Vous êtes sur la page 1sur 447

PRODUIT OFFICIEL DE FORMATION MICROSOFT

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008 Volume 2

6238B

N'oubliez pas d'accder au contenu de formation supplmentaire du CD-ROM d'accompagnement du cours qui se trouve au dos de votre livre.

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

xv

Table des matires


Module 10 : Configuration du systme DNS
Leon 1 : Concepts, composants et processus DNS Leon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS Atelier pratique A : Installation du service DNS Leon 3 : AD DS, DNS et Windows Leon 4 : Configuration et administration avances du systme DNS Atelier pratique B : Configuration avance du systme DNS 10-4 10-26 10-39 10-44 10-69 10-83

Module 11 : Administration des contrleurs de domaine des services de domaine Active Directory (AD DS)
Leon 1 : Options d'installation des contrleurs de domaine Atelier pratique A : Installation des contrleurs de domaine Leon 2 : Installation d'un contrleur de domaine Server Core Atelier pratique B : Installation d'un contrleur de domaine Server Core Leon 3 : Gestion des matres d'oprations Atelier pratique C : Transfert des rles Matres doprations Leon 4 : Configuration de la rplication FS-R de SYSVOL Atelier pratique D : Configuration de la rplication DFSR du dossier SYSVOL 11-4 11-33 11-41 11-50 11-55 11-74 11-79 11-87

Module 12 : Gestion des sites et de la rplication Active Directory


Leon 1 : Configuration des sites et des sous-rseaux Atelier pratique A : Configuration des sites et des sous-rseaux Leon 2 : Configuration des partitions d'application et du catalogue global Atelier pratique B : Configuration des partitions d'application et du catalogue global Leon 3 : Configuration de la rplication Atelier pratique C : Configuration de la rplication 12-4 12-23 12-27 12-42 12-48 12-75

xvi

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Module 13 : Continuit du service d'annuaire


Leon 1 : Surveillance d'Active Directory Atelier pratique A : Surveillance des vnements et des performances d'Active Directory Leon 2 : Gestion de la base de donnes Active Directory Atelier pratique B : Gestion de la base de donnes Active Directory Leon 3 : Sauvegarde et restauration des services AD DS et des contrleurs de domaine Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-4 13-29 13-48 13-66 13-74 13-89

Module 14 : Gestion de plusieurs domaines et forts


Leon 1 : Configuration des niveaux fonctionnels des domaines et des forts Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forts Leon 2 : Gestion de plusieurs domaines et des relations d'approbation Atelier pratique B : Administration d'une relation d'approbation 14-4 14-16 14-23 14-70

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-1

Module 10
Configuration du systme DNS
Table des matires :
Leon 1 : Concepts, composants et processus DNS Leon 2 : Installation et configuration d'un serveur DNS dans un domaine AD DS Atelier pratique A : Installation du service DNS Leon 3 : AD DS, DNS et Windows Leon 4 : Configuration et administration avances du systme DNS Atelier pratique B : Configuration avance du systme DNS 10-4 10-26 10-39 10-44 10-69 10-83

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

Windows et les services Active Directory dpendent fortement du systme DNS (Domain Name System, ou Systme de nom de domaine). Vous tes trs certainement familiaris avec le systme DNS car vous l'utilisez dj en tant qu'informaticien qui assiste les utilisateurs, les applications, les services et les systmes qui en dpendent. Dans ce module, vous allez dcouvrir comment implmenter DNS pour prendre en charge la rsolution des noms au sein de votre domaine Active Directory Domain Services (AD DS) et hors de votre domaine et de votre rseau intranet.

Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : comprendre la structure, les rles et le fonctionnement du systme DNS ; dcrire les processus de rsolution des noms de client et de serveur ; installer le service DNS ; grer les enregistrements DNS ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-3

configurer les paramtres du serveur DNS ; comprendre l'intgration entre AD DS et DNS ; choisir un domaine DNS pour un domaine Active Directory ; crer une dlgation de zone pour un nouveau domaine Active Directory ; configurer la rplication pour des zones intgres Active Directory ; dcrire l'objectif des enregistrements Service Locator (SRV) dans le processus de localisation des contrleurs de domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule ; comprendre et configurer la rsolution des noms en une partie ; configurer les paramtres avancs du serveur DNS ; auditer, grer et dpanner le rle de serveur DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 1

Concepts, composants et processus DNS

Le systme DNS est un composant indispensable et sensible pour une entreprise Windows. Dans cette leon, vous allez revoir le rle, la structure et le fonctionnement du systme DNS. Vous allez galement examiner de manire approfondie les processus utiliss pour rsoudre les requtes DNS. Bien que la plupart de ces informations puissent vous sembler familires, cette leon permettra de s'assurer que vous connaissez parfaitement les concepts et la terminologie du systme DNS.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre la structure, les rles et le fonctionnement du systme DNS ; dcrire les processus de rsolution des noms de client et de serveur ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-5

Pourquoi utiliser le systme DNS ?

Points cls
DNS sert rpondre aux requtes des clients qui demandent des informations sur les services et les systmes distants. La plupart du temps, DNS sert rpondre un client qui demande l'adresse d'un certain nom DNS. Les utilisateurs, et donc les applications, ont tendance prfrer employer des noms pour faire rfrence des systmes. Les ordinateurs, pour leur part, se localisent mutuellement par leurs adresses IP. Le systme DNS sert convertir ou rsoudre les noms en adresses. Par exemple, si un utilisateur affiche http://technet.microsoft.com dans son navigateur, le nom technet.microsoft.com doit tre converti pour obtenir l'adresse IP du serveur Web concern. Le client interroge son serveur DNS et, suite une srie de processus qui seront expliqus tout au long de cette leon, le serveur DNS renvoie l'adresse IP du serveur Web : 207.46.16.252.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Hirarchie du systme DNS

Points cls
Les noms utiliss dans le systme DNS crent une hirarchie, depuis une racine et en passant travers une srie d'espaces de noms appels domaines pour atteindre un enregistrement individuel conduisant un service ou un systme (hte). Pour les tres humains, un nom tel que technet.microsoft.com se lit de gauche droite, de sa partie la plus spcifique (le nom de l'hte individuel), technet, jusqu' sa partie la plus gnrique, com. Le nom peut tre rsolu en partant de la racine de l'espace de noms DNS jusqu' la partie gnrique, le domaine du niveau suprieur (com), jusqu'au domaine plus gnrique (microsoft) pour arriver au nom d'hte le plus spcifique (technet). Les domaines du niveau suprieur (Top-level domains ou TLD) tels que .com sont rglements de manire trs stricte par les autorits qui rgissent le rseau Internet. Il existe un nombre limit de TLD, dont .com, .net, .org, .gov, .mil et .edu. Chaque pays possde galement son propre TLD respectant sur les normes ISO, par exemple .us, .ca, .uk, .fr et .za.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-7

Au-dessus de chacun de ces TLD se trouve la racine de l'espace de noms DNS, qui est reprsente par un point ( . ). Le point reprsentant la racine est gnralement ignor dans les noms DNS. Cependant, il est intressant de savoir que le nom technet.microsoft.com pourrait tre reprsent plus prcisment par technet.microsoft.com., avec son point final.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Zones

Points cls
Pour qu'un serveur DNS puisse rsoudre les requtes des clients, par exemple en renvoyant l'adresse IP d'un autre ordinateur, ce serveur DNS doit possder une base de donnes. Cette base de donnes est appele zone. Une zone est une base de donnes qui prend en charge la rsolution d'une certaine partie de l'espace de noms DNS, en commenant par un domaine spcifique tel que contoso.com. Un serveur qui hberge une zone pour un domaine est qualifi de serveur faisant autorit pour ce domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-9

Enregistrements de ressource

Points cls
Au sein d'une zone (la base de donnes DNS) se trouvent des enregistrements appels Enregistrements de ressource ou RR (Resource Records). Il existe plusieurs types d'enregistrements de ressource, notamment : Enregistrements d'adresse (A ou AAAA) (galement appels Hte) : ces enregistrements rsolvent un nom en adresse IP. Ils sont utiliss dans la requte DNS standard que vous associez au systme DNS. Les enregistrements A convertissent un nom en adresse IPv4. Les enregistrements AAAA convertissent un nom en adresse IPv6. Les enregistrements nom canonique (CNAME) (galement appels Alias) : ces enregistrements font correspondre un alias avec un autre nom complet. Les enregistrements d'alias vous permettent d'associer plusieurs noms un seul serveur. Ils vous vitent de devoir mettre jour manuellement chaque enregistrement lorsque l'adresse IP du serveur change. Il vous suffit de modifier l'enregistrement A du serveur, et tous les enregistrements CNAME (faisant rfrence au serveur par son nom et non son adresse) continueront de fonctionner.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Enregistrements de serveur de messagerie (MX) : l'enregistrement MX contient le nom du serveur de messagerie d'un domaine. Vous pouvez considrer l'enregistrement MX comme un type d'alias, mais l'alias est toujours appel MX. Ainsi, quelle que soit la langue ou la convention d'appellation utilise par un domaine, son serveur de messagerie peut toujours tre localis par une requte de MX.domain. Enregistrements du Service de nom (NS) : ces enregistrements pointent vers les serveurs DNS faisant autorit pour un domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-11

Gestion des enregistrements de ressource

Points cls
Les enregistrements des ressources d'une zone peuvent tre crs et grs manuellement par un administrateur. Sinon, des mises jour dynamiques peuvent tre actives, au travers des systmes capables d'inscrire leurs propres enregistrements DNS. Si une zone est configure pour les mises jour dynamiques, il existe un risque de cration d'enregistrements non autoriss. Par exemple, un individu peut crer un enregistrement appel www et pointant vers un serveur autre que le serveur Web appropri pour un domaine. Il est alors question d'usurpation. Pour rduire les risques d'usurpation, le systme DNS de Windows Server prend en charge les mises jour dynamiques scurises. Pour pouvoir actualiser la zone DNS, les clients doivent s'authentifier auprs du domaine et ne peuvent mettre jour que leurs propres enregistrements DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rplication d'une zone

Points cls
La base de donnes DNS, ou zone, est un composant important de toute infrastructure rseau. Comme tous les autres services sensibles, chaque organisation doit s'efforcer de possder deux serveurs DNS disponibles pour ses clients afin de bnficier de la redondance. La base de donnes DNS peut tre stocke et rplique dans plusieurs serveurs DNS de l'une des deux manires suivantes : Comme les autres implmentations DNS traditionnelles, les serveurs DNS Windows peuvent stocker une zone dans un fichier. Un seul serveur DNS peut crire dans la zone : celui qui hberge la zone principale. Les autres serveurs DNS copient la zone et en crent une copie en lecture seule appele zone secondaire. Le processus de copie de la zone est appel transfert de zone. Tout serveur DNS hbergeant une zone secondaire a besoin d'autorisations pour accder au serveur partir duquel il copie la zone.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-13

Lorsque des zones DNS sont hberges par des contrleurs de domaine, vous avez la possibilit de stocker leur contenu dans Active Directory lui-mme, ce qui cre une zone intgre Active Directory. Les donnes de zone sont rpliques avec la mme mthode multiples matres que les autres donnes Active Directory. Ceci s'avre particulirement important lorsque les mises jour dynamiques sont actives. En effet, les clients inscriront leurs enregistrements avec leur principal serveur DNS, qui est interne leur site. Toute zone peut galement tre rplique de manire incrmentielle : seuls les enregistrements qui ont t modifis sont rpliqus. Cette mthode est nettement plus efficace que le transfert de zone traditionnel de la totalit du fichier.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Sous-domaines

Points cls
Comme nous l'avons mentionn prcdemment, toute zone prend en charge la rsolution d'une partie spcifique de l'espace de noms DNS, commenant par un domaine tel que contoso.com. Vous pouvez crer des sous-domaines dans une partie de l'espace de noms DNS pour laquelle vous faites autorit. Par exemple, si vous grez l'espace de noms contoso.com, vous pouvez crer un sous-domaine appel europe.contoso.com. Il existe trois options pour crer un sous-domaine tel que europe.contoso.com : Sous-domaine : une zone dmarre au niveau d'un domaine et peut contenir un ou plusieurs sous-domaines. Si une zone contient un sous-domaine, elle comprend tous les enregistrements ncessaires pour la rsolution de ce sous-domaine, et le serveur DNS fait autorit pour ce sous-domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-15

Dlgation : une dlgation est un lien vers un sous-domaine, cr par un ou plusieurs enregistrements NS pointant vers un ou plusieurs serveurs de noms faisant autorit pour ce sous-domaine. Tout enregistrement NS pointe vers un nom ou une adresse IP du serveur de noms d'un sous-domaine. Si l'enregistrement NS pointe vers un nom, il doit galement y avoir un enregistrement hte (A) pour le serveur du domaine parent. Les enregistrements NS sont gnrs lorsque vous crez la dlgation. Cependant, si vous devez changer les adresses IP ou les noms des serveurs de l'espace de noms, vous devez mettre les enregistrements NS jour manuellement. Zone de stub : une zone de stub est trs similaire une dlgation. Cependant, les enregistrements NS qui pointent vers le serveur de noms sont mis jour automatiquement dans la zone parente. Cela semble idal pour grer les sous-domaines hbergs dans des serveurs DNS distincts, et les zones de stub conviennent parfaitement dans de nombreux environnements. Toutefois, la mise jour automatique des enregistrements NS exige que le port TCP 53 soit ouvert entre les serveurs de noms htes (parents) et tous les serveurs de noms du domaine enfant. Si l'ouverture du port TCP 53 est impossible, vous devez la remplacer par une dlgation standard.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Placement des serveurs et des zones DNS

Points cls
Dans tout environnement contenant plusieurs domaines, vous pouvez dcider de placer des zones et des serveurs DNS de manire optimiser la rsolution des noms pour les clients, le trafic de rplication et la surcharge administrative.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-17

gauche de l'illustration, il est possible de voir que la zone parente possde une dlgation ou un domaine de stub qui pointe vers les serveurs de noms du domaine enfant. Les demandes d'enregistrements du domaine enfant sont rsolues par le serveur DNS qui fait autorit pour ce domaine enfant. Les serveurs de noms peuvent se trouver en Europe afin de prendre en charge les requtes des clients pour les serveurs et les services bass en Europe. droite de l'illustration, il est possible de voir que les serveurs DNS hbergent une seule zone qui comprend un sous-domaine pour le domaine enfant. Cette structure augmente le trafic de rplication entre les deux serveurs DNS. Cependant, quel que soit leur emplacement, les clients sont capables de rsoudre les noms de tous les domaines partir du serveur DNS qui fait autorit pour leur emplacement gographique.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Client DNS (Solveur)

Points cls
Maintenant que vous savez comment l'espace des noms DNS est hberg dans les zones des serveurs DNS et comment les domaines enfants sont pris en charge grce des dlgations, des sous-domaines ou des zones de stub, vous tes prt examiner en dtail la manire dont un nom est rsolu ou converti en adresse IP. Lorsqu'une application cliente, telle que Microsoft Internet Explorer, doit se connecter un hte comme technet.microsoft.com, elle appelle l'API GetAddrInfo(), qui transmet le nom de l'hte au service Client DNS. Le service Client DNS commence par vrifier le cache de rsolution DNS (base de donnes locale et gre dynamiquement au niveau du client) pour savoir si ce nom a dj t rsolu prcdemment. Le cache de rsolution DNS est prcharg avec le contenu du fichier HOSTS (%systemroot%\system32\drivers\etc\hosts) lorsque le cache est initialis durant le dmarrage du Client DNS et lorsque le fichier HOSTS est modifi. Ds qu'un nom est rsolu avec succs, il est ajout au cache de rsolution DNS. Ainsi, la capacit du client DNS rsoudre les noms localement augmente avec le temps.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-19

Chaque enregistrement de ressource (RR) contient une valeur de dure de vie (TTL, time-to-live) qui dtermine pendant combien de temps l'enregistrement va demeurer dans le cache. Lorsque sa valeur TTL est atteinte, l'enregistrement est retir du cache. Vous pouvez utiliser la commande ipconfig /displaydns pour examiner le contenu du cache de rsolution DNS local, et la commande ipconfig /flushdns pour vider le cache et le recharger avec le contenu du fichier HOSTS. Il est important de savoir que, si un client interroge un serveur DNS pour obtenir un enregistrement de l'hte et que le serveur DNS renvoie une rponse ngative, qui indique que l'enregistrement est introuvable, cette rponse ngative est galement mise en cache. Si vous crez un enregistrement hte au niveau du serveur DNS et que vous ritrez la requte, le client chouera car il continue rcuprer cette rponse ngative dans son cache jusqu' ce qu'elle en soit supprime. Dans ce cas, la commande ipconfig /flushdns peut servir forcer le client rinterroger le serveur DNS. Vous pouvez utiliser la commande nslookup.exe pour interroger directement un serveur DNS, en contournant le cache de rsolution DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Requte envoye un serveur DNS

Points cls
Si le service client DNS ne parvient pas rsoudre la requte l'aide du cache de rsolution DNS, il interroge le serveur DNS principal. La requte spcifie le type de l'enregistrement demand (par exemple, une adresse, un hte ou un enregistrement A) et le nom de l'enregistrement demand (par exemple, technet.microsoft.com). La requte envoye au serveur DNS spcifie galement si le client prsente une requte itrative ou rcursive. Les requtes rcursives sont les plus courantes. Elles sont envoyes par un client Windows son serveur DNS. Les requtes rcursives demandent au serveur DNS de renvoyer une rponse dfinitive. Lorsqu'un serveur DNS reoit une requte rcursive, il interroge son tour d'autres serveurs DNS l'aide d'un processus qui sera dcrit dans la prochaine section, jusqu' ce qu'il soit en mesure de rsoudre la requte de son client. Si le serveur DNS est incapable de rsoudre la requte de son client, il renvoie une rponse ngative, indiquant que le systme de noms de domaine n'a aucun enregistrement correspondant cette requte.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-21

Si le serveur DNS principal renvoie une rponse ngative, indiquant que ce nom ne peut pas tre rsolu, le client DNS n'interroge pas le serveur DNS secondaire. Les autres serveurs DNS ne sont interrogs que si le serveur DNS principal n'est pas disponible. C'est pourquoi il est important de s'assurer que chaque serveur DNS soit en mesure de rsoudre toutes les requtes de tous les clients qui lui envoient des requtes. Les clients ont la possibilit d'envoyer une requte itrative. Le serveur DNS tente alors de rsoudre la requte localement, l'aide des processus qui seront dcrits dans la prochaine section, et renvoie une rsolution (le cas chant) ou renvoie les informations les plus utiles dont il dispose.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution par le serveur DNS

Points cls
Ds qu'il reoit une requte d'un client, le serveur DNS commence par vrifier les zones hberges localement. S'il y trouve une rsolution, il la renvoie au client sous forme de rponse faisant autorit. S'il n'y trouve aucune rponse, il vrifie alors ses Recherches mises en cache. l'instar du client DNS, le serveur DNS construit un cache contenant les enregistrements des ressources dj rsolues. Ce cache est initialis au dmarrage du serveur et est aliment par les enregistrements de ressource (RR) au fur et mesure de leur rsolution par les autres serveurs DNS. Chaque enregistrement est purg ds que sa dure TTL est atteinte. Si une rsolution est dcouverte dans le cache, elle est renvoye sous forme de rponse positive.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-23

Si aucune rsolution n'est dtecte et que le client a envoy une requte itrative, le serveur DNS fait de son mieux et renvoie les informations les plus pertinentes dont il dispose. Par exemple, le serveur DNS n'a peut-tre pas d'enregistrement RR mis en cache pour l'hte demand par le client, mais il peut en avoir un pour le serveur de noms du domaine parent de cet hte. Dans le pire des cas, le serveur DNS peut indiquer au client de se rfrer la liste des serveurs de noms de la racine : c'est-dire les serveurs DNS qui hbergent la racine (".") de l'espace de noms DNS. Le client accepte toute information renvoye par le serveur DNS dans le cadre d'une requte itrative et exploite ces informations pour continuer s'efforcer de rsoudre le nom demand. Si le client a demand une requte rcursive, le serveur DNS poursuit son travail avec les processus dcrits dans la prochaine section.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rcursivit

Points cls
Si le client a demand une requte rcursive, le serveur DNS poursuit son traitement de la requte pour tenter de la rsoudre. En ralit, le serveur DNS transmet la requte par proxy de la part du client. Il est alors question de rcursivit. Dans l'exemple de rcursivit le plus extrme, le serveur DNS vient de dmarrer et son cache est vide. Il ne dispose d'aucun enregistrement NS mis en cache pour les serveurs de noms microsoft.com ou mme .com. Dans ce cas, le serveur DNS commence par interroger les serveurs DNS de la racine. Le serveur DNS possde la liste de ces serveurs de racine dans ses indications de racine . Il envoie alors au serveur DNS racine une requte itrative pour demander technet.microsoft.com. Les serveurs DNS de la racine ne peuvent pas rsoudre technet.microsoft.com. Cependant, ils possdent dans leur zone les enregistrements NS des serveurs de noms du domaine .com. Ils renvoient alors ces informations en tant que rfrence. Voici un bon exemple de requte itrative : le serveur DNS racine renvoie sa meilleure estimation et le client (dans ce cas, un serveur DNS) continue le processus.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-25

Ensuite, le serveur DNS envoie une autre requte itrative au serveur de noms du domaine .com. L encore, le serveur ne parvient pas rsoudre technet.microsoft.com, mais il peut fournir des enregistrements NS pour microsoft.com comme rfrence. Grce cette rfrence, le serveur DNS interroge le serveur de noms du domaine microsoft.com. Ce serveur DNS fait autorit (il hberge une zone) ou microsoft.com, et il est en mesure de renvoyer une correspondance exacte pour l'enregistrement de l'hte technet.microsoft.com. Le serveur DNS met cette rsolution en cache et la renvoie au client sous forme de rponse positive.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2

Installation et configuration d'un systme DNS dans un domaine AD DS

Maintenant que vous avez rvis les concepts, la terminologie et les processus du systme DNS et de la rsolution des noms, vous tes prt installer et configurer le rle de serveur DNS dans un domaine AD DS.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : installer le service DNS ; ajouter des zones DNS ; grer les enregistrements DNS ; configurer les paramtres du serveur DNS ; configurer les paramtres du client DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-27

Installation et gestion du rle de serveur DNS

Points cls
Le rle de serveur DNS n'est pas install par dfaut dans Windows Server 2008. Comme d'autres fonctionnalits, il est ajout lorsqu'un serveur est configur pour tenir ce rle. Vous pouvez installer le rle de serveur DNS l'aide du lien Ajouter un rle qui apparat dans le Gestionnaire de serveur. Le rle de serveur DNS peut galement tre ajout automatiquement par l'Assistant Installation des services de domaine Active Directory (dcpromo.exe). Dans cet Assistant, la page relative aux options du contrleur de domaine vous permet d'ajouter le rle de serveur DNS. Lorsque le rle de serveur DNS sera install, vous disposerez du composant logiciel enfichable DNS Manager pour l'ajouter vos consoles administratives. Ce composant logiciel enfichable est galement ajout automatiquement aux consoles Server Manager et DNS Manager (dnsmgmt.msc). Pour administrer un serveur DNS distant, ajoutez les outils Remote Server Administrative votre station de travail administrative fonctionnant sous Windows Vista SP1 ou une version plus rcente.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

L'outil administratif de ligne de commande dnscmd.exe est galement ajout. DNSCmd peut servir crer des scripts et automatiser la configuration du systme DNS. Pour obtenir de l'aide, tapez dnscmd.exe /? l'invite de commande.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-29

Cration d'une zone

Points cls
Aprs l'installation d'un serveur DNS, vous pouvez commencer lui ajouter des zones. Pour crer une zone, cliquez du bouton droit sur le nud Zones de recherche directe dans l'arborescence de la console et choisissez Nouvelle zone. L'Assistant Nouvelle zone vous guide tout au long de la procdure de cration d'une zone. Vous pourrez choisir parmi les trois types de zones : Zone principale : le serveur DNS pourra crire dans cette zone. Zone secondaire : le serveur DNS assurera la maintenance d'une copie d'une zone hberge par un autre serveur DNS. La zone secondaire est en lecture seule. Zone de stub : le serveur DNS assurera la maintenance de la liste des serveurs de noms d'un autre domaine. Les zones de stub sont traits en dtail plus loin dans ce module.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vous pouvez galement choisir de stocker les donnes de la zone dans Active Directory si le serveur DNS est un contrleur de domaine. Cela cre une zone intgre Active Directory, sujet qui sera trait ultrieurement dans ce module. Si vous dsactivez cette option, les donnes de la zone seront stockes dans un fichier et non dans Active Directory. Aprs avoir choisi le type de votre zone, vous tes invit saisir son nom ou nom complet du domaine de la zone. S'il s'agit d'une zone principale, vous pouvez choisir le mode de gestion des mises jour, comme dcrit la prochaine section.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-31

Cration d'une zone avec mise jour dynamique

Points cls
Lorsque vous crez une zone, vous tes invit spcifier si les mises jour dynamiques sont prises en charge. Les mises jour dynamiques rduisent la charge de gestion d'une zone. En effet, les clients peuvent ajouter, supprimer et mettre jour leurs propres enregistrements de ressource. Les mises jour dynamiques laissent la porte ouverte aux risques d'usurpation des enregistrements de ressource. Par exemple, un ordinateur peut inscrire un enregistrement appel www et rediriger efficacement le trafic de votre serveur Web vers une adresse incorrecte. Pour liminer les risques d'usurpation, le service de serveur DNS de Windows Server 2008 prend en charge les mises jour dynamiques scurises. Tout client doit s'authentifier avant de mettre ses enregistrements de ressource jour. Ainsi, le serveur DNS sait si le client est un ordinateur autoris modifier les enregistrements de ressource.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Cration d'enregistrements de ressource

Points cls
Dans la plupart des environnements, le besoin d'ajouter des enregistrements de ressource une zone se prsentera souvent, mme si les mises jour dynamiques sont actives. Pour crer un enregistrement de ressource, cliquez du bouton droit sur la zone concerne et choisissez le type d'enregistrement crer. La bote de dialogue qui apparat contient les contrles de saisie appropris au type d'enregistrement que vous ajoutez.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-33

Configuration de serveurs DNS redondants

Points cls
Toute entreprise doit s'efforcer d'obtenir une zone qui puisse tre rsolue de manire faisant autorit par au moins deux serveurs DNS. Si votre zone est intgre Active Directory, il vous suffit d'ajouter le rle de serveur DNS un autre contrleur de domaine du mme domaine comme premier serveur DNS. Les zones intgres Active Directory et la rplication de la zone DNS par AD DS sont dcrites dans la prochaine leon. Si votre zone n'est pas intgre Active Directory, vous devez ajouter un autre serveur DNS et le configurer pour qu'il hberge une zone secondaire. N'oubliez pas qu'une zone secondaire est une copie en lecture seule de la zone principale. La premire tape de ce processus consiste configurer la zone elle-mme de sorte qu'elle fasse rfrence aux serveurs secondaires en tant que serveurs de noms de votre zone. Ajoutez les enregistrements NS des serveurs secondaires la zone parente.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Un serveur secondaire va copier la zone partir d'un autre serveur DNS, appel le serveur matre. Le serveur matre n'a pas besoin d'tre le serveur principal. Cependant, utiliser la zone principale comme serveur matre prsente des avantages vidents. En effet, cela rduit la latence de rplication des mises jour des enregistrements dans les serveurs secondaires. Le serveur matre doit autoriser les serveurs secondaires se connecter et dclencher un transfert de zone. Vous configurez cela dans l'onglet Transferts de zone des proprits de la zone au niveau du serveur matre, comme suit :

Vous pouvez ajouter la zone secondaire aux zones de recherche directe du serveur secondaire. Le serveur secondaire est configur pour rpliquer la zone partir du serveur matre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-35

Configuration des redirecteurs

Points cls
Dans la leon 1, vous avez appris qu'un serveur DNS tente de rsoudre la requte d'un client l'aide de ses zones locales et de son cache. S'il n'y parvient pas et que la requte envoye est rcursive, le serveur DNS excute alors la requte de la part du client. La premire mthode pour configurer un serveur DNS de sorte qu'il excute efficacement une requte rcursive consiste lui ajouter des redirecteurs. Les redirecteurs sont des pointeurs vers d'autres serveurs DNS. En gnral, ces serveurs sont hbergs par votre oprateur Internet (ISP) ou il s'agit de serveurs DNS placs en amont dans l'infrastructure DNS de votre entreprise. Par exemple, votre domaine Active Directory peut utiliser le service Windows DNS Server pour rsoudre les noms au sein de ce domaine, puis transmettre les requtes vos serveurs DNS, qui hbergent les zones des autres domaines de l'entreprise. Les redirecteurs sont similaires aux serveurs DNS que vous configurez dans les proprits IP d'une connexion rseau. Cette liste de serveurs DNS est utilise par le service Client DNS. Elle n'est pas communique au service Serveur DNS. Les redirecteurs ont le mme objectif que le service Serveur DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Si aucun redirecteur n'est configur, le serveur tente d'interroger un serveur de noms pour obtenir la racine de l'espace de noms DNS ( . ). Ces serveurs racine sont grs en tant qu'indications de racine. Bien que les serveurs de noms DNS de la racine ne changent pas frquemment, cela peut arriver parfois. Windows Update comprendra les mises jour des indications de racine. Il existe plusieurs mcanismes pour amliorer l'efficacit des requtes rcursives, notamment les redirecteurs conditionnels et les zones de stub. Ces options seront abordes dans la leon 4.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-37

Configuration des clients

Points cls
Pour qu'un serveur DNS soit utile, des clients doivent tre configurs pour l'interroger. Le client DNS est diffrent de tous les composants Active Directory du systme d'exploitation Windows. Ainsi, un client ne suppose pas que son contrleur de domaine est un serveur DNS et un client doit avoir au moins deux serveurs DNS configurs. La configuration peut tre tablie dans la configuration IP du client, comme dans l'image d'cran suivante :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

La commande netsh.exe peut galement servir configurer le premier serveur DNS et les suivants pour une connexion rseau, comme dans l'exemple cidessous :
netsh interface ipv4 set dns "Local Area Connection" static 10.0.0.11 primary netsh interface ipv4 add dns "Local Area Connection" 10.0.0.12

Une autre mthode consiste transmettre les serveurs DNS aux clients par le protocole DHCP (Dynamic Host Configuration Protocol) l'aide de l'option DHCP scope option 6: DNS server. N'oubliez pas que les serveurs secondaires et autres serveurs DNS ne sont pas interrogs si le serveur DNS principal renvoie une rponse ngative. Les autres serveurs DNS ne sont interrogs que si le serveur principal ne rpond pas ou est dconnect.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-39

Atelier pratique A : Installation du service DNS

Scnario
Vous tes administrateur chez Contoso, Ltd. Vous avez rcemment ajout un second contrleur de domaine votre entreprise et vous souhaitez ajouter une redondance au serveur DNS qui hberge la zone du domaine. Actuellement, le seul serveur DNS de la zone contoso.com est HQDC01. Vous devez vous assurer que les clients qui interrogent le nouveau serveur DNS, HQDC02, peuvent accder aux sites Web sur Internet. De plus, il vous a t demand de configurer un sousdomaine pour prendre en charge la rsolution des noms requise pour que l'quipe de dveloppeurs puisse tester une application.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Ajout du rle de serveur DNS


Dans cet exercice, vous allez ajouter le rle de serveur DNS l'ordinateur HQDC02, examiner la zone du domaine qui est automatiquement renseigne au niveau du serveur DNS, puis configurer HQDC02 pour qu'il s'utilise lui-mme comme son propre serveur DNS principal. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Ajout du rle de serveur DNS Changement de la configuration serveur DNS du client DNS Examen de la zone de recherche directe du domaine Configuration de redirecteurs pour la rsolution des noms Internet

Tche 1 : Prparation de l'atelier pratique


1. 2. 3. 4. Dmarrez 6238B-HQDC01-B. Attendez la fin du dmarrage. Dmarrez 6238B-HQDC02-B. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tche 2 : Ajout du rle de serveur DNS


1. 2. 3. 4. Dans HQDC02, excutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ajoutez le rle de serveur DNS HQDC02. Fermez le Gestionnaire de serveur. Redmarrez HQDC02. Ouvrez ensuite une session en tant que Pat.Coleman avec le mot de passe Pa$$w0rd. Cette opration n'est pas ncessaire dans un environnement de production, mais cela acclre le redmarrage des services et la rplication des enregistrements DNS dans HQDC02 pour les besoins de cet exercice.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-41

Tche 3 : Changement de la configuration serveur DNS du client DNS


1. 2. 3. Excutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez netsh interface ipv4 set dnsserver "Local Area Connection" static 10.0.0.12 primary, puis appuyez sur Entre. Tapez netsh interface ipv4 add dnsserver "Local Area Connection" 10.0.0.11, puis appuyez sur Entre.

Tche 4 : Examen de la zone de recherche directe du domaine


1. 2. Excutez le Gestionnaire DNS en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Examinez les enregistrements SOA, NS et A dans la zone de recherche directe du domaine contoso.com.

Tche 5 : Configuration de redirecteurs pour la rsolution des noms


Internet
Configurez deux redirecteurs pour HQDC02 : 192.168.200.12 et 192.168.200.13. Ces serveurs DNS n'existant pas encore, le nom de domaine complet du serveur affichera soit <Tentative de rsolution...>, soit <Rsolution impossible>. Dans un environnement de production, vous configureriez les redirecteurs sur les serveurs DNS en amont au niveau d'Internet, gnralement ceux fournis par votre oprateur Internet (ISP).
Rsultats : la fin de cet exercice, vous aurez ajout le rle de serveur DNS l'ordinateur HQDC02 et simul la configuration de redirecteurs pour rsoudre les noms DNS Internet.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Configuration de zones de recherche directe et d'enregistrements de ressource


Dans cet exercice, vous allez ajouter une zone de recherche directe pour le domaine de dveloppement de Contoso. Vous allez ensuite ajouter un hte et un enregistrement CNAME cette zone et vrifier le fonctionnement de la rsolution des noms dans la nouvelle zone. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Crer une zone de recherche directe. Crer l'hte et les enregistrements CNAME. Vrifier la rsolution des noms.

Tche 1 : Cration d'une zone de recherche directe


Crez une nouvelle zone de recherche directe appele development.contoso.com. Il doit s'agir d'une zone principale, stocke dans Active Directory et rplique dans tous les contrleurs du domaine contoso.com. Configurez la zone de sorte qu'elle n'autorise pas les mises jour dynamiques.

Remarque : dans un environnement de production, vous vous contenteriez de la rpliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la rpliquer dans tous les contrleurs de domaine pour assurer une rplication rapide et sre.

Tche 2 : Cration de l'hte et des enregistrements CNAME


1. 2. Dans la zone development.contoso.com, crez un enregistrement hte (A) pour APPDEV01 avec l'adresse IP 10.0.0.24. Crez un enregistrement CNAME, www.development.contoso.com, qui se rsout en appdev01.development.contoso.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-43

Tche 3 : Test de la rsolution des noms


l'invite de commande, tapez nslookup www.development.contoso.com, puis appuyez sur Entre. Examinez le rsultat de la commande. Que vous indique-t-il ?
Rsultats : la fin de cet exercice, vous aurez cr une nouvelle zone de recherche directe, development.contoso.com, avec un hte et des enregistrements CNAME, et vrifi que les noms de cette zone sont bien rsolus.

Remarque : ne fermez pas les ordinateurs virtuels lorsque vous avez termin cet atelier pratique car les paramtres configurs ici serviront dans le prochain atelier.

Questions de contrle des acquis


Question : Si vous n'aviez pas configur des redirecteurs dans HQDC02, quelles auraient t les consquences pour les clients qui utilisent HQDC02 comme leur serveur DNS principal ? Question : Les clients auraient-ils t capables de rsoudre les noms du domaine development.contoso.com si vous aviez choisi une zone DNS autonome plutt qu'une zone intgre Active Directory ? Pourquoi cela se produirait-il ? Que devriez-vous faire pour rsoudre ce problme ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3

AD DS, DNS et Windows

Vous avez appris configurer DNS dans un environnement simple, l'aide des nombreux paramtres par dfaut qui prennent en charge les domaines Active Directory prts l'emploi. Dans cette leon, vous allez en apprendre davantage sur les composants et les processus qui prennent en charge les Services de domaine Active Directory (AD DS) et sur les interactions entre AD DS et DNS.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre l'intgration entre AD DS et DNS ; choisir un domaine DNS pour un domaine Active Directory ; crer une dlgation de zone pour un nouveau domaine Active Directory ; configurer la rplication pour des zones intgres Active Directory ; dcrire la fonction des enregistrements SRV dans le processus d'emplacement des contrleurs d'un domaine ; comprendre le fonctionnement des serveurs DNS en lecture seule.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-45

AD DS, DNS et Windows

Points cls
Les Services de domaine Active Directory, DNS et le systme d'exploitation Windows sont intgrs et interdpendants de nombreuses manires. Dans cette leon, vous allez examiner dans le dtail chacune de ces interactions.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Intgration entre AD DS et l'espace de noms DNS

Points cls
Active Directory a besoin du systme DNS, et tout domaine AD DS doit avoir un nom de domaine DNS. Le systme DNS tant galement utilis en tant qu'espace de noms standardis et disponible au niveau international, vous devez rflchir soigneusement l'emplacement dans lequel vous allez dfinir votre domaine AD DS au sein de l'espace de noms. Supposons que vous tes administrateur chez Contoso, Ltd., qui possde le nom de domaine enregistr contoso.com et un site Web l'adresse www.contoso.com. Si vous planifiez l'espace de noms pour votre domaine AD DS, vous pouvez choisir l'un des lments suivants : Le mme nom de domaine que votre nom de domaine DNS externe : contoso.com. Si vous choisissez le mme espace de noms, vous devez implmenter le DNS split-brain , qui est dcrit dans la prochaine section.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-47

Un sous-domaine de votre nom de domaine externe : ad.contoso.com. Si vous utilisez un sous-domaine d'un nom de domaine enregistr, l'opration est facile car vous tes le propritaire de cette portion de l'espace de noms DNS. Toutefois, soyez prudent et ne vous aventurez pas trop profondment dans l'espace de noms DNS. Les utilisateurs et les administrateurs tapent des noms de domaine complets bien plus frquemment que vous ne l'imaginez, et un suffixe de domaine trop long rend laborieuse la saisie de chaque nom de domaine complet. De plus, les URL et les UNC ont des longueurs limites ne pas dpasser et qui sont vite atteintes avec des suffixes DNS rallonge. Un nom de domaine distinct : contoso.net. Si vous utilisez un nom de domaine distinct pour votre domaine Active Directory, il est recommand d'enregistrer le domaine de sorte qu'il ne puisse pas tre usurp par une autre entreprise. Vous devez vous assurer de conserver la proprit de cette portion de l'espace de noms DNS.

Dans notre monde moderne de plus en plus connect, les frontires entre rseau, intranet, extranet et Internet sont brouilles, voire pratiquement invisibles. Il devient de moins en moins possible de maintenir une distinction dans l'espace de noms, et cela pose des problmes de valorisation. C'est pourquoi de nombreuses organisations choisissent le nom de domaine le plus familier, celui le plus troitement associ l'organisation et le plus facile saisir : le nom de domaine public. Comme nous venons d'en parler et comme se sera mentionn dans la prochaine rubrique, vous devez suivre des tapes pour prendre cette configuration en charge. Cependant, le cot de cette procdure est gnralement bien moindre par rapport aux avantages qu'elle offre. Quel que soit votre choix, vous devez grer la rsolution des noms, la protection du primtre et la scurit. Vous devez donc produire un niveau d'effort administratif quivalent quel que soit votre choix d'espace de noms. Il est donc judicieux de choisir un nom DNS qui simplifie la vie des utilisateurs de votre espace de noms. Au tout dbut de l'existence d'Active Directory, il tait courant de suggrer ou mme de conseiller l'utilisation d'un domaine de niveau suprieur personnalis, tel que .msft ou mme le TLD .local. Suite l'volution de notre monde en rseau, dont l'arrive du protocole IP version 6 (IPv6) et l'hyper connectivit qui en a rsult, ces options doivent tre envisages uniquement aprs une tude approfondie de leur capacit prendre en charge les besoins de votre entreprise, de leurs avantages et de leur cot en termes d'administration et d'assistance des utilisateurs.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

DNS Split-Brain

Points cls
Chaque fois que vous utilisez un nom de domaine pour un domaine AD DS galement utilis pour les connexions votre rseau depuis le monde extrieur, vous devez vous assurer qu'il existe une sparation entre les zones DNS qui fournissent diffrentes informations au public et aux clients internes. Il est alors question de DNS split-brain. La zone DNS interne doit prendre fidlement en charge le domaine AD DS, avec tous les enregistrements de ressource pour les serveurs, les clients et les services du domaine. Idalement, elle autorisera les mises jour dynamiques scurises et stockera ses donnes dans Active Directory lui-mme. La zone DNS accessible de l'extrieur ne doit fournir aux clients externes que les enregistrements de ressource dont ils ont besoin, par exemple www et ftp. Cette zone sera gnralement beaucoup plus petite que celle qui assure la prise en charge du domaine en interne. La zone externe sera gnralement mise jour manuellement, et non dynamiquement. Le serveur DNS qui hberge la zone externe sera souvent plac derrire le pare-feu externe, avec uniquement le port 53 ouvert pour lui.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-49

Vous aurez peut-tre besoin d'enregistrements en double dans les deux zones. Si vos utilisateurs internes ont besoin d'accder au site Web public, tel que www.contoso.com, cet enregistrement de ressource doit tre prsent dans la zone interne interroge par les clients. N'oubliez pas que, le serveur DNS interne tant considr comme faisant autorit pour la zone (comme le serveur externe), il renverra soit une rsolution, soit une rponse ngative, indiquant que l'enregistrement n'existe tout simplement pas. Il ne peut pas y avoir de seconde requte ou de requte itrative dans la zone externe. Vous devrez donc crer des enregistrements qui sont ncessaires en interne et en externe, tels que www, dans les deux zones.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Cration d'une dlgation pour un domaine Active Directory

Points cls
Dans le Module 1, vous avez cr un nouveau domaine et une fort Windows Server 2008 AD DS. Lorsque vous avez promu le contrleur du domaine, vous avez reu un message indiquant qu'il n'y avait aucune dlgation pour le domaine contoso.com. Vous avez ignor ce message et poursuivi l'tablissement du domaine, avec le systme DNS au niveau du contrleur du domaine. Les clients configurs avec l'adresse IP du contrleur de domaine (DC) pour leur serveur DNS interrogeront le DC et seront capables de rsoudre les noms du domaine contoso.com. Toutefois, aucun client externe ne pourra rsoudre les noms du domaine contoso.com car il n'y a pas de dlgation : aucun enregistrement NS dans le domaine .com qui pointe vers votre serveur DNS faisant autorit. Ceci ne pose pas de problme pour notre cours car votre domaine est isol comme une le : il est spar du reste d'Internet et vous n'avez pas besoin de dlgation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-51

Toutefois, au sein d'une fort, il est important qu'il y ait des dlgations entre un domaine parent et un domaine enfant si la zone du domaine enfant est hberge dans des serveurs DNS distincts. Si le domaine enfant est appel tre un sous-domaine de la zone existante, aucune dlgation n'est ncessaire. Par exemple, si vous souhaitez ajouter un domaine, europe.contoso.com, l'arborescence des domaines, les clients de contoso.com doivent pouvoir rsoudre les serveurs, les services et les autres enregistrements de europe.contoso.com afin de prendre en charge la rplication et l'authentification dans la fort. Avant d'ajouter un domain enfant l'arborescence ou une nouvelle arborescence une fort, vous devez crer une dlgation dans le domaine parent ou dans le domaine racine de la fort. Pour crer une dlgation, cliquez du bouton droit sur la zone du domaine parent, puis choisissez Nouvelle dlgation. Vous serez invit saisir le nom des serveurs du nouveau domaine. Faites alors rfrence au serveur qui est ou sera le serveur DNS du domaine enfant. Pour crer une dlgation pour une nouvelle arborescence de domaines ou pour le domaine racine de la fort, crez d'abord une nouvelle zone dans la zone DNS racine existante. Dans la nouvelle zone, ajoutez un enregistrement Adresse qui utilise le nom DNS complet du serveur DNS du nouveau domaine. Ajoutez ensuite un enregistrement NS pour le nouveau domaine qui fait rfrence au nom DNS complet du contrleur du domaine. Aprs avoir cr la dlgation, vous tes prt configurer le serveur qui sera le premier contrleur du domaine enfant. Commencez par configurer son serveur DNS pour qu'il pointe vers le serveur DNS dans lequel vous crez la dlgation. Installez le rle DNS l'aide du Gestionnaire de serveur, puis crez la zone principale du domaine enfant. Vous pouvez galement utiliser l'Assistant Installation des services de domaine Active Directory (dcpromo.exe), qui peut installer DNS dans le cadre de l'installation d'AD DS. Aprs la cration du domaine enfant, reconfigurez le serveur DNS enfant pour qu'il s'utilise lui-mme en tant que serveur DNS principal. En gnral, vous ajouterez le serveur DNS parent en tant que redirecteur, redirecteur conditionnel ou zone de stub pour le serveur DNS enfant. D'une manire ou d'une autre, vous devez faire en sorte que les systmes du domaine enfant puissent rsoudre les noms du domaine parent. Pour finir, dans la plupart des scnarios, il est conseill d'utiliser une zone intgre Active Directory et qui prenne en charge les mises jour dynamiques scurises pour le domaine enfant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Zones intgres Active Directory

Points cls
Dans la leon 1, vous avez appris qu'un serveur DNS Windows est capable de stocker les donnes des zones dans la base de donnes AD DS lorsque le serveur DNS est un contrleur de domaine AD DS. Ceci cre une Zone intgre Active Directory. Les avantages des zones intgres Active Directory sont importants : Mises jour multimatre : la diffrence des zones principales habituelles, qui ne peuvent tre modifies que par un seul serveur principal, tout contrleur de domaine peut crire dans les zones intgres Active Directory si elles y sont rpliques. Ceci retire un point de dfaillance unique de l'infrastructure DNS. Il est particulirement important dans les environnements gographiquement distribus qui utilisent des zones mises jour dynamiques. En effet, cela permet aux clients d'actualiser leurs enregistrements DNS sans avoir se connecter un serveur principal potentiellement loign.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-53

Rplication des donnes d'une zone DNS par rplication AD DS : dans le Module 12, vous allez tudier les mcanismes de rplication efficaces et gnrateurs de topologie de la rplication AD DS. L'une des caractristiques de la rplication d'Active Directory est la rplication au niveau des attributs, dans laquelle seuls les attributs modifis son rpliqus. Une zone intgre Active Directory peut tirer parti de ces avantages de la rplication Active Directory, au lieu de rpliquer la totalit du fichier de la zone comme dans les modles traditionnels du transfert de zones DNS. Mises jour dynamiques scurises : une zone intgre Active Directory peut imposer des mises jour dynamiques scurises. Scurit granulaire : comme avec d'autres objets Active Directory, une zone intgre Active Directory vous permet de dlguer l'administration des zones, des domaines et des enregistrements de ressource en modifiant la Liste de contrle d'accs (ACL) de l'objet.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Partitions d'application pour les zones DNS

Points cls
Toute zone intgre Active Directory stocke ses enregistrements dans la base de donnes AD DS. Ces enregistrements peuvent tre stocks dans l'une des partitions suivantes : Partition DomainDNSZone : cette partition est rplique dans tous les contrleurs de domaine qui sont des serveurs DNS au sein de ce domaine. Partition ForestDNSZones : cette partition est rplique dans tous les contrleurs de domaine qui sont des serveurs DNS au sein de la fort. Ces partitions par dfaut sont cres lors de l'installation du systme DNS et configures durant l'installation d'AD DS. Vous pouvez utiliser l'outil de gestion du systme DNS ou la commande dnscmd.exe pour crer des partitions aprs l'installation d'AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-55

Domaine : le Domaine, qui contient galement des enregistrements pour les objets, notamment les utilisateurs et les ordinateurs, est rpliqu dans tous les contrleurs de domaine, qu'ils soient ou non des serveurs DNS. Sous Windows 2000, les zones DNS taient stockes dans le Domaine NC. Si vous avez des contrleurs de domaine Windows 2000 qui sont galement des serveurs DNS, vous devez utiliser cette option de rplication pour prendre ces systmes en charge. Le choix de vos partitions dpend principalement de la topologie de rplication que vous allez slectionner pour vos zones DNS. Bien sr, la zone doit tre rplique dans un serveur DNS pour que ce dernier fasse autorit pour cette zone. Si un serveur DNS n'a pas de rplica de cette zone, il doit avoir un redirecteur ou une zone de stub pour excuter les requtes rcursives demandant la rsolution des noms de cette zone.

Partition d'application personnalise : si les partitions d'application par dfaut n'offrent pas le modle de rplication dont vous avez besoin pour prendre en charge votre infrastructure DNS, vous pouvez crer une partition d'application personnalise, pour laquelle vous dsignez les serveurs qui vont la rpliquer.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Partitions d'application DNS

Points cls
Pour crer une partition d'application, utilisez la commande dnscmd.exe, comme dans l'exemple suivant :
dnscmd hqdc01.contoso.com /createdirectorypartition MaZone.contoso.com

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-57

Vous pouvez modifier l'tendue de rplication d'une zone dans ses proprits. Cliquez sur le bouton Changer accol Rplication, comme dans la figure suivante :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Mises jour dynamiques

Points cls
Par dfaut, les systmes Windows tentent d'inscrire leurs enregistrements avec leur serveur DNS. Vous pouvez modifier ce comportement dans la configuration IP du client ou via la Stratgie de groupe. Le service Client DHCP est celui qui excute l'inscription, que l'adresse IP du client soit obtenue auprs d'un serveur DHCP ou quelle soit fixe. L'inscription se produit : Lorsque le client dmarre et que le service Client DHCP est dj dmarr Lorsqu'une adresse IP est configure, ajoute ou modifie dans toute connexion rseau Lorsqu'un administrateur excute la commande ipconfig /registerdns

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-59

Le client tente d'identifier le serveur DNS principal pour la zone. Si la zone n'est pas intgre Active Directory, cette opration peut exiger plusieurs itrations dans lesquelles le client identifie un serveur de noms, envoie une mise jour et est rejet car ce serveur de noms n'hberge qu'une zone secondaire. Ensuite, si la zone prend en charge les mises jour dynamiques, le client atteint un serveur DNS autoris crire dans cette zone. Il s'agit du serveur principal pour une zone standard, base de fichier, ou de tout contrleur de domaine qui est serveur de noms pour une zone intgre Active Directory. Si la zone est configure pour les mises jour dynamiques scurises, le serveur DNS refuse la modification. Dans ce cas, le client s'authentifie et renvoie la mise jour. Dans certaines configurations, vous prfrerez probablement que les clients ne mettent pas leurs enregistrements jour, mme dans une zone mises jour dynamiques. Sinon, vous pouvez configurer le serveur DHCP pour qu'il inscrive les enregistrements de la part des clients. Par dfaut, un client inscrit son enregistrement A (hte/adresse), et le serveur DHCP inscrit l'enregistrement PTR (pointeur/recherche inverse). Les enregistrements PTR sont traits dans la leon 4.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Chargement de zones en arrire-plan

Points cls
Il se peut qu'une zone qui prend en charge un domaine AD DS devienne volumineuse, particulirement si les enregistrements A des clients sont conservs dans un vaste domaine. Dans les prcdentes versions de Windows, le service Serveur DNS prenait beaucoup de temps pour dmarrer lorsqu'il devait charger une zone volumineuse. Windows Server 2008 charge les zones en arrire-plan. Cela permet au serveur DNS de commencer rpondre trs rapidement aux requtes. S'il reoit une requte pour une zone qui n'est pas encore charge, il s'efforce de la charger rapidement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-61

Enregistrements SRV

Points cls
Les enregistrements de ressource SRV (Service Locator, ou Service Localisateur) rsolvent les requtes d'un service rseau. Cela permet aux clients de localiser un hte qui fournit un service spcifique. Les enregistrements SRV sont utiles dans de nombreux scnarios : Lorsqu'un contrleur de domaine doit rpliquer des changements en provenance de ses partenaires Lorsqu'un ordinateur client doit s'authentifier dans AD DS Lorsqu'un utilisateur change son mot de passe Lorsqu'un serveur Microsoft Exchange effectue une recherche dans l'annuaire Lorsqu'un administrateur ouvre Utilisateurs et ordinateurs Active Directory

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tout enregistrement SRV adopte la syntaxe suivante :


protocole.service.nom TTL classe type priorit poids port cible

Voici un exemple d'enregistrement SRV :


_ldap._tcp.contoso.com 600 IN SRV 0 100 389 hqdc01.contoso.com

Les composants de l'enregistrement sont les suivants : Nom de service du protocole, tel que LDAP, offert par un contrleur de domaine Valeur de la dure TTL, en secondes Classe (tous les enregistrements d'un serveur DNS Windows seront IN ou INternet) Type : SRV Priorit et poids (aident les clients choisir l'hte privilgier) Port sur lequel le service est offert par le serveur. Le port 389 est le port standard pour LDAP dans un contrleur de domaine Windows. Cible, ou hte du service (dans ce cas, il s'agit du contrleur de domaine nomm hqdc01.contoso.com)

Lorsqu'un processus client recherche un contrleur de domaine, il peut interroger le systme DNS pour obtenir un service LDAP. Cette requte renvoie les deux enregistrements (SRV et A) du ou des serveurs qui fournissent le service demand.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-63

Dmonstration : Enregistrements de ressource SRV inscrits par des contrleurs de domaine AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer les enregistrements SRV inscrits par un contrleur de domaine dans la fort contoso.com. Vous allez effectuer les tches suivantes : Utiliser le Gestionnaire DNS pour afficher les enregistrements SRV inscrits _tcp.contoso.com, qui dresse la liste de tous les contrleurs du domaine _tcp.siteName._sites.contoso.com, qui dresse la liste des contrleurs de domaine qui couvrent un site spcifique _msdcs.contoso.com, qui suit la trace des contrleurs de domaine d'une fort et que ceux-ci utilisent pour se localiser mutuellement

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Simuler une requte de client qui demande un contrleur de domaine


nslookup set type=srv _ldap._tcp.contoso.com

Dcouvrir comment les contrleurs de domaine inscrivent leurs enregistrements de ressource dans une zone mises jour dynamiques. Supprimez un enregistrement SRV, puis arrtez et redmarrez le service NetLogon. Le service NetLogon inscrit les enregistrements DC au dmarrage. Afficher le fichier %systemroot%\system32\config\netlogon.dns, qui contient les enregistrements qui doivent tre inscrits manuellement si la zone ne prend pas en charge les mises jour dynamiques

tapes de la dmonstration
1. Excutez Gestion du service DNS avec des droits administratifs l'aide du compte Pat.Coleman_Admin et du mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nud _tcp. Examinez les enregistrements SRV. Dans l'arborescence de la console, dveloppez HQDC01, Zones de recherche directe, contoso.com, _sites, BRANCHA, puis cliquez sur le nud _tcp. Examinez les enregistrements SRV. Excutez une invite de commande avec le compte administratif utilis prcdemment. Tapez nslookup, puis appuyez sur Entre. Tapez set type=SRV, puis appuyez sur Entre. Tapez _ldap._tcp.contoso.com, puis appuyez sur Entre. Basculez dans le Gestionnaire DNS. Dveloppez HQDC01, Zones de recherche directe, et contoso.com, puis cliquez sur le nud _tcp. Cliquez du bouton droit sur l'enregistrement SRV de hqdc01.contoso.com, puis cliquez sur Supprimer.

2.

3. 4. 5. 6. 7. 8. 9.

10. Revenez l'invite de commande. 11. Tapez net stop netlogon, puis appuyez sur Entre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-65

12. Tapez net start netlogon, puis appuyez sur Entre. 13. Basculez dans le Gestionnaire DNS. 14. Dans l'arborescence de la console, cliquez du bouton droit sur le nud _tcp, puis choisissez Actualiser. Examinez l'enregistrement SRV de hqdc01.contoso.com. 15. Ouvrez notepad.exe. 16. Cliquez sur Fichier, sur Ouvrir, tapez %systemroot%\system32\config \netlogon.dns dans la zone Nom de fichier, puis appuyez sur Entre. 17. Examinez les enregistrements SRV par dfaut.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Emplacement des contrleurs de domaine

Points cls
Lorsqu'un client s'authentifie, il tente de localiser un contrleur de domaine dans son site. Si ce client ne s'est pas authentifi auparavant, il interroge DNS pour obtenir _ldap._tcp.NomDomaine, puis il rcupre la liste de tous les contrleurs de ce domaine. Le client tente une liaison LDAP avec chacun d'eux, et le premier contrleur qui rpond est slectionn pour la prochaine tape. Remarquez que, ce stade, il est possible qu'un contrleur d'un autre site rponde en premier. Le client tente alors de s'authentifier auprs de ce contrleur de domaine. Le contrleur examine l'adresse IP du client et la compare aux informations qu'il possde propos des sites et des sous-rseaux. Si ce contrleur ne fait pas partie du site du client, il indique au client quel site est le sien. Le client interroge alors DNS pour obtenir _ldap._tcp.NomSite. nomDomaine, ce qui renvoie la liste des contrleurs de domaine qui couvrent ce site. De nouveau, le client tente une liaison LDAP avec chacun de ces contrleurs, et le premier qui rpond est slectionn. Le client s'authentifie alors auprs de ce contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-67

Le client stocke son appartenance son site dans le Registre, et une affinit s'tablit avec le contrleur de domaine auprs duquel il s'est authentifi. La prochaine fois que ce client doit contacter un contrleur, il commence par celui avec lequel une affinit s'est cre. Si ce contrleur nst pas disponible, le client rcupre les informations sur son site dans le Registre et interroge DNS pour obtenir _ldap._tcp.nomSite.nomDomaine. Ce processus est rsum dans la diapositive suivante :

L'emplacement des contrleurs de domaine sera abord de nouveau dans le Module 12, o vous tudierez comment les enregistrements SRV et le processus de localisation des contrleurs sert vrifier l'authentification un contrleur efficace.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Zones DNS en lecture seule

Points cls
Tout serveur DNS plac dans un Contrleur de domaine en lecture seule (ReadOnly Domain Controller, ou RODC) peut faire autorit pour des zones qui sont rpliques dans le RODC, et il peut rsoudre les requtes des clients qui utilisent ce RODC en tant que serveur DNS. Bien sr, la caractristique principale d'un RODC est qu'il ne peut effectuer aucune modification dans Active Directory. Ainsi, les enregistrements de ressource ne peuvent pas tre ajouts manuellement la zone d'un RODC et les mises jour dynamiques proposes par les clients ne sont pas acceptes. Les mises jour dynamiques sont gres en orientant les clients vers un DC inscriptible lorsqu'ils tentent d'envoyer une mise jour un RODC. Pour le RODC, il est utile d'inclure ds que possible dans la zone l'enregistrement de ressource mis jour par le client. Ainsi, le RODC conserve la trace du client qui a tent une mise jour et la trace du DC inscriptible auquel ce client s'est rfr. Aprs une courte attente, le RODC effectue une opration RSO (Rplication d'un objet unique), dans laquelle il rcupre l'enregistrement DNS mis jour pour le client auprs du DC inscriptible, en contournant les mcanismes de rplication habituels.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-69

Leon 4

Configuration et administration avances du systme DNS

Vous avez appris configurer une implmentation DNS simple et vous avez dcouvert comment DNS prend en charge AD DS. Dans ce module, vous allez explorer certaines rubriques avances de configuration et d'administration du systme DNS.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre et configurer la rsolution des noms en une partie ; configurer les paramtres avancs du serveur DNS ; auditer, grer et dpanner le rle de serveur DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rsolution des noms en une partie

Points cls
En temps normal, tout utilisateur ou toute application peut souhaiter ou avoir besoin de faire rfrence un hte par un nom en une seule partie. Par exemple, un utilisateur peut ouvrir Internet Explorer et accder l'adresse http://legalapp. Il est important que vous compreniez comment le service Client DNS fonctionne pour rsoudre un nom en une partie. Tout d'abord, le client tente de rsoudre le nom en une partie comme un nom complet en lui ajoutant le suffixe d'un domaine DNS. Le suffixe ajout est choisi l'aide de l'une des options suivantes : le premier qui est configur dans les Paramtres TCP/IP avancs d'une connexion, et le second l'aide de la Stratgie de groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-71

Suffixe DNS de la connexion rseau du client : le client ajoute le suffixe de sa connexion DNS, tel que ad.contoso.com. En utilisant le suffixe bas sur la connexion, vous pouvez ventuellement configurer un client pour qu'il utilise la dvolution des noms de domaine, qui signifie que, si le suffixe de connexion choue, le client recommence avec le nom du domaine parent, qui serait contoso.com dans cet exemple. La dvolution s'interrompt ce stade ; elle n'interroge pas DNS avec un nom de domaine du niveau suprieur (TLD).

Ordre de recherche des suffixes DNS : vous pouvez spcifier les suffixes DNS qu'un client doit tenter. Il s'agit l de la mthode la plus simple avec la Stratgie de groupe. Si l'ordre de recherche des suffixes DNS est utilis, il n'y a pas de dvolution. Vous devez dsigner prcisment les noms de domaine que le client doit tenter.

Si le suffixe DNS n'offre pas de rsolution, le client DNS abandonne et interroge DNS avec un nom en une partie. Si cela ne fonctionne pas, le systme tente une rsolution de nom NetBIOS, qui commence par envoyer une requte un serveur Windows Internet Name Service (WINS). Si celle-ci choue galement, il a recours une diffusion NetBIOS dans le segment local. Le client DNS n'a pas beaucoup de temps pour rsoudre un nom. En ralit, aprs 12 secondes, la rsolution choue. ce stade, il revient l'application cliente de dcider de la conduite tenir. Cela signifie qu'il est possible que le client arrive expiration avant que toutes les combinaisons de noms aient t tentes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Le serveur DNS Windows Server 2008 fournit une nouvelle option pour prendre en charge la rsolution des noms en une partie : la zone GlobalNames. Il s'agit d'une zone spcialise que vous crez dans vos serveurs DNS. En gnral, vous souhaiterez la rpliquer dans la partition ForestDNSZones afin que tous les serveurs DNS de la fort puissent y accder. Cette zone contient des enregistrements CNAME avec des noms en une partie et leur rsolution en noms complets. Lorsqu'un client envoie une requte en une partie, le serveur DNS peut la rsoudre en rcuprant l'enregistrement CNAME dans la zone GlobalNames, puis en recherchant l'enregistrement A appropri du nom complet. Pour utiliser GlobalNames, vous devez crer la zone GlobalNames, puis activer son usage dans les rsolutions l'aide de la commande dnscmd.exe. Pour plus d'informations, consultez l'article mentionn dans la section Lectures complmentaires.

Lectures complmentaires
Rsolution des noms DNS en une partie http://go.microsoft.com/fwlink/?LinkId=168531 Dploiement de la zone GlobalNames http://go.microsoft.com/fwlink/?LinkId=168532

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-73

Rsolution des noms extrieurs votre domaine

Points cls
Il existe plusieurs moyens pour fournir la rsolution des enregistrements DNS extrieurs votre domaine, ceux pour lesquels vos serveurs DNS ne font pas autorit. Zone secondaire : la premire option consiste faire en sorte que les serveurs fassent autorit en hbergeant une zone secondaire du domaine externe. Ceci exige l'autorisation d'effectuer un transfert de zone depuis un serveur de noms vers la zone. Donc, cette option ne convient gnralement pas pour les domaines externes de votre entreprise. Redirecteurs : les redirecteurs, traits la leon 2, sont des pointeurs vers des serveurs DNS en amont, des serveurs DNS fournis par votre oprateur ISP ou des serveurs DNS Internet. Votre serveur DNS peut envoyer des requtes aux serveurs redirecteurs. Si vous choisissez de pointer vers un serveur DNS autre que celui qui est gr par vous ou votre oprateur ISP, il convient d'en demander l'autorisation avant d'envoyer des requtes rcursives un serveur DNS tiers.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Indications de racine : les indications de racine pointent vers des serveurs de noms de la racine de l'espace de noms DNS ( . ). Tout serveur DNS possde la liste des serveurs racine. Cette liste est mise jour par Windows Update, mais elle ne change pas souvent. Redirecteurs conditionnels : les redirecteurs conditionnels pointent vers les serveurs de noms qui doivent recevoir les requtes de noms de domaine spcifiques. Tout redirecteur conditionnel cre un raccourci direct vers un serveur pour demander un domaine, et il n'a pas besoin d'envoyer des requtes rcursives un redirecteur (non conditionnel), ni d'aller jusqu' la racine de l'espace de noms DNS avec une indication de racine. Zone de stub : vous avez tudi les domaines de stub prcdemment dans ce module, car ils peuvent tre utiliss sous forme de dlgation pour un domaine enfant. Les domaines de stub peuvent s'avrer trs utiles pour rsoudre les noms extrieurs votre entreprise. N'oubliez pas que le principal avantage d'un domaine de stub est que le serveur DNS gre dynamiquement la liste des serveurs de noms de ce domaine. Vous pouvez considrer les zones de stub comme des redirecteurs conditionnels dynamiques. Le prix payer est que le port TCP 53 doit rester ouvert pour tous les serveurs de noms du domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-75

Zone de recherche inverse

Points cls
Alors qu'une requte DNS typique demande l'adresse IP d'un nom d'hte, une recherche inverse demande le nom d'hte d'une adresse IP donne. Tout nom complet est trait de droite gauche, de la partie la plus gnrique (telle que .com) la plus spcifique (telle que technet). Cependant, une adresse IP est plus gnrique gauche : le premier octet est le plus gnrique et le dernier est le plus spcifique. Ainsi, pour envoyer une requte DNS avec une adresse IP, le client inverse l'ordre des octets et ajoute un nom de domaine rserv, in-addr.arpa. Donc, si un client veut connatre le nom d'hte de l'ordinateur dont l'adresse IP est 10.0.1.34, il demande 34.1.0.10.in-addr.arpa.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-76

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Si vous vous rappelez de la hirarchie du systme de noms de domaine, vous savez que la racine est indique par un point ( . ), et en dessous se trouvent les domaines les plus gnriques (domaines de niveau suprieur ou TLD). Au fur et mesure que vous descendez dans la hirarchie, les noms deviennent plus spcifiques. Le domaine in-addr.arpa est le TLD rserv aux recherches inverses. En dessous, se trouvent les domaines pour chaque octet des adresses IP. Ceci suggre que DNS ne prend en charge que les masques de sous-rseau standard, o le masque de sous-rseau d'un octet est soit 0, soit 255. Bien que cela soit vrai dans la totalit du rseau Internet, le serveur DNS Windows Server 2008 vous permet de crer des zones de recherche inverse en sous-rseau si vous en avez besoin. Comme les zones de recherche directe, les zones de recherche inverse ont des enregistrements de ressource (RR). L'enregistrement le plus gnrique dans une zone de recherche inverse est le Pointeur (PTR), dont le nom est dfini sur la valeur du dernier octet de l'adresse IP d'un hte et les donnes de l'enregistrement dfinies sur le nom complet de cet hte. Comme les zones de recherche directe, les zones de recherche inverse prennent en charge les mises jour dynamiques. Par dfaut, lorsque le serveur DHCP Windows affecte une adresse IP un client, il inscrit galement l'enregistrement PTR de ce client. Les zones de recherche inverse ne sont pas obligatoires, mais sont recommandes. Certaines applications et certains services utilisent les recherches inverses en tant que vrification de scurit, pour valider l'identit d'un requte provenant d'un client. L'application peut utiliser l'adresse IP du client pour rechercher son enregistrement PTR. Ensuite, elle peut valider la correspondance entre l'enregistrement A et l'hte. En supposant que les mises jour scurises sont en place, cela garantit que la requte provient bien d'un client autoris.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-77

Maintenance des zones et des serveurs DNS

Points cls
La gestion du rle de serveur DNS est pratiquement automatique. Cependant, une fonctionnalit est importante pour le configurer dans une zone qui prenne en charge les mises jour dynamiques : le nettoyage. Le nettoyage est le processus qui consiste supprimer les enregistrements prims. Il est important non seulement pour les enregistrements A des clients et des serveurs, mais galement, et encore plus, pour les enregistrements SRV inscrits par des contrleurs de domaine. Dans certains scnarios, il est possible d'avoir des enregistrements SRV qui font rfrence des contrleurs de domaine incorrects, dplacs ou supprims. Le nettoyage assure leur suppression dfinitive. Pour les zones intgres Active Directory, vous pouvez implmenter le nettoyage au niveau des zones ou des serveurs. La bote de dialogue des proprits du serveur vous permet de dfinir ses paramtres de nettoyage et de premption, qui sont des paramtres par dfaut pour les zones intgres Active Directory hritant des proprits du serveur. Vous pouvez remplacer les paramtres par dfaut du serveur zone par zone l'aide de la bote de dialogue des proprits d'une zone.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-78

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour les zones principales standard, vous devez dfinir le nettoyage au niveau des zones. Aprs avoir dfini les limites temporelles aprs lesquelles le nettoyage des enregistrements est autoris, vous devez effectuer le nettoyage rel. Pour faciliter cette opration de gestion, configurez le serveur pour un nettoyage automatique dans l'onglet Avanc de la bote de dialogue Proprits du serveur. Vous pouvez galement dclencher le nettoyage manuellement en cliquant du bouton droit sur le serveur dans le composant logiciel enfichable Gestionnaire DNS. Parmi les autres tches de maintenance parfois ncessaires pour le serveur se trouvent l'affichage et la purge du cache. Cela devient utile lorsque vous dcouvrez que les clients obtiennent des rsolutions incorrectes d'un serveur pour des zones pour lesquelles il ne fait pas autorit. Vous pouvez afficher les Recherches mises en cache d'un serveur en cliquant sur le menu Affichage du composant logiciel enfichable Gestionnaire DNS et en slectionnant Fonctionnalits avances. Vous pouvez alors vider le cache du serveur, si ncessaire, en cliquant du bouton droit sur le nud de ce serveur ou sur le nud Recherches mises en cache dans l'arborescence de la console.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-79

Test et dpannage des serveurs DNS

Points cls
Les vnements DNS sont consigns dans le journal DNS, qui s'affiche dans le Gestionnaire DNS, le Gestionnaire de serveur et le Gestionnaire des vnements. Comme pour les autres journaux d'vnements de Windows Server 2008, vous pouvez centraliser la collecte des vnements l'aide d'abonnements, traits dans le Module 13. Il s'agit d'une pratique recommande, car elle vous permet de surveiller depuis un emplacement central tout signe de dysfonctionnement dans votre infrastructure DNS. Parfois, il peut tre utile d'effectuer la journalisation du dbogage, qui consigne les dtails des transactions DNS. Vous pouvez activer la journalisation du dbogage dans la bote de dialogue Proprits du serveur. Dans cette mme bote de dialogue Proprits du serveur, vous pouvez galement excuter des requtes rcursives et itratives des fins de test. Ainsi, vous pouvez vrifier que les zones de stub, les redirecteurs conditionnels, les redirecteurs et les indications de racine fonctionnent comme prvu.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-80

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

L'intgration entre DNS et AD DS a t dtaille dans la leon 3. La commande dcdiag.exe /test:DNS excute une srie de tests exhaustifs pour s'assurer que cette intgration est oprationnelle. Si vous suspectez un problme spcifique, vous pouvez effectuer des tests plus granulaires. Pour plus de dtails, tapez dcdiag.exe /?.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-81

Test et dpannage des clients DNS

Points cls
En fin de compte, DNS et le rle de serveur DNS concernent la rsolution des requtes des clients. Parfois, vous devez rsoudre les problmes de satisfaction des clients et des composants de DNS. Pour dpanner le ct client du systme DNS, vous pouvez utiliser les commandes suivantes. ipconfig /all : cette commande affiche la configuration IP du client, y compris ses serveurs DNS. Vrifiez que le client utilise les serveurs corrects, et que ces derniers sont accessibles. NSLookup : cette commande excute directement des requtes DNS. En gnral, un test avec NSLookup comprend les lments suivants :
set server=adresse IP

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-82

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Cette commande dsigne le serveur DNS interroger. Par dfaut, il s'agit du serveur DNS principal du client. la rception d'une rponse, NSLookup identifie le serveur qui a rpondu. Si aucune zone de recherche inverse n'est disponible avec un enregistrement PTR contenant l'adresse IP du serveur DNS, le nom du serveur DNS apparat comme Inconnu, mais son adresse IP est identifie. La prochaine ligne est la suivante :
set type=type d'enregistrement

Cette ligne dfinit le type d'enregistrements interroger, par exemple SRV. Le paramtre par dfaut est A (adresse/hte). La dernire ligne est la suivante :
enregistrement

Cela dsigne l'enregistrement interroger, gnralement un nom de domaine complet lorsque la rsolution d'un enregistrement A est teste. Ipconfig/displaydns : cette commande affiche le contenu du cache de rsolution DNS dans le client. ipconfig /flushdns : cette commande purge le cache de rsolution DNS du client. ipconfig /registerdns : cette command dclenche une mise jour dynamique dans laquelle le client inscrit ses enregistrements A.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-83

Atelier pratique B : Configuration avance du systme DNS

Scnario
Vous tes l'administrateur de DNS chez Contoso, Ltd. Vous souhaitez amliorer le fonctionnement et l'efficacit de votre infrastructure DNS en activant le nettoyage et en crant une zone de recherche inverse pour le domaine. Vous souhaitez galement examiner les enregistrements qui permettent aux clients de localiser les contrleurs de domaine. Pour finir, vous tes charg de configurer la rsolution des noms entre contoso.com et le domaine d'une socit partenaire, tailspintoys.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-84

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Activation du nettoyage des zones DNS


Dans cet exercice, vous allez activer le nettoyage des zones DNS afin de supprimer les enregistrements de ressource prims. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Activer le nettoyage d'une zone DNS. Configurer les paramtres par dfaut du nettoyage.

Tche 1 : Prparation de l'atelier pratique


Certains des ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier pratique A. Toutefois, s'ils ont t arrts, terminez les Exercices 1 et 2 de l'Atelier pratique A avant de continuer car il existe des dpendances entre les Ateliers pratiques A et B. 1. 2. 3. 4. 5. 6. 7. 8. 9. Dmarrez 6238B-HQDC01-B. Ouvrez une session sur HQDC01 sous le nom d'utilisateur Pat.Coleman avec le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab10b. Excutez Lab10b_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de l'Explorateur Windows, Lab10b. Dmarrez 6238B-HQDC02-B. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-TSTDC01-A.

10. Ouvrez une session sur TSTDC01 en tant que Sara.Davis avec le mot de passe Pa$$w0rd. 11. Dmarrez 6238B-BRANCHDC01-B. 12. Patientez jusqu' la fin du dmarrage de BRANCHDC01 avant de poursuivre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-85

Tche 2 : Activation du nettoyage d'une zone DNS


1. 2. Dans HQDC02, excutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Activez le nettoyage pour la zone contoso.com. Acceptez les paramtres par dfaut pour les intervalles de nettoyage.

Tche 3 : Configuration des paramtres par dfaut du nettoyage


Configurez HQDC02 de sorte que, par dfaut, le nettoyage soit activ pour toutes les zones. Acceptez les paramtres par dfaut pour les intervalles de nettoyage.
Rsultats : la fin de cet exercice, vous aurez configur le nettoyage du domaine contoso.com et activ le nettoyage par dfaut de toutes les zones.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-86

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Cration de zones de recherche inverse


Dans cet exercice, vous allez cr une zone de recherche inverse pour le domaine contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer une zone de recherche inverse. Vrifier le fonctionnement d'une zone de recherche inverse.

Tche 1 : Cration d'une zone de recherche inverse


Crez une zone de recherche inverse pour le rseau IPv4 10. Autorisez uniquement les mises jour dynamiques scurises, et rpliquez la zone dans tous les contrleurs du domaine contoso.com.

Remarque : dans un environnement de production, vous vous contenteriez de la rpliquer dans tous les serveurs DNS. Toutefois, pour les besoins de cet exercice pratique, vous allez la rpliquer dans tous les contrleurs de domaine pour assurer une rplication rapide et sre.

Tche 2 : Vrification du fonctionnement d'une zone de recherche


inverse
1. 2. Excutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez nslookup www.development.contoso.com, puis appuyez sur Entre. Notez que la premire section du rsultat de la commande, qui dsigne le serveur DNS interrog, indique l'adresse IP du serveur mais, ct de Serveur, elle signale que ce serveur est Inconnu. En effet, la commande nslookup.exe ne peut pas rsoudre l'adresse IP en nom. 3. 4. 5. 6. Basculez dans le Gestionnaire DNS. Dans l'arborescence de la console, cliquez sur la zone 10.in-addr.arpa sous Zones de recherche inverse. Examinez les enregistrements de cette zone. Revenez l'invite de commandes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-87

7. 8. 9.

Tapez ipconfig /egisterdns, puis appuyez sur Entre. Basculez dans le Gestionnaire DNS. Cliquez du bouton droit sur la zone 10.in-addr.arpa et choisissez Actualiser.

10. Examinez les enregistrements de ressource qui sont apparus. 11. Revenez l'invite de commandes. 12. Tapez nslookup www.development.contoso.com, puis appuyez sur Entre. Notez que le serveur DNS interrog l'adresse 10.0.0.12 est dsormais rsolu par son nom.
Rsultats : la fin de cet exercice, vous aurez cr une zone de recherche inverse et test son fonctionnement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-88

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Exploration de l'emplacement des contrleurs de domaine


Dans cet exercice, vous allez examiner les enregistrements de ressource qui permettent aux clients de localiser des contrleurs de domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. Explorer le domaine _tcp. Explorer le domaine _tcp.brancha._sites.contoso.com.

Tche 1 : Exploration du domaine _tcp


Examinez les enregistrements du domaine _tcp.contoso.com. Que reprsentent-ils ?

Tche 2 : Exploration du domaine _tcp.brancha._sites.contoso.com


Examinez les enregistrements du domaine _tcp.brancha._sites.contoso.com. Que reprsentent-ils ?
Rsultats : la fin de cet exercice, vous aurez examin les enregistrements SRV du domaine contoso.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Configuration du systme DNS

10-89

Exercice 4 : Configuration de la rsolution des noms pour des domaines externes


Dans cet exercice, vous allez configurer la rsolution des noms entre deux domaines entirement distincts. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Configurer une zone de stub. Configurer un redirecteur conditionnel. Valider la rsolution des noms pour des domaines externes.

Tche 1 : Configuration d'une zone de stub


Dans HQDC02, crez une zone de stub pour tailspintoys.com qui renvoie l'adresse IPv4 10.0.0.31 pour le serveur matre.

Tche 2 : Configuration d'un redirecteur conditionnel


1. 2. Dans TSTDC01, excutez le Gestionnaire DNS en tant qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd. Pour le domaine contoso.com, crez un redirecteur conditionnel qui renvoie l'adresse IPv4 10.0.0.11.

Tche 3 : Validation de la rsolution des noms pour des domaines


externes
1. Dans TSTDC01, ouvrez une invite de commande et tapez nslookup www.development.contoso.com, puis appuyez sur Entre. Cette commande doit renvoyer l'adresse 10.0.0.24. Basculez dans le Gestionnaire DNS et crez un enregistrement d'hte (A) pour www.tailspintoys.com qui renvoie 10.0.0.143. Dans HQDC02, ouvrez une invite de commande et tapez nslookup www.tailspintoys.com, puis appuyez sur Entre. Cette commande doit renvoyer l'adresse 10.0.0.143.
Rsultats : la fin de cet exercice, vous aurez configur la rsolution des noms DNS entre les domaines contoso.com et tailspintoys.com.

2. 3.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

10-90

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

Questions de contrle des acquis


Question : Dans cet atelier, vous avez utilis une zone de stub et un redirecteur conditionnel pour fournir la rsolution des noms entre deux domaines distincts. Quelles autres options auriez-vous pu choisir ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-1

Module 11
Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)
Table des matires :
Leon 1 : Options d'installation des contrleurs de domaine Atelier pratique A : Installation des contrleurs de domaine Leon 2 : Installation d'un contrleur de domaine Server Core Atelier pratique B : Installation d'un contrleur de domaine Server Core Leon 3 : Gestion des matres d'oprations Atelier pratique C : Transfert des rles de matre d'oprations Leon 4 : Configuration de la rplication DFSR du dossier SYSVOL Atelier pratique D : Configuration de la rplication DFSR du dossier SYSVOL 11-4 11-33 11-41 11-50 11-55 11-74 11-79 11-87

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

Les contrleurs de domaine hbergent le service d'annuaire et excutent les services qui assurent la gestion des identits et des accs dans une entreprise Windows. ce stade du cours, vous avez appris prendre en charge les composants logiques et de gestion d'une infrastructure de service d'annuaire Active Directory : utilisateurs, groupes, ordinateurs et Stratgie de groupe. Chacun de ces composants est stock dans la base de donnes de l'annuaire et dans le volume SYSVOL des contrleurs de domaine. Dans ce module, vous allez commencer tudier les composants de niveau de service d'Active Directory, en commenant par les contrleurs de domaine eux-mmes. Vous apprendrez ajouter des contrleurs de domaine Windows Server 2008 une fort ou un domaine, prparer une fort ou un domaine Windows Server 2003 pour son premier contrleur de domaine Windows Server 2008, grer les rles excuts par les contrleurs de domaine et migrer la rplication du volume SYSVOL du Service de rplication de fichiers (FRS) utilis dans les versions prcdentes de Windows vers le mcanisme de Rplication du systme de fichiers distribus (DFS) assurant une rplication plus robuste et plus facile grer.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-3

Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : installer un contrleur de domaine standard ou en lecture seule dans des arborescences ou des domaines, nouveaux ou existants ; ajouter et supprimer des contrleurs de domaine l'aide de diverses mthodes d'interface graphique utilisateur ou de ligne de commande ; configurer un contrleur de domaine sur Server Core ; comprendre et identifier les rles de matre d'oprations ; grer l'emplacement, le transfert et la cessation des rles de matre d'oprations ; migrer la rplication SYSVOL du Service de rplication de fichiers (FRS) vers la Rplication du systme de fichiers distribu (DFSR).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 1

Options d'installation des contrleurs de domaine

Au Module 1, Prsentation des Services de domaine Active Directory , vous avez utilis l'Assistant Ajout de rles du Gestionnaire de serveur pour installer les Services de domaine Active Directory (AD DS). Vous avez ensuite utilis l'Assistant Installation des services de domaine Active Directory pour crer le premier contrleur de domaine de la fort contoso.com. Les contrleurs de domaine tant essentiels pour l'authentification, il est fortement recommand d'en utiliser au moins deux dans chaque domaine de votre fort afin d'assurer un niveau suffisant de tolrance de panne en cas de dfaillance de l'un d'entre eux. Vous serez peuttre galement amen ajouter des contrleurs de domaine des sites distants ou crer de nouveaux domaines ou de nouvelles arborescences dans votre fort Active Directory. Dans cette leon, vous allez apprendre utiliser trois mthodes (interface utilisateur, ligne de commande et sans assistance) pour installer des contrleurs de domaine dans divers scnarios.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-5

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : installer un contrleur de domaine l'aide de l'interface Windows, des paramtres de ligne de commande de la commande dcpromo.exe ou d'un fichier de rponses pour une installation sans assistance ; ajouter des contrleurs de domaine Windows Server 2008 dans un domaine ou une fort dot(e) de contrleurs de domaine Windows Server 2003 et Windows 2000 Server ; crer de nouveaux domaines et de nouvelles arborescences ; excuter l'installation intermdiaire d'un contrleur de domaine en lecture seule ; installer un contrleur de domaine partir d'un support d'installation afin de rduire la rplication rseau ; supprimer un contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Installation d'un contrleur de domaine avec l'interface Windows

Points cls
L'installation d'un contrle de domaine avec l'interface Windows comprend deux tapes majeures. D'abord, vous devez installer le rle AD DS qui, comme vous l'avez tudi au Module 1 Prsentation des Services de domaine Active Directory , peut tre effectu via l'Assistant Ajout de rles du Gestionnaire de serveur. Lorsque l'installation du rle AD DS a copi les fichiers binaires ncessaires au rle sur le serveur, vous devez installer et configurer AD DS en lanant l'Assistant Installation des services de domaine Active Directory, l'aide de l'une des mthodes suivantes : Cliquez sur Dmarrer et tapez dcpromo dans le champ Rechercher. Cliquez ensuite sur OK. Une fois l'Assistant Ajout de rles termin, cliquez sur le lien Assistant Installation des services de domaine Active Directory. Lorsque le rle AD DS a t ajout, des liens s'affichent dans le Gestionnaire de serveur pour vous rappeler d'excuter l'Assistant Installation des services de domaine Active Directory. Cliquez sur l'un de ces liens.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-7

Remarque : Assistant tout-en-un. La documentation Microsoft sur Windows Server 2008 met en vidence le modle base de rles et vous recommande d'ajouter le rle AD DS, puis d'excuter la commande Dcpromo.exe (l'Assistant Installation des services de domaine Active Directory). Vous pouvez cependant vous contenter d'excuter Dcpromo.exe et, au cours de la premire tape, l'Assistant s'apercevra que les fichiers binaires AD DS ne sont pas installs et ajoutera automatiquement le rle AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fichier de rponses et options d'installation sans assistance

Points cls
Vous pouvez galement ajouter ou supprimer un contrleur de domaine au niveau de la ligne de commande, via l'installation sans assistance prise en charge par la version Windows Server 2008 de la commande dcpromo.exe. Les options de l'installation sans assistance fournissent les valeurs ncessaires l'Assistant Installation des services de domaine Active Directory. Par exemple, l'option NewDomainDNSName spcifie le nom de domaine complet (FQFN) d'un nouveau domaine. Ces options peuvent tre fournies la ligne de commande en tapant dcpromo /OptionSansAssistance:valeur, par exemple, dcpromo /newdomaindnsname:contoso.com. Vous pouvez galement fournir ces options dans un fichier de rponses d'installation sans assistance. Le fichier de rponses est un fichier texte qui contient un titre de section, [DCINSTALL], suivi des options et de leurs valeurs au format option=valeur. Le fichier suivant, par exemple, fournit l'option NewDomainDNSName :
[DCINSTALL] NewDomainDNSName=contoso.com

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-9

Le fichier de rponses est appel en ajoutant son chemin d'accs dans le paramtre unattend, par exemple : dcpromo /unattend:"chemin d'accs du fichier de rponses" Les options du fichier de rponses peuvent tre remplaces par des paramtres sur la ligne de commande. Par exemple, si l'option NewDomainDNSName est spcifie dans le fichier de rponses et que le paramtre /NewDomainDNSName est utilis sur la ligne de commande, la valeur de ce paramtre est prioritaire. Lorsque l'une des valeurs requises n'est dfinie ni dans le fichier de rponses, ni sur la ligne de commande, l'Assistant Installation des services de domaine Active Directory vous invite dfinir les rponses. Vous pouvez donc utiliser le fichier de rponses pour automatiser partiellement l'installation, en fournissant un sous-ensemble de valeurs de configuration utiliser pendant l'installation interactive. L'Assistant n'est pas disponible lorsque la commande dcpromo.exe est excute depuis la ligne de commande de Server Core. Dans ce cas, la commande dcpromo.exe renvoie un code d'erreur. Pour obtenir la liste complte des paramtres que vous pouvez spcifier dans le cadre d'une installation sans assistance de AD DS, ouvrez une invite de commande leve et tapez la commande suivante : dcpromo /?[:opration] o opration correspond l'un des lments suivants : Promotion renvoie tous les paramtres utilisables lors de la cration d'un contrleur de domaine. CreateDCAccount renvoie tous les paramtres utilisables lors de la cration d'un compte prdfini pour un Contrleur de domaine en lecture seule (RODC, Read-Only Domain Controller). UseExistingAccount renvoie tous les paramtres utilisables pour relier un nouveau contrleur de domaine un compte RODC prdfini. Demotion renvoie tous les paramtres utilisables pour supprimer un contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : gnrez un fichier de rponses. Lorsque vous utilisez l'interface Windows pour crer un contrleur de domaine, la page Rsum de l'Assistant Installation des services de domaine Active Directory vous permet d'exporter vos paramtres dans un fichier de rponses. Si vous devez crer un fichier de rponses utiliser depuis la ligne de commande (par exemple, sur une installation Server Core), ce raccourci vous permet de crer un fichier de rponses contenant les options et les valeurs appropries.

Lectures complmentaires Les rfrences compltes des paramtres de la commande dcpromo et des options d'installation sans assistance sont disponibles l'adresse : http://go.microsoft.com/fwlink/?LinkId=168475

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-11

Installation d'une nouvelle fort Windows Server 2008

Points cls
Le Module 1, Prsentation des Services de domaine Active Directory prsentait l'installation du premier contrleur de domaine Windows Server 2008 dans une nouvelle fort, via l'interface Windows. Dans ce module, vous avez tudi la procdure dtaille permettant d'ajouter le rle AD DS un serveur l'aide du Gestionnaire de serveur, puis d'excuter la commande Dcpromo.exe pour promouvoir le serveur en contrleur de domaine. Lorsque vous crez un nouveau domaine racine dans une fort, vous devez spcifier le nom DNS de ce domaine, son nom NetBIOS et les niveaux fonctionnels du domaine et de la fort. Le premier contrleur de domaine ne peut pas tre en lecture seule et doit tre un serveur de Catalogue global (GC). Si l'Assistant Installation des services de domaine Active Directory s'aperoit qu'il est ncessaire d'installer et de configurer le systme DNS, il le fait automatiquement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vous pouvez galement utiliser un fichier de rponses en tapant dcpromo /unattend:"chemin d'accs du fichier de rponses" (celui contenant les options et les valeurs de l'installation sans assistance). L'exemple suivant contient les paramtres minimaux pour l'installation sans assistance d'un nouveau contrleur de domaine Windows Server 2008 dans une nouvelle fort :
[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=forest NewDomainDNSName=nom DNS complet DomainNetBiosName=nom NetBIOS du domaine ForestLevel={0=Windows 2000 Server Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} DomainLevel={0=Windows Server 2000 Native; 2=Windows Server 2003 Native; 3=Windows Server 2008} InstallDNS=yes DatabasePath="chemin d'accs au dossier dans un volume local" LogPath="chemin d'accs au dossier dans un volume local" SYSVOLPath="chemin d'accs au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

Vous pouvez galement spcifier un ou plusieurs paramtres et valeurs d'installation sans assistance sur la ligne de commande. Par exemple, si vous ne voulez pas du mot de passe du Mode de restauration des services d'annuaire dans le fichier de rponses, ne renseignez pas l'entre et spcifiez le paramtre /SafeModeAdminPassword:mot de passe lorsque vous excutez la commande dcpromo.exe. Vous pouvez galement inclure toutes les options sur la ligne de commande ellemme. L'exemple suivant cre le premier contrleur de domaine d'une nouvelle fort dans laquelle vous n'envisagez pas d'installer de contrleurs de domaine Windows Server 2003 :
dcpromo /unattend /installDNS:yes /dnsOnNetwork:yes /replicaOrNewDomain:domain /newDomain:forest /newDomainDnsName:contoso.com /DomainNetbiosName:contoso /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-13

Prparation d'un domaine existant aux contrleurs de domaine Windows Server 2008

Points cls
Si vous avez une fort existante dote de contrleurs de domaine excutant Windows Server 2003 ou Windows 2000 Server, vous devez les prparer avant de crer votre premier contrleur de domaine Windows Server 2008. La commande ADPrep permet de prparer Active Directory un contrleur de domaine excutant une version de Windows Server plus rcente que celle excute par les contrleurs de domaine existants dans la fort ou le domaine. Adprep.exe est un outil de ligne de commande inclus dans le disque d'installation de chaque version de Windows Server. Adprep.exe excute les oprations effectuer dans un environnement Active Directory existant avant de pouvoir ajouter un contrleur de domaine fonctionnant sous cette version de Windows Server.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les paramtres de la commande Adprep.exe excutent diverses oprations qui prparent l'environnement Active Directory existant un contrleur de domaine excutant une version plus rcente de Windows Server. Toutes les versions de la commande Adprep.exe n'excutent pas les mmes oprations, mais les diffrents types d'oprations incluent gnralement les suivants : mise jour du schma Active Directory ; mise jour des descripteurs de scurit ; modification des listes de contrle d'accs (ACL) des objets Active Directory et des fichiers du dossier partag SYSVOL ; cration de nouveaux objets, selon les besoins ; cration de nouveaux conteneurs, selon les besoins.

Pour prparer la fort au premier contrleur de domaine excutant Windows Server 2008, procdez comme suit : 1. Ouvrez une session sur le contrleur de schma en tant que membre des groupes Administrateurs de l'entreprise, Administrateurs du schma et Administrateurs du domaine. La leon 3 prsente les matres d'oprations et la procdure qui permet d'identifier le contrleur de domaine correspondant au contrleur de schma. 2. 3. 4. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du contrleur de schma. Ouvrez une invite de commande leve et placez-vous dans le dossier adprep. Tapez adprep /forestprep et appuyez sur ENTRE.

Patientez jusqu' la fin de l'opration. Ds que les modifications sont rpliques dans toute la fort, vous pouvez continuer prparer les domaines pour Windows Server 2008.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-15

Pour prparer un domaine au premier contrleur de domaine excutant Windows Server 2008, procdez comme suit : 1. Ouvrez une session sur le matre d'oprations de l'infrastructure du domaine en tant que membre du groupe Administrateurs du domaine. La leon 3 dcrit la procdure qui permet d'identifier le contrleur de domaine correspondant au matre d'oprations de l'infrastructure. 2. 3. 4. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier du matre d'infrastructure. Ouvrez une invite de commande et placez-vous dans le dossier adprep. Tapez adprep /domainprep /gpprep et appuyez sur ENTRE.

Sous Windows Server 2003, un message peut vous signaler que les mises jour taient inutiles. Vous pouvez ignorer ce message. Autorisez la rplication de la modification dans toute la fort avant d'installer un contrleur de domaine excutant Windows Server 2008. Pour prparer AD DS au premier contrleur de domaine en lecture seule (RODC), procdez comme suit : 1. 2. 3. 4. Ouvrez une session sur un ordinateur quelconque en tant que membre du groupe Administrateurs de l'entreprise. Copiez le contenu du dossier \sources\adprep du DVD d'installation de Windows Server 2008 dans un dossier de l'ordinateur. Ouvrez une invite de commande leve et placez-vous dans le dossier adprep. Tapez adprep /rodcprep et appuyez sur ENTRE.

RODCPREP, tout moment. Vous pouvez galement excuter la commande adprep /rodcprep tout moment dans une fort Windows 2000 Server ou Windows Server 2003. Cette commande ne doit pas obligatoirement tre excute avec /forestprep. Vous devez toutefois l'excuter et autoriser la rplication de ses modifications dans toute la fort avant d'installer le premier contrleur de domaine en lecture seule.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Excution de la commande Adprep.exe : http://go.microsoft.com/fwlink/?LinkId=168477 Commande ADPrep : http://go.microsoft.com/fwlink/?LinkId=168478 Windows Server 2008 : Annexe des modifications apportes la commande Adprep.exe pour la prise en charge de AD DS : http://go.microsoft.com/fwlink/?LinkId=168479

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-17

Installation d'un contrleur de domaine supplmentaire dans un domaine

Points cls
Il est possible d'ajouter d'autres contrleurs de domaine en installant AD DS et en lanant l'Assistant Installation des services de domaine Active Directory. Vous tes dans ce cas invit choisir la configuration du dploiement, saisir des informations d'identification rseau, slectionner un domaine et un site pour le nouveau contrleur de domaine et configurer le contrleur de domaine avec d'autres options telles que Serveur DNS, Catalogue global (GC) ou Contrleur de domaine en lecture seule (RODC). Les tapes restantes sont les mmes que pour le premier contrleur de domaine : configuration des emplacements de fichiers et du mot de passe administrateur de restauration des services d'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsqu'un domaine comprend un contrleur de domaine et que vous cochez la case Utiliser l'installation en mode avanc de la page d'accueil de l'Assistant Installation des services de domaine Active Directory, vous pouvez configurer les options avances, notamment : Installation partir du support : par dfaut, un nouveau contrleur de domaine rplique toutes les donnes de toutes les partitions de l'annuaire qu'il hbergera partir d'autres contrleurs de domaine pendant l'excution de l'Assistant Installation des services de domaine Active Directory. Pour amliorer les performances de l'installation, en particulier dans le cas de liaisons lentes, vous pouvez utiliser le support d'installation cr par les contrleurs de domaine existants. Ce support d'installation est une forme de sauvegarde. Le nouveau contrleur de domaine est capable de lire les donnes directement partir du support d'installation, puis il ne rplique que les mises jour issues d'autres contrleurs de domaine. L'Installation partir du support (IFM) est dtaille la section Installation des services de domaine Active Directory partir du support . Contrleur de domaine source : si vous voulez dsigner le contrleur de domaine partir duquel le nouveau contrleur de domaine rplique ses donnes, cliquez sur Utiliser ce contrleur de domaine spcifique.

Remarque : la commande Dcpromo /adv est toujours prise en charge. Sous Windows Server 2003, la commande dcpromo /adv permettait de dfinir des options d'installation avances. Le paramtre adv est toujours pris en charge. Il prslectionne l'option Utiliser l'installation en mode avanc de la page d'accueil.

Pour utiliser la commande Dcpromo.exe avec des paramtres de ligne de commande pour spcifier des options d'installation sans assistance, vous pouvez utiliser les paramtres minimaux illustrs dans l'exemple suivant :
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName:contoso.com /installDNS:yes /confirmGC:yes /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-19

Si vous n'tes pas connect au serveur avec des informations d'identification de domaine, spcifiez galement les paramtres domaineUtilisateur et nomUtilisateur. Voici un fichier de rponses minimal pour ajouter un contrleur de domaine supplmentaire dans un domaine existant :
[DCINSTALL] ReplicaOrNewDomain=replica ReplicaDomainDNSName=nom complet du domaine joindre UserDomain=nom complet du domaine du compte utilisateur UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spcifi par UserName (* pour l'invite) InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accs au dossier dans un volume local" LogPath="chemin d'accs au dossier dans un volume local" SYSVOLPath="chemin d'accs au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Installation d'un nouveau domaine enfant Windows Server 2008

Points cls
Si vous avez dj un domaine existant, vous pouvez crer un nouveau domaine enfant en crant un contrleur de domaine Windows Server 2008. Avant d'effectuer cette opration, toutefois, vous devez excuter la commande adprep /forestprep selon les descriptions de la section prcdente, Prparation d'un domaine existant aux contrleurs de domaine Windows Server 2008 . Installez ensuite AD DS et lancez l'Assistant Installation des services de domaine Active Directory, puis cliquez sur Fort existante et Crer un nouveau domaine dans une fort existante dans la page Choisissez une configuration de dploiement. Vous tes alors invit slectionner le niveau fonctionnel du domaine. Comme il s'agit du premier contrleur du domaine, il ne peut pas tre en lecture seule et ne peut pas tre install partir du support. Si vous cochez la case Utiliser l'installation en mode avanc de la page d'accueil, l'Assistant prsente la page Contrleur de domaine source qui vous permet de dfinir le contrleur de domaine partir duquel s'effectuera la rplication de la configuration et des partitions du schma.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-21

La commande dcpromo.exe permet de crer un domaine enfant avec les options minimales illustres dans la commande suivante :
dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:child /ParentDomainDNSName:contoso.com /newDomainDnsName:subsidiary.contoso.com /childName:subsidiary /DomainNetbiosName:subsidiary /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /forestLevel:3 /domainLevel:3 /rebootOnCompletion:yes

Ces mmes paramtres minimaux se refltent dans le fichier de rponses suivant :


[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=child ParentDomainDNSName=nom complet du domaine parent UserDomain=nom complet de l'utilisateur spcifi par UserName UserName=DOMAIN\username (avec l'autorisation d'ajouter un domaine enfant) Password=mot de passe de l'utilisateur spcifi par UserName ou * pour l'invite ChildName=prfixe en une partie du domaine (le nom complet du domaine enfant sera NomEnfant.NomCompletDomaineParent) DomainNetBiosName=nom NetBIOS du domaine DomainLevel=niveau fonctionnel du domaine (non infrieur au niveau actuel de la fort) InstallDNS=yes CreateDNSDelegation=yes DNSDelegationUserName=DOMAIN\nom d'utilisateur avec autorisation de crer une dlgation DNS, si diffrent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accs au dossier dans un volume local" LogPath="chemin d'accs au dossier dans un volume local" SYSVOLPath="chemin d'accs au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Installation d'une nouvelle arborescence de domaine dans une fort

Points cls
Au Module 1, Prsentation des Services de domaine Active Directory , vous avez appris que, dans une fort Active Directory, l'arborescence se composait d'un ou de plusieurs domaines partageant un espace de noms DNS contigu. Par exemple, les domaines contoso.com et subsidiary.contoso.com seraient placs dans une mme arborescence. Les autres arborescences correspondent simplement d'autres domaines de la mme fort mais qui n'appartiennent pas au mme espace de noms. Par exemple, si la socit Contoso faisait l'acquisition de la socit Tailspin Toys, le domaine tailspintoys.com serait dans une autre arborescence du domaine. D'un point de vue fonctionnel, il n'existe que trs peu de diffrence entre un domaine enfant et un domaine d'une autre arborescence, et la procdure de cration d'une nouvelle arborescence est, par consquent, trs proche de celle d'un domaine enfant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-23

D'abord, vous devez excuter la commande adprep /forestprep selon les descriptions de la section prcdente, Prparation d'un domaine existant aux contrleurs de domaine Windows Server 2008 . Vous pouvez ensuite installer AD DS et excuter l'Assistant Installation des services de domaine Active Directory. Dans la page d'accueil de l'Assistant, vous devez slectionner Utiliser l'installation en mode avanc. Dans la fentre Choisissez une configuration de dploiement, cliquez sur Fort existante, slectionnez Crer un nouveau domaine dans une fort existante, puis Crer une nouvelle racine d'arborescence de domaine au lieu d'un nouveau domaine enfant. La suite de la procdure est la mme que pour la cration d'un nouveau domaine enfant. Les options suivantes, fournies sous forme de paramtres de la commande dcpromo.exe, crent une nouvelle arborescence pour le domaine tailspintoys.com dans la fort contoso.com :
dcpromo /unattend /installDNS:yes /replicaOrNewDomain:domain /newDomain:tree /newDomainDnsName:tailspintoys.com /DomainNetbiosName:tailspintoys /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /domainLevel:2 /rebootOnCompletion:yes

Le niveau fonctionnel du domaine tant configur sur 2 (Windows Server 2003 Natif), le domaine peut inclure des contrleurs de domaine Windows Server 2003.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Voici un fichier de rponses d'installation sans assistance qui cre la mme arborescence :
[DCINSTALL] ReplicaOrNewDomain=domain NewDomain=tree NewDomainDNSName=nom complet du nouveau domaine DomainNetBiosName=nom NetBIOS du nouveau domaine UserDomain=nom complet de l'utilisateur spcifi par UserName UserName=DOMAINE\nomUtilisateur (avec autorisation de crer un nouveau domaine) Password=mot de passe de l'utilisateur spcifi par UserName ou * pour l'invite DomainLevel=niveau fonctionnel du domaine (non infrieur au niveau actuel de la fort) InstallDNS=yes ConfirmGC=yes CreateDNSDNSDelegation=yes DNSDelegationUserName=compte avec autorisation de crer une dlgation DNS requis uniquement si diffrent de UserName, ci-dessus DNSDelegationPassword=mot de passe de DNSDelegationUserName ou * pour l'invite DatabasePath="chemin d'accs au dossier dans un volume local" LogPath="chemin d'accs au dossier dans un volume local" SYSVOLPath="chemin d'accs au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-25

Installation intermdiaire d'un contrleur de domaine en lecture seule

Points cls
Comme vous l'avez vu au Module 9, Amlioration de la scurit de l'authentification dans un domaine Services de domaine Active Directory (AD DS) , les contrleurs de domaine en lecture seule sont conus pour prendre en charge les scnarios de filiales en assurant une authentification locale pour le site tout en rduisant les risques de scurit et d'intgrit des donnes associs au placement d'un contrleur de domaine dans un environnement moins bien contrl. Le plus souvent, la filiale ne dispose que d'un personnel informatique trs limit, voire pas du tout. Dans ce cas, comment crer un contrleur de domaine dans une filiale ? Pour rpondre cette question, Windows Server 2008 vous permet de crer une installation intermdiaire, ou dlgue, d'un contrleur de domaine en lecture seule. La procdure comprend deux tapes : Cration du compte du contrleur de domaine en lecture seule (RODC) : un membre du groupe Admins du domaine cre un compte pour le RODC dans Active Directory. Les paramtres lis au RODC sont spcifis ce stade : le nom, le site Active Directory dans lequel le RODC sera cr et, ventuellement, l'utilisateur ou le groupe autoris excuter l'a prochaine tape de l'installation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Association du serveur au compte RODC : une fois le compte cr, AD DS est install. Le serveur, qui doit tre membre d'un groupe de travail et non du domaine, est alors li au domaine et au compte prdfini en tant que RODC. Ces tapes peuvent tre effectues par les utilisateurs ou les groupes dfinis lors de la cration du compte intermdiaire du RODC. Ces utilisateurs n'ont pas besoin d'appartenir un groupe avec privilges. Un membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise peut galement associer un serveur, mais la dlgation potentielle de cette phase un utilisateur sans privilge simplifie grandement le dploiement des RODC dans les filiales non dotes de service informatique. Le contrleur de domaine rpliquera ses donnes partir d'un autre contrleur du domaine inscriptible. La mthode IFM prsente la section Installation des services de domaine Active Directory partir du support peut galement tre utilise.

Cration du compte intermdiaire du RODC Pour crer le compte du RODC dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, cliquez du bouton droit sur l'unit d'organisation Contrleurs de domaine et choisissez Crer au pralable un compte de contrleur de domaine en lecture seule. L'Assistant qui s'affiche ressemble beaucoup l'Assistant Installation des services de domaine Active Directory. Il vous invite spcifier le nom et le site du RODC. Vous pouvez galement configurer la stratgie de rplication des mots de passe, selon les instructions du Module 9, Amlioration de la scurit de l'authentification dans un domaine Services de domaine Active Directory (AD DS) . La page Dlgation de l'installation et de l'administration du contrleur de domaine en lecture seule (RODC), vous permet de spcifier une entit de scurit, utilisateur ou groupe, pouvant associer le serveur au compte du RODC que vous crez. L'utilisateur ou le groupe disposera de droits d'administration sur le RODC aprs l'installation. Il est recommand de dsigner un groupe plutt qu'un utilisateur. Si vous ne dsignez pas un utilisateur ou un groupe, seuls les membres des groupes Administrateurs du domaine ou Administrateurs de l'entreprise peuvent associer le serveur au compte. Vous pouvez crer des comptes RODC prdfinis en utilisant la commande dcpromo.exe avec de nombreux paramtres ou en crant un fichier de rponses pour la commande dcpromo.exe. Vous trouverez la procdure approprie l'adresse : http://go.microsoft.com/fwlink/?LinkId=168471.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-27

Association d'un serveur un compte RODC prdfini

Points cls
Une fois le comte prdfini, vous pouvez lui associer un serveur. Pour associer un serveur un compte RODC prdfini : 1. Vrifiez que le serveur est membre d'un groupe de travail et non du domaine. Promotion partir d'un groupe de travail. Lorsque vous crez un RODC par l'approche intermdiaire (c'est--dire lorsque vous associez un RODC un compte prdfini), le serveur doit tre membre d'un groupe de travail, pas du domaine, lorsque vous lancez la commande dcpromo.exe ou l'Assistant Installation des services de domaine Active Directory. L'Assistant recherchera le compte existant par son nom dans le domaine et l'associera ce compte. 2. Excutez dcpromo.exe /UseExistingAccount:attach. L'Assistant vous demande des informations d'identification rseau, puis localise le compte RODC dsign par ces informations dans le domaine. Les tapes restantes sont les mmes que pour les autres oprations de promotion de contrleurs de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour utiliser un fichier de rponses, fournissez les options et valeurs suivantes :


[DCINSTALL] ReplicaDomainDNSName=nom complet du domaine joindre UserDomain=nom complet de l'utilisateur spcifi par UserName UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) Password=mot de passe de l'utilisateur spcifi par UserName InstallDNS=yes ConfirmGC=yes DatabasePath="chemin d'accs au dossier dans un volume local" LogPath="chemin d'accs au dossier dans un volume local" SYSVOLPath="chemin d'accs au dossier dans un volume local" SafeModeAdminPassword=mot de passe RebootOnCompletion=yes

Excutez la commande dcpromo avec les options /unattend:"chemin d'accs du fichier de rponses et /UseExistingAccount:Attach, comme dans l'exemple suivant :
dcpromo /useexistingaccount:attach /unattend:"c:\rodcanswer.txt"

Toutes les options indiques dans le fichier de rponses peuvent galement tre spcifies ou remplaces directement sur la ligne de commande. Saisissez simplement une commande similaire celle-ci :
dcpromo /unattend /UseExistingAccount:Attach /ReplicaDomainDNSName:contoso.com /UserDomain:contoso.com /UserName:contoso\dan /password:* /databasePath:"e:\ntds" /logPath:"f:\ntdslogs" /sysvolpath:"g:\sysvol" /safeModeAdminPassword:password /rebootOnCompletion:yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-29

Installation d'AD DS partir du support

Points cls
Lorsque vous ajoutez des contrleurs de domaine une fort, les donnes existantes des partitions de l'annuaire sont rpliques dans le nouveau contrleur de domaine. Dans un environnement dot d'un annuaire trs volumineux ou lorsque la bande passante est limite entre un nouveau DC et le DC inscriptible partir duquel la rplication doit s'effectuer, l'option d'installation partir du support (IFM) permet d'installer AD DS plus efficacement. L'installation partir du support implique la cration d'un support d'installation, sauvegarde spciale d'Active Directory que l'Assistant Installation des services de domaine Active Directory peut utiliser comme source de donnes pour renseigner l'annuaire du nouveau DC. Ce dernier ne rplique ensuite que les mises jour issues d'un autre DC inscriptible. Ainsi, un support d'installation rcent permet de rduire l'impact de la rplication dans un nouveau DC. N'oubliez pas que la rplication vers un nouveau contrleur de domaine ne concerne pas uniquement l'annuaire mais galement le dossier SYSVOL. Lorsque vous crez votre support d'installation, vous pouvez y inclure ou non le dossier SYSVOL.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

L'installation IFM vous permet galement de contrler le moment de l'impact sur la bande passante du rseau. Vous pouvez par exemple crer un support d'installation et le transfrer vers un site distant en dehors des heures de bureau, puis crer le contrleur de domaine pendant les heures ouvrables habituelles. Le support d'installation tant stock dans le site local, l'impact sur le rseau est rduit, et seules les mises jour sont rpliques via la liaison au site distant. Pour crer un support d'installation : 1. Ouvrez une invite de commande leve sur un contrleur de domaine inscriptible et excutant Windows Server 2008. Le support d'installation permet de crer des contrleurs de domaine inscriptibles et en lecture seule. 2. 3. 4. 5. Excutez la commande ntdsutil.exe. l'invite de commande ntdsutil, tapez activate instance ntds et appuyez sur ENTRE. Tapez ifm et appuyez sur ENTRE. l'invite de commande ifm:, tapez l'une des commandes suivantes, selon le type de support d'installation que vous souhaitez crer : create sysvol full chemin d'accs : cre un support d'installation avec SYSVOL pour un contrleur de domaine inscriptible dans le dossier spcifi par chemin d'accs. create full chemin d'accs : cre un support d'installation sans dossier SYSVOL pour un contrleur de domaine inscriptible ou une instance des services AD LDS (Active Directory Lightweight Directory Services) dans le dossier spcifi par chemin d'accs. create sysvol rodc chemin d'accs : cre un support d'installation avec dossier SYSVOL pour un contrleur de domaine en lecture seule dans le dossier spcifi par chemin d'accs. create rodc chemin d'accs : cre un support d'installation sans dossier SYSVOL pour un contrleur de domaine en lecture seule dans le dossier spcifi par chemin d'accs.

Lorsque vous excutez l'Assistant Installation des services de domaine Active Directory, cochez la case Utiliser l'installation en mode avanc pour que l'Assistant prsente par la suite la page Installation partir du support (IFM). Choisissez Rpliquer les donnes partir du support l'emplacement suivant. Vous pouvez utiliser l'option d'installation ReplicationSourcePath dans un fichier de rponses ou la ligne de commande dcpromo.exe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-31

Suppression d'un contrleur de domaine

Points cls
Vous pouvez supprimer un contrleur de domaine l'aide de la commande Dcpromo.exe, en lanant l'Assistant Installation des services de domaine Active Directory ou partir d'une invite de commande, en dfinissant les options sur la ligne de commande ou dans un fichier de rponses. Lorsqu'un contrleur de domaine est supprim alors qu'il est connect au domaine, il actualise les mtadonnes de la fort relatives ce contrleur de domaine afin d'en signaler la suppression l'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour utiliser un fichier de rponses, fournissez les options et valeurs suivantes :


[DCINSTALL] UserName=DOMAINE\nomUtilisateur (du groupe Administrateurs du domaine) UserDomain=nom complet de l'utilisateur spcifi par UserName Password=mot de passe de l'utilisateur spcifi par UserName AdministratorPassword=mot de passe qui sera attribu l'Administrateur local RemoveApplicationPartitions=yes RemoveDNSDelegation=yes DNSDelegationUserName=DOMAINE\nom d'utilisateur autoris supprimer la dlgation DNS DNSDelegationPassword=mot de passe du compte

Excutez la commande dcpromo avec les options /unattend:"chemin d'accs du fichier de rponses" et /UninstallBinaries, comme dans l'exemple suivant :
dcpromo /uninstallbinaries /unattend:"c:\rodcanswer.txt"

Toutes les options indiques dans le fichier de rponses peuvent galement tre spcifies ou remplaces directement sur la ligne de commande. Saisissez simplement une commande similaire celle-ci :
dcpromo /unattend /uninstallbinaries /UserName:contoso\dan /password:* /administratorpassword:Pa$$w0rd

Lorsqu'un contrleur de domaine doit tre rtrograd alors qu'il ne peut pas contacter le domaine, vous devez utiliser l'option forceremoval de la commande dcpromo.exe. Tapez dcpromo /forceremoval, et laissez-vous guider par l'Assistant Installation des services de domaine Active Directory. L'assistant vous prsente des avertissements sur les rles hbergs par le contrleur de domaine. Lisez chaque avertissement et, aprs en avoir rduit ou accept l'impact, cliquez sur Oui. Vous pouvez supprimez les avertissements via l'option demotefsmo:yes de la commande dcpromo.exe. Aprs la suppression du contrleur de domaine, vous devez nettoyer manuellement les mtadonnes de la fort.

Lectures complmentaires
Pour plus d'informations sur la suppression d'un contrleur de domaine, consultez http://go.microsoft.com/fwlink/?LinkId=168480. Pour plus d'informations sur le nettoyage des mtadonnes, consultez l'article 216498 de la Base de connaissances Microsoft. Cet article est disponible l'adresse http://go.microsoft.com/fwlink/?LinkId=80481.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-33

Atelier pratique A : Installation de contrleurs de domaine

Scnario
Vous avez t engag pour remplacer l'ancien administrateur de la socit Contoso, Ltd. La premire chose que vous dcouvrez est que le domaine ne comprend qu'un seul contrleur de domaine. Vous dcidez d'en ajouter un second pour assurer la tolrance de panne du service d'annuaire. Vous avez dj install un nouveau serveur nomm HQDC02.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Cration d'un contrleur de domaine supplmentaire avec l'Assistant Installation des services de domaine Active Directory
Dans cet exercice, vous allez utiliser l'Assistant Installation des services de domaine Active Directory (DCPromo.exe) pour crer un contrleur de domaine supplmentaire dans le domaine contoso.com. Toutefois, vous ne terminerez pas l'installation mais enregistrerez les paramtres sous la forme d'un fichier de rponses que vous utiliserez dans l'exercice suivant. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Promouvoir un contrleur de domaine l'aide de l'Assistant Installation des services de domaine Active Directory.

Tche 1 : Prparation de l'atelier pratique


Dmarrez 6238B-HQDC01-A et ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-HQDC02-A, un serveur du groupe de travail, et ouvrez une session en tant qu'Administrateur local avec le mot de passe Pa$$w0rd.

Tche 2 : Promotion d'un contrleur de domaine l'aide de l'Assistant


Installation des services de domaine Active Directory
Dans HQDC02, excutez DCPromo.exe. Acceptez tous les paramtres fournis par dfaut par l'Assistant Administration d'Active Directory, l'exception de ceux rpertoris ci-dessous : Contrleur de domaine supplmentaire dans une fort existante Domaine : contoso.com Autres informations d'identification : Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Slectionnez le domaine : contoso.com. Lorsqu'un avertissement vous signale qu'une adresse IP est attribue dynamiquement HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-35

Lorsqu'un avertissement vous signale que la dlgation DNS est introuvable, cliquez sur Oui. Mot de passe administrateur du Mode restauration des services d'annuaire : Pa$$w0rd

Vrifiez vos slections dans la page Rsum. Si l'un des paramtres est incorrect, cliquez sur Prcdent pour le modifier. Exportez les paramtres dans un fichier stock sur votre Bureau et nomm AdditionalDC. la page Rsum, annulez l'installation du contrleur de domaine. Ne continuez pas la procdure de l'Assistant Installation des services de domaine Active Directory.
Rsultats : Au terme de cet exercice, vous aurez simul la promotion de HQDC02 en contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Ajout d'un contrleur de domaine partir de la ligne de commande


Dans cet exercice, vous allez examiner le fichier de rponses que vous avez cr l'Exercice 1. Vous utiliserez ensuite les options d'installation du fichier de rponses pour crer une ligne de commande dcpromo.exe et installer le contrleur de domaine supplmentaire. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer la commande DCPromo. Excuter la commande DCPromo.

Tche 1 : Cration de la commande DCPromo


Ouvrez le fichier AdditionalDC.txt cr l'Exercice 1. Examinez les rponses du fichier. Comprenez-vous la signification de certaines options ? Conseil : les lignes qui commencent par un point-virgule sont des commentaires ou des lignes inactives dont les commentaires ont t supprims. Ouvrez une seconde instance du Bloc-notes, sous forme de nouveau fichier texte. Activez le retour automatique la ligne. Positionnez les fentres de manire voir le fichier texte vide et le fichier AdditionalDC.txt de rfrence. Dans le Bloc-notes, tapez la ligne de commande dcpromo.exe comme s'il s'agissait d'une invite de commande. Identifiez la ligne de commande charge d'installer le contrleur de domaine avec les mmes options que celles rpertories dans le fichier de rponses. Les paramtres de la ligne de commande prennent la forme /option:valeur alors que, dans le fichier de rponses, ils sont au format option=valeur. Configurez les valeurs Password et SafeModeAdminPassword sur Pa$$w0rd. Demandez DCPromo de redmarrer la fin de l'opration. Comme vous l'apprendrez l'Atelier B, vous pouvez dfinir la valeur du mot de passe sur un astrisque (*). Vous serez alors invit saisir le mot de passe lors de l'excution de la commande. Une fois la commande cre, ouvrez le fichier Exercise2.txt, stock dans le dossier \\HQDC01\d$\Labfiles\Lab11a. Comparez la commande correcte du fichier Exercise2.txt celle que vous avez cre l'tape prcdente. Apportez les corrections ncessaires votre commande.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-37

Tche 2 : Excution de la commande DCPromo


Ouvrez la fentre d'invite de commande. Revenez au fichier du Bloc-notes contenant la commande dcpromo.exe que vous avez cre l'tape 1. Dsactivez le retour la ligne, copiez la ligne de commande que vous avez cre et collez-la dans la fentre d'invite de commande, puis appuyez sur ENTRE pour excuter la commande. HQDC02 est promu contrleur de domaine. Cette opration peut prendre quelques minutes.
Rsultats : Au terme de cet exercice, vous aurez promu HQDC02 en tant que contrleur de domaine supplmentaire du domaine et de la fort contoso.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Suppression d'un contrleur de domaine


Dans cet exercice, vous allez supprimer un contrleur du domaine contoso.com. Les tches principales de cet exercice sont les suivantes : Supprimer un contrleur de domaine.

Tche 1 : Suppression d'un contrleur de domaine


Aprs le redmarrage de HQDC02, ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd. Excutez DCPromo en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Acceptez tous les paramtres prsents par dfaut par l'Assistant et configurez le nouveau mot de passe Administrateur sur Pa$$w0rd. Redmarrez le serveur la fin du processus.
Rsultats : Au terme de cet exercice, vous aurez rtrograd HQDC02 en serveur membre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-39

Exercice 4 : Cration d'un contrleur de domaine partir du support d'installation


Pour rduire la somme de rplication requise pour crer un contrleur de domaine, vous pouvez promouvoir le contrleur de domaine via l'option IFM. L'option IFM implique que vous fournissiez un support d'installation, c'est--dire en ralit une sauvegarde d'Active Directory. Dans cet exercice, vous allez crer le support d'installation dans HQDC01, le transfrer vers HQDC02, puis simuler la promotion de HQDC02 en contrleur de domaine via le support d'installation. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer un support d'installation. Promouvoir un contrleur de domaine l'aide du support d'installation.

Tche 1 : Cration d'un support d'installation


1. 2. Dans HQDC01, excutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez la commande ntdsutil.exe pour crer un support d'installation dans un dossier nomm C:\IFM.

Tche 2 : Promotion d'un contrleur de domaine l'aide du support


d'installation
1. 2. 3. Ouvrez une session sur HQDC02 avec le compte Pat.Coleman et le mot de passe Pa$$w0rd. Copiez le dossier IFM du lecteur C de HQDC01 dans le lecteur C de HQDC02. Dans HQDC02, excutez DCPromo.exe. Acceptez tous les paramtres fournis par dfaut par l'Assistant Installation des services de domaine Active Directory, l'exception de ceux rpertoris ci-dessous : Contrleur de domaine supplmentaire dans une fort existante Domaine : contoso.com. Utilisateur : Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Slectionnez le domaine : contoso.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsqu'un avertissement vous signale qu'une adresse IP est attribue dynamiquement HQDC01, cliquez sur Oui, l'ordinateur utilisera une adresse IP attribue dynamiquement. Lorsqu'un avertissement vous signale que la dlgation DNS est introuvable, cliquez sur Oui. Installation partir du support : Rpliquez les donnes partir du support stock dans le dossier C:\IFM. Aprs la page Contrleur de domaine source, annulez l'Assistant sans terminer la promotion.

Rsultats : Au terme de cet exercice, vous aurez cr un support d'installation dans HQDC01 et simul la promotion de HQDC02 en contrleur de domaine via le support d'installation.

Remarque : Arrtez HQDC02, mais pas HQDC01 puisque vous allez l'utiliser dans le cadre de l'Atelier B.

Questions de contrle des acquis Question : Pourquoi choisir d'utiliser un fichier de rponses ou une ligne de commande dcpromo.exe pour installer un contrleur de domaine plutt que d'utiliser l'Assistant Installation des services de domaine Active Directory ? Question : Dans quels cas est-il justifi de crer un contrleur de domaine l'aide d'un support d'installation ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-41

Leon 2

Installation d'un contrleur de domaine Server Core

La plupart des organisations souhaitent implmenter une scurit maximale pour les serveurs jouant le rle de contrleurs de domaine du fait de la nature sensible des informations stockes dans l'annuaire, notamment les mots de passe des utilisateurs. Bien que la configuration base de rles de Windows Server 2008 rduise la surface de scurit d'un serveur en installant uniquement les composants et services requis par ses rles, il est possible de rduire encore davantage ces serveurs et leur surface de scurit en utilisant une installation minimale (Server Core). Server Core est une installation minimale de Windows qui laisse de ct l'interface utilisateur graphique de l'Explorateur Windows et Microsoft .NET Framework. Vous pouvez grer l'installation minimale distance, l'aide des outils d'interface utilisateur graphique, mais pour configurer et grer un serveur localement, vous devez utiliser les outils de ligne de commande. Dans cet exercice, vous allez apprendre crer un contrleur de domaine via la ligne de commande dans le cadre d'une installation minimale. Vous allez galement apprendre supprimer des contrleurs d'un domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Identifier les avantages et les fonctionnalits d'une installation minimale Installer et configurer une installation minimale Ajouter et supprimer des services de domaine Active Directory l'aide des outils de ligne de commande

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-43

Fonctionnement de Server Core

Points cls
Windows Server 2008 (installation minimale), plus connu sous le nom de Server Core, est une installation minimale de Windows qui occupe environ 3 Go d'espace disque et moins de 256 Mo de mmoire. Server Core limite les rles de serveur et les fonctionnalits qu'il est possible d'ajouter mais amliore la scurit et les capacits de gestion du serveur en rduisant sa surface d'attaque. Le nombre de services et de composants fonctionnant simultanment tant limit, les intrus ventuels ont moins d'opportunits de compromettre le serveur. Server Core rduit galement la charge de gestion du serveur, qui ncessite moins de mises jour et de maintenance. Server Core prend en charge neuf rles de serveur : Services de domaine Active Directory (AD DS) Services AD LDS (Active Directory Lightweight Directory Services) Serveur DHCP (Dynamic Host Configuration Protocol) Serveur DNS

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Services de fichiers Serveur d'impression Services de diffusion multimdia en continu Serveur Web (IIS) (en tant que serveur Web statique, ASP.NET ne peut pas tre install) Hyper-V (Virtualisation Windows Server)

Server Core prend galement en charge les 11 fonctionnalits facultatives suivantes : Cluster de basculement Microsoft quilibrage de la charge rseau Sous-systme pour les applications UNIX Sauvegarde Windows MPIO (Multipath I/O) Gestion du stockage amovible Chiffrement de lecteur BitLocker Windows Protocole SNMP (Simple Network Management Protocol) Service WINS Client Telnet Qualit de service (QoS)

Lectures complmentaires
Option d'installation Server Core : http://go.microsoft.com/fwlink/?LinkId=168473

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-45

Installation de Windows dans sa version minimale

Points cls
Vous pouvez installer Windows dans sa version minimale avec la mme procdure que pour une installation complte. Les diffrences entre une installation complte et une installation minimale sont, tout d'abord, la slection de l'Installation minimale dans l'Assistant Installation de Windows illustr la page suivante, puis l'affichage d'une invite de commandes la place de l'interface Explorateur Windows lorsque vous ouvrez une session la fin de l'installation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsque vous installez Windows Server 2008 partir de son DVD, le mot de passe initial du compte Administrateur est vide. Lorsque vous ouvrez pour la premire fois une session sur le serveur, utilisez un mot de passe vide. Vous serez invit modifier le mot de passe lors de la premire ouverture de session.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-47

Commandes de configuration de Server Core

Points cls
Lors d'une installation complte de Windows Server 2008, la fentre Tches de configuration initiales s'affiche pour vous guider tout au long de la configuration aprs installation du serveur. L'installation minimale ne comporte pas d'interface utilisateur graphique, vous devez donc effectuer ces tches l'aide des outils de ligne de commande Le tableau suivant rpertorie les principales tches de configuration et les commandes que vous pouvez utiliser. Pour plus d'informations sur une commande, ouvrez une invite de commande et tapez le nom de la commande suivie de /?.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Commandes de configuration de Server Core


Tche Modifier le mot de passe Administrateur Commande Lorsque vous ouvrez une session avec CTRL+ALT+SUPPR, vous tes invit modifier le mot de passe. Vous pouvez galement taper la commande suivante : net user administrator * Dfinir une configuration IPv4 statique Activer Windows Server Joindre un domaine Ajouter des rles, des composants ou des fonctionnalits l'installation minimale Afficher les rles, les composants et les fonctionnalits installs Activer le Bureau distance Promouvoir un contrleur de domaine Configurer DNS Configurer DFS netsh interface ipv4 cscript c:\windows\system32\slmgr.vbs ato netdom ocsetup.exe package ou fonctionnalit Notez que les noms de package ou de fonctionnalit respectent la casse. oclist.exe

cscript c:\windows\system32\scregedit.wsf /AR 0 dcpromo.exe dnscmd.exe dfscmd.exe

La commande Ocsetup.exe permet d'ajouter des rles et des fonctionnalits Server Core au serveur. Les services de domaine Active Directory sont la seule exception cette rgle. N'utilisez pas la commande Ocsetup.exe pour ajouter ou supprimer AD DS. Utilisez dans ce cas la commande Dcpromo.exe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-49

L'Assistant Installation des services de domaine Active Directory n'tant pas disponible lors d'une installation minimale, vous devez utiliser la ligne de commande pour excuter Dcpromo.exe avec les paramtres qui configurent AD DS. Pour plus d'informations sur les paramtres de la commande dcpromo.exe, ouvrez une ligne de commande et tapez dcpromo.exe /?. Chaque scnario de configuration s'accompagne d'informations d'utilisation complmentaires. Par exemple, tapez dcpromo.exe /?:Promotion pour obtenir des instructions d'utilisation dtailles sur la promotion d'un contrleur de domaine.

Lectures complmentaires
Annexe des paramtres d'installation sans assistance : http://go.microsoft.com/fwlink/?LinkId=168474

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Installation d'un contrleur de domaine Server Core

Scnario
Vous tes administrateur de domaine chez Contoso, Ltd. et vous souhaitez ajouter un contrleur de domaine dans l'environnement AD DS. Pour renforcer la scurit du nouveau contrleur de domaine, vous envisagez d'utiliser une installation minimale. Vous avez dj effectu une installation minimale sur un nouvel ordinateur et tes prt configurer le serveur en tant que contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-51

Exercice 1 : Configuration aprs l'installation minimale


Dans cet exercice, vous allez effectuer une configuration aprs l'installation du serveur afin de le prparer en utilisant le nom et les paramtres TCP/IP requis pour les exercices restant de cet atelier. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Configuration aprs l'installation minimale.

Tche 1 : Prparation de l'atelier pratique


L'ordinateur virtuel 6238B-HQDC01-A doit tre prt aprs l'Atelier pratique A. Dmarrez 6238B-HQDC01-A sans ouvrir de session. Dmarrez 6238B-HQDC03-A sans ouvrir de session.

Tche 2 : Configuration aprs l'installation minimale


Ouvrez une session sur l'ordinateur HQDC03 avec le compte Administrator et le mot de passe Pa$$w0rd. Configurez l'adresse IPv4 et le serveur DNS en tapant chacune des commandes suivantes :
netsh interface ipv4 set address name="Local Area Connection" source=static address=10.0.0.13 mask=255.255.255.0 gateway=10.0.0.1

netsh interface ipv4 set dns name="Local Area Connection" source=static address=10.0.0.11 primary

Vrifiez la configuration IP saisie prcdemment avec la commande ipconfig /all. Renommez le serveur en tapant netdom renamecomputer %nomOrdinateur% /newname:HQDC03. Vous serez invit appuyer sur Y pour confirmer l'opration. Redmarrez en tapant shutdown -r -t 0.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ouvrez une session en tant qu'Administrator avec le mot de passe Pa$$w0rd. Rejoignez le domaine l'aide de la commande suivante :
netdom join %nomOrdinateur% /domain:contoso.com /UserD:CONTOSO\Pat.Coleman_Admin /PasswordD:Pa$$w0rd /OU:"ou=servers,dc=contoso,dc=com"

Redmarrez en tapant shutdown -r -t 0.


Rsultats : Au terme de cet exercice, vous aurez configur l'installation minimale en tant que membre du domaine contoso.com sous le nom HQDC03.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-53

Exercice 2 : Cration d'un contrleur de domaine via l'installation minimale


Dans cet exercice, vous allez ajouter les rles DNS et AD DS l'installation minimale. Les tches principales de cet exercice sont les suivantes : 1. 2. Ajouter le rle de serveur DNS l'installation minimale. Crer un contrleur de domaine dans l'installation minimale via la commande dcpromo.exe.

Tche 1 : Ajout du rle de serveur DNS l'installation minimale


Ouvrez une session sur l'ordinateur HQDC03 avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Affichez les rles de serveur disponibles en tapant oclist. Quel est l'identifiant du package du rle de serveur DNS ? Quel est son tat ? Tapez ocsetup et appuyez sur ENTRE. Surprise ! L'installation minimale comprend un minimum d'interface utilisateur graphique. Cliquez sur OK pour fermer la fentre. Tapez ocsetup DNS-Server-Core-Role. Remarquez que les identifiants de package respectent la casse. Tapez oclist et vrifiez que le rle de serveur DNS a bien t install.

Tche 2 : Cration d'un contrleur de domaine dans l'installation


minimale via la commande dcpromo.exe
Vrifiez que vous tes toujours connect sur l'ordinateur HQDC03 avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez dcpromo.exe /? et appuyez sur ENTRE. Passez en revue les informations d'utilisation. Tapez dcpromo.exe /?:Promotion et appuyez sur ENTRE. Passez en revue les informations d'utilisation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tapez la commande suivante pour ajouter et configurer le rle AD DS, puis appuyez sur ENTRE :
dcpromo /unattend /ReplicaOrNewDomain:replica /ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes /UserName:CONTOSO\Pat.Coleman_Admin /Password:* /safeModeAdminPassword:Pa$$w0rd

Lorsque vous tes invit saisir des informations d'identification rseau, tapez Pa$$w0rd, puis cliquez sur OK. Le rle AD DS est install et configur, puis le serveur redmarre.
Rsultats : Au terme de cet exercice, vous aurez promu le serveur d'installation minimale, HQDC03, en contrleur du domaine contoso.com.

Remarque : vous pouvez arrter les deux ordinateurs virtuels car l'atelier suivant en utilise d'autres.

Questions de contrle des acquis


Question : Avez-vous trouv la configuration d'une installation minimale particulirement difficile ? Question : Quels sont les avantages de l'utilisation d'une installation minimale pour les contrleurs de domaine ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-55

Leon 3

Gestion des matres d'oprations

Dans un domaine Active Directory, tous les contrleurs de domaine sont quivalents. Ils sont tous capables d'crire dans la base de donnes et de rpliquer les modifications dans les autres contrleurs de domaine. Toutefois, dans une topologie de rplication multimatre, certaines oprations doivent tre effectues par un seul et unique systme. Dans un domaine Active Directory, les matres d'opration sont les contrleurs de domaine chargs de ce rle spcifique. Les autres contrleurs de domaine sont capables de jouer ce rle mais ne le font pas. Cette leon dcrit les cinq matres d'oprations disponibles dans les forts et domaines Active Directory. Vous dcouvrirez leurs objectifs et apprendrez identifier les matres d'oprations dans votre entreprise et les nuances de l'administration et du transfert des rles.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dfinir l'objectif des cinq oprations matre unique des forts Active Directory ; identifier les contrleurs de domaine jouant le rle de matre d'oprations ; planifier l'emplacement des rles de matre d'oprations ; transfrer et capter des rles de matre d'oprations.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-57

Fonctionnement des oprations matre unique

Points cls
Dans toute base de donnes rplique, certaines modifications doivent tre excutes par un seul et unique rplica car une excution en mode multimatre serait quasiment impossible. Active Directory ne fait pas exception cette rgle. Un nombre limit d'oprations ne peuvent pas se produire simultanment en des emplacements diffrents et doivent tre confies un seul contrleur de domaine d'une fort ou d'un domaine. Ces oprations, et les contrleurs de domaine qui les excutent, sont dsigns par diffrents termes : Matres d'oprations Rles de matre d'oprations Rles de matre unique Jetons d'opration Oprations matre unique flottant (FSMO)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Quel que soit le terme utilis, l'ide est la mme. Un seul contrleur de domaine effectue une fonction et, pendant cette opration, aucun autre contrleur de domaine n'effectue cette mme fonction. Tous les contrleurs de domaine Active Directory sont capables d'excuter des oprations matre unique. Le contrleur de domaine qui effectue vritablement l'opration est celui qui dtient actuellement le jeton de l'opration. Un jeton d'opration, donc le rle, peut aisment tre transmis un autre contrleur de domaine sans redmarrage. Pour rduire les risques de points de dfaillance uniques, les jetons d'opration peuvent tre rpartis entre plusieurs contrleurs de domaine. AD DS contient cinq rles de matre d'oprations. Deux rles sont excuts pour l'ensemble de la fort : Matre d'oprations des noms de domaine Matre d'oprations du schma

Trois rles sont effectus dans chaque domaine : Identificateur relatif (RID) Infrastructure mulateur PDC

Chacun de ces rles est dtaill dans les sections suivantes. Quand la fort ne comprend qu'un seul domaine, cinq matres d'oprations sont prsents. Une fort deux domaines comprend huit matres d'oprations car les trois rles de matres de domaine sont implments sparment dans chacun des deux domaines.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-59

Rles de matre d'oprations

Points cls
Rles de matre d'oprations l'chelle d'une fort Le matre de schma et le matre de nom de domaine doivent tre uniques au sein de la fort. Chaque rle est excut par un seul contrleur de domaine dans l'ensemble de la fort. Rle de matre d'oprations des noms de domaine Le rle des noms de domaine sert ajouter ou supprimer des domaines dans la fort. Lorsque vous ajoutez ou supprimer un domaine, le matre de noms de domaine doit tre accessible. Si ce n'est pas le cas, l'opration choue. Rle de contrleur de schma Le contrleur de domaine qui dtient le rle de contrleur de schma est charg d'effectuer toutes les modifications apportes au schma de la fort. Tous les autres contrleurs de domaine dtiennent des rplicas du schma en lecture seule. Pour modifier le schma ou installer une application qui le modifie, il est conseill d'effectuer l'opration sur le contrleur de domaine qui dtient le rle de contrleur de schma. En effet, pour tre inscrites dans le schma, les modifications demandes doivent tre envoyes au contrleur de schma.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rles de matre d'oprations l'chelle d'un domaine Chaque domaine conserve trois oprations matre unique : RID, Infrastructure et mulateur PDC. Chaque rle est excut par un seul et unique contrleur du domaine. Rle de matre RID Le matre RID joue un rle essentiel dans la gnration des identifiants de scurit (SID) pour les entits de scurit comme les utilisateurs, les groupes et les ordinateurs. L'identifiant SID d'une entit de scurit doit tre unique. Tout contrleur de domaine pouvant crer des comptes, donc des SID, un mcanisme doit garantir que les SID gnrs par un contrleur de domaine sont uniques. Les contrleurs de domaine Active Directory gnrent des SID en affectant un RID unique au SID du domaine. Le matre RID du domaine attribue des pools de RID uniques chaque contrleur du domaine. Chacun d'eux sait ainsi avec certitude que les SID qu'il gnre sont uniques.
Remarque : le rle de matre RID correspond au rle DHCP pour les SID. Si vous connaissez le concept d'attribution d'une tendue d'adresses IP que le serveur DHCP peut affecter aux clients, vous pouvez faire le parallle avec un matre RID, qui alloue des pools de RID aux contrleurs de domaine pour la cration des SID.

Rle de matre d'infrastructure Dans un environnement plusieurs domaines, un objet fait souvent rfrence aux objets des autres domaines. Un groupe, par exemple, peut inclure des membres d'un autre domaine. Son attribut de membre plusieurs valeurs contient les noms uniques de chaque membre. Si le membre de l'autre domaine est dplac ou renomm, le matre d'infrastructure du domaine du groupe actualise en consquence l'attribut de membre du groupe.
Remarque : concernant le matre d'infrastructure, vous pouvez le considrer comme un priphrique de suivi des membres de groupes issus d'autres domaines. Lorsque ces membres sont renomms ou dplacs dans l'autre domaine, le matre d'infrastructure s'aperoit du changement et modifie les appartenances de groupe de faon approprie afin qu'elles restent jour.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-61

Rle d'mulateur PDC Le rle d'mulateur PDC joue plusieurs fonctions essentielles pour un domaine : Il mule un contrleur de domaine principal (PDC) pour la compatibilit descendante. l'poque des domaines Windows NT 4.0, seul le PDC pouvait modifier l'annuaire. Les outils, utilitaires et clients prcdents, conus pour prendre en charge Windows NT 4.0, ne savaient pas que tous les contrleurs de domaine Active Directory pouvaient crire dans l'annuaire. Ces outils demandaient donc une connexion au PDC. Le contrleur de domaine qui dtient le rle d'mulateur PDC s'enregistre lui-mme en tant que PDC pour que les applications de bas niveau puissent localiser un contrleur de domaine inscriptible. Active Directory ayant prs de 10 ans aujourd'hui, ces applications sont moins courantes et si votre entreprise en utilise, pensez les mettre niveau pour assurer une compatibilit Active Directory complte. Il participe la gestion des mises jour de mot de passe pour le domaine. Lorsque le mot de passe d'un utilisateur est rinitialis ou modifi, le contrleur de domaine qui effectue les modifications les rplique immdiatement dans l'mulateur PDC. Cette rplication particulire permet de s'assurer que les contrleurs de domaine connaissent le nouveau mot de passe aussi rapidement que possible. Lorsqu'un utilisateur tente d'ouvrir une session immdiatement aprs avoir modifi son mot de passe, le contrleur de domaine qui rpond cette demande d'ouverture de session peut ne pas connatre le nouveau mot de passe. Avant de rejeter la tentative de connexion, le contrleur de domaine transmet la demande d'authentification un mulateur PDC qui vrifie l'exactitude du nouveau mot de passe et indique au contrleur de domaine d'accepter la demande. Cette fonction implique que, chaque fois qu'un utilisateur saisit un mot de passe incorrect, l'authentification est transmise l'mulateur PDC pour obtenir un deuxime avis. L'mulateur PDC doit donc tre largement accessible tous les clients du domaine. Il doit s'agir d'un contrleur de domaine hautes performances et bien connect. Il gre les mises jour de la stratgie de groupe au sein d'un domaine. La modification quasi simultane d'un objet de stratgie du groupe (GPO) dans deux contrleurs de domaine peut entraner des conflits entre les deux versions, conflits que la rplication du GPO peut ne pas rsoudre. Pour viter cette situation, l'mulateur PDC joue le rle de point focal pour toutes les modifications de la stratgie de groupe. Lorsque vous ouvrez un objet GPO dans l'diteur de gestion des stratgies de groupe (GPME), ce dernier se relie au contrleur de domaine qui joue le rle d'mulateur PDC. Par dfaut, toutes les modifications apportes aux objets GPO sont donc effectues au niveau de l'mulateur PDC.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Il fournit une source d'heure de rfrence au domaine. Active Directory, Kerberos, le service de rplication de fichiers (FRS) et la rplication DFSR s'appuient tous sur des horodatages. La synchronisation de l'heure dans tous les systmes d'un domaine est donc cruciale. L'mulateur PDC du domaine racine de la fort fournit, par dfaut, l'horodatage matre de l'ensemble de la fort. Les mulateurs PDC de chaque domaine synchronisent leur heure avec l'mulateur PDC racine de la fort. Les autres contrleurs du domaine synchronisent leurs horloges sur celle de l'mulateur PDC de ce domaine. Tous les autres membres du domaine synchronisent leur horloge avec celle de leur contrleur de domaine favori. Cette structure hirarchique de synchronisation de l'heure, implmente par l'intermdiaire du service Win32Time, garantit la cohrence des horloges. L'horloge en temps universel (UTC) est synchronise, et le rglage de l'heure affiche aux utilisateurs s'effectue en fonction du paramtre de fuseau horaire de l'ordinateur.

Remarque : ne modifiez le service d'horloge que d'une seule manire. Il est fortement recommand d'autoriser Windows conserver ses mcanismes natifs de synchronisation du temps par dfaut. La seule modification que vous pouvez effectuer consiste configurer l'mulateur PDC du domaine racine de la fort pour qu'il effectue la synchronisation partir d'une autre source d'heure. Si vous ne dfinissez pas de source de date et d'heure pour l'mulateur PDC, les erreurs enregistres par le journal des vnements Systme vous rappelleront de le faire. Pour plus d'informations, consultez http://go.microsoft.com/fwlink/?LinkId=91969 et les articles cits en rfrence.

Il joue le rle d'explorateur principal de domaine. Lorsque vous ouvrez le dossier Rseau de Windows, vous obtenez la liste des groupes de travail et des domaines. Lorsque vous ouvrez un groupe de travail ou un domaine, vous obtenez la liste des ordinateurs. Ces deux listes, appeles listes de parcours, sont cres par le service Explorateur. Dans chaque segment rseau, un explorateur matre cre la liste de parcours : les listes des groupes de travail, des domaines et des serveurs de ce segment. L'explorateur matre du domaine fusionne les listes de chaque explorateur matre pour que les clients de parcours puissent rcuprer une liste de parcours complte.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-63

Optimisation de l'emplacement des matres d'oprations

Points cls
Lorsque vous crez le domaine racine de la fort et son premier contrleur de domaine, ce dernier joue les cinq rles de matre d'oprations. Lorsque vous ajoutez des contrleurs au domaine, vous pouvez confier des rles de matre d'oprations aux autres contrleurs de domaine afin d'quilibrer la charge entre ces derniers ou pour optimiser l'emplacement d'une opration matre unique. En matire d'emplacement des rles de matre d'oprations, les recommandations sont les suivantes : Choisissez le mme emplacement pour le matre du schma et le matre des noms de domaine. Les rles de matre du schma et de matre des noms de domaine doivent tre placs dans un mme contrleur de domaine, galement serveur de Catalogue global (GC). Ces rles ne sont que rarement utiliss et le contrleur de domaine qui les hbergent doit tre fortement scuris. Le matre des noms de domaine doit tre hberg par un serveur de catalogue global car, lors de l'ajout d'un nouveau domaine, il doit pouvoir vrifier qu'aucun objet ne porte le mme nom que le nouveau domaine, quel que soit le type d'objet. La rplique partielle du catalogue global contient le nom de chacun des objets de la fort. La charge lie ces rles de matre d'oprations reste trs lgre, sauf lorsque des modifications sont apportes au schma.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Choisissez le mme emplacement pour les rles de matre RID et d'mulateur PDC. Placez les rles de matre RID et d'mulateur PDC dans un mme contrleur de domaine. Si la charge implique de placer ces rles dans deux contrleurs de domaine distincts, les deux systmes doivent tre physiquement bien connects et disposer d'objets de connexion explicites crs dans Active Directory de manire tre des partenaires de rplication directs. Ils doivent galement tre des partenaires de rplication directs pour les contrleurs de domaine slectionns comme matres d'oprations de secours.

Placez le matre d'infrastructure dans un contrleur de domaine qui ne soit pas un serveur de catalogue global. Le matre d'infrastructure doit tre plac dans un contrleur de domaine qui ne joue pas le rle de serveur de catalogue global mais qui soit physiquement bien connect un tel serveur. Le matre d'infrastructure doit disposer, dans Active Directory, d'objets explicites de connexion ce serveur de catalogue global pour qu'ils puissent tre des partenaires de rplication directs. Le matre d'infrastructure peut tre plac dans le contrleur de domaine jouant galement le rle de matre RID et d'mulateur PDC.

Remarque : le fait qu'ils soient tous des serveurs de catalogue global ou non n'a pas d'importance. Lorsque tous les contrleurs d'un domaine sont galement serveur de catalogue global, ce que recommandait le Module 12 Configuration des sites et de la rplication Active Directory , savoir quel contrleur de domaine joue le rle de matre d'infrastructure importe peu. Dans un tel cas, tous les contrleurs de domaine disposent d'informations jour sur chaque objet de la fort et le rle de matre d'infrastructure n'est donc plus ncessaire.

Disposez d'un plan de basculement. Au cours des sections suivantes, vous allez apprendre transfrer des rles de matre d'oprations uniques entre des contrleurs de domaine, opration ncessaire en cas de longues priodes d'inactivit, planifies ou non. tablissez l'avance un plan de transfert des rles d'oprations d'autres contrleurs de domaine en cas de dconnexion d'un matre d'oprations.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-65

Identification des matres d'oprations

Points cls
Pour implmenter votre plan de placement des rles, vous devez savoir quels contrleurs de domaine excutent actuellement des rles d'oprations matre unique. Chaque rle est prsent dans un outil d'administration Active Directory, de mme que dans d'autres outils d'interface utilisateur et de ligne de commande.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour identifier le matre actuel de chaque rle, servez-vous des outils suivants : mulateur PDC : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Matres d'oprations. Ouvrez l'onglet CDP. La page suivante prsente un exemple qui indique que SERVER01.contoso.com est actuellement le matre d'oprations CDP.

Matre RID : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Matres d'oprations. Ouvrez l'onglet RID.

Matre d'infrastructure : composant logiciel enfichable Utilisateurs et ordinateurs Active Directory Cliquez du bouton droit sur le domaine et choisissez Matres d'oprations. Ouvrez l'onglet Infrastructure.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-67

Matre d'oprations des noms de domaine : composant logiciel enfichable Domaines et approbations Active Directory Cliquez du bouton droit sur le nud racine du composant logiciel enfichable (Domaines et approbations Active Directory) et choisissez Matre d'oprations.

Contrleur de schma : composant logiciel enfichable Schma Active Directory Cliquez du bouton droit sur le nud racine du composant logiciel enfichable (Schma Active Directory) et choisissez Matre d'oprations.

Remarque : concernant l'enregistrement du composant logiciel enfichable Schma Active Directory, vous devez l'inscrire avant de pouvoir crer une console MMC (Microsoft Management Console) personnalise avec le composant logiciel enfichable. l'invite de commande, tapez regsvr32 schmmgmt.dll.

D'autres outils permettent galement d'identifier les matres d'opration, dont les commandes suivantes : NTDSUtil
ntdsutil roles connections connect to server DomainControllerFQDN:portnumber quit select operation target list roles for connected server quit quit quit

dcdiag /test:knowsofroleholders /v netdom query fsmo

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Transfert des rles de matre d'oprations

Points cls
Vous pouvez facilement transfrer un rle de matre d'oprations. Cette opration est ncessaire dans les cas suivants : Lorsque vous crez votre fort, les cinq rles sont excuts par le premier contrleur de domaine que vous installez. Lorsque vous ajoutez un domaine la fort, les trois rles de domaine sont excuts par le premier contrleur de ce domaine. Lorsque vous ajoutez d'autres contrleurs de domaine, vous pouvez rpartir les rles afin de rduire les risques de point unique de dfaillance et d'amliorer les performances. Si vous envisagez la mise hors connexion d'un contrleur de domaine hbergeant actuellement un rle de matre d'oprations, transfrez ce rle un autre contrleur de domaine avant la mise hors connexion. Si vous dsaffectez un contrleur de domaine hbergeant actuellement un rle de matre d'oprations, transfrez ce rle un autre contrleur de domaine avant la dsaffectation. L'Assistant Installation des services de domaine Active Directory tentera d'effectuer cette opration automatiquement, mais vous devez tre prt rtrograder un contrleur de domaine en transfrant ses rles.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-69

Pour transfrer un rle de matre d'oprations, procdez comme suit : 1. Il est recommand de vrifier que la rplication du nouveau dtenteur du rle a bien t effectue partir de l'ancien dtenteur du rle avant de transfrer le rle. Vous pouvez utiliser les techniques dcrites au Module 12 pour imposer une rplication entre les deux systmes. Ouvrez l'outil d'administration qui expose le matre actuel. Par exemple, ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour transfrer l'un des trois rles de matre du domaine. 3. Connectez-vous au contrleur de domaine auquel vous transfrez le rle. Pour ce faire, cliquez du bouton droit sur le nud racine du composant logiciel enfichable et choisissez Modifier le contrleur de domaine ou Changer de contrleur de domaine Active Directory. (La commande diffre selon les composants logiciels enfichables.) 4. Ouvrez la bote de dialogue Matre d'oprations. Celle-ci prsente le contrleur de domaine dtenant actuellement le jeton de rle de l'opration. Cliquez sur le bouton Modifier pour transfrer le rle au contrleur de domaine auquel vous tes connect.

2.

Lorsque vous transfrez un rle de matre d'oprations, le matre actuel et le nouveau matre sont en ligne. Le jeton est transfr et le nouveau matre commence immdiatement jouer son rle, ce que l'ancien matre cesse aussitt de faire. Il s'agit l de la meilleure mthode pour dplacer des rles de matre d'oprations.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Captage des rles de matre d'oprations

Points cls
Identification des dfaillances d'un matre d'oprations Plusieurs rles de matre d'oprations peuvent tre indisponibles pendant quelque temps avant que leur absence ne devienne un problme. D'autres jouent un rle essentiel pour le fonctionnement quotidien de votre entreprise. Pour identifier les problmes lis aux matres d'oprations, examinez le journal des vnements du Service d'annuaire. Le plus souvent toutefois, vous ne dcouvrirez la dfaillance d'un matre d'oprations qu'au moment d'utiliser une fonction qu'il gre, et cette fonction choue. Par exemple, en cas de dfaillance du matre RID, vous ne parviendrez pas crer de nouvelles entits de scurit. Rponse la dfaillance d'un matre d'opration En cas de dfaillance d'un contrleur de domaine excutant une opration matre unique, si vous n'arrivez pas remettre le systme en service, vous avez la possibilit de capter le jeton des oprations. Lorsque vous captez un rle, vous dsignez un nouveau matre sans supprimer correctement le rle du matre dfaillant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-71

Le captage d'un rle tant une mesure draconienne, assurez-vous que cette action soit vritablement ncessaire. Identifiez la cause et la dure prvue de la dconnexion du matre d'oprations. Si ce dernier peut tre ramen en ligne dans un dlai raisonnable, patientez. Comment dfinir ce dlai raisonnable ? Il dpend en fait de l'impact du rle dfaillant. Dfaillance de l'mulateur PDC L'mulateur PDC est le matre d'oprations dont l'impact sur les oprations habituelles et les utilisateurs est le plus immdiat lorsqu'il n'est plus disponible. Par chance, le rle d'mulateur PDC peut tre capt par un autre contrleur de domaine, puis retransmis son dtenteur original lorsque le systme revient en ligne. Dfaillance du matre d'infrastructure Une dfaillance du matre d'infrastructure sera dtecte par les administrateurs, mais pas par les utilisateurs. Le matre d'infrastructure tant charg de mettre jour les noms des membres de groupes appartenant d'autres domaines, il peut donner l'impression que l'appartenance aux groupes est incorrecte. Cependant, comme nous l'avons mentionn prcdemment dans cette leon, cette appartenance n'est pas rellement affecte. Vous pouvez capter le rle de matre d'infrastructure et le confier un autre contrleur de domaine, puis le retransmettre son dtenteur prcdent lorsque le systme revient en ligne. Dfaillance du matre RID Un matre RID dfaillant finit par empcher les contrleurs de domaine de crer de nouveaux SID et, par consquent, vous empche de crer de nouveaux comptes pour les utilisateurs, les groupes ou les ordinateurs. Le matre RID fournissant toutefois un pool de RID d'une certaine taille aux contrleurs de domaine, il est gnralement possible de rester un certain temps sans matre RID, par exemple jusqu' ce qu'il soit rpar, sauf si vous gnrez de nombreux nouveaux comptes. Le captage de ce rle par un autre contrleur de domaine est une mesure importante. Aprs le captage du rle de matre RID, le contrleur de domaine qui tenait ce rle ne peut pas tre ramen en ligne. Dfaillance du contrleur de schma Le rle de contrleur de schma n'est ncessaire que lorsque des modifications sont apportes au schma, directement par un administrateur ou lors de l'installation d'une application intgre Active Directory qui modifie le schma. Le reste du temps, ce rle est inutile. Il peut rester hors connexion indfiniment, jusqu' ce que des modifications du schma deviennent ncessaires. Le captage de ce rle par un autre contrleur de domaine est une mesure importante. Aprs le captage du rle de contrleur de schma, le contrleur de domaine qui tenait ce rle ne peut pas tre ramen en ligne.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dfaillance du matre des noms de domaine Le rle de matre des noms de domaine est uniquement ncessaire lorsque vous ajoutez un domaine la fort ou lorsque vous supprimez un domaine dans une fort. Jusqu' ce que de telles modifications soient requises pour l'infrastructure de votre domaine, le rle de matre des noms de domaine peut demeurer hors connexion pendant une priode indfinie. Le captage de ce rle par un autre contrleur de domaine est une mesure importante. Aprs le captage du rle de matre des noms de domaine, le contrleur de domaine qui tenait ce rle ne peut pas tre ramen en ligne. Captage d'un rle de matre d'oprations Bien qu'il soit possible de transfrer des rles l'aide des outils d'administration, vous devez utiliser la commande Ntdsutil.exe pour capter un rle. Pour capter un rle de matre d'oprations, procdez comme suit : 1. 2. l'invite de commande, tapez ntdsutil, puis appuyez sur ENTRE. l'invite de commande ntdsutil, tapez roles et appuyez sur ENTRE. Les tapes suivantes tablissent une connexion au contrleur de domaine auquel vous souhaitez confier le rle d'opration matre unique. 3. 4. l'invite Maintenance Fsmo, tapez connections et appuyez sur ENTRE. l'invite de connexion au serveur, tapez connect to server NomCompletContrleurDomaine et appuyez sur ENTRE. NomCompletContrleurDomaine est le nom de domaine complet du contrleur de domaine auquel vous souhaitez confier le rle. Ntdsutil rpond que la connexion au serveur a t tablie. 5. 6. l'invite de connexion au serveur, tapez quit et appuyez sur ENTRE. l'invite Maintenance Fsmo, tapez seize rle et appuyez sur ENTRE. Rle correspond l'un des lments suivants : 7. 8. Contrleur de schma Matre des noms de domaine Matre RID Contrleur de domaine principal (PDC) Matre d'infrastructure

l'invite Maintenance Fsmo, tapez quit et appuyez sur ENTRE. l'invite de commande ntdsutil, tapez quit et appuyez sur ENTRE.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-73

Restitution d'un rle son dtenteur d'origine Pour qu'il soit possible de planifier une priode de temps d'arrt pour un contrleur de domaine lorsqu'un rle a t transfr, mais pas capt, ce rle peut tre restitu son contrleur de domaine d'origine. Toutefois, lorsque le rle a t capt et que le matre prcdent peut tre ramen en ligne, soyez extrmement prudent. L'mulateur PDC et le matre d'infrastructure sont les seuls rles de matre d'oprations qui peuvent tre restitus au matre d'origine aprs avoir t capts.
Remarque : ne remettez jamais en service un contrleur de schma, un matre de noms de domaine ou un matre RID qui a t capt. Lorsque ces rles ont t capts, vous devez dsaffecter entirement le contrleur de domaine d'origine.

Si vous avez capt les rles de contrleur de schma, de matre de noms de domaine ou de matre RID pour les confier un autre contrleur de domaine, ne remettez pas en ligne le contrleur de domaine d'origine sans l'avoir auparavant entirement dsaffecter. Cela signifie que le dtenteur du rle d'origine doit tre physiquement dconnect du rseau et que vous devez supprimer AD DS avec la commande dcpromo /forceremoval. Vous devez galement nettoyer les mtadonnes de ce contrleur de domaine selon les instructions fournies l'adresse http://go.microsoft.com/fwlink/?LinkId=80481. Lorsque le contrleur de domaine a t entirement supprim d'Active Directory, vous pouvez le reconnecter au rseau et y joindre un domaine si vous le souhaitez. Si vous voulez en faire un contrleur de domaine, vous pouvez le promouvoir. Si vous souhaitez qu'il reprenne le rle de matre d'oprations, vous pouvez lui reconfier ce rle.
Remarque : il est prfrable de tout reconstruire. Du fait de la nature sensible des contrleurs de domaine, il est prfrable dans ce cas de rinstaller entirement l'ancien contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique C : Transfert des rles de matre d'oprations

Scnario
Vous tes administrateur de domaine chez Contoso, Ltd. L'alimentation redondante de l'ordinateur HQDC01 est dfaillante et vous devez mettre le serveur hors connexion pour assurer sa maintenance. Vous prfrez vous assurer que les oprations AD DS ne soient pas interrompues pendant la mise hors connexion du serveur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-75

Exercice 1 : Identification des matres d'oprations


Dans cet exercice, vous allez vous servir de l'interface utilisateur et des outils de ligne de commande pour identifier les matres d'oprations du domaine contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Identifier des matres d'oprations l'aide des composants logiciels enfichables administratifs d'Active Directory. Identifier des matres d'oprations l'aide de la commande NetDom.

Tche 1 : Prparation de l'atelier pratique


Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab11c. Excutez Lab11c_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de l'Explorateur Windows, Lab11c. Dmarrez 6238B-HQDC02-B sans ouvrir de session.

Tche 2 : Identification des matres d'oprations l'aide des


composants logiciels enfichables administratifs d'Active Directory
Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez Utilisateurs et ordinateurs Active Directory pour identifier les dtenteurs des jetons de rle de matre d'oprations RID, PDC et Infrastructure. Quel contrleur de domaine dtient ces rles ? Fermez Utilisateurs et ordinateurs Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-76

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez Domaines et approbations Active Directory pour identifier les dtenteurs des jetons de rle de matre d'oprations des noms de domaine. Quel contrleur de domaine dtient ce rle ? Fermez Domaines et approbations Active Directory. Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez regsvr32 schmmgmt.dll et appuyez sur ENTRE. Excutez la commande mmc.exe en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Ajoutez le composant logiciel enfichable Schma Active Directory dans la console. Utilisez Schma Active Directory pour identifier les dtenteurs des jetons de rle de matre d'oprations contrleur de schma. Quel contrleur de domaine dtient ce rle ? Fermez la console. Il n'est pas ncessaire d'enregistrer les modifications.

Tche 3 : Identification des matres d'oprations l'aide de la


commande NetDom
Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez la commande netdom query fsmo et appuyez sur ENTRE.
Rsultats : Au terme de cet exercice, vous aurez utilis les composants logiciels enfichables administratifs et la commande NetDom pour identifier les matres d'oprations.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-77

Exercice 2 : Transfert des rles de matre d'oprations


Dans cet exercice, vous allez prparer la mise hors connexion d'un matre d'oprations en transfrant ses rles un autre contrleur de domaine. Vous simulerez ensuite la mise hors connexion, la remise en ligne et la restitution du rle de matre d'oprations. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Transfrer le rle PDC avec le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Examiner les autres rles avant la mise hors connexion d'un contrleur de domaine. Transfrer le rle PDC avec la commande NTDSUtil.

Tche 1 : Transfert du rle PDC avec le composant logiciel enfichable


Utilisateurs et ordinateurs Active Directory
Excutez Utilisateurs et ordinateurs Active Directory en tant quadministrateur, avec le nom dutilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Connectez-vous HQDC02. Avant de transfrer un matre d'oprations, vous devez vous connecter au contrleur de domaine auquel vous souhaitez confier ce rle. Le nud racine du composant logiciel enfichable prsente le contrleur de domaine auquel vous tes connect : Utilisateurs et ordinateurs Active Directory [hqdc02.contoso.com]. Transfrez le rle de matre d'oprations PDC l'ordinateur HQDC02.

Tche 2 : Examen des autres rles avant la mise hors connexion d'un
contrleur de domaine
Vous tes prt mettre l'ordinateur HQDC01 hors connexion. Vous venez de transfrer le rle de matre d'oprations PDC l'ordinateur HQDC02. Dressez la liste des autres rles de matres d'oprations qu'il est ncessaire de transfrer avant de mettre HQDC01 hors connexion. Dressez la liste des autres rles de serveur qu'il est ncessaire de transfrer avant de mettre HQDC01 hors connexion.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-78

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Transfert du rle PDC avec la commande NTDSUtil


La maintenance de l'ordinateur HQDC01 est prsent termine. Vous le remettez donc en ligne. N'oubliez pas que vous ne pouvez pas ramener un contrleur de domaine en ligne si les rles de matre RID, de contrleur de schma ou de matre des noms de domaine ont t capts. Vous pouvez cependant le remettre en ligne si le rle a t transfr. Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez NTDSUtil pour vous connecter HQDC01 et lui restituer le rle PDC.
Rsultats : Au terme de cet exercice, vous aurez transfr le rle PDC l'ordinateur HQDC02 via le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory, puis restitu ce rle l'ordinateur HQDC01 via la commande NTDSUtil.

Remarque : vous pouvez arrter ces ordinateurs virtuels lorsque vous avez termin car leur redmarrage est ncessaire pour l'atelier suivant.

Questions de contrle des acquis


Question : Si vous transfrez tous les rles avant de mettre un contrleur de domaine hors connexion, est-il possible de le remettre en ligne ? Question : Si un contrleur de domaine est dfaillant et que vous captez ses rles pour les confier un autre contrleur de domaine, est-il possible de remettre le contrleur de domaine dfaillant en ligne ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-79

Leon 4

Configuration de la rplication DFSR du dossier SYSVOL

Le dossier SYSVOL, situ par dfaut dans %SystemRoot%\SYSVOL, contient les scripts de connexion, les modles de stratgie de groupe (GPT) et d'autres ressources essentielles pour le bon fonctionnement et la gestion d'un domaine Active Directory. Dans l'idal, le dossier SYSVOL doit tre identique dans chaque contrleur de domaine. Toutefois, des modifications tant parfois apportes aux objets de stratgie de groupe et aux scripts de connexion, vous devez vrifier que ces modifications soient bien rpliques dans tous les contrleurs de domaine. Dans les versions prcdentes de Windows, les services FRS permettaient de rpliquer le contenu du dossier SYSVOL entre des contrleurs de domaine. Les limites des services FRS, en termes de capacits et de performances, entranent parfois leur blocage. Malheureusement, la rsolution des problmes et la configuration des services FRS sont assez difficiles. Dans les domaines Windows Server 2008, vous avez la possibilit d'utiliser la rplication DFSR pour rpliquer le contenu du dossier SYSVOL. Dans cette leon, vous allez apprendre effectuer la migration du dossier SYSVOL du Service de rplication de fichiers (FRS) vers la Rplication du systme de fichiers distribu (DFSR).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-80

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : augmenter le niveau fonctionnel du domaine ; migrer la rplication SYSVOL du Service de rplication de fichiers (FRS) vers la Rplication du systme de fichiers distribu (DFSR).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-81

Augmentation du niveau fonctionnel du domaine

Points cls
Le Module 1, Prsentation des services de domaine Active Directory , introduisait le concept de niveaux fonctionnels des domaines et des forts. Le Module 14, Gestion de plusieurs domaines et forts , vous permettra d'tudier en dtail ces niveaux fonctionnels des domaines et des forts. Le niveau fonctionnel d'un domaine est un paramtre qui limite les systmes d'exploitation pris en charge en tant que contrleurs d'un domaine et active des fonctionnalits supplmentaires d'Active Directory. Le niveau fonctionnel d'un domaine dot d'un contrleur de domaine Windows Server 2008 peut tre l'un des trois suivants : Windows 2000 Natif, Windows Server 2003 Natif et Windows Server 2008. Au niveau fonctionnel de domaine natif Windows 2000, les contrleurs de domaine peuvent excuter Windows 2000 Server ou Windows Server 2003. Au niveau fonctionnel de domaine natif Windows Server 2003, les contrleurs de domaine peuvent excuter Windows Server 2003. Au niveau fonctionnel de domaine Windows Server 2008, tous les contrleurs de domaine doivent excuter Windows Server 2008.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-82

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsque vous augmentez les niveaux fonctionnels, de nouvelles capacits d'Active Directory sont actives. Au niveau fonctionnel de domaine Windows Server 2008, par exemple, vous pouvez utiliser la rplication DFSR pour rpliquer le contenu du dossier SYSVOL. La simple mise niveau de tous les contrleurs de domaine vers Windows Server 2008 ne suffit pas : vous devez augmenter le niveau fonctionnel du domaine en utilisant pour ce faire Domaines et approbations Active Directory. Pour augmenter le niveau fonctionnel d'un domaine : 1. 2. 3. Excutez le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine. Slectionnez le niveau fonctionnel Windows Server 2008, puis cliquez sur Augmenter.

Une fois le niveau fonctionnel du domaine dfini sur Windows Server 2008, vous ne pouvez pas y ajouter de contrleurs de domaine fonctionnant sous Windows Server 2003 ou Windows 2000 Server. Le niveau fonctionnel est associ uniquement aux systmes d'exploitation des contrleurs de domaine. Les serveurs et les stations de travail membres peuvent excuter Windows Server 2003, Windows 2000 Server, Windows Vista, Windows XP ou Windows 2000.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-83

Fonctionnement des phases de la migration

Points cls
Le dossier SYSVOL tant indispensable pour le bon fonctionnement de votre domaine, Windows ne propose pas de mcanisme permettant de passer instantanment du Service FRS la Rplication DFSR du dossier SYSVOL. En ralit, la migration vers une rplication DFSR implique la cration d'une structure SYSVOL parallle. Lorsque cette structure parallle a bien t mise en place, les clients sont redirigs vers la nouvelle structure en tant que volume systme du domaine. Lorsque l'opration a bien t effectue et que son fonctionnement a t vrifi, vous pouvez liminer le service FRS. La migration vers la rplication DFSR comprend quatre phases ou tats : 0 (dbut) : tat par dfaut d'un contrleur de domaine. Seul le service FRS est utilis pour rpliquer le dossier SYSVOL. 1 (prpar) : une copie du dossier SYSVOL est cre dans un dossier nomm SYSVOL_DFSR et ajoute un jeu de rplication. Le service DFSR commence rpliquer le contenu des dossiers SYSVOL_DFSR dans tous les contrleurs de domaine. Le service FRS poursuit cependant la rplication des dossiers SYSVOL d'origine et les clients continuent utiliser le dossier SYSVOL.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-84

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

2 (redirig) : le partage SYSVOL, qui fait initialement rfrence au dossier SYSVOL\domain\sysvol, est modifi de manire rfrencer le dossier SYSVOL_DFSR\domain\sysvol. Les clients utilisent prsent le dossier SYSVOL_DFSR pour rcuprer les scripts de connexion et les modles de stratgie de groupe. 3 (limin) : la rplication de l'ancien dossier SYSVOL par le service FRS est interrompue. Le dossier SYSVOL d'origine n'est cependant pas supprim. Si vous souhaitez le supprimer dans son intgralit, vous devez le faire manuellement.

Pour faire passer vos contrleurs de domaine travers ces phases, utilisez la commande DFSMig. Trois options sont disponibles avec la commande dfsrmig.exe : setglobalstate tat L'option setglobalstate configure l'tat actuel de la migration du service de rplication DFSR global, qui s'applique tous les contrleurs de domaine. L'tat est dfini par le paramtre tat, compris entre 0 et 3. Le nouvel tat de la migration de rplication DFSR est signal chaque contrleur de domaine qui migre automatiquement vers cet tat. getglobalstate L'option getglobalstate indique l'tat actuel de la migration DFSR globale. getmigrationstate L'option getmigrationstate indique l'tat de migration actuel de chaque contrleur de domaine. Le signalement du nouvel tat de migration DFSR global aux contrleurs de domaine pouvant prendre un certain temps, et la ralisation des modifications requises par cet tat par un contrleur de domaine pouvant tre encore plus longue, les contrleurs de domaine ne sont pas instantanment synchroniss avec l'tat global. L'option getmigrationstate vous permet de contrler la progression des contrleurs de domaine par rapport l'tat actuel de la migration DFSR globale. En cas de problme lors du passage d'un tat au suivant, vous pouvez rtablir les tats prcdents avec l'option setglobalstate. Toutefois, une fois que vous avez utilis l'option setglobalstate pour dfinir l'tat 3 (limin), vous ne pouvez plus rtablir les tats antrieurs.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-85

Migration vers la rplication DFSR du dossier SYSVOL

Points cls
Pour faire migrer la rplication SYSVOL du Service de rplication de fichiers (FRS) vers la Rplication du systme de fichiers distribu (DFSR), procdez comme suit : 1. 2. 3. Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine. Si le champ Niveau fonctionnel du domaine actuel n'indique pas Windows Server 2008, choisissez Windows Server 2008 dans la liste Slectionner un niveau fonctionnel du domaine disponible. Cliquez sur Augmenter. Cliquez deux reprises sur OK dans les botes de dialogue qui s'affichent. Ouvrez une session sur un contrleur de domaine et ouvrez une invite de commande. Tapez dfsrmig /setglobalstate 1.

4. 5. 6.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-86

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

7.

Tapez dfsrmig /getmigrationstate pour connatre la progression des contrleurs de domaine vis--vis de l'tat global Prpar. Rptez cette tape jusqu' ce que tous les contrleurs de domaine aient atteint cet tat. Cette opration peut prendre 15 minutes une heure, voire davantage.

8. 9.

Tapez dfsrmig /setglobalstate 2. Tapez dfsrmig /getmigrationstate pour connatre la progression des contrleurs de domaine vis--vis de l'tat global Redirig. Rptez cette tape jusqu' ce que tous les contrleurs de domaine aient atteint cet tat. Cette opration peut prendre 15 minutes une heure, voire davantage.

10. Tapez dfsrmig /setglobalstate 3. Une fois que vous avez commenc la migration de l'tat 2 (prpar) vers l'tat 3 (rpliqu), toutes les modifications apportes au dossier SYSVOL devront tre rpliques manuellement dans le dossier SYSVOL_DFSR. 11. Tapez dfsrmig /getmigrationstate pour connatre la progression des contrleurs de domaine vis--vis de l'tat global limin. Rptez cette tape jusqu' ce que tous les contrleurs de domaine aient atteint cet tat. Cette opration peut prendre 15 minutes une heure, voire davantage. 12. Pour plus d'informations sur la commande dfsrmig.exe, tapez dfsrmig.exe /?.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-87

Atelier pratique D : Configuration de la rplication DFSR du dossier SYSVOL

Scnario
Vous tes administrateur chez Contoso. Vous avez rcemment procd la mise niveau du dernier contrleur de domaine Windows Server 2003 vers Windows Server 2008 et vous souhaitez prsent profiter de la rplication amliore du dossier SYSVOL grce la rplication DFSR.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-88

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Observation de la rplication du dossier SYSVOL


Dans cet exercice, vous allez observer la rplication du dossier SYSVOL par le service de rplication de fichiers (FRS) en ajoutant un script de connexion au partage NETLOGON et en observant sa rplication vers un autre contrleur de domaine. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Observer la rplication du dossier SYSVOL.

Tche 1 : Prparation de l'atelier pratique


Arrtez tous les ordinateurs virtuels. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le compte Pat.Coleman et le mot de passe Pa$$w0rd. Ouvrez D:\Labfiles\Lab11d. Excutez Lab11d_Setup.bat avec des droits administratifs. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier pratique s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de l'Explorateur Windows, Lab11d. Dmarrez 6238B-HQDC02-B et ouvrez une session avec le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tche 2 : Observation de la rplication du dossier SYSVOL


Dans HQDC01, ouvrez %SystemRoot%\ Sysvol\sysvol\contoso.com\Scripts. Excutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Enregistrez un fichier test sous le nom %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts\TestFRS.txt. Dans HQDC02, ouvrez %SystemRoot%\Sysvol\sysvol\contoso.com\Scripts \Scripts.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-89

Vrifiez que le fichier TestFRS.txt a bien t rpliqu dans le dossier Scripts de l'ordinateur HQDC02. Si le fichier n'apparat pas immdiatement, patientez quelques instants. La rplication peut prendre jusqu' 15 minutes. Vous pouvez ventuellement passer l'Exercice 2. Avant de passer l'Exercice 3, vrifiez toutefois que le fichier a bien t rpliqu.

Aprs avoir observ la rplication, fermez la fentre de l'Explorateur Windows contenant le dossier Scripts des ordinateurs HQDC01 et HQDC02.
Rsultats : Au terme de cet exercice, vous aurez observ la rplication d'un fichier test entre les dossiers SYSVOL\Scripts de deux contrleurs de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-90

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Prparation de la migration vers la rplication DFSR


Pour que la migration vers la rplication DFSR du dossier SYSVOL soit possible, le domaine ne doit contenir que des contrleurs de domaine Windows Server 2008 et son niveau fonctionnel doit tre lev jusqu' Windows Server 2008. Dans cet exercice, vous allez vrifi que les autres niveaux fonctionnels du domaine ne prennent pas en charge la migration DFSR. Vous lverez ensuite le domaine au niveau fonctionnel Windows Server 2008. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Confirmer le niveau fonctionnel actuel infrieur Windows Server 2008 pour le domaine. Confirmer l'indisponibilit de la rplication DFSR pour les niveaux fonctionnels de domaine infrieurs Windows Server 2008. Augmenter le niveau fonctionnel du domaine. Confirmer la disponibilit de la rplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.

Tche 1 : Confirmation du niveau fonctionnel actuel infrieur


Windows Server 2008 pour le domaine
Dans HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows Server 2003, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de dialogue.

Tche 2 : Confirmation de l'indisponibilit de la rplication DFSR pour


les niveaux fonctionnels de domaine infrieurs Windows Server 2008
Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez dfsrmig /getglobalstate et appuyez sur ENTRE. Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en charge que par les domaines de niveau fonctionnel Windows Server 2008.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-91

Tche 3 : Augmentation du niveau fonctionnel du domaine


Dans Utilisateurs et ordinateurs Active Directory, levez le domaine vers le niveau fonctionnel Windows Server 2008. Fermez Utilisateurs et ordinateurs Active Directory.

Tche 4 : Confirmation de la disponibilit de la rplication DFSR pour


le niveau fonctionnel Windows Server 2008 du domaine
Revenez l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez sur ENTRE. Le message qui s'affiche vous signale que la migration DFSR n'a pas encore t dclenche.
Rsultats : Au terme de cet exercice, vous aurez lev le niveau fonctionnel du domaine Windows Server 2008 et confirm que, ce faisant, vous avez rendu possible la migration du dossier SYSVOL vers la rplication DFSR.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-92

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Migration de la rplication du dossier SYSVOL vers DFSR


Dans cet exercice, vous allez faire migrer le mcanisme de rplication de FRS vers DFSR. La tche principale de cet exercice est la suivante : 1. Migrer de la rplication du dossier SYSVOL vers DFSR.

Tche 1 : Migration de la rplication du dossier SYSVOL vers DFSR


1. 2. Revenez l'invite de commande. Tapez dfsrmig /setglobalstate 0 et appuyez sur ENTRE. Le message suivant s'affiche :
Current DFSR global state: 'Start' New DFSR global state: 'Start' Invalid state change requested.

L'tat global par dfaut tant dj 0, Start', votre commande n'est donc pas valide. Toutefois, cela permet de dclencher la migration DFSR. 3. Tapez dfsrmig /getglobalstate et appuyez sur ENTRE. Le message suivant s'affiche :
Current DFSR global state: 'Start' Succeeded.

4.

Tapez dfsrmig /getmigrationstate et appuyez sur ENTRE. Le message suivant s'affiche :


All Domain Controllers have migrated successfully to Global state ('Start'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-93

5.

Tapez dfsrmig /setglobalstate 1 et appuyez sur ENTRE. Le message suivant s'affiche :


Current DFSR global state: 'Start' New DFSR global state: 'Prepared' Migration will proceed to 'Prepared' state. DFSR service will copy the contents of SYSVOL to SYSVOL_DFSR folder. If any DC is unable to start migration then try manual polling. OR Run with option /CreateGlobalObjects. Migration can start anytime between 15 min to 1 hour. Succeeded.

6.

Tapez dfsrmig /getmigrationstate et appuyez sur ENTRE. Le message qui s'affiche reflte l'tat de migration actuel de chaque contrleur de domaine. La migration peut durer jusqu' 15 minutes.

7.

Rptez cette tape jusqu' ce que le message suivant vous signale que la migration a atteint l'tat 'Prpar' et a russi :
All Domain Controllers have migrated successfully to Global state ('Prepared'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

Lorsque vous recevez le message ci-dessus, passez l'tape suivante. Pendant la migration vers l'tat 'Prpar', l'un des messages suivants peut s'afficher :
The following Domain Controllers are not in sync with Global state ('Prepared'):

Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Start') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-94

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

ou
The following Domain Controllers are not in sync with Global state ('Prepared'):

Domain Controller (Local Migration State) - DC Type =================================================== HQDC01 ('Start') - Primary DC HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

ou
The following Domain Controllers are not in sync with Global state ('Prepared'):

Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Waiting For Initial Sync') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

8.

Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez du bouton droit sur Observateur d'vnements, et choisissez Excuter en tant qu'administrateur. Cliquez sur Utiliser un autre compte.

9.

10. Dans la zone Nom d'utilisateur, tapez Pat.Coleman_Admin. 11. Dans la zone Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. L'Observateur d'vnements apparat. 12. Dans l'arborescence de la console, dveloppez Journaux des applications et des services et slectionnez Rplication DFSR.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-95

13. Localisez l'vnement associ l'ID 8014 et ouvrez ses proprits. Vous devriez obtenir les informations illustres dans la capture d'cran suivante.

14. Fermez l'Observateur d'vnements. 15. Revenez l'invite de commandes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-96

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

16. Tapez dfsrmig /setglobalstate 2 et appuyez sur ENTRE. Le message suivant s'affiche :
Current DFSR global state: 'Prepared' New DFSR global state: 'Redirected' Migration will proceed to 'Redirected' state. The SYSVOL share will be changed to SYSVOL_DFSR folder. If any changes have been made to the SYSVOL share during the state transition from 'Prepared' to 'Redirected', please robocopy the changes from SYSVOL to SYSVOL_DFSR on any replicated RWDC. Succeeded.

17. Tapez dfsrmig /getmigrationstate et appuyez sur ENTRE. Le message qui s'affiche reflte l'tat de migration actuel de chaque contrleur de domaine. La migration peut durer jusqu' 15 minutes. 18. Rptez l'tape 17 jusqu' ce que le message suivant vous signale que la migration a atteint l'tat 'Prpar' et a russi :
All Domain Controllers have migrated successfully to Global state ('Redirected'). Migration has reached a consistent state on all Domain Controllers. Succeeded.

Lorsque vous recevez le message ci-dessus, passez la tche suivante. Pendant la migration, les messages suivants peuvent s'afficher :
The following Domain Controllers are not in sync with Global state ('Redirected'): Domain Controller (Local Migration State) - DC Type =================================================== HQDC02 ('Prepared') - Writable DC Migration has not yet reached a consistent state on all Domain Controllers. State information might be stale due to AD latency.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-97

Rsultats : Au terme de cet exercice, vous aurez fait migrer la rplication du dossier SYSVOL vers DFSR dans le domaine contoso.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

11-98

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Vrification de la rplication DFSR du dossier SYSVOL


Dans cet exercice, vous allez vrifier que le dossier SYSVOL a bien t rpliqu par le service DFSR. Les tches principales de cet exercice sont les suivantes : 1. 2. Confirmer le nouvel emplacement du dossier SYSVOL. Observer la rplication du dossier SYSVOL.

Tche 1 : Confirmation du nouvel emplacement du dossier SYSVOL


l'invite de commande, tapez net share et appuyez sur ENTRE. Vrifiez que le partage NETLOGON fait rfrence au dossier %SystemRoot% \SYSVOL_DFSR\Sysvol\contoso.com\Scripts et que le partage SYSVOL fait rfrence au dossier %SystemRoot%\SYSVOL_DFSR\Sysvol.

Tche 2 : Observation de la rplication du dossier SYSVOL


Dans HQDC01, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts. Remarquez que le fichier TestFRS.txt cr prcdemment apparat dj dans le dossier Scripts. Lorsque les contrleurs de domaine taient en tat Prpar, les fichiers ont t rpliqus entre le dossier FRS SYSVOL hrit et le nouveau dossier DFS-R SYSVOL. Excutez le Bloc-notes en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Enregistrez un fichier test sous le nom %SystemRoot%\SYSVOL_DFSR \Sysvol\contoso.com\Scripts \TestDFSR.txt. Dans HQDC02, ouvrez %SystemRoot%\SYSVOL_DFSR\Sysvol \contoso.com\Scripts. Vrifiez que le fichier TestDFSR.txt a bien t rpliqu dans le dossier Scripts de l'ordinateur HQDC02. Si le fichier n'apparat pas immdiatement, patientez quelques instants.
Rsultats : Au terme de cet exercice, vous aurez observ la rplication d'un fichier test entre les dossiers SYSVOL_DFSR Scripts de deux contrleurs de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Administration des contrleurs de domaine des Services de domaine Active Directory (AD DS)

11-99

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

Questions de contrle des acquis


Question : Quelles diffrences vous attendriez-vous voir entre deux entreprises dont l'une a initialement cr son domaine avec des contrleurs de domaine Windows 2008 et l'autre a effectu une migration vers Windows Server 2008 depuis Windows Server 2003 ? Question : Que devez-vous savoir lors de la migration de l'tat Prpar vers l'tat Redirig ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-1

Module 12
Gestion des sites et de la rplication Active Directory
Table des matires :
Leon 1 : Configuration des sites et des sous-rseaux Atelier pratique A : Configuration des sites et des sous-rseaux Leon 2 : Configuration des partitions d'application et du catalogue global Atelier pratique B : Configuration des partitions d'application et du catalogue global Leon 3 : Configuration de la rplication Atelier pratique C : Configuration de la rplication 12-4 12-23 12-27 12-42 12-48 12-75

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

Dans les modules prcdents, vous avez appris que les contrleurs d'un domaine Windows Server 2008 taient des homologues. Chaque contrleur gre une copie de l'annuaire, excute des services similaires pour prendre en charge l'authentification des entits de scurit, et les modifications apportes l'un d'entre eux sont rpliques dans tous les autres contrleurs de domaine. En tant qu'administrateur d'une entreprise Windows, l'une de vos tches consiste vous assurer que l'authentification est aussi efficace que possible et que la rplication entre les contrleurs de domaine est optimale. Les sites Active Directory sont le composant central du service d'annuaire prenant en charge les objectifs de la localisation et de la rplication des services. Dans ce module, vous allez apprendre crer un service d'annuaire distribu capable de prendre en charge les contrleurs de domaine situs dans des parties de votre rseau relies par des connexions onreuses, lentes ou non fiables. Vous y apprendrez rpartir les contrleurs de domaine de manire stratgique et grer la rplication et l'utilisation des services. Vous apprendrez galement contrler quelles donnes sont rpliques dans chaque contrleur de domaine en configurant des partitions d'application et des catalogues globaux.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-3

Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : configurer des sites et des sous-rseaux ; comprendre l'emplacement des contrleurs de domaine et grer les contrleurs de domaine dans les sites ; configurer la rplication du jeu d'attributs partiels vers les serveurs de catalogues globaux ; implmenter la mise en cache de l'appartenance au groupe universel ; comprendre la fonction des partitions de l'annuaire d'applications ; configurer la topologie de rplication avec des objets de connexion, des serveurs tte de pont, des liens de sites et des ponts de liens de sites ; gnrer des rapports, analyser et rsoudre les problmes de rplication avec les outils repadmin.exe et dcdiag.exe ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 1

Configuration des sites et des sous-rseaux

Active Directory reprsente les personnes sous forme d'objets utilisateur dans le service d'annuaire. Il reprsente les ordinateurs par des objets ordinateur. Il reprsente la topologie du rseau par des objets appels sites et sous-rseaux. Les objets site Active Directory sont utiliss pour grer la rplication et la localisation des services et, par chance, la configuration des sites et des sous-rseaux est assez simple dans la plupart des environnements. Dans cette leon, vous allez tudier les techniques et les concepts de base requis pour configurer et grer des sites et des sous-rseaux.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : identifier le rle des sites et des sous-rseaux ; dcrire le processus utilis par les clients pour localiser un contrleur de domaine ; configurer des sites et des sous-rseaux ; grer les objets serveur de contrleur de domaine dans les sites.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-5

Fonctionnement des sites

Points cls
Lorsque les administrateurs dcrivent leur infrastructure rseau, ils mentionnent souvent le nombre de sites que comprend leur entreprise. Pour la plupart d'entre eux, un site est un emplacement physique, par exemple un bureau ou une ville. Les sites sont connects par des liaisons rseau qui peuvent tre aussi simples que des connexions d'accs distance ou aussi sophistiques que des liaisons par fibre optique. Runis, les emplacements physiques et leurs liaisons composent l'infrastructure du rseau. Active Directory reprsente l'infrastructure rseau par des objets appels sites et liens de site et, bien que les termes soient similaires, ces objets ne correspondent pas aux sites et aux liens dcrits par les administrateurs. Cette leon tudie les sites et la Leon 3 les liens de sites.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Il est important de bien comprendre les proprits et les rles des sites dans Active Directory afin de saisir la subtile diffrence entre les sites Active Directory et les sites rseau. Les sites Active Directory sont des objets de l'annuaire, en particulier le conteneur Configuration (CN=Configuration,DC=domaine racine de la fort). Ces objets permettent de mener bien deux tches de gestion de service : Grer le trafic de rplication Simplifier la localisation des services

Trafic de rplication La rplication est le transfert des modifications entre les contrleurs de domaine. Lorsque vous ajoutez un utilisateur ou lorsque vous modifiez le mot de passe d'un utilisateur par exemple, la modification est valide dans l'annuaire par un seul contrleur de domaine. Elle doit ensuite tre communique tous les autres contrleurs du domaine. Active Directory part de l'hypothse que votre entreprise comprend deux types de rseau : l'un avec un haut degr de connectivit et l'autre avec un degr de connectivit moindre. De manire conceptuelle, une modification apporte Active Directory doit tre immdiatement rplique dans les autres contrleurs de domaine du rseau connectivit leve dans lequel la modification a t effectue. Vous prfrerez toutefois que la modification ne soit pas immdiatement rplique par l'intermdiaire de connexions plus lentes, plus onreuses ou moins fiables. Vous favoriserez plutt la gestion de la rplication par les segments connectivit moindre afin d'optimiser les performances, de rduire les cots ou de grer la bande passante. Un site Active Directory reprsente une portion connectivit leve de votre entreprise. Lorsque vous dfinissez un site, ses contrleurs de domaine rpliquent les modifications presque instantanment. La rplication entre sites peut tre planifie et gre. Localisation des services Active Directory est un service distribu. Cela signifie, en supposant que vous avez au moins deux contrleurs de domaine, que plusieurs serveurs (contrleurs de domaine) fournissent les mmes services d'authentification et d'accs l'annuaire. Si vous avez plusieurs sites rseau et que vous placez un contrleur de domaine dans chacun d'eux, vous prfrerez encourager les clients s'authentifier auprs du contrleur de domaine de leur site. Vous avez l un exemple de localisation de services.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-7

Les sites Active Directory vous aident localiser les services, notamment ceux fournis par les contrleurs de domaine. l'ouverture d'une session, les clients Windows sont automatiquement orients vers un contrleur de domaine de leur site. Lorsque ce site ne comprend aucun contrleur de domaine, ils sont dirigs vers le contrleur d'un autre site, capable de les authentifier efficacement. D'autres services peuvent galement tre localiss. Espaces de noms du systme de fichiers distribu (espaces de noms DFS), par exemple, est un service localis. Les clients DFS obtiendront les ressources rpliques du serveur le plus efficace, selon leur site Active Directory. De fait, comme les clients savent dans quel site ils se trouvent, tout service distribu peut tre crit de manire tirer parti de la structure de sites Active Directory pour localiser intelligemment l'utilisation des services.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Planification des sites

Points cls
Les sites tant utiliss pour optimiser la rplication et permettre la localisation des services, vous devez soigneusement concevoir votre structure de sites Active Directory. Les sites Active Directory peuvent ne pas correspondre exactement ceux de votre rseau. Imaginons deux scnarios : Vos bureaux sont situs dans deux emplacements distincts. Vous placez un contrleur de domaine dans chaque emplacement. Ces emplacements prsentent un haut degr de connectivit et, pour amliorer les performances, vous dcidez de configurer un seul site Active Directory comprenant les deux emplacements. Votre entreprise est situe sur un vaste campus haut degr de connectivit. Du point de vue de la rplication, l'entreprise peut tre considre comme un seul site. Toutefois, pour encourager les clients utiliser les services distribus de leur emplacement, vous configurez plusieurs sites pour assurer la localisation des services.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-9

Un site Active Directory peut donc inclure plusieurs sites rseau ou tre un sousensemble d'un seul site rseau. L'essentiel est de se rappeler que les sites servent la fois pour la gestion de la rplication et pour la localisation des services. Pour dterminer le nombre de sites dont vous avez besoin, utilisez plusieurs caractristiques de votre entreprise : Vitesse de connexion Tout site Active Directory reprsente une unit du rseau caractrise par une connexion rapide, fiable et peu onreuse. Beaucoup de documentations suggrent que le plus bas dbit d'un site ne doit pas tre infrieur 512 Kbits/s. Toutefois, ce dbit conseill peut varier. Certaines organisations ont des liaisons beaucoup plus lentes (56 ou mme 28 Kbits/s) dans un site. Placement des services Les sites Active Directory grant la rplication Active Directory et la localisation des services, il n'est pas pratique de crer un site pour un emplacement rseau qui n'hberge aucun contrleur de domaine ou autre service prenant en charge Active Directory, tel qu'une ressource DFS rplique.
Remarque : concernant les sites sans contrleur de domaine : les contrleurs de domaine tant uniquement un service distribu dans une entreprise Windows, d'autres services, tels que les ressources DFS rpliques, connaissent galement l'existence des sites. Vous pouvez configurer des sites pour localiser des services autres que l'authentification. Dans ce cas, vous aurez des sites sans contrleur de domaine.

Population d'utilisateurs Les concentrations d'utilisateurs peuvent galement influencer la conception de vos sites, mais indirectement. Si un emplacement du rseau hberge un grand nombre d'utilisateurs pour qui l'impossibilit de s'authentifier poserait des problmes, placez-y un contrleur de domaine pour prendre en charge l'authentification cet endroit. Ds qu'un contrleur de domaine ou un autre service distribu est plac cet endroit pour prendre ces utilisateurs en charge, vous souhaiterez y grer la rplication Active Directory ou localiser les services en configurant un site Active Directory qui reprsente cet emplacement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Synthse des critres de planification des sites Chaque fort Active Directory comprend au moins un site. Le site par dfaut, cr lorsque vous instanciez une fort avec le premier contrleur de domaine, est appel Default-First-Site-Name. Vous devez crer des sites supplmentaires dans les cas suivants : Une partie du rseau est isole par une liaison lente. Une partie du rseau a suffisamment d'utilisateurs pour justifier l'hbergement de contrleurs de domaine ou d'autres services cet emplacement. Le trafic des requtes envoyes l'annuaire justifie la prsence d'un contrleur de domaine local. Vous souhaitez contrler la localisation des services. Vous souhaitez contrler la rplication entre les contrleurs de domaine.

Remarque sur le placement des serveurs DC


Les administrateurs rseau souhaitent souvent savoir quand il est recommand de placer un contrleur de domaine (DC) dans un site distant. La rponse est : cela dpend . Pour tre plus prcis, cela dpend des ressources dont les utilisateurs ont besoin dans le site et du niveau de tolrance des interruptions de service. Imaginons par exemple que les utilisateurs d'un site distant excutent toutes leurs tches en accdant aux ressources du centre de donnes. Si la liaison avec ce site distant est rompue, les utilisateurs ne peuvent plus accder aux ressources dont ils ont besoin, et un contrleur de domaine local n'amliorerait pas la situation. Toutefois, si les utilisateurs accdent aux ressources du site distant et que la liaison est rompue, un contrleur de domaine local peut continuer leur fournir l'authentification et ils peuvent poursuivre leur travail avec leurs ressources locales. Dans la plupart des scnarios de succursales, ces bureaux hbergent des ressources dont les utilisateurs ont besoin pour effectuer leur travail quotidien. Si ces ressources ne sont pas stockes directement dans l'ordinateur de l'utilisateur, celui-ci doit tre authentifi. C'est la raison pour laquelle un contrleur de domaine est gnralement recommand. L'introduction des Contrleurs de domaine en lecture seule (RODC) sous Windows Server 2008 rduit les risques et la charge de gestion dans les succursales. Il est ainsi plus facile pour la plupart des organisations de dployer des DC dans chaque emplacement du rseau.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-11

Cration des sites

Points cls
Les sites et la rplication sont grs l'aide du composant logiciel enfichable Sites et services Active Directory. Pour dfinir un site Active Directory, vous allez crer un objet de site de classe. L'objet site est un conteneur qui gre la rplication des contrleurs de domaine du site. Vous allez galement crer un ou plusieurs objets sous-rseau. Un objet sous-rseau dfinit une plage d'adresses IP et est reli un site. La localisation des services est obtenue lorsque l'adresse IP d'un client peut tre associe un site via la relation entre l'objet sous-rseau et l'objet site.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour crer un site : 1. 2. Cliquez avec le bouton droit sur le nud Sites dans Sites et services Active Directory, puis cliquez sur Nouveau site. Dans la bote de dialogue Nouvel objet Site qui s'ouvre, entrez le nom du site et slectionnez un lien de site.

Le lien de site par dfaut, DEFAULTIPSITELINK, sera le seul lien de site disponible jusqu' ce que vous en criez d'autres (voir la Leon 3). Aprs la cration d'un site, vous pouvez cliquer sur son entre et choisir Renommer pour changer son nom. Il est recommand de renommer le site DefaultFirst-Site-Name afin d'obtenir un nom qui convienne la topologie de votre rseau et de votre entreprise. Les sites ne sont utiles que lorsqu'un client ou un serveur sait quel site il appartient. Pour obtenir cette information, vous associez gnralement l'adresse IP d'un systme avec un site, et les objets sous-rseau rcuprent cette association.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-13

Pour crer un objet sous-rseau : 1. Cliquez avec le bouton droit sur le nud Sous-rseaux dans Sites et services Active Directory, puis cliquez sur Nouveau sous-rseau. La bote de dialogue Nouvel objet Sous-rseau s'affiche. Entrez le prfixe du rseau et la longueur du masque de sous-rseau.

2.

L'objet sous-rseau est dfini sous forme de plage d'adresses l'aide de la notation des prfixes du rseau. Par exemple, pour un sous-rseau reprsentant les adresses 10.1.1.1 10.1.1.254 avec un masque de sous-rseau de 24 bits, le prfixe serait 10.1.1.0/24. Pour plus d'informations sur la saisie des adresses, cliquez sur le lien En savoir plus sur la saisie des prfixes d'adresse dans la bote de dialogue Nouvel objet Sous-rseau. 3. Aprs la saisie du prfixe du rseau, slectionnez l'objet site avec lequel le sousrseau est associ. Un sous-rseau ne peut tre associ qu' un seul site. Toutefois, un site peut avoir plusieurs sous-rseaux relis lui. La bote de dialogue Proprits d'un site, illustre par la capture d'cran suivante, prsente les sous-rseaux associs au site. Toutefois, vous ne pouvez pas modifier les sous-rseaux dans cette bote de dialogue. Pour changer le site auquel un sous-rseau est reli, vous devez ouvrir les proprits du sous-rseau, illustres par la capture d'cran suivante.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : dfinissez chaque sous-rseau IP. Dans votre environnement de production, assurez-vous de dfinir chaque sous-rseau IP en tant qu'objet sous-rseau dans Active Directory. Si l'adresse IP d'un client n'est pas incluse dans une plage de sousrseaux, ce client est incapable de savoir quel site Active Directory il appartient. Ceci risque d'entraner des problmes de performance et de fonctionnement. N'oubliez pas les sous-rseaux du segment principal et ceux utiliss pour l'accs distant, tel que les plages d'adresses d'un rseau priv virtuel (VPN).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-15

Gestion des contrleurs de domaine des sites

Points cls
Parfois, vous devez grer les contrleurs de domaine des sites Active Directory : Vous crez un nouveau site et vous y placez un contrleur de domaine existant. Vous rtrogradez un contrleur de domaine. Vous affectez un nouveau contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsque vous crez votre fort Active Directory, le premier contrleur de domaine est automatiquement plac sous l'objet site nomm Default-First-Site-Name. Vous pouvez voir le contrleur de domaine SERVER01.contoso.com dans la capture d'cran suivante.

D'autres contrleurs de domaine seront ajouts aux sites en fonction de leurs adresses IP. Par exemple, si un serveur dont l'adresse IP est 10.1.1.17 est promu contrleur de domaine, il sera automatiquement ajout au site BRANCHA car le sous-rseau 10.1.1.0/24 a t associ au site BRANCHA (voir la diapositive prcdente). La capture d'cran prcdente prsente SERVER02 dans le site BRANCHA. Chaque site contient un conteneur Servers, qui contient lui-mme un objet pour chaque contrleur de domaine du site. Le conteneur Servers d'un site doit prsenter uniquement les contrleurs de domaine, pas tous les serveurs. Lorsque vous affectez un nouveau contrleur de domaine, il sera plac par dfaut dans le site associ son adresse IP. Toutefois, l'Assistant Installation des services de domaine Active Directory vous permettra de spcifier un autre site. Vous pouvez galement pr-crer l'objet serveur du contrleur de domaine dans le site correct en cliquant avec le bouton droit sur le conteneur Servers du site concern et en choisissant Serveur dans le menu Nouveau.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-17

Pour finir, vous pouvez dplacer le contrleur de domaine dans le site appropri aprs l'installation en cliquant avec le bouton droit sur le serveur et en choisissant Dplacer. Dans la bote de dialogue Dplacer le serveur, slectionnez le nouveau site et cliquez sur OK. Le contrleur de domaine est dplac. Il est recommand de placer un contrleur de domaine dans l'objet site qui est associ l'adresse IP du contrleur de domaine. Si un DC est multirsident, il ne peut appartenir qu' un seul site. Si un site n'a aucun contrleur de domaine, les utilisateurs pourront toujours se connecter au domaine. Leurs demandes d'ouverture de session seront gres par un contrleur de domaine d'un site adjacent ou par un autre contrleur du domaine. Pour supprimer un objet contrleur de domaine, cliquez avec le bouton droit sur son entre et choisissez Supprimer.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Emplacement des contrleurs de domaine : enregistrements SRV

Points cls
Au dbut de cette leon, vous avez examin les services de domaine Active Directory (AD DS) en tant que service distribu, fournissant l'authentification et l'accs l'annuaire sur plusieurs contrleurs de domaine. Vous avez appris identifier, dans la topologie de votre rseau, l'emplacement o vous devez dfinir les sites et placer les contrleurs de domaine. Maintenant, vous tes prt examiner comment fonctionne prcisment la localisation des service : comment les clients Active Directory sont informs de la prsence des sites et comment ils localisent le contrleur de domaine de leur site. Bien que ce niveau de dtails soit peu susceptible de faire l'objet d'une question dans l'examen de certification, il vous sera trs utile lorsque vous devrez rsoudre les problmes d'authentification d'un ordinateur ou d'un utilisateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-19

Enregistrements du localisateur de service Lorsqu'un contrleur de domaine est ajout au domaine, il publie ses services en crant des enregistrements SRV (Service Locator), galement appels enregistrements du localisateur dans le systme DNS. la diffrence des enregistrements hte (enregistrements A), qui tablissent la correspondance entre les noms d'hte et les adresses IP, les enregistrements SRV mappent les services avec les noms d'hte. Le contrleur de domaine publie sa capacit fournir l'authentification et l'accs l'annuaire en inscrivant des enregistrements Kerberos et LDAP SRV. Ces enregistrements SRV sont ajouts plusieurs dossiers dans les zones DNS de la fort. Le premier dossier se trouve au sein de la zone du domaine. Il est appel _tcp et contient les enregistrements SRV de tous les contrleurs du domaine. Le second dossier est spcifique au site qui contient le contrleur de domaine, avec le chemin _sites\nomdusite\_tcp, o nomdusite correspond au nom du site.

Dans la capture d'cran prcdente, vous pouvez voir les enregistrements Kerberos et LDAP SRV de SERVER02.contoso.com dans son site, _sites\BRANCHA\_tcp. Vous voyez galement le dossier _tcp au premier niveau sous la zone. Les mmes enregistrements sont inscrits plusieurs endroits de la zone _msdcs.nomDomaine, par exemple _msdcs.contoso.com dans la capture d'cran prcdente. Cette zone contient les enregistrements des Services de contrleur de domaine Microsoft. Les caractres de soulignement sont imposs par la norme RFC 2052.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les enregistrements SRV contiennent les lments suivants : Le nom du service et le numro du port : cette partie de l'enregistrement SRV dsigne un service sur un port fixe. Le port n'est pas ncessairement un port trs courant. Sous Windows Server 2008, les enregistrements SRV incluent LDAP (port 389), Kerberos (port 88), le protocole de mots de passe Kerberos (KPASSWD, port 464) et les services CG (port 3268). Protocole : TCP ou UDP sera indiqu en tant que protocole de transport pour le service. Le mme service peut utiliser les deux protocoles, dans des enregistrements SRV distincts. Les enregistrements Kerberos, par exemple, sont inscrits la fois pour TCP et pour UDP. Les clients Microsoft utilisent uniquement le protocole TCP, mais les clients UNIX peuvent utiliser le protocole TCP. Nom d'hte : ce nom correspond l'enregistrement A (Hte) du serveur qui hberge le service. Lorsqu'un client demande un service, le serveur DNS renvoie l'enregistrement SRV et les enregistrements A associs. Ainsi, le client n'a pas besoin d'envoyer une autre requte pour rsoudre l'adresse IP d'un service.

Dans les enregistrements SRV, le nom du service respecte la hirarchie DNS standardise : les composants sont spars par des points. Par exemple, le service Kerberos d'un contrleur de domaine est inscrit au format suivant : kerberos._tcp.nomSite._sites.nomDomaine En lisant cet enregistrement SRV de droite gauche, comme les autres enregistrements DNS, cela donne : nomDomaine : le domaine ou la zone, par exemple contoso.com _sites : tous les sites inscrits avec DNS nomSite : site du contrleur de domaine qui a inscrit le service _tcp : tout service TCP du site kerberos : centre de distribution de cls Kerberos (KDC) utilisant TCP comme protocole de transport

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-21

Emplacement des contrleurs de domaine : Client

Points cls
Imaginons qu'un client Windows vienne d'tre joint au domaine. Il redmarre, reoit une adresse IP d'un serveur DHCP et est prt s'authentifier auprs du domaine. Comment le client sait-il o trouver un contrleur de domaine ? Il n'en sait rien. Donc, il demande le domaine d'un contrleur de domaine par la requte du dossier _tcp qui, vous vous en souvenez, contient les enregistrements SRV de tous les contrleurs du domaine. Le systme DNS renvoie la liste de tous les contrleurs de domaine correspondants, et le client tente alors de tous les contacter. Le premier contrleur de domaine qui rpond au client examine l'adresse IP de celui-ci, il croise les rfrences entre cette adresse et les objets sousrseau, puis il signale au client quel site celui-ci appartient. Le client stocke le nom du site dans son Registre, puis demande les contrleurs de domaine du dossier _tcp propre ce site. Le systme DNS renvoie la liste de tous les contrleurs de domaine de ce site. Le client tente alors de tous les contacter, et le premier contrleur de domaine qui rpond authentifie le client.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Le client tablit une relation d'affinit avec ce contrleur de domaine et tentera toujours de s'authentifier auprs de celui-ci dans le futur. Si ce contrleur de domaine est indisponible, le client redemande le dossier _tcp du site et tente de contacter tous ses contrleurs de domaine. Cependant, que se passe-t-il si le client utilise un ordinateur portable ? Imaginons que l'ordinateur a t authentifi dans le site BRANCHA et que l'utilisateur amne cet ordinateur dans le site BRANCHB. Lorsque l'ordinateur dmarre, il tente de s'authentifier auprs de son contrleur de domaine prfr dans le site BRANCHA. Ce contrleur de domaine s'aperoit que l'adresse IP du client est associe au site BRANCHB et lui signale son nouveau site. Le client interroge alors le systme DNS pour obtenir les contrleurs de domaine du site BRANCHB. Vous voyez ainsi comment un client est encourag utiliser les services de son site : en stockant les informations sur les sites et les sous-rseaux dans Active Directory et en inscrivant les services dans le systme DNS. Le choix des services rsidant dans le site des clients est la dfinition mme de localisation de services. Lectures complmentaires Pour plus d'informations sur l'emplacement des contrleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168550.

Couverture des sites Que se passe-t-il si un site n'a aucun contrleur de domaine ? Les sites peuvent servir diriger les utilisateurs vers des copies locales des ressources rpliques, telles que les dossiers partags et rpliqus dans un espace de noms DFS. Il est donc possible que certains sites n'aient pas de contrleur de domaine. Dans ce cas, un contrleur de domaine proche inscrira ses enregistrements SRV dans le site au cours d'un processus appel couverture de sites. Pour tre plus prcis, tout site sans contrleur de domaine sera gnralement couvert par un contrleur de domaine d'un site prsentant le moindre cot pour cette couverture. Vous en dcouvrirez plus sur les cots de liaison des sites la Leon 3. Vous pouvez galement configurer manuellement la couverture des sites et les priorits des enregistrements SRV si vous souhaitez implmenter un contrle strict de l'authentification auprs de sites sans contrleur de domaine. L'URL mentionne contient des dtails sur l'algorithme qui dtermine quel contrleur de domaine couvre automatiquement un site qui en est dpourvu.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-23

Atelier pratique A : Configuration des sites et des sous-rseaux

Scnario
Vous tes administrateur chez Contoso, Ltd. Vous vous prparez amliorer la localisation des services et la rplication Active Directory dans votre entreprise. L'administrateur prcdent n'a pas modifi la configuration par dfaut des sites et des sous-rseaux. Vous souhaitez commencer par dfinir votre topologie physique dans Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Configuration du site par dfaut


Dans cet exercice, vous allez renommer le site Default-First-Site-Name et lui associer deux sous-rseaux. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Modifier le nom Default-First-Site-Name. Crer un sous-rseau avec association un site.

Tche 1 : Prparation de l'atelier pratique


Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le dmarrage de cet ordinateur virtuel peut prendre plusieurs minutes. Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y ouvrir de session. Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de session. Aprs le dmarrage de HQDC03, dmarrez 6238B-BRANCHDC01-B sans y ouvrir de session. Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche suivante.

Tche 2 : Changement du nom Default-First-Site-Name


Excutez Sites et services Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Remplacez le nom Default-First-Site-Name par HEADQUARTERS.

Tche 3 : Cration d'un sous-rseau avec association un site


Crez deux sous-rseaux : 10.0.0.0/24 et 10.0.1.0/24, et associez chacun d'eux au site HEADQUARTERS.
Rsultats : Au terme de cet exercice, vous devriez avoir un site nomm HEADQUARTERS et deux sous-rseaux (10.0.0.0/24 et 10.0.1.0/24) associs ce site.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-25

Exercice 2 : Cration de sites supplmentaires


Dans cet exercice, vous allez crer un second site et lui associer un sous-rseau. Les tches principales de cet exercice sont les suivantes : 1. 2. Crer des sites supplmentaires. Crer des sous-rseaux et association avec les sites.

Tche 1 : Cration de sites supplmentaires


Crez un site nomm HQ-BUILDING-2. Crez un site nomm BRANCHA.

Tche 2 : Cration de sous-rseaux et association avec les sites


Crez un sous-rseau, 10.1.0.0/24, et associez-le au site HQ-BUILDING-2. Crez un sous-rseau, 10.2.0.0/24, et associez-le au site BRANCHA.
Rsultats : Au terme de cet exercice, vous devriez avoir cr deux nouveaux sites, HQBUILDING-2 et BRANCHA, et les avoir associs aux sous-rseaux 10.1.0.0/24 et 10.2.0.0/24.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Dplacement de contrleurs de domaine dans des sites


Tche 1 : Dplacement de contrleurs de domaine vers de nouveaux
sites
Dplacez HQDC03 dans le site HQ-BUILDING-2. Dplacez BRANCHDC01 dans le site BRANCHA.

Important : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants de ce module.

Questions de contrle des acquis


Question : Vous avez un site de 50 sous-rseaux, chacun avec une adresse de sousrseau 10.0.x.0/24, et vous n'avez pas d'autre sous-rseau 10.0.x.0. Comment faire pour faciliter l'identification des 50 sous-rseaux et les associer un site ? Question : Pourquoi est-il important que tous les sous-rseaux soient identifis et associs un site dans une entreprise plusieurs sites ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-27

Leon 2

Configuration des partitions d'application et du catalogue global

Ds que votre domaine comporte plus d'un contrleur de domaine, vous devez envisager la rplication de la base de donnes de l'annuaire entre les contrleurs de domaine. Dans cette leon, vous allez dcouvrir quelles partitions de l'annuaire sont rpliques dans chaque contrleur de domaine d'une fort et comment grer la rplication du catalogue global (CG) et des partitions d'application.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dfinir l'objectif du catalogue global ; configurer des contrleurs de domaine en tant que serveurs CG ; implmenter la mise en cache de l'appartenance au groupe universel ; comprendre la fonction des partitions de l'annuaire d'applications.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Examen des partitions Active Directory

Points cls
Dans le Module 1, vous avez appris que les Services de domaine Active Directory (AD DS) comprennent un magasin de donnes pour l'identit et la gestion, notamment de la base de donnes de l'annuaire, Ntds.dit. Ce seul fichier contient les partitions de l'annuaire. Chaque partition de l'annuaire, galement appele contexte de nommage, contient les objets d'une certaine tendue. Trois contextes de nommage majeurs sont abords dans ce cours : Domaine : le contexte de nommage Domaine contient tous les objets stocks dans un domaine, dont les utilisateurs, les groupes, les ordinateurs et les conteneurs de la stratgie de groupe (GPC). Configuration : la partition Configuration contient les objets qui reprsentent la structure logique de la fort (domaines), ainsi que la topologie physique (sites, sous-rseaux et services). Schma : le Schma dfinit les classes des objets et leurs attributs pour l'ensemble de l'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-29

Chaque contrleur de domaine conserve une copie, ou rplica, de plusieurs contextes de nommage. Comme le Schma, la Configuration est rplique dans chaque contrleur de domaine de la fort. Le contexte de nommage Domaine d'un domaine est rpliqu dans tous les contrleurs de ce domaine mais pas dans ceux des autres domaines. Ainsi, chaque contrleur de domaine possde au moins trois rplicas : le contexte de nommage Domaine de son domaine, Configuration et Schma. Traditionnellement, les rplicas taient des copies intgrales, contenant chaque objet d'un attribut, et ils taient inscriptibles dans tous les contrleurs de domaine. Depuis Windows Server 2008, les Contrleurs de domaine en lecture seule (RODC) ont lgrement chang la donne. Tout RODC conserve un rplica en lecture seule de tous les objets des contextes de nommage Configuration, Schma et Domaine de son domaine. Toutefois, certains attributs ne sont pas rpliqus dans un RODC, notamment les donnes confidentielles telles que les mots de passe des utilisateurs, moins que la stratgie de mots de passe du RODC autorise cette rplication. Il existe galement des attributs correspondant des donnes confidentielles des domaines et de la fort qui ne sont jamais rpliqus dans les RODC.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement du catalogue global

Points cls
Imaginez une fort comprenant deux domaines. Chacun d'eux possde deux contrleurs de domaine. Ces quatre contrleurs de domaine conserveront un rplica des contextes de nommage Schma et Configuration de la fort. Les contrleurs de domaine du Domaine A ont des rplicas du contexte de nommage du Domaine A, et les contrleurs de domaine du Domaine B ont des rplicas du contexte de nommage du Domaine B. Que se passe-t-il si un utilisateur du Domaine B recherche un utilisateur, un ordinateur ou un groupe du Domaine A ? Les contrleurs du Domaine B ne conservent aucune information sur les objets du Domaine A. Donc, un contrleur du Domaine B ne peut pas rpondre une requte demandant des objets du contexte de nommage Domaine du Domaine A.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-31

C'est l qu'intervient le catalogue global. Le catalogue global (CG) est une partition qui stocke des informations sur chaque objet de la fort. Lorsqu'un utilisateur du Domaine B recherche un objet du Domaine A, le CG fournit les rsultats de la requte. Pour optimiser l'efficacit du CG, celui-ci ne contient pas tous les attributs de chaque objet de la fort. Il contient uniquement un sous-ensemble des attributs utiles pour la recherche inter-domaines. C'est pourquoi le CG est galement appel Jeu d'attributs partiel (PAS). tant donn son rle dans la prise en charge des recherches, vous pouvez considrer le CG comme une sorte d'index du magasin de donnes AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Emplacement des serveurs de catalogue global

Points cls
Le catalogue global amliore considrablement l'efficacit du service d'annuaire et il est obligatoire pour les applications telles que Microsoft Exchange Server et Microsoft Office Outlook. C'est pourquoi il faut qu'un catalogue global soit disponible pour ces applications, entre autres. Seul un contrleur de domaine peut servir de CG et, dans une configuration idale, chaque contrleur de domaine serait galement un serveur CG. En ralit, de nombreuses organisations configurent dsormais tous leurs contrleurs de domaine en tant que serveurs CG.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-33

L'inconvnient d'une telle configuration concerne la rplication. Le CG est une partition supplmentaire qui doit tre rplique. Dans une fort un seul domaine, une lgre charge supplmentaire est ajoute lorsque vous configurez tous les contrleurs de domaine en tant que serveurs CG. En effet, tous les contrleurs de domaine conservent dj un jeu complet des attributs de tous les objets du domaine et de la fort. Dans une grande fort plusieurs domaines, il y aura une surcharge lie la rplication des modifications du jeu d'attributs partiel des objets dans d'autres domaines. Toutefois, de nombreuses organisations estiment que la rplication Active Directory est suffisamment efficace pour rpliquer le CG sans impact notable sur leurs rseaux et que ses avantages sont bien suprieurs cet inconvnient. Si vous dcidez de configurer tous vos contrleurs de domaine en serveurs CG, vous n'aurez plus vous inquiter de l'emplacement du matre d'oprations de l'infrastructure. En effet, son rle n'est plus ncessaire dans un domaine o tous les contrleurs de domaine sont des serveurs CG. Il est fortement recommand de configurer un serveur CG dans un contrleur de domaine d'un site avec une ou plusieurs des caractristiques suivantes : Une application couramment utilise interroge l'annuaire l'aide du port 3268, le serveur CG. La connexion un serveur CG est lente ou non fiable. Le site contient un ordinateur excutant Exchange Server.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Configuration d'un serveur de catalogue global (CG)

Points cls
Lorsque vous crez le premier domaine de la fort, le premier contrleur de domaine est configur en tant que Catalogue global (CG). Pour chaque contrleur de domaine supplmentaire, vous devez dcider s'il doit s'agir d'un serveur CG ou non. L'Assistant Installation des services de domaine Active Directory et la commande Dcpromo.exe vous permettent tous les deux de configurer un serveur CG lors de la promotion d'un contrleur de domaine. Vous pouvez galement ajouter un CG un contrleur de domaine ou l'en retirer l'aide de Sites et services Active Directory. Pour configurer un contrleur de domaine en tant que catalogue global : 1. 2. Dveloppez le site, son conteneur Serveurs et l'objet serveur du contrleur de domaine. Cliquez avec le bouton droit sur le nud Paramtres NTDS et choisissez Proprits.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-35

3.

Dans l'onglet Gnral, illustr dans la capture d'cran suivante, cochez la case Catalogue global.

Pour supprimer le catalogue global d'un contrleur de domaine, rptez la mme procdure en dsactivant la case cocher Catalogue global.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Mise en cache des appartenances un groupe universel

Points cls
Dans le Module 4, vous avez appris qu'Active Directory prend en charge les groupes qui ont une tendue universelle. Les groupes universels sont conus pour inclure des utilisateurs et des groupes de plusieurs domaines dans une fort. L'appartenance aux groupes universels est rplique dans le catalogue global. Lorsqu'un utilisateur ouvre une session, un serveur CG fournit son appartenance un groupe universel. Si aucun CG n'est disponible, l'appartenance un groupe universel ne l'est pas non plus. Il est possible d'utiliser un groupe universel pour refuser l'accs d'un utilisateur aux ressources. C'est pourquoi Windows vite tout incident de scurit en refusant l'authentification de l'utilisateur auprs du domaine. Si l'utilisateur a dj ouvert une session sur son ordinateur auparavant, il peut le refaire l'aide de ses informations d'identification mises en cache, mais ds qu'il tente d'accder aux ressources du rseau, l'accs lui est refus. Pour rsumer : si aucun serveur CG n'est disponible, les utilisateurs ne pourront pas se connecter ni accder aux ressources du rseau. Si chaque contrleur de domaine est un serveur CG, ce problme ne survient pas.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-37

Toutefois, si la rplication vous inquite et si vous avez donc choisi de ne pas configurer un contrleur de domaine en serveur CG, vous pouvez faciliter les ouvertures de session en activant la Mise en cache des appartenances aux groupes universels (UGMC). Lorsque vous configurez la mise en cache de l'appartenance au groupe universel dans un contrleur de domaine d'une succursale par exemple, ce contrleur de domaine va obtenir les informations d'appartenance auprs d'un CG pour un utilisateur lors de sa premire ouverture de session dans le site. Et ce contrleur de domaine va mettre ces informations en cache indfiniment, en les actualisant toutes les huit heures. Ainsi, si l'utilisateur se connecte ultrieurement et qu'aucun serveur CG n'est disponible, le contrleur de domaine peut utiliser ses informations d'appartenance mises en cache pour autoriser la connexion de cet utilisateur. Il est donc recommand de configurer la mise en cache UGMC dans les contrleurs de domaine des sites dont la connexion un serveur de catalogue global est peu fiable. Pour configurer la mise en cache UGMC : 1. 2. Ouvrez le composant logiciel enfichable Sites et services Active Directory et slectionnez le site concern dans l'arborescence de la console. Dans le volet d'informations, cliquez avec le bouton droit sur Paramtres de site NTDS, puis choisissez Proprits.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

3.

La bote de dialogue Proprits des paramtres de site NTDS, illustre dans la capture d'cran suivante, expose l'option Activer la mise en cache de l'appartenance au groupe universel. Vous pouvez cocher cette case et spcifier le catalogue global partir duquel actualiser la mise en cache de l'appartenance.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-39

Fonctionnement des partitions de l'annuaire d'applications

Points cls
Bien que les partitions Domaine, Configuration et Schma de l'annuaire soient rpliques dans tous les contrleurs de domaine d'un domaine, et que les partitions Configuration et Schma soient encore rpliques dans tous les contrleurs de domaine de la fort, et que le jeu d'attributs partiel soit rpliqu par les serveurs CG, Active Directory prend galement en charge les partitions de l'annuaire d'applications. Une partition de l'annuaire d'applications est une partie du magasin de donnes qui contient les objets requis par une application ou un service qui est extrieur au service AD DS central. la diffrence des autres partitions, les partitions d'application peuvent tre cibles pour se rpliquer dans certains contrleurs de domaine. Par dfaut, elles ne sont pas rpliques dans tous les contrleurs de domaine. Les partitions de l'annuaire d'applications sont conues pour prendre en charge les applications et les services Active Directory. Elles peuvent contenir tout type d'objets, except les entits de scurit telles que les utilisateurs, les ordinateurs et les groupes de scurit. Ces partitions tant rpliques uniquement lorsque c'est ncessaire, elles offrent les avantages de la tolrance de pannes, de la disponibilit et des performances tout en optimisant le trafic de la rplication.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour comprendre le fonctionnement de ces partitions, examinez celles qui sont conserves par un serveur DNS Microsoft. Lorsque vous crez une zone intgre Active Directory, les enregistrements DNS sont rpliqus entre les serveurs DNS l'aide d'une partition de l'annuaire d'applications. La partition et ses objets enregistrement DNS ne sont pas rpliqus dans tous les contrleurs de domaine, uniquement dans ceux qui jouent le rle de serveur DNS. Pour explorer les partitions de l'annuaire d'applications de votre fort : 1. 2. 3. 4. Ouvrez le composant logiciel enfichable diteur ADSI. Cliquez avec le bouton droit sur la racine de l'diteur ADSI, puis choisissez Connexion . Dans la liste droulante Slectionnez un contexte d'attribution de noms connu, choisissez Configuration, puis cliquez sur OK. Dveloppez Configuration et le dossier reprsentant la partition Configuration, puis slectionnez le dossier Partitions CN=Partitions dans l'arborescence de la console. Dans le volet d'informations, vous verrez les partitions stockes dans votre magasin de donnes AD DS, comme illustr dans la capture d'cran suivante.

Notez les deux partitions d'application de la figure, ForestDnsZones et DomainDnsZones. La plupart des partitions d'applications sont cres par les applications qui en ont besoin. DNS en est un exemple, et Telephony Application Programming Interface (TAPI) en est un autre. Les membres du groupe Admins de l'entreprise peuvent galement crer des partitions de l'annuaire d'applications manuellement l'aide de la commande Ntdsutil.exe. Une partition d'applications peut apparatre tout endroit de l'espace de noms de la fort o peut apparatre une partition de domaines. Les noms uniques des partitions DNS (DC=DomainDnsZones,DC=contoso,DC=com, par exemple) placent les partitions en position d'enfant de la partition de domaines DC=contoso,DC=com. Une partition d'applications peut galement tre un enfant d'une autre partition d'applications ou une nouvelle arborescence dans la fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-41

En gnral, vous utiliserez des outils propres l'application pour grer la partition de l'annuaire d'applications, ses donnes et sa rplication. Par exemple, l'ajout d'une zone intgre Active Directory un serveur DNS configurera automatiquement le contrleur de domaine pour qu'il reoive un rplica de la partition DomainDns. Avec des outils tels que Ntdsutil.exe et Ldp.exe, vous pouvez grer les partitions de l'annuaire d'applications directement. Il est important de tenir compte des partitions d'applications avant de rtrograder un contrleur de domaine. Si un contrleur de domaine hberge une partition de l'annuaire d'applications, vous devez valuer la raison d'tre de cette partition : estelle requise par toutes les applications et le contrleur de domaine conserve-t-il son dernier rplica. Auquel cas, la rtrogradation du contrleur de domaine entranera une perte dfinitive de toutes les informations stockes dans la partition. Bien que l'Assistant Installation des services de domaine Active Directory vous propose de supprimer lui-mme les partitions de l'annuaire d'applications, il est recommand de le faire manuellement avant de rtrograder un contrleur de domaine.

Lectures complmentaires
Pour plus d'informations sur les partitions de l'annuaire d'applications, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168551. Pour apprendre grer les partitions de l'annuaire d'applications, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168553. Pour plus d'informations sur les partitions de l'annuaire d'applications et la rtrogradation des contrleurs de domaine, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168554.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Configuration des partitions d'application et du catalogue global

Scnario
Vous tes administrateur chez Contoso, Ltd. Dans le cadre de l'amlioration de la disponibilit et de la rsilience du service d'annuaire, vous dcidez de configurer des serveurs CG supplmentaires et la mise en cache des appartenances aux groupes universels. Vous tes galement intress par la relation entre les zones intgres Active Directory et les partitions d'application DNS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-43

Exercice 1 : Configuration d'un serveur de catalogue global (CG)


Le premier contrleur de domaine d'une fort agit en tant que serveur de catalogue global. Vous prfrerez placer des serveurs CG d'autres endroits pour prendre en charge les interrogations de l'annuaire, les ouvertures de session et les applications telles que Exchange Server. Dans cet exercice, vous allez configurer BRANCHDC01 pour qu'il hberge un rplica du jeu d'attributs partiel : le catalogue global. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Configurer un serveur de catalogue global

Tche 1 : Dmarrage des ordinateurs virtuels et ouverture d'une


session
Les ordinateurs virtuels devraient dj avoir t dmarrs et tre disponibles aprs l'Atelier pratique A. Toutefois, si ce n'est pas le cas, suivez la procdure ci-dessous, puis effectuez les exercices 1 3 de l'Atelier pratique A avant de continuer. 1. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le dmarrage de cet ordinateur virtuel peut prendre plusieurs minutes. Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y ouvrir de session. Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de session. Aprs le dmarrage de HQDC03, dmarrez 6238B-BRANCHDC01-B sans y ouvrir de session. Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche suivante.

2. 3. 4. 5.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : configuration d'un serveur de catalogue global (CG)


1. 2. 3. Excutez Sites et services Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Configurez HQDC02 pour agir en tant que serveur CG. Confirmez que BRANCHDC01 est un serveur de catalogue global.
Rsultats : au terme de cet exercice, vous aurez configur HQDC02 pour qu'il soit un serveur de catalogue global et confirm que BRANCHDC01 est dj un serveur de catalogue global.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-45

Exercice 2 : Configuration de la mise en cache des appartenances un groupe universel


Dans les sites sans serveur de catalogue global, la connexion des utilisateurs peut chouer si le contrleur de domaine du site est incapable de contacter un serveur de catalogue global d'un autre site. Pour viter que ce scnario ne se produise, vous pouvez configurer un site de sorte qu'il mette en cache l'appartenance aux groupes universels. Dans cet exercice, vous allez crer un site qui reflte le bureau d'une succursale et le configurer pour qu'il mette en cache l'appartenance des groupes universels. Les tches principales de cet exercice sont les suivantes : configurer la mise en cache de l'appartenance au groupe universel.

Tche 1 : Configuration de la mise en cache de l'appartenance aux


groupes universels
Configurez les Paramtres du site NTDS de BRANCHA de sorte que les contrleurs de domaine mette en cache l'appartenance des groupes universels.
Rsultats : Au terme de cet exercice, vous aurez configur des contrleurs de domaine dans BRANCHA pour la mise en cache de l'appartenance aux groupes universels.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Examen du systme DNS et des partitions de l'annuaire d'applications


Dans cet exercice, vous allez explorer les enregistrements DNS relatifs la rplication et la partition de l'annuaire d'applications DomainDnsZone, l'aide de l'diteur ADSI. Les tches principales de cet exercice sont les suivantes : 1. 2. Vrifier les enregistrements DNS relatifs la rplication. Vrifier la partition DNS de l'annuaire d'applications.

Tche 1 : Examen des enregistrements DNS relatifs la rplication


1. 2. 3. Excutez le Gestionnaire DNS en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Examinez les enregistrements SRV du domaine _tcp.HEADQUARTERS._sites.contoso.com Examinez les enregistrements SRV du domaine _tcp.BRANCHA._sites.contoso.com.

Tche 2 : Examen de la partition DNS de l'annuaire d'applications


1. Cliquez sur Dmarrer > Outils administratifs >diteur ADSI et entrez des informations d'identification d'administrateur lorsque le systme vous les demande. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, cliquez avec le bouton droit sur diteur ADSI, puis choisissez Connexion . Dans la liste droulante Slectionnez un contexte d'attribution de noms connu, slectionnez Configuration. Acceptez toutes les autres valeurs par dfaut. Cliquez sur OK. Dans l'arborescence de la console, cliquez sur Configuration, puis dveloppez cet lment. Dans l'arborescence de la console, cliquez sur CN=Configuration, DC=contoso, DC=com, puis dveloppez cet lment. Dans l'arborescence de la console, cliquez sur CN=Partitions.

2. 3. 4. 5. 6. 7.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-47

8. 9.

Cliquez avec le bouton droit sur Modification ADSI, puis cliquez sur Connexion. Cliquez sur Slectionnez ou entrez un nom unique ou un contexte d'attribution de noms.

10. Dans la zone de liste droulante, tapez DC=DomainDnsZones,DC=contoso,DC=com. Cliquez sur OK. 11. Dans l'arborescence de la console, cliquez sur Contexte d'attribution de noms par dfaut, puis dveloppez cet lment. 12. Cliquez sur DC=DomainDnsZones,DC=contoso,DC=com, puis dveloppez cet lment. 13. Cliquez sur CN=MicrosoftDNS, puis dveloppez cet lment. 14. Cliquez sur DC=contoso.com. 15. Examinez les objets de ce conteneur. Comparez ces enregistrements aux enregistrements DNS que vous avez examins dans l'exercice prcdent.
Rsultats : Au terme de cet exercice, vous aurez explor les enregistrements DNS et la partition DNS de l'annuaire d'applications pour le domaine contoso.com.

Important : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants de ce module.

Questions de contrle des acquis


Question : Dcrivez la relation qui existe entre les enregistrements que vous avez affichs dans l'diteur ADSI et ceux affichs dans le Gestionnaire DNS. Question : Quand vous avez examin les enregistrements DNS du domaine _tcp.BRANCHA._sites.contoso.com, quel contrleur de domaine inscrivait les enregistrements SRV dans le site ? Expliquez pourquoi.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3

Configuration de la rplication

Dans la leon 1, vous avez appris crer des objets site et sous-rseau qui permettent Active Directory et ses clients de localiser l'accs l'authentification et l'annuaire. Vous aviez galement choisi l'emplacement des contrleurs de domaine. Dans la leon 2, vous avez configur des serveurs de catalogue global et des partitions de l'annuaire d'applications. Vous avez gr les lments rpliquer entre les contrleurs de domaine. Dans cette leon, vous allez dcouvrir comment et quand la rplication a lieu. Vous dcouvrirez pourquoi la configuration par dfaut d'Active Directory prend en charge une rplication efficace et pourquoi vous devez modifier cette configuration pour que la rplication soit encore plus efficace, en fonction de la topologie de votre rseau.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-49

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : crer des objets connexion pour configurer la rplication entre deux contrleurs de domaine ; implmenter des liens de site et des cots de liens de site pour grer la rplication entre plusieurs sites ; dsigner des serveurs tte de pont privilgis ; comprendre la notification et l'interrogation ; gnrer des rapports et analyser la rplication avec la commande repadmin.exe ; vrifier le bon fonctionnement de la rplication Active Directory avec la commande dcdiag.exe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement de la rplication Active Directory

Points cls
Dans les leons prcdentes, vous avez appris rpartir les contrleurs de domaine en diffrents emplacements du rseau et comment reprsenter ces emplacements par des objets site et sous-rseau. Vous avez galement tudi la rplication des partitions de l'annuaire (schma, configuration et domaine), le jeu d'attributs partiel (catalogue global) et les partitions d'application. Le principal concept ne pas oublier concernant la rplication Active Directory est qu'elle est conue pour, qu'en fin de compte, chaque rplica d'un contrleur de domaine soit cohrent avec ceux de la partition hberge par d'autres contrleurs de domaine. Il est peu probable que tous les contrleurs de domaine possdent exactement les mmes informations dans leurs rplicas tout moment car le contenu de l'annuaire est constamment modifi. Toutefois, la rplication Active Directory garantit que toutes les modifications d'une partition seront transmises tous les rplicas de cette partition. La rplication Active Directory recherche un quilibre entre la prcision (ou intgrit) et la cohrence (on parle de convergence) et les performances (maintien du trafic de rplication un niveau raisonnable). Ce numro d'quilibriste est qualifi de faible interdpendance.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-51

Voici les principales caractristiques de la rplication Active Directory : Rplication multimatre : tout contrleur de domaine peut dclencher et valider une modification dans Active Directory. Rplication par rception : tout contrleur de domaine demande ou reoit des modifications de la part d'autres contrleurs de domaine. Au fur et mesure de votre dcouverte de la rplication, vous risquez d'oublier ceci. En effet, un contrleur de domaine notifie ses partenaires de rplication que des modifications de l'annuaire sont stockes chez lui. Ou un contrleur de domaine peut interroger ses partenaires pour savoir s'ils stockent de nouvelles modifications de l'annuaire. Cependant, au final, les modifications elles-mmes sont demandes ou rceptionnes par le contrleur de domaine cible. Rplication diffre : un contrleur de domaine peut rceptionner des modifications en provenance d'un partenaire, puis les rendre disponibles pour un autre partenaire. Par exemple, le contrleur de domaine B peut rceptionner des modifications dclenches par le contrleur de domaine A. Ensuite, le contrleur de domaine C peut recevoir ces modifications du contrleur de domaine B. Partitionnement du magasin de donnes : tous les contrleurs d'un domaine hbergent uniquement le contexte des noms de ce domaine. Ceci permet de limiter au maximum le volume de la rplication, particulirement dans les forts plusieurs domaines. D'autres donnes, dont les partitions de l'annuaire d'applications et le jeu d'attributs partiel (catalogue global), ne sont pas rpliques dans chacun des contrleurs de domaine de la fort, du moins dans la configuration par dfaut. Gnration automatique d'une topologie de rplication efficace et robuste : par dfaut, Active Directory va configurer une topologie de rplication efficace et bidirectionnelle afin que la dfaillance de l'un des contrleurs de domaine ne perturbe pas la rplication. Cette topologie est automatiquement mise jour lorsque des contrleurs de domaine sont ajouts, supprims ou dplacs d'un site l'autre. Rplication au niveau des attributs : lorsque qu'un attribut d'un objet est modifi, seul cet attribut est rpliqu, ainsi que ses mtadonnes minimales. La totalit de l'objet n'est pas rplique, sauf en cas de cration d'objet.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Diffrence de contrle entre la rplication intrasite (au sein d'un seul site) et la rplications intersites (entre plusieurs sites) : la rplication peut tre contrle diffremment dans ces deux situations. Dtection et gestion des collisions : il arrive parfois, mais rarement, qu'un attribut soit modifi dans deux contrleurs de domaine diffrents au cours de la mme fentre de rplication. Dans ce cas, les deux modifications devront tre rapproches. Active Directory possde des algorithmes de rsolution spcialement conus pour de telles situations.

Pour bien comprendre le fonctionnement de la rplication Active Directory, il suffit d'examiner chacun de ses composants. Les sections suivantes traitent les composants de la rplication Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-53

Rplication intrasite

Points cls
Cette section inclut une discussion sur les points cls suivants : Objets connexion Vrificateur de cohrence des donnes (KCC) Rplication intrasite Notification Interrogation

Objets connexion Un contrleur de domaine rplique les modifications d'un autre contrleur de domaine grce aux objets connexion d'AD DS, couramment appels objets connexion. Les objets connexion apparaissent dans les outils administratifs du composant logiciel enfichable Sites et services Active Directory sous forme d'objets stocks dans le conteneur Paramtres NTDS de l'objet serveur d'un contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

La capture d'cran suivante prsente un exemple : un objet connexion de SERVER02 configure la rplication de SERVER01 vers SERVER02. Tout objet connexion reprsente un chemin de rplication entre deux contrleurs de domaine.

Les objets connexion sont unidirectionnels et reprsentent uniquement les rplications entrantes. Dans Active Directory, la rplication est toujours une technologie de rception. Dans le domaine illustr ci-dessus, SERVER02 reoit les modifications de SERVER01. Dans cet exemple, SERVER02 est considr comme un partenaire de rplication en aval de SERVER01. SERVER01 est le partenaire en amont. Les modifications de SERVER01 s'coulent vers SERVER02.
Remarque : rplication impose. Vous pouvez imposer la rplication entre deux contrleurs de domaine en cliquant avec le bouton droit sur l'objet connexion et en choisissant Rpliquer maintenant. N'oubliez pas que la rplication est uniquement entrante. Par consquent, pour rpliquer deux contrleurs de domaine, vous devrez rpliquer l'objet connexion entrant de chaque contrleur de domaine.

Vrificateur de cohrence des donnes (KCC) Les chemins de rplication tablis entre des contrleurs de domaine par des objets connexion crent la topologie de rplication de la fort. Heureusement, vous n'avez pas crer cette topologie manuellement. Par dfaut, Active Directory cre une topologie qui garantit l'efficacit de la rplication. La topologie est bidirectionnelle. Ainsi, si un contrleur de domaine choue, la rplication se poursuit sans interruption. La topologie garantit galement qu'il n'y aura pas plus de trois sauts entre deux contrleurs de domaine, quels qu'ils soient.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-55

Dans la capture d'cran prcdente, vous remarquerez que l'objet connexion indique qu'il a t gnr automatiquement. Dans chaque contrleur de domaine, un composant d'Active Directory appel Vrificateur de cohrence de connaissances (KCC, Knowledge Consistency Checker) facilite la cration et l'optimisation de la rplication automatique entre les contrleurs de domaine d'un site. Ce vrificateur KCC value les contrleurs de domaine d'un site et cre les objets connexion ncessaires pour construire la topologie bidirectionnelle trois sauts dcrite prcdemment. Si un contrleur de domaine est ajout un site ou supprim, ou si un contrleur de domaine ne rpond plus, le vrificateur KCC rorganise la topologie dynamiquement, en ajoutant et en supprimant des objets connexion pour reconstruire une topologie de rplication efficace. Vous pouvez crer des objets connexion manuellement pour spcifier des chemins de rplication qui doivent perdurer. Les objets connexion crs manuellement ne sont jamais supprims par le vrificateur KCC. Pour crer un objet connexion : 1. Dans Sites et services Active Directory, localisez l'objet serveur du partenaire de rplication en aval, c'est--dire le contrleur de domaine qui va recevoir les modifications d'un contrleur de domaine source. Cliquez avec le bouton droit sur le conteneur Paramtres NTDS dans l'objet serveur, puis choisissez Nouvelle connexion aux services de domaine Active Directory. Dans la bote de dialogue Trouver des contrleurs de domaine Active Directory, slectionnez le partenaire de rplication en amont, puis cliquez sur OK. Nommez le nouvel objet connexion, puis cliquez sur OK. Ouvrez les proprits de l'objet connexion. Utilisez le champ Description pour indiquer l'objectif de cet objet connexion cr manuellement.

2.

3. 4.

Au sein d'un site, trs peu de scnarios exigent la cration d'un objet connexion. Parmi ces scnarios se trouvent les matres d'oprations de secours. Les matres d'oprations sont traits au Module 11. Il est recommand de slectionner des contrleurs de domaine comme matres d'oprations de secours pour les utiliser en cas de transfert ou de captage du rle de matre d'oprations. Tout matre d'oprations de secours doit tre un partenaire de rplication direct pour le matre d'oprations actuel. Ainsi, si un contrleur de domaine nomm DC01 est le matre RID et que le contrleur de domaine DC02 est le systme qui assumera le rle de matre RID en cas de dconnexion de DC01, alors un objet connexion doit tre cr dans DC02 afin que sa rplication s'effectue directement partir de DC01.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Rplication intrasite Aprs la cration (automatique par le KCC ou manuelle) des objets connexion entre les contrleurs de domaine d'un site, la rplication peut avoir lieu. La rplication intrasite implique la rplication des modifications au sein d'un seul site. Notification Examinons le site illustr dans la capture d'cran prcdente. Lorsque SERVER01 effectue une modification dans une partition, il la met en file d'attente pour qu'elle soit rplique vers ses partenaires. SERVER01 attend 15 secondes, par dfaut, avant de notifier son premier partenaire de rplication, SERVER02, de la modification. La notification est le processus grce auquel un partenaire en amont informe ses partenaires en aval qu'une modification est disponible. SERVER01 attend trois secondes, par dfaut, entre les notifications envoyes d'autres partenaires. Ces dlais, appels dlai de notification initial et dlai de notification conscutif, sont conus pour taler le trafic rseau inhrent la rplication intrasite. la rception de la notification, le partenaire en aval, SERVER02, demande les modifications SERVER01, et l'Agent de rplication d'annuaire (DRA) effectue le transfert de l'attribut entre SERVER01 et SERVER02. Dans cet exemple, SERVER01 a ralis la modification initiale dans Active Directory. Il s'agit du contrleur de domaine d'origine et la modification qu'il effectue est l'origine de la modification. Lorsque SERVER02 reoit la modification de SERVER01, il effectue son tour la modification dans son annuaire. La modification n'est pas qualifie de modification rplique ; il s'agit nanmoins d'une modification. SERVER02 met la modification en file d'attente pour sa rplication dans ses propres partenaires en aval. SERVER03 est un partenaire de rplication en aval de SERVER02. Aprs 15 secondes, SERVER02 notifie SERVER03 de la prsence d'une modification. SERVER03 effectue la modification rplique dans son annuaire, puis notifie ses partenaires en aval. La modification a ncessit deux sauts : de SERVER01 SERVER02 et de SERVER02 SERVER03. La topologie de rplication garantit qu'il n'y aura pas plus de trois sauts avant que tous les contrleurs de domaine du site aient reu la modification. Avec environ 15 secondes par saut, la modification sera entirement rplique dans le site en une minute.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-57

Interrogation Il est possible que SERVER01 n'effectue aucune modification dans ses rplicas pendant une priode assez longue, particulirement pendant les heures d'inactivit. Dans ce cas, SERVER02, son partenaire de rplication en aval, ne recevra aucune notification de SERVER01. Il est galement possible que SERVER01 soit hors ligne, ce qui l'empche d'envoyer des notifications SERVER02. Il est donc important pour SERVER02 de savoir que son partenaire en amont est en ligne et n'a simplement aucune modification. Pour obtenir ces informations, on utilise un processus appel interrogation. L'interrogation implique que le partenaire en aval contacte son partenaire en amont en lui demandant si des modifications sont en attente de rplication. Par dfaut, l'intervalle d'interrogation est d'une fois par heure pour la rplication intrasite. Il est possible, mais pas recommand, de configurer la frquence d'interrogation dans les proprits d'un objet connexion en cliquant sur Modifier la planification. Si un partenaire en amont ne parvient pas rpondre des interrogations rptes, le partenaire en aval lance le vrificateur KCC pour vrifier la topologie de rplication. Si le serveur en amont est vritablement hors ligne, la topologie de rplication du site est reconstruite pour s'adapter ce changement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Liens de site

Points cls
Le vrificateur KCC suppose que, au sein d'un site, tous les contrleurs de domaine peuvent communiquer entre eux. Il construit une topologie de rplication intrasite qui est indpendante de la connectivit rseau sous-jacente. Toutefois, entre les sites, vous pouvez reprsenter les chemins rseau sur lesquels la rplication doit se produire en crant des objets lien de site. Un lien de site contient deux sites ou plus. Le Gnrateur de topologie intersites (ISTG, InterSite Topology Generator), un composant du vrificateur KCC, construit des objets connexion entre les serveurs dans chacun des sites pour permettre la rplication intersites (entre les sites). Ces liens de site sont mal connus. Il est important de ne pas oublier qu'un lien de site reprsente un chemin disponible pour la rplication. Un seul lien de site ne contrle pas les itinraires qui sont utiliss au sein du rseau. Lorsque vous crez un lien de site et que vous lui ajoutez des sites, vous indiquez Active Directory qu'il peut procder la rplication entre tous les sites associs ce lien de site. Le gnrateur ISTG va crer des objets connexion, et ces objets vont dterminer l'itinraire rel de la rplication. Bien que la topologie de rplication construite par le gnrateur ISTG rplique efficacement Active Directory, elle peut tre insuffisante selon la topologie de votre rseau.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-59

Nous allons illustrer ce concept par un exemple. Lorsque vous crez une fort, un objet lien de site est cr : DEFAULTIPSITELINK. Par dfaut, chaque nouveau site ajout est associ l'objet DEFAULTIPSITELINK. Imaginons une entreprise avec un centre de donnes hberg par son sige social et trois succursales. Les trois succursales sont toutes connectes au centre de donnes par une liaison ddie. Vous crez des sites pour chaque succursale, Seattle (SEA), Amsterdam (AMS) et Pkin (PEK). La figure suivante illustre la topologie des sites et du rseau.

Les quatre sites tant sur le mme lien de site, vous indiquez Active Directory que ces quatre sites peuvent se rpliquer mutuellement. Cela signifie qu'il est possible que Seattle rplique les modifications d'Amsterdam, qu'Amsterdam rplique les modifications de Pkin et que Pkin rplique les modifications du sige social qui, son tour, rplique les modifications de Seattle. Dans plusieurs de ces itinraires de rplication, le trafic rseau de la rplication circule d'une succursale vers le sige social sur sa route vers une autre succursale. Avec un seul lien de site, vous n'avez pas cr une topologie de rplication Hub and Spoke, mme si la topologie de votre rseau est Hub and Spoke. C'est pourquoi il est recommand de crer manuellement des liens de site qui refltent la topologie physique de votre rseau. Pour l'exemple prcdent, vous creriez trois liens de site : HQ-AMS, entre les sites Sige social et Amsterdam HQ-SEA, entre les sites Sige social et Seattle HQ-PEK, entre les sites Sige social et Pkin

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vous pourriez alors supprimer le lien de site par dfaut DEFAULTIPSITELINK. La figure suivante illustre la topologie obtenue.

Aprs la cration de vos liens de site, le gnrateur ISTG utilisera cette topologie pour construire une topologie de rplication intersites qui connecte chaque site. Des objets connexion seront construits pour configurer les chemins de rplication intersites. Ces objets connexion sont crs automatiquement, mais vous pouvez les crer manuellement, car il existe quelques scnarios qui exigent la cration manuelle d'objets connexion intersites.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-61

Protocoles de transport de la rplication

Points cls
Dans le composant logiciel enfichable Sites et services Active Directory, vous remarquerez que des liens de site sont stocks dans un conteneur nomm IP, qui est lui-mme stock dans le conteneur Transports inter-sites. Les modifications sont rpliques entre les contrleurs de domaine l'aide de l'un des deux protocoles suivants : Directory Service Remote Procedure Call (DS-RPC) DS-RPC apparat dans le composant logiciel enfichable Sites et services Active Directory sous le nom IP. IP sert pour toutes les rplications intrasite et il s'agit du protocole par dfaut et privilgi pour la rplication intersites. Inter-Site MessagingSimple Mail Transport Protocol (ISM-SMTP) Mieux connu sous le nom SMTP, ce protocole est utilis uniquement lorsque les connexions rseau entre les sites ne sont pas fiables ou pas toujours disponibles.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

En gnral, vous pouvez supposer que vous utiliserez IP pour toute la rplication intersites. Trs peu d'entreprises utilisent SMTP pour la rplication du fait de la surcharge administrative requise pour configurer et grer une autorit de certification (CA) et car la rplication SMTP n'est pas prise en charge pour le contexte des noms de domaine. Cela signifie que, si un site utilise SMTP pour rpliquer les modifications dans le reste de l'entreprise, ce site doit tre son propre domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-63

Serveurs tte de pont

Points cls
Le gnrateur ISTG cre une topologie de rplication entre les sites sur un lien de site. Pour amliorer l'efficacit de la rplication, un contrleur de domaine est slectionn pour tre le serveur tte de pont. Le serveur tte de pont est charg de toute la rplication interne et externe au site pour une partition. Par exemple, si un site de centre de donnes contient cinq contrleurs de domaine, l'un d'eux sera le serveur tte de pont pour le contexte des noms de domaine. Toutes les modifications effectues la partition du domaine au sein du centre de donnes seront rpliques dans tous les contrleurs de domaine du site. Lorsque les modifications atteignent le serveur tte de pont, elles sont rpliques dans les serveurs tte de pont des succursales, qui leur tour les rpliquent dans les contrleurs de domaine de leurs sites. De mme, toutes les modifications du contexte des noms de domaine dans les succursales seront rpliques partir des serveurs tte de pont de ces succursales dans le serveur tte de pont du centre de donnes, qui son tour rplique ces modifications dans les autres contrleurs de domaine du centre de donnes. La figure suivante illustre la rplication intrasite au sein de deux sites et la rplication intersites utilisant des objets connexion entre les serveurs tte de pont des sites.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour rsumer, le serveur tte de pont est charg de rpliquer les modifications d'une partition partir des autres serveurs tte de pont dans d'autres sites. Il est galement interrog par les serveurs tte de pont des autres sites pour savoir quand des modifications doivent tre rpliques par eux. Les serveurs tte de pont sont slectionns automatiquement, et le gnrateur ISTG cre la topologie de rplication intersites pour garantir que les modifications sont bien rpliques entre les serveurs tte de pont qui partagent un lien de site. Les serveurs tte de pont sont slectionns par partition. Il est donc possible qu'un contrleur de domaine d'un site soit le serveur tte de pont du schma et qu'un autre soit celui de la configuration. Toutefois, vous dcouvrirez gnralement qu'un contrleur de domaine est le serveur tte de pont de toutes les partitions d'un site, moins qu'il existe des contrleurs de domaine d'autres domaines ou des partitions de l'annuaire d'applications. Auquel cas, des serveurs tte de pont seront choisis pour ces partitions. Serveurs tte de pont privilgis Vous pouvez galement dsigner un ou plusieurs serveurs tte de pont privilgis. Pour dsigner un contrleur de domaine comme serveur tte de pont privilgi : 1. 2. Ouvrez les proprits de l'objet serveur concern dans le composant logiciel enfichable Sites et services Active Directory. Slectionnez le protocole de transport, qui sera presque toujours IP, puis cliquez sur Ajouter.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-65

Vous pouvez configurer plusieurs serveurs tte de pont privilgis pour un site, mais un seul sera slectionn et utilis en tant que tte de pont. Si ce serveur tte de pont est dfaillant, l'un des autres serveurs tte de pont privilgis sera utilis. Il est important de savoir que, si vous avez spcifi un ou plusieurs serveurs tte de pont et qu'aucun d'eux n'est disponible, aucun autre serveur n'est slectionn automatiquement, et la rplication n'a pas lieu pour ce site, mme s'il y a des serveurs pouvant jouer le rle de tte de pont. Idalement, vous ne devriez pas configurer de serveurs tte de pont privilgis. Toutefois, pour des problmes de performance, vous pouvez tre amen attribuer le rle de tte de pont aux contrleurs de domaine disposant des meilleures ressources systme. Les problmes de pare-feu peuvent galement exiger qu'un seul serveur joue le rle de tte de pont, au lieu de laisser Active Directory slectionner et peut-tre raffecter des serveurs tte de pont au fur et mesure.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Transitivit et ponts de liens de site

Points cls
Aprs que vous ayez cr les liens de site et que le gnrateur ISTG ait gnr les objets connexion pour rpliquer les partitions entre les serveurs tte de pont qui partagent un lien de site, votre travail est termin. Dans de nombreux environnements, particulirement ceux dont les topologies rseau sont trs directes, les liens de site doivent suffire pour grer la rplication intersites. Dans les rseaux plus complexes, toutefois, vous pouvez configurer des composants et des proprits supplmentaires pour la rplication. Transitivit des liens de site Par dfaut, les liens de site sont transitifs. Cela signifie que, pour reprendre notre exemple, si les sites Amsterdam et Headquarters (sige social) sont relis, et que les sites Headquarters et Seattle sont relis, alors Amsterdam et Seattle sont relis transitivement. En thorie, cela signifie que le gnrateur ISTG pourrait crer un objet connexion directement entre une tte de pont Seattle et une tte de pont Amsterdam. On retrouve ici la topologie de rplication Hub and Spoke.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-67

Vous pouvez dsactiver la transitivit des liens de site en ouvrant les proprits du Transport IP dans le conteneur Transports inter-sites et en dsactivant Relier tous les liens de sites. Avant de procder ainsi dans un environnement de production, prenez le temps de lire les ressources techniques sur la rplication, fournies par la Bibliothque technique Windows Server sur le site Microsoft TechNet l'adresse http://technet.microsoft.com. Ponts entre liens de site Un pont de liaison de sites connecte deux liens de sites ou plus de manire crer un lien transitif. Les ponts entre liens de site ne sont ncessaires que lorsque vous avez dsactiv l'option Relier tous les liens de sites pour le protocole de transport. N'oubliez pas que la transitivit des liens de site est active par dfaut, auquel cas, les ponts de liens de site n'auront aucun effet. La figure suivante illustre l'utilisation d'un pont de liens de site dans une fort dans laquelle cette transitivit a t dsactive. En crant un pont entre les liens de site, AMS-HQ-SEA, qui inclut les liens HQ-AMS et HQ-SEA, ces deux liens de site deviennent transitifs. Ainsi, une connexion de rplication peut tre tablie entre un contrleur de domaine Amsterdam et un autre Seattle.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Contrle de la rplication intersites

Points cls
Les ponts cls de cette section comprennent les lments suivants : Cots de liaison entre sites Frquence de rplication Planifications de la rplication

Cots de liaison entre sites Les cots de liaison entre sites servent grer le flux du trafic de rplication lorsque celui-ci comprend plusieurs itinraires. Vous pouvez configurer le cot des liaisons entre sites pour indiquer qu'un lien est plus rapide, plus fiable ou privilgi. Les cots les plus levs sont utiliss pour les liaisons lentes, et les moins levs sont rservs aux liaisons rapides. Active Directory effectue la rplication l'aide de la connexion prsentant le cot le moins lev.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-69

Par dfaut, tous les liens de site sont configurs avec un cot de 100. Pour modifier le cot d'un lien de site, ouvrez les proprits de ce dernier et changez la valeur dans la zone de slection numrique Cot, illustre dans la capture d'cran suivante.

Pour reprendre notre exemple prcdent, imaginons qu'un lien de site a t cr entre les sites Amsterdam et Pkin, comme dans la figure suivante.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Un tel lien de site pourrait tre configur pour autoriser la rplication entre les contrleurs de domaine de ces deux sites au cas o les liaisons avec le sige social deviennent indisponibles. Vous pourriez configurer une telle topologie dans le cadre d'un plan de rcupration d'urgence, par exemple. Avec le cot de lien de site par dfaut de 100 attribu au lien AMS-PEK, Active Directory rpliquera les modifications directement entre Amsterdam et Pkin. Si vous configurez le cot sur 300, les modifications seront rpliques entre Amsterdam et le sige social, puis entre le sige social et Pkin pour un cot de 200, au lieu de passer directement par AMS-PEK pour un cot de 300. Frquence de rplication La rplication intersites repose uniquement sur l'interrogation ; il n'y a aucune notification. Par dfaut, toutes les trois heures, un serveur tte de pont interroge ses partenaires de rplication en amont pour savoir si des modifications sont disponibles. Cet intervalle de rplication est trop long pour les entreprises qui souhaitent que les modifications de leur annuaire soient rpliques plus rapidement. Vous pouvez modifier l'intervalle d'interrogation pour chaque lien de site. Pour changer l'intervalle d'interrogation d'un lien de site : Ouvrez les proprits du lien de site et modifiez la valeur dans la zone de slection numrique Rplication toutes les, illustre dans la capture d'cran prcdente.

L'intervalle minimum d'interrogation est 15 minutes. Cela signifie que, avec la configuration par dfaut de la rplication Active Directory, une modification de l'annuaire effectue dans un site ne sera pas rplique dans les contrleurs de domaine d'un autre site avant plusieurs minutes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-71

Planifications de la rplication Par dfaut, la rplication a lieu 24 heures par jour. Toutefois, vous pouvez limiter la rplication intersites des heures spcifiques en modifiant les attributs de la planification d'un lien de site. Ouvrez les proprits d'un lien de site et cliquez sur le bouton Modifier la planification. Dans la bote de dialogue Programmer , illustre dans la capture d'cran suivante, vous pouvez slectionner les heures durant lesquelles le lien est disponible pour la rplication. Le lien illustr dans la figure ne rplique pas de 08 h 00 18 h 00, du lundi au vendredi.

Vous devez planifier soigneusement la disponibilit des liens de site. Il est possible de planifier des fentres de disponibilit qui ne se chevauchent pas, auquel cas, la rplication n'a pas lieu. Il n'est gnralement pas recommand de configurer la disponibilit des liens. Si vous n'avez pas besoin de planifier les liens, vous devriez slectionner l'option Ignorer les planifications dans les proprits du protocole de transport IP. Cette option provoque le contournement des planifications de la disponibilit des liens de site, assurant une rplication constante (24 heures sur 24) pour tous les liens de site.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Surveillance et gestion de la rplication

Points cls
Aprs avoir implment la configuration de votre rplication, vous devez pouvoir surveiller son fonctionnement des fins d'assistance continue, d'optimisation et de rsolution des problmes. Deux outils sont particulirement utiles pour gnrer des rapports et analyser la rplication : l'Outil de diagnostic de la rplication (Repadmin.exe) et Diagnostic du serveur d'annuaire (Dcdiag.exe). Cette leon vous prsente ces puissants outils. Repadmin.exe L'Outil de diagnostic de la rplication, Repadmin.exe, est un outil de ligne de commande qui vous permet de connatre l'tat de la rplication dans chaque contrleur de domaine. Les informations fournies par Repadmin.exe peuvent vous aider dtecter un problme potentiel avant qu'il ne soit hors de contrle et rsoudre les problmes de la rplication dans votre fort. Vous pouvez afficher plusieurs niveaux de dtails, jusqu'aux mtadonnes de la rplication pour des objets et des attributs spcifiques. Ceci vous permet de savoir o et quand une modification problmatique a eu lieu dans Active Directory. Vous pouvez mme exploiter l'outil Repadmin.exe pour crer votre topologie de rplication et imposer la rplication entre des contrleurs de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-73

Comme pour les autres outils de ligne de commande, tapez repadmin /? pour afficher des informations sur le fonctionnement de cet outil. Sa syntaxe de base est la suivante :
repadmin arguments de la commande...

L'outil Repadmin.exe prend en charge un certain nombre de commandes qui excutent des tches spcifiques. Pour en savoir plus sur chaque commande, tapez repadmin /?:commande. La plupart des commandes exigent des arguments. De nombreuses commandes acceptent un paramtre DSA_LIST, qui est simplement l'tiquette rseau (nom DNS ou NetBIOS ou adresse IP) d'un contrleur de domaine. Voici certaines des tches de surveillance de la rplication que vous pouvez effectuer avec l'outil Repadmin : Afficher les partenaires de rplication d'un contrleur de domaine : pour ce faire, tapez repadmin /showrepl DSA_LIST. Par dfaut, Repadmin.exe affiche uniquement les connexions intersites. Pour afficher galement les connexions intrasite, ajoutez l'argument /repsto. Afficher les objets connexion d'un contrleur de domaine : pour ce faire, tapez repadmin /showconn DSA_LIST. Afficher les mtadonnes d'un objet, ses attributs et la rplication : vous pouvez en apprendre beaucoup sur la rplication en examinant un objet dans deux contrleurs de domaine diffrents pour savoir quels attributs ont t rpliqus ou non. Tapez repadmin /showobjmeta DSA_LIST Objet, oDSA_LIST dsigne le ou les contrleurs de domaine interroger (vous pouvez utiliser un astrisque [*] pour englober tous les contrleurs de domaine). Objet est l'identifiant unique de l'objet, par exemple son nom unique ou son GUID.

Repadmin vous permet galement de modifier votre infrastructure de rplication. Voici certaines des tches de gestion que vous pouvez effectuer : Lancer le vrificateur KCC : tapez repadmin /kcc pour obliger le vrificateur KCC recalculer la topologie de rplication entrante pour le serveur. Imposer la rplication entre deux partenaires : utilisez Repadmin pour imposer la rplication d'une partition entre deux contrleurs de domaine, l'un tant la source et l'autre la cible. Tapez repadmin /replicate DSA_LIST_Cible Contexte_Noms_DSA_Source. Synchroniser un contrleur de domaine avec tous ses partenaires de rplication : tapez repadmin /syncall DSA /A /e pour synchroniser un contrleur de domaine avec tous ses partenaires, y compris ceux des autres sites.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dcdiag.exe L'outil Diagnostic du serveur d'annuaire, Dcdiag.exe, effectue certains tests et vous renseigne sur le bon fonctionnement de la rplication et de la scurit dans AD DS. Utilis tout seul, dcdiag.exe effectue des tests de synthse et affiche les rsultats. l'inverse, dcdiag.exe /c effectue pratiquement tous les tests. Le rsultat des tests peut tre envoy dans des fichiers de divers types, y compris XML. Tapez dcdiag /? pour afficher les instructions compltes. Vous pouvez galement spcifier un ou plusieurs tests excuter l'aide du paramtre /test:Nom Test. Les tests concernant directement la rplication comprennent : FrsEvent : signale toute erreur de fonctionnement dans le systme de rplication de fichiers (FRS). DFSREvent : signale toute erreur de fonctionnement dans le systme de rplication DFS (DFSR). Intersite : vrifie la prsence de dfaillances susceptibles d'empcher ou de retarder la rplication intersites. KccEvent : identifie les erreurs du vrificateur KCC. Replications : vrifie la rapidit de la rplication entre les contrleurs de domaine. Topology : vrifie que la topologie de rplication est parfaitement connecte pour tous les contrleurs de domaine. VerifyReplicas : vrifie que toutes les partitions de l'annuaire d'applications sont entirement instancies dans tous les contrleurs de domaine qui hbergent des rplicas.

Pour plus d'informations sur les outils Repadmin.exe et Dcdiag.exe, consultez le Centre d'aide et de support Microsoft.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-75

Atelier pratique C : Configuration de la rplication

Scnario
Vous tes l'administrateur de Contoso, Ltd. Vous souhaitez optimiser la rplication d'AD DS en l'alignant sur la topologie de votre rseau et sur les rles de contrleur de domaine et leur emplacement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-76

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Cration d'un objet connexion


Il est recommand de configurer une rplication directe entre le contrleur de domaine qui jouera le rle de matre d'oprations de secours et le contrleur de domaine qui est actuellement le matre d'oprations. Par la suite, si le matre d'oprations actuel doit tre dconnect, le matre d'oprations de secours sera aussi jour que possible avec le matre d'oprations. Dans cet exercice, vous allez crer un objet connexion entre HQDC01 et HQDC02, o HQDC02, le matre d'oprations de secours, rplique partir de HQDC01, le matre d'oprations actuel. Les tches principales de cet exercice sont les suivantes : 1. 2. Prparer l'atelier pratique. Crer un objet connexion.

Tche 1 : Dmarrage des ordinateurs virtuels et ouverture d'une


session
Les ordinateurs virtuels devraient dj avoir t dmarrs et tre disponibles aprs les Ateliers pratiques A et B. Toutefois, si ce n'est pas le cas, suivez la procdure cidessous, puis effectuez les exercices 1 3 des Ateliers pratiques A et B avant de continuer. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Le dmarrage de cet ordinateur virtuel peut prendre plusieurs minutes. Aprs l'ouverture de session sur HQDC01, dmarrez 6238B-HQDC02-B sans y ouvrir de session. Aprs le dmarrage de HQDC02, dmarrez 6238B-HQDC03-B sans y ouvrir de session. Aprs le dmarrage de HQDC03, dmarrez BRANCHDC01-B sans y ouvrir de session. Attendez la fin du dmarrage de BRANCHDC01 avant de passer la tche suivante.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-77

Tche 2 : Cration d'un objet connexion


Excutez Sites et services Active Directory avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'arborescence de la console, dveloppez HEADQUARTERS, Servers et HQDC02, puis cliquez sur le nud NTDS Settings sous HQDC02. Cliquez avec le bouton droit sur NTDS Settings et choisissez Nouvelle connexion aux services de domaine Active Directory. Dans la bote de dialogue Trouver des contrleurs de domaine Active Directory, slectionnez HQDC01, puis cliquez sur OK, et rpondez Oui au message d'avertissement. Dans la bote de dialogue Nouvel objet Connexion, tapez le nom HQDC01 OPERATIONS MASTER, puis cliquez sur OK.
Rsultats : Au terme de cet exercice, vous aurez cr un objet connexion pour rpliquer les modifications de HQDC01 vers HQDC02.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-78

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Cration de liens de site


Dans cet exercice, vous allez crer des liens entre le site du sige social et les autres sites, pour obtenir une topologie de rplication Hub and Spoke. Les tches principales de cet exercice sont les suivantes : Crer des liens de site.

Tche 1 : Cration de liens de site


Renommez le lien DEFAULTIPSITELINK en HQ-HQB2, et modifiez-le de sorte qu'il comprenne uniquement les sites HEADQUARTERS et HQBUILDING-2. Crez un nouveau lien de site IP nomm HQ-BRANCHA qui comprend les sites HEADQUARTERS et BRANCHA.
Rsultats : Au terme de cet exercice, vous devriez avoir deux liens de site un qui relie les sites HEADQUARTERS et HQ-BUILDING-2, et un autre qui relie le sites HEADQUARTERS et BRANCHA.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-79

Exercice 3 : Dplacement de contrleurs de domaine vers des sites


Lorsque vous affectez un nouveau contrleur de domaine, vous pouvez slectionner son site, mais, par dfaut, il sera plac dans le site associ son adresse IP. Si vous modifiez des sites et des sous-rseaux aprs la mise en place des contrleurs de domaine, vous devez dplacer les contrleurs de domaine existants dans les sites qui conviennent. Dans cet exercice, vous allez dplacer des contrleurs de domaine dans les sites que vous avez crs au cours des ateliers de ce module. Les tches principales de cet exercice sont les suivantes : Dplacer les contrleurs de domaine vers de nouveaux sites.

Tche 1 : Dplacement de contrleurs de domaine vers de nouveaux


sites
Dplacez BRANCHDC01 dans le site BRANCHA.
Rsultats : Au terme de cet exercice, vous devriez avoir dplac BRANCHDC01 dans le site BRANCHA.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-80

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 4 : Dsignation d'un serveur tte de pont privilgi


Vous pouvez dsigner un serveur tte de pont privilgi qui grera la rplication depuis et vers son site. Ceci s'avre pratique lorsque vous souhaitez attribuer ce rle un contrleur de domaine dans un site qui dispose de meilleures ressources systme ou lorsque des problmes de pare-feu exigent que ce rle soit attribu un seul systme fixe. Dans cet exercice, vous allez dsigner un serveur tte de pont privilgi pour le site. Les tches principales de cet exercice sont les suivantes : Dsigner un serveur tte de pont privilgi.

Tche 1 : Dsignation d'un serveur tte de pont privilgi


Configurez HQDC02 en tant que serveur tte de pont privilgi. Aprs cette opration, un long message d'avertissement s'affiche. Lisez ce message. Nous en parlerons la fin de cet atelier. Cliquez ensuite sur OK.
Rsultats : Au terme de cet exercice, vous aurez dsign HQDC02 comme serveur tte de pont privilgi.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion des sites et de la rplication Active Directory

12-81

Exercice 5 : Configuration de la rplication intersites


Aprs avoir cr des liens de site et, ventuellement, dsign des serveurs tte de pont, vous pouvez affiner et contrler votre rplication en configurant les proprits des liens de site. Dans cet exercice, vous allez rduire l'intervalle d'interrogation de la rplication intersites et augmenter le cot d'un lien de site. Les tches principales de cet exercice sont les suivantes : Configurer la rplication intersites.

Tche 1 : Configuration de la rplication intersites


Configurez l'intervalle de rplication du lien de site HQ-HQB2 sur 15 minutes. Configurez l'intervalle de rplication du lien de site HQ-BRANCHA sur 15 minutes, et le cot sur 200. Examinez la planification de la rplication du lien de site HQ-BRANCHA. Testez la configuration de la planification avec plusieurs valeurs, mais cliquez sur Annuler lorsque vous avez termin.
Rsultats : Au terme de cet exercice, vous devriez avoir configur l'intervalle de la rplication intersites sur 15 minutes pour tous les liens de site.

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

12-82

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Questions de contrle des acquis


Question : Expliquez la signification du message d'avertissement qui s'est affich lorsque vous avez dsign HQDC02 comme serveur tte de pont privilgi. Question : Quels sont les avantages de la rduction de l'intervalle de la rplication intersites ? Quels en sont les inconvnients ? Question : La topologie de rplication Hub and Spoke garantit que toutes les modifications des succursales seront rpliques d'abord dans le site du sige social avant de l'tre dans les autres succursales. La procdure que vous avez excute dans l'Exercice 2 est-elle suffisante pour crer une topologie de rplication Hub and Spoke ? Si elle est insuffisante, que manque-t-il encore ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-1

Module 13
Continuit du service d'annuaire
Table des matires :
Leon 1 : Surveillance d'Active Directory Atelier pratique A : Surveillance des vnements et des performances d'Active Directory Leon 2 : Gestion de la base de donnes Active Directory Atelier pratique B : Gestion de la base de donnes Active Directory Leon 3 : Sauvegarde et restauration des services AD DS et des contrleurs de domaine Atelier pratique C : Sauvegarde et restauration d'Active Directory 13-4 13-29 13-48 13-66 13-74 13-89

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

En tant que professionnel de l'informatique charg de grer Windows Server 2008 et AD DS, la russite de votre carrire est troitement lie au bon fonctionnement de votre domaine. Si le domaine sombre, il en va de mme de votre carrire. Dans ce module, vous allez dcouvrir les technologies et les outils qui vous aideront assurer le bon fonctionnement et la longvit du service d'annuaire. Vous allez apprendre exploiter certains outils pour surveiller les performances en temps rel et enregistrer au fur et mesure ces performances dans un journal pour garder un il sur les tendances et dceler les problmes potentiels. Vous apprendrez galement optimiser et protger votre service d'annuaire de manire rtablir aussi rapidement que possible tout contrleur de domaine dfaillant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-3

Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : contrler les performances et les vnements en temps rel avec le Gestionnaire des tches, l'Observateur d'vnements et le Moniteur de fiabilit et de performances Windows ; tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de Windows Server 2008, notamment des vues personnalises et des abonnements aux vnements ; contrler les performances en temps rel et enregistres avec l'Analyseur de performances, des jeux d'lments de collecte de donnes et des rapports ; identifier les sources d'informations relatives aux performances et aux vnements des contrleurs de domaine AD DS ; crer des alertes en fonction d'vnements et de mesures de performances ; grer et optimiser la base de donnes Active Directory ; sauvegarder et restaurer AD DS et les contrleurs de domaine ; restaurer les objets et les attributs supprims.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 1

Surveillance d'Active Directory

Les problmes de performances sont une ralit. Le plus important est la faon dont vous y rpondez, comment vous les valuez et comment vous les corrigez. Dans cette leon, vous allez apprendre exploiter les outils de surveillance des performances et des vnements de Windows Server 2008 pour contrler de faon ractive et proactive le bon fonctionnement de vos contrleurs de domaine et d'AD DS.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : surveiller les performances en temps rel avec le Gestionnaire des tches, le Moniteur de ressources et l'Analyseur de performances ; examiner les vnements et les modifications avec le Moniteur de fiabilit et l'Observateur d'vnements ; tirer parti des nouvelles fonctionnalits de l'Observateur d'vnements de Windows Server 2008, notamment des vues personnalises et des abonnements aux vnements ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-5

contrler les performances en temps rel et enregistres avec l'Analyseur de performances, des jeux d'lments de collecte de donnes et des rapports ; identifier les sources d'informations relatives aux performances et aux vnements des contrleurs de domaine AD DS ; crer des alertes en fonction d'vnements et de mesures de performances.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des performances et des engorgements

Points cls
Les performances mdiocres d'un systme sont gnralement imputables des ressources systme insuffisantes. Les quatre principales ressources systme sont le processeur, le sous-systme de disque, la mmoire et le rseau. Pour identifier et corriger les engorgements, vous devez tudier avec soin les journaux systme et les compteurs de performances afin de dtecter les ressources actuellement limites. Aprs l'augmentation de ces ressources, les performances s'amliorent gnralement, puis atteignent un plafond lorsqu'elles se heurtent un nouvel engorgement d la surcharge d'autres ressources systme. Dans cette leon, vous allez tudier les diffrents outils qui vous permettront de surveiller les performances en temps rel et d'examiner les modifications et les vnements du systme susceptibles d'avoir entran une dgradation progressive des performances.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-7

Gestionnaire des tches

Points cls
Tout professionnel de l'informatique se doit de connatre le Gestionnaire des tches de Windows. Windows Server 2008 a considrablement amlior les capacits du Gestionnaire des tches. Outre les onglets habituels Applications et Processus, Windows Server 2008 propose des informations dtailles sur les services et une vue gnrale des performances de trois ressources systme : le processeur, le rseau et la mmoire. Le Gestionnaire des tches n'expose pas de compteur de performances en temps rel pour les disques. Enfin, le Gestionnaire des tches permet d'obtenir la liste des utilisateurs actuellement connects, sans qu'il soit ncessaire d'ouvrir le composant logiciel enfichable de gestion des services Terminal Server. Pour ouvrir le Gestionnaire des tches, effectuez l'une des tapes suivantes : Appuyez sur Ctrl+Maj+chap. Appuyez sur Ctrl+Alt+Suppr et cliquez sur le Gestionnaire des tches. Cliquez du bouton droit dans la barre des tches et choisissez Gestionnaire des tches. Cliquez sur le bouton Dmarrer et tapez taskmgr.exe dans la zone de texte Rechercher.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dans l'onglet Processus, vous pouvez cliquer sur Afficher les processus de tous les utilisateurs pour obtenir des informations dtailles sur les processus qui s'excutent dans le contexte du systme ou dans d'autres contextes utilisateur. Dans l'onglet Performances, cliquez sur Moniteur de ressources pour ouvrir la nouvelle vue des performances en temps rel.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-9

Moniteur de ressources

Points cls
Le Moniteur de ressources est semblable au Gestionnaire des tches, en bien mieux. Il propose une vue dtaille des performances de chacun des composants cls du systme (processeur, disque, rseau et mmoire) sous forme graphique ou dans un rapport dtaill. Lorsque vous devez rsoudre des problmes de performance en temps rel, ou comprendre la raison pour laquelle un systme s'excute lentement, le Moniteur de ressources est le premier outil vers lequel vous devez vous tourner. Pour ouvrir le Moniteur de ressources, effectuez l'une des tapes suivantes : Ouvrez le Gestionnaire des tches, cliquez sur l'onglet Performances, puis sur Moniteur de ressources. Cliquez sur le bouton Dmarrer, tapez perfmon /res dans le champ Rechercher, puis appuyez sur Entre. Cliquez sur la racine du composant logiciel enfichable Analyseur de fiabilit et de performances Windows.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Observateur d'vnements

Points cls
Lors du dveloppement de Windows Server 2008, Microsoft a entirement rcrit l'Observateur d'vnements. En arrire-plan, les vnements sont stocks dans un nouveau format de fichier journal d'vnements (.elf). Les vnements sont prsents dans les journaux classiques de Windows tels que Application, Scurit et Systme, et dans des douzaines de nouveaux blogs ddis la surveillance des vnements lis des composants systme spcifiques. Pour simplifier votre comprhension de ces nouveaux vnements et journaux, l'Observateur d'vnements propose des vues rcapitulatives qui cumulent les vnements de plusieurs journaux. Il vous permet galement de runir les vnements de plusieurs journaux dans des vues personnalises. Si vous ouvrez le Gestionnaire de services, vous verrez galement que les vnements propres aux rles sont prsents dans la page d'accueil de chaque rle. Les vnements eux-mmes ont galement t amliors. Ils fournissent bien plus de dtails que par le pass, et vous remarquerez qu'il vous arrivera bien moins souvent de vous interroger sur la signification relle d'un vnement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-11

Mieux encore peut-tre, le sous-systme d'vnements a t intgr d'autres composants Windows. prsent, grce intgration au Planificateur de tches, vous pouvez dclencher une action sur la base d'un vnement spcifique. Cette action peut inclure l'envoi d'un message lectronique. C'est vrai : Windows peut prsent vous envoyer une alerte lectronique (et ventuellement une page ou un message texte) en cas de problme. Vous pouvez galement dclencher un script spcifique ou un fichier excutable en rponse un vnement, par exemple, un script qui redmarre un service lorsque celui-ci s'arrte. La Gestion distance de Windows (WinRM), ensemble de services Web qui permet de grer les systmes Windows, est un autre composant majeur prsent intgr au sous-systme d'vnements. Cette intgration vous permet de runir les vnements de plusieurs ordinateurs en un seul emplacement, en vous abonnant aux vnements survenus dans des systmes distants. Lorsqu'un systme distant enregistre un vnement qui correspond vos critres, cet vnement est transmis un journal stock dans l'ordinateur charg de la collecte.

Lectures complmentaires
Observateur d'vnements http://go.microsoft.com/fwlink/?LinkId=168451

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Observateur d'vnements

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter certaines des fonctionnalits de l'Observateur d'vnements dcrites dans la diapositive prcdente. Il en profitera pour vous donner quelques conseils supplmentaires et pour s'assurer que l'Observateur d'vnements n'a plus de secrets pour vous. Vous aurez la possibilit de mettre ces tches en pratique dans l'atelier associ ce module. Votre instructeur vous fera galement remarquer les quatre journaux particulirement importants pour la surveillance des contrleurs de domaine : Service d'annuaire DNS DFSR Journal oprationnel de la stratgie de groupe

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-13

tapes de la dmonstration
1. 2. 3. 4. Ouvrez l'Observateur d'vnements et examinez la nouvelle apparence de la console MMC (Microsoft Management Console). Remarquez la vue rsume par dfaut, puis dveloppez les vues personnalises et affichez les vues personnalises par dfaut. Dveloppez les Journaux Windows et affichez les journaux traditionnels et les nouveaux. Ouvrez l'un des journaux et examinez les options disponibles dans le volet Actions. Remarquez galement qu'il est possible de relier une tche un vnement l'aide de l'Assistant Crer une tche de base. Il est galement possible de copier les dtails d'un vnement sous forme de texte dans le Bloc-notes. 5. 6. 7. Double-cliquez sur un vnement pour afficher ses dtails. Dveloppez le dossier Microsoft Windows pour afficher les journaux. Vous pouvez galement vous connecter un autre ordinateur.

Rappel : la gestion des journaux d'vnements distance doit tre active dans le parefeu de l'ordinateur distant. L'utilisation du pare-feu fait partie du prochain atelier de cette leon.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vues personnalises

Points cls
Les vues personnalises sont des filtres qui sont nomms et enregistrs. Une fois la vue personnalise cre et enregistre, vous tes en mesure de la rutiliser sans avoir recrer son filtre sous-jacent. Pour rutiliser une vue personnalise, accdez la catgorie Vues personnalises dans l'arborescence de la console et slectionnez le nom de la vue concerne. Ainsi, vous appliquez le filtre qui lui est associ et les rsultats sont affichs. Vous pouvez importer et exporter les vues personnalises, ce qui vous permet de les partager entre des utilisateurs et des ordinateurs.

Lectures complmentaires
Cration et gestion des vues personnalises http://go.microsoft.com/fwlink/?LinkId=168452

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-15

Abonnements

Points cls
Le composant logiciel enfichable Observateur d'vnements vous permet de vous connecter un ordinateur distant pour examiner ses journaux d'vnements. Toutefois, rsoudre efficacement un problme peut impliquer d'examiner les vnements stocks dans plusieurs ordinateurs. Sous Windows Server 2008, l'Observateur d'vnements vous permet de vous abonner des vnements spcifiques sur un ou plusieurs ordinateurs distants, de collecter ces vnements et de les stocker localement. Aprs la cration d'un abonnement un vnement, les vnements sont transmis des ordinateurs source vers l'ordinateur charg de la collecte, sur lequel il est alors possible d'afficher et de manipuler les vnements comme s'il s'agissait d'vnements locaux.

Lectures complmentaires
Abonnements aux vnements http://go.microsoft.com/fwlink/?LinkId=168453

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Configuration des vues personnalises et des abonnements

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter certaines des fonctionnalits des Vues personnalises et des Abonnements aux vnements dcrits dans la diapositive prcdente. Il en profitera pour vous donner quelques conseils supplmentaires et pour vrifier que ces fonctionnalits n'ont plus de secret pour vous. Vous aurez la possibilit de mettre vous-mme ces tches en pratique dans l'atelier associ ce module.

tapes de la dmonstration
Cration d'une vue personnalise 1. 2. 3. Nous allons crer une nouvelle vue personnalise qui capture les vnements d'erreur issus de journaux Active Directory spcifiques. Nous exporterons ensuite la vue dans un fichier XML. Nous supprimerons la vue personnalise d'origine, puis importerons le fichier XML.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-17

Cration d'un abonnement 1. 2. 3. 4. 5. 6. Pour cette opration, nous devons vrifier que nous sommes bien connects l'ensemble des ordinateurs source et collecteur en tant qu'administrateur. Dans chaque ordinateur source, tapez winrm quickconfig avec une invite de commande leve. Dans l'ordinateur collecteur, tapez Wecutil qc avec une invite de commande leve. Ajoutez le compte de l'ordinateur collecteur au groupe Administrateurs local dans chaque ordinateur source. Crez l'abonnement. Filtrez les vnements pour n'afficher que les erreurs du journal systme.

Lectures complmentaires
Cration d'une vue personnalise http://go.microsoft.com/fwlink/?LinkId=99511 Configuration des ordinateurs pour la transmission et la collecte des vnements http://go.microsoft.com/fwlink/?LinkId=99513

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Analyseur de fiabilit et de performances Windows (WRPM)

Points cls
L'Analyseur de fiabilit et de performances Windows (WRPM) est une suite de composants logiciels enfichables nouveaux et amliors qui amliorent considrablement votre capacit surveiller le bon fonctionnement et les performances de vos serveurs Windows, de faon ractive et proactive. Le Moniteur de fiabilit surveille les modifications apportes au systme, notamment les installations et les dsinstallations de logiciels. L'Analyseur de performances gnre des vues graphiques ou des rapports partir des donnes de performances journalises ou en temps rel. Les Ensembles de collecteurs de donnes et les Rapports vous permettent de grer la collecte et de vrifier les donnes de performances. Vous dcouvrirez chacun de ces outils au cours de ce module et vous aurez vousmme la possibilit de les utiliser dans l'atelier associ ce module.

Lectures complmentaires
Analyseur de fiabilit et de performances Windows http://go.microsoft.com/fwlink/?LinkId=168454

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-19

Dmonstration : Analyseur de ressources et de performances Windows (WRPM)

Points cls
Dans cette dmonstration, votre instructeur va vous prsenter rapidement WRPM, de sorte que vous connaissiez les diffrents composants logiciels enfichables et nuds de cette puissante suite d'outils d'administration.

tapes de la dmonstration
1. 2. 3. 4. 5. Ouvrez le Moniteur de fiabilit et de performances. Examinez l'cran Vue d'ensemble des ressources. Dveloppez certaines sections pour en afficher les dtails. Ouvrez l'Analyseur de performances. Cette fonctionnalit n'a pas vraiment chang depuis Windows Server 2003. Ouvrez le Moniteur de fiabilit. Parcourez et examinez certains dtails. Ouvrez les Rapports et remarquez les rapports systme disponibles.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Analyseur de fiabilit

Points cls
Le Moniteur de fiabilit permet d'examiner la stabilit du systme et les vnements et modifications qui affectent son intgrit globale. Il surveille l'installation et la dsinstallation de logiciels et les dfaillances de Windows, des applications et du matriel. Le Moniteur de fiabilit calcule un index de stabilit du systme qui montre, sous forme graphique, si des problmes inattendus ont rduit la fiabilit. Les informations fournies par le Rapport de stabilit du systme associ permettent de voir si la baisse de fiabilit est due des modifications spcifiques.

Lectures complmentaires
Utilisation du Moniteur de fiabilit http://go.microsoft.com/fwlink/?LinkId=168455

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-21

Analyseur de performances

Points cls
L'Analyseur de performances permet d'examiner les performances du systme sous forme de graphiques ou de rapports. Alors que le Moniteur de ressources prsente les performances associes aux composants du systme (processeur, disque, mmoire et rseau), l'analyseur de performances permet d'examiner les performances de manire plus approfondie. Mme pour les composants systme, l'Analyseur de performances donne davantage d'informations : utilisation du disque par partition ou volume physique, utilisation du processeur par cur et types spcifiques de paquets envoys ou reus, par exemple. L'Analyseur de performances propose galement des compteurs pour les performances de nombreux composants, rles, services et fonctionnalits plus granulaires. Pendant l'installation, les composants Windows peuvent enregistrer des compteurs de performances via l'Analyseur de performances. Par exemple, lorsque vous ajoutez le rle AD DS un serveur, l'objet performance NTDS (Service d'annuaire Windows NT) est enregistr et propose des douzaines de compteurs relatifs aux performances du service d'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

L'Analyseur de performances vous permet de crer de faon interactive un ensemble de compteurs surveiller en temps rel. Vous pouvez galement enregistrer les compteurs dans l'Ensemble de collecteurs de donnes, rutilisable tout moment pour consulter les performances en temps rel, ou que vous pouvez lancer ultrieurement pour enregistrer les performances dans un journal. Les compteurs les plus utiles pour surveiller un serveur, et qui peuvent rvler les engorgements des principaux composants systme, sont les suivants : Mmoire \ Pages/sec Disque physique \ Long. moy. de file d'attente du disque Processeur \ % Temps processeur

Dans un contrleur de domaine, vous devez au moins surveiller les compteurs de performances suivants, proposs par l'objet NTDS (Service d'annuaire Windows NT) : NTDS\ Nb total d'octets DRA entrants/seconde NTDS\ Objets DRA entrants NTDS\ Nb total d'octets DRA sortants/seconde NTDS\ Nb de synchronisations de rplication DRA en attente NTDS \ Authentifications Kerberos/s NTDS\ Authentifications NTLM

Windows Server 2008 autorise les utilisateurs consulter et journaliser les performances sans qu'ils soient membres du groupe Administrateurs local. Pour permettre un utilisateur non administrateur d'exploiter l'Analyseur de performances, ajoutez-le au groupe Utilisateurs du journal de performances. Le groupe Utilisateurs du journal de performances doit galement tre autoris ouvrir une session en tant que tche, autorisation dfinie par dfaut pour ce groupe.

Lectures complmentaires
Utilisation de l'Analyseur de performances http://go.microsoft.com/fwlink/?LinkId=168456

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-23

Ensembles de collecteurs de donnes

Points cls
Bien qu'il soit possible d'ajouter des compteurs dans une vue de l'Analyseur de performances de faon interactive, la rptition de cette opration devient vite ennuyeuse et, long terme et sur plusieurs systmes, difficile grer. De plus, d'autres sources d'informations que les compteurs de performances, telles que le suivi des vnements et des paramtres du Registre, permettent de surveiller avec prcision les performances et le bon fonctionnement d'un systme. L'ensemble de collecteurs de donnes est la pierre angulaire des rapports et de l'analyse de WRPM. Un ensemble de collecteurs de donnes organise les compteurs de performances et les paramtres du Registre et prsente ces donnes partir d'un seul composant, utilisable ensuite pour consulter les performances en temps rel ou enregistrer les performances selon un planning ou un dclenchement manuel. L'ensemble de collecteurs de donnes et les informations enregistres sont ensuite consultables sous forme de rapport ou peuvent tre charges dans l'Analyseur de performances ou l'une des diffrentes applications Microsoft ou autre. Les ensembles de collecteurs de donnes peuvent galement tre configurs pour gnrer des alertes lorsque certains seuils sont atteints, ou pour dclencher des actions WMI (Windows Management Instrumentation).

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Cration d'ensembles de collecteurs de donnes http://go.microsoft.com/fwlink/?LinkId=168457

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-25

Dmonstration : Surveillance des services AD DS

Points cls
Dans cette dmonstration, votre instructeur va configurer un ensemble de collecteurs de donnes AD DS, en dcrivant les concepts et les outils prsents la diapositive prcdente. Vous aurez la possibilit de revoir et de mettre en pratique des procdures similaires au cours de l'atelier de cette leon.

tapes de la dmonstration
Crez un nouvel ensemble de collecteurs de donnes nomm Active Directory personnalis. 1. 2. 3. Ajoutez les compteurs de base du serveur. Ajoutez certains compteurs Active Directory, puis dmarrez l'Ensemble de collecteurs de donnes. Effectuez quelques oprations pour gnrer des statistiques. Par exemple, crez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

4. 5. 6. 7.

Arrtez l'Ensemble de collecteurs de donnes et examinez le rapport dfini par l'utilisateur. Dans le conteneur systme, dmarrez l'Ensemble de collecteurs de donnes Diagnostics Active Directory. Effectuez quelques oprations pour gnrer des statistiques. Par exemple, crez, modifiez et/ou supprimez plusieurs comptes d'utilisateur ou de groupe. Arrtez l'Ensemble de collecteurs de donnes et examinez le rapport dfini par le systme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-27

Recommandations en matire de surveillance

Points cls
Pour laborer une structure de surveillance efficace, respectez les directives suivantes : Surveillance en amont pour tablir des rfrences Il est essentiel de surveiller les performances pendant que le systme fonctionne normalement. Vous pouvez ainsi tablir des rfrences et connatre les plages prvues des compteurs de performances. Pour obtenir des mesures de rfrence, surveillez les compteurs de performances pendant les priodes d'activit et d'inactivit. Surveillance frquente pour dtecter les problmes potentiels tablissez une routine de surveillance rgulire, ventuellement en planifiant des ensembles de collecteurs de donnes, et comparez les journaux et les rapports vos mesures de rfrence. Recherchez les valeurs s'cartant inhabituellement des valeurs prvues de manire dtecter les problmes potentiels avant qu'ils ne se manifestent dans votre service d'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Surveillance et interprtation des performances avant l'apparition d'un engorgement Vous n'aurez pas le temps d'apprendre collecter et interprter les compteurs de performances et les vnements si vous attendez qu'un vritable problme survienne. Vous devez donc anticiper et prendre le temps d'apprendre exploiter les outils et savoir quels les compteurs vous donnent les informations les plus significatives sur les performances dans votre entreprise. Dfinissez des ensembles de collecteurs de donnes qui simplifieront la collecte des performances en cas de crise et n'oubliez pas de les exporter pour les sauvegarder en cas de panne du systme qui sert habituellement pour la surveillance. Collecte des donnes les plus pertinentes Ne poussez pas trop loin la surveillance. Si vous tentez de surveiller tous les compteurs, tous les suivis d'vnements et toutes les entres du Registre, vous allez crer un tel volume d'informations sur les performances qu'il vous sera difficile d'y reprer les vrais problmes. De plus, la surveillance des performances dgrade lgrement les performances du systme. Choisissez vos activits de surveillance en fonction des besoins de votre entreprise.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-29

Atelier pratique A : Surveillance des vnements et des performances d'Active Directory

Scnario
Le mois dernier, la panne du seul contrleur de domaine de la succursale a entran la dconnexion du centre d'appels de Contoso pendant une journe entire et une perte importante de bnfices. Vous avez t engag pour remplacer l'administrateur qui avait configur un emplacement sensible, sans surveillance ni redondance de l'authentification. Cette semaine, vous vous efforcez de configurer la surveillance afin d'tre certain de pouvoir examiner en permanence les performances et la fiabilit et de dceler tout signe de problme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Surveillance des performances en temps rel avec le Gestionnaire des tches et le Moniteur de ressources
Dans cet exercice, vous allez utiliser le Gestionnaire des tches et le Moniteur de ressources pour examiner les performances gnrales en temps rel. Cela vous permettra d'identifier les engorgements et les processus ou services qui consomment trop de ressources systme. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Surveiller les performances en temps rel avec le Gestionnaire des tches. Surveiller les performances en temps rel avec le Moniteur de ressources.

Tche 1 : Prparation de l'atelier pratique


Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Excutez D:\Labfiles\Lab13a\Lab13a_Setup.bat avec des droits administratifs. Utilisez le compte Administrator et le mot de passe Pa$$w0rd. Le script d'installation de l'atelier s'excute. Lorsqu'il est termin, appuyez sur une touche quelconque. Fermez la fentre de l'Explorateur Windows, Lab13a. Dmarrez 6238B-HQDC02-B. Ouvrez une session sur HQDC02 avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tche 2 : Surveillance des performances en temps rel avec le


Gestionnaire des tches
1. 2. Dans HQDC01, appuyez sur Ctrl+Maj+chap pour lancer le Gestionnaire des tches. Ouvrez l'onglet Processus et examinez les commandes disponibles lorsque vous cliquez du bouton droit sur taskmgr.exe. Examinez les proprits d'un processus en ouvrant la bote de dialogue Proprits de taskmgr.exe.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-31

3.

Affichez les processus de tous les utilisateurs. Vous aurez pour cela besoin d'informations d'identification d'administration. Utilisez le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'onglet Services, arrtez, puis dmarrez le service Dnscache. Cliquez du bouton droit sur le service Dnscache et choisissez Aller dans le processus.

4. 5.

Question : Quel processus hberge le service Client DNS ? 6. Cliquez du bouton droit sur le processus et choisissez Accder aux services.

Question : L'onglet Services prsente le sous-ensemble des fonctionnalits les plus utilises d'un composant logiciel enfichable d'administration. Lequel ? 7. 8. 9. Cliquez sur le bouton Services. La console Services s'affiche. Fermez la console Services. Ouvrez l'onglet Utilisateurs. Cet onglet prsente les utilisateurs qui sont connects en local (console) ou distance au serveur. Ouvrez l'onglet Rseau. Cet onglet donne un aperu des performances de chaque carte rseau disponible. 10. Ouvrez l'onglet Performances. Cet onglet donne un aperu des performances de l'utilisation du processeur et de la mmoire. Question : Quel composant systme majeur n'apparat pas dans le Gestionnaire des tches ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Surveillance des performances en temps rel avec le


Moniteur de ressources
1. Dans l'onglet Performances du Gestionnaire des tches, cliquez sur le bouton Moniteur de ressources. Si le systme vous demande des informations d'identification d'administration, utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. 2. 3. 4. 5. Le Moniteur de ressources s'affiche. Agrandissez la fentre du Moniteur de ressources et fermez le Gestionnaire des tches. Cliquez sur le graphique du Processeur. Quelle utilisation du processeur est gnre par le Moniteur de fiabilit et de performances lui-mme ? Cliquez de nouveau sur le graphique du Processeur. La section Processeur se rduit. Cliquez sur le graphique Disque. Quel fichier prsente le plus d'activits de lecture ? Quel processus gnre cette activit de lecture pour ce fichier ? Quel fichier prsente le plus d'activits d'criture ? Quel processus gnre cette activit d'criture pour ce fichier ? Pour afficher l'activit du fichier d'change, cliquez sur le titre de la colonne Fichier. Si C:\pagefile.sys n'apparat pas dans la liste, ouvrez une application telle que le Gestionnaire de serveur. Cette opration devrait gnrer une activit dans le fichier d'change. Question : Combien de processus lisent ou crivent dans le fichier pagefile.sys ? Question : Quel composant systme doit tre augment lorsque l'activit de lecture et d'criture du fichier d'change est constamment leve ? 6. Fermez le Gestionnaire de ressources. Cliquez sur le bouton Dmarrer et excutez perfmon en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Les utilisateurs qui sont membres des groupes Utilisateurs de l'analyseur de performances, Utilisateurs du journal de performances et Administrateurs local, peuvent accder plus de fonctionnalits depuis WRPM. La Page d'accueil de la console est la Vue d'ensemble des ressources, qui correspond au Moniteur de ressources. Notez que l'arborescence de la console contient tous les composants logiciels enfichables WRPM. Fermez la fentre Moniteur de fiabilit et de performances.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-33

7.

Cliquez sur le bouton Dmarrer et excutez perfmon /res en tant qu'Administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il s'agit l d'une autre manire d'ouvrir le Moniteur de ressources, que vous avez dj ouvert partir du Gestionnaire des tches, et c'est la page d'accueil de la console Moniteur de fiabilit et de performances. Fermez le Moniteur de ressources.
Rsultats : Au terme de cet exercice, vous aurez exploit le Gestionnaire des tches et le Moniteur de ressources pour surveiller en temps rel les performances des processus, des services et des composants d'un systme, notamment le disque, la mmoire, le rseau et le processeur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Identification des vnements de performances avec le Moniteur de fiabilit et l'Observateur d'vnements
Dans cet exercice, vous allez utiliser le Moniteur de fiabilit pour examiner les vnements relatifs la stabilit. Vous utiliserez ensuite l'Observateur d'vnements pour identifier les vnements lis aux performances et la fiabilit et vous apprendrez exploiter les vues personnalises. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Surveiller les vnements lis la stabilit avec le Moniteur de fiabilit. Identifier les vnements lis aux rles avec le Gestionnaire de serveur. Analyser des journaux d'vnements. Crer une vue personnalise. Exporter une vue personnalise. Importer une vue personnalise.

Tche 1 : Surveillance des vnements lis la stabilit avec le


Moniteur de fiabilit
1. 2. Excutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Utilisez le Moniteur de fiabilit pour examiner les vnements lis la stabilit survenus le 9 septembre 2009.

Tche 2 : Identification des vnements lis aux rles avec le


Gestionnaire de serveur
1. 2. 3. 4. 5. Dans la section Rsum des rles du nud racine du Gestionnaire de serveur, examinez les icnes qui s'affichent ct des rles ADDS et Serveur DNS. Cliquez sur le lien du rle ADDS dans la section Rsum des rles et examinez les informations de la section vnements. Cliquez sur le lien Filtrer les vnements dans la section vnements et supprimez les vnements Informations de la vue. Double-cliquez sur un vnement pour afficher ses dtails, examinez l'vnement, puis fermez-le. Remarquez les informations affiches dans la section Services systme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-35

Tche 3 : Examen des journaux d'vnements


1. Dans la section Rsum des vnements d'administration de la racine du composant logiciel enfichable Observateur d'vnements du Gestionnaire de serveur, dveloppez le rsum des vnements Erreur. Double-cliquez sur une ligne de rsum prsentant la source ActiveDirectory. Si le rsum ne contient pas de ligne associe la source ActiveDirectory, double-cliquez sur une autre ligne du rsum des vnements Erreur. La vue des vnements de la page Rsum s'ouvre dans le volet d'informations. Cette vue permet d'explorer les vnements synthtiss dans la ligne du rsum des vnements Erreur. Examinez les journaux des nuds Journaux Windows et Journaux des applications et des services dans l'arborescence de la console. Examinez les vnements de la vue vnements d'administration. Cliquez du bouton droit sur vnements d'administration et choisissez Proprits. Notez que la Description indique que la vue prsente les vnements Critique, Erreur et Avertissement de tous les journaux d'administration. Cliquez sur le bouton Modifier le filtre et remarquez que cette vue personnalise ne peut pas tre modifie. Elle est en Lecture seule. Remarquez galement qu'il est difficile de savoir avec prcision quels journaux sont inclus dans la liste Journaux d'vnements. Les informations sont tronques. Ouvrez l'onglet XML. Pouvezvous identifier les journaux inclus grce aux informations de l'onglet XML ? Dans chaque lment XML Select, quoi pensez-vous que Level fasse rfrence ? Cliquez deux reprises sur Annuler pour fermer les botes de dialogue ouvertes.

2.

Tche 4 : Cration d'une vue personnalise


Dans le dossier Vues personnalises, crez une vue personnalise qui affiche les messages Critique, Avertissement et Erreur des journaux suivants : Rplication DFS, Service d'annuaire et Serveur DNS. Nommez le journal Custom Directory Service Event View.

Tche 5 : Exportation d'une vue personnalise


Exportez la vue Custom Directory Service Event View sous le nom de fichier D:\Data\DSEventView.xml.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 6 : Importation d'une vue personnalise


1. Dans HQDC02, importez la vue personnalise \\HQDC01\Data\DSEventView.xml et nommez-la Custom Directory Service Event View. Le message Erreur de requte s'affiche car l'ordinateur HQDC02 n'est pas un serveur DNS et n'a donc pas de journal Serveur DNS. Cliquez sur OK.
Rsultats : Au terme de cet exercice, vous aurez identifi plusieurs emplacements du Gestionnaire de serveur dans lesquels sont affichs les vnements lis aux rles et aux performances des serveurs. Vous aurez galement cr une vue personnalise et l'aurez importe dans l'Observateur d'vnements d'un autre ordinateur.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-37

Exercice 3 : Surveillance des vnements des ordinateurs distants via les abonnements aux vnements
Dans cet exercice, vous allez utiliser la nouvelle fonctionnalit de transfert d'vnement et d'abonnement de Windows Server 2008 pour capturer les vnements issus de systmes distants pour la surveillance centralise. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Configurer les ordinateurs pour le transfert et la collecte des vnements. Crer un abonnement pour la collecte des vnements. Gnrer des vnements. Afficher des vnements transmis.

Tche 1 : Configuration des ordinateurs pour le transfert et la collecte


des vnements
1. Dans HQDC01, excutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez wecutil qc, appuyez sur Entre, puis sur Y et de nouveau sur Entre pour configurer la collecte des vnements. Dans HQDC02, excutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez winrm quickconfig, appuyez sur Entre, puis sur Y, et de nouveau sur Entre pour configurer la Gestion distance de Windows.

2.

Tche 2 : Cration d'un abonnement pour la collecte des vnements


1. Dans le composant logiciel enfichable Observateur d'vnements du Gestionnaire de serveur de l'ordinateur HQDC01, crez un nouvel abonnement nomm DC Services qui collecte les vnements de l'ordinateur HQDC02. Configurez l'abonnement pour qu'il collecte les vnements du journal Systme associ l'ID d'vnement 7036. L'abonnement doit utiliser le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Il doit tre configur sur Minimiser la latence. Si des messages de l'Observateur d'vnements s'affichent la fin de la configuration, cliquez sur Oui. Vrifiez que, dans le dossier Abonnements, l'tat du nouvel abonnement DC Services indique Actif.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Gnration d'vnements


Dans HQDC02, tapez net stop dfsr l'invite de commande, appuyez sur Entre, tapez ensuite net start dfsr et appuyez de nouveau sur Entre.

Tche 4 : Affichage des vnements transmis


1. 2. Basculez vers HQDC01. Dans l'arborescence de la console du Gestionnaire de serveur, sous Observateur d'vnements\Journaux Windows, cliquez sur vnements transmis. L'affichage des vnements transmis peut prendre plusieurs minutes. Si les vnements ne s'affichent pas immdiatement, patientez quelques minutes, dmarrez et arrtez le service Rplication du systme de fichiers distribus (DFS) sur l'ordinateur HQDC02 et patientez encore quelques minutes.
Rsultats : Au terme de cet exercice, vous aurez configur des abonnements pour afficher les vnements provenant de l'ordinateur HQDC02 dans l'ordinateur HQDC01.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-39

Exercice 4 : Association de tches aux journaux d'vnements et aux vnements


Dans cet exercice, vous allez invoquer des tches lorsqu'un journal d'vnements est mis jour ou lorsqu'un vnement est gnr. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Associer une tche un journal d'vnements et un vnement. Prparer l'affichage des messages lis aux tches de l'Observateur d'vnements. Vrifier le bon fonctionnement des tches de l'Observateur d'vnements.

Tche 1 : Association d'une tche un journal d'vnements et un


vnement
1. Dans HQDC01, cliquez du bouton droit sur le journal d'vnements vnements transmis et associez une tche ce journal. La tche doit afficher un message portant le titre Forwarded Event Received (vnements transmis reus) et le message A forwarded event was received (Un vnement transmis a t reu). Dans le journal d'vnements vnements transmis, cliquez du bouton droit sur l'un des vnements 7036 et associez-lui une tche. La tche doit afficher un message portant le titre DC Service Event (vnement du Service DC) et le message A service was started or stopped (Un service a t dmarr ou arrt).

2.

Tche 2 : Prparation de l'affichage des messages lis aux tches de


l'Observateur d'vnements
Lorsque vous choisissez d'afficher un message dans une tche, comme les messages s'affichent sur le Bureau de l'utilisateur dont le compte a servi crer la tche de l'Observateur d'vnements (Pat.Coleman_Admin), vous devez ouvrir une session de faon interactive avec le compte Pat.Coleman_Admin pour tirer pleinement parti de cette simulation. Fermez la session ouverte sur l'ordinateur HQDC01 et ouvrez une session avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Vrification du bon fonctionnement des tches de


l'Observateur d'vnements
1. 2. Dans HQDC02, tapez net stop dfsr l'invite de commande, appuyez sur Entre, tapez ensuite net start dfsr et appuyez de nouveau sur Entre. Dans HQDC01, attendez que les messages lis aux tches de l'Observateur d'vnements s'affichent.
Rsultats : Au terme de cet exercice, vous aurez configur des tches devant dmarrer lors de la rception d'un vnement dans le journal vnements transmis et lors du dmarrage ou de l'arrt d'un service sur un ordinateur distant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-41

Exercice 5 : Surveillance des services AD DS l'aide de l'Analyseur de performances


Dans cet exercice, vous allez utiliser l'Analyseur de performances pour surveiller les performances en temps rel d'AD DS, enregistrer les compteurs de performances et afficher le journal des compteurs de performances enregistrs. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Configurer l'Analyseur de performances pour surveiller les services AD DS. Crer un Ensemble de collecteurs de donnes partir des compteurs de l'Analyseur de performances. Dmarrer un Ensemble de collecteurs de donnes. Afficher un rapport d'un Ensemble de collecteurs de donnes.

Tche 1 : Configuration de l'Analyseur de performances pour surveiller


les services AD DS
1. 2. Dans le Gestionnaire de serveur de l'ordinateur HQDC02, ouvrez le composant logiciel enfichable Analyseur de performances. Ajoutez les compteurs de performances suivants : Services d'annuaire\Nb total d'octets DRA entrants/seconde Services d'annuaire\Nb total d'octets DRA sortants/seconde Services d'annuaire\Nb de threads Active Directory utilises Services d'annuaire\Lectures Active Directory/sec Services d'annuaire\critures Active Directory/sec Services d'annuaire\Recherches Active Directory/sec Statistiques de scurit au niveau du systme\Authentifications Kerberos DNS\Requtes UDP reues/seconde

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

3.

Examinez les performances pendant un moment. Ensuite, dans la liste des compteurs situs sous le graphique, slectionnez Requtes UDP reues/seconde. Cliquez sur le bouton Surbrillance de la barre d'outils pour mettre ce compteur en vidence dans le graphique. Cliquez de nouveau sur le bouton Surbrillance de la barre d'outils pour dsactiver la mise en vidence. Prenez le temps d'explorer les fonctionnalits de l'Analyseur de performances. Toutefois, n'ajoutez pas et ne supprimez pas de compteurs.

4.

Tche 2 : Cration d'un Ensemble de collecteurs de donnes partir


des compteurs de l'Analyseur de performances
Crez un nouvel ensemble de collecteurs de donnes partir de la vue actuelle de l'Analyseur de performances. Nommez cet ensemble Custom ADDS Performance Counters (Compteurs de performances AD DS personnaliss). Prenez note du rpertoire racine par dfaut dans lequel l'ensemble de collecteurs de donnes sera enregistr.

Tche 3 : Dmarrage d'un Ensemble de collecteurs de donnes


1. Cliquez sur le nud Ensembles de collecteurs de donnes\Dfinis par l'utilisateur, cliquez du bouton droit sur Custom ADDS Performance Counters et choisissez Dmarrer. Le nud Custom ADDS Performance Counters est automatiquement slectionn. Vous pouvez identifier les diffrents collecteurs de donnes individuels de l'ensemble de collecteurs de donnes. Dans ce cas, un seul collecteur de donnes (les compteurs de performances Journal de Moniteur systme) s'affiche dans l'ensemble de collecteurs de donnes. Vous pouvez galement voir o le rsultat du collecteur de donnes est enregistr. Dans l'arborescence de la console, cliquez du bouton droit sur l'ensemble de collecteurs de donnes Custom ADDS Performance Counters et choisissez Arrter.

2.

3.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-43

Tche 4 : Affichage d'un rapport d'un Ensemble de collecteurs de


donnes
Dans l'arborescence de la console, dveloppez Custom ADDS Performance Counters, puis cliquez sur System Monitor Log.blg. Le graphique des compteurs de performances du journal s'affiche.
Rsultats : Au terme de cet exercice, vous aurez cr un Ensemble de collecteurs de donnes, autoris son excution et affich ses donnes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 6 : Utilisation des Ensembles de collecteurs de donnes


Dans cet exercice, vous allez examiner et excuter un ensemble de collecteurs de donnes prdfini lors de l'ajout du rle AD DS un serveur. Vous allez ensuite crer un ensemble de collecteurs de donnes personnalis, configurer son planning et ses stratgies de gestion des donnes, l'excuter et en examiner le contenu. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. Analyser un ensemble de collecteurs de donnes prdfini. Crer un ensemble de collecteurs de donnes. Configurer des conditions de dmarrage d'un ensemble de collecteurs de donnes. Configurer des conditions d'arrt d'un ensemble de collecteurs de donnes. Configurer la gestion des donnes d'un collecteur. Afficher les rsultats de la collecte des donnes.

Tche 1 : Examen d'un ensemble de collecteurs de donnes prdfini


1. Slectionnez l'ensemble de collecteurs de donnes Diagnostic Active Directory sous Fiabilit et performances\Ensembles de collecteurs de donnes\Systme. Notez les collecteurs de donnes faisant partie de l'Ensemble de collecteurs de donnes. Dmarrez l'ensemble de collecteurs de donnes. Dveloppez successivement Rapports, Systme et Diagnostic Active Directory, puis cliquez sur le rapport. L'tat du rapport indique que les donnes sont collectes pendant 300 secondes (cinq minutes). Attendez cinq minutes, ou au moins une, puis cliquez du bouton droit sur Diagnostic Active Directory sous Ensembles de collecteurs de donnes\Systme et choisissez Arrter. Prenez le temps d'examiner les diffrentes sections du rapport. Cliquez du bouton droit sur le rapport et, l'aide du menu Affichage, examinez les vues Analyseur de performances, Rapport et Dossier. Dans le volet d'informations de la vue Dossier, double-cliquez sur Compteur de performances. Une nouvelle instance de WRPM s'ouvre pour afficher le journal. Il est possible que la nouvelle instance soit rduite, auquel cas vous pouvez la ramener au premier plan en cliquant sur son bouton dans la barre des tches. Examinez la fentre, puis fermez WPRM.

2. 3.

4.

5.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-45

6.

Dans l'arborescence de la console du Gestionnaire de serveur, slectionnez le nud Analyseur de performances. Cliquez sur le bouton Afficher les donnes du journal et configurez la source de l'Analyseur de performances sur C:\PerfLogs\ADDS\rapport\Compteur de performances, o rapport correspond au nom du rapport que vous venez de gnrer. Notez qu'aucun compteur ne s'affiche immdiatement. Cliquez sur le bouton Ajouter un compteur et ajoutez les compteurs d'objets des services d'annuaire suivants l'affichage : Lectures Active Directory/sec, Recherches Active Directory/sec et critures Active Directory/sec.

Tche 2 : Cration d'un ensemble de collecteurs de donnes


1. Dans l'arborescence de la console du Gestionnaire de serveur, slectionnez le nud Dfini par l'utilisateur situ sous Ensembles de collecteurs de donnes. Crez un nouvel ensemble de collecteurs de donnes nomm Custom ADDS Diagnostics en utilisant l'ensemble de collecteurs de donnes Diagnostic Active Directory comme modle. Enregistrez le nouvel ensemble de collecteurs de donnes dans le dossier C:\ADDS Data Collector Sets. Excutez cet ensemble avec le nom d'utilisateur CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans un environnement de production, le compte que vous utilisez doit tre un compte de domaine unique. Il doit tre membre du groupe Utilisateurs du journal de performances et doit tre autoris ouvrir une session en tant que tche. Le groupe Utilisateurs du journal de performances disposant par dfaut de cette autorisation, il vous suffit de crer un compte de domaine et d'en faire un membre de ce groupe.

2.

Tche 3 : Configuration des conditions de dmarrage d'un ensemble


de collecteurs de donnes
Configurez le planning du nouvel ensemble de collecteurs de donnes pour qu'il commence le jour mme et arrive expiration dans une semaine. Configurez l'heure de dbut pour qu'elle commence dans cinq minutes. Prenez note de l'heure de dbut que vous configurez. Lorsque vous tes invit saisir les informations d'identification associer l'excution de la tche planifie, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Configuration des conditions d'arrt d'un ensemble de


collecteurs de donnes
Configurez la Condition d'arrt de la tche sur une dure globale de deux minutes. Dans un environnement de production, vous excuteriez probablement le collecteur de donnes pendant plus longtemps. Slectionnez l'option Arrter lorsque tous les collecteurs de donnes ont termin.

Tche 5 : Configuration de la gestion des donnes d'un collecteur


Configurez la stratgie des ressources du gestionnaire de donnes de sorte qu'il supprime les lments les plus anciens et qu'il copie tous les jours les fichiers .cab dans \\hqdc01\ADDS_Diag_Reports. Vrifiez que les options Crer un fichier cab et Supprimer les fichiers de donnes sont slectionnes. Lorsque vous tes invit saisir les informations d'identification associer l'excution de la tche planifie, utilisez le compte CONTOSO\Pat.Coleman_Admin et le mot de passe Pa$$w0rd.

Tche 6 : Affichage des rsultats de la collecte des donnes


1. Attendez que l'heure que vous avez configure pour dmarrer l'ensemble de collecteurs de donnes soit passe. Slectionnez le rapport situ sous Rapports\Dfini par l'utilisateur\Custom ADDS Diagnostics et notez que l'tat du rapport indique que les donnes sont collectes pendant 120 secondes (deux minutes). Lorsque la collecte des donnes est termine, l'tat du rapport indique que la gnration du rapport est en cours. Prenez le temps d'examiner le rapport. 2. Cliquez du bouton droit sur le rapport dans l'arborescence de la console, pointez sur Affichage et choisissez Dossier. Dans le volet d'informations, double-cliquez sur Compteur de performances. Une nouvelle instance du Moniteur de fiabilit et de performances s'ouvre, l'Analyseur de performances affichant les donnes enregistres dans le journal Compteur de performances. Prenez le temps d'examiner le graphique des performances, puis fermez la fentre.
Rsultats : Au terme de cet exercice, vous aurez examin un ensemble de collecteurs de donnes prdfini, cr un ensemble de collecteurs de donnes personnalis, excut cet ensemble selon le planning et affich ses rsultats.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-47

Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants de ce module.

Questions de contrle des acquis


Question : Dans quelles situations utilisez-vous actuellement, ou envisagez-vous d'utiliser, les abonnements aux vnements comme outil de surveillance ? Question : quels vnements ou compteurs de performances envisagez-vous d'associer des actions ou des notifications lectroniques ? Utilisez-vous actuellement des notifications ou des actions dans le cadre de la surveillance de votre environnement ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 2

Gestion de la base de donnes Active Directory

Au Module 1, vous avez appris qu'en dfinitive Active Directory tait une base de donnes prise en charge par un certain nombre de services. La gestion de la base de donnes Active Directory est quasiment automatique. Toutefois, la maintenance de ses fichiers eux-mmes est parfois ncessaire. Dans cette leon, vous allez apprendre effectuer la maintenance de la base de donnes Active Directory et aussi rcuprer un objet supprim accidentellement.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : dcrire les composants et les fonctionnalits des fichiers de la base de donnes Active Directory ; utiliser NTDSUtil pour excuter des tches de maintenance de la base de donnes Active Directory, notamment la dfragmentation hors connexion ; crer et monter des instantans d'Active Directory ; rcuprer un utilisateur supprim.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-49

Fichiers de la base de donnes Active Directory

Points cls
La base de donnes Active Directory est stocke dans un fichier nomm NTDS.dit dont vous pouvez dfinir l'emplacement lors de l'installation et de la configuration d'AD DS. L'emplacement par dfaut est %SystemRoot%\NTDS. Le fichier NTDS.dit contient toutes les partitions hberges par le contrleur de domaine : le schma et la configuration de la fort, le contexte de noms de domaine et (selon la configuration du serveur) le jeu d'attributs partiel et les partitions de l'annuaire d'applications. Le dossier NTDS contient d'autres fichiers qui prennent en charge la base de donnes Active Directory. Le fichier Edb.log est le journal des transactions d'Active Directory. Lorsque l'annuaire doit tre modifi, la modification est d'abord crite dans ce fichier journal. Cette modification est ensuite valide dans l'annuaire en tant que transaction. Si la transaction choue, la modification peut tre annule.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Ce processus est illustr dans la diapositive suivante :

Lorsque le systme fonctionne normalement, le journal des transactions fonctionne de faon circulaire, les nouvelles transactions remplaant les anciennes dj valides. Toutefois, lorsqu'un grand nombre de transactions interviennent pendant une brve priode, Active Directory cre des journaux de transactions supplmentaires. Plusieurs fichiers EDB*.log peuvent donc s'afficher dans le dossier NTDS d'un contrleur de domaine particulirement sollicit. Avec le temps, ces fichiers sont automatiquement supprims. Le fichier EDB.chk joue le rle de signet dans les journaux, en marquant le point avant lequel les transactions ont bien t valides dans la base de donnes et aprs lequel les transactions doivent encore l'tre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-51

Le fait que l'espace disque devienne insuffisant sur un lecteur est trs problmatique pour le serveur. Ce problme est encore plus important lorsque ce disque hberge la base de donnes Active Directory car les ventuelles transactions en cours ne peuvent pas tre inscrites dans les journaux. Par consquent, Active Directory gre deux fichiers journaux supplmentaires, edbres0001.jrs et edbres0002.jrs. Ces fichiers sont vides et font 10 Mo chacun. Lorsque l'espace d'un disque devient insuffisant pour les journaux de transactions normaux, Active Directory rcupre l'espace occup par ces deux fichiers pour poursuivre l'criture des transactions. Bien videmment, il est trs important que l'administrateur rsolve aussi vite que possible le problme d'espace disque. Le fichier fournit simplement une solution temporaire pour viter que le service d'annuaire ne refuse les nouvelles transactions.

Lectures complmentaires
Fonctionnement du magasin de donnes (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=101077

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

NTDSUtil

Points cls
Dans les modules prcdents, vous avez utilis la commande NTDSUtil pour excuter des actions sur le service d'annuaire. Au Module 11, la commande a t utilise pour capter des rles de matre d'oprations. Dans ce module, vous allez utiliser la commande pour effectuer la maintenance de la base de donnes, notamment pour crer des instantans, effectuer une dfragmentation hors connexion et relocaliser les fichiers de la base de donnes. La commande NTDSUtil permet galement de nettoyer les mtadonnes d'un contrleur de domaine. Lorsqu'un contrleur de domaine est rtrograd (retir du domaine) alors qu'il est hors connexion, il ne peut pas supprimer d'importantes informations dans le service d'annuaire. Vous pouvez dans ce cas utiliser la commande NTDSUtil pour nettoyer les restes du contrleur de domaine, et cette opration est extrmement importante. Enfin, la commande NTDSUtil peut rinitialiser le mot de passe utilis pour ouvrir une session de Restauration des services d'annuaire (DSRM). Ce mot de passe est initialement dfini pendant la configuration d'un contrleur de domaine. Si vous oubliez ce mot de passe, la commande ntds set dsrm permet de le rinitialiser.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-53

Lectures complmentaires
Outils et paramtres du magasin de donnes (ventuellement en anglais) http://go.microsoft.com/fwlink/?LinkId=101078 Suppression de donnes dans Active Directory aprs l'chec de la rtrogradation d'un contrleur de domaine http://go.microsoft.com/fwlink/?LinkId=168459

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Maintenance de la base de donnes

Points cls
La gestion de la base de donnes Active Directory est quasiment automatique. Par dfaut, toutes les 12 heures, chaque contrleur de domaine excute un processus appel nettoyage de la mmoire. Ce nettoyage de la mmoire effectue deux oprations. D'abord, il efface les objets supprims dont la dure de vie est dpasse. Lorsqu'un objet est supprim, il est plac dans le conteneur Objets supprims et dbarrass de la quasi-totalit de ses attributs. L'objet demeure dans le service d'annuaire pour la priode dfinie par sa dure de vie de dsactivation, par dfaut 180 jours sous Windows Server 2008. L'entreprise peut ainsi ractiver ou restaurer l'objet l'aide des procdures que vous allez dcouvrir dans la suite de cette leon. Ds que la dure de vie est coule, le nettoyage de la mmoire dfinit la ligne de l'objet sur zro dans la base de donnes. Lorsque des objets sont supprims, les lignes dfinies sur zro crent un type de fragmentation susceptible d'affecter les performances. Le processus de nettoyage de la mmoire rorganise les lignes de la base de donnes pour placer les lignes vides de faon contigu, une opration trs proche de la rorganisation des secteurs d'un disque lors d'une dfragmentation. Ce processus, appel dfragmentation en ligne, ne rduit pas la taille des fichiers de la base de donnes, mais optimise l'ordre interne de celle-ci.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-55

Dans la plupart des environnements, cette opration est suffisante. Toutefois, il peut tre ncessaire de rduire la taille du fichier NTDS.dit dans les organisations qui suppriment un grand nombre d'objets de l'annuaire. Pour ce faire, vous devez excuter une dfragmentation hors connexion avec la commande NTDSUtil. Les procdures requises sont traites dans la suite de cette leon. Dans les versions prcdentes de Windows, les contrleurs de domaine plaaient un verrou sur la base de donnes Active Directory. Pour effectuer la maintenance de la base de donnes, vous devez redmarrer le serveur dans la Restauration des services d'annuaire. Sous Windows Server 2008, l'architecture d'AD DS a t conue sous forme de service et, comme n'importe quel autre service, peut tre arrt ou dmarr la demande depuis le composant logiciel enfichable Services. prsent, pour effectuer une dfragmentation hors connexion, il vous suffit d'arrter le service AD DS, d'effectuer la maintenance, puis de redmarrer le service.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Maintenance de la base de donnes AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer comment arrter et dmarrer le service AD DS et vous apprendre compresser la base de donnes et dplacer ses fichiers vers un autre volume. Ces procdures sont disponibles dans le Corrig de l'atelier pratique de ce module. Vous aurez la possibilit de mettre la plupart de ces procdures en pratique au cours de l'atelier.

tapes de la dmonstration
Pour arrter le service AD DS : Ouvrez la console Services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Arrter dans le menu contextuel.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-57

Pour effectuer une dfragmentation hors connexion de la base de donnes Active Directory pendant que les Services AD DS sont l'tat arrt : 1. 2. 3. 4. Dans la fentre de commande, tapez ntdsutil et appuyez sur Entre. l'invite de commande ntdsutil, tapez Activate Instance NTDS et appuyez sur Entre. l'invite de commande ntdsutil:, tapez files et appuyez sur Entre. l'invite file maintenance:, tapez compact to drive:\ LocalDirectoryPath (o drive:\ LocalDirectoryPath correspond au chemin d'accs d'un l'emplacement dans l'ordinateur local). Aprs un court instant, appuyez sur CTRL+C pour interrompre le processus. Ce processus peut durer un certain temps. Lorsque le processus se termine de lui-mme, vous devez copier le fichier NTDS.dit dans un emplacement de sauvegarde, de mme que les journaux (*.log), puis supprimer ces derniers (*.log). Pour finir, il est recommand de vrifier l'intgrit de la base de donnes qui vient d'tre compacte. Pour ce faire, tapez "integrity". Ce processus, comme la compression, prend un certain temps. Appuyez sur CTRL+C tout moment pour interrompre le processus et passer la suite de la dmonstration.

5.

6.

Pour dplacer la base de donnes AD DS : 1. Dans la fentre de l'invite de commande file maintenance, tapez move db to pathname. Comme prcdemment, nous n'allons pas attendre la fin de ce processus. Appuyez sur CTRL+C pour interrompre le processus. Sachez que, si nous avions attendu que le processus aille son terme, le fichier NTDS.dit aurait t dplac vers le nouvel emplacement et les autorisations auraient t dfinies en consquence. Enfin, redmarrez AD DS : Dans la console MMC des services, cliquez du bouton droit sur Services de domaine Active Directory et choisissez Dmarrer.

2.

Bravo, vous avez termin !

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Question : Pourquoi est-il ncessaire d'arrter les services AD DS avant la dfragmentation ? Question : Pourquoi est-il ncessaire de commencer par compacter la base de donnes dans un rpertoire temporaire ?

Lectures complmentaires
Compactage du fichier de base de donnes d'annuaire (dfragmentation hors connexion) http://go.microsoft.com/fwlink/?LinkId=101083

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-59

Instantans d'Active Directory

Points cls
La commande NTDSUtil de Windows Server 2008 permet de crer et de monter des instantans d'Active Directory. Un instantan est une forme de sauvegarde de l'historique ; elle capture l'tat exact du service d'annuaire au moment de l'instantan Contrairement une sauvegarde, un instantan ne peut pas servir restaurer des donnes. Vous pouvez cependant employer des outils pour explorer le contenu de l'instantan et examiner l'tat du service d'annuaire tel qu'il tait au moment de la cration de l'instantan. Pour crer un instantan : 1. 2. 3. 4. Ouvrez une invite de commande leve. Tapez ntdsutil et appuyez sur Entre. Tapez snapshot, puis appuyez sur Entre. Tapez activate instance ntds et appuyez sur Entre.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5.

Tapez create et appuyez sur Entre. La commande renvoie un message qui indique que l'ensemble d'instantans a bien t gnr. L'identificateur global unique (GUID) qui s'affiche est important pour les commandes des tches ultrieures. Notez le GUID ou copiez-le dans le Pressepapiers.

6.

Tapez quit, puis appuyez sur Entre.

Il est recommand de planifier des instantans rguliers d'Active Directory. Vous pouvez utiliser le Planificateur de tches pour excuter un fichier de commandes avec les commandes NTDSUtil appropries. Pour afficher le contenu d'un instantan, vous devez monter ce dernier en tant que nouvelle instance d'AD DS. Cette opration est effectue via NTDSUtil. Pour monter un instantan : 1. 2. 3. 4. 5. 6. 7. 8. 9. Ouvrez une invite de commande leve. Tapez ntdsutil et appuyez sur Entre. Tapez activate instance ntds et appuyez sur Entre. Tapez snapshot, puis appuyez sur Entre. Tapez list all, puis appuyez sur Entre. La commande rcupre la liste de tous les instantans. Tapez mount {GUID}, o GUID correspond l'identifiant GUID renvoy par la commande create snapshot, puis appuyez sur Entre. Tapez quit, puis appuyez sur Entre. Tapez quit, puis appuyez sur Entre. Tapez dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds \ntds.dit -ldapport 50000, puis appuyez sur Entre. Le numro de port, 50000, peut tre tout numro de port TCP ouvert et unique. Un message indique que le dmarrage des services AD DS est termin. 10. Ne fermez pas la fentre d'invite de commandes, laissez s'excuter la commande que vous venez de saisir (Dsamain.exe), et passez l'tape suivante. Ds que l'instantan a t mont, vous pouvez utiliser des outils pour vous y connecter et l'explorer. Mme la console Utilisateurs et ordinateurs Active Directory permet de se connecter l'instance.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-61

Pour vous connecter un instantan avec Utilisateurs et ordinateurs Active Directory : 1. 2. Ouvrez Utilisateurs et ordinateurs Active Directory. Cliquez du bouton droit sur le nud racine et choisissez Modifier le contrleur de domaine. La bote de dialogue Changer de serveur d'annuaire s'affiche. 3. 4. Cliquez sur <Tapez ici un nom de serveur d'annuaire[:port]>. Tapez HQDC01:50000 et appuyez sur Entre. HQDC01 est le nom du contrleur de domaine dans lequel vous avez mont l'instantan et 50000, le numro de port TCP que vous avez configur pour l'instance et par lequel vous tes prsent connect l'instantan. 5. Cliquez sur OK.

Remarquez que les instantans sont en lecture seule. Vous ne pouvez pas en modifier le contenu. Il n'existe pas non plus de mthode directe permettant de dplacer, de copier ou de restaurer des objets ou des attributs de l'instantan vers l'instance de production d'Active Directory. Pour dmonter l'instantan : 1. 2. 3. 4. 5. 6. 7. 8. Revenez l'invite de commande dans laquelle l'instantan a t mont. Appuyez sur CTRL+C pour arrter DSAMain.exe. Tapez ntdsutil et appuyez sur Entre. Tapez activate instance ntds et appuyez sur Entre. Tapez snapshot, puis appuyez sur Entre. Tapez unmount GUID, o GUID correspond l'identifiant GUID de l'instantan, puis appuyez sur Entre. Tapez quit, puis appuyez sur Entre. Tapez quit et appuyez sur Entre.

Lectures complmentaires
Guide pas pas sur les outils de montage de la base de donnes AD DS (Snapshot Viewer ou Snapshot Browser) http://go.microsoft.com/fwlink/?LinkId=168460

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Restauration des objets supprims

Points cls
Comme nous l'avons dj mentionn, lorsqu'un objet est supprim, il est plac dans le conteneur Objets supprims et dbarrass de la quasi-totalit de ses attributs. En fait, les seuls attributs qui restent sont SID, objectGUID, lastKnownParent et sAMAccountName de l'objet. Tant que le niveau fonctionnel du domaine est Windows Server 2003 ou un niveau suprieur, et tant que l'objet n'a pas t nettoy par le processus de nettoyage de la mmoire aprs avoir atteint la fin de sa dure de vie, vous pouvez restaurer ou ractiver l'objet supprim. Pour restaurer un objet supprim : 1. Cliquez sur le bouton Dmarrer, tapez LDP.exe dans le champ Rechercher, puis appuyez sur Ctrl+Maj+Entre pour excuter la commande en tant qu'administrateur. La bote de dialogue Contrle de compte d'utilisateur s'affiche. 2. 3. Cliquez sur Utiliser un autre compte. Dans le champ Nom d'utilisateur, tapez celui d'un administrateur.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-63

4.

Dans Mot de passe, tapez celui du compte d'administration, puis appuyez sur Entre. LDP s'affiche. Dans le menu Connexion, cliquez sur Connexion, puis sur OK. Dans le menu Connexion, cliquez sur Lier, puis sur OK. Dans le menu Options, cliquez sur Contrles. Dans la liste Chargement prdfini, cliquez sur Renvoyer les objets supprims, puis sur OK. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

5. 6. 7. 8. 9.

10. Dveloppez le domaine, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com. 11. Cliquez du bouton droit sur l'objet supprim et choisissez Modifier. 12. Dans la zone Attribut, tapez isDeleted. 13. Dans la section Opration, cliquez sur Supprimer. 14. Appuyez sur Entre. 15. Dans la zone Attribut, tapez distinguishedName. 16. Dans le champ Valeurs, entrez le nom unique de l'objet dans l'unit d'organisation ou le conteneur parent dans lequel l'objet doit tre restaur. Par exemple, tapez le nom unique de l'objet tel qu'il tait avant d'tre supprim. 17. Dans la section Opration, cliquez sur Remplacer. 18. Appuyez sur Entre. 19. Cochez la case tendu. 20. Cliquez sur le bouton Excuter. 21. Cliquez sur le bouton Fermer. 22. Fermez LDP. 23. Servez-vous d'Utilisateurs et ordinateurs Active Directory pour renseigner nouveau les attributs de l'objet, rinitialiser le mot de passe (pour un objet utilisateur) et activer l'objet (s'il est dsactiv).

Lectures complmentaires
Scnario complet d'utilisation de l'outil de montage de la base de donnes Active Directory http://go.microsoft.com/fwlink/?LinkId=168462

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Utilisation d'instantans et ranimation d'objets

Points cls
Dans cette dmonstration, votre instructeur va crer un instantan, supprimer un objet (un utilisateur peut-tre), monter l'instantan avec NTDSutil et utiliser LDP ou ADSIedit pour afficher l'objet supprim dans l'instantan. Vous aurez bientt la possibilit de revoir et de mettre en pratique des procdures similaires au cours de l'atelier de cette leon. Pour la procdure propre cette dmonstration, rfrez-vous aux deux rubriques prcdentes, Instantans d'Active Directory et Restauration des objets supprims. Elles contiennent les procdures qui permettent de crer un instantan, de le monter, de s'y connecter avec Utilisateurs et ordinateurs Active Directory, de le dmonter et de restaurer un objet supprim.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-65

Question : Dans quels cas s'avre-t-il utile de monter plusieurs instantans simultanment ? Question : Pourquoi est-il ncessaire de spcifier diffrents ports LDAP, SSL et de catalogue global pour chaque instance monte de la base de donnes ?

Lectures complmentaires
Scnario complet d'utilisation de l'outil de montage de la base de donnes Active Directory : http://go.microsoft.com/fwlink/?LinkId=168818

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Gestion de la base de donnes Active Directory

Scnario
Vous tes l'administrateur de Contoso, Ltd., une universit en ligne. la fin du semestre, il y 65 jours, vous avez supprim les 835 comptes d'utilisateur des tudiants qui ont obtenu leur diplme ou qui ne poursuive pas leur cursus. Vous voulez prsent compacter votre base de donnes Active Directory pour rcuprer l'espace libr par les nombreux objets supprims. Vous avez galement appris que le compte d'Adriana Giorgi a t supprim la veille par accident. Vous souhaitez rcuprer ce compte par l'intermdiaire d'un instantan dont vous avez planifi l'excution 01 h 00 chaque nuit.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-67

Exercice 1 : Maintenance de la base de donnes


Dans cet exercice, vous allez effectuer la maintenance de la base de donnes Active Directory. Pour ce faire, vous devrez arrter le service AD DS et le redmarrer lorsque la maintenance sera termine. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. 6. 7. Prparer l'atelier pratique. Prparer le compactage de la base de donnes Active Directory. Arrter le service AD DS. Compacter la base de donnes Active Directory. Substituer la base de donnes Active Directory par la copie compacte. Vrifier l'intgrit de la base de donnes compacte. Dmarrer le service AD DS.

Tche 1 : Prparation de l'atelier pratique


Les ordinateurs virtuels ont dj d tre dmarrs lors de l'Atelier pratique A. Toutefois, s'ils ont t arrts, procdez comme suit : 1. 2. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-HQDC02-B sans ouvrir de session.

Tche 2 : Prparation du compactage de la base de donnes Active


Directory
1. 2. Excutez une invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. l'invite de commande, crez deux dossiers : D:\NTDSCompact et D:\NTDSOriginal.

Tche 3 : Arrt du service AD DS


1. 2. Excutez la console Services en tant qu'administrateur avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Arrtez le service AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 4 : Compactage de la base de donnes Active Directory


Utilisez NTDSUtil pour activer l'instance NTDS et compacter le fichier de base de donnes dans D:\NTDSCompact.

Tche 5 : Substitution de la base de donnes Active Directory par la


copie compacte
1. Dplacez l'ancienne version de NTDS.dit et tous les fichiers *.log du dossier %SystemRoot%\NTDS vers D:\NTDSOriginal afin de les prserver en cas d'chec ou de problme li au compactage. Copiez le fichier NTDS.dit compact du dossier D:\NTDSCompact vers %SystemRoot%\NTDS\ntds.dit.

2.

Tche 6 : Vrification de l'intgrit de la base de donnes compacte


Utilisez NTDSUtil pour activer l'instance de NTDS, en vrifier l'intgrit et effectuer une analyse smantique de la base de donnes en mode correction.

Tche 7 : Dmarrage du service AD DS


1. 2. 3. Revenez la console Services. Dmarrez le service AD DS. Fermez la console Services.
Rsultats : Au terme de cet exercice, vous aurez arrt AD DS, compact la base de donnes Active Directory, effectu une vrification smantique et de l'intgrit et redmarr AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-69

Exercice 2 : Utilisation des instantans et rcupration d'un utilisateur supprim


Dans cet exercice, vous allez crer et monter un instantan Active Directory et utiliser les informations pour renseigner nouveau les attributs d'un objet utilisateur supprim. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Crer un instantan d'Active Directory. Modifier Active Directory Monter un instantan Active Directory et crer une nouvelle instance. Analyser un instantan dans Utilisateurs et ordinateurs Active Directory. Utiliser LDP pour restaurer un objet supprim (facultatif).

Tche 1 : Cration d'un instantan d'Active Directory


l'invite de commande leve, tapez les commandes suivantes :
ntdsutil snapshot activate instance ntds create quit quit

La commande renvoie un message qui indique que l'ensemble d'instantans a bien t gnr. L'identificateur global unique (GUID) qui s'affiche est important pour les commandes des tches ultrieures. Notez le GUID ou copiez-le dans le Presse-papiers.

Tche 2 : Modification d'Active Directory


1. 2. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Supprimez le compte d'Adriana Giorgi de l'unit d'organisation User Accounts\Employees.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Montage d'un instantan Active Directory et cration d'une


nouvelle instance
1. l'invite de commande leve, tapez les commandes suivantes :
ntdsutil activate instance ntds snapshot list all

La commande rcupre la liste de tous les instantans. 2. Tapez les commandes suivantes :
mount guid quit quit

o guid est l'identifiant GUID de l'instantan que vous avez cr. 3. Dmarrez une instance d'Active Directory utilisant l'instantan en tapant la commande suivante sur une seule ligne.
dsamain -dbpath c:\$snap_dateheure_volumec$\windows\ntds\ntds.dit -ldapport 50000

Notez que dateheure doit tre une valeur unique pour vous. Votre lecteur C ne doit comprendre qu'un seul dossier commenant par $snap. Un message indique que le dmarrage des services de domaine Active Directory est termin. Laissez Dsamain.exe continuer son excution. Ne fermez pas l'invite de commande.

Tche 4 : Examen d'un instantan dans Utilisateurs et ordinateurs


Active Directory
1. Revenez Utilisateurs et ordinateurs Active Directory. Cliquez du bouton droit sur le nud racine du composant logiciel enfichable et choisissez Modifier le contrleur de domaine. Tapez le nom du serveur d'annuaire et le port HQDC01:50000, puis appuyez sur Entre. Cliquez sur OK. Localisez l'objet Adriana Giorgi dans l'unit d'organisation User Accounts\Employees. Remarquez que l'objet Adriana Giorgi s'affiche car l'instantan a t cr avant sa suppression.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-71

Tche 5 (facultatif) : Utilisation de LDP pour restaurer un objet


supprim
La restauration d'un compte utilisateur supprim n'est pas directement lie aux instantans. Pour ranimer des objets du conteneur Objets supprims d'Active Directory, utilisez la commande Ldp.exe. Un objet supprim tant dbarrass de la plupart de ses attributs, un instantan se rvle trs utile pour examiner les attributs de l'objet avant sa suppression. 1. Cliquez sur le bouton Dmarrer. Tapez LDP.exe dans le champ Rechercher, puis appuyez sur Ctrl+Maj+Entre pour excuter la commande en tant qu'administrateur. La bote de dialogue Contrle de compte d'utilisateur s'affiche. 2. 3. 4. Cliquez sur Utiliser un autre compte. Dans le champ Nom d'utilisateur, tapez Pat.Coleman_Admin. Dans le champ Mot de passe, tapez Pa$$w0rd, puis appuyez sur Entre. LDP s'affiche. 5. 6. 7. 8. 9. Dans le menu Connexion, cliquez sur Connexion, puis sur OK. Dans le menu Connexion, cliquez sur Lier, puis sur OK. Dans le menu Options, cliquez sur Contrles. Dans la liste Chargement prdfini, cliquez sur Renvoyer les objets supprims, puis sur OK. Dans le menu Affichage, cliquez sur Arborescence, puis sur OK.

10. Dans l'arborescence de la console, dveloppez DC=contoso,DC=com, puis double-cliquez sur CN=Deleted Objects,DC=contoso,DC=com. 11. Cliquez du bouton droit sur CN=Adriana Giorgi, puis cliquez sur Modifier. 12. Dans la zone Attribut, tapez isDeleted. 13. Dans la section Opration, cliquez sur Supprimer. 14. Appuyez sur Entre. 15. Dans la zone Attribut, tapez distinguishedName. 16. Dans le champ Valeurs, tapez CN=Adriana Giorgi,OU=Employees,OU=User Accounts,DC=contoso,DC=com. 17. Dans la section Opration, cliquez sur Remplacer.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

18. Appuyez sur Entre. 19. Cochez la case tendu. 20. Cliquez sur le bouton Excuter. 21. Cliquez sur le bouton Fermer. 22. Fermez LDP. 23. Excutez Utilisateurs et ordinateurs Active Directory avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. 24. Dans l'arborescence de la console, dveloppez le domaine contoso.com, puis l'unit d'organisation User Accounts et cliquez sur l'unit d'organisation Employees. 25. Remarquez que le compte d'Adriana Giorgi a t restaur. Cependant, tous ses attributs sont absents, notamment la description et le mot de passe. Du fait de l'absence du mot de passe, le compte a t dsactiv. 26. Revenez l'instance d'Utilisateurs et ordinateurs Active Directory dans laquelle les donnes de l'instantan sont affiches. 27. Notez que vous pouvez utiliser les attributs indiqus dans l'instantan pour renseigner nouveau manuellement les attributs dans Active Directory. 28. Fermez les deux instances d'Utilisateurs et ordinateurs Active Directory.

Tche 6 : Dmontage d'un instantan d'Active Directory


1. 2. l'invite de commande, appuyez sur Ctrl+C pour arrter DSAMain.exe. Tapez les commandes suivantes :
ntdsutil activate instance ntds snapshot unmount guid quit quit

o guid est l'identifiant GUID de l'instantan.


Rsultats : Au terme de cet exercice, vous aurez cr, mont et examin un instantan d'Active Directory et, ventuellement, restaur un compte d'utilisateur supprim.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-73

Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants de ce module.

Questions de contrle des acquis


Question : Dans quels autres cas peut-il tre utile de monter un instantan d'Active Directory ? Question : Quels sont les inconvnients de la restauration d'un objet supprim avec un outil tel que LDP ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 3

Sauvegarde et restauration des services AD DS et des contrleurs de domaine

Mme avec les technologies et un plan de surveillance les plus efficaces possibles, la dfaillance d'un contrleur de domaine reste possible, de mme que la corruption d'Active Directory, intentionnelle ou accidentelle. Dans un tel cas, vous devez tre prt restaurer le contrleur de domaine, l'annuaire ou certains objets de l'annuaire. Dans cette leon, vous allez apprendre utiliser la fonctionnalit Sauvegarde de Windows Server et le mode Restauration des services d'annuaire pour sauvegarder et restaurer efficacement AD DS et les contrleurs de domaine.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : sauvegarder un contrleur de domaine AD DS ; planifier des oprations de sauvegarde de contrleurs de domaine ; restaurer AD DS.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-75

Outils de sauvegarde et de restauration

Points cls
La Sauvegarde de Windows Server est une nouvelle fonctionnalit puissante de Windows Server 2008 qui permet de sauvegarder et de restaurer un serveur, ses rles et ses donnes. La Sauvegarde de Windows Server est installe sous forme de fonctionnalit du Gestionnaire de serveur. La fonctionnalit Sauvegarde de Windows Server fournit un outil d'administration de composant logiciel enfichable et la commande WBAdmin (wbadmin.exe). Ces deux outils permettent d'effectuer des sauvegardes manuelles ou automatises dans un volume de disque externe ou interne, un partage distant ou un support optique. La sauvegarde sur bande n'est plus prise en charge par la Sauvegarde de Windows Server. La fonctionnalit Sauvegarde de Windows Server vous permet d'effectuer les types suivants de sauvegarde : Serveur complet Volumes slectionns tat du systme

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-76

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vous ne pouvez pas utiliser la Sauvegarde de Windows Server pour sauvegarder des fichiers ou des dossiers individuels. Vous pouvez cependant l'utiliser pour restaurer des fichiers ou des dossiers individuels. Si vous choisissez d'effectuer la sauvegarde vers un volume de disque local ou externe, il est recommand ou obligatoire (selon votre configuration) de ddier ce volume aux sauvegardes. En d'autres termes, n'utilisez pas ce volume pour stocker d'autres types de donnes. Notez que l'outil de sauvegarde hrit, NTBackup, n'est plus pris en charge. En outre, la fonctionnalit Sauvegarde de Windows Server ne peut pas restaurer les sauvegardes ralises avec NTBackup. Vous pouvez tlcharger une version de NTBackup compatible avec Windows Server 2008 et pris en charge pour restaurer les fichiers de sauvegarde hrits dans Windows Server 2008 et rcuprer des donnes. Toutefois, NTBackup ne doit pas tre utilis pour excuter les nouvelles oprations de sauvegarde. Plusieurs nuances et exigences rgissent l'utilisation de la Sauvegarde de Windows Server selon les scnarios et les configurations. Si vous envisagez d'utiliser la Sauvegarde de Windows Server comme utilitaire de sauvegarde, veillez lire les articles rpertoris dans la section Lectures complmentaires ci-dessous.

Lectures complmentaires
Prsentation de la sauvegarde et de la restauration sous Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=168463 Sauvegarde de Windows Server http://go.microsoft.com/fwlink/?LinkId=168464 Guide pas pas de la Sauvegarde de Windows Server pour Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=168465 Sauvegarde de votre serveur http://go.microsoft.com/fwlink/?LinkId=168466

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-77

Prsentation de la sauvegarde d'AD DS et des contrleurs de domaine

Points cls
Dans les versions prcdentes de Windows, la sauvegarde d'Active Directory entranait la cration d'une sauvegarde de l'tat du systme, c'est--dire une petite collection de fichiers comprenant la base de donnes Active Directory et le Registre. Sous Windows Server 2008, le concept d'tat du systme existe encore mais a t grandement largi. Du fait des interdpendances entre les rles de serveur, la configuration physique et Active Directory, l'tat du systme est prsent un sousensemble d'une sauvegarde complte du serveur et, dans certaines configurations, peut tre aussi volumineuse. Pour sauvegarder un contrleur de domaine, vous devez sauvegarder entirement tous les volumes critiques. Vous pouvez exploiter l'utilitaire Sauvegarde de Windows Server (le composant logiciel enfichable ou la commande wbadmin.exe) pour sauvegarder l'tat du systme.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-78

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lectures complmentaires
Guide pas pas de la sauvegarde et de la restauration d'AD DS http://go.microsoft.com/fwlink/?LinkId=168467

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-79

Dmonstration : Sauvegarde des services AD DS

Points cls
Dans cette dmonstration, votre instructeur va vous montrer comment sauvegarder Active Directory. Vous aurez la possibilit de mettre vous-mme une procdure similaire en pratique dans l'atelier associ ce module.

tapes de la dmonstration
Pour effectuer une sauvegarde interactive d'Active Directory : 1. 2. 3. 4. Ouvrez le composant logiciel enfichable Sauvegarde de Windows Server. Cliquez sur le lien Sauvegarde unique. L'Assistant Sauvegarde unique s'affiche. Dans la page des options de Sauvegarde, vrifiez que l'option Diffrentes options est slectionne, puis cliquez sur Suivant. Dans la page Slectionner la configuration de la sauvegarde, cliquez sur Personnalis, puis sur Suivant.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-80

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

5.

Dans la page Slectionner les lments de sauvegarde, vrifiez que la case cocher Activer la rcupration du systme est slectionne, puis cliquez sur Suivant. Dans la page Spcifier le type de destination, cliquez sur Suivant. Dans la page Slectionner la destination de sauvegarde, cliquez sur Suivant. Dans la page Spcifier une option avance, cliquez sur Sauvegarde complte VSS, puis cliquez sur Suivant. Dans la page Confirmation, cliquez sur Sauvegarde.

6. 7. 8. 9.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-81

Autres outils de sauvegarde et de restauration

Points cls
Windows Server 2008 propose plusieurs outils supplmentaires lis la sauvegarde et la restauration des services de domaine Active Directory. Dans la leon prcdente, vous avez appris crer des instantans d'Active Directory. Ces instantans, bien qu'en lecture seule, sont des lments prcieux de l'image de restauration. D'abord, vous pouvez facilement parcourir les instantans pour identifier le moment o un problme est survenu dans l'annuaire, puis restaurer la sauvegarde approprie en consquence. Ensuite, si Windows ne propose pas de mthode permettant de copier ou de stocker les informations d'un instantan dans l'instance de production d'Active Directory, certains scripts et outils tiers vous permettent d'effectuer ces oprations. La fonctionnalit Sauvegarde de Windows Server ajoute plusieurs applets de commande (cmdlet) Windows PowerShell qui vous permettent de crer des scripts d'oprations de sauvegarde et de restauration.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-82

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Enfin, l'Environnement de rcupration Windows (WinRE) se rvle d'une aide incroyable dans certains scnarios de rcupration. WinRE est une version de Windows rsidant en mmoire qui drive de l'environnement de prinstallation Microsoft Windows (WinPE). Vous pouvez lancer WinRE en dmarrant partir du DVD de Windows Server 2008 et en choisissant Options de rcupration systme lorsque vous y tes invit. L'invite de commande qui apparat vous donne un accs complet aux volumes des disques non chiffrs du systme. Vous pouvez utiliser la commande wbadmin pour effectuer des oprations de sauvegarde ou de restauration, et de nombreux autres outils de ligne de commande pour la rsolution des problmes. L'installation de WinRE sous forme d'option de dmarrage dans le serveur est recommande en cas de dfaillance du systme d'exploitation principal. Vous pourrez ainsi dmarrer directement WinRE sans avoir besoin du support d'installation de Windows Server 2008. Vous obtiendrez davantage d'informations sur l'environnement WinRE et sur les autres outils de cette diapositive dans l'article rpertori la section Lectures complmentaires .

Lectures complmentaires
Prsentation de la sauvegarde et de la restauration sous Windows Server 2008 http://go.microsoft.com/fwlink/?LinkId=168449

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-83

Options de restauration d'Active Directory

Points cls
Lorsqu'un contrleur de domaine ou son annuaire est corrompu, endommag ou dfaillant, plusieurs options vous permettent de restaurer le systme. La premire de ces options est appele restauration normale ou restauration ne faisant pas autorit . Lors d'une opration de restauration normale, vous restaurez une sauvegarde d'Active Directory une date que vous savez approprie. Vous restaurez efficacement le contrleur de domaine un moment prcis du pass. Lorsque AD DS redmarre le contrleur de domaine, ce dernier contacte ses partenaires de rplication et demande toutes les mises jour qui ont suivi. Efficacement, le contrleur de domaine rattrape le reste du domaine via les mcanismes de rplication habituels. La restauration normale est utile lorsque l'annuaire d'un contrleur de domaine a t endommag ou corrompu mais que le problme n'a pas atteint les autres contrleurs de domaine. Que se passe-t-il par contre lorsque le problme a dj t rpliqu ? Par exemple, que se passe-t-il si vous supprimez des objets et que cette suppression a t rplique ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-84

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dans ce cas, la restauration normale ne suffit pas. Si vous restaurez une bonne version d'Active Directory et que vous redmarrez le contrleur de domaine, la suppression (survenue aprs la sauvegarde) est de nouveau rplique dans le contrleur domaine et vous vous retrouvez au point de dpart. C'est ici que la restauration faisant autorit est ncessaire. Avec la restauration faisant autorit, vous restaurez la version approprie d'Active Directory comme dans le cas d'une restauration normale. Cependant, avant de redmarrer le contrleur de domaine, vous dsignez les objets conserver (ceux qui ont t supprims accidentellement) comme faisant autorit de sorte qu'ils soient rpliqus partir du contrleur de domaine restaur vers ses partenaires de rplication. En coulisses, lorsque des objets sont dsigns comme faisant autorit, Windows incrmente fortement le numro de version de tous les attributs d'objet pour que ce numro soit obligatoirement suprieur celui de tous les autres contrleurs de domaine. Lorsqu'il redmarre, le contrleur de domaine restaur rplique toutes les modifications apportes l'annuaire partir de ses partenaires de rplication, mais signale galement ces derniers qu'il a chang. Grce aux numros de version, les partenaires rcuprent alors les modifications et les rpliquent dans tout le service d'annuaire. La troisime option de restauration du service d'annuaire consiste restaurer le contrleur de domaine dans son intgralit. Cette opration consiste dmarrer l'environnement de rcupration Windows et restaurer le contrleur de domaine partir d'une sauvegarde complte du serveur. Par dfaut, il s'agit d'une restauration normale. Si vous devez galement dsigner des objets comme faisant autorit, redmarrez le serveur en mode Restauration des services d'annuaire et dfinissez ces objets comme faisant autorit avant de dmarrer le contrleur de domaine en fonctionnement normal. Enfin, vous pouvez restaurer une sauvegarde de l'tat du systme dans un autre emplacement. Cette opration vous permet d'examiner les fichiers et, ventuellement, de monter le fichier NTDS.dit selon les instructions de la leon prcdente. Dans tous les cas, ne remplacez jamais les fichiers des versions de production par les fichiers issus d'un autre emplacement de restauration. N'effectuez jamais de restauration fragmentaire d'Active Directory. Cette option permet galement d'utiliser l'option Installation partir du support pour crer un nouveau contrleur de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-85

Restauration ne faisant pas autorit

Points cls
Pour effectuer une restauration d'Active Directory faisant ou non autorit, vous devez disposer d'un accs complet aux fichiers du contrleur de domaine. Cela implique de redmarrer le contrleur de domaine en mode Restauration des services d'annuaire (DSRM). Si vous redmarrez un contrleur de domaine localement, appuyez sur la touche F8 au dmarrage et choisissez le mode Restauration des services d'annuaire dans le menu de dmarrage. Vous pouvez galement configurer le contrleur de domaine pour qu'il redmarre automatiquement en mode Restauration des services d'annuaire (DSRM). Servezvous de cette mthode si vous accdez au contrleur de domaine distance via le Bureau distance.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-86

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour configurer un contrleur de domaine pour qu'il redmarre en mode Restauration des services d'annuaire : 1. Ouvrez une invite de commande leve, tapez la commande suivante et appuyez sur Entre :
bcdedit /set safeboot dsrepair

2.

Tapez la commande suivante, puis appuyez sur Entre :


shutdown -t 0 -r

3.

Pour redmarrer le serveur normalement une fois l'opration de restauration termine, tapez la commande suivante, puis appuyez sur Entre :
bcdedit /deletevalue safeboot dsrepair shutdown -t 0 -r

Lorsque vous dmarrez un contrleur de domaine en mode Restauration des services d'annuaire, vous devez vous connecter en tant qu'Administrateur avec le mot de passe DSRM. Vous pouvez alors utiliser la fonctionnalit Sauvegarde de Windows Server pour restaurer la base de donnes de l'annuaire. 1. 2. Ouvrez une invite de commande. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 et appuyez sur Entre. O D: est le volume dans lequel sont stockes les sauvegardes et HQDC01, le nom du contrleur de domaine que vous restaurez. 3. 4. 5. Notez les informations renvoyes sur les versions. Tapez wbadmin start systemstaterecovery -version:version, (o version est le numro enregistr l'tape prcdente), puis appuyez sur Entre. Tapez Y, puis appuyez sur Entre.

Lorsque l'opration de restauration est termine, redmarrez le serveur. Le contrleur de domaine rattrapera le reste du domaine en rcuprant les modifications apportes l'annuaire depuis la date de la sauvegarde auprs de ses partenaires de rplication.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-87

Restauration faisant autorit

Points cls
La plupart des procdures impliques dans une restauration faisant autorit sont les mmes que pour une restauration ne faisant pas autorit. Commencez par redmarrer le contrleur de domaine en mode Restauration des services d'annuaire. Ouvrez une session avec le compte Administrateur et le mot de passe DSRM. Restaurez l'annuaire avec la fonctionnalit Sauvegarde de Windows Server selon les instructions de la diapositive prcdente. Toutefois, avant de redmarrer le contrleur de domaine, vous devez dsigner les objets que vous souhaitez conserver aprs le redmarrage comme faisant autorit, c'est--dire les objets supprims que vous tentez de restaurer. Pour dsigner un objet comme faisant autorit, entrez les commandes suivantes l'invite :
ntdsutil authoritative restore restore object "nom unique de l'objet"

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-88

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour dsigner une unit d'organisation ou un conteneur et tous ses sous-objets comme faisant autorit, entrez les commandes suivantes l'invite :
ntdsutil authoritative restore restore subtree "nom unique de l'objet"

Redmarrez le contrleur de domaine. Le contrleur de domaine rcupre les modifications apportes l'annuaire depuis la date de la sauvegarde auprs de ses partenaires de rplication. Toutefois, un numro de version trs lev a t attribu tous les attributs des objets dsigns comme faisant autorit. Ces objets seront donc rpliqus partir du contrleur de domaine restaur vers le reste du service d'annuaire.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-89

Atelier pratique C : Sauvegarde et restauration d'Active Directory

Scnario
En tant qu'administrateur de Contoso, la sauvegarde du service d'annuaire vous incombe. Aujourd'hui, vous avez remarqu que la sauvegarde de la nuit prcdente ne s'est pas excute comme prvu. Vous avez donc dcid d'effectuer une sauvegarde interactive. Peu de temps aprs la sauvegarde, un administrateur de domaine a accidentellement supprim l'unit d'organisation Employees. Par chance, la sauvegarde que vous venez d'effectuer vous permet de restaurer cette unit d'organisation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-90

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 1 : Sauvegarde d'Active Directory


Dans cet exercice, vous allez installer la fonctionnalit de sauvegarde de Windows Server et l'utiliser pour planifier une sauvegarde d'Active Directory. Vous allez galement effectuer une sauvegarde interactive du volume systme. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Prparer l'atelier pratique. Installer la fonctionnalit Sauvegarde de Windows Server. Crer une sauvegarde planifie. Excuter une sauvegarde interactive.

Tche 1 : Prparation de l'atelier pratique


Les ordinateurs virtuels ont dj d tre dmarrs lors des Ateliers pratiques A et B. Toutefois, s'ils ont t arrts, procdez comme suit : 1. 2. Dmarrez 6238B-HQDC01-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-HQDC02-B et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd.

Tche 2 : Installation de la fonctionnalit Sauvegarde de Windows Server


1. 2. Dans HQDC01, excutez le Gestionnaire de serveur en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Installez toutes les fonctionnalits de Sauvegarde de Windows Server.

Tche 3 : Cration d'une sauvegarde planifie


1. Excutez la Sauvegarde de Windows Server avec des informations d'identification d'administrateur. Utilisez le compte Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans le volet Actions, cliquez sur le lien Planification de sauvegarde. L'Assistant Planification de sauvegarde apparat. 3. 4. Dans la page Mise en route, cliquez sur Suivant. Dans la page Slectionner la configuration de la sauvegarde, cliquez sur Personnalis, puis sur Suivant.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-91

5. 6. 7. 8. 9.

Dans la page Slectionner les lments de sauvegarde, dsactivez la case cocher 6238B (D:), puis cliquez sur Suivant. Dans la page Spcifiez l'heure de la sauvegarde, slectionnez Tous les jours. Dans la liste Slectionner une heure, slectionnez 12 h 00. Cliquez sur Suivant. Dans la page Slectionner le disque de destination, cliquez sur Afficher tous les disques disponibles. La bote de dialogue Afficher tous les disques disponibles apparat.

10. Cochez la case Disque 1, puis cliquez sur OK. 11. Dans la page Slectionner le disque de destination, cochez la case Disque 1, puis cliquez sur Suivant. La bote de dialogue Sauvegarde de Windows Server qui s'affiche vous signale que toutes les donnes du disque vont tre supprimes. 12. Cliquez sur Oui pour continuer. 13. Dans la page Nommer le disque de destination, cliquez sur Suivant. 14. Dans la page Confirmation, cliquez sur Annuler pour viter le formatage du lecteur D.

Tche 4 : Excution d'une sauvegarde interactive


1. 2. Dans le volet Actions de la fentre Sauvegarde de Windows Server, cliquez sur Sauvegarde unique. Configurez la sauvegarde pour utiliser les paramtres suivants : 3. Type de sauvegarde : Personnalise lments de sauvegarde : Lecteur C: uniquement avec l'option Activer la rcupration du systme Option avance : Sauvegarde complte VSS

La sauvegarde prend approximativement 10 15 minutes. Lorsque la sauvegarde est termine, fermez l'utilitaire de sauvegarde de Windows Server.
Rsultats : Au terme de cet exercice, vous aurez install la fonctionnalit Sauvegarde de Windows Server, vous l'aurez utilise pour planifier la sauvegarde des informations des services de domaine Active Directory et pour effectuer une sauvegarde interactive.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-92

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Restauration d'Active Directory ou d'une unit d'organisation supprime


Dans cet exercice, vous allez effectuer une restauration faisant autorit de la base de donnes AD DS. Vous vrifierez ensuite que les donnes ont bien t restaures. Les principales tches sont les suivantes : 1. 2. 3. 4. 5. Suppression de l'unit d'organisation Employees Redmarrage en mode Restauration des services d'annuaire (DSRM) Restauration des donnes de l'tat du systme Dsignation des informations restaures comme faisant autorit et redmarrage du serveur Vrification de la restauration des donnes supprimes

Tche 1 : Suppression de l'unit d'organisation Employees


1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Supprimez l'unit d'organisation Contractors de l'unit d'organisation User Accounts. Dans HQDC02, excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Vrifiez que le contrleur de domaine a bien rpliqu la suppression de l'unit d'organisation Contractors.

2. 3.

4.

Tche 2 : Redmarrage en mode Restauration des services d'annuaire


(DSRM)
1. 2. 3. Dans HQDC01, excutez l'invite de commande en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Tapez bcdedit /set safeboot dsrepair pour configurer le serveur pour qu'il dmarre en mode Restauration des services d'annuaire. Redmarrez HQDC01.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Continuit du service d'annuaire

13-93

Tche 3 : Restauration des donnes de l'tat du systme


1. 2. 3. 4. Ouvrez une session en tant qu'Administrateur avec le mot de passe Pa$$w0rd. Excutez l'invite de commande en tant qu'administrateur. Tapez wbadmin get versions -backuptarget:D: -machine:HQDC01 pour obtenir les informations de version de la sauvegarde. Restaurez les informations d'tat du systme en tapant wbadmin start systemstaterecovery -version:version -backuptarget:D: -machine:HQDC01. C'est--dire wbadmin start systemstaterecovery -version:10/14/2009-01:11 backuptarget:D: -machine:HQDC01. La restauration prend 30 35 minutes environ.

Tche 4 : Dsignation des informations restaures comme faisant


autorit et redmarrage du serveur
1. 2. 3. l'invite de commande, utilisez NTDS pour effectuer une restauration faisant autorit de OU=Contractors,OU=User Accounts,DC=contoso,DC=com. Pour redmarrer le serveur normalement aprs l'opration de restauration, tapez bcdedit /deletevalue safeboot, puis appuyez sur Entre. Redmarrez le serveur.

Tche 5 : Vrification de la restauration des donnes supprimes


1. 2. 3. Aprs le redmarrage du serveur, ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans HQDC02, actualisez l'affichage de Utilisateurs et ordinateurs Active Directory. Vrifiez que l'unit d'organisation Contractors a galement t restaure dans ce contrleur de domaine.
Rsultats : Au terme de cet exercice, vous aurez effectu une restauration faisant autorit des donnes Active Directory pour rcuprer une unit d'organisation accidentellement supprime.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

13-94

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

Questions de contrle des acquis


Question : Quel type de plan de sauvegarde des contrleurs de domaine et du service d'annuaire utilisez-vous ? Qu'envisagez-vous d'utiliser aprs avoir tudi cette leon et termin cet atelier ? Question : Lorsque vous restaurez un utilisateur supprim (ou une unit d'organisation comprenant des objets utilisateur) par l'intermdiaire d'une restauration faisant autorit, les objets sont-ils exactement les mmes qu'auparavant ? Quels attributs peuvent tre diffrents ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-1

Module 14
Gestion de plusieurs domaines et forts
Table des matires :
Leon 1 : Configuration des niveaux fonctionnels des domaines et des forts Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forts Leon 2 : Gestion de plusieurs domaines et des relations d'approbation Atelier pratique B : Administration d'une relation d'approbation 14-4 14-16 14-23 14-70

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-2

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vue d'ensemble du module

Au cours du Module 1, vous avez appris que les services de domaine Active Directory (AD DS) fournissaient la base d'une solution de gestion des identits et des accs, et vous avez tudi la cration d'une infrastructure AD DS simple, constitue d'une seule fort et d'un seul domaine. Dans les modules suivants, vous avez tudi de manire approfondie la gestion d'un environnement AD DS. Vous tes prsent prt revenir au plus haut niveau d'une infrastructure AD DS pour tudier le modle et les fonctionnalits de vos domaines et forts. Dans ce module, vous allez apprendre lever les niveaux fonctionnels des domaines et des forts dans votre environnement, concevoir l'infrastructure AD DS optimale pour votre entreprise, faire migrer des objets entre des domaines et des forts et autoriser une authentification et un accs aux ressources entre plusieurs domaines et forts.

Objectifs
la fin de ce module, vous serez mme d'effectuer les tches suivantes : comprendre les niveaux fonctionnels des domaines et des forts ; lever les niveaux fonctionnels des domaines et des forts ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-3

identifier les fonctions ajoutes par chaque niveau fonctionnel ; concevoir un domaine et une arborescence de domaine efficaces pour AD DS ; identifier le rle de l'Outil de migration Active Directory et les problmes lis la migration d'objet, et la restructuration de domaine ; comprendre les relations d'approbation ; configurer, administrer et scuriser les relations d'approbation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-4

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Leon 1

Configuration des niveaux fonctionnels d'un domaine et d'une fort

L'introduction de contrleurs de domaine Windows Server 2008 dans vos domaines et votre fort vous permet de tirer parti des nouvelles capacits du service d'annuaire Active Directory. Les niveaux fonctionnels des domaines et des forts sont les modes d'exploitation des domaines et des forts, respectivement. Ces niveaux fonctionnels dterminent les versions de Windows que vous pouvez utiliser comme contrleurs de domaine et la disponibilit des fonctionnalits d'Active Directory.

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : comprendre les niveaux fonctionnels des domaines et des forts ; lever les niveaux fonctionnels des domaines et des forts ; identifier les fonctions ajoutes par chaque niveau fonctionnel ;

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-5

Fonctionnement des niveaux fonctionnels

Points cls
Les niveaux fonctionnels sont comme des commutateurs qui activent les nouvelles fonctionnalits offertes par chaque version de Windows. Windows Server 2003 a ajout plusieurs fonctionnalits Active Directory et Windows Server 2008 poursuit l'volution des Services de domaine Active Directory (AD DS). Ces fonctionnalits n'offrant pas de compatibilit descendante, si certains de vos contrleurs de domaine excutent Windows 2000 Server, vous ne pouvez pas activer les fonctionnalits offertes par les versions ultrieures de Windows. Les fonctionnalits les plus rcentes sont dsactives. De la mme faon, tant que tous les contrleurs de domaine n'excutent pas Windows Server 2008, vous ne pouvez pas implmenter les amliorations de ce dernier dans AD DS. L'lvation du niveau fonctionnel dpend de deux exigences majeures : 1. 2. Tous les contrleurs de domaine doivent excuter la version approprie de Windows Server. Vous devez lever manuellement le niveau fonctionnel. Cela n'est pas automatiquement effectu.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-6

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

N'oubliez pas que seuls les contrleurs de domaine dterminent votre capacit dfinir un niveau fonctionnel. Les stations de travail et les serveurs membres peuvent excuter n'importe quelle version de Windows au sein d'un domaine ou d'une fort n'importe quel niveau fonctionnel. Il est important de noter que l'lvation d'un niveau fonctionnel est une opration sens unique : vous ne pouvez pas abaisser le niveau fonctionnel d'un domaine ou d'une fort. Par consquent, aprs avoir lev le niveau fonctionnel du domaine pour le dfinir par exemple sur Windows Server 2008, vous ne pouvez plus ajouter par la suite, dans le mme domaine, de contrleurs de domaine fonctionnant sous Windows Server 2003. Il est galement important de noter que, bien qu'une fort puisse contenir des domaines fonctionnant diffrents niveaux fonctionnels, ds que le niveau fonctionnel de la fort a t lev, il n'est plus possible d'ajouter un contrleur de domaine excutant une version antrieure de Windows dans aucun des domaines de la fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-7

Niveaux fonctionnels des domaines

Points cls
Le niveau fonctionnel du domaine affecte les fonctionnalits Active Directory disponible dans ce domaine et dtermine les versions de Windows prises en charge pour les contrleurs du domaine. Dans les versions prcdentes de Windows, les modes et les niveaux fonctionnels de domaine, ainsi nomms sous Windows 2000 Server, prenaient en charge les contrleurs de domaine excutant Windows NT 4.0. Cette prise en charge a pris fin avec Windows Server 2008. Tous les contrleurs de domaine doivent excuter Windows 2000 Server ou une version ultrieure pour que vous puissiez ajouter le premier contrleur de domaine Windows Server 2008 dans le domaine. Sous Windows Server 2008, Active Directory prend en charge trois niveaux fonctionnels de domaine : Windows 2000 natif Windows Server 2003 Windows Server 2008

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-8

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Windows 2000 natif Le niveau fonctionnel de domaine Windows 2000 natif est le plus bas niveau fonctionnel prenant en charge un contrleur de domaine Windows Server 2008. Les systmes d'exploitation suivants sont pris en charge pour les contrleurs de domaine : Windows 2000 Server Windows Server 2003 Windows Server 2008

Si certains de vos contrleurs de domaine excutent Windows 2000 Server ou Windows Server 2003, ou si vous envisagez d'en ajouter un ou plusieurs excutant ces versions prcdentes de Windows, il est prfrable de conserver le niveau fonctionnel Windows 2000 natif pour le domaine. Windows Server 2003 Ds que tous les contrleurs de domaine excutant Windows 2000 Server ont t supprims ou mis niveau, le niveau fonctionnel du domaine peut tre lev Windows Server 2003. ce niveau fonctionnel, le domaine ne peut plus prendre en charge les contrleurs de domaine excutant Windows 2000 Server. Tous les contrleurs de domaine doivent donc excuter l'un des deux systmes d'exploitation suivants : Windows Server 2003 Windows Server 2008

Le niveau fonctionnel de domaine Windows Server 2003 ajoute un certain nombre de nouvelles fonctionnalits celles offertes par le niveau fonctionnel Windows 2000 natif. Notamment : Modification du nom des contrleurs de domaine : l'outil de gestion des domaines, netdom.exe, permet de renommer des contrleurs de domaine. Attribut lastLogonTimestamp : lorsqu'un utilisateur ou un ordinateur se connecte au domaine, l'attribut lastLogonTimestamp est mis jour en fonction de l'heure de connexion. Cet attribut est rpliqu au sein du domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-9

Attribut userPassword : les entits de scurit d'Active Directory comprennent des utilisateurs, des ordinateurs et des groupes. Une quatrime classe d'objets, inetOrgPerson, est similaire un utilisateur et permet d'intgrer plusieurs services d'annuaire non Microsoft. Au niveau fonctionnel de domaine Windows Server 2003, vous pouvez dfinir l'attribut userPassword comme mot de passe effectif sur les objets inetOrgPerson et utilisateur. Cet attribut est en criture seule. Vous ne pouvez pas rcuprer le mot de passe partir de l'attribut userPassword. Redirection des conteneurs d'utilisateurs et d'ordinateurs par dfaut : au cours du Module 5, vous avez appris que les commandes redirusr.exe et redircmp.exe vous permettaient de rediriger les conteneurs d'utilisateurs et d'ordinateurs par dfaut. Cette redirection entrane la cration de nouveaux comptes dans des units d'organisation spcifiques et non plus dans les conteneurs Utilisateurs et Ordinateurs. Stratgies du Gestionnaire d'autorisations : l'outil Gestionnaire d'autorisations, qui permet aux applications de fournir une autorisation, peut stocker ses stratgies d'autorisation dans AD DS. Dlgation contrainte : les applications peuvent tirer parti de la dlgation scurise des informations d'identification des utilisateurs grce au protocole d'authentification Kerberos. Vous pouvez limiter la dlgation des services de destination spcifiques uniquement. Authentification slective : dans la Leon 2 de ce module, vous apprendrez crer des relations d'approbation entre votre domaine et un autre domaine ou une autre fort. L'authentification slective vous permet de dsigner les utilisateurs et les groupes d'une fort ou d'un domaine approuv(e) qui sont autoriss s'authentifier auprs des serveurs de votre fort. Contrleurs de domaine en lecture seule (RODC) : pour qu'un contrleur de domaine en lecture seule puisse tre ajout, le niveau fonctionnel du domaine doit tre dfini sur Windows Server 2003. Vous devez en outre excuter la commande adprep /rodcprep, et au moins un contrleur de domaine Windows Server 2003 inscriptible doit tre en place.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-10

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Windows Server 2008 Lorsque tous les contrleurs de domaine excutent Windows Server 2008 et lorsque vous savez que vous n'aurez pas besoin d'ajouter des contrleurs de domaine excutant des versions prcdentes de Windows, vous pouvez lever le niveau fonctionnel du domaine pour le dfinir sur Windows Server 2008. Le niveau fonctionnel de domaine Windows Server 2008 ne prend en charge que les contrleurs de domaine excutant un seul systme d'exploitation : Windows Server 2008

Le niveau fonctionnel de domaine Windows Server 2008 ajoute quatre fonctionnalits AD DS l'chelle du domaine : Rplication DFSR du dossier SYSVOL : au cours du Module 11, vous avez appris configurer le volume SYSVOL de sorte qu'il soit rpliqu avec la rplication DFSR et non plus par le service de rplication de fichiers (FRS). La rplication DFSR du contenu du dossier SYSVOL est plus robuste et plus dtaille. Services de chiffrement avancs : la prise en charge des Services de chiffrement avancs (AES 128 et 256) pour le protocole Kerberos permet de renforcer la scurit de l'authentification. AES remplace l'algorithme de chiffrement RC4-HMAC (Hash Message Authentication Code). Dernires informations de connexion interactives : lorsqu'un utilisateur ouvre une session sur le domaine, plusieurs attributs de l'objet utilisateur sont mis jour en fonction de l'heure, de la station de travail utilise par l'utilisateur et du nombre d'checs de tentative de connexion depuis la dernire ouverture de session. Stratgies de mots de passe affines : au cours du Module 8, vous avez appris que des stratgies de mot de passe affines vous permettaient de dfinir des stratgies de mots de passe uniques pour les utilisateurs ou les groupes du domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-11

Augmenter le niveau fonctionnel du domaine Vous pouvez lever le niveau fonctionnel du domaine lorsque tous ses contrleurs de domaine excutent une version prise en charge de Windows et lorsque vous savez que vous n'aurez pas besoin d'ajouter des contrleurs de domaine excutant des versions non prises en charge de Windows. Pour lever le niveau fonctionnel du domaine, ouvrez le composant logiciel enfichable Domaines et approbations Active Directory, cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine. La bote de dialogue qui s'affiche vous permet de slectionner un niveau fonctionnel de domaine plus lev.

Remarque : il s'agit d'une opration sens unique. L'augmentation du niveau fonctionnel du domaine est une opration unidirectionnelle. Vous ne pouvez plus revenir au niveau fonctionnel prcdent.

Vous pouvez galement lever le niveau fonctionnel du domaine l'aide du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez du bouton droit sur le domaine et choisissez Augmenter le niveau fonctionnel du domaine ou cliquez du bouton droit sur le nud racine du composant logiciel enfichable et choisissez Augmenter le niveau fonctionnel du domaine dans le menu Toutes les tches.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-12

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Niveaux fonctionnels des forts

Points cls
De la mme faon que les niveaux fonctionnels de domaine autorisent certaines fonctionnalits l'chelle du domaine et dterminent les versions de Windows prises en charge pour les contrleurs du domaine, les niveaux fonctionnels de fort autorisent des fonctionnalits l'chelle de la fort et dterminent les systmes d'exploitation pris en charge pour les contrleurs de domaine de l'ensemble de la fort. Sous Windows Server 2008, Active Directory prend en charge trois niveaux fonctionnels de fort : Windows 2000 Windows Server 2003 Windows Server 2008

Chaque niveau fonctionnel est dtaill dans les sections suivantes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-13

Windows 2000 Le niveau fonctionnel de fort Windows 2000 est le niveau de base, dfini par dfaut. Au niveau fonctionnel Windows 2000, les domaines peuvent s'excuter n'importe quel niveau fonctionnel de domaine pris en charge : Windows 2000 natif Windows Server 2003 Windows Server 2008

Vous pouvez lever le niveau fonctionnel de la fort lorsque tous ses domaines ont t levs au niveau fonctionnel de domaine quivalent. Windows Server 2003 Lorsque tous les domaines de la fort sont au niveau fonctionnel de domaine Windows Server 2003 et que vous n'envisagez pas d'ajouter de nouveaux domaines comprenant des contrleurs de domaine Windows 2000 Server, vous pouvez augmenter le niveau fonctionnel de la fort Windows Server 2003. ce niveau fonctionnel de fort, les domaines peuvent s'excuter aux niveaux fonctionnels de domaine suivants : Windows Server 2003 Windows Server 2008

Le niveau fonctionnel de fort Windows Server 2003 active les fonctionnalits suivantes : Approbations de fort : vous apprendrez crer des relations d'approbation entre des forts la Leon 2. Changement du nom des domaines : vous pouvez renommer un domaine dans une fort. Rplication des valeurs lies : au niveau fonctionnel de fort Windows 2000, la modification de l'appartenance un groupe entrane la rplication de la totalit de l'attribut Membre plusieurs valeurs du groupe. Cela peut conduire une augmentation du trafic de rplication sur le rseau et une perte potentielle des mises jour de l'appartenance lorsqu'un groupe est modifi simultanment dans plusieurs contrleurs de domaine. Cela entrane galement un plafond conseill de 5 000 membres par groupe. La rplication des valeurs lies, active au niveau fonctionnel de fort Windows Server 2003, rplique la modification individuelle de l'appartenance et non pas la totalit de l'attribut Membre. Cette opration consomme moins de bande passante et vite la perte des mises jour lorsqu'un groupe est modifi simultanment dans plusieurs contrleurs de domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-14

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Prise en charge des contrleurs de domaine en lecture seule : les contrleurs de domaine en lecture seule sont dtaills au Module 8. Ces contrleurs sont pris en charge au niveau fonctionnel de fort Windows Server 2003. Bien sr, le contrleur de domaine en lecture seule doit lui excuter Windows Server 2008. Algorithmes et volutivit amliors du Vrificateur de cohrence des donnes (KCC) : le gnrateur de topologie intersites (ISTG) utilise des algorithmes qui permettent AD DS de prendre en charge la rplication dans des forts comprenant plus de 100 sites. Au niveau fonctionnel de fort Windows 2000, vous devez intervenir manuellement pour crer des topologies de rplication pour les forts comprenant des centaines de sites. De plus, le gnrateur ISTG utilise un algorithme plus efficace qu'au niveau fonctionnel de fort Windows 2000. Conversion des objets inetOrgPerson en objets utilisateur : vous pouvez convertir une instance d'objet inetOrgPerson, utilis pour la compatibilit avec certains services d'annuaire non Microsoft, en une instance d'utilisateur de classe. Vous pouvez galement convertir un objet utilisateur en objet inetOrgPerson. Prise en charge de la classe auxiliaire dynamicObject : le schma autorise des instances de la classe auxiliaire dynamique dans les partitions d'annuaire du domaine. Cette classe d'objets peut tre utilise par certaines applications et par les dveloppeurs. Prise en charge des groupes de base d'applications et des groupes de requtes LDAP : deux nouveaux types de groupe, appels groupes de base d'applications et groupes de requtes LDAP, permettent de prendre en charge l'autorisation base de rles dans les applications qui utilisent le Gestionnaire d'autorisations. Dsactivation et redfinition des attributs et des classes d'objets : bien que vous ne puissiez pas supprimer un attribut ou une classe d'objets dans le schma, le niveau fonctionnel Windows Server 2003 permet de dsactiver ou de redfinir des attributs ou des classes d'objets.

Windows Server 2008 Le niveau fonctionnel de fort Windows Server 2008 n'ajoute pas de nouvelles fonctionnalits l'chelle de la fort. Toutefois, ds que la fort a atteint le niveau fonctionnel Windows Server 2008, les nouveaux domaines qui y sont ajouts fonctionnent par dfaut au niveau fonctionnel de domaine Windows Server 2008. ce niveau fonctionnel de fort, tous les domaines doivent tre au niveau fonctionnel de domaine Windows Server 2008, c'est--dire qu'ils doivent tous excuter Windows Server 2008.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-15

Augmenter le niveau fonctionnel de la fort Pour lever le niveau fonctionnel de la fort, utilisez le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur le nud racine du composant logiciel enfichable Domaines et approbations Active Directory et choisissez Augmenter le niveau fonctionnel de la fort. La bote de dialogue qui s'affiche vous permet de choisir un niveau fonctionnel de fort plus lev.

levez le niveau fonctionnel de la fort uniquement si vous savez que vous n'ajouterez pas de nouveaux domaines des niveaux fonctionnels de domaine non pris en charge. Vous ne pourrez plus revenir au niveau fonctionnel de fort prcdent aprs cette opration.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-16

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique A : Augmenter les niveaux fonctionnels des domaines et des forts

Scnario
Vous tes administrateur de domaine chez Tailspin Toys. Une succursale comprenait encore un contrleur de domaine Windows 2000 et vous venez de le mettre niveau vers Windows Server 2008. Vous souhaitez prsent tirer parti des fonctionnalits offertes par les niveaux fonctionnels suprieurs de domaine et de fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-17

Exercice 1 : Augmenter le niveau fonctionnel du domaine Windows Server 2003


Dans cet exercice, vous allez tenter de profiter des capacits offertes par le niveau fonctionnel de domaine Windows Server 2003. Vous verrez que ces capacits ne sont pas prises en charge aux niveaux fonctionnels de domaine infrieurs. Vous augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces capacits avances afin de vrifier qu'elles sont prsent prises en charge. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. 5. Prparer l'atelier pratique. Confirmer le niveau fonctionnel actuel Windows 2000 natif du domaine. Tester les fonctionnalits non prises en charge par le niveau fonctionnel de domaine Windows 2000 natif. lever le niveau fonctionnel du domaine Windows Server 2003. Vrifier les fonctionnalits prises en charge par le niveau fonctionnel de domaine Windows Server 2003.

Tche 1 : Prparation de l'atelier pratique


Dmarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur Sara.Davis et le mot de passe Pa$$w0rd.

Tche 2 : Confirmation du niveau fonctionnel actuel Windows 2000


natif du domaine
1. Dans TSTDC01, excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000 natif, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de dialogue.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-18

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Test des fonctionnalits non prises en charge par le niveau


fonctionnel de domaine Windows 2000 natif
1. 2. Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et appuyez sur Entre. Le message qui s'affiche indique que la redirection n'a pas russi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows Server 2003 en est la raison. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyez sur Entre. Le message qui s'affiche indique que la redirection n'a pas russi. Le fait que le niveau fonctionnel de domaine ne soit pas au moins Windows Server 2003 en est la raison.

3.

Tche 4 : Augmenter le niveau fonctionnel de domaine Windows


Server 2003
Dans Domaines et approbations Active Directory, levez le domaine au niveau fonctionnel Windows Server 2003.

Tche 5 : Vrification des fonctionnalits prises en charge par le


niveau fonctionnel de domaine Windows Server 2003
1. 2. Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Tapez redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" et appuyez sur Entre. Le message qui s'affiche indique que la redirection a russi. Tapez redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" et appuyez sur Entre. Le message qui s'affiche indique que la redirection a russi.
Rsultats : Au terme de cet exercice, vous aurez lev le domaine au niveau fonctionnel Windows Server 2003 et vrifi que les nouvelles fonctionnalits sont actives.

3.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-19

Exercice 2 : Augmenter le niveau fonctionnel d'une fort Windows Server 2003


Dans cet exercice, vous allez tenter de profiter des capacits offertes par le niveau fonctionnel de fort Windows Server 2003. Vous verrez que ces capacits ne sont pas prises en charge aux niveaux fonctionnels de fort infrieurs. Vous lverez ensuite le niveau fonctionnel de fort. Enfin, vous testerez ces capacits avances afin de vrifier qu'elles sont prsent prises en charge. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Confirmer le niveau fonctionnel actuel Windows 2000 natif de la fort. Tester les fonctionnalits non prises en charge par le niveau fonctionnel de fort Windows 2000 natif. lever le niveau fonctionnel de fort Windows Server 2003. Vrifier les fonctionnalits prises en charge par le niveau fonctionnel de fort Windows Server 2003.

Tche 1 : Confirmation du niveau fonctionnel actuel Windows 2000


natif de la fort
1. Dans TSTDC01, excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows 2000 natif, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de dialogue.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-20

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 2 : Test des fonctionnalits non prises en charge par le niveau


fonctionnel de fort Windows 2000 natif
1. Excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Cliquez du bouton droit sur l'unit d'organisation Domain Controllers et tentez de crer un nouveau compte de contrleur de domaine en lecture seule. Acceptez tous les paramtres dfinis par dfaut dans l'Assistant Installation des services de domaine Active Directory. Le systme vous empche de crer un compte de contrleur de domaine en lecture seule et vous signale que le niveau fonctionnel de la fort doit tre au moins Windows Server 2003.

2.

Tche 3 : Augmenter le niveau fonctionnel de la fort Windows


Server 2003
Dans Domaines et approbations Active Directory, augmentez la fort au niveau fonctionnel Windows Server 2003.

Tche 4 : Vrification des fonctionnalits prises en charge par le


niveau fonctionnel de fort Windows Server 2003
Dans Utilisateurs et ordinateurs Active Directory, crez un compte de contrleur de domaine en lecture seule nomm TSTDC03 dans l'unit d'organisation Domain Controllers. Acceptez toutes les valeurs dfinies par dfaut dans l'Assistant Installation des services de domaine Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-21

Exercice 3 : Augmenter le niveau fonctionnel du domaine Windows Server 2008


Dans cet exercice, vous allez tenter de profiter des capacits offertes par le niveau fonctionnel de domaine Windows Server 2008. Vous verrez que ces capacits ne sont pas prises en charge aux niveaux fonctionnels de domaine infrieurs. Vous augmenterez ensuite le niveau fonctionnel du domaine. Enfin, vous testerez ces capacits avances afin de vrifier qu'elles sont prsent prises en charge. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. 4. Confirmer le niveau fonctionnel actuel infrieur Windows Server 2008 pour le domaine. Confirmer l'indisponibilit de la rplication DFSR pour les niveaux fonctionnels de domaine infrieurs Windows Server 2008. Augmenter le niveau fonctionnel du domaine. Confirmer la disponibilit de la rplication DFSR pour le niveau fonctionnel Windows Server 2008 du domaine.

Tche 1 : Confirmation du niveau fonctionnel actuel infrieur


Windows Server 2008 pour le domaine
1. Dans TSTDC01, excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Vrifiez que le niveau fonctionnel actuel du domaine est bien Windows Server 2003, mais ne l'levez pas. la place, cliquez sur Annuler dans la bote de dialogue.

2.

Tche 2 : Confirmation de l'indisponibilit de la rplication DFSR pour


les niveaux fonctionnels de domaine infrieurs Windows Server 2008
1. 2. Excutez l'invite de commande en tant qu'administrateur avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Tapez dfsrmig /getglobalstate et appuyez sur Entre. Le message qui s'affiche vous signale que la commande dfsrmig n'est prise en charge que par les domaines de niveau fonctionnel Windows Server 2008.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-22

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Tche 3 : Augmenter le niveau fonctionnel du domaine


Dans Domaines et approbations Active Directory, levez le domaine au niveau fonctionnel Windows Server 2008. Fermez Domaines et approbations Active Directory.

Tche 4 : Confirmation de la disponibilit de la rplication DFSR pour


le niveau fonctionnel Windows Server 2008 du domaine
Revenez l'invite de commandes. Tapez dfsrmig /getglobalstate et appuyez sur Entre. Le message qui s'affiche vous signale que la migration DFSR n'a pas encore t dclenche. Cela signifie que cette fonctionnalit est prsent disponible, mais n'a pas encore t initialise.
Rsultats : Au terme de cet exercice, vous aurez lev le domaine au niveau fonctionnel Windows Server 2008 et vrifi que les nouvelles fonctionnalits sont disponibles.

Remarque : n'teignez pas les ordinateurs virtuels la fin de cet atelier pratique car les paramtres que vous avez configurs ici seront utiliss dans les ateliers suivants.

Questions de contrle des acquis


Question : Pouvez-vous lever le domaine au niveau fonctionnel Windows Server 2008 lorsque votre serveur Microsoft Exchange excute encore Windows Server 2003 ? Question : Pouvez-vous lever un domaine au niveau fonctionnel Windows Server 2008 lorsque d'autres domaines contiennent des contrleurs de domaine fonctionnant sous Windows Server 2003 ?

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-23

Leon 2

Gestion de plusieurs domaines et des relations d'approbation

Les modules prcdents de ce cours vous ont prpar configurer, administrer et grer un seul domaine. Toutefois, l'infrastructure Active Directory de votre entreprise peut comprendre une fort plusieurs domaines ou mme plusieurs forts. Vous pouvez donc tre amen dplacer des objets entre des domaines ou restructurer entirement votre modle de domaines. Vous pouvez galement tre amen activer l'authentification et accder des ressources parmi des domaines et des forts. Dans cette leon, vous allez acqurir les comptences ncessaires pour prendre en charge plusieurs domaines et forts.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-24

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Objectifs
la fin de cette leon, vous serez mme d'effectuer les tches suivantes : Concevoir une structure efficace de domaines et d'arborescences pour AD DS. Identifier le rle de l'Outil de migration Active Directory et les problmes lis la migration d'objet et la restructuration de domaine. Comprendre les relations d'approbation. Configurer, administrer et scuriser les relations d'approbation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-25

Dfinition de votre structure de forts et de domaines

Points cls
Avec vos acquis des modules prcdents de ce cours, vous tes prt concevoir votre fort, vos arborescences et vos domaines Active Directory. De faon intressante, les recommandations en matire de structure des forts et des domaines ont volu au fur et mesure de la mise en production d'Active Directory par des entreprises du monde entier avec toutes les configurations imaginables et avec l'enrichissement du jeu de fonctionnalits Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-26

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Domaine racine ddi la fort Au tout dbut d'Active Directory, il tait recommand de crer un domaine racine ddi la fort. Vous avez vu au Module 1 que le domaine racine d'une fort est le premier domaine de cette fort. L'objectif exclusif du domaine racine ddi la fort est d'administrer l'infrastructure de la fort. Il contient, par dfaut, les oprations matre unique de la fort. Il contient galement les groupes trs sensibles, par exemple Administrateurs de l'entreprise et Administrateurs du schma, dont l'impact sur la fort peut tre trs important. En thorie, la racine ddie la fort renforait la scurit des fonctions l'chelle de cette fort. Le domaine racine ddi la fort serait galement moins susceptible de devenir obsolte et simplifierait le transfert de l'appartenance. Au-dessous de la racine ddie la fort, selon les premires recommandations, un mme domaine enfant global devait contenir tous les objets que l'on pouvait retrouver dans un domaine : utilisateurs, groupes, ordinateurs, etc. La structure ressemblerait celle prsente dans la figure ci-dessous.

Fort un seul domaine


Remarque : dsormais non recommand pour la plupart des entreprises. L'implmentation d'un domaine racine ddi la fort n'est plus recommande pour la plupart des entreprises. La fort un seul domaine est la recommandation la plus courante pour la conception. Comme il n'existe pas de conception unique convenant toutes les organisations, vous devez examiner les caractristiques de votre entreprise par rapport aux critres de conception dcrits dans la suite de cette leon.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-27

Dix annes de commercialisation ont permis de mieux comprendre Active Directory et l'ancienne recommandation n'est plus d'actualit. Pour la plupart des organisations, la conception d'une fort un seul domaine est prsent recommande. Les expriences et les connaissances qui ont conduit cette modification des directives comprennent les points suivants : Comme vous le verrez dans la suite de cette leon, toute fort plusieurs domaines entrane des risques et des cots. Un domaine unique rduit les cots du matriel et de l'assistance, de mme que certains risques. Aucun outil ne permet encore une entreprise de tailler et de greffer des arborescences Active Directory. En d'autres termes, vous ne pouvez pas retirer un domaine de votre arborescence et le transplanter dans la fort d'une autre entreprise. Si cette opration tait possible, une racine ddie la fort dont vous pourriez assurer la gestion pendant le transfert des domaines vers et hors de votre fort prsenterait davantage d'intrt. Vous pouvez implmenter une scurit de privilge minimum dans un domaine unique au moins aussi scuris, voire plus, qu'une fort dote d'une racine ddie et d'un domaine enfant.

Par consquent, lorsque vous concevez votre domaine, partez de l'hypothse que votre fort comprendra un seul domaine. Fort plusieurs domaines Dans certains cas, une fort plusieurs domaines est indispensable. L'lment essentiel est de ne jamais crer de fort plusieurs domaines dans le seul but de reflter la structure organisationnelle de votre entreprise. Cette structure (les units commerciales, les divisions, les dpartements et les bureaux) voluera avec le temps. La structure logique de votre service d'annuaire ne doit pas dpendre uniquement des caractristiques de l'organisation. l'inverse, votre modle de domaines doit driver des caractristiques des domaines eux-mmes. Certaines proprits d'un domaine affectent l'ensemble des objets de ce domaine et lorsque cet effet uniforme ne rpond pas aux exigences de votre entreprise, vous devez crer des domaines supplmentaires. Un domaine se caractrise par les lments suivants : Partition de domaine unique, rplique dans tous les contrleurs de domaine : le contexte des noms de domaine contient les objets des utilisateurs, des ordinateurs, des groupes, des stratgies et des autres ressources du domaine. Il est rpliqu dans tous les contrleurs du domaine. Si la topologie de votre rseau implique un partitionnement de la rplication, vous devez crer des domaines distincts. N'oubliez cependant pas que la rplication Active Directory est extrmement efficace et peut prendre en charge de trs vastes domaines par l'intermdiaire de connexions faible bande passante.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-28

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsque des obligations lgales ou professionnelles limitent la rplication de certaines donnes dans les emplacements o vous assurez la gestion des contrleurs de domaine, vous devez soit viter de stocker ces donnes dans la partition du domaine, soit crer des domaines distincts pour isoler la rplication. Dans ce cas, vous devez galement veiller ce que le catalogue global (CG) ne rplique pas ces donnes. Les problmes juridiques et techniques lis la rplication tendant affecter le catalogue global et ventuellement d'autres magasins de donnes, les organisations concernes par ce type de problme se tournent de plus en plus vers des modles plusieurs forts. Stratgie Kerberos unique : les paramtres de stratgie Kerberos par dfaut d'AD DS suffisent pour la plupart des entreprises. Si, toutefois, vous avez besoin de stratgies Kerberos distinctes, vous aurez galement besoin de domaines distincts. Espace de noms DNS unique : un domaine Active Directory n'a qu'un seul nom de domaine DNS. Si vous avez besoin de plusieurs noms de domaine, vous aurez besoin de plusieurs domaines. Envisagez toutefois soigneusement les cots et les risques lis aux domaines multiples avant de modliser les domaines de votre service d'annuaire en fonction d'exigences de noms DNS arbitraires.

Dans les domaines qui excutent des niveaux fonctionnels de domaine infrieurs Windows Server 2008, un domaine ne peut prendre en charge qu'une seule stratgie de mot de passe et de verrouillage des comptes. De ce fait, dans les versions prcdentes de Windows, une organisation qui avait besoin de plusieurs stratgies de mot de passe avait galement besoin de plusieurs domaines pour satisfaire cette exigence. Ce n'est plus le cas sous Windows Server 2008 qui, au niveau fonctionnel de domaine Windows Server 2008, peut prendre en charge des stratgies de mot de passe affines. L'ajout de domaines dans une fort augmente les cots d'administration et de matriel. Chaque domaine doit tre pris en charge par au moins deux contrleurs de domaine, ces derniers devant tre sauvegards, scuriss et grs. Dans une entreprise gographiquement distribue, des contrleurs de domaine supplmentaires peuvent encore se rvler ncessaires pour assurer l'accs aux ressources interdomaines. Les domaines supplmentaires peuvent impliquer le dplacement d'utilisateurs entre les domaines, opration bien plus complexe que le dplacement d'utilisateurs entre les units d'organisation. Les objets de stratgie de groupe et les paramtres de contrle d'accs communs dans l'entreprise doivent tre dupliqus pour chaque domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-29

Ce ne sont l que quelques-uns des cots inhrents aux environnements plusieurs domaines. Des risques de scurit sont galement lis aux domaines multiples. La plupart de ces risques sont dus au fait qu'un domaine n'est pas une barrire de scurit : cette barrire de scurit correspond la fort. Au sein d'une fort, les administrateurs de services peuvent provoquer des dommages l'chelle de la fort. Plusieurs catgories de vulnrabilit permettent un compte d'administration compromis, ou un administrateur mal intentionn, de provoquer un dni de service ou d'endommager l'intgrit de la fort. Par exemple, tout administrateur de domaine peut crer des groupes universels, dont l'appartenance est rplique dans le catalogue global. La cration de plusieurs groupes universels et le surpeuplement de l'attribut Membre peuvent entraner une rplication excessive, donc un dni de service dans les contrleurs de domaine jouant le rle de contrleurs d'autres domaines. L'administrateur de tout domaine peut galement restaurer une sauvegarde obsolte de l'annuaire, donc corrompre la fort.

Lectures complmentaires
Pour plus d'informations sur les aspects de scurit lis la conception des domaines et des forts, consultez la rubrique Recommandations pour la dlgation de l'administration d'Active Directory l'adresse : http://go.microsoft.com/fwlink/?LinkId=168833

Important : du fait des cots et des risques lis aux domaines multiples, la conception d'une fort un seul domaine est fortement recommande. Les facteurs conduisant le plus souvent des forts plusieurs domaines sont d'importantes conditions requises en matire de rplication du contexte des noms de domaine.

Dans une fort plusieurs domaines, il peut tre judicieux de crer un domaine racine vide, ddi la fort et jouant le rle de racine d'approbation pour la fort. Les racines d'approbation sont traits dans la suite de cette leon.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-30

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Arborescences multiples N'oubliez pas qu'une arborescence est dfinie comme un espace de noms DNS contigu. Si vous avez plusieurs domaines, vous pouvez dcider s'ils partagent un espace de noms DNS contigu et composent une seule arborescence, comme dans la premire figure, ou s'ils sont placs dans un espace de noms DNS non contigu, composant ainsi plusieurs arborescences, comme dans la deuxime figure.

Forts multiples Une fort est une instance d'Active Directory. Tous les domaines et tous les contrleurs de domaine d'une fort partagent les rplicas de la configuration et du schma. Les contrleurs de domaine qui sont galement serveurs de catalogue global hbergent les jeux d'attributs partiels de tous les objets des autres domaines de la fort. Les domaines d'une fort partagent les approbations transitives bidirectionnelles. Cela signifie que tous les utilisateurs d'un domaine appartiennent l'identit spciale Utilisateurs authentifis de tous les domaines. Les groupes Administrateurs de l'entreprise, Administrateurs du schma et Administrateurs du domaine racine de la fort exercent une influence importante sur tous les objets de la fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-31

Lorsque l'une de ces caractristiques d'une fort contredit les exigences de votre entreprise, il est possible que plusieurs forts soient ncessaires. En ralit, tant donn les problmes de scurit actuels, la plupart des consultants recommandent aux organisations de concevoir une fort un seul domaine ou d'utiliser plusieurs forts. Les approbations entre forts, traites dans la suite de cette leon, et les services ADFS (Active Directory Federation Services) simplifient la gestion de l'authentification dans les entreprises plusieurs forts.

Lectures complmentaires
Pour plus d'informations sur la planification de l'architecture d'une entreprise AD DS, consultez l'article http://go.microsoft.com/fwlink/?LinkId=168826.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-32

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dplacement d'objets entre des domaines et des forts

Points cls
Dans les scnarios plusieurs domaines, vous pouvez tre amen dplacer des utilisateurs, des groupes ou des ordinateurs entre des domaines ou des forts pour assurer le fonctionnement de l'entreprise. Vous pouvez tre amen dplacer de grandes quantits d'utilisateurs, de groupes ou d'ordinateurs entre des domaines ou des forts pour implmenter des fusions et acquisitions ou restructurer votre modle de domaines. Pour chacune de ces tches, vous dplacez ou copiez les comptes d'un domaine (le domaine source) dans un autre domaine (le domaine cible). La terminologie, les concepts et les procdures de restructuration des domaines s'appliquent la migration inter-forts entre un domaine source Windows NT 4.0 ou Active Directory et un domaine cible Active Directory situ dans une fort distincte, et la migration intra-fort, c'est--dire, la restructuration ou le dplacement de comptes entre les domaines d'une mme fort.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-33

La restructuration des domaines inter-forts prserve le domaine source existant et les comptes clones (ou copies) du domaine cible. Cette mthode non destructrice permet l'entreprise de prvoir la transition ou d'effectuer une migration par phases progressives. Les oprations ne sont pas interrompues car les deux domaines sont conservs en parallle pour prendre en charge les oprations de leurs utilisateurs. Cette mthode offre galement un certain niveau d'annulation car l'environnement d'origine demeure quasiment inchang. Lorsque la migration est termine, il vous suffit de dsaffecter le domaine source en dplaant les comptes, les stations de travail et les serveurs membres restants dans le nouveau domaine et en mettant les contrleurs de domaine sources hors connexion. ce stade, vous pouvez alors redployer ces contrleurs de domaine pour les rles du nouveau domaine. Une migration intra-fort implique le dplacement des objets du domaine source vers le domaine cible sans dsaffectation du domaine source. Lorsque la migration des objets est termine, vous pouvez restructurer vos domaines pour regrouper les oprations et construire une structure de domaines et d'units d'organisation refltant plus fidlement votre modle d'administration. La plupart des organisations regroupent les diffrents domaines dans un mme domaine Active Directory. Ce regroupement peut entraner des conomies de cots et simplifier l'administration en rduisant la complexit administrative et le cot de la prise en charge de votre environnement Active Directory. Fonctionnement de l'Outil de migration Active Directory (ADMT) L'Outil de migration Active Directory version 3 (ADMT v3) peut effectuer des tches de migration d'objets et de traduction de la scurit. Vous pouvez tlcharger l'outil ADMT v3 depuis la page http://go.microsoft.com/fwlink/?LinkID=75627. Vous y trouverez galement un guide dtaill de cet outil. Vous pouvez exploiter l'outil ADMT pour faire migrer des objets entre un domaine source et un domaine cible. La migration peut s'effectuer entre les domaines d'une mme fort (migration intra-fort) ou entre les domaines de diffrentes forts (migration inter-forts). L'outil ADMT propose des Assistants qui automatisent les tches de migration, par exemple la migration des utilisateurs, des groupes, des comptes de service, des ordinateurs et des approbations, et qui effectuent une traduction de la scurit. Pour effectuer ces tches, vous pouvez utiliser la console ADMT ou la ligne de commande, qui vous permet de simplifier et d'automatiser la commande admt.exe grce des fichiers d'options dfinissant les paramtres de la tche de migration. Ensuite, l'aide d'un simple fichier texte, vous pouvez dresser la liste des objets migrer au lieu de devoir saisir chaque objet sur la ligne de commande. ADMT fournit galement des interfaces qui vous permettent de crer des scripts de tches de migration dans des langages comme VBScript (Microsoft Visual Basic Scripting Edition). Excutez la console ADMT et ouvrez la fonction d'aide en ligne pour plus d'informations sur l'utilisation de l'outil ADMT partir de la ligne de commande et sur la cration des scripts ADMT.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-34

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsque vous effectuez des tches de migration, l'outil ADMT vous permet de simuler la migration afin d'valuer les erreurs et les rsultats potentiels sans modifier le domaine cible. Les Assistants proposent l'option Tester les paramtres de migration et effectuer celle-ci ultrieurement. Vous pouvez alors configurer la tche de migration, tester ses paramtres et examiner les fichiers journaux et les rapports gnrs par l'Assistant. Aprs avoir identifi et rsolu les problmes ventuels, vous pouvez effectuer la tche de migration. Vous rpterez cette procdure de test et d'analyse des rsultats au fur et mesure que vous effectuerez la migration des utilisateurs, des groupes et des ordinateurs et que vous effectuerez des traductions de la scurit. Identificateurs de scurit et migration La non interruption de l'accs aux ressources est le principal souci lors d'une migration. Mieux encore, pour effectuer une migration, vous devez connatre les concepts d'identificateurs de scurit (SID), de jetons, de listes de contrle d'accs (ACL) et d'attribut sIDHistory. Les SID sont des valeurs uniques dans le domaine qui sont affectes aux comptes des entits de scurit (utilisateurs, groupes et ordinateurs, par exemple) lors de la cration de ces comptes. Lorsqu'un utilisateur ouvre une session, le jeton gnr comprend le SID principal de l'utilisateur et les SID des groupes auxquels cet utilisateur appartient. Le jeton reprsente donc l'utilisateur, tous les SID qui lui sont associs et ses appartenances des groupes. Les ressources sont scurises par l'intermdiaire d'un descripteur de scurit qui dcrit les autorisations, les appartenances, les droits tendus et les audits de chaque ressource. Ce descripteur de scurit comprend deux listes de contrle d'accs (ACL). La liste de contrle d'accs systme (SACL) dcrit les audits. La liste de contrle d'accs discrtionnaire (DACL) dcrit les autorisations d'accs aux ressources. Lorsqu'ils font rfrence la liste ACL, la plupart des administrateurs et des documents font en fait rfrence la liste DACL. La liste DACL rpertorie les autorisations associes aux entits de scurit. Dans cette liste, les entres de contrle d'accs individuelles (ACE) relient une autorisation spcifique au SID d'une entit de scurit. L'ACE peut tre l'autorisation Autoriser ou Refuser. Lorsqu'un utilisateur tente d'accder une ressource, le sous-systme LSA (Autorit de scurit locale) compare les SID du jeton de l'utilisateur ceux des ACE prsentes dans la liste de contrle d'accs de la ressource.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-35

Lorsque vous faites migrer des comptes vers un nouveau domaine, ils sont copis ou clons du domaine source vers le domaine cible. De nouveaux SID tant gnrs pour les comptes du domaine cible, les SID des nouveaux comptes ne correspondent pas aux SID des comptes du domaine source. Cela signifie que, mme lorsque les comptes clons ont le mme nom et de nombreuses proprits identiques, les SID tant diffrents d'un point de vue technique, ces comptes sont diffrents et n'auront pas accs aux ressources du domaine source. Deux mthodes permettent de rsoudre ce problme : l'attribut sIDHistory ou la traduction de la scurit. Attribut sIDHistory Les entreprises prfrent gnralement profiter de l'attribut sIDHistory pour restructurer efficacement leurs domaines. La casse, qui peut sembler trange, reflte celle de l'attribut dans le schma Active Directory. Une entit de scurit Active Directory (qui peut tre un utilisateur, un groupe ou un ordinateur) dispose d'un SID principal et d'un attribut sIDHistory, qui peut contenir un ou plusieurs SID galement associs au compte. Lorsqu'un compte est copi dans un domaine cible, Active Directory gnre le SID unique de l'entit dans ce domaine. L'attribut sIDHistory peut galement tre charg avec le SID du compte dans le domaine source. Lorsqu'un utilisateur ouvre une session dans un domaine Active Directory, son jeton est renseign avec le SID principal et l'attribut sIDHistory du compte utilisateur et des groupes auquel il appartient. Le sous-systme LSA utilise les SID de l'attribut sIDHistory comme les autres SID du jeton pour maintenir l'accs de l'utilisateur aux ressources du domaine source. Traduction de la scurit La traduction de la scurit est le processus qui consiste examiner le descripteur de scurit de chaque ressource, y compris ses listes de contrle d'accs, identifier chaque SID faisant rfrence un compte du domaine source et remplacer ce SID par celui du compte dans le domaine cible. Le processus de rassociation des listes de contrle d'accs (et des autres lments du descripteur de scurit) aux comptes migrs dans le domaine cible est galement appel rgnration des listes de contrle d'accs. Comme vous pouvez l'imaginer, la traduction de la scurit ou la rgnration des listes de contrle d'accs serait un processus laborieux s'il tait manuel, mme dans l'environnement le plus simple. Les outils de migration tels qu'ADMT automatisent la traduction de la scurit. L'outil ADMT peut traduire les descripteurs de scurit et les stratgies des ressources du domaine source pour faire rfrence aux comptes correspondants dans le domaine cible. De faon plus spcifique, l'outil ADMT peut traduire les lments suivants : Autorisations des fichiers et des dossiers Autorisations des imprimantes Autorisations de partage

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-36

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Autorisations du Registre Droits des utilisateurs Profils locaux, ce qui implique la modification des autorisations des fichiers, des dossiers et du Registre Appartenances aux groupes

Dans la plupart des projets de restructuration et de migration de domaines, l'attribut sIDHistory permet de maintenir l'accs et les fonctionnalits pendant la migration. La traduction de la scurit est ensuite effectue.

Lectures complmentaires
Pour plus d'informations sur la migration de domaines, les SID et leur historique, consultez la rubrique Guide de migration des domaines (ventuellement en anglais) l'adresse : http://go.microsoft.com/fwlink /?LinkId=168829

Appartenances aux groupes Le dernier problme li l'accs aux ressources est l'appartenance aux groupes. Les groupes globaux peuvent uniquement contenir des membres issus du mme domaine. Par consquent, lorsque vous clonez un utilisateur dans le domaine cible, le nouveau compte d'utilisateur ne peut pas tre membre des groupes globaux du domaine source auxquels le compte source appartenait. Pour rsoudre ce problme dans le cas d'une migration inter-forts, commencez par faire migrer les groupes globaux vers le domaine cible. Ces groupes globaux conserveront les SID des groupes sources dans leurs attributs sIDHistory. L'accs aux ressources est ainsi prserv. Passez ensuite la migration des utilisateurs. Lors de la migration des utilisateurs, l'outil ADMT value l'appartenance du compte source et ajoute le nouveau compte au mme groupe dans le domaine cible. Si le groupe n'existe pas encore dans le domaine cible, l'outil ADMT peut le crer automatiquement. Pour finir, le compte d'utilisateur du domaine cible appartiendra aux groupes globaux du domaine cible. L'utilisateur et ses groupes contiendront les SID des comptes sources dans leurs attributs sIDHistory. L'utilisateur pourra donc accder aux ressources du domaine source pour lesquelles des autorisations auront t accordes aux comptes sources.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-37

Dans le cas d'une migration intra-fort, le processus est diffrent. Un groupe global est cr en tant que groupe universel dans le domaine cible et peut ainsi contenir les utilisateurs des domaines source et cible. Le nouveau groupe obtient un nouveau SID, mais son attribut sIDHistory est renseign par le SID du groupe global du domaine source, l'accs aux ressources du nouveau groupe tant ainsi prserv. Ds que tous les utilisateurs ont t migrs du domaine source vers le domaine cible, l'tendue du groupe redevient globale. Autres problmes de migration Lorsque vous planifiez et excutez la migration d'objets entre des domaines et des forts, vous devez rsoudre un certain nombre de problmes. Chacun de ces problmes est dtaill dans le guide de l'utilisateur de l'outil ADMT, disponible depuis la page de tlchargement d'ADMT mentionne prcdemment. Les problmes les plus importants sont notamment les suivants : Migration des mots de passe : l'outil ADMT assure la migration des mots de passe utilisateur. Il ne peut cependant pas vrifier que ces mots de passe respectent les stratgies du domaine cible quant leur longueur et leur complexit. La migration des mots de passe non vides est effectue quelle que soit la stratgie de mots de passe du domaine cible, et les utilisateurs peuvent se connecter avec ces mots de passe jusqu' leur expiration, date laquelle un nouveau mot de passe conforme doit tre cr. Si le verrouillage de l'environnement au moment de la migration vous pose un problme, ce processus peut ne pas vous convenir. Vous prfreriez sans doute que l'outil ADMT configure des mots de passe complexes ou scripte un mot de passe initial et oblige l'utilisateur le modifier ds sa premire ouverture de session. Comptes de service : les services des ordinateurs du domaine peuvent utiliser des comptes d'utilisateur bass sur le domaine pour l'authentification. Lors de la migration de ces comptes dans le domaine cible, la nouvelle identit des comptes de service doit tre mise jour. L'outil ADMT automatise ce processus. Objets dont la migration est impossible : la migration transparente de certains objets n'est pas possible. L'outil ADMT ne peut pas effectuer la migration des groupes intgrs, tels que Administrateurs du domaine ou Administrateurs locaux du domaine. Les instructions du guide de l'utilisateur permettent de contourner cette limite.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-38

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Fonctionnement des relations d'approbation

Points cls
Ds que vous implmentez un scnario impliquant plusieurs domaines AD DS, l'utilisation de relations d'approbation ou d'approbations est probable. Il est donc important que vous compreniez l'objectif, les fonctionnalits et la configuration des relations d'approbation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-39

Relations d'approbation au sein d'un domaine Au cours du Module 1, vous avez vu ce qui arrive lorsqu'un serveur ou une station de travail membre d'un domaine rejoint un domaine. Tout en tant dans un groupe de travail, l'ordinateur conserve un magasin d'identits dans la base de donnes du gestionnaire de comptes de scurit (SAM), authentifie les utilisateurs par rapport ce magasin d'identits et scurise les ressources du systme en utilisant uniquement les identits issues de cette base de donnes SAM. Lorsque l'ordinateur rejoint un domaine, il tablit une relation d'approbation avec ce dernier. L'effet de cette approbation est que l'ordinateur autorise l'authentification des utilisateurs, non plus par le systme local et son magasin d'identits local, mais par les services d'authentification et le magasin d'identits du domaine : AD DS. Le membre du domaine autorise galement la scurisation des ressources du systme par les identits du domaine. Par exemple, le groupe Utilisateurs du domaine est ajout au groupe Utilisateurs local, ce qui lui permet de se connecter localement au systme. De mme, les comptes d'utilisateur et de groupe du domaine peuvent tre ajouts dans des listes de contrle d'accs pour des fichiers, des dossiers, des cls de Registre et des imprimantes du systme. Les mmes relations d'approbation sont tablies entre tous les membres du domaine et le domaine, ce qui fait de ce dernier un magasin central des identits et un service centralis assurant l'authentification. Relations d'approbation entre domaines Sur cette base, vous pouvez tendre le concept de relations d'approbation d'autres domaines. Une relation d'approbation entre deux domaines permet un domaine d'approuver le service d'authentification et le magasin d'identits d'un autre domaine et d'utiliser ces identits pour scuriser les ressources. Une relation d'approbation tablit en effet un lien logique entre les domaines et autorise l'authentification directe. Chaque relation d'approbation comprend deux domaines : le domaine autoris approuver et le domaine approuv. Le domaine approuv dtient le magasin d'identits et assure l'authentification des utilisateurs dans ce magasin d'identits. Lorsqu'un utilisateur de l'annuaire du domaine approuv ouvre une session ou se connecte un systme du domaine autoris approuver, ce dernier ne peut pas l'authentifier car il n'est pas dans son magasin. Il confie donc l'authentification un contrleur de domaine du domaine approuv. Le domaine autoris approuver autorise par consquent le domaine approuv authentifier l'identit de l'utilisateur. Le domaine autoris approuver tend l'approbation aux services d'authentification et au magasin d'identits du domaine approuv.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-40

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Comme le domaine autoris approuver approuve les identits du domaine approuv, il peut utiliser les identits approuves pour accorder l'accs aux ressources. Les utilisateurs d'un domaine approuv peuvent se voir accorder des droits d'utilisateur, par exemple le droit d'ouvrir une session sur les stations de travail du domaine autoris approuver. Des utilisateurs ou des groupes globaux du domaine approuv peuvent tre ajouts dans les groupes locaux du domaine autoris approuver. Des utilisateurs ou des groupes globaux du domaine approuv peuvent se voir accorder des autorisations sur des dossiers partags via l'ajout des identits dans les listes de contrle d'accs du domaine autoris approuver. La terminologie peut sembler confuse et il est souvent plus facile de comprendre les relations d'approbation en prenant un exemple concret. Le diagramme suivant prsente une relation d'approbation simple. Le Domaine A approuve le Domaine B. Le Domaine A est donc le domaine autoris approuver et le Domaine B, le domaine approuv. Lorsqu'un utilisateur du Domaine B se connecte ou ouvre une session sur un ordinateur du Domaine A, ce dernier transmet la demande d'authentification un contrleur de domaine du Domaine B. Le Domaine A peut galement utiliser des identits du Domaine B (les utilisateurs et les groupes, par exemple) pour accorder des droits utilisateur et un accs aux ressources du Domaine A. Un utilisateur ou un groupe du Domaine B peut donc tre ajout dans une liste de contrle d'accs un dossier partag du Domaine A. Un utilisateur ou un groupe du Domaine B peut galement tre ajout dans un groupe local du Domaine A.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-41

Caractristiques des relations d'approbation

Points cls
Les relations d'approbation entre domaines peuvent tre reprsentes par trois attributs de l'approbation : la direction, la transitivit et l'approbation automatique ou manuelle. Direction Une relation d'approbation peut tre unidirectionnelle ou bidirectionnelle. Dans une approbation unidirectionnelle, telle que celle illustre ci-dessus, les utilisateurs du domaine approuv peuvent tre autoriss accder aux ressources du domaine autoris approuver. Cependant, les utilisateurs du domaine autoris approuver ne peuvent pas tre autoriss accder aux ressources du domaine approuv. Dans la plupart des cas, vous pouvez crer une seconde approbation unidirectionnelle de direction oppose pour rsoudre ce problme. Vous pouvez par exemple crer une seconde relation d'approbation dans laquelle le Domaine B approuve le Domaine A. Certaines relations d'approbation sont bidirectionnelles par nature. Dans une approbation bidirectionnelle, les deux domaines approuvent les identits et les services d'authentification de l'autre domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-42

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Transitivit Certaines approbations ne sont pas transitives, d'autres le sont. Dans la figure prcdente, le Domaine A approuve le Domaine B et le Domaine B approuve le Domaine C. Si les approbations sont transitives, alors le Domaine A approuve le Domaine C. Si elles ne sont pas transitives, le Domaine A n'approuve pas le Domaine C. Dans la plupart des cas, vous pouvez crer une troisime relation d'approbation spcifiant que le Domaine A approuve le Domaine C. Les approbations transitives rendent inutile cette troisime approbation, car elle est implicite. Approbation automatique ou manuelle Certaines approbations sont cres automatiquement. D'autres doivent tre cres manuellement.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-43

Fonctionnement des approbations dans une fort

Points cls
Dans une fort, tous les domaines s'approuvent mutuellement. Cela est d au fait que le domaine racine de chaque arborescence d'une fort approuve le domaine racine de la fort (premier domaine install dans cette fort) et que chaque domaine enfant approuve son domaine parent. Les approbations cres automatiquement ne doivent jamais tre supprimes et elles sont transitives et bidirectionnelles. Ainsi, un domaine approuve les magasins d'identits et les services d'authentification de tous les autres domaines de sa fort. Les utilisateurs et les groupes globaux de n'importe quel domaine de la fort peuvent tre ajouts aux groupes locaux du domaine, peuvent se voir accorder des droits d'utilisateurs et peuvent tre ajouts dans les listes de contrle d'accs aux ressources de n'importe quel autre domaine de la fort. Les approbations d'autres forts et des domaines situs hors de la fort doivent tre tablies manuellement. Ce rsum tant fait, vous pouvez examiner les dtails des approbations au sein et hors d'une fort Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-44

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Protocoles d'authentification Sous Windows Server 2008, Active Directory authentifie les utilisateurs par l'un des deux protocoles possibles : Kerberos version 5 (v5) ou NTLM. Le protocole Kerberos v5 est utilis par dfaut par les ordinateurs fonctionnant sous Windows Server 2008, Windows Vista, Windows Server 2003, Windows XP et Windows 2000 Server. Lorsqu'un ordinateur impliqu dans une transaction d'authentification ne prend pas en charge le protocole Kerberos v5, le protocole NTLM le remplace. L'authentification NTLM peut tre dsactive par les stratgies de groupe. Authentification Kerberos dans un domaine Lorsqu'un utilisateur ouvre une session sur un client excutant Kerberos v5, la demande d'authentification est transmise un contrleur de domaine. Chaque contrleur de domaine Active Directory joue le rle de Centre de distribution de cls (KDC), composant central de Kerberos. Une fois l'identit de l'utilisateur valide, le centre KDC du contrleur de domaine remet l'utilisateur authentifi ce que l'on appelle un ticket TGT (ticket-granting ticket). Lorsque l'utilisateur doit accder aux ressources d'un ordinateur du mme domaine, il doit d'abord obtenir un ticket de session valide pour cet ordinateur. Les tickets de session tant fournis par le centre KDC d'un contrleur de domaine, l'utilisateur s'adresse un contrleur de domaine pour lui demander un ticket de session. L'utilisateur prsente le ticket TGT comme preuve de son authentification pralable. Le centre KDC peut ainsi rpondre la demande de ticket de session de l'utilisateur sans authentifier nouveau son identit. La demande de ticket de session de l'utilisateur spcifie l'ordinateur et le service auxquels cet utilisateur souhaite accder. Le centre KDC s'aperoit que le service est dans le mme domaine grce au nom principal de service (SPN) du serveur l'origine de la demande. Le centre KDC remet alors l'utilisateur un ticket de session pour ce service. L'utilisateur se connecte ensuite au service et prsente son ticket de session. Le serveur peut ainsi vrifier que le ticket est valide et que l'utilisateur a t authentifi par le domaine. L'opration passe par des cls prives, un sujet qui dpasse la porte de cette leon. Le serveur n'a donc pas besoin d'authentifier l'utilisateur. Il accepte l'authentification et l'identit fournies par le domaine avec lequel l'ordinateur a tabli une relation d'approbation. Toutes ces transactions Kerberos sont gres par les clients et les serveurs Windows et sont transparentes pour les utilisateurs.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-45

Authentification Kerberos entre les domaines d'une fort Chaque domaine enfant d'une fort approuve son domaine parent par une approbation transitive, bidirectionnelle et automatique appele approbation parent-enfant. Le domaine racine de chaque arborescence d'un domaine approuve le domaine racine de la fort par une approbation transitive, bidirectionnelle et automatique appele approbation arborescence-racine. Ces relations d'approbation crent ce que l'on appelle le chemin d'approbation ou flux d'approbation d'une fort. Le chemin d'approbation est facile comprendre lorsqu'on regarde un diagramme, illustr ci-aprs. La fort comprend deux arborescences, l'arborescence tailspintoys.com et l'arborescence wingtiptoys.com. Le domaine tailspintoys.com est le domaine racine de la fort. L'illustration indique que le domaine racine de l'arborescence wingtiptoys.com approuve le domaine tailspintoys.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-46

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

L'authentification Kerberos utilise le chemin d'approbation pour remettre l'utilisateur d'un domaine un ticket de session pour un service d'un autre domaine. Lorsqu'un utilisateur du domaine usa.wingtiptoys.com demande accder un dossier partag d'un serveur du domaine europe.tailspintoys.com, les transactions suivantes surviennent : 1. L'utilisateur ouvre une session sur un ordinateur du domaine usa.wingtiptoys.com et est authentifi par un contrleur du domaine usa.wingtiptoys.com, via le processus d'authentification dcrit la section prcdente. L'utilisateur obtient un ticket TGT pour le contrleur de domaine de usa.wingtiptoys.com. L'utilisateur souhaite se connecter un dossier partag d'un serveur de europe.tailspintoys.com. 2. L'utilisateur contacte le centre KDC d'un contrleur de domaine de usa.wingtiptoys.com pour demander un ticket de session pour le serveur de europe.tailspintoys.com. Par le nom principal de service (SPN), le contrleur de domaine de usa.wingtiptoys.com s'aperoit que le service dsir rside dans europe.tailspintoys.com et non pas dans le domaine local. Le travail du centre KDC consiste donc jouer le rle d'intermdiaire approuv entre un client et un service. Lorsque le centre KDC ne peut pas fournir de ticket de session pour le service car ce dernier est dans un domaine approuv et non dans le domaine local, il fournit une rfrence au client pour l'aider obtenir le ticket de session demand. Pour connatre la prochaine tape, le centre KDC utilise un algorithme simple. Si le domaine du centre KDC est approuv directement par le domaine du service, le centre KDC remet au client une rfrence pour un contrleur du domaine du service. Si ce n'est pas le cas, mais qu'une approbation transitive existe entre le centre KDC et le domaine du service, le centre KDC remet au client une rfrence pour le prochain domaine dans le chemin d'approbation. 4. Le domaine usa.wingtiptoys.com n'est pas approuv directement par europe.tailspintoys.com, mais une approbation transitive existe entre les deux domaines. Le centre KDC du domaine usa.wingtiptoys.com remet donc au client une rfrence pour un contrleur du prochain domaine dans le chemin d'approbation, wingtiptoys.com. Le client contacte le centre KDC du domaine de rfrence, wingtiptoys.com.

3.

5.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-47

6.

De nouveau, le centre KDC s'aperoit que le service n'est pas dans le domaine local et que le domaine europe.tailspintoys.com n'approuve pas directement wingtiptoys.com. Il renvoie donc une rfrence un contrleur du prochain domaine dans le chemin d'approbation, tailspintoys.com. Le client contacte le centre KDC du domaine de rfrence, tailspintoys.com. Le centre KDC s'aperoit que le service n'est pas dans le domaine local et que le domaine europe.tailspintoys.com approuve directement le domaine tailspintoys.com. Il renvoie donc une rfrence un contrleur du domaine europe.tailspintoys.com. Le client contacte le centre KDC du domaine de rfrence, europe.tailspintoys.com.

7. 8.

9.

10. Le centre KDC du domaine europe.tailspintoys.com renvoie au client un ticket de session pour le service. 11. Le client contacte le serveur et fournit son ticket de session. Le serveur fournit un accs au dossier partag sur la base des autorisations attribues l'utilisateur et aux groupes auxquels il appartient. Ce processus semble compliqu mais n'oubliez pas qu'il reste entirement transparent pour l'utilisateur. Le processus inverse se produit lorsqu'un utilisateur du domaine usa.wingtiptoys.com ouvre une session sur un ordinateur du domaine europe.tailspintoys.com. La demande d'authentification initiale doit traverser le chemin d'approbation pour atteindre un centre KDC du domaine usa.wingtiptoys.com avant que l'utilisateur ne soit authentifi. Il n'est pas ncessaire de matriser l'ensemble des dtails de l'authentification Kerberos entre les domaines d'une fort pour l'examen 70-640. Cependant, comprendre le fonctionnement de base d'une authentification inter-domaines dans une fort et savoir que cette authentification suit un chemin d'approbation, vous aidera dans votre travail.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-48

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dmonstration : Cration d'une approbation

Points cls
La procdure de cration d'une approbation est similaire quelles que soient les catgories d'approbation. Pour pouvoir crer une approbation, vous devez tre membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise. Pour crer une relation d'approbation : 1. 2. Ouvrez le composant logiciel enfichable Domaines et approbations Active Directory. Cliquez du bouton droit sur le domaine qui participera l'un des cts de la relation d'approbation et choisissez Proprits. Vous devez excuter Domaines et approbations Active Directory avec un compte autoris crer des approbations dans ce domaine. 3. Ouvrez l'onglet Approbations.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-49

4.

Cliquez sur le bouton Nouvelle approbation. L'Assistant Nouvelle approbation vous guide tout au long de la cration de l'approbation.

5. 6.

Dans la page Nom d'approbation, entrez le nom DNS de l'autre domaine de la relation d'approbation, puis cliquez sur Suivant. Si le domaine saisi n'appartient pas la mme fort, vous tes invit choisir un type d'approbation parmi les suivants : Fort Externe Domaine Kerberos

Si le domaine est dans la mme fort, l'Assistant sait qu'il s'agit d'un raccourci d'approbation. 7. Si vous crez une approbation de domaine Kerberos, le systme vous demande de prciser si l'approbation est transitive ou non. (Les approbations de domaine Kerberos sont traites dans la suite de cette leon.) Dans la page Direction de l'approbation, slectionnez l'un des lments suivants : Bidirectionnelle : cette option tablit une approbation bidirectionnelle entre les domaines. Unidirectionnelle : entrante : cette option tablit une approbation unidirectionnelle dans laquelle le domaine slectionn l'tape 2 est le domaine approuv et le domaine saisi l'tape 5, le domaine autoris approuver. Unidirectionnelle : sortante : cette option tablit une approbation unidirectionnelle dans laquelle le domaine slectionn l'tape 2 est le domaine autoris approuver et le domaine saisi l'tape 5, le domaine approuv.

8.

9.

Cliquez sur Suivant. Ce domaine et le domaine spcifi : cette option tablit les deux cts de l'approbation. Vous devez pour cela tre autoris crer des approbations dans les deux domaines. Ce domaine uniquement : cette option cre la relation d'approbation dans le domaine slectionn l'tape 2. Un administrateur autoris crer des approbations dans l'autre domaine doit recommencer ce processus pour complter la relation d'approbation.

10. Dans la page Sens de l'approbation, slectionnez l'un des lments suivants :

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-50

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Les tapes suivantes dpendent des options slectionnes aux tapes 8 et 10. Elles concerneront l'un des lments suivants : Si vous avez slectionn Ce domaine et le domaine spcifi, vous devez saisir un nom d'utilisateur et un mot de passe autoriss crer l'approbation dans le domaine spcifi l'tape 5. Si vous avez slectionn Ce domaine uniquement, vous devez saisir un mot de passe d'approbation. Le mot de passe d'approbation est saisi par les administrateurs de chaque ct d'une approbation pour tablir cette dernire. Ces mots de passe ne doivent pas tre ceux des comptes d'utilisateur des administrateurs. Il doit s'agir d'un mot de passe unique, rserv la cration de cette approbation. Les mots de passe sont utiliss pour tablir l'approbation et les domaines les changent ensuite immdiatement.

11. Si l'approbation est sortante, vous tes invit choisir l'un des lments suivants : Authentification slective Authentification l'chelle du domaine ou Authentification l'chelle de la fort, selon que le type d'approbation est une approbation externe ou une approbation de fort, respectivement.

12. L'Assistant Nouvelle approbation rcapitule vos slections dans la page Fin des slections de l'approbation. Cliquez sur Suivant. L'Assistant cre l'approbation. 13. La page Fin de la cration de l'approbation s'affiche. Vrifiez les paramtres, puis cliquez sur Suivant. Vous aurez ensuite la possibilit de confirmer l'approbation. Cette option est trs utile si vous avez cr les deux cts de l'approbation ou si vous terminez le second ct d'une approbation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-51

Si vous avez slectionn l'option Ce domaine et le domaine spcifi l'tape 8, la procdure est termine. Si vous avez slectionn l'option Ce domaine uniquement l'tape 8, la relation d'approbation ne sera pas complte tant qu'un administrateur de l'autre domaine n'aura pas termin la procdure : Si la relation d'approbation que vous avez tablie est sortante et unidirectionnelle, un administrateur de l'autre domaine doit crer une approbation entrante unidirectionnelle. Si la relation d'approbation que vous avez tablie est entrante et unidirectionnelle, un administrateur de l'autre domaine doit crer une approbation sortante unidirectionnelle. Si la relation d'approbation que vous avez tablie est bidirectionnelle, un administrateur de l'autre domaine doit crer une approbation bidirectionnelle.

Lectures complmentaires
Les procdures dtailles de cration de chaque type d'approbations sont disponibles l'adresse : http://go.microsoft.com/fwlink/?LinkId=168830

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-52

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Raccourcis d'approbation

Points cls
Quatre types d'approbations peuvent tre crs manuellement : Raccourcis d'approbation Approbations externes Approbations de domaine Kerberos Approbations de fort

Chacun de ces types d'approbations est dtaill dans les sections suivantes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-53

Raccourcis d'approbation Dans une section prcdente, une procdure en 11 tapes permettait d'accorder un ticket de session un client pour accder une ressource d'un autre domaine de la fort. La plupart de ces tapes impliquaient des rfrences des domaines situs sur le chemin d'approbation entre le domaine de l'utilisateur et celui du dossier partag. Lorsqu'un utilisateur d'un domaine ouvre une session sur un ordinateur d'un autre domaine, la demande d'authentification doit galement traverser ce chemin d'approbation. Cette opration peut affecter les performances et, lorsque aucun contrleur de domaine n'est disponible dans les domaines du chemin d'approbation, le client ne peut pas s'authentifier ni accder au service. Les raccourcis d'approbation sont conus pour rsoudre ces problmes en crant directement une relation d'approbation entre les domaines enfants du chemin d'approbation de la fort. Les raccourcis d'approbation optimisent les demandes d'authentification et de ticket de session entre les domaines d'une fort plusieurs domaines. En liminant le chemin d'approbation, ils liminent galement le temps ncessaire pour traverser ce chemin et peuvent donc considrablement amliorer les performances des demandes de ticket de session. Un raccourci d'approbation peut tre unidirectionnel ou bidirectionnel. Dans les deux cas, l'approbation est transitive. Dans l'illustration suivante, l'existence d'un raccourci d'approbation unidirectionnel implique que le domaine wingtiptoys.com approuve le domaine europe.tailspintoys.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-54

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Lorsqu'un utilisateur du domaine europe.tailspintoys.com ouvre une session sur un ordinateur du domaine wingtiptoys.com ou demande une ressource du domaine wingtiptoys.com, la demande peut faire directement rfrence un contrleur du domaine approuv, asia.wingitiptoys.com. Toutefois, l'inverse n'est pas vrai. Lorsqu'un utilisateur du domaine wingtiptoys.com ouvre une session sur un ordinateur du domaine europe.tailspintoys.com, la demande d'authentification remonte le chemin d'approbation jusqu'au domaine tailspintoys.com et redescend jusqu'au domaine wingtiptoys.com. Un raccourci d'approbation bidirectionnel est illustr entre les domaines usa.wingtiptoys.com et europe.tailspintoys.com. Les utilisateurs des deux domaines peuvent tre authentifis par les ordinateurs de l'autre domaine ou leur demander leurs ressources. Le chemin du raccourci d'approbation est alors utilis.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-55

Approbations externes et approbations de domaine Kerberos

Points cls
Approbations externes Pour travailler avec un domaine qui n'appartient pas votre fort, la cration d'une approbation externe peut tre ncessaire. Une approbation externe tablit une relation d'approbation entre un domaine de votre fort et un domaine Windows qui n'appartient pas votre fort. L'illustration en propose quelques exemples.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-56

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Vous pouvez voir qu'une approbation unidirectionnelle relie le domaine sales.worldwideimporters.com et le domaine europe.tailspintoys.com. Le domaine Europe approuvant le domaine Sales, les utilisateurs de ce dernier peuvent ouvrir une session sur les ordinateurs du domaine Europe ou accder ses ressources. L'illustration montre qu'une approbation bidirectionnelle relie le domaine worldwideimporters.com et le domaine asia.tailspintoys.com. Les utilisateurs de chaque domaine peuvent se voir accorder un accs aux ressources de l'autre domaine. D'un point de vue technique, toutes les approbations externes sont non transitives et unidirectionnelles. Lorsque vous crez une approbation externe bidirectionnelle, vous crez en fait deux approbations unidirectionnelles, une dans chaque sens. Lorsque vous crez une approbation externe sortante, Active Directory cre un objet entit de scurit externe pour chaque entit de scurit du domaine approuv. Ces utilisateurs, groupes et ordinateurs peuvent alors tre ajouts dans les groupes locaux ou les listes de contrle d'accs aux ressources du domaine autoris approuver. Pour renforcer la scurit d'une relation d'approbation externe, vous pouvez slectionner l'option Authentification slective dans la page Niveau d'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. De plus, la quarantaine de domaine, galement appele filtrage des SID, est active par dfaut dans toutes les approbations externes. Approbations de domaine Kerberos Lorsqu'une interoprabilit interplateformes est ncessaire avec des services de scurit bass sur d'autres implmentations Kerberos v5, vous pouvez tablir une approbation de domaine Kerberos entre votre domaine et un domaine UNIX Kerberos v5. Les approbations de domaine Kerberos sont unidirectionnelles, mais vous pouvez tablir des approbations unidirectionnelles dans chaque sens pour crer une approbation bidirectionnelle. Par dfaut, les approbations de domaine Kerberos sont non transitives, mais elles peuvent tre rendues transitives.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-57

Lorsqu'un domaine Kerberos v5 non Windows approuve votre domaine, le domaine Kerberos approuve toutes les entits de scurit de votre domaine. Si votre domaine approuve un domaine Kerberos v5 non Windows, les utilisateurs de ce dernier peuvent obtenir un accs aux ressources de votre domaine, mais ce processus est indirect. Lorsque les utilisateurs sont authentifis par un domaine Kerberos non Windows, les tickets Kerberos ne contiennent pas toutes les donnes d'autorisation ncessaires pour Windows. Un systme de mappage des comptes est donc utilis. Des entits de scurit sont cres dans le domaine Windows et mappes avec une identit Kerberos externe du domaine Kerberos non Windows approuv. Le domaine Windows n'utilise ces comptes proxy que pour valuer l'accs aux objets du domaine prsentant des descripteurs de scurit. Tous les comptes proxy Windows peuvent tre utiliss dans des groupes et dans des listes de contrle d'accs pour contrler l'accs au nom de l'entit de scurit non Windows. Les mappages de comptes sont grs par l'intermdiaire du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-58

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Approbations de fort

Points cls
Lorsqu'une collaboration entre deux entreprises reprsentes par deux forts distinctes est ncessaire, vous pouvez envisager d'implmenter une approbation de fort. Une approbation de fort est une relation d'approbation transitive unidirectionnelle ou bidirectionnelle entre les domaines racines de fort de deux forts. L'illustration prsente un exemple d'approbation de fort entre les forts tailspintoys.com et worldwideimporters.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-59

Une seule relation d'approbation de fort autorise l'authentification d'un utilisateur de n'importe quel domaine par n'importe quel autre domaine de l'une ou l'autre des forts, en supposant que l'approbation de fort soit bidirectionnelle. Si l'approbation de fort est unidirectionnelle, tout utilisateur d'un domaine (quel qu'il soit) de la fort approuve peut tre authentifi par les ordinateurs de la fort autorise approuver. Les approbations de fort sont bien plus faciles tablir, grer et administrer que des relations d'approbation distinctes entre chacun des domaines des forts. Les approbations de fort se rvlent particulirement utiles dans les scnarios impliquant une collaboration entre deux entreprises ou des fusions et acquisitions, ou au sein d'une mme organisation disposant de plusieurs forts pour isoler les services et les donnes Active Directory. Lorsque vous tablissez une relation d'approbation de fort, la quarantaine de domaine, galement appele filtrage des SID, est active par dfaut. La quarantaine de domaine est dtaille dans la section du mme nom. Vous pouvez prciser si l'approbation de fort est unidirectionnelle, entrante ou sortante, ou bidirectionnelle. Comme nous l'avons dj dit, toute approbation de fort est transitive, c'est--dire que tous les domaines d'une fort autorise approuver peuvent approuver tous les domaines d'une fort approuve. Toutefois, les approbations de fort ne sont pas elles-mmes transitives. Par exemple, si la fort tailspintoys.com approuve la fort worldwideimporters.com et que la fort worldwideimporters.com approuve la fort northwindtraders.com, ces deux relations d'approbation ne permettent pas la fort tailspintoys.com d'approuver la fort northwindtraders.com. Pour que ces deux forts s'approuvent mutuellement, vous devez crer une approbation de fort spcifique entre elles. Pour qu'une approbation de fort puisse tre implmente, plusieurs exigences doivent tre satisfaites. Le niveau fonctionnel de la fort doit tre Windows Server 2003 ou suprieur. Vous devez galement disposer d'une infrastructure DNS spcifique.

Lectures complmentaires
Pour plus d'informations sur les conditions DNS requises pour une approbation de fort, consultez la page http://go.microsoft.com/fwlink/?LinkId=168831.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-60

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Administration des relations d'approbation

Points cls
Lorsque le fonctionnement d'une relation d'approbation vous inquite, vous pouvez valider la relation d'approbation entre deux domaines Windows quelconques. Vous ne pouvez cependant pas valider une relation d'approbation tablie avec un domaine Kerberos v5. Pour valider une relation d'approbation, procdez comme suit : 1. 2. 3. 4. 5. 6. Ouvrez Domaines et approbations Active Directory. Dans l'arborescence de la console, cliquez du bouton droit sur le domaine contenant l'approbation valider et choisissez Proprits. Ouvrez l'onglet Approbations. Slectionnez l'approbation valider. Cliquez sur Proprits. Cliquez sur Valider.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-61

7.

Choisissez l'une des oprations suivantes, puis cliquez sur OK : Cliquez sur Oui, valider l'approbation entrante. Entrez les informations d'identification d'un compte membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine rciproque. Cliquez sur Non, ne pas valider l'approbation entrante. Il est recommand de rpter cette procdure pour le domaine rciproque.

La commande suivante permet galement de vrifier une approbation depuis l'invite de commande :
netdom trust NomDomaineAutorisApprouver /domain:NomDomaineApprouv /verify

Il peut galement tre ncessaire de supprimer une approbation cre manuellement. Pour ce faire, procdez comme suit : 1. 2. 3. 4. 5. 6. Ouvrez Domaines et approbations Active Directory. Dans l'arborescence de la console, cliquez du bouton droit sur le domaine contenant l'approbation valider et choisissez Proprits. Ouvrez l'onglet Approbations. Slectionnez l'approbation supprimer. Cliquez sur Supprimer. Choisissez l'une des oprations suivantes, puis cliquez sur OK : Cliquez sur Oui, supprimer l'approbation du domaine local et de l'autre domaine. Entrez les informations d'identification d'un compte membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine rciproque. Cliquez sur Non, supprimer l'approbation du domaine local uniquement. Il est recommand de rpter cette procdure pour le domaine rciproque.

Pour supprimer une approbation cre manuellement depuis l'invite de commande, servez-vous de la commande netdom.exe avec la syntaxe suivante :
netdom trust NomDomaineAutorisApprouver /domain:NomDomaineApprouv /remove [/force] /UserD:User /PasswordD:*

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-62

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Le paramtre UserD est un utilisateur dont le compte est membre du groupe Administrateurs du domaine ou Administrateurs de l'entreprise du domaine approuv. Le paramtre PasswordD:* oblige netdom.exe vous demander le mot de passe du compte. Le commutateur /force est obligatoire pour la suppression d'une approbation de domaine Kerberos.
Remarque : le gestionnaire de domaine Windows, la commande netdom.exe et d'autres outils de ligne de commande peuvent tre utiliss pour grer et tester les relations d'approbation. Voir : http://go.microsoft.com/fwlink/?LinkId=168832 pour plus d'informations sur ces commandes.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-63

Quarantaine de domaine

Points cls
Par dfaut, la quarantaine de domaine, galement appel filtrage des SID, est active dans toutes les approbations externes et de fort. Lorsqu'un utilisateur est authentifi dans un domaine approuv, il prsente des donnes d'autorisation comprenant les SID de son compte dans les groupes auxquels il appartient. Les donnes d'autorisation de l'utilisateur comprennent galement les identificateurs de scurit issus des autres attributs de l'utilisateur et de ses groupes. Certains des SID prsents par l'utilisateur depuis le domaine approuv peuvent ne pas avoir t crs dans le domaine approuv. Par exemple, si l'utilisateur a t migr d'un domaine vers un autre, un nouveau SID est attribu au compte migr. Le compte migr perd de ce fait l'accs aux ressources pour lesquelles des autorisations ont t attribues au SID de l'ancien compte de l'utilisateur. Pour que l'utilisateur puisse continuer accder ces ressources, l'administrateur qui effectue la migration peut spcifier que l'attribut sIDHistory du compte migr de l'utilisateur doit comprendre le SID de l'ancien compte. Lorsque l'utilisateur tente de se connecter la ressource, le SID original de l'attribut sIDHistory se voit accorder l'accs.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-64

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Dans un scnario de domaine approuv, un administrateur peu scrupuleux peut ventuellement utiliser des informations d'identification d'administration dans ce domaine approuv pour charger, dans l'attribut sIDHistory d'un utilisateur, des SID identiques ceux des comptes avec privilges dans votre domaine. Cet utilisateur disposerait alors d'un niveau d'accs inappropri aux ressources de votre domaine. La quarantaine de domaine rsout ce problme en autorisant le domaine autoris approuver filtrer les SID du domaine approuv qui ne correspondent pas aux SID principaux des entits de scurit. Le SID du domaine d'origine tant inclus dans chaque SID, lorsqu'un utilisateur d'un domaine approuv prsente la liste de ses SID et ceux de ses groupes, le filtrage des SID demande au domaine autoris approuver d'ignorer tous les SID qui ne comprennent pas le SID du domaine approuv. La quarantaine de domaine est active par dfaut pour toutes les approbations sortantes visant des domaines et des forts externes. Ne dsactivez la quarantaine de domaine que lorsque au moins l'une des conditions suivantes est vraie : Vous faites entirement confiance aux administrateurs du domaine approuv. Des utilisateurs ou des groupes ont t migrs vers le domaine approuv avec leurs historiques de SID et vous souhaitez qu'ils soient autoriss accder aux ressources du domaine autoris approuver en fonction de l'attribut sIDHistory.

Pour dsactiver la quarantaine de domaine, tapez la commande suivante :


netdom trust NomDomaineAutorisApprouver /domain:NomDomaineApprouv /quarantine:no

Pour ractiver la quarantaine de domaine, tapez la commande suivante :


netdom trust NomDomaineAutorisApprouver /domain:NomDomaineApprouv /quarantine:yes

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-65

Accs aux ressources pour les utilisateurs issus de domaines approuvs

Points cls
Lorsque vous configurez une relation d'approbation qui permet votre domaine d'en approuver un autre, vous introduisez la possibilit que des utilisateurs du domaine approuv obtiennent l'accs aux ressources de votre domaine. Les sections suivantes examinent les composants lis la scurit des ressources d'un domaine autoris approuver. Utilisateurs authentifis Une relation d'approbation n'accorde en elle-mme aucun accs aux ressources. Il est toutefois probable que la cration d'une relation d'approbation permette immdiatement aux utilisateurs du domaine approuv d'accder certaines des ressources de votre domaine. Cela est d au fait que la plupart des ressources sont scurises par des listes de contrle d'accs qui octroient des autorisations au groupe Utilisateurs authentifis.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-66

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Appartenance aux groupes locaux de domaine Comme vous l'avez appris au Module 4, la meilleure faon de grer l'accs une ressource consiste accorder des autorisations un groupe local du domaine. Vous pouvez alors imbriquer les utilisateurs et les groupes de votre domaine dans le groupe local du domaine et, de ce fait, leur accorder un accs la ressource. Les groupes de scurit locaux du domaine peuvent galement inclure des utilisateurs et des groupes globaux de domaines approuvs. Par consquent, la meilleure faon d'attribuer des autorisations aux utilisateurs d'un domaine approuv consiste faire de ces derniers, ou de leurs groupes globaux, des membres d'un groupe local de domaine de votre domaine. Ajout d'identits approuves aux listes de contrle d'accs Vous pouvez galement ajouter directement les utilisateurs et les groupes globaux d'un domaine approuv dans les listes de contrle d'accs aux ressources d'un domaine autoris approuver. Cette approche n'est pas aussi simple que la mthode prcdente, c'est--dire l'utilisation d'un groupe local de domaine, mais elle est possible. Transitivit Lorsque vous crez une approbation de domaine Kerberos, cette approbation est non transitive par dfaut. Si vous la rendez transitive, vous pouvez ventuellement permettre aux utilisateurs des domaines et des domaines Kerberos approuvs par le domaine Kerberos v5 d'accder aux ressources de votre domaine. Il est donc recommand d'utiliser des approbations non transitives, sauf si des contraintes professionnelles vous obligent rellement choisir une approbation de domaine Kerberos transitive. Authentification slective Lorsque vous crez une approbation externe ou une approbation de fort, vous pouvez contrler l'tendue de l'authentification des entits de scurit approuves. Deux modes d'authentification sont associs une approbation externe ou de fort : Authentification slective Authentification l'chelle du domaine (pour une approbation externe) ou authentification l'chelle de la fort (pour une approbation de fort)

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-67

Si vous choisissez l'authentification l'chelle du domaine ou de la fort, tous les utilisateurs approuvs peuvent tre authentifis et accder aux services de tous les ordinateurs du domaine autoris approuver. Les utilisateurs approuvs peuvent par consquent tre autoriss accder aux ressources du domaine autoris approuver, o qu'elles se trouvent. Avec ce mode d'authentification, vous devez faire suffisamment confiance aux procdures de scurit de votre entreprise et aux administrateurs qui implmentent ces procdures pour qu'un accs inappropri ne soit pas accord aux utilisateurs approuvs. N'oubliez pas, par exemple, que les utilisateurs d'une fort ou d'un domaine approuv sont considrs comme des Utilisateurs authentifis dans le domaine autoris approuver. Toutes les ressources auxquelles ce groupe peut accder deviennent donc immdiatement accessibles aux utilisateurs des domaines approuvs si vous choisissez l'authentification l'chelle du domaine ou de la fort. Si, toutefois, vous choisissez l'authentification slective, tous les utilisateurs du domaine approuv sont des identits approuves. Ils ne sont cependant autoriss s'authentifier que pour les services des ordinateurs que vous avez dsigns. Imaginons, par exemple, que vous ayez tabli une approbation externe avec le domaine d'une entreprise partenaire. Vous voulez vous assurer que seuls les utilisateurs du groupe marketing de cette entreprise puissent accder aux dossiers partags stocks dans un seul de vos nombreux serveurs de fichiers. Vous pouvez configurer une authentification slective pour la relation d'approbation, puis accorder aux utilisateurs approuvs le droit de s'authentifier uniquement sur ce seul serveur de fichiers.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-68

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Pour configurer le mode d'authentification d'une nouvelle approbation sortante, servez-vous de la page Niveau d'authentification d'approbations sortantes de l'Assistant Nouvelle approbation. Configurez le niveau d'authentification d'une approbation existante, ouvrez les proprits du domaine autoris approuver dans le composant logiciel enfichable Domaines et approbations Active Directory, slectionnez la relation d'approbation, cliquez sur Proprits, puis ouvrez l'onglet Authentification prsent dans l'illustration.

Une fois l'option Authentification slective slectionne pour l'approbation, aucun utilisateur approuv ne peut accder aux ressources du domaine autoris approuver, mme si des autorisations leur ont t accordes. Ces utilisateurs doivent galement bnficier de l'autorisation Autorisation d'authentifier sur l'objet ordinateur du domaine.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-69

Pour accorder cette autorisation : 1. Ouvrez le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory et vrifiez que l'option Fonctionnalits avances est active dans le menu Affichage. Ouvrez les proprits de l'ordinateur sur lequel les utilisateurs approuvs doivent tre autoriss s'authentifier, c'est--dire l'ordinateur sur lequel les utilisateurs approuvs ouvriront une session ou contenant les ressources pour lesquelles des autorisations leur ont t accordes. Dans l'onglet Scurit, ajoutez les utilisateurs approuvs ou un groupe auquel ils appartiennent, puis cochez la case Autoriser de l'autorisation Autorisation d'authentifier, comme illustr dans la figure suivante.

2.

3.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-70

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Atelier pratique B : Administration d'une relation d'approbation

Scnario
La socit Contoso tablit actuellement un partenariat avec la socit Tailspin Toys. Une quipe de dveloppeurs de produits de Tailspin Toys doit pouvoir accder un dossier partag du domaine Contoso. Vous devez donc configurer votre domaine pour rpondre cette exigence professionnelle. De plus, l'administrateur de domaine de Tailspin Toys, qui n'a pas beaucoup d'exprience, aura besoin de votre aide pour configurer le ct rciproque de la relation d'approbation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-71

Exercice 1 : Configuration du service DNS


Avant de crer des relations d'approbation, vous devez tre certain du bon fonctionnement du service DNS. Chaque domaine doit pouvoir rsoudre les noms de l'autre domaine. Au cours du Module 10, vous avez appris configurer la rsolution des noms. Plusieurs mthodes permettent de prendre en charge la rsolution des noms entre deux forts. Dans cet exercice, vous allez crer une zone de stub dans le domaine contoso.com pour le domaine tailspintoys.com et un redirecteur conditionnel dans le domaine tailspintoys.com pour rsoudre contoso.com. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Prparer l'atelier pratique. Configurer le service DNS dans le domaine contoso.com. Configurer le service DNS dans le domaine tailspintoys.com.

Tche 1 : Prparation de l'atelier pratique


1. 2. Dmarrez 6238B-HQDC01-A et ouvrez une session avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Dmarrez 6238B-TSTDC01-A et ouvrez une session avec le nom d'utilisateur Sara.Davis et le mot de passe Pa$$w0rd.

Tche 2 : Configuration du service DNS dans le domaine contoso.com


1. 2. Dans HQDC01, excutez l'outil de gestion DNS en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez une zone de stub pour tailspintoys.com qui renvoie l'adresse IPv4 10.0.0.31 pour le serveur matre.

Tche 3 : Configuration du service DNS dans le domaine tailspintoys.com


1. Dans TSTDC01, excutez l'outil Gestion du service DNS en tant qu'administrateur, avec le compte Sara.Davis_Admin et le mot de passe Pa$$w0rd. Pour le domaine contoso.com, crez un redirecteur conditionnel qui renvoie l'adresse IPv4 10.0.0.11.
Rsultats : la fin de cet exercice, vous aurez configur la rsolution des noms DNS entre les domaines contoso.com et tailspintoys.com.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-72

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 2 : Cration d'une relation d'approbation


Dans cet exercice, vous allez crer une relation d'approbation pour que les utilisateurs de la socit Tailspin Toys puissent s'authentifier dans le domaine Contoso. Les tches principales de cet exercice sont les suivantes : 1. 2. 3. Identifier les domaines approuv et autoris approuver. Initier l'approbation dans le domaine approuv. Terminer l'approbation dans le domaine autoris approuver.

Tche 1 : Identification des domaines approuv et autoris


approuver
Les utilisateurs du domaine tailspintoys.com doivent pouvoir accder un dossier partag du domaine contoso.com. Rpondez aux questions suivantes : Quel est le domaine autoris approuver et quel est le domaine approuv ? Quel domaine dispose d'une approbation sortante et quel domaine dispose d'une approbation entrante ?

Tche 2 : Initiation de l'approbation dans le domaine approuv


1. Dans HQDC01, excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Crez une relation d'approbation externe, unidirectionnelle et sortante avec tailspintoys.com. Configurez cette approbation pour qu'elle utilise l'authentification l'chelle du domaine et dfinissez son mot de passe initial sur Pa$$w0rd.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-73

Tche 3 : Fin de l'approbation dans le domaine autoris approuver


1. Dans TSTDC01, excutez Domaines et approbations Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Crez une relation d'approbation externe, unidirectionnelle et entrante avec contoso.com. Configurez cette approbation pour qu'elle utilise l'authentification l'chelle du domaine et dfinissez son mot de passe initial sur Pa$$w0rd.
Rsultats : Au terme de cet exercice, vous aurez tabli une relation d'approbation entre les domaines contoso.com et tailspintoys.com, contoso.com tant le domaine approuv.

2.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-74

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Exercice 3 : Validation d'une relation d'approbation


L'exercice prcdent vous a donn la possibilit de confirmer la relation d'approbation. Vous pouvez galement confirmer ou valider une relation d'approbation existante. Dans cet exercice, vous allez valider l'approbation tablie entre les domaines contoso.com et tailspintoys.com. La tche principale de cet exercice est la suivante : Valider une relation d'approbation.

Tche 1 : Validation d'une relation d'approbation


Dans HQDC01, utilisez Domaines et approbations Active Directory pour valider l'approbation tablie entre les domaines contoso.com et tailspintoys.com.
Rsultats : Au terme de cet exercice, vous aurez valid l'approbation tablie entre les domaines contoso.com et tailspintoys.com.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-75

Exercice 4 : Octroi d'autorisations aux identits approuves


Dans cet exercice, vous allez autoriser l'quipe des produits de la socit Tailspin Toys accder un dossier partag du domaine Contoso. La tche principale de cet exercice est la suivante : Octroyer des autorisations aux groupes approuvs.

Tche 1 : Octroi d'autorisations aux groupes approuvs


1. Dans TSTDC01, excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Sara.Davis_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation User Accounts, crez un compte d'utilisateur Pat Coleman avec le nom d'utilisateur Pat.Coleman et le mot de passe Pa$$w0rd. Configurez le mot de passe de sorte qu'il n'ait pas besoin d'tre modifi la premire ouverture de session. Dans le domaine tailspintoys.com, crez une unit d'organisation nomme Groups. Dans l'unit d'organisation Groups, crez un groupe de scurit global nomm Product Team. Dans HQDC01, excutez Utilisateurs et ordinateurs Active Directory en tant qu'administrateur, avec le nom d'utilisateur Pat.Coleman_Admin et le mot de passe Pa$$w0rd. Dans l'unit d'organisation Groups\Role, crez un groupe de scurit global nomm Product Developers. Dans l'unit d'organisation Groups\Access, crez un groupe local de domaine nomm ACL_Product Information_Modify. Crez un dossier nomm Product Information dans le lecteur C de l'ordinateur HQDC01. Attribuez au groupe ACL_Product Information_Modify l'autorisation Modifier pour le dossier Product Information.

2.

3. 4. 5.

6. 7. 8. 9.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-76

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

10. Ouvrez les proprits du groupe ACL_ Product Information _Modify. Ajoutez les membres Contoso Product Developers et Tailspin Toys Product Team. Lorsque vous effectuez cette opration, une bote de dialogue Scurit de Windows s'affiche. L'approbation tant unidirectionnelle, votre compte d'utilisateur en tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin) n'est pas autoris lire l'annuaire du domaine tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le domaine tailspintoys.com. Si l'approbation tait bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera utilis pour vous fournir un Accs en lecture dans le service d'annuaire. Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans le champ Mot de passe, tapez Pa$$w0rd. 11. Notez que les deux groupes globaux des deux domaines sont prsent membres du groupe local du domaine contoso.com, autoris accder au dossier Product Information.
Rsultats : Au terme de cet exercice, vous aurez accord des autorisations d'accs aux ressources du dossier Product Information du domaine Contoso aux groupes des domaines Contoso et Tailspin Toys.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

Gestion de plusieurs domaines et forts

14-77

Exercice 5 : Implmentation d'une authentification slective


Dans cet exercice, vous allez limiter la possibilit des utilisateurs du domaine tailspintoys.com s'authentifier auprs des ordinateurs du domaine contoso.com. La tche principale de cet exercice est la suivante : Implmenter une authentification slective.

Tche 1 : Implmentation d'une authentification slective


Dans HQDC01, utilisez Domaines et approbations Active Directory pour activer l'authentification slective de l'approbation tablie entre les domaines contoso.com et tailspintoys.com. Lorsque l'authentification slective est active, les utilisateurs d'un domaine approuv ne peuvent pas s'authentifier auprs des ordinateurs du domaine autoris approuver, mme s'ils disposent d'autorisations pour un dossier. Les utilisateurs approuvs doivent galement bnficier de l'autorisation Autorisation d'authentifier sur l'ordinateur lui-mme. Dans Utilisateurs et ordinateurs Active Directory, vrifiez que les Fonctionnalits avances sont actives. Ouvrez ensuite les proprits de l'ordinateur HQDC01 et attribuez l'Autorisation d'authentifier au groupe TAILSPINTOYS\Product Team. Lorsque vous effectuez cette opration, une bote de dialogue Scurit de Windows s'affiche. L'approbation tant unidirectionnelle, votre compte d'utilisateur en tant qu'administrateur du domaine contoso.com (Pat.Coleman_Admin) n'est pas autoris lire l'annuaire du domaine tailspintoys.com. Pour pouvoir lire son annuaire, vous devez disposer d'un compte dans le domaine tailspintoys.com. Si l'approbation tait bidirectionnelle, ce message ne s'afficherait pas. Votre compte d'utilisateur standard dans le domaine tailspintoys.com sera utilis pour vous fournir un Accs en lecture dans le service d'annuaire. Dans le champ Nom d'utilisateur, tapez TAILSPINTOYS\Pat.Coleman. Dans le champ Mot de passe, tapez Pa$$w0rd.

Remarque : la fin de cet exercice, arrtez tous les ordinateurs virtuels et supprimez les disques d'annulation.

UTILISATION RSERVE L'INSTRUCTEUR MCT UNIQUEMENT

14-78

Configuration et rsolution des problmes des services de domaine Active Directory Windows Server 2008

Questions de contrle des acquis


Question : Vous avez accord au groupe Research and Development de la socit Tailspin Toys, l'autorisation de Modifier le dossier Product Information de l'ordinateur HQDC01. Toutefois, sur les dix utilisateurs du groupe, un seul (galement membre du groupe Product Team) peut y accder. Les autres ne peuvent pas accder au dossier. Que devez-vous faire ? Question : Un utilisateur de Contoso tente d'accder un dossier partag du domaine Tailspin Toys et reoit une erreur Accs refus. Que devez-vous faire pour que cet utilisateur puisse accder ce dossier ?