Académique Documents
Professionnel Documents
Culture Documents
Rdig par Guillaume MATHIEU, consultant Ple Architecture & Intgration MANPOWER / PROSERVIA
10. Notions avances Active Directory : Les outils de supervision / dpannage (DCDIAG, ASIEDIT, REPMON, REPADMIN).
11. Les services rseaux : Le service DHCP Le service WINS
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Gestionnaire de Server
La console Server Manager permet : Dajouter les composants Windows rpartis entre rles et fonctionnalits. Dactiver ou de dsactiver la configuration renforce de la scurit dInternet Explorer (IE ESC). De configurer les paramtres de mises jour. Il est possible depuis Windows Server 2008 R2 uniquement daccder distance la console Server Manager dun autre serveur. Attention, toutes les fonctionnalits ne sont pas accessibles. Daccder depuis un point unique aux principales consoles pour grer chaque rle / fonctionnalit.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
PowerShell
Prsentation PowerShell :
Nouvelle interface ligne de commande / sappuie sur le .Net Framework. Active Directory Center excute en fait des commandes PowerShell. Extensible (ajout de CMDLETs via chargement PSSNAPINs)
Les oprateurs ( < > | where ne ), les variables $_.attributs et les filtres
La commande ci-dessous permet de lister les caractristiques du domaine et dafficher la rponse sous forme dune liste : Get-ADDomain | format-List
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
10
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
11
Comment : Toujours passer par la console Pare feu avec Fonctionnalits avances . En effet, le pare feu de Windows Server 2008 / 2008 R2 dispose de 3 profils (public, priv, domaine). Il faut bien penser dsactiver la pare-feu pour les 3 profils.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
12
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
13
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
14
Divers 1/2 :
Activer le voisinage rseau : Lancer la console services.msc et configurer le service Explorateur dordinateur pour dmarrer automatiquement et le dmarrer. En effet, ce service permet de maintenir la liste des machines dans le voisinage rseau (via un systme dlection). Hors par dfaut cest lEmulateur PDC qui gagne llection. Pour plus dinformations, voir : http://msreport.free.fr/?p=129 Renommer la machine : A linstallation, Windows gnre un nom alatoire. Penser renommer. Ne pas renommer un contrleur de domaine.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
15
Divers 2/2 :
Penser configurer Windows Update : Attention, par dfaut, Windows est configur pour tlcharger et installer automatiquement les mises jour. Passer en mode Tlcharger les mises jour et me laisser choisir sil convient de les installer . Penser activer Windows : Pour activer Windows, il faut aller dans Panneau de configuration | Systme et scurit puis cliquer sur Systme . Cliquer ensuite sur Modifier la cl produit . Cela va lancer automatiquement lactivation par Internet. Penser configurer un proxy auparavant si besoin. Pour plus dinformations, voir : http://msreport.free.fr/?p=153
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
16
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
18
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
20
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
21
22
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
23
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
24
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
25
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
27
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
28
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
29
Msreport.fr proservia.fr
Arborescence
recherche. msreport.fr
Ai.proservia.fr
eu.recherche. Msreport.fr
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
31
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
33
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
34
Mode de domaine
2000 mixte 2000 natif 2003 natif
Fonctionnalits
Fonctionnalit de base Groupe global membre dun autre groupe global.
Type de DC
BDC NT4, DC 2000 / 2003 2000 / 2003 / 2008 / 2008 R2 2003 / 2008 / 2008 R2
2008 natif
2008 / 2008 R2
2008 R2 natif
2008 R2
Fonctionnalits
Fonctionnalits de base.
Approbation de fort / Renommage de domaine ( viter) / support des RODC / amlioration au niveau du KCC et de lISTG / dsactivation dattribut. Mme fonctionnalits que le mode natif 2003.
Type de DC
BDC NT4 / 2000 / 2003 / 2008 / 2008 R2
2003 / 2008 / 2008 R2 2008 / 2008 R2
2008 R2 natif
2008 R2
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
38
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
39
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
40
A faire : Crer deux comptes utilisateurs appels Sophie Mathieu2 et guillaume.mathieu. Donner le chemin LDAP de la ressource Sophie Mathieu2 et guillaume.mathieu. Attention, il faut commencer par la ressource.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
43
Les rles FSMO et le Catalogue Global 1/3 5 rles FSMO (Flexible Single Master Operation) et le Catalogue Global : : domaine. Permet aux stations NT4 : Emulateur PDC : serveur de temps du
douvrir une session sur le domaine (il se fait passer pour un PDC NT4). Gre les changements de mots de passe. En mode 2000 mixte, permet aux BDC NT4 de se synchroniser avec le DC jouant le rle dEmulateur PDC. Matre RID : permet dallouer des pool de 500 GUID. Si ce rle nest plus en ligne, les contrleurs de domaine ne peuvent plus obtenir de nouveau pool de GUID. Si leur pool est puis, ils ne peuvent plus crer de nouveaux objets. Matre dinfrastructure : permet de grer les objets fantmes (un objet fantme est cr lorsque lon joint un objet du domaine B dans un groupe du domaine A). Matre dattribution de noms de domaine : valide sil ny a pas de conflit(s) de noms DNS au niveau des domaines de la fort et des domaines approuvs. Matre de schma : permet de grer les modifications effectues au niveau du schma Active Directory. Le serveur de Catalogue Global : contient une rplique des principaux attributs de tous les objets de la fort. Permet de faire des recherches dans lannuaire. Gre les groupes universels. Si plus de serveur de Catalogue global, on ne peut plus ouvrir de sessions (sauf les administrateurs du domaine).
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
44
Pour afficher la console Matre de Schma : Pour afficher la composant logiciel enfichable Matre de schma, taper la commande regsvr32 schmmgmt.dll. Aller dans me menu Dmarrer, cliquer Excuter puis taper MMC. Cela permet de lancer une console MMC vierge. Cliquer sur Ajouter un composant logiciel enfichable . Slectionner le composant Matre de Schma .
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
45
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
47
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
48
A faire : Lancer la console Utilisateurs et Ordinateurs Active Directory . Crer lOU Test la racine du domaine. Crer le compte utilisateur test1 (mot de passe : P@ssword) dans lOU Test. Crer le groupe global testgp1 dans lOU Test. Ajouter lutilisateur test1 au groupe global testgp1. Lancer ADSIEDIT. Se connecter la partition de domaine. Localiser la ressource testgp1 et diter lobjet utilisateur (bouton droit, Proprits). Aller au niveau de lattribut member et supprimer lentre test1. Relancer la console Utilisateurs et Ordinateurs Active Directory et valider que lutilisateur test1 nest plus membre du groupe testgp1.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 49
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
50
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
51
Le schma:
Vocabulaires : Attributs : proprits dun objet (exemple : description, socit, numro de fax). Mthodes : actions que lon peut faire sur un objet (dplacer, supprimer..) Classes : types dobjets (exemple de classe dobjet : groupe, utilisateur). Schma : ensemble des attributs, des mthodes et des classes. Le schma Active Directory est extensible. Cela permet dajouter des attributs ou des classes. On ne peut pas modifier les mthodes. Certaines applications comme Exchange (setup.com/PrepareAD) ncessite dtendre le schma. Pour plus dinformations : http://technet.microsoft.com/fr-fr/library/bb727029.aspx http://technet.microsoft.com/en-us/library/bb727064.aspx http://technet.microsoft.com/en-us/library/cc784557(WS.10).aspx
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
52
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
53
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
56
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
57
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
58
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
59
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
60
Le rpertoire SYSVOL
A savoir : Contient les scripts et les fichiers des stratgies de groupe (GPO). Lemplacement de SYSVOL se dfinit au DCPROMO (modification avec NTDSUTIL). Rplique sur tous les contrleurs de domaine. En mode natif 2003 et antrieur : utilisation de lalgorithme NTFRS En mode natif 2008 et ultrieur : utilisation de lalgorithme RDC. Le partage NETLOGON correspond au rpertoire c:\windows\sysvol\sysvol\nom_domaine\scripts. Le partage SYSVOL correspond au rpertoire c:\windows\sysvol\sysvol.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
61
Le rpertoire NTDS
A savoir : Contient lannuaire Pour sauvegarder lannuaire, il faut obligatoirement une sauvegarde de lEtat du systme. Une sauvegarde du lecteur C nest pas suffisante. Le fichier NTDS.DIT correspond la base de donnes Active Directory. Les fichiers .log sont les fichiers de logs. Les modifications sont effectues dans les logs puis inscrits ensuite dans le fichier NTDS.DIT. Le fichier .chk permet de connatre le log en cours. Les fichiers .jrs sont des fichiers de logs utilisaient en cas de saturation de lespace disque. Le fichier temp.edb est une base de donnes temporaire utilise pour certaines oprations. Pour rparer la base de donnes Active Directory, il faut utiliser lutilitaire ESEUTIL (dfragmentation.). Windows effectue tous les soirs une dfragmentation en ligne de lannuaire. Cette dernire ne permet cependant pas de rcuprer de lespace disque. Il faut une dfragmentation hors ligne.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 62
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
63
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
64
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
65
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
66
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
67
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
68
Modifications multiples :
Il est possible deffectuer des modifications sur plusieurs comptes en mme temps en appuyant sur la touche contrle et en slectionnant les comptes utilisateurs. On peut aussi utiliser un outil comme ADMODIFY. Pour plus dinformations sur ADMODIFY, voir : http://msreport.free.fr/?page_id= 124
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
69
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
70
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
71
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
72
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
74
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
75
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
76
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
77
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
78
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
79
5. Les groupes
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
81
2 types de groupes : Les groupes de scurit : utiliss pour la messagerie et grer les droits. Les groupes de distribution : utiliss pour la messagerie (liste de diffusion)
3 tendues diffrentes : Les groupes globaux de domaine Les groupes locaux de domaine Les groupes universels Fonctionnement selon le niveau fonctionnel de domaine / fort : Pour crer des groupes universelles : mode natif 2000 obligatoire. Pour encapsuler des groupes globaux (groupes globaux membres dautres groupes globaux) : mode natif 2000 obligatoire. A partir du mode natif 2003, si lon ajoute un objet comme membre dun groupe, seul lajout du membre rplique. Auparavant lobjet groupe rpliquait compltement. On va pouvoir changer ltendue dun groupe partir du mode natif 2000.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 82
Groupe dutilisateurs
Pour dfinir des permissions.
Objet du domaine locale et de Visible sur le domaine tous les domaines approuves. locale uniquement.
Objet de tous les domaines de Universelle la fort (pas sur les domaines approuves hors de la fort)
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
83
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
84
Pour grer les accs une ressource : Ladministration des accs doit se faire depuis la console Utilisateurs et Ordinateurs du domaine ou Centre dadministration Active Directory. Crer 3 groupes locaux de domaine, un pour laccs en lecture, un pour laccs en lecture et criture (Modifier), un pour laccs en Contrle Totale. Dfinir les permissions ces 3 groupes au niveau de la ressource (onglet Scurit). Ajouter Contrle Total aux groupes SYSTEM et au groupe Administrateurs. Crer vos groupes dutilisateurs (groupes globaux). Pour dfinir des accs la ressource, ajouter des groupes globaux ou des comptes utilisateur / ordinateur en tant que membres des groupes locaux de domaine.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 85
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
87
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
88
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
89
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
90
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
91
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
92
Nouveaut sur les contrleurs de domaine : Quand on cre une nouvelle OU sur un DC 2008 / 2008, par dfaut la protection renforce contre la suppression accidentelle est active. Cette protection met des permissions Refus Tout le monde pour la suppression dobjet. Si on essaie de dplacer ou supprimer une OU, on a donc un message Accs Refus . Passer en mode daffichage Fonctionnalits avances pour cocher ou dcocher cette case.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
93
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
94
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
96
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
98
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
99
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
100
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
101
TP : base de registre
A faire : Sur une station de travail Windows XP Pro, lancer lditeur de base de registre. Aller dans HKEY_LOCAL_MACHINE | SAM | SAM. Faire un clic droit sur le dossier SAM et cliquer sur Autorisation . Ajouter les droits Control Total au groupe Administrateurs de la base SAM locale. Vous pouvez maintenant visualiser le contenu de la base SAM locale. Crer un compte utilisateur appel testregistre au niveau du domaine et se loguer avec ce compte sur la station de travail. Personnaliser puis fermer la session (ajout imprimante rseau). Ouvrir une session avec le compte administrateur local sur cette station de travail. Lancer lditeur de base de registre. Slectionner HKEY_USERS puis aller dans le menu Fichier et cliquer sur Charger la ruche . Aller dans c:\Documents and settings\testregistre et slectionner le fichier NTUSER.DAT . A quoi correspond ce fichier ? Faire une recherche au niveau de HKEY_LOCAL_MACHINE sur la cl PROFILEIMAGEPATH . A quoi sert cette cl. On se rend compte que toute la scurit est bas sur le SID. Il est possible de rassocier un compte utilisateur avec le profil dun autre utilisateur. Pour plus dinformations, voir http://msreport.free.fr. Aller dans c:\windows\system32\config. On y retrouve tous les fichiers des ruches de la base de registre.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
102
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
103
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
104
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
106
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
107
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
108
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
109
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
110
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
111
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
113
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
114
Best Practice : Prvoir un serveur de Catalogue Global dans chaque site ou activer la mise en cache des groupes universels.
Pour plus dinformations : http://support.microsoft.com/kb/242780/en-us http://support.microsoft.com/kb/305179/en-us http://www.tech-faq.com/lang/fr/active-directory-replication.shtml
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 115
A faire : Installer le rle Services de stratgies et daccs rseau avec les services de rles Service de routage et accs distant . Aller dans les outils dadministration et lancer la console Routage et Accs distants .
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
116
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
117
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
119
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
120
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
121
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
123
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
124
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
125
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
126
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
127
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
128
Restauration autoritaire :
A faire : Au redmarrage, appuyer sur F8. Dmarrer en mode Restauration des services dannuaire . Lancer Windows Server Backup et faire une restauration classique. Lancer lutilitaire NTDSUTIL pour marquer les objets qui sont restaurer de manire autoritaire (cela incrmente le numro USN de lobjet). Appliquer la procdure suivante : http://technet.microsoft.com/enus/library/cc816878(WS.10).aspx Attention aux problmes dappartenance des groupes. Prfrer utiliser la corbeille Active Directory quand cela est possible.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
129
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
130
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
132
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
133
Configuration des paramtres KERBEROS : Lorsque lon rencontre des problmes de dsynchronisation horaire sur les stations de travail, il peut tre intressant daugmenter le paramtre Maximum tolerance for computer clock synchronisation plus de 5 minutes.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
134
Etape 2 : reproduction du problme : Reproduire le problme : gnralement quand on arrive reproduire le problme, lincident 90% de chance dtre rsolu.
Etape 3 : Vrification prliminaire : Valider que les services suivants sont dmarrs sur tous les DC : Appel de procdure distante (RPC), Assistance NetBIOS sur TCP/IP, Centre de Distribution de Cls Kerberos, Client DHCP (gre la mise jour dynamique DNS, Explorateur dordinateurs (pour le voisinage rseau), Messagerie Inter-site Netlogon, Registre distance, Rplication de fichiers (si niveau fonctionnelle domaine < 2008 natif), Rplication DFS (si niveau fonctionnelle domaine > 2003 R2), Serveur DNS, Services de domaine Active Directory, Services Web Active Directory Valider quIPV6, lUAC et le pare Windows sont dsactivs. Vrifier que les stations de travail peuvent communiquer avec les contrleurs de domaine (ping).
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 135
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
137
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
138
DCDIAG /V /E > c:\DCDIAG.TXT : Permet de valider la configuration des contrleurs de domaine de toute la fort. Attention ce dernier sappuie sur les noms NETBIOS. Donc il faut pouvoir rsoudre tous les contrleurs de domaine avec leurs noms NETBIOS. Faire une recherche sur le mot Fail ou Echec au niveau du fichier de sortie. DCPROMO /FORCEREMOVAL : Permet de forcer la suppression dun contrleur de domaine. Ce dernier ne contacte pas les autres DC qui rfrencent donc toujours le DC. Il faut faire ensuite un NTDSUTIL METADATACLEANUP
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 139
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
140
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
141
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
142
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
143
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
144
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
146
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
147
Le service DHCP :
A savoir : Permet daffecter dynamiquement une adresse IP des stations de travail. Rservation IP : affectation dune IP une adresse MAC (utile pour les imprimantes ou les lments dont lIP ne doit pas changer). Le service DHCP de Windows sinterface avec le service DNS. Le serveur DHCP peut mettre jour les enregistrements DNS dynamiques la place des stations de travail. Il est ncessaire dautoriser le serveur DHCP sur une machine membre / contrleur dun domaine (ncessite les droits administrateur de lentreprise). Best Practice : Activer la dtection des conflits IP (au niveau des proprits du serveur DNS). Cocher la case Ignorer les enregistrements A et PTR lorsque le bail est supprim . Pour les problmes avec les mises jour dynamiques DNS : voir http://msreport.free.fr/?p=208 Quelques problmes connus : Croix rouge au niveau des baux DHCP : http://msreport.free.fr/?p=120 Erreurs DCHP 1010 / 1014 : http://msreport.free.fr/?p=95 Doublons dans les zones DNS : http://msreport.free.fr/?p=75
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
148
TP : le service DHCP :
Dconnecter la salle du cours du rseau dentreprise. Faire ce TP par groupe de 2. Installer le service DHCP (ajout du rle depuis le Gestionnaire de Server). Crer une tendue DHCP avec deux adresses (voir formateur) et la configurer pour affecter une adresse de serveurs DNS / Wins / passerelle). Tester le fonctionnement de ltendue. Que se passe til ? Tester les commandes ipconfig /release et ipconfig /renew et ipconfig /all Arrter tous les serveurs DHCP. Faire un ipconfig /release et un ipconfig /renew. Que se passe til ? Crer une rservation IP.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite
149
Le WINS / LMHOST
A savoir : Wins : Windows Internet Naming Service Protocole permettant de rsoudre des noms NETBIOS (toto) en adresse IP. Utiliser aujourdhui encore pour acclrer laffichage du voisinage rseau. A faire : Avec le bloc Note, ouvrir le fichier C:\WINDOWS\system32\drivers\etc\ lmhosts.sam. A quoi sert ce fichier ? Installer le service WINS (Ajout de fonctionnalits dans le Gestionnaire de Server). Configurer le serveur pour senregistrer dans la base WINS (paramtres TCP / IP, paramtres avances). Crer un enregistrement www avec comme IP 192.168.0.1. Faire un ping de www puis un nbstat -n puis nbtstat -R. Quest ce quest le cache Wins. Configurer votre serveur WINS pour tre partenaire de rplication avec un autre serveur WINS. Renommer le fichier LMHOST.SAM en LMHOST et configurer Windows pour utiliser ce fichier. Crer une entre dans ce fichier et conclure. Prsenter le fonctionnement du voisinage rseau et excuter la commande Browstat status . Quest ce quun master browser ? Lire article http://msreport.free.fr/?p=129.
Guillaume MATHIEU, consultant ple Architecture & Intgration PROSERVIA / MANPOWER Reproduction interdite 150