage des comptes car les objets PSO ne fusionnent
pas. Les objets PSO doivent tre lis des groupes globaux et non des comptes
d'utilisateur individuels. Il est ncessaire de vrifier que chaque objet PSO prsente
une valeur de priorit unique.
Question : Comment dfinir une stratgie de mot de passe unique pour tous les
comptes de service de lUO Comptes de service ?
Rponse :Les objets PSO ne peuvent pas tre lis une UO. Vous devez crer un
groupe global contenant les comptes stocks dans l'UO Comptes de service. Vous
pouvez ensuite lier un PSO ce groupe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Audit de
l'authentification

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Audit de l'authentification L9-201

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Audit de l'authentification
L'ordinateur virtuel requis pour cet atelier pratique devrait dj avoir t dmarr
et tre disponible aprs l'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez
la procdure ci-dessous, puis terminez les exercices 1 et 2 de l'Atelier pratique A.
4. Excutez Lab09b_Setup.bat avec des informations didentification
dadministration. Utilisez le compte Pat.Coleman_Admin et le mot de passe
Pa$$w0rd.

Tche 2 : Configuration de l'audit des vnements de connexion aux
comptes
1. Excutez Gestion de stratgie du groupe avec des informations
2. Dans l'arborescence de la console, dveloppez Fort:contoso.com, Domaines,
contoso.com, puis l'UO Domain Controllers (Contrleurs de domaine).
3. Cliquez avec le bouton droit sur Default Domain Controllers Policy, puis
cliquez sur Modifier...
Stratgies locales, puis cliquez sur Stratgie d'audit.
5. Double-cliquez sur Auditer les vnements de connexion aux comptes.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Cochez la case Dfinir ces paramtres de stratgie.
7. Cochez les cases Russite et chec. Cliquez sur OK.

Tche 3 : Configuration de l'audit des vnements de connexion
dveloppez Fort, Domaines, contoso.com et l'UO Servers (Serveurs), puis
cliquez sur l'UO Important Project.
2. Cliquez du bouton droit sur l'UO Important Project et choisissez Crer un
objet GPO dans ce domaine, et le lier ici.
3. Tapez Stratgie de verrouillage de serveur dans le champ Nom, puis cliquez
sur OK.
4. Dans l'arborescence de la console, dveloppez l'UO Important Project.
5. Dans l'arborescence de la console, cliquez du bouton droit sur le lien de l'objet
GPO Stratgie de verrouillage de serveur et choisissez Modifier.
Stratgies locales, puis cliquez sur Stratgie d'audit.
7. Double-cliquez sur Auditer les vnements de connexion.
8. Cochez la case Dfinir ces paramtres de stratgie.
9. Cochez les cases Russite et chec. Cliquez sur OK.
11. Fermez Gestion des stratgies de groupe.

Tche 4 : Actualisation force de la Stratgie de groupe
1. Dmarrez 6238B-SERVER01-A.
Pendant le dmarrage, lordinateur applique les modifications que vous avez
apportes la Stratgie de groupe.
2. Revenez l'ordinateur HQDC01.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Excutez l'Invite de commande avec des identifiants d'administrateur. Utilisez
le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
4. Tapez gpupdate.exe /force.
Cette commande oblige HQDC01 actualiser ses stratgies, ce qui provoque
l'entre en vigueur des nouveaux paramtres d'audit.
5. Fermez la fentre Invite de commandes.

Tche 5 : Gnration des vnements de connexion un compte
1. Revenez l'ordinateur SERVER01.
3. Cliquez sur Changer d'utilisateur, puis sur Autre utilisateur.
4. Dans le champ Nom d'utilisateur, tapez Pat.Coleman.
5. Dans le champ Mot de passe, tapez NotMyPassword, puis appuyez sur
Entre.
Le message suivant saffiche : Le nom d'utilisateur ou le mot de passe est incorrect.
6. Cliquez sur OK.
7. Dans le champ Mot de passe, tapez Pa$$w0rd et appuyez sur Entre.

Tche 6 : Examiner les vnements de connexion aux comptes
2. Excutez l'Observateur d'vnements avec des identifiants d'administrateur.
Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.
3. Dans l'arborescence de la console, dveloppez Journaux Windows, puis
cliquez sur Scurit.
4. Commencez par identifier les vnements d'chec dans la premire colonne,
puis la date et l'heure des vnements dans la seconde colonne. Un seul
vnement d'chec devrait correspondre l'heure o vous avez ouvert la
session de faon incorrecte.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quel ID dvnement est associ aux vnements dchec de connexion
aux comptes ? (Conseil : Recherchez la premire srie dvnements dchec au
moment o vous vous tes connect de manire incorrecte SERVER01.)
Rponse : 4771 : chec de la pr-authentification Kerberos
5. Examinez l'vnement Authentification Kerberos survenu aprs la connexion
incorrecte. Il devrait s'agir d'un vnement de russite gnr lorsque vous
avez russi ouvrir une session.

Question : Quel est lID dvnement qui est associ la connexion russie au
compte ? (Conseil : recherchez la premire srie d'vnements au moment o vous
vous tes connect correctement SERVER01.)
Rponse : 4768 : Demande de ticket d'authentification Kerberos
Tche 7 : Examen des vnements de connexion
3. Dans l'arborescence de la console, dveloppez Journaux Windows, puis
cliquez sur Scurit.
4. Commencez par identifier les vnements d'chec dans la premire colonne,
puis la date et l'heure des vnements dans la seconde colonne. Un seul
vnement d'chec devrait correspondre l'heure o vous avez ouvert la
session de faon incorrecte.
Question : Quel est lID dvnement qui est associ aux vnements dchec de
connexion ? (Conseil : Recherchez la premire srie dvnements dchec au
moment o vous vous tes connect de manire incorrecte SERVER01.)
Rponse : 4625 : chec de connexion un compte
5. Recherchez l'vnement Connexion survenu aprs la connexion incorrecte. Il
devrait s'agir d'un vnement de russite gnr lorsque vous avez russi
ouvrir une session.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : quel est lID dvnement qui est associ la connexion russie ?
(Conseil : recherchez la premire srie d'vnements au moment o vous vous tes
connect correctement SERVER01.)
Rponse : 4624 : Connexion russie un compte. L'vnement 4648 est galement
enregistr. Les informations de cet vnement dsignent une Tentative de
connexion l'aide d'informations d'identification explicites . Cet vnement
montre le dbut d'une connexion, mais c'est l'vnement 4624 qui indique la
russite de la connexion.

Remarque : N'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les
module.
Question : Quel serait linconvnient de procder laudit de toutes les
connexions russies et en chec sur tous les ordinateurs du domaine ?
Rponse : Une telle stratgie d'audit gnre une quantit incroyable d'entres
d'audit dans tous les ordinateurs du domaine. La gestion des journaux
d'vnements de scurit et la localisation des vnements signalant des problmes
potentiels seraient donc trs difficiles. Il est donc prfrable d'aligner votre stratgie
d'audit sur les exigences et les objectifs prcis de votre organisation.
Question : Vous avez t charg dassurer laudit des tentatives douverture de
session sur les ordinateurs de bureau et les ordinateurs portables de la division
Finances laide de comptes locaux, tels que le compte Administrateur. Quel type
de stratgie daudit dfinissez-vous, et dans quel(s) objet(s) GPO ?
Rponse : Vous devez activer l'audit pour les vnements de connexion aux
comptes russis et en chec. Les comptes qui vous intressent tant locaux et
authentifis par l'autorit de scurit locale de chaque poste de travail et ordinateur
portable, vous devez effectuer cette opration dans un GPO dont l'tendue
s'applique aux postes de travail et aux ordinateurs portables de la division Finances.
Il est inutile d'inclure les contrleurs de domaine dans l'tendue des paramtres.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Configuration des contrleurs de domaine en lecture seule L9-207
Atelier pratique C : Configuration
des contrleurs de domaine en
lecture seule

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Installation d'un contrleur de domaine en
lecture seule
L'ordinateur virtuel requis pour cet atelier pratique devrait dj avoir t dmarr
et tre disponible aprs l'Atelier pratique A. Toutefois, si ce n'est pas le cas,
Pa$$w0rd.
6. Fermez la fentre de lExplorateur Windows, Lab09c.

Tche 2 : Prdfinition de l'installation dlgue d'un contrleur de
domaine en lecture seule
cliquez sur l'UO Domain Controllers (Contrleurs de domaine).
3. Cliquez du bouton droit sur l'UO Contrleurs de domaine et choisissez Crer
au pralable un compte de contrleur de domaine en lecture seule.
5. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant.
6. Dans la page Informations d'identification rseau, cliquez sur Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Dans la page Spcifiez le nom de l'ordinateur, tapez BRANCHDC01, puis
8. Dans la page Slectionner un site, cliquez sur Suivant.
9. Dans la page Options supplmentaires pour le contrleur de domaine,
Notez que l'option Contrleur de domaine en lecture seule est slectionne et
n'est pas modifiable. En effet, vous avez lanc l'Assistant en choisissant de
crer au pralable un compte de contrleur de domaine en lecture seule.
10. Dans la page Dlgation de l'installation et de l'administration du
contrleur de domaine en lecture seule (RODC), cliquez sur le bouton
Dfinir.
La bote de dialogue Slectionner un utilisateur ou un ordinateur s'affiche.
11. Tapez Aaron.Painter_Admin et appuyez sur Entre.
13. Vrifiez vos slections dans la page Rsum, puis cliquez sur Suivant.
14. Dans la page Fin de lAssistant Installation de Active Directory, cliquez sur
Terminer.
Notez que le nouveau serveur est rpertori dans la colonne Type de
contrleur de domaine en tant que Compte de contrleur de domaine
inoccup (Lecture seule, Catalogue global).

Tche 3 : Excution de l'Assistant Installation des services de domaine
Active Directory sur un serveur de groupe de travail
1. Dmarrez l'ordinateur 6238B-BRANCHDC01-A.
2. Sur BRANCHDC01, ouvrez une session en tant qu'Administrateur avec le mot
de passe Pa$$w0rd.
3. Cliquez sur Dmarrer, puis sur Excuter...
4. Tapez dcpromo, puis appuyez sur Entre.
Une fentre saffiche pour vous signaler que les fichiers binaires des services
de domaine Active Directory sont en cours dinstallation. lissue de
linstallation, lAssistant Installation des services de domaine Active Directory
saffiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Dans la page Choisissez une configuration de dploiement, cliquez
successivement sur loption Fort existante, sur Ajouter un contrleur de
domaine un domaine existant, puis sur Suivant.
8. Dans la page Informations didentification rseau, tapez contoso.com.
9. Cliquez sur le bouton Dfinir.
10. Dans la zone Nom dutilisateur, tapez Aaron.Painter_Admin.
13. Dans la page Slectionnez un domaine, slectionnez contoso.com, puis
Un message saffiche pour vous informer que vos informations didentification
nappartiennent pas au groupe Admins du domaine, ni au groupe
Administrateurs de lentreprise. Comme vous avez prdfini ladministration
dlgue du contrleur de domaine en lecture seule, vous pouvez poursuivre
avec les informations didentification dlgues.
Un message saffiche pour vous informer que le compte pour BRANCHDC01 a
t prdfini dans Active Directory en tant que contrleur de domaine en
lecture seule.
15. Cliquez sur OK.
Un message davertissement saffiche qui indique que lordinateur dispose
dune adresse IP affecte dynamiquement. BRANCHDC01 possde une
adresse IPv6 affecte dynamiquement. En revanche, le serveur ne possde pas
dadresse IPv4 fixe. Les adresses IPv6 ntant pas utilises dans ce cours, vous
pouvez ignorer ce message.
de SYSVOL, cliquez sur Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
18. Dans la page Mot de passe administrateur de restauration des services
dannuaire, tapez Pa$$w0rd12345 dans les zones Mot de passe et
Confirmer le mot de passe, puis cliquez sur Suivant.
Dans un environnement de production, vous devez affecter un mot de passe
complexe et scuris au compte Administrateur de restauration des services
dannuaire.
Notez galement que nous avons modifi la stratgie de mot de passe du
domaine lors de l'Atelier A et que la longueur du mot de passe en mode
Restauration des services d'annuaire (Pa$$w0rd) n'est plus suffisante. Pour
nous conformer la longueur minimale obligatoire, nous devons donc ajouter
d'autres caractres.
19. Dans la page Rsum, cliquez sur Suivant.
20. Dans la fentre de progression, activez la case cocher Redmarrer la fin de
lopration. Les services de domaine Active Directory sont installs sur
BRANCHDC01, le serveur redmarre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration d'une stratgie de rplication de
mot de passe
Tche 1 : Configurer la stratgie de rplication de mot de passe
lchelle du domaine
2. Dans larborescence de la console Utilisateurs et ordinateurs Active
Directory, cliquez sur le conteneur Users (Utilisateurs).
3. Double-cliquez sur Groupe de rplication dont le mot de passe RODC est
autoris.
5. Examinez les appartenances par dfaut du Groupe de rplication dont le mot
de passe RODC est autoris.
Question : Qui sont les membres par dfaut du Groupe de rplication dont le mot
de passe RODC est autoris ?
Rponse : Il n'existe pas de membres par dfaut.
6. Cliquez sur OK.
7. Double-cliquez sur Groupe de rplication dont le mot de passe RODC est
refus.
Question : Qui sont les membres par dfaut du Groupe de rplication dont le mot
de passe RODC est refus ?
Rponse : Les groupes sensibles sur le plan de la scurit : diteurs de certificats,
Admins du domaine, Contrleurs de domaine, Administrateurs de l'entreprise,
Propritaires crateurs de la stratgie de groupe, krbtgt, Contrleurs de domaine en
lecture seule et Administrateurs du schma.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La bote de dialogue Slectionnez des utilisateurs, des contacts, des
ordinateurs ou des groupes s'affiche.
10. Tapez DNSAdmins, puis appuyez sur Entre.
11. Cliquez sur OK.
12. Dans l'arborescence de la console, cliquez sur l'UO Domain Controllers
(Contrleurs de domaine).
13. Cliquez du bouton droit sur BRANCHDC01 et choisissez Proprits.
14. Cliquez sur longlet Stratgie de rplication de mot de passe.
Question : Quelle est la stratgie de rplication de mot de passe pour le Groupe de
rplication dont le mot de passe RODC est autoris ? Et pour le Groupe de
rplication dont le mot de passe RODC est refus ?
Rponse : Autoriser et Refuser, respectivement.
15. Cliquez sur OK pour fermer la bote de dialogue.

Tche 2 : Cration d'un groupe pour grer la rplication de mot de
passe sur le contrleur de domaine en lecture seule d'une filiale
1. Dans l'arborescence de la console Utilisateurs et ordinateurs Active
Directory, dveloppez Groups (Groupes),, puis cliquez sur l'UO Role (Rl)e.
2. Cliquez du bouton droit sur Rle, choisissez Nouveau, puis cliquez sur Groupe.
3. Tapez Branch Office Users dans le champ Nom du groupe, puis cliquez sur
OK.
4. Cliquez du bouton droit sur l'UO Branch Office Users et choisissez
Proprits.
5. Ouvrez l'onglet Membres, puis cliquez sur le bouton Ajouter.
6. Tapez Anav.Silverman; Chris.Gallagher; Christa.Geller; Daniel.Roth, puis
cliquez sur OK.
7. Cliquez sur OK pour fermer la bote de dialogue Proprits de Branch Office
Users.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Configuration de la stratgie de rplication de mot de passe
pour le contrleur de domaine en lecture seule de la filiale
5. Cliquez sur Autoriser la rplication des mots de passe du compte sur ce
contrleur de domaine en lecture seule (RODC), puis sur OK.
groupes saffiche.
6. Tapez Branch Office Users et appuyez sur Entre.
7. Cliquez sur OK pour fermer la bote de dialogue Proprits de
BRANCHDC01.

Tche 4 : valuation de la stratgie de rplication de mot de passe
rsultante
La bote de dialogue Stratgie de rplication de mot de passe avance pour
BRANCHDC01 saffiche lcran.
4. Cliquez sur longlet Stratgie rsultante, puis cliquez sur le bouton Ajouter.
La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche.
5. Tapez Chris.Gallagher, puis appuyez sur Entre.
Question : Quelle est la stratgie rsultante pour Chris.Gallagher ?
Rponse : Autoriser.
7. Cliquez sur OK pour fermer la bote de dialogue Proprits de BRANCHDC01.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Gestion de la mise en cache des informations
d'identification
Tche 1 : Contrle de la mise en cache des informations
d'identification
1. Revenez l'ordinateur BRANCHDC01.
2. Ouvrez une session sur BRANCHDC01 avec le compte Chris.Gallagher et le
3. Cliquez sur Dmarrer, pointez sur la flche accole au bouton Verrouiller et
cliquez sur Fermer la session.
4. Ouvrez une session sur BRANCHDC01 avec le compte Mike.Danseglio et le
5. Cliquez sur Dmarrer, pointez sur la flche accole au bouton Verrouiller et
cliquez sur Fermer la session.
Directory, cliquez sur l'UO Domain Controllers (Contrleurs de domaine).
8. Dans le volet d'informations, cliquez du bouton droit sur BRANCHDC01 et
Longlet Utilisation de la stratgie affiche les comptes dont les mots de passe
sont stocks sur ce contrleur de domaine en lecture seule.
Question : Quels mots de passe d'utilisateur sont actuellement mis en cache dans
BRANCHDC01 ?
Rponse : Le seul utilisateur dans le mot de passe est stock dans BRANCHDC01
est Chris Gallagher. Les mots de passe du compte d'ordinateur de BRANCHDC01
lui-mme et le compte de service Kerberos krbtgt_xyz sont galement mis en cache.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Dans la liste droulante, slectionnez Comptes authentifis sur ce contrleur
de domaine en lecture seule.
Question : Quels utilisateurs ont t authentifis par BRANCHDC01 ?
Rponse : Mike Danseglio et Chris Gallagher.
12. Cliquez sur Fermer, puis sur OK.

Tche 2 : Prremplissage des informations d'identification dans le cache
Directory, cliquez sur l'UO Domain Controllers (Contrleurs de domaine).
3. Ouvrez l'onglet Stratgie de rplication de mot de passe.
5. Cliquez sur le bouton Prremplir les mots de passe.
La bote de dialogue Slectionner des utilisateurs ou des ordinateurs s'affiche.
6. Tapez Christa Geller, puis cliquez sur OK.
7. Cliquez sur Oui pour confirmer que vous voulez envoyer les informations
didentification au contrleur de domaine en lecture seule.
Le message suivant saffiche : Les mots de passe de tous les comptes ont t
correctement prremplis.
8. Dans l'onglet Utilisation de la stratgie, slectionnez Comptes dont les mots
de passe sont stocks sur ce contrleur de domaine en lecture seule.
9. Localisez l'entre de Christa Geller. Les identifiants de connexion de Christa
sont mis en cache dans le contrleur RODC.
11. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Pourquoi devez-vous vous assurer que la liste verte de la stratgie de
rplication de mot de passe dun contrleur de domaine en lecture seule dune
filiale contient les comptes des ordinateurs de la filiale, ainsi que les utilisateurs ?
Rponse :Comme les utilisateurs, les ordinateurs doivent s'authentifier auprs du
domaine. La logique est donc la mme que pour les utilisateurs : amliorer les
performances de l'authentification travers le rseau tendu et s'assurer que
l'authentification fonctionne, mme lorsque la liaison du rseau tendu n'est pas
disponible.
Question : Quel serait le moyen le plus simple de sassurer que les ordinateurs
dune filiale figurent dans la liste verte de la stratgie de rplication de mot de
passe dun contrleur de domaine en lecture seule ?
Rponse : Il suffit de crer un groupe pour ces ordinateurs, par exemple
Ordinateurs de la succursale.
Question : Le prremplissage des informations didentification pour lensemble
des utilisateurs et des ordinateurs dune filiale sur le contrleur de domaine en
lecture seule de ladite filiale prsente des avantages et des inconvnients. Quels
sont-ils ?
Rponse :Il n'existe pas de rponse catgorique cette question. Servez-vous en
pour revoir le rle stratgique d'un contrleur RODC. Le fait de prremplir les
informations d'identification des utilisateurs (et des ordinateurs) dans le cache du
contrleur RODC de la succursale permet d'optimiser les performances de
l'authentification (lors de la premire ouverture de session car, aprs a, les
identifiants auraient t mis en cache car leurs utilisateurs sont de toute faon dans
la liste Autoriser). Cela permet galement d'tre certain que les utilisateurs puissent
s'authentifier ds la premire ouverture de session, mme lorsque la liaison du
rseau tendu n'est pas disponible. L'inconvnient est, qu'en cas de brche dans la
scurit physique du contrleur RODC, ces identifiants de connexion sont exposs,
mme si les utilisateurs ne se sont pas encore connects la succursale.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Installation du service DNS L10-219
Module 10 : Configuration du systme DNS
Atelier pratique A : Installation du
service DNS

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L10-220 Module 10 : Configuration du systme DNS

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Ajout du rle de serveur DNS
2. Attendez la fin du dmarrage.

Tche 2 : Ajout du rle de serveur DNS
1. Dans HQDC02, cliquez sur l'icne Gestionnaire de serveur accole au bouton
Dmarrer.
4. Dans le volet d'informations, sous Rsum des rles, cliquez sur Ajouter des
rles.
LAssistant Ajout de rles saffiche.
5. Sur la page Avant de commencer, cliquez sur Suivant.
6. Dans la liste Rles, cliquez sur Serveur DNS, puis sur Suivant.
7. Lisez les informations de la page Serveur DNS, puis cliquez sur Suivant.
8. Dans la page Confirmer les slections pour l'installation, vrifiez que c'est
bien le rle Serveur DNS qui sera install, puis cliquez sur Installer.
9. Dans la page Rsultats de l'installation, cliquez sur Fermer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Redmarrez HQDC02.
Cette opration n'est pas ncessaire dans un environnement de production,
mais cela acclre le redmarrage des services et la rplication des
enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

Tche 3 : Changement de la configuration serveur DNS du client DNS
2. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static
10.0.0.12 primary, puis appuyez sur Entre.
3. Tapez netsh interface ipv4 add dnsserver "Local Area Connection"
10.0.0.11, puis appuyez sur Entre.

Tche 4 : Examen de la zone de recherche directe du domaine
1. Excutez le Gestionnaire DNS avec des identifiants d'administrateur. Utilisez
Le Gestionnaire de serveur est rpertori sous le nom DNS dans le dossier
Outils d'administration.
Le Gestionnaire DNS s'ouvre.
2. Dans l'arborescence de la console, dveloppez HQDC02 et Zones de
recherche directes, puis cliquez sur contoso.com.
3. Examinez les enregistrements SOA, NS et A de la zone.

Tche 5 : Configuration de redirecteurs pour la rsolution des noms
Internet
1. Dans l'arborescence de la console, cliquez du bouton droit sur HQDC02 et
La bote de dialogue Proprits de HQDC02 s'affiche.
2. Ouvrez l'onglet Redirecteurs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La bote de dialogue Modifier les redirecteurs s'affiche.
4. Tapez 192.168.200.12 et appuyez sur Entre.
5. Tapez 192.168.200.13 et appuyez sur Entre.
6. Cliquez sur OK.
Ces serveurs DNS n'existant pas encore, le nom de domaine complet du
serveur affichera soit <Tentative de rsolution...>, soit <Rsolution
impossible>. Dans un environnement de production, vous configureriez les
redirecteurs sur les serveurs DNS en amont au niveau d'Internet, gnralement
ceux fournis par votre oprateur Internet (ISP).
7. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration de zones de recherche directe et
d'enregistrements de ressource
Tche 1 : Cration d'une zone de recherche directe
1. Cliquez du bouton droit sur Zones de recherche directes et choisissez
Nouvelle zone.
L'Assistant Nouvelle zone apparat.
3. Dans la page Type de zone, cliquez sur Zone principale et vrifiez que
l'option Enregistrer la zone de Active Directory est slectionne, puis cliquez
sur Suivant.
4. Dans la page tendue de la zone de rplication de Active Directory, cliquez
sur Vers tous les contrleurs de ce domaine (compatibilit avec
Windows 2000): contoso.com, puis sur Suivant.
5. Dans la page Nom de la zone, tapez development.contoso.com, puis cliquez
sur Suivant.
6. Dans la page Mise niveau dynamique, cliquez sur Ne pas autoriser les
mises jour dynamiques, puis sur Suivant.
7. Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer.

Tche 2 : Cration de l'hte et des enregistrements CNAME
recherche directes, puis cliquez sur development.contoso.com.
2. Cliquez du bouton droit sur development.contoso.com et choisissez Nouvel
hte (A ou AAAA).
La bote de dialogue Nouvel hte s'affiche.
3. Dans le champ Nom, tapez APPDEV01.
4. Dans le champ Adresse IP, tapez 10.0.0.24.
5. Cliquez sur Ajouter un hte.
Un message indique que l'enregistrement de l'hte a bien t effectu.
6. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Cliquez sur Termin.
8. Cliquez du bouton droit sur development.contoso.com et choisissez Nouvel
alias (CNAME).
La bote de dialogue Nouvel enregistrement de ressource apparat.
9. Dans le champ Nom alias, tapez www.
10. Tapez appdev01.development.contoso.com dans le champ Nom de domaine
pleinement qualifi (FQDN) pour l'hte de destination, puis cliquez sur
OK.

Tche 3 : Test de la rsolution des noms
3. Examinez le rsultat de la commande. Que vous indique-t-il ?
La premire section vous indique quel serveur DNS vous avez interrog. Les
lignes Dlai d'expiration et Serveur : Inconnu sont dues l'absence de zone de
recherche inverse. La commande nslookup tente de rsoudre le nom du
serveur partir de son adresse IP, 10.0.0.12, et n'y parvient pas. La seconde
section est le rsultat de la requte. Les alias indiquent le nom demand. Le
nom correspond au nom d'hte rsultant de l'enregistrement CNAME (Alias).
Et l'adresse est l'adresse IP de l'hte.

Question : Si vous n'aviez pas configur des redirecteurs dans HQDC02, quelles
auraient t les consquences pour les clients qui utilisent HQDC02 comme leur
serveur DNS principal ?
Rponse : Ils n'auraient pas pu rsoudre les noms autres que ceux du domaine (de
la zone) contoso.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Les clients auraient-ils t capables de rsoudre les noms du domaine
development.contoso.com si vous aviez choisi une zone DNS autonome plutt
qu'une zone intgre Active Directory ? Pourquoi cela se produirait-il ? Que
devriez-vous faire pour rsoudre ce problme ?
Rponse : Les clients qui interrogent l'autre serveur DNS ne pourraient pas
rsoudre les noms de la zone car le serveur ne recevrait pas de rplica de cette
zone. Le problme pourrait tre rsolu par l'intgration de la zone Active
Directory, en hbergeant une zone secondaire dans l'autre serveur DNS, ou en
crant une zone de stub transmettant les requtes au serveur qui hberge la zone
development.contoso.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Configuration avance du systme DNS L10-227
Atelier pratique B : Configuration
avance du systme DNS

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Activation du nettoyage des zones DNS
Certains des ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier
pratique A. Toutefois, s'ils ont t arrts, terminez les Exercices 1 et 2 de l'Atelier
pratique A avant de continuer car il existe des dpendances entre les Ateliers
pratiques A et B.
4. Excutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte
Administrator et le mot de passe Pa$$w0rd.
Pa$$w0rd.
11. Dmarrez 6238B-BRANCHDC01-B.
12. Patientez jusqu' la fin du dmarrage de BRANCHDC01 avant de poursuivre.

Tche 2 : Activation du nettoyage d'une zone DNS
recherche directes, puis cliquez sur contoso.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Cliquez avec le bouton droit sur contoso.com et choisissez Proprits.
5. Dans l'onglet Gnral, cliquez sur le bouton Vieillissement.
La bote de dialogue Vieillissement de zone/Proprits de nettoyage s'affiche.
6. Cochez la case Nettoyer les enregistrements de ressource obsoltes.
7. Cliquez sur OK.
8. Cliquez sur OK pour fermer la bote de dialogue Proprits de contoso.com.

Tche 3 : Configuration des paramtres par dfaut du nettoyage
1. Dans l'arborescence de la console, cliquez du bouton droit sur HQDC02 et
choisissez Dfinir le vieillissement/nettoyage pour toutes les zones.
La bote de dialogue Vieillissement de serveur/Proprits de nettoyage
s'affiche.
2. Cochez la case Nettoyer les enregistrements de ressource obsoltes.
3. Cliquez sur OK.
La bote de dialogue Vieillissement de serveur/Confirmation de nettoyage
s'affiche.
4. Cochez la case Appliquer ces paramtres aux zones intgres Active
Directory existantes.
5. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration de zones de recherche inverse
Tche 1 : Cration d'une zone de recherche inverse
1. Dans l'arborescence de la console, cliquez sur Zones de recherche inverse.
2. Cliquez du bouton droit sur Zones de recherche inverses et choisissez
Nouvelle zone.
L'Assistant Nouvelle zone apparat.
4. Dans la page Type de zone, cliquez sur Suivant.
5. Dans la page tendue de la zone de rplication de Active Directory, cliquez
sur Vers tous les contrleurs de ce domaine (compatibilit avec
Windows 2000): contoso.com. Cliquez sur Suivant.
6. Dans la page Nom de la zone de recherche inverse, cliquez sur Zone de
recherche inverse IPv4. Cliquez sur Suivant.
7. Dans le champ ID rseau de la page Nom de la zone de recherche inverse,
tapez 10. Laissez les deux autres octets vides. Cliquez sur Suivant.
8. Dans la page Mise niveau dynamique, cliquez sur N'autoriser que les
mises jour dynamiques scurises. Cliquez sur Suivant.
9. Dans la page Fin de l'Assistant Nouvelle zone, cliquez sur Terminer.

Tche 2 : Vrification du fonctionnement d'une zone de recherche
inverse
3. Notez que la premire section du rsultat de la commande, qui dsigne le
serveur DNS interrog, indique l'adresse IP du serveur mais, ct de Serveur,
elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe
ne peut pas rsoudre l'adresse IP en nom.
4. Basculez vers le Gestionnaire DNS.
5. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous
Zones de recherche inverse.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Examinez les enregistrements de cette zone.
8. Tapez ipconfig /registerdns et appuyez sur Entre.
10. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.
11. Examinez les enregistrements de ressource qui sont apparus.
14. Notez que la premire section de la commande est prsent capable
d'identifier le serveur par l'adresse et par le nom.
15. Notez que le serveur DNS interrog l'adresse 10.0.0.12 est dsormais rsolu
par son nom.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Exploration de l'emplacement des contrleurs
de domaine
Tche 1 : Exploration du domaine _tcp
2. Dans l'arborescence de la console, dveloppez successivement HQDC02,
Zones de recherche directes et contoso.com, puis cliquez sur le nud _tcp.

Question : Que reprsentent les enregistrements de ressource rpertoris dans le
volet d'informations ?
Rponse : Les services proposs par chaque contrleur de domaine du domaine
contoso.com.
Tche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com
2. Dans l'arborescence de la console, dveloppez HQDC02, Zones de recherche
directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nud _tcp.

Question : Que reprsentent les enregistrements de ressource rpertoris dans le
volet d'informations ?
Rponse : Les services proposs par chaque contrleur de domaine situ dans ou
couvrant le site BRANCHA.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Configuration de la rsolution des noms pour
des domaines externes
Tche 1 : Configuration d'une zone de stub
1. Dans l'arborescence de la console, dveloppez HQDC02 et cliquez sur Zones
de recherche directes.
2. Cliquez avec le bouton droit sur Zones de recherche directes, puis cliquez sur
Nouvelle zone.
La page d'accueil de l'Assistant Nouvelle zone apparat.
La page Type de zone s'affiche.
4. Cliquez sur Zone de stub, puis sur Suivant.
La page tendue de la zone de rplication de Active Directory s'affiche.
La page Nom de la zone s'affiche.
6. Tapez tailspintoys.com, puis cliquez sur Suivant.
La page Serveurs DNS matres s'affiche.
7. Tapez 10.0.0.31 et appuyez sur TAB.
8. Cochez la case Utiliser les serveurs suivants pour crer une liste locale des
serveurs matres.
9. Cliquez sur Suivant, puis sur Terminer.

Tche 2 : Configuration d'un redirecteur conditionnel
1. Basculez vers TSTDC01.
3. Dans l'arborescence de la console, dveloppez TSTDC01, puis cliquez sur
Redirecteurs conditionnels.
4. Cliquez du bouton droit sur le dossier Redirecteurs conditionnels et
choisissez Nouveau redirecteur conditionnel.
5. Dans le champ Domaine DNS, tapez contoso.com.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Cliquez sur Cliquez ici pour ajouter une adresse IP ou un nom DNS et tapez
10.0.0.11.
7. Cochez la case Stocker ce redirecteur conditionnel dans Active Directory, et
le rpliquer comme suit.
8. Cliquez sur OK.

Tche 3 : Validation de la rsolution des noms pour des domaines
externes
2. Tapez nslookup www.development.contoso.com et appuyez sur Entre.
Cette commande doit renvoyer l'adresse 10.0.0.24.
4. Dans l'arborescence de la console, dveloppez TSTDC01 et Zones de
recherche directes, puis cliquez sur la zone tailspintoys.com.
5. Cliquez du bouton droit sur tailspintoys.com et choisissez Nouvel hte (A ou
AAAA).
La bote de dialogue Nouvel hte s'affiche.
6. Dans le champ Nom, tapez www.
7. Dans le champ Adresse IP, tapez 10.0.0.143.
8. Cliquez sur Ajouter un hte.
Un message indique que l'enregistrement a bien t ajout.
9. Cliquez sur OK.
10. Cliquez sur Termin.
13. Tapez nslookup www.tailspintoys.com et appuyez sur Entre.
La commande doit renvoyer l'adresse 10.0.0.143.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Dans cet atelier, vous avez utilis une zone de stub et un redirecteur
conditionnel pour fournir la rsolution des noms entre deux domaines distincts.
Quelles autres options auriez-vous pu choisir ?
Rponse : Vous pouvez crer une zone secondaire dans chaque domaine qui
hberge une copie de la zone de l'autre. Si les domaines disposent de dlgations
dans le domaine TLD .com, vous pourriez utiliser des indications de racine et des
requtes rcursives DNS standard pour qu'ils puissent chacun rsoudre
mutuellement les noms des domaines de l'autre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Installation de contrleurs de domaine L11-237
Module 11 : Administration des contrleurs de
domaine des Services de domaine Active
Directory (AD DS)
Atelier pratique A : Installation de
contrleurs de domaine

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L11-238 Module 11 : Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Cration d'un contrleur de domaine
supplmentaire avec l'Assistant Installation des services de
4. Ouvrez une session sur HQDC02 en tant qu'Administrateur avec le mot de
passe Pa$$w0rd.

Tche 2 : Promotion d'un contrleur de domaine l'aide de l'Assistant
Installation des services de domaine Active Directory
1. Dans HQDC02, cliquez sur Dmarrer, puis, dans la zone de Recherche, tapez
DCPromo.exe et appuyez sur Entre.
Un message vous indique que les fichiers binaires d'AD DS sont en cours
d'installation. Cette opration dure plusieurs minutes.
2. Dans la page de bienvenue, cliquez sur Suivant.
sur les paramtres de scurit par dfaut pour les contrleurs de domaine
successivement sur Fort existante, sur Ajouter un contrleur de domaine
un domaine existant, puis sur Suivant.
5. Dans la page Informations d'identification rseau, tapez contoso.com dans
le champ de texte.
6. Cliquez sur le bouton Dfinir.
La bote de dialogue Scurit de Windows s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Dans le champ Mot de passe, tapez Pa$$w0rd, puis cliquez sur OK.
11. Dans la page Slectionner un site, slectionnez Default-First-Site-Name, puis
La page Options supplmentaires pour le contrleur de domaine s'affiche. Les
options Serveur DNS et Catalogue global sont slectionnes par dfaut.
Un avertissement s'affiche pour vous signaler que le serveur va recevoir une
adresse IP statique dynamiquement.
L'ordinateur HQDC02 a une adresse IPv4 fixe et une adresse IPv6 dynamique.
Le protocole IPv6 tant au-del de l'tendue de cette classe, vous pouvez
ignorer cet avertissement.
L'Assistant Installation des services de domaine Active Directory affiche un
avertissement indiquant qu'aucune dlgation n'a pu tre dtecte.
La configuration DNS tant correcte dans le domaine contoso.com, vous
pouvez ignorer cet avertissement.
de SYSVOL, acceptez les emplacements par dfaut pour le fichier de la base de
donnes, les journaux du service d'annuaire et les fichiers SYSVOL, puis
Dans un environnement de production, il est conseill de stocker ces fichiers
sur trois volumes distincts qui ne contiennent pas d'applications ni d'autres
fichiers non lis aux AD DS. Cette recommandation amliore les performances
et augmente l'efficacit de la sauvegarde et de la restauration.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
16. Dans la page Mot de passe administrateur de restauration des services
d'annuaire, tapez Pa$$w0rd dans les zones Mot de passe et Confirmer le
mot de passe. Cliquez sur Suivant.
Ne perdez pas le mot de passe que vous avez affect l'administrateur de
restauration des services d'annuaire.
17. Dans la page Rsum, vrifiez vos slections.

Important : NE CLIQUEZ PAS SUR SUIVANT.
Si l'un des paramtres est incorrect, cliquez sur Prcdent pour le modifier.
18. Cliquez sur Exporter les paramtres.
19. Cliquez sur Parcourir les dossiers.
20. Cliquez sur Bureau.
21. Dans la zone Nom du fichier, tapez AdditionalDC, puis cliquez sur
Enregistrer.
Un message vous indique que les paramtres ont bien t enregistrs.
22. Cliquez sur OK.
Vous allez maintenant annuler l'installation du contrleur de domaine et, la
place, vous allez promouvoir le serveur en contrleur de domaine dans le
prochain exercice.
23. Dans la page Rsum de l'Assistant Installation des services de domaine
Active Directory, cliquez sur Annuler.
24. Cliquez sur Oui pour confirmer l'annulation de l'installation du contrleur de
domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Ajout d'un contrleur de domaine partir de la
ligne de commande
Tche 1 : Cration de la commande DCPromo
1. Ouvrez le fichier AdditionalDC.txt cr lors de l'Exercice 1.
2. Examinez les rponses de ce fichier. Comprenez-vous la signification de
certaines options ?

Conseil : Les lignes qui commencent par un point-virgule sont des commentaires ou des
lignes inactives dont les commentaires ont t supprims.
3. Cliquez sur Dmarrer et tapez Notepad (Bloc-notes) dans le champ
Rechercher. Puis, appuyez sur Entre.
L'application Notepad s'ouvre.
4. Dans le menu Format, cliquez sur Retour automatique la ligne.
5. Placez la fentre Notepad vierge et le fichier AdditionalDC.txt de manire les
voir tous les deux.
6. Dans Notepad (Bloc-notes), tapez la ligne de commande dcpromo.exe comme
s'il s'agissait d'une invite de commande. Identifiez la ligne de commande
charge d'installer le contrleur de domaine avec les mmes options que celles
rpertories dans le fichier de rponses. Les options de la ligne de commande
prennent la forme /option:valeur alors que, dans le fichier de rponses, elles
sont au format option=valeur. Configurez les valeurs Password et
SafeModeAdminPassword sur Pa$$w0rd. Demandez DCPromo de
redmarrer la fin de l'opration.
Tapez sur la mme ligne (avec le retour la ligne activ) :
dcpromo /unattend /ReplicaOrNewDomain:Replica
/ReplicaDomainDNSName:contoso.com
/SiteName:Default-First-Site-Name /InstallDNS:Yes /ConfirmGc:Yes
/CreateDNSDelegation:No /UserDomain:contoso.com
/UserName:contoso.com\Pat.Coleman_Admin /Password:Pa$$w0rd
/DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS"
/SYSVOLPath:"C:\Windows\SYSVOL" /SafeModeAdminPassword:Pa$$w0rd
/RebootOnCompletion:Yes
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Comme vous l'apprendrez l'Atelier B, vous pouvez dfinir la valeur du mot
de passe sur un astrisque (*). Vous serez alors invit saisir le mot de passe
lors de l'excution de la commande.
7. Ouvrez \\HQDC01\d$\Labfiles\Lab11a\Exercise2.txt.
8. Comparez la commande correcte du fichier Exercise2.txt celle que vous avez
cre l'tape prcdente. Apportez les corrections ncessaires votre
commande.

Tche 2 : Excution de la commande DCPromo
L'Invite de commande s'ouvre.
2. Revenez la fentre Notepad qui contient votre commande dcpromo.exe.
3. Dans le menu Format, dsactivez l'option Retour automatique la ligne.
Si le retour la ligne est activ, la commande ne pourra pas tre copie/colle
correctement dans l'invite de commande : chaque nouvelle ligne sera
considre comme une commande supplmentaire.
4. Appuyez sur Ctrl+A, puis, dans le menu Edition, cliquez sur Copier.
5. Revenez la fentre Invite de commande.
6. Cliquez du bouton droit dans cette fentre, puis choisissez Coller.
7. Appuyez sur Entre pour excuter la commande.

Conseil : Si des erreurs surviennent, votre commande contient probablement une erreur
de syntaxe. Comparez ce que vous avez tap dans la commande correcte, contenue dans
\\HQDC01\d$\Labfiles\Lab11a \Exercise2.txt. Sinon, copiez et collez la commande depuis
le fichier Exercise2.txt au lieu d'utiliser la commande que vous avez cre.
HQDC02 est promu contrleur de domaine. Cette opration peut prendre
quelques minutes.
L'ordinateur redmarre lorsque la configuration est termine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Suppression d'un contrleur de domaine
Tche 1 : Suppression d'un contrleur de domaine
1. Attendez la fin du dmarrage de l'ordinateur HQDC02.
3. Cliquez sur le bouton Dmarrer, puis sur Excuter.
4. Tapez dcpromo.exe et appuyez sur Entre.
7. Dans la page de bienvenue, cliquez sur Suivant.
Un message vous rappelle de vrifier qu'il ne s'agit pas du dernier serveur de
catalogue global de la fort.
8. Cliquez sur OK.
9. Dans la page Supprimer le domaine, cliquez sur Suivant.
10. Dans la page Mot de passe administrateur, tapez Pa$$w0rd dans les zones
Mot de passe et Confirmer le mot de passe, puis cliquez sur Suivant.
Les services AD DS sont retirs de l'ordinateur HQDC02.
Un message vous invite redmarrer le serveur.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Cration d'un contrleur de domaine partir
du support d'installation
Tche 1 : Cration d'un support d'installation
5. Tapez ifm et appuyez sur ENTRE.
6. Tapez ?, puis appuyez sur Entre pour obtenir la liste des commandes
disponibles en mode IFM.
7. Tapez create sysvol full c:\IFM, puis appuyez sur Entre.
Les fichiers du support d'installation sont copis dans c:\IFM.
Lorsque le processus est termin, un message apparat : Support IFM cr dans
c:\IFM.

Tche 2 : Promotion d'un contrleur de domaine l'aide du support
d'installation
1. Ouvrez une session sur l'ordinateur HQDC02 avec le compte Pat.Coleman et
3. Tapez \\HQDC01\c$ et appuyez sur Entre.
La bote de dialogue Connexion hqdc01.contoso.com s'affiche.
Une fentre de l'Explorateur Windows s'ouvre et prsente la racine du lecteur
C dans HQDC01.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Cliquez du bouton droit sur le dossier IFM, puis choisissez Copier.
7. Dans la barre d'Adresse, tapez C:\, puis appuyez sur Entre.
8. Cliquez du bouton droit dans un espace vide du volet d'informations, puis
choisissez Coller.
Le dossier IFM est copi depuis HQDC01 dans le lecteur C.
9. Fermez la fentre de lExplorateur Windows.
11. Tapez dcpromo.exe et appuyez sur Entre.
14. Dans la page de Bienvenue, cochez la case Utiliser l'installation en mode
avanc.
sur les paramtres de scurit par dfaut des contrleurs de domaine
successivement sur Fort existante, sur Ajouter un contrleur de domaine
un domaine existant, puis sur Suivant.
18. Dans la page Informations d'identification rseau, tapez contoso.com dans
le champ de texte.
21. Dans la page Slectionner un site, slectionnez Default-First-Site-Name, puis
La page Options supplmentaires pour le contrleur de domaine s'affiche. Les
options Serveur DNS et Catalogue global sont slectionnes par dfaut.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Un avertissement s'affiche pour vous signaler que le serveur va recevoir une
adresse IP statique dynamiquement.
L'ordinateur HQDC01 a une adresse IPv4 fixe et une adresse IPv6 dynamique.
Le protocole IPv6 tant au-del de l'tendue de cette classe, vous pouvez
ignorer cet avertissement.
L'Assistant Installation des services de domaine Active Directory affiche un
avertissement indiquant qu'aucune dlgation n'a pu tre dtecte.
La configuration DNS tant correcte dans le domaine contoso.com, vous
pouvez ignorer cet avertissement.
25. Dans la page Installation partir du support, cliquez sur Rpliquer les
donnes partir du support l'emplacement suivant.
26. Dans la zone Emplacement, tapez C:\IFM, puis cliquez sur Suivant.
27. Dans la page Contrleur de domaine source, cliquez sur Suivant.
Vous allez maintenant annuler l'installation du contrleur de domaine.
28. cliquez sur Annuler.
29. Cliquez sur Oui pour confirmer l'annulation de l'installation du contrleur de
domaine.
30. Arrtez HQDC02, mais pas HQDC01 car vous allez l'utiliser dans les ateliers
suivants.

paramtres que vous avez configurs ici seront utiliss dans l'Atelier B.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Pourquoi choisir d'utiliser un fichier de rponses ou une ligne de
commande dcpromo.exe pour installer un contrleur de domaine plutt que
d'utiliser l'Assistant Installation des services de domaine Active Directory ?
Rponse : Automatisation d'une installation. Pour des raisons de cohrence
(utilisation systmatique des mmes options dans un script plutt que d'esprer
qu'un administrateur utilise les options qui conviennent). Documentation (le script
documente la faon dont le contrleur de domaine a t install). Et, bien sr,
lors d'une installation minimale (Server Core).
Question : Dans quels cas est-il justifi de crer un contrleur de domaine l'aide
d'un support d'installation ?
Rponse : Lorsque la rplication d'Active Directory dans le nouveau contrleur de
domaine peut entraner des problmes de performance ou affecter le rseau.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Installation d'un contrleur de domaine installation minimale L11-249
Atelier pratique B : Installation
d'un contrleur de domaine
installation minimale
Exercice 1 : Configuration aprs l'installation minimale
L'ordinateur virtuel 6238B-HQDC01-A doit tre prt aprs l'Atelier pratique A.
1. Dmarrez 6238B-HQDC01-A sans ouvrir de session.
2. Dmarrez 6238B-HQDC03-A sans ouvrir de session.

Tche 2 : Configuration aprs l'installation minimale
passe Pa$$w0rd.
L'Invite de commande apparat.
netsh interface ipv4 set address name="Connexion au rseau local"
source=static address=10.0.0.13 mask=255.255.255.0
gateway=10.0.0.1
netsh interface ipv4 set dns name="Connexion au rseau local"
source=static address=10.0.0.11 primary
4. Tapez ipconfig /all, puis appuyez sur Entre.
netdom renamecomputer %computername% /newname:HQDC03
Vous serez invit confirmer l'opration.
6. Appuyez sur Y, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Tapez shutdown -r -t 0, puis appuyez sur Entre.
Le serveur redmarre.
8. Attendez le redmarrage de HQDC03.
passe Pa$$w0rd.
L'Invite de commande apparat.
netdom join %nomOrdinateur% /domain:contoso.com
/UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd
/OU:"ou=servers,dc=contoso,dc=com"
11. Tapez shutdown -r -t 0, puis appuyez sur Entre.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Installation d'un contrleur de domaine installation minimale L11-251
Exercice 2 : Cration d'un contrleur de domaine via
l'installation minimale
Tche 1 : Ajout du rle de serveur DNS l'installation minimale
2. Ouvrez une session sur HQDC03 en tant que Pat.Coleman_Admin avec le
3. Tapez oclist, puis appuyez sur Entre.
Question : Quel est l'identifiant du package du rle de serveur DNS ?
Rponse : DNS-Server-Core-Role.
Question : Quel est son tat ?
Rponse : Non install.
4. Tapez ocsetup et appuyez sur ENTRE.
La bote de dialogue Installation du composant facultatif Windows s'affiche.
Surprise ! L'installation minimale comprend un minimum d'interface
utilisateur graphique.
5. Cliquez sur OK.
6. Tapez ocsetup DNS-Server-Core-Role, puis appuyez sur Entre.
Les identifiants de package respectent la casse.
7. Tapez oclist, puis appuyez sur Entre.
8. Confirmez que DNS-Server-Core-Role prsente l'tat Install.

Tche 2 : Cration d'un contrleur de domaine dans l'installation
minimale via la commande dcpromo.exe
1. Vrifiez que vous tes toujours connect sur l'ordinateur HQDC03 avec le
2. Tapez dcpromo.exe /? et appuyez sur ENTRE.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Passez en revue les informations d'utilisation.
4. Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRE.
5. Passez en revue les informations d'utilisation.
6. Tapez la commande suivante pour ajouter et configurer le rle AD DS, puis
appuyez sur ENTRE :
dcpromo /unattend /ReplicaOrNewDomain:replica
/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:CONTOSO\Pat.Coleman_Admin /Password:*
/safeModeAdminPassword:Pa$$w0rd
7. Lorsque vous tes invit saisir des informations d'identification rseau, tapez
Pa$$w0rd, puis cliquez sur OK.
Le rle AD DS est install et configur, puis le serveur redmarre.

Remarque : Vous pouvez arrter les deux ordinateurs virtuels car l'atelier suivant en
utilise d'autres.
Question : Avez-vous trouv la configuration d'une installation minimale
particulirement difficile ?
Rponse : La rponse correcte dpendra de votre propre exprience et de votre
cas.
Question : Quels sont les avantages de l'utilisation d'une installation minimale
pour les contrleurs de domaine ?
Rponse : Rduction de la configuration systme requise, rduction de la surface
d'attaque (failles) et, par consquent, amlioration de la scurit

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Transfert des rles de matre d'oprations L11-253
Atelier pratique C : Transfert des
rles de matre d'oprations
Exercice 1 : Identification des matres d'oprations
4. Excutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le compte
8. Patientez jusqu' la fin du dmarrage de HQDC02 avant de poursuivre.

Tche 2 : Identification des matres d'oprations l'aide des
composants logiciels enfichables administratifs d'Active Directory
contoso.com et choisissez Matres d'oprations.
La bote de dialogue Matres d'oprations apparat.
Les onglets identifient les contrleurs de domaine qui jouent actuellement le
rle de matre d'oprations pour le domaine : matre RID, mulateur PDC et
matre d'infrastructure.
3. Cliquez sur l'onglet de chaque matre d'oprations.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quel contrleur de domaine dtient ces rles ?
Rponse : HQDC01.contoso.com dtient les trois rles.
6. Excutez Domaines et approbations Active Directory avec des identifiants
Pa$$w0rd.
7. Dans l'arborescence de la console, cliquez du bouton droit sur le nud racine
du composant Domaines et approbations Active Directory, puis choisissez
Matre d'oprations.
La bote de dialogue Matre d'oprations apparat.
Question : Quel contrleur de domaine dtient le rle de matre d'oprations des
noms de domaine ?
Rponse : HQDC01.contoso.com.
9. Fermez Domaines et approbations Active Directory.
Le composant logiciel enfichable Schma Active Directory n'a pas de console et
ne peut pas tre ajout une console personnalise tant que vous ne l'avez pas
enregistr.
11. Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRE.
12. Cliquez sur OK pour fermer cette bote de message.
13. Cliquez sur Dmarrer, tapez mmc.exe dans la zone Rechercher, puis appuyez
sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Une console MMC vide s'affiche.
enfichable.
Schma Active Directory, cliquez sur Ajouter, puis sur OK.
19. Cliquez du bouton droit sur le nud racine du composant Schma Active
Directory.
20. Cliquez du bouton droit sur Schma Active Directory, puis choisissez Matre
d'oprations.
La bote de dialogue Matre d'oprations apparat.
Question : Quel contrleur de domaine dtient le rle de contrleur de schma ?
Rponse : HQDC01.contoso.com.
22. Fermez la console. Il n'est pas ncessaire d'enregistrer les modifications.

Tche 3 : Identification des matres d'oprations l'aide de la
commande NetDom
2. Tapez la commande netdom query fsmo et appuyez sur Entre.
La liste des dtenteurs du rle de matre d'oprations apparat.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Transfert des rles de matre d'oprations
Tche 1 : Transfert du rle PDC avec le composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory
2. Cliquez du bouton droit sur le domaine contoso.com, puis choisissez
Modifier le contrleur de domaine.
3. Dans la liste des serveurs de l'annuaire, slectionnez HQDC02.contoso.com,
puis cliquez sur OK.
Avant de transfrer un matre d'oprations, vous devez vous connecter au
contrleur de domaine auquel vous souhaitez confier ce rle.
Le nud racine du composant logiciel enfichable prsente le contrleur de
domaine auquel vous tes connect : Utilisateurs et ordinateurs Active
Directory [HQDC02.contoso.com].
4. Cliquez du bouton droit sur le domaine contoso.com, puis choisissez Matres
d'oprations.
5. Ouvrez l'onglet PDC.
L'onglet indique que HQDC01.contoso.com dtient actuellement le jeton du
rle. HQDC02.contoso.com apparat dans la seconde zone de texte.
Une bote de dialogue Services de domaine Active Directory vous invite
confirmer le transfert du rle de matre d'oprations.
7. Cliquez sur Oui.
Une bote de dialogue Services de domaine Active Directory confirme que le
rle a bien t transfr.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur OK, puis sur Fermer.
Dans un environnement de production, ce stade, vous transfreriez
galement d'autres rles FSMO dtenus par HQDC01 vers HQDC02 ou
d'autres contrleurs de domaine. Vous vous assureriez que les autres rles
dtenus par HQDC01 (par exemple serveur DNS et catalogue global) soient
couverts par d'autres serveurs. Ensuite, vous pourriez mettre HQDC01 hors
connexion.
N'oubliez pas que vous ne pouvez pas ramener un contrleur de domaine en
ligne si les rles de matre RID, de contrleur de schma ou de matre des
noms de domaine ont t capts. Vous pouvez cependant le remettre en ligne
si le rle a t transfr.

Tche 2 : Examen des autres rles avant la mise hors connexion d'un
contrleur de domaine
Vous tes prt mettre l'ordinateur HQDC01 hors connexion. Vous venez de
transfrer le rle de matre d'oprations PDC l'ordinateur HQDC02.
Question : Dressez la liste des autres rles de matres d'oprations qu'il est
ncessaire de transfrer avant de mettre HQDC01 hors connexion.
Rponse : Tous les autres rles de matre d'oprations dtenus par HQDC01
doivent tre transfrs HQDC02 ou d'autres contrleurs de domaine avant de
mettre HQDC01 hors connexion. Spcifiquement les rles de matre RID, de
matre d'infrastructure, de matre des noms de domaine et de contrleur du
schma.
Question : Dressez la liste des autres rles de serveur qu'il est ncessaire de
transfrer avant de mettre HQDC01 hors connexion.
Rponse : Vous devez tenir compte des autres rles assums par HQDC01, tels
que Serveur DNS et Catalogue global. Assurez-vous que ces rles soient couverts
par d'autres serveurs ou contrleurs de domaine avant de mettre HQDC01 hors
connexion.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Transfert du rle PDC avec la commande NTDSUtil
La maintenance de l'ordinateur HQDC01 est prsent termine. Vous le remettez
donc en ligne.
3. Tapez roles et appuyez sur Entre.
4. Tapez connections et appuyez sur Entre.
5. Tapez connect to server HQDC01, puis appuyez sur Entre.
7. Tapez transfer PDC et appuyez sur Entre.
La bote de dialogue Confirmation du transfert de rle s'affiche.
8. Cliquez sur Oui.

Remarque : Vous pouvez arrter ces ordinateurs virtuels lorsque vous avez termin car
leur redmarrage est ncessaire pour l'atelier suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Si vous transfrez tous les rles avant de mettre un contrleur de
domaine hors connexion, est-il possible de le remettre en ligne ?
Rponse : Oui.
Question : Si un contrleur de domaine est dfaillant et que vous captez ses rles
pour les confier un autre contrleur de domaine, est-il possible de remettre le
contrleur de domaine dfaillant en ligne ?
Rponse : Uniquement si le contrleur de domaine dfaillant tait l'mulateur PDC
ou le matre d'infrastructure. Les dtenteurs des rles contrleur de schma, matre
de noms de domaine ou matre RID ne peuvent pas tre remis en ligne si le rle a
t capt pendant la mise hors connexion du contrleur de domaine. Le contrleur
de domaine dfaillant doit dans ce cas tre rtrograd ou, de prfrence, rinstall
entirement pendant qu'il est hors connexion. Une fois remis en ligne, le serveur
peut tre promu nouveau contrleur de domaine et, ce stade, le rle de matre
d'oprations peut lui tre restitu normalement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Configuration
de la rplication DFSR du dossier
SYSVOL
Exercice 1 : Observation de la rplication du dossier SYSVOL
1. Arrtez tous les ordinateurs virtuels.
4. Ouvrez D:\Labfiles\Lab11d.
5. Excutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le compte
7. Fermez la fentre de l'Explorateur Windows, Lab11d.
9. Ouvrez une session sur HQDC02 avec le nom d'utilisateur

2. Cliquez sur Dmarrer, et tapez
%RacineSystme%\Sysvol\Sysvol\contoso.com\Scripts dans la zone
Rechercher. Puis, appuyez sur Entre.
3. Excutez le Bloc-notes (Notepad) avec des identifiants d'administrateur.
5. Dans la zone Nom de fichier, tapez %RacineSystme%\Sysvol\Sysvol
\contoso.com\Scripts\TestFRS.txt, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique D : Configuration de la rplication DFSR du dossier SYSVOL L11-261
6. Fermez le Bloc-notes (Notepad).
7. Confirmez la prsence du fichier TestFRS.txt dans le dossier Scripts.
9. Cliquez sur Dmarrer, et tapez %RacineSystme%\Sysvol\Sysvol
\contoso.com\Scripts dans la zone Rechercher. Puis, appuyez sur Entre.
10. Confirmez la prsence du fichier TestFRS.txt dans le dossier Scripts de
HQDC02.
Si le fichier n'apparat pas immdiatement, patientez quelques instants. La
rplication peut prendre jusqu' 15 minutes. Vous pouvez ventuellement
passer l'Exercice 2. Avant de passer l'Exercice 3, vrifiez toutefois que le
fichier a bien t rpliqu.
11. Aprs avoir observ la rplication, fermez la fentre de l'Explorateur Windows
contenant le dossier Scripts des ordinateurs HQDC01 et HQDC02.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Prparation de la migration vers la rplication
DFSR
1. Toujours dans HQDC02, excutez Utilisateurs et ordinateurs Active
Directory avec les informations d'identification d'administration. Utilisez le
compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Sinon, cliquez sur
Continuer dans la bote de dialogue Contrle de compte d'utilisateur.
contoso.com et choisissez Augmenter le niveau fonctionnel du domaine.
La bote de dialogue Augmenter le nouveau fonctionnel du domaine s'affiche.
3. Confirmez que le Niveau fonctionnel actuel du domaine est Windows
Server 2003.
4. cliquez sur Annuler. Ne modifiez pas le niveau fonctionnel du domaine.

le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Sinon, cliquez
sur Continuer dans la bote de dialogue Contrle de compte d'utilisateur.
Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en
charge que par les domaines de niveau fonctionnel Windows Server 2008.

contoso.com et choisissez Augmenter le niveau fonctionnel du domaine.
3. Confirmez que la liste Slectionner un niveau fonctionnel du domaine
disponible indique Windows Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Cliquez sur Augmenter.
Un message vous rappelle que cette opration ne pourra pas tre inverse.
5. Cliquez sur OK pour confirmer votre modification.
Un message indique que le niveau fonctionnel a bien t lev.
6. Cliquez sur OK.

2. Tapez dfsrmig /getglobalstate et appuyez sur Entre.
Le message qui s'affiche vous signale que la migration DFSR n'a pas encore t
dclenche.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Migration de la rplication du dossier SYSVOL
vers DFSR
Tche 1 : Migration de la rplication du dossier SYSVOL vers DFSR
New DFSR global state: 'Start'
Invalid state change requested.
L'tat global par dfaut tant dj 0, Start, votre commande n'est donc pas
valide. Toutefois, cela permet de dclencher la migration DFSR.
Succeeded.
('Start').
Controllers.
Succeeded.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
5. Tapez dfsrmig /setglobalstate 1, puis appuyez sur Entre.
New DFSR global state: 'Prepared'

Migration will proceed to 'Prepared' state. DFSR service will
copy the contents of SYSVOL to SYSVOL_DFSR
folder.

If any DC is unable to start migration then try manual polling.
OR Run with option /CreateGlobalObjects.
Migration can start anytime between 15 min to 1 hour.
Succeeded.
7. Rptez cette tape jusqu' ce que le message suivant vous signale que la
('Prepared').
Controllers.
Succeeded.
Lorsque vous recevez le message ci-dessus, passez l'tape suivante.
Pendant la migration vers l'tat 'Prpar', l'un des messages suivants peut
s'afficher :
('Prepared'):

===================================================

HQDC02 ('Start') - Writable DC

Controllers.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
ou
('Prepared'):

===================================================


Controllers.
ou
('Prepared'):

===================================================


Controllers.
Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Sinon,
cliquez sur Continuer dans la bote de dialogue Contrle de compte
d'utilisateur.
des services et cliquez sur Rplication DFSR.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10. Localisez l'vnement associ l'ID 8014 et ouvrez ses proprits.
Vous devriez obtenir les informations illustres dans la capture d'cran
suivante.

11. Fermez l'Observateur d'vnements.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Current DFSR global state: 'Prepared'
New DFSR global state: 'Redirected'

Migration will proceed to 'Redirected' state. The SYSVOL share
will be
changed to SYSVOL_DFSR folder.

If any changes have been made to the SYSVOL share during the state
transition from 'Prepared' to 'Redirected', please robocopy the
changes
from SYSVOL to SYSVOL_DFSR on any replicated RWDC.
Succeeded.
15. Rptez l'tape 14 jusqu' ce que le message suivant vous signale que la
('Redirected').
Controllers.
Succeeded.
Lorsque vous recevez le message ci-dessus, passez la tche suivante.
Pendant la migration, les messages suivants peuvent s'afficher :
('Redirected'):

===================================================

HQDC02 ('Prepared') - Writable DC

Controllers.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Vrification de la rplication DFSR du dossier
SYSVOL
Tche 1 : Confirmation du nouvel emplacement du dossier SYSVOL
1. Toujours dans HQDC02, basculez vers l'Invite de commande.
2. Tapez net share, puis appuyez sur Entre.
3. Confirmez que le partage NETLOGON fait rfrence au dossier
%RacineSystme%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.
4. Confirmez que le partage SYSVOL fait rfrence au dossier
%RacineSystme%\SYSVOL_DFSR\Sysvol.

2. Cliquez sur Dmarrer, et tapez %RacineSystme%\SYSVOL_DFSR
\Sysvol\contoso.com\Scripts dans la zone Rechercher. Puis, appuyez sur
Entre.
Remarquez que le fichier TestFRS.txt cr prcdemment apparat dj dans le
dossier Scripts. Lorsque les contrleurs de domaine taient en tat Prpar, les
fichiers ont t rpliqus entre le dossier FRS SYSVOL hrit et le nouveau
dossier DFSR SYSVOL.
le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Sinon, cliquez
sur Continuer dans la bote de dialogue Contrle de compte d'utilisateur.
5. Dans la zone Nom de fichier, tapez %RacineSystme%\SYSVOL_DFSR
\Sysvol\contoso.com\Scripts \TestDFSR, puis appuyez sur Entre.
6. Fermez le Bloc-notes.
7. Confirmez la prsence du fichier TestDFSR.txt dans le dossier Scripts.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
9. Cliquez sur Dmarrer, et tapez %RacineSystme%\SYSVOL_DFSR
\Sysvol\contoso.com\Scripts dans la zone Rechercher. Puis, appuyez sur
Entre.
10. Confirmez la prsence du fichier TestDFSR.txt dans le dossier Scripts.
Si le fichier n'apparat pas immdiatement, patientez quelques instants.

Question : Quelles diffrences vous attendriez-vous voir entre deux entreprises
dont l'une a initialement cr son domaine avec des contrleurs de domaine
Windows 2008 et l'autre a effectu une migration vers Windows Server 2008
depuis Windows Server 2003 ?
Rponse : Dans un domaine cr initialement avec Windows 2008, le partage
SYSVOL fait rfrence un dossier nomm SYSVOL et rpliqu avec DFSR. Dans
un domaine cr avec des contrleurs de domaine antrieurs Windows 2008, le
partage SYSVOL est rpliqu avec les services FRS, jusqu' sa migration. Aprs ce
stade, le partage SYSVOL fait rfrence un dossier nomm SYSVOL_DFSR.
Question : Que devez-vous savoir lors de la migration de l'tat Prpar vers l'tat
Redirig ?
Rponse : Pendant la migration de l'tat Prpar vers l'tat Redirig, toute
modification apporte au dossier SYSVOL doit tre reproduite manuellement dans
le dossier SYSVOL_DFSR.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Configuration des sites et des sous-rseaux L12-271
Module 12 : Gestion des sites et de la rplication
Active Directory
Atelier pratique A : Configuration
des sites et des sous-rseaux

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L12-272 Module 12 : Gestion des sites et de la rplication Active Directory

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration du site par dfaut
1. Dmarrez 6238B-HQDC01-B. Le dmarrage de cet ordinateur virtuel peut
prendre plusieurs minutes.
4. Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans ouvrir de
session.
5. Aprs le dmarrage de HQDC03, dmarrez 6238B-BRANCHDC01-B sans
ouvrir de session.
suivante.

Tche 2 : Changement du nom Default-First-Site-Name
1. Dans HQDC01, excutez Sites et services Active Directory avec des
identifiants d'administrateur. Utilisez le compte Pat.Coleman_Admin et le
2. Dans l'arborescence de la console, dveloppez Sites, puis cliquez sur Default-
First-Site-Name.
3. Cliquez du bouton droit sur Default-First-Site-Name et choisissez Renommer.
4. Tapez HEADQUARTERS, puis appuyez sur Entre.
Les noms des sites tant inscrits dans le systme DNS, il est conseill d'utiliser
des noms compatibles DNS sans caractres spciaux, ni espaces.

Tche 3 : Cration d'un sous-rseau avec association un site
1. Dans l'arborescence de la console, cliquez sur Sous-rseaux.
2. Cliquez du bouton droit sur Subnets (Sous-rseaux) et choisissez Nouveau
sous-rseau.
3. Dans le champ Prfixe, tapez 10.0.0.0/24.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Dans la liste Slectionnez un objet du site pour ce prfixe, slectionnez
HEADQUARTERS.
5. Cliquez sur OK.
6. Cliquez du bouton droit sur 10.0.0.0/24 et choisissez Proprits.
7. Tapez Serveur et sous-rseau principal dans le champ Description, puis
cliquez sur OK.
8. Dans l'arborescence de la console, cliquez du bouton droit sur Sous-rseaux et
choisissez Nouveau sous-rseau.
HEADQUARTERS.
11. Cliquez sur OK.
13. Tapez Sous-rseau client dans le champ Description, puis cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration de sites supplmentaires
Tche 1 : Cration de sites supplmentaires
1. Dans l'arborescence de la console, cliquez du bouton droit sur Sites et
choisissez Nouveau site.
2. Dans le champ Nom, tapez HQ-BUILDING-2.
3. Slectionnez DEFAULTIPSITELINK.
4. Cliquez sur OK.
La bote de dialogue Services de domaine Active Directory qui s'affiche dcrit la
procdure requise pour terminer la configuration du site.
5. Cliquez sur OK.
6. Dans l'arborescence de la console, cliquez du bouton droit sur Sites et
choisissez Nouveau site.
7. Dans le champ Nom, tapez BRANCHA.
8. Slectionnez DEFAULTIPSITELINK.
9. Cliquez sur OK.

Tche 2 : Cration de sous-rseaux et association avec les sites
1. Dans l'arborescence de la console, cliquez du bouton droit sur Subnets (Sous-
rseaux) et choisissez Nouveau sous-rseau.
3. Dans la liste Slectionnez un objet du site pour ce prfixe, slectionnez HQ-
BUILDING-2.
4. Cliquez sur OK.
6. Dans le champ Description, tapez Headquarters Building 2.
7. Dans la liste droulante Site, slectionnez HQ-BUILDING-2.
8. Cliquez sur OK.
9. Dans l'arborescence de la console, cliquez du bouton droit sur Subnets (Sous-
rseaux) et choisissez Nouveau sous-rseau.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
BRANCHA.
12. Cliquez sur OK.
14. Dans le champ Description, tapez Branch Office A.
15. Dans la liste droulante Site, slectionnez BRANCHA.
16. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
des sites
sites
1. Dans l'arborescence de la console, dveloppez HEADQUARTERS, puis cliquez
sur le nud Servers (Serveurs).
2. Dans le volet d'informations, cliquez du bouton droit sur HQDC03 et
choisissez Dplacer.
La bote de dialogue Dplacer un serveur s'affiche.
3. Cliquez sur HQ-BUILDING-2, puis sur OK.
choisissez Dplacer.
5. Cliquez sur BRANCHA, puis sur OK.

Question : Vous avez un site de 50 sous-rseaux, chacun avec une adresse de sous-
rseau 10.0.x.0/24, et vous n'avez pas d'autre sous-rseau 10.0.x.0. Comment faire
pour faciliter l'identification des 50 sous-rseaux et les associer un site ?
Rponse : Dfinissez un sous-rseau unique, 10.0.0.0/16.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Pourquoi est-il important que tous les sous-rseaux soient identifis et
associs un site dans une entreprise plusieurs sites ?
Rponse : Pour une localisation efficace des contrleurs de domaines (et des
autres services), les clients doivent tre renvoys au site appropri, en fonction de
leur adresse IP et de la dfinition des sous-rseaux. Si un client a une adresse IP qui
nappartient pas un site, il recherche tous les CD du domaine, ce qui se rvle peu
efficace. De fait, un mme client peut effectuer des oprations sur des contrleurs
de domaine de sites diffrents, ce qui (si ces modifications nont pas encore t
rpliques) peut produire des rsultats incohrents. Il est trs important que
chaque client sache quel site il appartient. Pour cela, les contrleurs de domaine
doivent tre en mesure de le dterminer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Configuration des partitions d'application et du catalogue global L12-279
Atelier pratique B : Configuration
des partitions d'application et du
catalogue global

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration d'un serveur GC
1. Dmarrez 6238B-HQDC01-B. Le dmarrage de cet ordinateur virtuel peut
prendre plusieurs minutes.
session.
ouvrir de session.
suivante.

Tche 2 : Configuration d'un serveur GC
1. Dans HQDC01, excutez Sites et services Active Directory avec des
identifiants d'administrateur. Utilisez le compte Pat.Coleman_Admin et le
2. Dans l'arborescence de la console, dveloppez HEADQUARTERS, Serveurs et
HQDC02, puis cliquez sur le nud NTDS Setting (Paramtres NTDS) sous
HQDC02.
3. Cliquez du bouton droit sur le nud Paramtres NTDS situ sous HQDC02
et choisissez Proprits.
4. Cochez la case Catalogue global, puis cliquez sur OK.
5. Rptez les tapes 2 et 3 pour confirmer que l'ordinateur BRANCHDC01 du
site BRANCHA est un serveur de catalogue global.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Configuration de la mise en cache des
appartenances un groupe universel
Tche 1 : Configuration de la mise en cache de l'appartenance aux
groupes universels
1. Dans l'arborescence de la console, cliquez sur BRANCHA.
2. Dans le volet d'informations, cliquez du bouton droit sur NTDS Settings
(Paramtres de site NTDS) et choisissez Proprits.
3. Ouvrez l'onglet Paramtres du site.
4. Cochez la case Activer la mise en cache de l'appartenance au groupe
universel.
5. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Examen du systme DNS et des partitions de
l'annuaire d'applications
Tche 1 : Examen des enregistrements DNS relatifs la rplication
2. Dans l'arborescence de la console, dveloppez successivement HQDC01,
Zones de recherche directe, contoso.com, _sites et HEADQUARTERS, puis
cliquez sur le nud _tcp situ sous HEADQUARTERS.
3. Examinez les enregistrements SRV.
4. Dans l'arborescence de la console, dveloppez BRANCHA, puis cliquez sur le
nud _tcp situ sous BRANCHA.
5. Examinez les enregistrements SRV.

Tche 2 : Examen de la partition DNS de l'annuaire d'applications
1. Cliquez sur Dmarrer > Outils d'administration >Modification ADSI et
entrez des identifiants d'administrateur lorsque le systme vous les demande.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur diteur
ADSI, puis choisissez Connexion.
connu, slectionnez Configuration.
4. Acceptez toutes les autres valeurs par dfaut. Cliquez sur OK.
5. Dans l'arborescence de la console, cliquez sur Configuration, puis dveloppez
cet lment.
6. Dans l'arborescence de la console, cliquez sur CN=Configuration,
DC=contoso, DC=com, puis dveloppez cet lment.
7. Dans l'arborescence de la console, cliquez sur CN=Partitions.
Connexion.
9. Cliquez sur Slectionnez ou entrez un nom unique ou un contexte
d'attribution de noms.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10. Dans la zone de liste droulante, tapez
DC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK.
11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de noms
par dfaut, puis dveloppez cet lment.
12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis dveloppez
cet lment.
13. Cliquez sur CN=MicrosoftDNS, puis dveloppez cet lment.
14. Cliquez sur DC=contoso.com.
15. Examinez les objets de ce conteneur. Comparez ces enregistrements aux
enregistrements DNS que vous avez examins dans l'exercice prcdent.

Question : Dcrivez la relation qui existe entre les enregistrements que vous avez
affichs dans l'diteur ADSI et ceux affichs dans le Gestionnaire DNS.
Rponse : chaque enregistrement situ dans les zones de recherche directes du
Gestionnaire DNS correspond un enregistrement dans les partitions dannuaire
dapplications pour le systme DNS. Toutefois, les enregistrements tels quaffichs
dans la partition dannuaire dapplications sont plats. Le Gestionnaire DNS
prsente les enregistrements de faon hirarchise.
Question : Quand vous avez examin les enregistrements DNS du domaine
_tcp.BRANCHA._sites.contoso.com, quel contrleur de domaine inscrivait les
enregistrements SRV dans le site ? Expliquez pourquoi.
Rponse : Les rponses peuvent varier en fonction du contrleur de domaine dont
relevait BRANCHA. Le site ne disposait pas de contrleurs de domaine. Un
contrleur de domaine englobe donc les clients du site en s'auto-publiant l'aide
d'enregistrements SRV dans le site.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Configuration de la rplication L12-285
Atelier pratique C : Configuration
de la rplication

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Cration d'un objet connexion
les Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procdure ci-
dessous, puis effectuez les exercices 1 3 des Ateliers pratiques A et B avant de
continuer.
3. Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y
ouvrir de session.
session.
ouvrir de session.
suivante.

Tche 2 : Cration d'un objet connexion
1. Excutez Sites et services Active Directory avec des informations
2. Dans l'arborescence de la console, dveloppez HEADQUARTERS, Serveurs et
HQDC02, puis cliquez sur le nud NTDS Settings (Paramtres NTDS) situ
sous HQDC02.
3. Cliquez avec le bouton droit sur Paramtres NTDS et choisissez Nouvelle
connexion aux services de domaine Active Directory.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
4. Dans la bote de dialogue Rechercher des contrleurs de domaine Active
Directory, slectionnez HQDC01, puis cliquez sur OK.
Un avertissement vous demande si vous souhaitez crer une autre connexion.
Le Vrificateur de cohrence des donnes (KCC) ayant dj cr une
connexion entre HQDC01 et HQDC02, le systme vous demande si vous
souhaitez crer un double de la connexion. La connexion directe que vous
crez sera permanente, alors que les connexions gnres automatiquement
par le Vrificateur KCC peuvent changer. Vous voulez vous assurer que la
connexion soit permanente.
5. Cliquez sur Oui.
6. Dans la bote de dialogue Nouvel objet Connexion, tapez le nom HQDC01 -
OPERATIONS MASTER, puis cliquez sur OK.
7. Cliquez du bouton droit sur l'objet connexion HQDC01 - OPERATIONS
MASTER situ sous l'objet Paramtres NTDS du volet d'informations, puis
Question : Examinez les proprits de l'objet connexion. N'apportez aucune
modification. Quelles partitions sont rpliques depuis HQDC01 ? HQDC02 est-il
un serveur de catalogue global ? Comment pouvez-vous le savoir ?
Rponse : HQDC02 rplique le domaine (contoso.com), le Schma et la
Configuration depuis HQDC01. Il est galement serveur de catalogue global. La
proprit Contexte(s) de noms partiellement rpliqus indique Tous les autres
domaines. Il s'agit d'une autre description du jeu d'attributs partiel de la fort.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration de liens de site
Tche 1 : Cration de liens de site
1. Dans l'arborescence de la console Sites et services Active Directory,
dveloppez Inter-Site Transports (Transports inter-sites), puis cliquez sur
IP.
2. Dans le volet d'informations, cliquez du bouton droit sur
DEFAULTIPSITELINK et choisissez Renommer.
3. Tapez HQ-HQB2, puis appuyez sur Entre.
4. Double-cliquez sur HQ-HQB2.
5. Dans l'onglet Gnral, dans la liste Sites prsents dans ce lien de sites,
cliquez sur BRANCHA, puis sur Supprimer. Cliquez sur OK.
6. Dans l'arborescence de la console, cliquez du bouton droit sur IP et choisissez
Lien vers un nouveau site.
7. Dans le champ Nom, tapez HQ-BRANCHA.
8. Dans la liste Sites absents de ce lien de sites, cliquez sur HEADQUARTERS,
puis sur Ajouter.
9. Dans la liste Sites absents de ce lien de sites, cliquez sur BRANCHA, puis sur
Ajouter.
10. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
des sites
sites
1. Dans l'arborescence de la console, dveloppez HEADQUARTERS, puis cliquez
sur le nud Servers (Serveurs).
choisissez Dplacer.
3. Cliquez sur BRANCHA, puis sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Dsignation d'un serveur tte de pont privilgi
Tche 1 : Dsignation d'un serveur tte de pont privilgi
1. Dans l'arborescence de la console, dveloppez HEADQUARTERS et Serveurs,
puis cliquez sur le nud HQDC02.
2. Cliquez du bouton droit sur HQDC02 et choisissez Proprits.
3. Dans la liste Transports disponibles pour le transfert de donnes inter-sites,
cliquez sur IP.
4. Cliquez sur Ajouter, puis sur OK.
Un long message d'avertissement s'affiche.
5. Lisez ce message. Nous en reparlerons la fin de cet atelier.
6. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 5 : Configuration de la rplication intersites
Tche 1 : Configuration de la rplication intersites
1. Dans l'arborescence de la console, dveloppez Inter-Site Transports
(Transports inter-sites), puis cliquez sur le nud IP.
2. Dans le volet d'informations, double-cliquez sur le lien de site HQ-HQB2.
3. Dans la zone de slection numrique Rplication toutes les, tapez 15, puis
cliquez sur OK.
4. Dans le volet d'informations, double-cliquez sur le lien de site HQ-BRANCHA.
5. Dans la zone de slection numrique Rplication toutes les, tapez 15.
6. Cliquez sur le bouton Modifier la planification.
7. Examinez la bote de dialogue Planification de HQ-BRANCHA. Testez la
configuration de la planification avec plusieurs valeurs, mais cliquez sur
Annuler lorsque vous avez termin.
8. Dans la zone de slection numrique Cot, tapez 200.
9. Cliquez sur OK.

Question : Expliquez la signification du message d'avertissement qui s'est affich
lorsque vous avez dsign HQDC02 comme serveur tte de pont privilgi.
Rponse : Un serveur tte de pont joue le rle de tte de pont uniquement pour les
partitions Active Directory quil contient. Comme HQDC02 nest pas un serveur
DNS, il nhberge pas les partitions dapplication ForestDnsZones ou
DomainDnsZones. Le Gnrateur de topologie intersite (ISTG) continuera de
dsigner automatiquement un autre CD dans le site comme serveur tte de pont
pour ces deux partitions. Le message davertissement a expliqu que la meilleure
pratique consistait dsigner des ttes de pont pour chaque partition. Dans l'idal,
le serveur tte de pont doit hberger toutes les partitions (y compris, dans ce cas,
les partitions d'application DNS).
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quels sont les avantages de la rduction de l'intervalle de la rplication
intersites ? Quels en sont les inconvnients ?
Rponse : La convergence s'est amliore. Les modifications apportes un site
sont rpliques plus rapidement sur les autres sites. Les inconvnients sont peu
nombreux, voire nuls. Si vous considrez que ces mmes modifications doivent
tre rpliques quel que soit le dlai d'attente (15 minutes ou 3 heures), la
rplication est plus une question de synchronisation que de volume. Toutefois,
dans certains cas extrmes, il peut tre prfrable de rpliquer un grand nombre de
modifications de faon moins frquente que de rpliquer des modifications peu
nombreuses plus frquemment.
Question : La topologie de rplication Hub and Spoke garantit que toutes les
modifications des succursales seront rpliques d'abord dans le site du sige social
avant de l'tre dans les autres succursales. La procdure que vous avez excute
dans l'Exercice 2 est-elle suffisante pour crer une topologie de rplication Hub
and Spoke ? Si elle est insuffisante, que manque-t-il encore ?
Rponse : Vous devez dsactiver Relier tous les liens de sites .

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Surveillance des vnements et des performances d'Active Directory L13-295
Module 13 : Continuit du service d'annuaire
Atelier pratique A : Surveillance
des vnements et des
performances d'Active Directory

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L13-296 Module 13 : Continuit du service d'annuaire

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Surveillance des performances en temps rel
avec le Gestionnaire des tches et le Moniteur de
ressources
4. Excutez Lab13a_Setup.bat avec des identifiants d'administrateur. Utilisez le
compte Administrateur et le mot de passe Pa$$w0rd.
8 Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le

2. Appuyez sur Ctrl+Maj+chap pour lancer le Gestionnaire des tches.
4. Cliquez du bouton droit sur taskmgr.exe et examinez les commandes
disponibles. Cliquez sur Proprits.
La bote de dialogue Proprits du fichier excutable s'ouvre.
5. Fermez la bote de dialogue Proprits.
6. Cliquez sur Afficher les processus de tous les utilisateurs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Le Gestionnaire des tches rapparat et prsente tous les processus avec
toutes les fonctionnalits d'administration actives.
10. Si le Gestionnaire des tches ne s'affiche pas, regardez s'il est rduit ou masqu
par d'autres fentres. Pour le rendre visible, cliquez sur son icne dans la barre
des tches.
12. Examinez la liste complte des processus en cours excution dans le systme.
13. Ouvrez l'onglet Services.
14. Cliquez du bouton droit sur Dnscache et choisissez Arrter le service.
15. Cliquez du bouton droit sur Dnscache et choisissez Dmarrer le service.
16. Cliquez du bouton droit sur Dnscache et choisissez Aller dans le processus.
Question :Quel processus hberge le service Client DNS ?
Rponse : svchost.exe
17. Cliquez du bouton droit sur ce processus et choisissez Accder aux services.
Question :L'onglet Services prsente le sous-ensemble des fonctionnalits les plus
utilises d'un composant logiciel enfichable d'administration. Lequel ?
Rponse : Le composant logiciel enfichable Services
18. Cliquez sur le bouton Services.
La console Services s'affiche.
20. Ouvrez l'onglet Utilisateurs.
Cet onglet prsente les utilisateurs connects en local (console) ou distance
au serveur.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
21. Ouvrez l'onglet Mise en rseau.
Cet onglet donne un aperu des performances de chaque carte rseau
disponible.
22. Ouvrez l'onglet Performances.
Cet onglet donne un aperu des performances de l'utilisation du processeur et
de la mmoire.
Question : Quel composant systme majeur n'apparat pas dans le Gestionnaire
des tches ?
Rponse : Disque
1. Dans l'onglet Performances du Gestionnaire des tches, cliquez sur le bouton
Moniteur de ressources.
Si le systme vous demande des identifiants d'administrateur, utilisez le
2. Le Moniteur de ressources s'affiche. Agrandissez la fentre du Moniteur de
ressources et fermez le Gestionnaire des tches.
3. Cliquez sur le graphique du Processeur. La section Processeur se dveloppe.
Question : Quelle utilisation du processeur est gnre par le Moniteur de fiabilit
et de performances lui-mme ?
Rponse : Les rponses varient. L'utilisation sera d'abord plus importante, lors de
l'ouverture de l'outil, puis augmentera lors de la modification des affichages.
Lorsqu'un affichage est laiss de ct, l'utilisation chute.
5. Cliquez sur le graphique du Processeur. La section Processeur se rduit.
6. Cliquez sur le graphique Disque. La section Disque se dveloppe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quel fichier prsente le plus d'activits de lecture ? Quel processus
gnre cette activit de lecture pour ce fichier ? Quel fichier prsente le plus
d'activits d'criture ? Quel processus gnre cette activit d'criture pour ce
fichier ?
Rponse : Les rponses varient.
7. Pour afficher l'activit du fichier d'change, cliquez sur le titre de la colonne
Fichier.
8. Si C:\pagefile.sys n'apparat pas dans la liste, ouvrez une application telle que
le Gestionnaire de serveur avec des identifiants d'administrateur. Utilisez le
compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Cette opration
devrait gnrer une activit dans le fichier d'change.
Question : Combien de processus lisent ou crivent dans le fichier pagefile.sys ?
Question : Quel composant systme doit tre augment lorsque l'activit de
lecture et d'criture du fichier d'change est constamment leve ?
Rponse : La mmoire. Les changes excessifs entranent une activit du disque,
mais les changes eux-mmes sont dus une mmoire RAM insuffisante.
9. Fermez le Gestionnaire de ressources.
10. Cliquez sur le bouton Dmarrer.
11. Dans la zone Rechercher, tapez perfmon et appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Les utilisateurs membres des groupes Utilisateurs de l'analyseur de
performances, Utilisateurs du journal de performances et du groupe
Administrateurs local, peuvent accder plus de fonctionnalits depuis le
Moniteur de fiabilit et de performances de Windows (WRPM).
Le Moniteur de fiabilit et de performances s'ouvre.
La Page d'accueil de la console est la Vue d'ensemble des ressources, qui
correspond au Moniteur de ressources.
Notez que l'arborescence de la console contient tous les composants logiciels
enfichables WRPM.
15. Fermez la fentre Moniteur de fiabilit et de performances.
16. Cliquez sur le bouton Dmarrer.
17. Dans le champ Rechercher, tapez perfmon /res et appuyez sur Entre.
19. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. Le
Moniteur de ressources s'ouvre.
Il s'agit l d'une autre manire d'ouvrir le Moniteur de ressources, que vous
avez dj ouvert partir du Gestionnaire des tches, et c'est la page d'accueil
de la console Moniteur de fiabilit et de performances.
20. Fermez le Moniteur de ressources.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Identification des vnements de performances
avec le Moniteur de fiabilit et l'Observateur d'vnements
Tche 1 : Surveillance des vnements lis la stabilit avec le
Moniteur de fiabilit
1. Cliquez sur l'icne Gestionnaire de serveur situe ct du bouton
Dmarrer.
4. Dans l'arborescence de la console, dveloppez Diagnostics, Fiabilit et
performances, Outils d'analyse, puis cliquez sur Moniteur de fiabilit.
5. Faites dfiler le Graphique de stabilit du systme vers la gauche et la droite.
6. Cliquez sur l'icne Informations de la ligne Installations/dsinstallations de
logiciels du 9 septembre 2009.
7. Examinez les vnements qui ont affect la stabilit du systme le 9 septembre
2009.

Tche 2 : Identification des vnements lis aux rles avec le
Gestionnaire de serveur
1. Dans l'arborescence de la console Gestionnaire de serveur, cliquez sur le nud
racine Gestionnaire de serveur.
2. Dans le volet d'informations, localisez la section Rsum des rles.
Question : Quelles icnes s'affichent ct des rles AD DS et Serveur DNS ?
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
3. Cliquez sur le lien permettant d'accder au rle Services de domaine Active
Directory dans la section Rsum des rles.
4. Examinez les informations affiches dans la section vnements de la section
Rsum.
5. Cliquez sur le lien Filtrer les vnements de la section vnements.
La bote de dialogue Filtrer les vnements s'affiche.
6. Dsactivez la case cocher Informations, puis cliquez sur OK.
8. Remarquez les informations affiches dans la section Services systme.

Tche 3 : Examen des journaux d'vnements
1. Dans l'arborescence de la console Gestionnaire de serveur, dveloppez
Diagnostics et Observateur d'vnements, puis cliquez sur Observateur
d'vnements.
La prsentation et le rsum de l'Observateur d'vnements s'affichent dans le
volet d'informations.
2. Dans la section Rsum des vnements d'administration, cliquez sur le
signe plus (+) accol Erreur pour dvelopper le rsum des vnements
Erreur.
3. Double-cliquez sur une ligne de rsum prsentant la source ActiveDirectory.
Si le rsum ne contient pas de ligne associe la source Active Directory,
double-cliquez sur une autre ligne du rsum des vnements Erreur.
La vue des vnements de la page Rsum s'ouvre dans le volet d'informations.
Cette vue permet d'explorer les vnements synthtiss dans la ligne du
rsum des vnements Erreur.
4. Dans l'arborescence de la console, dveloppez Journaux Windows et
Journaux des applications et des services.
5. Examinez les journaux prsents dans ces nuds et les types d'vnements
rpertoris.
6. Dans l'arborescence de la console, cliquez sur le nud vnements
d'administration situ sous Affichages personnaliss.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
7. Examinez les vnements de la vue.
8. Cliquez du bouton droit sur vnements d'administration et choisissez
Proprits.
9. Notez que la Description indique que la vue prsente les vnements
Critique, Erreur et Avertissement de tous les journaux d'administration.
10. Cliquez sur le bouton Modifier le filtre.
La bote de dialogue Proprits de la vue personnalise (en lecture seule)
apparat.
11. Notez que cette vue personnalise n'est pas modifiable puisqu'elle est en
Lecture seule.
12. Remarquez galement qu'il est difficile de savoir avec prcision quels journaux
sont inclus dans la liste Journaux d'vnements. Les informations sont
tronques.
13. Ouvrez l'onglet XML.
Question : Pouvez-vous identifier les journaux inclus grce aux informations de
l'onglet XML ?
Rponse : Les journaux Application, Scurit, Systme, Rplication DFSR, Service
d'annuaire, Serveur DNS, vnements matriels, Internet Explorer, Service Gestion
des cls et Microsoft-Windows-TerminalServices-PnPDevices/Admin sont inclus.
Question : Selon vous, quoi fait rfrence Level dans chaque lment XML
Select ?
Rponse : Level fait rfrence au niveau d'vnement : avertissement, erreur ou
critique.
14. Cliquez deux reprises sur Annuler pour fermer les botes de dialogue
ouvertes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Cration d'une vue personnalise
1. Dans l'arborescence de la console, cliquez sur Affichages personnaliss.
2. Cliquez du bouton droit sur Affichages personnalises et choisissez Crer
une vue personnalise.
La bote de dialogue Crer une vue personnalise s'affiche.
3. Dans les options Niveau d'vnement, cochez les cases Critique,
Avertissement et Erreur.
4. Dans la liste Journaux d'vnements, dveloppez Journaux des applications
et des services, puis slectionnez Rplication DFS, Service d'annuaire et
Serveur DNS.
5. Cliquez sur OK.
La bote de dialogue Enregistrer le filtre dans une vue personnalise s'affiche.
6. Dans le champ Nom, tapez Custom Directory Service Event View, puis
cliquez sur OK.
7. Dans l'arborescence de la console, cliquez du bouton droit sur Custom
Directory Service Event View et examinez les commandes disponibles.

Tche 5 : Exportation d'une vue personnalise
1. Dans l'arborescence de la console, cliquez du bouton droit sur Custom
Directory Service Event View et choisissez Exporter la vue personnalise.
La bote de dialogue Enregistrer sous saffiche.
2. Dans Nom du fichier, tapezD:\Data\DSEventView, puis appuyez sur Entre.

Tche 6 : Importation d'une vue personnalise
2. Cliquez sur l'icne Gestionnaire de serveur situe ct du bouton Dmarrer.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
5. Dans l'arborescence de la console, dveloppez Diagnostics, Observateur
d'vnements et Affichages personnaliss, puis cliquez sur Affichages
personnaliss.
6. Cliquez du bouton droit sur Affichages personnaliss et choisissez Importer
une vue personnalise.
La bote de dialogue Importer une vue personnalise s'affiche.
7. Dans Nom du fichier, tapez \\HQDC01\Data\DSEventView.xml, puis
appuyez sur Entre.
La bote de dialogue Importer le fichier de vue personnalise s'affiche.
8. Dans le champ Nom, tapez Custom Directory Service Event View, puis
cliquez sur OK.
Le message Erreur de requte s'affiche car l'ordinateur HQDC02 n'est pas un
serveur DNS et n'a donc pas de journal Serveur DNS.
9. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Surveillance des vnements des ordinateurs
distants via les abonnements aux vnements
Tche 1 : Configuration des ordinateurs pour le transfert et la collecte
des vnements
1. Basculez vers HQDC01 (l'ordinateur collecteur).
3. Tapez wecutil qc, puis appuyez sur Entre.
Vous tes invit confirmer la modification.
4. Tapez O et appuyez sur Entre.
5. Basculez vers HQDC02 (l'ordinateur source).
7. Tapez winrm quickconfig et appuyez sur Entre.
Vous tes invit confirmer la modification.
8. Tapez y et appuyez sur Entre.

Tche 2 : Cration d'un abonnement pour la collecte des vnements
2. Basculez vers le Gestionnaire de serveur.
3. Dans l'arborescence de la console, sous Observateur d'vnements, cliquez
sur Abonnements.
4. Cliquez du bouton droit sur Abonnements et choisissez Crer un
abonnement.
La bote de dialogue Proprits de l'abonnement s'affiche.
5. Dans Nom d'abonnement, tapez DC Services.
6. Assurez-vous que l'option Initialisation par le collecteur soit slectionne.
7. Cliquez sur le bouton Slectionner des ordinateurs.
La bote de dialogue Ordinateurs s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur le bouton Ajouter des ordinateurs du domaine.
La bote de dialogue Slectionner un ordinateur s'affiche.
9. Tapez HQDC02, puis cliquez sur OK.
10. Cliquez sur le bouton Tester.
Un message de l'Observateur d'vnements indique que le test de la
connectivit a russi.
11. Cliquez sur OK.
12. Cliquez sur OK pour fermer la bote de dialogue Ordinateurs.
13. Cliquez sur le bouton Slectionner des vnements.
La bote de dialogue Filtre de requte s'affiche.
14. Cochez la case Information dans la section Niveau d'vnement.
15. Cliquez sur la flche droulante Journaux d'vnements.
16. Dveloppez Journaux Windows et slectionnez le journal Systme.
17. Cliquez dans le champ Inclut/exclut des ID d'vnements.
18. Tapez 7036, l'ID d'vnement associ au dmarrage et l'arrt d'un service.
19. Cliquez sur OK.
La bote de dialogue Paramtres avancs d'abonnement s'affiche.
21. Cliquez sur Utilisateur spcifique.
22. Cliquez sur le bouton Utilisateur et mot de passe.
La bote de dialogue Informations d'identification de la source de
l'abonnement s'affiche.
23. Dans le champ Nom d'utilisateur, tapez CONTOSO\Pat.Coleman_admin.
Nous utilisons un compte membre du groupe Administrateurs du domaine
pour cet atelier mais, en situation relle, il vous faudrait crer un compte ddi
pour effectuer cette surveillance.
25. Cliquez sur l'option Minimiser la latence, puis sur OK.
26. Cliquez sur OK pour fermer la bote de dialogue Proprits de l'abonnement.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
27. Si des messages de l'Observateur d'vnements s'affichent, cliquez sur Oui.
28. Vrifiez que la colonne tat de l'abonnement indique Actif.

Tche 3 : Gnration d'vnements
2. l'invite de commande (excute en tant qu'administrateur), tapez net stop
dfsr, puis appuyez sur Entre.
3. Tapez net start dfsr, puis appuyez sur Entre.

Tche 4 : Affichage des vnements transmis
transmis.
L'affichage des vnements transmis peut prendre plusieurs minutes. Si les
vnements ne s'affichent pas immdiatement, patientez quelques minutes,
dmarrez et arrtez le service Rplication du systme de fichiers distribus
(DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Association de tches aux journaux
d'vnements et aux vnements
Tche 1 : Association d'une tche un journal d'vnements et un
vnement
transmis.
3. Cliquez du bouton droit sur vnements transmis, choisissez Joindre une
tche ce journal, puis cliquez sur Suivant.
4. Dans la page Lors de l'enregistrement d'un vnement spcifique, cliquez
sur Suivant.
Vous pouvez invoquer une tche lorsqu'un vnement correspondant des
critres spcifiques est journalis ou lorsqu'un vnement quelconque est
ajout dans un journal. Pour chaque dclencheur, vous pouvez envoyer un
message lectronique, dmarrer un programme ou afficher un message sur le
Bureau. Dans un environnement de production, l'envoi d'un message
lectronique ou le dmarrage d'un programme rpondant l'vnement sont
les tches les plus couramment invoques. Dans cet atelier toutefois, vous allez
utiliser la tche Afficher un message pour vrifier que les tches sont bien
dclenches.
5. Dans la page Action, cliquez sur Afficher un message, puis sur Suivant.
6. Dans le champ Titre de la page Afficher un message, tapez Forwarded Event
Received.
7. Dans Message, tapez A forwarded event was received.
9. Cliquez sur OK pour accuser rception du message de lObservateur
dvnements.
10. Dans le volet d'informations, cliquez du bouton droit sur l'un des vnements
7036, choisissez Joindre une tche cet vnement, puis cliquez sur Suivant.
11. Dans la page Lors de l'enregistrement d'un vnement spcifique, cliquez
sur Suivant.
12. Dans la page Action, cliquez sur Afficher un message, puis sur Suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Dans le champ Titre de la page Afficher un message, tapez DC Service Event.
14. Dans Message, tapez A service was started or stopped.
16. Cliquez sur OK pour accuser rception du message de lObservateur
dvnements.
17. Dans l'arborescence de la console, dveloppez Configuration, Planificateur
de tches et Bibliothque du Planificateur de tches, puis cliquez sur Tches
de l'Observateur d'vnements.
18. Double-cliquez sur la premire tche de l'Observateur d'vnements.
19. Examinez les proprits de la tche que vous venez de crer.

Tche 2 : Prparation de l'affichage des messages lis aux tches de
Lorsque vous choisissez d'afficher un message dans une tche, comme les
messages s'affichent sur le Bureau de l'utilisateur dont le compte a servi crer la
tche de l'Observateur d'vnements (Pat.Coleman_Admin), vous devez ouvrir une
session de faon interactive avec le compte Pat.Coleman_Admin pour tirer
pleinement parti de cette simulation.
1. Cliquez sur le bouton Dmarrer, puis sur la flche accole au bouton
Verrouiller et slectionnez Fermer la session.
Une invite de connexion s'affiche.
6. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre ou
cliquez sur la flche de connexion.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Vrification du bon fonctionnement des tches de
2. l'invite de commande (excute en tant qu'administrateur), tapez net stop
dfsr, puis appuyez sur Entre.
3. Tapez net start dfsr, puis appuyez sur Entre.
5. Attendez que les messages lis aux tches de l'Observateur d'vnements
s'affichent.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 5 : Surveillance des Services AD DS avec l'Analyseur
de performances
Tche 1 : Configuration de l'Analyseur de performances pour surveiller
les services AD DS
Diagnostics, Fiabilit et performances, Outils d'analyse, puis cliquez sur
Analyseur de performances.
3. Cliquez sur le bouton Ajouter (signe plus vert) dans la barre d'outils pour
ajouter des objets et des compteurs.
La bote de dialogue Ajouter des compteurs s'affiche.
4. Dans la liste Compteurs disponibles, dveloppez l'objet Directory Services.
5. Cliquez sur le compteur Nb total d'octets DRA entrants/s, puis sur le bouton
Ajouter.
6. Rptez ltape prcdente pour ajouter les compteurs suivants :
DRA Outbound Bytes Total/sec (Nb total doctets DRA sortants/s)
Nb de threads Active Directory utiliss
Lectures Active Directory/s
critures Active Directory/s
Recherches Active Directory/s
7. Dans la liste Compteurs disponibles, dveloppez l'objet Statistiques de
scurit au niveau du systme.
8. Slectionnez le compteur Authentifications Kerberos, puis cliquez sur le
bouton Ajouter.
9. Dans la liste Compteurs disponibles, dveloppez l'objet DNS.
10. Slectionnez le compteur Requtes UDP reues/s, puis cliquez sur le bouton
Ajouter.
11. Cliquez sur OK.
12. Examinez les performances pendant un moment.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
13. Dans la liste des compteurs situs sous le graphique, slectionnez Requtes
UDP reues/s.
14. Cliquez sur le bouton Surbrillance dans la barre d'outils.
Le compteur slectionn est mis en surbrillance, ce qui simplifie la lecture de
ses performances.
15. Cliquez de nouveau sur le bouton Mettre en surbrillance dans la barre
d'outils pour dsactiver la mise en surbrillance.
16. Prenez le temps d'explorer les fonctionnalits de l'Analyseur de performances.
Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.

Tche 2 : Cration d'un Ensemble de collecteurs de donnes partir
des compteurs de l'Analyseur de performances
1. Dans l'arborescence de la console, cliquez du bouton droit sur Analyseur de
performances, pointez sur Nouveau et choisissez Ensemble de collecteurs de
donnes.
La bote de dialogue Crer un nouvel ensemble de collecteurs de donnes
s'affiche.
2. Dans le champ Nom, tapez Custom ADDS Performance Counters, puis
3. Prenez note du rpertoire racine dans lequel l'ensemble de collecteurs de
donnes sera enregistr par dfaut, puis cliquez sur Suivant.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Dmarrage d'un Ensemble de collecteurs de donnes
1. Dans l'arborescence de la console, dveloppez Ensembles de collecteurs de
donnes et Personnaliss, puis cliquez sur Personnaliss.
2. Cliquez du bouton droit sur Custom ADDS Performance Counters et
choisissez Dmarrer.
Le nud Custom ADDS Performance Counters est automatiquement
slectionn.
Vous pouvez identifier les diffrents collecteurs de donnes individuels de
l'ensemble de collecteurs de donnes. Dans ce cas, un seul collecteur de
donnes (le compteur de performances Journal de Moniteur systme) s'affiche
dans l'Ensemble de collecteurs de donnes.
Vous pouvez galement voir o le rsultat du collecteur de donnes est
enregistr.
3. Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble de
collecteurs de donnes Custom ADDS Performance Counters et choisissez
Arrter.

Tche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de
donnes
Dans l'arborescence de la console, dveloppez Rapports, Personnaliss et
Custom ADDS Performance Counters, puis cliquez sur Journal de Moniteur
systme.blg (System Monitor Log.blg).
Le graphique des compteurs de performances du journal s'affiche.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 6 : Utilisation des Ensembles de collecteurs de
donnes
Tche 1 : Examen d'un ensemble de collecteurs de donnes prdfini
1. Revenez la session ouverte sur HQDC02 avec le nom d'utilisateur
contoso\Pat.Coleman et le mot de passe Pa$$w0rd.
successivement Diagnostics, Fiabilit et performances, Ensembles de
collecteurs de donnes et Systme, puis cliquez sur Active Directory
Diagnostics.
Question : Quels collecteurs de donnes font partie de l'Ensemble de collecteurs
de donnes ?
Rponse : Le suivi des vnements du Noyau NT (NT Kernel) et Active Directory,
Configuration du Registre AD (AD Registry) et Compteurs de performance
(Performance Counter).
3. Cliquez du bouton droit sur Diagnostics Active Directory et choisissez
Dmarrer.
4. Dans l'arborescence de la console, dveloppez Rapports, Systme et Active
Directory Diagnostics, puis cliquez sur le rapport, dont le nom sera aaaammjj-
xxxx o aaaa correspond l'anne en cours, mm au mois, jj la date et xxxx
un numro de srie de quatre chiffres.
L'tat du rapport indique que les donnes sont collectes pendant 300
secondes (5 minutes).
5. Attendez cinq minutes, ou au moins une, puis cliquez du bouton droit sur
Diagnostics Active Directory sous Ensembles de collecteurs de
donnes\Systme et choisissez Arrter.
Ltat du rapport indique que la gnration du rapport est en cours.
Le rapport s'affiche.
6. Prenez le temps d'examinez les diffrentes sections du rapport.
7. Cliquez du bouton droit sur le rapport, pointez sur Affichage et choisissez
Analyseur de performances.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Rapport.
Dossier.
10. Dans le volet d'informations, double-cliquez sur Performance Counter
(Compteur de performance).
Le journal s'affiche dans une nouvelle instance du Moniteur de fiabilit et de
performances (WRPM).
11. Si la nouvelle instance de WRPM est rduite, ouvrez-la en cliquant sur son
bouton dans la barre des tches.
12. Fermez la nouvelle instance de WRPM.
13. Dans l'arborescence de la console Gestionnaire de serveur, dveloppez Outils
d'analyse, puis cliquez sur Analyseur de performances.
14. Cliquez sur le bouton Afficher les donnes du journal dans la barre d'outils
(deuxime bouton partir de la gauche).
La bote de dialogue Proprits de l'Analyseur de performances s'affiche.
15. Cliquez sur l'option Fichiers journaux.
La bote de dialogue Slectionner le fichier journal s'affiche, focalise sur
C:\PerfLogs.
17. Double-cliquez sur ADDS.
18. Double-cliquez sur le dossier dont le nom correspond au rapport que vous
avez gnr.
19. Cliquez sur Performance Counter (Compteur de performance), puis sur
Ouvrir.
20. Cliquez sur OK.
21. Notez qu'aucun compteur ne s'affiche immdiatement.
22. Cliquez sur le signe plus vert (bouton Ajouter) dans la barre d'outils.
23. Dans la liste Compteurs disponibles, dveloppez l'objet DirectoryServices.
24. Slectionnez Lectures Active Directory/s, Recherches Active Directory/s et
critures Active Directory/s, puis cliquez sur Ajouter.
25. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 2 : Cration d'un ensemble de collecteurs de donnes
Diagnostics, Fiabilit et performances et Ensembles de collecteurs de
donnes, puis cliquez sur Personnaliss.
2. Cliquez du bouton droit sur Personnaliss, pointez sur Nouveau, puis cliquez
sur Ensemble de collecteurs de donnes.
3. Dans le champ Nom de la page Crer un nouvel ensemble de collecteurs de
donnes, tapez Custom ADDS Diagnostics.
4. Cliquez sur l'option Crer partir d'un modle (recommand).
6. Dans la page Quel modle voulez-vous utiliser ?, slectionnez Active
Directory Diagnostics, puis cliquez sur Suivant.
7. Dans la page O enregistrer les donnes ?, crez un dossier C:\ADDS Data
Collector Sets dans le rpertoire racine, puis cliquez sur Suivant.
8. Dans la page Crer l'ensemble de collecteurs de donnes ?, cliquez sur le
bouton Modifier.
Une bote de dialogue d'informations d'identification du Moniteur de fiabilit
et de performances s'affiche.
9. Dans le champ Nom d'utilisateur, tapez CONTOSO\Pat.Coleman_Admin.
Dans un environnement de production, le compte que vous utilisez doit tre
un compte de domaine unique. Il doit tre membre du groupe Utilisateurs du
journal de performances et doit tre autoris ouvrir une session en tant que
tche. Le groupe Utilisateurs du journal de performances disposant par dfaut
de cette autorisation, il vous suffit de crer un compte de domaine et d'en faire
un membre de ce groupe.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Configuration des conditions de dmarrage d'un ensemble
de collecteurs de donnes
1. Dans l'arborescence de la console, cliquez du bouton droit sur Custom ADDS
Diagnostics et choisissez Proprits.
La bote de dialogue Proprits de Custom ADDS Diagnostics s'affiche.
2. Ouvrez l'onglet Planification.
La bote de dialogue Action du dossier s'affiche.
4. Vrifiez que la date du jour s'affiche bien dans Date de dbut.
5. Cochez la case Date d'expiration.
6. Dans la liste droulante Date d'expiration, slectionnez la date arrivant
expiration une semaine plus tard.
7. Configurez l'heure de dbut pour qu'elle commence dans cinq minutes. Prenez
note de l'heure de dbut que vous configurez.
Notez que la proprit Date d'expiration dsigne la date laquelle le
dmarrage de nouvelles instances de collecte de donnes doit cesser. Elle
n'arrte pas les sessions existantes. Pour dfinir le moment o la collecte de
donnes doit cesser, vous devez configurer Condition d'arrt.
8. Cliquez sur OK.
9. Dans la bote de dialogue Proprits de Custom ADDS Diagnostics, cliquez
sur Appliquer.
10. Dans le champ Nom d'utilisateur, tapez CONTOSO\Pat.Coleman_Admin.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Configuration des conditions d'arrt d'un ensemble de
collecteurs de donnes
1. Ouvrez l'onglet Condition d'arrt.
2. Cochez la case Dure globale.
3. Configurez la dure sur 2 minutes.
Dans un environnement de production, vous excuteriez probablement le
collecteur de donnes pendant plus longtemps.
4. Cochez la case Arrter lorsque tous les collecteurs de donnes ont termin.
Cette option permet aux collecteurs de donnes en excution lorsque la Dure
globale est atteinte de terminer l'enregistrement des valeurs les plus rcentes.
5. Cliquez sur OK.

Tche 5 : Configuration de la gestion des donnes d'un collecteur
1. Cliquez du bouton droit sur Custom ADDS Diagnostics et choisissez
Gestionnaire de donnes.
2. Dans l'onglet Gestionnaire de donnes, cliquez sur la liste Stratgie de
ressources et slectionnez Suppression des plus anciens.
3. Ouvrez l'onglet Actions.
4. Cliquez sur 1 jour(s).
La bote de dialogue Action du dossier s'affiche.
6. Dans la section Action, cochez la case Copier le fichier cab dans ce
rpertoire.
7. Dans le champ Copier le fichier cab dans ce rpertoire, tapez
\\hqdc01\ADDS_Diag_Reports.
8. Vrifiez que les options Crer un fichier cab et Supprimer les fichiers de
donnes sont slectionnes.
9. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
10. Cliquez sur OK.
11. Dans le champ Nom d'utilisateur, tapez Contoso\Pat.Coleman_Admin.

Tche 6 : Affichage des rsultats de la collecte des donnes
1. Attendez que l'heure que vous avez configure pour dmarrer l'ensemble de
collecteurs de donnes soit passe.
2. Slectionnez le rapport sous Rapports\Personnaliss\Custom ADDS
Diagnostics.
L'tat du rapport indique que les donnes sont collectes pendant 120
secondes (deux minutes).
Lorsque la collecte des donnes est termine, l'tat du rapport indique que la
gnration du rapport est en cours.
3. Prenez le temps d'examiner le rapport.
4. Dans l'arborescence de la console, cliquez du bouton droit sur le rapport,
pointez sur Affichage et choisissez Dossier.
5. Dans le volet d'informations, double-cliquez sur Performance Counter
(Compteur de performances).
Une nouvelle instance du Moniteur de fiabilit et de performances s'ouvre,
l'Analyseur de performances affichant les donnes enregistres dans le journal
Compteur de performances.
6. Prenez le temps d'examiner le graphique des performances, puis fermez la
fentre.

module.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vous
d'utiliser, les abonnements aux vnements comme outil de surveillance ?
Rponse : Les rponses varient selon les cas.
Question : quels vnements ou compteurs de performances envisagez-vous
d'associer des actions ou des notifications lectroniques ? Utilisez-vous
actuellement des notifications ou des actions dans le cadre de la surveillance de
votre environnement ?
Rponse : Les rponses varient selon les cas.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Gestion de la base de donnes Active Directory L13-323
Atelier pratique B : Gestion de la
base de donnes Active Directory

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Maintenance de la base de donnes
Les ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier pratique A.

Tche 2 : Prparation du compactage de la base de donnes Active
Directory
2. Tapez md D:\NTDSCompact.
3. Tapez md D:\NTDSOriginal.

Tche 3 : Arrt du service AD DS
1. Cliquez sur Dmarrer, pointez sur Outils d'administration, puis cliquez du
bouton droit sur Services et choisissez Excuter en tant qu'administrateur.
La console Services s'affiche.
5. Cliquez sur Services de domaine Active Directory.
6. Cliquez sur le bouton Arrter dans la barre d'outils.
La bote de dialogue Arrter les autres services qui s'affiche vous signale que
les services dpendants seront galement arrts.
7. Cliquez sur Oui.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Compactage de la base de donnes Active Directory
4. Tapez files, puis appuyez sur Entre.
5. Entrez compact to D:\NTDSCompact, puis appuyez sur Entre.
NTDSUtil compacte la base de donnes en une nouvelle copie du fichier
NTDS.dit dans le dossier D:\NTDSCompact.
6. Attendez la fin l'opration.
Le systme vous rappelle que vous devez copier le fichier compress la place
de la version actuelle du fichier ntds.dit et supprimer les fichiers journaux. la
tche suivante, vous effectuerez d'autres procdures qui sauvegarderont
galement Active Directory.

Tche 5 : Substitution de la base de donnes Active Directory par la
copie compacte
1. Tapez cd %racinesystme%\ntds, puis appuyez sur Entre.
2. Tapez move ntds.dit D:\NTDSOriginal, puis appuyez sur Entre.
3. Tapez move *.log D:\NTDSOriginal, puis appuyez sur Entre.
4. Tapez copy D:\NTDSCompact\ntds.dit, puis appuyez sur Entre.

Tche 6 : Vrification de l'intgrit de la base de donnes compacte
1. Tapez ntdsutil, et appuyez sur Entre.
2. Tapez activate instance NTDS, et appuyez sur Entre.
3. Tapez files, puis appuyez sur Entre.
4. Tapez integrity, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Tapez semantic database analysis, puis appuyez sur Entre.
7. Tapez go fixup, puis appuyez sur Entre.

Tche 7 : Dmarrage du service AD DS
1. Revenez la console Services.
2. Cliquez sur Services de domaine Active Directory.
3. Cliquez sur le bouton Dmarrer dans la barre d'outils.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Utilisation des instantans et rcupration d'un
utilisateur supprim
Tche 1 : Cration d'un instantan d'Active Directory
5. Tapez create et appuyez sur Entre.
bien t gnr. L'identificateur global unique (GUID) qui s'affiche est
important pour les commandes des tches ultrieures. Notez ce GUID ou
copiez-le dans le Presse-papiers.

Tche 2 : Modification d'Active Directory
l'UO User Accounts et cliquez sur l'UO Employees.
3. Cliquez du bouton droit sur le compte d'utilisateur Adriana Giorgi et
choisissez Supprimer.
Une bote de dialogue de confirmation s'affiche.
4. Cliquez sur Oui.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Montage d'un instantan Active Directory et cration d'une
nouvelle instance
5. Tapez list all, puis appuyez sur Entre.
6. Tapez mount guid, o guid correspond l'identifiant GUID renvoy par la
commande create snapshot, puis appuyez sur Entre.
Ex. : mount xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Un message indiquant que ..xxxxxx a t mont .. doit s'afficher.
9. Tapez dsamain -dbpath c:\$snap_datetime_volumec$\windows
\ntds\ntds.dit -ldapport 50000, puis appuyez sur Entre.
Notez que dateheure doit tre une valeur unique pour vous. Votre lecteur C
ne doit comprendre qu'un seul dossier commenant par $snap.
Un message indique que le dmarrage des services de domaine Active
Directory est termin. Laissez Dsamain.exe continuer son excution. Ne
fermez pas l'invite de commande.

Tche 4 : Examen d'un instantan dans Utilisateurs et ordinateurs
Active Directory
2. Cliquez du bouton droit sur le nud racine et choisissez Modifier le
La bote de dialogue Changer de serveur d'annuaire s'affiche.
3. Cliquez sur <Tapez ici un nom de serveur d'annuaire[:port]>.
4. Tapez HQDC01:50000 et appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
5. Cliquez sur OK.
7. Remarquez que l'objet Adriana Giorgi s'affiche car l'instantan a t cr avant
sa suppression.
8. Fermez la console Utilisateurs et ordinateurs Active Directory.

Tche 5 (facultatif) : Utilisation de LDP pour restaurer un objet
supprim
La restauration d'un compte utilisateur supprim n'est pas directement lie aux
instantans. Pour ranimer des objets du conteneur Objets supprims d'Active
Directory, utilisez la commande Ldp.exe. Un objet supprim tant dbarrass de la
plupart de ses attributs, un instantan se rvle trs utile pour examiner les
attributs de l'objet avant sa suppression.
1. Cliquez sur le bouton Dmarrer. Tapez LDP.exe dans le champ Rechercher,
qu'administrateur.
LDP s'affiche.
double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com.
11. Cliquez du bouton droit sur CN=Adriana Giorgi, puis cliquez sur Modifier.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
14. Cliquez sur le bouton Entre.
16. Dans le champ Valeurs, tapez CN=Adriana Giorgi,OU=Employees,OU=User
Accounts,DC=contoso,DC=com.
22. Fermez LDP.
25. Remarquez que le compte d'Adriana Giorgi a t restaur. Cependant, tous ses
attributs sont absents, notamment la description et le mot de passe. Du fait de
l'absence du mot de passe, le compte a t dsactiv.
26. Revenez l'instance d'Utilisateurs et ordinateurs Active Directory dans laquelle
les donnes de l'instantan sont affiches.
27. Notez que vous pouvez utiliser les attributs indiqus dans l'instantan pour
renseigner nouveau manuellement les attributs dans Active Directory.
28. Fermez les deux instances d'Utilisateurs et ordinateurs Active Directory.

Tche 6 : Dmontage d'un instantan d'Active Directory
2. Appuyez sur CTRL+C pour arrter DSAMain.exe.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Tapez unmount guid, o guid correspond l'identifiant GUID de l'instantan,

module.
Question : Dans quels autres cas peut-il tre utile de monter un instantan d'Active
Directory ?
Rponse : Si vous dtectez un problme li Active Directory qui ncessite la
restauration dune sauvegarde, vous pouvez examiner les instantans pour
dterminer le point de dpart souhaitable de la restauration. Ds que vous avez
localis l'instantan qui contient les donnes appropries, vous pouvez restaurer la
sauvegarde cre la mme date.
Question : Quels sont les inconvnients de la restauration d'un objet supprim
avec un outil tel que LDP ?
Rponse : Vous devez renseigner nouveau tous les attributs.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique C : Sauvegarde et restauration d'Active Directory L13-333
Atelier pratique C : Sauvegarde et
restauration d'Active Directory

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Sauvegarde d'Active Directory
Les ordinateurs virtuels ont dj d tre dmarrs lors des Ateliers pratiques A et B.

Tche 2 : Installation de la fonctionnalit Sauvegarde de Windows
Server
2. Cliquez sur l'icne Gestionnaire de serveur situe ct du bouton
Dmarrer.
5. Le Gestionnaire de serveur souvre.
6. Dans l'arborescence de la console, cliquez sur Fonctionnalits.
7. Dans le volet de d'informations, cliquez sur le lien Ajouter des
fonctionnalits.
8. Dans la page Slectionnez des fonctionnalits, dveloppez Fonctionnalits
de sauvegarde de Windows Server, puis activez les cases cocher
Sauvegarde de Windows Server et Outils de ligne de commande.
Lorsque vous slectionnez Outils de ligne de commande, l'Assistant Ajout de
fonctionnalits vous invite installer Windows PowerShell, une
fonctionnalit requise.
9. Cliquez sur Ajouter les fonctionnalits requises.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
11. Cliquez sur Installer.
12. Lorsque l'installation termine, cliquez sur Fermer.

Tche 3 : Cration d'une sauvegarde planifie
1. Cliquez sur Dmarrer > Outils d'administration, puis excutez Sauvegarde
de Windows Serveravec des identifiants d'administrateur. Utilisez le compte
2. Dans le volet Actions, cliquez sur le lien Planification de sauvegarde.
L'Assistant Planification de sauvegarde apparat.
3. Dans la page Mise en route, cliquez sur Suivant.
5. Dans la page Slectionner les lments de sauvegarde, dsactivez la case
cocher Lecteur 6238B (D:), puis cliquez sur Suivant.
6. Dans la page Spcifier l'heure de la sauvegarde, cliquez sur Tous les jours.
7. Dans la liste Slectionner une heure, slectionnez 12 h 00.
9. Dans la page Slectionner le disque de destination, cliquez sur Afficher tous
les disques disponibles.
La bote de dialogue Afficher tous les disques disponibles apparat.
10. Cochez la case Disque 1, puis cliquez sur OK.
11. Dans la page Slectionner le disque de destination, cochez la case Disque 1,
La bote de dialogue Sauvegarde de Windows Server qui s'affiche vous signale
que toutes les donnes du disque vont tre supprimes.
12. Cliquez sur Oui pour continuer.
13. Dans la page Nommer le disque de destination, cliquez sur Suivant.
14. Dans la page Confirmation, cliquez sur Annuler pour viter le formatage du
lecteur D.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : Excution d'une sauvegarde interactive
1. Dans le volet Actions de la console Sauvegarde de Windows Server, cliquez
sur le lien Sauvegarde unique.
L'Assistant Sauvegarde unique s'affiche.
2. Dans la page des Options de sauvegarde, vrifiez que l'option Diffrentes
options est slectionne, puis cliquez sur Suivant.
4. Dans la page Slectionner les lments de sauvegarde, vrifiez que la case
cocher Activer la rcupration du systme est slectionne, puis cliquez sur
Suivant.
5. Dans la page Spcifier le type de destination, cliquez sur Suivant.
6. Dans la page Slectionner la destination de sauvegarde, cliquez sur Suivant.
7. Dans la page Spcifier une option avance, cliquez sur Sauvegarde complte
VSS, puis cliquez sur Suivant.
8. Dans la page Confirmation, cliquez sur Sauvegarde.
La sauvegarde prend approximativement 10 15 minutes. Lorsque la
sauvegarde est termine, fermez l'utilitaire de sauvegarde de Windows Server.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Restauration d'Active Directory ou d'une unit
d'organisation supprime
Tche 1 : Suppression de l'unit d'organisation Employees
1. Toujours dans HQDC01, excutez Utilisateurs et ordinateurs Active
Directory avec les informations d'identification d'administration. Utilisez le
2. Dans l'arborescence de la console, dveloppez contoso.com, puis cliquez sur
l'UO User Accounts.
3. Dans le volet d'informations, cliquez du bouton droit sur Contractors, puis
choisissez Supprimer.
4. Cliquez sur Oui.
Un message d'avertissement s'affiche.
5. Cliquez sur Oui.
6. Attendez la fin de la suppression.
l'UO User Accounts.
10. Vrifiez que l'UO Contractors a bien t supprime.

Tche 2 : Redmarrage en mode Restauration des services d'annuaire
(DSRM)
3. Tapez bcdedit /set safeboot dsrepair, puis appuyez sur Entre.
4. Tapez shutdown -t 0 -r, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Restauration des donnes de l'tat du systme
passe Pa$$w0rd.
2. Cliquez sur Dmarrer, puis cliquez du bouton droit sur Invite de commande
et choisissez Excuter en tant qu'administrateur.
L'Invite de commande s'ouvre.
3. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 et
appuyez sur Entre.
4. Notez les informations renvoyes sur les versions.
5. Tapez wbadmin start systemstaterecovery -version:version -backuptarget:D:
-machine:HQDC01, o version correspond au numro enregistr l'tape
prcdente, puis appuyez sur Entre.
C'est--dire wbadmin start systemstaterecovery -version:10/14/2009-01:11 -
backuptarget:D: -machine:HQDC01.
6. Tapez Y, puis appuyez sur Entre.
La restauration prend 30 35 minutes environ. Selon l'ordinateur hte, elle
peut prendre jusqu' une heure.

Tche 4 : Marquer les informations restaures comme faisant autorit
et redmarrer le serveur.
1. linvite de commandes, tapez ntdsutil, puis appuyez sur Entre.
3. Tapez authoritative restore, puis appuyez sur Entre.
4. Tapez restore subtree "ou=Contractors,ou=User
Accounts,dc=contoso,dc=com", puis appuyez sur Entre.
5. Cliquez sur Oui dans la bote de dialogue de confirmation qui s'affiche.
8. Tapez bcdedit /deletevalue safeboot, puis appuyez sur Entre.
9. Tapez shutdown -t 0 -r, puis appuyez sur Entre.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 5 : Vrification de la restauration des donnes supprimes
l'UO User Accounts.
5. Vrifiez que l'UO Contractors a bien t restaure.
Directory, cliquez sur l'UO User Accounts.
8. Appuyez sur F5 (Actualiser).
9. Vrifiez que l'UO Contractors a bien t restaure.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Question : Quel type de plan de sauvegarde des contrleurs de domaine et du
service d'annuaire utilisez-vous ? Qu'envisagez-vous d'utiliser aprs avoir tudi
cette leon et termin cet atelier ?
Question : Lorsque vous restaurez un utilisateur supprim (ou une unit
d'organisation comprenant des objets utilisateur) par l'intermdiaire d'une
restauration faisant autorit, les objets sont-ils exactement les mmes
qu'auparavant ? Quels attributs peuvent tre diffrents ?
Rponse : Les rponses peuvent varier quelque peu, mais la question vise
amorcer une discussion autour de lappartenance aux groupes. L'appartenance aux
groupes d'un utilisateur n'est pas un attribut de l'objet utilisateur, mais plutt de
l'objet groupe. Ainsi, lorsque vous restaurez un utilisateur avec autorit, vous ne
restaurez pas son appartenance aux groupes. L'utilisateur a t supprim de
l'attribut member des groupes au moment de sa suppression. Lutilisateur restaur
ne sera donc membre daucun groupe lexception de son groupe principal. Pour
restaurer les appartenances aux groupes, il faudrait galement envisager
dappliquer une restauration faisant autorit aux groupes. Or, cela nest pas
toujours souhaitable dans la mesure o la restauration avec autorit des groupes
entrane le rtablissement de leur appartenance au jour o la sauvegarde a t
effectue.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique A : Augmentation des niveaux fonctionnels des domaines et des forts L14-343
Module 14 : Gestion de plusieurs domaines et
forts
Atelier pratique A : Augmentation
des niveaux fonctionnels des
domaines et des forts

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
L14-344 Module 14 : Gestion de plusieurs domaines et forts

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : lvation du niveau fonctionnel de domaine
Windows Server 2003
Pa$$w0rd.

natif du domaine
d'administrateur. Utilisez le compte Sara.Davis_Admin et le mot de passe
Pa$$w0rd.
tailspintoys.com et choisissez Augmenter le niveau fonctionnel du domaine.
3. Confirmez que le Niveau fonctionnel actuel du domaine est bien
Windows 2000 Natif.

fonctionnel de domaine Windows 2000 natif
appuyez sur Entre.
Le message qui s'affiche indique que la redirection n'a pas russi.
sur Entre.
Le message qui s'affiche indique que la redirection n'a pas russi.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 4 : lvation du niveau fonctionnel de domaine Windows
Server 2003
1. Basculez vers Domaines et approbations Active Directory.
3. Dans la liste Slectionner un niveau fonctionnel du domaine disponible,
slectionnez Windows Server 2003.
6. Cliquez sur OK.

niveau fonctionnel de domaine Windows Server 2003
appuyez sur Entre.
Le message qui s'affiche indique que la redirection a russi.
sur Entre.
Le message qui s'affiche indique que la redirection a russi.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : lvation du niveau fonctionnel de fort
Windows Server 2003
natif de la fort
Domaines et approbations Active Directory et choisissez Augmenter le
niveau fonctionnel de la fort.
La bote de dialogue Augmenter le niveau fonctionnel de la fort s'affiche.
3. Confirmez que le Niveau fonctionnel actuel de la fort est bien
Windows 2000 Natif.
4. cliquez sur Annuler. Ne modifiez pas le niveau fonctionnel de la fort.

fonctionnel de fort Windows 2000 natif
d'identification d'administration. Utilisez le compte Sara.Davis_Admin et le
2. Dans l'arborescence de la console, dveloppez le domaine tailspintoys.com,
puis cliquez sur l'UO Contrleurs de domaine.
3. Cliquez du bouton droit sur l'UO Domain Controllers (Contrleurs de
domaine) et choisissez Crer au pralable un compte de contrleur de
domaine en lecture seule.
Un message vous signale que le niveau fonctionnel de la fort doit tre
Windows Server 2003 ou suprieur.
7. Cliquez sur OK.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur Annuler pour fermer l'Assistant Installation de services de
domaine Active Directory.
Un message de confirmation vous demande si vous souhaitez quitter
l'Assistant.
9. Cliquez sur Oui.

Tche 3 : lvation du niveau fonctionnel de fort Windows
Server 2003
Domaines et approbations Active Directory et choisissez Augmenter le
niveau fonctionnel de la fort.
3. Dans la liste Slectionner un niveau fonctionnel de fort disponible,
slectionnez Windows Server 2003.
6. Cliquez sur OK.

niveau fonctionnel de fort Windows Server 2003
2. Cliquez du bouton droit sur l'UO Domain Controllers (Contrleurs de
domaine) et choisissez Crer au pralable un compte de contrleur de
domaine en lecture seule.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Dans la page Spcifier le nom de l'ordinateur, tapez TSTDC03, puis cliquez
sur Suivant.
7. Dans la page Slectionner un site, cliquez sur Suivant.
8. Dans la page Options supplmentaires pour le contrleur de domaine,
9. Dans la page Dlgation de l'installation et de l'administration du
contrleur du RODC, cliquez sur Suivant.
Un objet RODC intermdiaire nomm TSTDC03 est cr dans l'UO
Contrleurs de domaine.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : lvation du niveau fonctionnel du domaine
Windows Server 2008
Tche 1 : Confirmer le niveau fonctionnel actuel infrieur
Windows Server 2008 pour le domaine.
3. Confirmez que le Niveau fonctionnel actuel du domaine est Windows
Server 2003.

Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en
charge que par les domaines de niveau fonctionnel Windows Server 2008.

3. Confirmez que la liste Slectionner un niveau fonctionnel du domaine
disponible indique Windows Server 2008.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
6. Cliquez sur OK.
7. Fermez Domaines et approbations Active Directory.

Le message qui s'affiche vous signale que la migration DFSR n'a pas encore t
dclenche. Cela signifie que cette fonctionnalit est prsent disponible, mais
n'a pas encore t initialise.

Question : Pouvez-vous lever le domaine au niveau fonctionnel Windows Server
2008 lorsque votre serveur Microsoft Exchange excute encore Windows Server
2003 ?
Rponse : Oui. Du moment o le serveur Exchange nest pas un contrleur de
domaine. Ce qui importe au moment de dterminer le niveau fonctionnel du
domaine est le systme d'exploitation du contrleur de domaine.
Question : Pouvez-vous lever un domaine au niveau fonctionnel Windows Server
2008 lorsque d'autres domaines contiennent des contrleurs de domaine
fonctionnant sous Windows Server 2003 ?
Rponse : Oui. Les niveaux fonctionnels de domaine au sein dune fort peuvent
tre diffrents.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Administration
d'une relation d'approbation

d'administration
propose :
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Atelier pratique B : Administration d'une relation d'approbation L14-353

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 1 : Configuration du service DNS
Pa$$w0rd.

Tche 2 : Configuration du service DNS dans le domaine contoso.com
3. Dans l'arborescence de la console, dveloppez HQDC01 et cliquez sur Zones
de recherche directes.
4. Cliquez du bouton droit sur Zones de recherche directes et choisissez
Nouvelle zone.
La page d'accueil de l'Assistant Nouvelle zone apparat.
La page Type de zone s'affiche.
6. Cliquez sur Zone de stub, puis sur Suivant.
La page tendue de la zone de rplication de Active Directory s'affiche.
La page Nom de la zone s'affiche.
8. Tapez tailspintoys.com, puis cliquez sur Suivant.
La page Serveurs DNS matres s'affiche.
9. Tapez 10.0.0.31 et appuyez sur Tab.
10. Cochez la case Utiliser les serveurs suivants pour crer une liste locale des
serveurs matres.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Configuration du service DNS dans le domaine
tailspintoys.com
1. Basculez dans TSTDC01.
3. Dans l'arborescence de la console, dveloppez TSTDC01, puis cliquez sur
Redirecteurs conditionnels.
4. Cliquez du bouton droit sur le dossier Redirecteurs conditionnels et
choisissez Nouveau redirecteur conditionnel.
5. Dans le champ Domaine DNS, tapez contoso.com.
6. Cliquez sur Cliquez ici pour ajouter une adresse IP et tapez 10.0.0.11.
7. Cochez la case Stocker ce redirecteur conditionnel dans Active Directory, et
le rpliquer comme suit.
8. Cliquez sur OK.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 2 : Cration d'une relation d'approbation
Tche 1 : Identification des domaines approuv et autoris
approuver
Les utilisateurs du domaine tailspintoys.com doivent pouvoir accder un dossier
partag du domaine contoso.com. Rpondez aux questions suivantes :
Question :
Quel est le domaine autoris approuver et quel est le domaine approuv ?
Quel domaine dispose d'une approbation sortante et quel domaine dispose
d'une approbation entrante ?
Rponse :
Le domaine contoso.com est le domaine autoris approuver avec une
approbation sortante vers le domaine tailspintoys.com, qui est le domaine
approuv avec une approbation entrante.

Tche 2 : Initiation de l'approbation dans le domaine approuv
Pa$$w0rd.
contoso.com et choisissez Proprits.
5. Cliquez sur Nouvelle approbation.
La page d'accueil de l'Assistant Nouvelle approbation apparat.
La page Nom d'approbation s'affiche.
7. Tapez tailspintoys.com dans le champ Nom, puis cliquez sur Suivant.
La page Type d'approbation s'affiche.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
8. Cliquez sur Approbation externe. Cliquez sur Suivant.
La page Direction de l'approbation s'affiche.
9. Cliquez sur Sens unique : en sortie. Cliquez sur Suivant.
La page Sens de l'approbation s'affiche.
10. Cliquez sur Ce domaine uniquement. Cliquez sur Suivant.
La page Niveau d'authentification d'approbations sortantes s'affiche.
11. Cliquez sur Authentification pour toutes les ressources du domaine.
Cliquez sur Suivant.
La page Mot de passe d'approbation s'affiche.
12. Tapez Pa$$w0rd dans les champs Mot de passe d'approbation et Confirmer
le mot de passe de l'approbation.
Dans un environnement de production, il serait prfrable d'utiliser un mot de
passe complexe et unique qui ne corresponde pas un mot de passe de
compte d'utilisateur.
La page Fin de la slection des approbations s'affiche.
14. Examinez les paramtres. Cliquez sur Suivant.
La page Fin de la cration de l'approbation s'affiche.
15. Examinez l'tat des modifications. Cliquez sur Suivant.
La page Confirmer l'approbation sortante s'affiche. Ne confirmez pas
l'approbation avant que ses deux extrmits n'aient t cres.
La page Fin de l'Assistant Nouvelle approbation apparat.
La bote de dialogue qui s'affiche vous rappelle que le filtrage des SID est activ
par dfaut.
18. Cliquez sur OK.
19. Cliquez sur OK pour fermer la bote de dialogue Proprits de contoso.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Tche 3 : Fin de l'approbation dans le domaine autoris approuver
d'administrateur. Utilisez le compte Sara.Davis_Admin et le mot de passe
Pa$$w0rd.
tailspintoys.com et choisissez Proprits.
5. Cliquez sur Nouvelle approbation.
La page d'accueil de l'Assistant Nouvelle approbation apparat.
La page Nom d'approbation s'affiche.
7. Dans le champ Nom, tapez contoso.com. Cliquez sur Suivant.
La page Type d'approbation s'affiche.
8. Cliquez sur Approbation externe. Cliquez sur Suivant.
La page Direction de l'approbation s'affiche.
9. Cliquez sur Sens unique : en entre. Cliquez sur Suivant.
La page Sens de l'approbation s'affiche.
10. Cliquez sur Ce domaine uniquement. Cliquez sur Suivant.
La page Mot de passe d'approbation s'affiche.
11. Tapez Pa$$w0rd dans les champs Mot de passe d'approbation et Confirmer
le mot de passe de l'approbation. Cliquez sur Suivant.
La page Fin de la slection des approbations s'affiche.
La page Fin de la cration de l'approbation s'affiche.
13. Examinez l'tat des modifications. Cliquez sur Suivant.
La page Confirmer l'approbation entrante s'affiche.
Vous validerez cette approbation dans l'exercice suivant.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
La page Fin de l'Assistant Nouvelle approbation apparat.
16. Cliquez sur OK pour fermer la bote de dialogue Proprits de
tailspintoys.com.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 3 : Validation d'une relation d'approbation
Tche 1 : Validation d'une relation d'approbation
2. Dans l'arborescence de la console Domaines et approbations Active
Directory, cliquez du bouton droit sur le domaine contoso.com et choisissez
Proprits.
4. Cliquez sur tailspintoys.com, puis sur Proprits.
5. Cliquez sur Valider.
Un message vous indique que l'approbation a t valide, qu'elle est en place
et active.
6. Cliquez sur OK.
7. Cliquez sur OK pour fermer les botes de dialogue Proprits.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 4 : Octroi d'autorisations aux identits approuves
Tche 1 : Octroi d'autorisations aux groupes approuvs
d'identification d'administration. Utilisez le compte Sara.Davis_Admin et le
3. Dans l'arborescence de la console, dveloppez le domaine tailspintoys.com,
puis cliquez sur l'UO User Accounts.
4. Cliquez du bouton droit sur l'UO Users, pointez sur Nouveau, puis cliquez
sur Utilisateur.
5. Tapez Pat dans le champ Prnom.
6. Dans le champ Nom de famille, tapez Coleman.
7. Dans le champ Nom d'ouverture de session de l'utilisateur, tapez
Pat.Coleman.
9. Dans les champs Mot de passe et Confirmer le mot de passe, tapez
Pa$$w0rd.
10. Dsactivez la case cocher L'utilisateur doit changer le mot de passe la
prochaine ouverture de session.
tailspintoys.com, pointez sur Nouveau et choisissez Unit d'organisation.
La bote de dialogue Nouvel objet - Unit d'organisation s'affiche.
14. Dans le champ Nom, tapez Groups.
15. Cliquez sur OK.
16. Dans l'arborescence de la console, cliquez du bouton droit sur l'UO Groups,
pointez sur Nouveau, puis cliquez sur Groupe.
La bote de dialogue Nouvel objet - Groupe s'affiche.
17. Dans le champ Nom du groupe, tapez Product Team.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
18. Cliquez sur OK.
l'UO Groups, puis cliquez sur l'UO Role.
23. Dans le champ Nom du groupe, tapez Product Developers.
24. Cliquez sur OK.
25. Dans l'arborescence de la console, cliquez sur l'UO Access.
26. Cliquez du bouton droit sur l'UO Access, pointez sur Nouveau, puis cliquez
sur Groupe.
27. Dans le champ Nom du groupe, tapez ACL_ Product Information _Modify.
28. Dans la section tendue du groupe, cliquez sur Domaine local.
29. Cliquez sur OK.
30. Ouvrez le lecteur C.
31. Crez un dossier nomm Product Information dans le lecteur C.
32. Cliquez du bouton droit sur le dossier Product Information et choisissez
Proprits.
La bote de dialogue Proprits de Product Information s'affiche.
36. Tapez ACL_Product Information_Modify, puis appuyez sur Entre.
37. Cochez la case situe sous Autoriser et accole Modifier.
38. Cliquez deux reprises sur OK pour fermer les botes de dialogue.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
40. Dans le volet d'informations, double-cliquez sur ACL_Product
Information_Modify.
43. Tapez Product Developers, puis appuyez sur Entre.
45. Tapez TAILSPINTOYS\Product Team, puis appuyez sur Entre.
En tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin),
votre compte d'utilisateur n'est pas autoris lire l'annuaire du domaine
tailspintoys.com.
Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le
domaine tailspintoys.com. Si l'approbation tait bidirectionnelle, ce message
ne s'afficherait pas.
Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera
utilis pour vous fournir un Accs en lecture dans le service d'annuaire.
46. Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman.
Notez que les deux groupes globaux des deux domaines sont prsent
membres du groupe local du domaine contoso.com, autoris accder au
dossier Product Information.
48. Cliquez sur OK pour fermer la bote de dialogue des proprits du groupe.

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
Exercice 5 : Implmentation d'une authentification slective
Tche 1 : Implmentation d'une authentification slective
1. Dans HQDC01, basculez vers Domaines et approbations Active Directory.
2. Cliquez du bouton droit sur le domaine contoso.com et choisissez Proprits.
4. Cliquez sur tailspintoys.com, puis sur Proprits.
5. Ouvrez l'onglet Authentification.
6. Cliquez sur l'option Authentification slective, puis deux fois sur OK.
Lorsque l'authentification slective est active, les utilisateurs d'un domaine
approuv ne peuvent pas s'authentifier auprs des ordinateurs du domaine
autoris approuver, mme s'ils disposent d'autorisations pour un dossier. Les
utilisateurs approuvs doivent galement bnficier de l'autorisation
Autorisation d'authentifier sur l'ordinateur lui-mme.
8. Cliquez sur le menu Affichage et vrifiez que Fonctionnalits avances est
slectionne.
10. Dans le volet d'informations, cliquez du bouton droit sur HQDC01 et
13. Tapez TAILSPINTOYS\Product Team, puis cliquez sur OK.
En tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin),
votre compte d'utilisateur n'est pas autoris lire l'annuaire du domaine
tailspintoys.com.
Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le
domaine tailspintoys.com. Si l'approbation tait bidirectionnelle, ce message
ne s'afficherait pas.
Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera
utilis pour vous fournir un Accs en lecture dans le service d'annuaire.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T
14. Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman.
16. Cochez la case Autoriser accole Autorisation d'authentifier.
prsent, le groupe Product Team de Tailspintoys.com peut s'authentifier
auprs de HQDC01 et dispose d'une autorisation sur le dossier Product
Information du fait de son appartenance au groupe ACL_Product
Information_Modify.
17. Cliquez sur OK.

Question : Vous avez accord au groupe Research and Development de la socit
Tailspin Toys, l'autorisation de Modifier le dossier Product Information de
l'ordinateur HQDC01. Toutefois, sur les dix utilisateurs du groupe, un seul
(galement membre du groupe Product Team) peut y accder. Les autres ne
peuvent pas accder au dossier. Que devez-vous faire ?
Rponse : Lauthentification slective ayant t active, les utilisateurs du groupe
Research and Development doivent disposer de lAutorisation dauthentifier sur
HQDC01. Or, le groupe Product Team bnficiait dj de cette autorisation. C'est
la raison pour laquelle un seul utilisateur pouvait s'authentifier et accder au
dossier.
Question : Un utilisateur de Contoso tente d'accder un dossier partag du
domaine Tailspin Toys et reoit une erreur Accs refus. Que devez-vous faire pour
que cet utilisateur puisse accder ce dossier ?
Rponse : Tout dabord, une relation dapprobation doit tre tablie de sorte que
Tailspin Toys approuve Contoso. Ensuite, une autorisation doit tre octroye
lutilisateur (ou un groupe auquel lutilisateur appartient) pour quil puisse
accder au dossier partag du domaine Tailspin Toys.
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarques
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarques
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarques
U
T
I
L
I
S
A
T
I
O
N

R
S
E
R
V

L
'
I
N
S
T
R
U
C
T
E
U
R

M
C
T

U
N
I
Q
U
E
M
E
N
T

Remarques

6238B-FRA TrainerHandbook Volume2 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

6238B-FRA TrainerHandbook Volume2 PDF

Transféré par

Droits d'auteur :

Formats disponibles

P R O D U I T O F F I C I E L D E F O R M A T I O N M I C R O S O F T

Learning tient remercier les personnes ci-dessous pour leur

. Bas dans la charmante ville de Maui, Dan voyage

Directory Services, 2007 et Office SharePoint Server,

: au domaine lui-mme ou une unit d'organisation de premier niveau.

Vous aimerez peut-être aussi